隨着信息技術廣泛應用和網絡空間興起發展,國家高度重視網絡空間安全,陸續出臺了相關戰略、規劃、立法以及實施方案等,並開始加大對關鍵信息基礎設施的保護力度。
隨着我國網絡強國戰略的深化和實施,關鍵信息基礎設施在國民經濟和社會發展中的基礎性、重要性、保障性、戰略性地位也日益突出,中國《國家網絡空間安全戰略》提出要加強對國家關鍵信息基礎設施的保護,並指出國家關鍵信息基礎設施是指關係國家安全、國計民生,一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施,包括但不限於提供公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、金融、交通、教育、科研、水利、工業製造、醫療衛生、社會保障、公用事業等領域和國家機關的重要信息系統,重要互聯網應用系統等。
保護關鍵信息基礎設施的正常運轉,關係國家安全、經濟發展、社會穩定,也是政府、企業和全社會的共同責任。
關鍵信息基礎設施運營者規模不同,對網絡安全工作的重視程度不一,技術強弱各異。
關鍵信息基礎設施風險評估雲平臺有助於運營單位在網絡安全等級保護的基礎上,針對性的按需做好各關鍵信息基礎設施的安全保護工作。
同時幫助CII運營單位、服務CII檢查、檢測機構。提升CII防禦威脅能力和培養專業CII檢查隊伍。
關鍵信息基礎設施風險評估的必要性:
1. 傳統網絡安全爲信息系統設置防禦,在攻擊與竊取手段不斷進化的今天,面臨安全風險日增、形勢嚴峻,需要樹立動態、綜合的防護理念;
2. 網絡安全是國家與人民共同的而不是孤立於某信息系統的。需要政府、企業、社會組織、廣大網民共同參與,共築網絡安全防線;
3. 《中華人民共和國網絡安全法》明確了關鍵信息基礎設施在動態網絡安全防護、安全監測方面的基本要求,《關鍵信息基礎設施風險評估指南》有效支持網絡安全法落地。
《網絡安全法》
《關鍵信息基礎設施網絡安全框架》
《關鍵信息基礎設施網絡安全保護基本要求》
《關鍵信息基礎設施安全控制要求》
《關鍵信息基礎設施安全檢查評估指南》
《關鍵信息基礎設施安全保障指標體系》
風險評估分析
l 脆弱性評估
針對CII系統的每一項需要保護資產,識別可能被威脅利用的弱點,並對脆弱性的嚴重程度進行評估;根據對資產的損害程度、技術實現的難易程度、弱點的流行程度,採用等級方式對已識別的脆弱性的嚴重程度進行賦值。
l 威脅情報
識別判斷威脅的來源,給威脅動機、威脅能力進行賦值,結合安全威脅和風險預估清單,根據分析CII運營者的業務特點,按照威脅的來源判斷出威脅發生的可能性。
通過威脅與脆弱性進行關聯,確定威脅可利用的脆弱性,及可引發的安全事件,並分析安全事件發生的可能性;一旦安全事件發生,造成的損失有多大。
l 已有安全措施
在識別脆弱性、威脅的同時,對已採取的安全措施的有效性進行確認。安全措施的確認應評估其有效性,即是否真正地降低了系統的脆弱性,抵禦了威脅。對有效的安全措施是否繼續保持,對確認爲不適當的安全措施應覈實是否應被取消或對其進行修正,或用更合適的安全措施替代。已有安全措施爲風險處理計劃的制定,爲風險評估分析提供依據和參考。
對合規性檢查、技術檢測、安全監測進行風險評估,對發現的問題按照風險級別進行高中低進行統計分類。
對檢測發現的問題(高風險安全漏洞和隱患、是否已經被入侵、敏感信息泄露等)並給出修復整改建議。同時對漏洞加以描述(漏洞名稱、漏洞影響的範圍、漏洞存在的證明、漏洞的危害、漏洞的等級等。)同時圍繞關鍵信息基礎設施承載的核心業務,通過關鍵屬性的識別和分析,對關鍵屬性的安全進行評估,對每個關鍵屬性的具體描述內容的安全性逐一進行風險分析,給出風險分析的結果,最終根據風險分析的結果定性分析出整體安全狀況的評價,並給出整體安全狀況的描述。
包含關鍵信息基礎設施的定義描述、主要核心資產情況、核心業務情況、面臨的主要威脅和系統安全能力的描述情況等;檢查評估結果說明是對檢查評估中發現的關鍵信息基礎設施存在的主要問題進行說明,包含了合規檢查、技術檢測、監控分析:
➣ 合規檢查結果對關鍵信息基礎設施安全保障措施是否合規下結論,對不符合的項進行詳細的說明和描述。
➣ 技術檢測結果對關鍵信息基礎設施存在的主要安全漏洞和隱患、面臨的安全風險進行說明,對檢測中發現的具體安全問題進行描述。
➣ 根據監測分析結果對關鍵信息基礎設施存在的主要安全威脅、安全漏洞和隱患進行了說明,對監測分析中發現的具體安全問題進行了描述。
➣ 最後通過對關鍵信息基礎設施的總體安全狀況進行定性分析,給出整體安全狀況的描述。
報表模塊展示CII資產分佈, CII各類指標的風險趨勢,安全事件詳情等,幫助用戶全方位瞭解風險情況,發現安全威脅和隱患,實現預警通報,同時提供安全事件審計和溯源。
加強與《網絡安全法》、《關鍵信息基礎設施風險評估指南》等法律法規認知,從而滿足對CII系統的合規性檢查、風險評估需求,解決專業檢查評估人員缺少、檢查工作耗時多、效率低。檢查方法、檢查內容不統一的問題。