? 什么是關(guān)鍵信息基礎(chǔ)設(shè)施
關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源�����、交通��、水利��、金融��、公共服務(wù)����、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的���,以及其他一旦遭到破壞��、喪失功能或者數(shù)據(jù)泄露����,可能嚴(yán)重危害國家安全、國計民生���、公共利益的重要網(wǎng)絡(luò)設(shè)施��、信息系統(tǒng)等�。
? 關(guān)鍵信息基礎(chǔ)設(shè)施包括:
(一)網(wǎng)站類���,如黨政機(jī)關(guān)網(wǎng)站��、企事業(yè)單位網(wǎng)站���、新聞網(wǎng)站等;
(二)平臺類�,如即時通信、網(wǎng)上購物���、網(wǎng)上支付�����、搜索引擎�、電子郵件、論壇�、地圖�、音視頻等網(wǎng)絡(luò)服務(wù)平臺;
(三)生產(chǎn)業(yè)務(wù)類�����,如辦公和業(yè)務(wù)系統(tǒng)�����、工業(yè)控制系統(tǒng)���、大型數(shù)據(jù)中心��、云計算平臺���、電視轉(zhuǎn)播系統(tǒng)等。
? 如何確定關(guān)鍵信息基礎(chǔ)設(shè)施:
(一)確定關(guān)鍵業(yè)務(wù)����;
(二)確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng);
(三)根據(jù)關(guān)鍵業(yè)務(wù)對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事故后可能造成的損失認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施�����。
? 關(guān)鍵信息基礎(chǔ)設(shè)施確定流程包括:
(一)確定本地區(qū)�、本部門、本行業(yè)的關(guān)鍵業(yè)務(wù)���;
(二)確定關(guān)鍵業(yè)務(wù)相關(guān)的信息系統(tǒng)或工業(yè)控制系統(tǒng)�����;根據(jù)關(guān)鍵業(yè)務(wù)�,逐一梳理出支撐關(guān)鍵業(yè)務(wù)運行或與關(guān)鍵業(yè)務(wù)相關(guān)信息系統(tǒng)或工業(yè)控制系統(tǒng)����,形成候選關(guān)鍵信息基礎(chǔ)設(shè)施清單。如電力行業(yè)火電企業(yè)的發(fā)電機(jī)組控制系統(tǒng)�����、管理信息系統(tǒng)等�����;市政供水相關(guān)的水廠生產(chǎn)控制系統(tǒng)、供水管理監(jiān)控系統(tǒng)等�;
(三)認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施,對候選關(guān)鍵信息基礎(chǔ)設(shè)施清單中的信息系統(tǒng)或工業(yè)控制系統(tǒng)����,根據(jù)本地區(qū)、本部門��、本行業(yè)實際����,參照以下標(biāo)準(zhǔn)認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施����。
主要依據(jù)安全等級保護(hù)2.0管理要求及數(shù)據(jù)安全法中數(shù)據(jù)安全制度要求進(jìn)行建設(shè):
可帶來如下收益:
① 建立、健全單位信息安全管理制度體系�����;
② 安全合規(guī)���;
③ 規(guī)范管理流程�����、明細(xì)職責(zé)分工���。
挑選重要網(wǎng)站或信息系統(tǒng)進(jìn)行安全測試��,模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測試���,在保證整個安全測試過程都在可以控制和調(diào)整的范圍之內(nèi)盡可能的獲取目標(biāo)信息系統(tǒng)的管理權(quán)限以及敏感信息,并將入侵的過程和細(xì)節(jié)產(chǎn)生報告給用戶�,由此證實用戶系統(tǒng)所存在的安全威脅和風(fēng)險,并能及時提醒安全管理員完善安全策略�。涵蓋現(xiàn)有的攻擊手段和最前沿的安全攻擊方法,滲透測試不得影響系統(tǒng)的正常運作和業(yè)務(wù)應(yīng)用��。
內(nèi)容包括:信息收集���、權(quán)限提升����、溢出測試���、注入攻擊��、跨站攻擊�����、后門程序檢查����、登錄體系測試、權(quán)限體系測試��、命令執(zhí)行攻擊���、反序列化攻擊、文件包含漏洞��、文件上傳漏洞����、路徑遍歷與文件讀取等。
對網(wǎng)站��、信息系統(tǒng)進(jìn)行安全測試��,可帶來如下收益:
① 評估網(wǎng)站中存在的安全隱患���、安全漏洞��;
② 發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患��;
③ 驗證網(wǎng)站現(xiàn)有安全措施的防護(hù)強(qiáng)度���;
④ 評估網(wǎng)站被入侵的可能性���,并在入侵者發(fā)起攻擊;
⑤ 前封堵可能被利用的攻擊途徑���。
風(fēng)險(安全)評估是對信息系統(tǒng)和IT基礎(chǔ)設(shè)施進(jìn)行安全風(fēng)險評估��,包括明確風(fēng)險評估范圍�、識別重要資產(chǎn)��、識別脆弱性和威脅�、現(xiàn)有安全控制措施、應(yīng)用系統(tǒng)漏洞掃描�����、分析和計算風(fēng)險狀況�、制定不可接受風(fēng)險處置方案和風(fēng)險評估報告和總結(jié)。協(xié)助完成對風(fēng)評過程中發(fā)現(xiàn)的問題進(jìn)行整改�,整改完成后測試是否整改完畢���。
風(fēng)險評估,可帶來如下收益:
風(fēng)險評估服務(wù)通過信息資產(chǎn)的識別與賦值�����、威脅評估��、弱點評估�����、現(xiàn)有安全措施評估�、綜合風(fēng)險分析等若干環(huán)節(jié),對信息系統(tǒng)的安全風(fēng)險進(jìn)行風(fēng)險分析�,清晰地展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀��,提供公正�、客觀、翔實的數(shù)據(jù)作為決策參考����,為組織下一步控制和降低安全風(fēng)險、改善安全狀況�����、實施信息系統(tǒng)的風(fēng)險管理提供依據(jù)。
應(yīng)急演練:是指各行業(yè)主管部門���、各級政府及其部門�����、企事業(yè)單位��、社會團(tuán)體等組織相關(guān)單位及人員����,依據(jù)有關(guān)網(wǎng)絡(luò)安全應(yīng)急預(yù)案�,開展應(yīng)對網(wǎng)絡(luò)安全事件的活動。
應(yīng)急演練形式:桌面應(yīng)急演練����、實戰(zhàn)應(yīng)急演練、單項應(yīng)急演練�����、綜合應(yīng)急演練�����、檢驗性應(yīng)急演練、示范性應(yīng)急演練�����、研究性應(yīng)急演練�����。
定期組織應(yīng)急演練�,可帶來如下收益:
① 做好網(wǎng)絡(luò)安全事件應(yīng)對處置;
② 建立健全單位應(yīng)急演練預(yù)案���;
③ 滿足單位本身自我檢查要求����;
④ 滿足主管部門聯(lián)合檢查要求���;
⑤ 滿足監(jiān)管部門合規(guī)審查要求。
公安備案號:44030502000376