随着信息技术广泛应用和网络空间兴起发展,国家高度重视网络空间安全,陆续出台了相关战略、规划、立法以及实施方案等,并开始加大对关键信息基础设施的保护力度。
随着我国网络强国战略的深化和实施,关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位也日益突出,中国《国家网络空间安全战略》提出要加强对国家关键信息基础设施的保护,并指出国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。
保护关键信息基础设施的正常运转,关系国家安全、经济发展、社会稳定,也是政府、企业和全社会的共同责任。
关键信息基础设施运营者规模不同,对网络安全工作的重视程度不一,技术强弱各异。
关键信息基础设施风险评估云平台有助于运营单位在网络安全等级保护的基础上,针对性的按需做好各关键信息基础设施的安全保护工作。
同时帮助CII运营单位、服务CII检查、检测机构。提升CII防御威胁能力和培养专业CII检查队伍。
关键信息基础设施风险评估的必要性:
1. 传统网络安全为信息系统设置防御,在攻击与窃取手段不断进化的今天,面临安全风险日增、形势严峻,需要树立动态、综合的防护理念;
2. 网络安全是国家与人民共同的而不是孤立于某信息系统的。需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线;
3. 《中华人民共和国网络安全法》明确了关键信息基础设施在动态网络安全防护、安全监测方面的基本要求,《关键信息基础设施风险评估指南》有效支持网络安全法落地。
《网络安全法》
《关键信息基础设施网络安全框架》
《关键信息基础设施网络安全保护基本要求》
《关键信息基础设施安全控制要求》
《关键信息基础设施安全检查评估指南》
《关键信息基础设施安全保障指标体系》
风险评估分析
l 脆弱性评估
针对CII系统的每一项需要保护资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。
l 威胁情报
识别判断威胁的来源,给威胁动机、威胁能力进行赋值,结合安全威胁和风险预估清单,根据分析CII运营者的业务特点,按照威胁的来源判断出威胁发生的可能性。
通过威胁与脆弱性进行关联,确定威胁可利用的脆弱性,及可引发的安全事件,并分析安全事件发生的可能性;一旦安全事件发生,造成的损失有多大。
l 已有安全措施
在识别脆弱性、威胁的同时,对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施是否继续保持,对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。已有安全措施为风险处理计划的制定,为风险评估分析提供依据和参考。
对合规性检查、技术检测、安全监测进行风险评估,对发现的问题按照风险级别进行高中低进行统计分类。
对检测发现的问题(高风险安全漏洞和隐患、是否已经被入侵、敏感信息泄露等)并给出修复整改建议。同时对漏洞加以描述(漏洞名称、漏洞影响的范围、漏洞存在的证明、漏洞的危害、漏洞的等级等。)同时围绕关键信息基础设施承载的核心业务,通过关键属性的识别和分析,对关键属性的安全进行评估,对每个关键属性的具体描述内容的安全性逐一进行风险分析,给出风险分析的结果,最终根据风险分析的结果定性分析出整体安全状况的评价,并给出整体安全状况的描述。
包含关键信息基础设施的定义描述、主要核心资产情况、核心业务情况、面临的主要威胁和系统安全能力的描述情况等;检查评估结果说明是对检查评估中发现的关键信息基础设施存在的主要问题进行说明,包含了合规检查、技术检测、监控分析:
➣ 合规检查结果对关键信息基础设施安全保障措施是否合规下结论,对不符合的项进行详细的说明和描述。
➣ 技术检测结果对关键信息基础设施存在的主要安全漏洞和隐患、面临的安全风险进行说明,对检测中发现的具体安全问题进行描述。
➣ 根据监测分析结果对关键信息基础设施存在的主要安全威胁、安全漏洞和隐患进行了说明,对监测分析中发现的具体安全问题进行了描述。
➣ 最后通过对关键信息基础设施的总体安全状况进行定性分析,给出整体安全状况的描述。
报表模块展示CII资产分布, CII各类指标的风险趋势,安全事件详情等,帮助用户全方位了解风险情况,发现安全威胁和隐患,实现预警通报,同时提供安全事件审计和溯源。
加强与《网络安全法》、《关键信息基础设施风险评估指南》等法律法规认知,从而满足对CII系统的合规性检查、风险评估需求,解决专业检查评估人员缺少、检查工作耗时多、效率低。检查方法、检查内容不统一的问题。
