? 什么是關(guān)鍵信息基礎(chǔ)設(shè)施
關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)�、能源�����、交通���、水利����、金融���、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的����,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露���,可能嚴(yán)重危害國(guó)家安全����、國(guó)計(jì)民生���、公共利益的重要網(wǎng)絡(luò)設(shè)施�、信息系統(tǒng)等���。
? 關(guān)鍵信息基礎(chǔ)設(shè)施包括:
(一)網(wǎng)站類���,如黨政機(jī)關(guān)網(wǎng)站、企事業(yè)單位網(wǎng)站��、新聞網(wǎng)站等����;
(二)平臺(tái)類,如即時(shí)通信、網(wǎng)上購(gòu)物���、網(wǎng)上支付����、搜索引擎��、電子郵件�����、論壇�、地圖、音視頻等網(wǎng)絡(luò)服務(wù)平臺(tái)����;
(三)生產(chǎn)業(yè)務(wù)類,如辦公和業(yè)務(wù)系統(tǒng)���、工業(yè)控制系統(tǒng)���、大型數(shù)據(jù)中心、云計(jì)算平臺(tái)��、電視轉(zhuǎn)播系統(tǒng)等���。
? 如何確定關(guān)鍵信息基礎(chǔ)設(shè)施:
(一)確定關(guān)鍵業(yè)務(wù)��;
(二)確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)�;
(三)根據(jù)關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度����,以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事故后可能造成的損失認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。
? 關(guān)鍵信息基礎(chǔ)設(shè)施確定流程包括:
(一)確定本地區(qū)���、本部門���、本行業(yè)的關(guān)鍵業(yè)務(wù);
(二)確定關(guān)鍵業(yè)務(wù)相關(guān)的信息系統(tǒng)或工業(yè)控制系統(tǒng)��;根據(jù)關(guān)鍵業(yè)務(wù)��,逐一梳理出支撐關(guān)鍵業(yè)務(wù)運(yùn)行或與關(guān)鍵業(yè)務(wù)相關(guān)信息系統(tǒng)或工業(yè)控制系統(tǒng)��,形成候選關(guān)鍵信息基礎(chǔ)設(shè)施清單��。如電力行業(yè)火電企業(yè)的發(fā)電機(jī)組控制系統(tǒng)����、管理信息系統(tǒng)等����;市政供水相關(guān)的水廠生產(chǎn)控制系統(tǒng)�����、供水管理監(jiān)控系統(tǒng)等����;
(三)認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施,對(duì)候選關(guān)鍵信息基礎(chǔ)設(shè)施清單中的信息系統(tǒng)或工業(yè)控制系統(tǒng)���,根據(jù)本地區(qū)�����、本部門�、本行業(yè)實(shí)際�����,參照以下標(biāo)準(zhǔn)認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施�。
主要依據(jù)安全等級(jí)保護(hù)2.0管理要求及數(shù)據(jù)安全法中數(shù)據(jù)安全制度要求進(jìn)行建設(shè):
可帶來(lái)如下收益:
① 建立����、健全單位信息安全管理制度體系�����;
② 安全合規(guī)��;
③ 規(guī)范管理流程���、明細(xì)職責(zé)分工。
