| 版权所有:郑州三中网安科技有限公司 豫ICP备2020036495号-1 | 豫公网安备 41019702002241号 | 站点地图 | 人才招聘 | 联系我们 |
什么是关键信息基础设施
关系国家重大利益、人民生命财产安全和社会生产生活秩序,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施、信息系统和数据资源。
关键信息基础设施这个概念中央第一次正式提出,是在2014年2月27日召开的中央网络安全和信息化领导小组第一次会议,习近平总书记指示,“要抓紧制定互联网信息内容管理、国家关键信息基础设施保护等方面的专项法规,解决工作急需”,随后下发的文件中提到,要建设网络强国,要有良好的信息基础设施,形成实力雄厚的信息经济,要完善关键信息基础设施保护等法律法规等。
在《网络安全法》出台以前,现有法律条文中并没有给出关键信息基础设施的明确概念,仅是部分法规文件从重大基础设施、重点领域网络与信息系统等几个方面做出了规定。
● 重大基础设施:“《国务院办公厅关于开展重大基础设施安全隐患排查工作的通知》国办发〔2007〕58号”中使用了“重大基础设施”的概念,并列举了公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施等九种类别。
● 重点领域网络与信息系统:《2012年重点领域网络与信息安全检查总结报告》中指出各重点领域的“重要网络与信息系统”,其中的调查报告则初步列举了我国多个关系国家安全、经济秩序正常运行和社会稳定的“关键网络与信息系统”。初步划定了我国信息安全保障的重点。
2017年6月1日《网络安全法》正式实施,其中第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。现在,国家关键信息基础设施已经纳入网络安全等级保护制度进行管理,在实现网络安全等级保护相关要求的基础上,增强实现更强的要求,具体要求正在起草制定中。(关键信息基础设施保护标准体系,如:关键信息基础设施保护条例正在制定中,关键信息基础设施安全保护要求、关键信息基础设施安全控制要求、关键信息基础设施安全控制评估方法都在起草当中。)
正确理解网络安全等级保护制度与关键信息基础设施保护的关系
1.等级保护制度是普适性的制度,是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点。
2.等级保护制度和关键信息基础设施保护是网络安全的两个重要方面,不可分割。关键信息基础设施必须按照网络安全等级保护制度要求,开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。
3.网络运营者应当在第三级(含)以上网络中确定关键信息基础设施。
4.关键信息基础设施保护,要落实公安机关、保密部门、密码部门的保卫、保护、监管责任,落实网络运营者和行业主管部门的主体责任。
5.公安机关在情报侦察、追踪溯源、快速处置、打击犯罪、等级保护、通报预警、互联网管理等方面,发挥职能作用,发挥主力军作用,保卫关键信息基础设施安全。
实施网络安全等级保护制度的根本目的就是保护国家关键信息基础设施
依据一:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)要求,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。
依据二:公安部、国家保密局、国家密码管理局和原国务院信息办联合印发的《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)规定,国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统。
依据三:公安部、国家保密局、国家密码管理局和原国务院信息办联合印发的《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)规定,信息和信息系统的安全保护等级共分为五级,第三级、第四级、第五级属于国家重要信息系统,涵盖所有关键信息基础设施。
网络安全等级保护与关键信息基础设施保护的关系:
一是从保护的对象上看,网络安全等级保护包含全国所有第二级(含)以上安全保护对象,关键信息基础设施保护对象是网络安全等级保护对象中的一小部分;
二是从保护的策略上看,网络安全等级保护是分等级进行的,所有网络划分为五个等级,对第三级(含)以上系统采取重点保护,而对关键信息基础设施同样实行重点保护;
三是从保护的措施上看,第三级(含)以上网络采取的保护措施,与关键信息基础设施采取的保护措施基本一致;
四是从发展上看,中央《关于加强社会治安防控体系建设的意见》《关于全面深化公安改革若干重大问题的框架意见》,要求健全网络安全等级保护制度。
公安部正在会同有关部门研究落实健全网络安全等级保护制度的具体措施,覆盖所有保护对象和保护方法。
现在确定了47个行业、276家重点单位为网络安全重点保卫单位,确定了500个信息系统为国家重要信息系统,47个行业涵盖电信、广电、电力、石油、银行、证券、保险、交通、民航、铁路、教育、卫生、税务、海关等国家关键信息基础设施领域。
等级保护合规对关键信息基础设施要求
a)确定关键信息基础设施安全保护的定级对象及其安全保护等级;其中,定级对象包括网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工控系统等。
b)根据定级对象的安全保护等级,按照GB/T 22239相应等级的安全要求,进行安全建设、管理和运维,确保定级对象具有相应等级的安全保护能力。
c)在落实GB/T 22239相应等级的总体安全策略基础上,对关键信息基础设施实施分区分域管理,并根据承载业务的重要程度和数据敏感程度,制定不同的安全策略,避免重要网络、系统和资产遭受未经授权的访问,防止重要数据泄露或者被窃取、篡改。
典型关键信息基础设施范例
能量管理系统
四级
国家电网
统一权限管理平台
三级
国家电网
网站群平台
三级
中国电力建设集团
调度数据网
三级
山西永皓发电公司
生产控制系统
三级
台州发电厂
光传送网国际传送网
四级
中国电信
中国移动信令网
四级
中国移动
中国联通移动通信网
三级
中国联通
河北省政务云
三级
中国联通河北分公司
广东移动云
三级
中国电信
业务运营支撑系统
三级
中国移动广西分公司
大额实时支付系统
三级
中国人民银行清算总中心
核心业务系统
三级
中国工商银行
网上银行系统
三级
中国银行
国际互联网网站系统
三级
中国建设银行
手机银行系统
三级
光大银行
骨干网络
三级
北京银行
生产网络
三级
民生银行呼和浩特分行
网上税务局系统
三级
天津市地方税务局
中国疾病预防控制信息系统
三级
国家卫计委
央广网
三级
央广新媒体文化传媒公司
北斗星物联网平台
三级
中国外运广东有限公司
数据及数据管理系统
四级
阿里巴巴
SCADA系统
三级
贵州燃气公司
来源:e安在线
| 版权所有:郑州三中网安科技有限公司 豫ICP备2020036495号-1 | 豫公网安备 41019702002241号 | 站点地图 | 人才招聘 | 联系我们 |