网络技术的快速发展和信息化进程的加速推进,网络安全已成为国家安全和社会稳定的重要组成部分。其中,关键信息基础设施作为国家的重要支撑和基础,承载着大量关键信息和数据,其安全稳定对国家经济、社会运行和人民生活具有重要影响。
为更好地保障能源、交通、水利、金融、公共服务、电子政务、国防科技工业等关键信息基础设施的网络安全,明确关键基础设施边界的确定方法,进一步完善相关技术标准和规范,全国网络安全标准化技术委员会秘书处印发《网络安全技术 关键信息基础设施边界确定方法(征求意见稿)》(以下简称《方法》)。
《办法》给出了关键信息基础设施边界确定的方法,包括基本信息梳理、关键信息基础设施功能识别、关键业务链与关键业务信息识别、关键业务信息流识别和资产识别、关键信息基础设施要素识别和边界确定的流程、步骤等内容,适用于指导关键信息基础设施运营者确定关键信息基础设施边界,也可为关键信息基础设施安全保护的其他相关方使用。
《办法》提出,关键信息基础设施根据关键业务类型,分为提供信息化共性服务的关键信息基础设施和高度依赖信息化业务的关键信息基础设施。其中,提供信息化共性服务的关键信息基础设施,是在经济社会运行中发挥重要支撑作用、提供人民生产生活不可或缺的算力资源供给、重要数据处理和基础网络通信等服务的关键信息基础设施,如云平台、数据中心、基础通信网络等;高度依赖信息化业务的关键信息基础设施,是具备高度信息化、自动化和网络化特点的关键信息基础设施,如监控系统、交易系统、控制系统等。
《办法》强调,关键信息基础设施边界确定基于信息流方式,将支撑关键业务的网络设施和信息系统的软硬件资产等识别出来,经过不可或缺性判定,理清功能、部署信息、业务关系等相关描述信息,并对同一软硬件资产等进行归集形成关键信息基础设施要素,由所有关键信息基础设施要素的集合形成关键信息基础设施边界。针对提供信息化共性服务的基础通信网络,由网元(在网络管理中最小设备或服务单元)、网络功能及其依赖的资源池识别软硬件资产。
关键基础设施边界确定的流程包括准备阶段、要素识别阶段、边界确定三个阶段,详情如下:
《办法》指出,关键信息基础设施运营商应当依据本行业、本领域保护工作部门认定的关键业务,对其内部工作尽心详细梳理。其中应当主要对包括运营商信息,关键信息基础设施信息等基本情况信息、常态化运营信息,本单位关键业务依赖的上下游业务信息等业务运行信息、数据资产信息以及租用网络设施的运营者单位名称等信息进行详细梳理。
同时、《办法》要求相关机构和人员应当及时对其关键信息基础设施功能、关键业务链与关键业务信息、关键业务信息信息流和资产、关键信息基础设施要素等数据资源进行识别。
《办法》强调,关键信息基础设施边界是由基本信息、要素信息以及识别时间组成,通常以文件形式描述。其中关键信息基础设施边界基本信息包括运营者信息、关键信息基础设施信息、数据资产信息、租用网络设施信息等;关键信息基础设施要素信息包括要素总计、对应关系、关键业务链、系统功能架构、网络拓扑、关键业务信息、关键业务信息流、要素清单等信息;识别时间是文件完成时间。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022