挑選重要網(wǎng)站或信息系統(tǒng)進(jìn)行安全測(cè)試���,模擬黑客的攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試�,在保證整個(gè)安全測(cè)試過(guò)程都在可以控制和調(diào)整的范圍之內(nèi)盡可能的獲取目標(biāo)信息系統(tǒng)的管理權(quán)限以及敏感信息�,并將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶,由此證實(shí)用戶系統(tǒng)所存在的安全威脅和風(fēng)險(xiǎn)�,并能及時(shí)提醒安全管理員完善安全策略。涵蓋現(xiàn)有的攻擊手段和最前沿的安全攻擊方法�����,滲透測(cè)試不得影響系統(tǒng)的正常運(yùn)作和業(yè)務(wù)應(yīng)用��。
內(nèi)容包括:信息收集、權(quán)限提升���、溢出測(cè)試���、注入攻擊、跨站攻擊����、后門程序檢查、登錄體系測(cè)試���、權(quán)限體系測(cè)試���、命令執(zhí)行攻擊、反序列化攻擊��、文件包含漏洞���、文件上傳漏洞���、路徑遍歷與文件讀取等。
對(duì)網(wǎng)站��、信息系統(tǒng)進(jìn)行安全測(cè)試,可帶來(lái)如下收益:
① 評(píng)估網(wǎng)站中存在的安全隱患��、安全漏洞����;
② 發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患;
③ 驗(yàn)證網(wǎng)站現(xiàn)有安全措施的防護(hù)強(qiáng)度�;
④ 評(píng)估網(wǎng)站被入侵的可能性��,并在入侵者發(fā)起攻擊���;
⑤ 前封堵可能被利用的攻擊途徑�。
? 風(fēng)險(xiǎn)(安全)評(píng)估服務(wù)
風(fēng)險(xiǎn)(安全)評(píng)估是對(duì)信息系統(tǒng)和IT基礎(chǔ)設(shè)施進(jìn)行安全風(fēng)險(xiǎn)評(píng)估���,包括明確風(fēng)險(xiǎn)評(píng)估范圍��、識(shí)別重要資產(chǎn)�、識(shí)別脆弱性和威脅�、現(xiàn)有安全控制措施、應(yīng)用系統(tǒng)漏洞掃描���、分析和計(jì)算風(fēng)險(xiǎn)狀況�����、制定不可接受風(fēng)險(xiǎn)處置方案和風(fēng)險(xiǎn)評(píng)估報(bào)告和總結(jié)����。協(xié)助完成對(duì)風(fēng)評(píng)過(guò)程中發(fā)現(xiàn)的問(wèn)題進(jìn)行整改,整改完成后測(cè)試是否整改完畢�。
風(fēng)險(xiǎn)評(píng)估,可帶來(lái)如下收益:
風(fēng)險(xiǎn)評(píng)估服務(wù)通過(guò)信息資產(chǎn)的識(shí)別與賦值���、威脅評(píng)估����、弱點(diǎn)評(píng)估����、現(xiàn)有安全措施評(píng)估、綜合風(fēng)險(xiǎn)分析等若干環(huán)節(jié)���,對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)分析��,清晰地展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀����,提供公正、客觀�、翔實(shí)的數(shù)據(jù)作為決策參考,為組織下一步控制和降低安全風(fēng)險(xiǎn)����、改善安全狀況、實(shí)施信息系統(tǒng)的風(fēng)險(xiǎn)管理提供依據(jù)�。
應(yīng)急演練:是指各行業(yè)主管部門、各級(jí)政府及其部門���、企事業(yè)單位、社會(huì)團(tuán)體等組織相關(guān)單位及人員���,依據(jù)有關(guān)網(wǎng)絡(luò)安全應(yīng)急預(yù)案�����,開展應(yīng)對(duì)網(wǎng)絡(luò)安全事件的活動(dòng)��。
應(yīng)急演練形式:桌面應(yīng)急演練�����、實(shí)戰(zhàn)應(yīng)急演練����、單項(xiàng)應(yīng)急演練、綜合應(yīng)急演練�、檢驗(yàn)性應(yīng)急演練、示范性應(yīng)急演練���、研究性應(yīng)急演練��。
定期組織應(yīng)急演練�,可帶來(lái)如下收益:
① 做好網(wǎng)絡(luò)安全事件應(yīng)對(duì)處置��;
② 建立健全單位應(yīng)急演練預(yù)案����;
③ 滿足單位本身自我檢查要求;
④ 滿足主管部門聯(lián)合檢查要求��;
⑤ 滿足監(jiān)管部門合規(guī)審查要求�����。
公安備案號(hào):44030502000376