美国、荷兰、德国、加拿大等国开发的关键基础设施识别认定和分析方法,最初大多是针对关键基础设施而设计的,是一些基础性且较为通用的方法,后期衍生出了很多针对不同领域、针对关键信息基础设施特性的方法,值得我们研究和借鉴。
1、快速扫描法
荷兰认定关键基础设施的方法是先将待认定的基础设施分解为产品和服务,通过发放调查问卷的方式,向各行业搜集了一份包含所有被视为“关键”的产品和服务清单,包括简要描述、从生产到运输整个过程、恢复特性、对其他产品或服务的依赖程度等。评估小组通过制定评价指标来判断产品和服务是否关键,进而反向倒推做出是否为关键基础设施的判断。
判断产品和服务是否关键,一方面,主要考虑这些产品和服务是否提供了保证社会最低质量水平所需的基本物质;另一方面,失去这些物质是否会对公民生存或政府管理造成影响。对于前者,评价指标主要看其是否在以下6个方面做出了实质性贡献:①国内和国际的法律和秩序;②公共安全;③经济;④公众健康;⑤生态环境;⑥受破坏会在全国范围内对公民或政府管理造成影响或危及最低质量水平。对于后者,评价指标主要考虑其损失或遭破坏对以下几项指标造成潜在影响:①人的伤亡;②动物的伤亡;③经济影响;④环境影响;⑤非物质性满足,如对公民造成心理上的影响。快速扫描法运用了反向思维和分解倒推方法,找出关键的产品和服务,反推到关键基础设施领域,确定关键基础设施的出发点是保证最低质量水平、维护公民生命及健康或政府管理所必需的、联系最紧密的关键产品和服务。通过此方法,荷兰确定了31种关键产品和服务,这些关键产品和服务分布在11个关键领域中。
2、阈值判定法
为判定关键基础设施,美国国土安全部的做法是对各领域或行业的服务范围、影响程度、涉及人数等方面设定阈值,高于阈值的就认定为关键基础设施,否则为非关键。
3、象限判定法
德国信息安全局开发了一种用象限图的形式来判断基础设施关键性等级的方法,这种方法也被称为关键基础部门分析法(ACIS方法)或经验评价法。与荷兰的快速扫描法类似,首先受调查部门将各基础设施领域细分为服务或产品,再识别和划分与之相关的业务过程(进程),例如,能源细分产品为石油、天然气等,其中,石油供应的业务过程可以分为生成、炼化、运输和销售。
不同的是,德国将评价指标组成N×N的矩阵,对业务过程的关键性进行分析,进而判断基础设施的关键性。矩阵的横坐标上的指标为“影响程度”,即业务过程中的某个环节中断会导致何种程度的结果,分为5种情况:无关紧要、微小、中等、重大和灾难性;纵坐标上的指标为“可能性”,即受破坏的可能性有多大,也分为5种情况:完全可能、很可能、可能、不太可能和不可能。由此组成了一个5×5的矩阵,对影响程度和可能性进行综合考虑,两两指标对比得出关键性等级,从高到低共设立了4个等级:极度、高度、中度和低度。
德国还将关键性评价工作分部门影响、领域影响、社会影响和IT依赖度4个层面分阶段、分步骤逐层进行。首先,部门内部分析其业务相关过程,选出关键性等级为高度和极度的业务过程进入下一轮判断;其次,从上一轮结果中提炼出对该领域至关重要且受破坏的可能性较高的业务过程进入下一轮判断;再次,从上一轮结果中提炼出对整个社会高度或极度关键的业务过程进行下一轮判断;最后,对上一轮结果进行IT依赖性分析,提炼出IT依赖度高度或极度的业务过程,即为关键业务过程,并以此判定关键基础设施。
4、矩阵分析法
随着信息技术的发展和应用,基础设施、特别是信息基础设施之间的相互依赖关系和连锁影响越来越突出。相互依赖的类型包括物理的、虚拟的、时间上的等,影响相互依赖的因素包括政治、经济、社会、国家安全以及政策法规等。开展相互依赖性分析是关键信息基础设施识别分析工作的重要一环,然而,很多依赖关系无法用一种简明方式表现出来,对基础设施相互依赖性开展全面分析目前仍是一项非常复杂且具有挑战性的工作。
加拿大提出用矩阵分析模型来说明相互依赖关系和程度。矩阵的横向和纵向所列的是各领域行业中关键产品和服务等要素,纵向与横向要素一一比对来判定依赖程度。各要素之间的依赖程度通过高、中、低、无4个类别来描述。
5、分级分类法
美国开发了一种基于事件影响程度的分级分类法对关键基础设施进行打分并判断其优先级。具体方法是制定一个分类分级的指标体系,并配以权重和分值,通过对关键基础设施进行打分,从而确定优先级(也就是关键性等级)。首先,对关键基础设施的影响进行分类,定为一级指标,并通过调研给各个指标分配一个权重值。各指标和权重如下(百分制):①对人身健康和安全的影响,28;②对经济收入的影响,19;③重建所花费的资金,18;④对应急系统的影响,18;⑤对环境和物种的影响,12;⑥标志性和象征性的影响,5。其次,对每一类影响进行分级,作为二级指标,并根据分级区间设定不同的分值,最高为4分,最低为0分。通过分级分类表对各基础设施进行加权求和打分,将结果作为该基础设施关键性分值,并基于这个分值给关键基础设施进行优先级排序。
来源:保密科学技术
作者:陈月华等
版权所有:郑州三中网安科技有限公司 豫ICP备2020036495号-1 | 豫公网安备 41019702002241号 | 站点地图 | 人才招聘 | 联系我们 |