360 全球关键信息基础设施网络安全分析报告
声明
本文是学习360 全球关键信息基础设施网络安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
导 语
关键基础设施的网络安全威胁已成为全球各个国家网络空 间最为关注的课题之一。各个国家纷纷出台保护关键信息基础设 施的政策和战略,通过研究美国、德国、英国、俄罗斯以及中国 的相关政策,可以发现不同国家对关键信息基础设施的理解和界 定,各不相同,但重点保护、全力保障关键信息基础设施安全的 目标是一致的。通过大量公开资料及报道,我们发现全球关键信 息基础设施已经或正在遭遇大量来外部、内部的网络攻击,或者 因存在管理漏洞等问题而埋下诸多潜在隐患。本报告以金融、能 源、通信、工业系统、教育、交通、医疗卫生等关键领域为例, 给出这些关键信息基础设施遭遇安全攻击的实际案例,并简要分 析,以期对我国关键信息基础设施防御与保护工作提供借鉴参考。
第一章 各国对关键信息基础设施的界定
关键信息基础设施关系国计民生,也是各国网络安全保障的首要目标。不过,世界各国的经济发展水平不同,网络状况、网络经济发展程度存在差异,因此各国对关键信息基础设施的定义和界定也存在很大的不同,侧重保护的重点领域也不尽相同。例如美国政府规定了 16 类关键基础设施,从民用领域到军事领域,
涵盖非常广泛。而德国在联邦政府层面划定了 9 类关键基础设施, 和美国相比,德国更加聚焦民生领域,而且增加了传媒与文化领 域。本章将主要就中国、美国、俄罗斯、德国、英国这 5 个国家的政府部门对关键信息基础设施界定异同进行比较。以此来了解 世界各国在关键信息基础设施保护方面的政策特点。
特别说明,世界各国对于某些关键信息基础设施的命名方法和职能限定有一定区别,比如,同样是应急响应部门,有的国家称之为应急服务,而有的国家则称之为灾害响应。出于横向对比方便的考虑,在本报告中,我们尽可能的对各国职能类似的基础设施采用相同的翻译名称。其中某些细微之处可能存在偏差。
一、 中国
《中华人民共和国网络安全法》中给出了关键信息基础设施的大致范围,可分为七类:公共通信和信息服务、能源、交通、水利、金融、公共服务(水、电、食品、卫生)、电子政务。
而《网络空间安全战略》中的规定的关键信息基础设施包括: 1 张基础网络、11 个重要信息系统和 1 类重要互联网应用系统,
共 13 项,具体包括:
1、提供公共通信,广播电视传输等服务的基础信息网络;2、能源;3、金融;4、交通;5、教育;6、科研;7、水利;8、工业制造;9、医疗卫生;10、社会保障;11、公用事业;12、国
家机关;13、重要互联网应用系统。
二、 美国
奥巴马政府将以下 16 个领域纳入为关键基础设施保护对象。
并出台一系列政府文件和总统行政指令加以优先保护。这 16 个领域具体包括:
1、化学工业;2、商业设施、3、通信;4、关键制造;5、水利;6、国防;7、应急响应部门;8、能源;9、金融;10、食品和农业;11、政府部门;12、医疗卫生;13、信息技术;14、核设施;15、交通运输;16、供水及污水处理系统。
三、 俄罗斯
2009 年俄罗斯的信息安全政策文件中描述的关键部门,主要指科技、国防、通信、司法、应急响应部门等。
2013 年的出台的《俄联邦关键网络基础设施安全》规定: 对入侵交通、市政等国家关键部门信息系统的黑客最高可处以
10 年监禁。这事实上是将交通、政府等纳入国家关键网络基础设施。
另外,俄罗斯政治研究中心网络安全问题专家奥列格•杰米多夫(Oleg Demidov)指出,俄罗斯的信息安全战略更多强调在
内容层面的管控,非常重视互联网信息传播对传统文化、公民德道和价值观带来的影响,而在基础设施层面,则几乎没有特别具体的描述,只是概括性地表示保护关键信息基础设施。
总结起来,俄罗斯政府部门明确或隐含界定的关键信息基础设施有 7 类:
1、科技;2、国防;3、通信;4、司法;5、应急响应部门;
6、交通运输;7、政府部门。
四、 德国
德国网络空间战略(2011 年)中指出,关键基础设施是指各类非常重要的公共物资或资源相关的组织或机构,他们一旦遭到攻击或破坏,将导致供应紧缺或中断,严重危害公共安全利益, 或者其他严重影响。
德国在联邦层面把关键基础设施定义为以下 9 种:
1、能源;2、信息技术与通信;3、交通;4、医疗卫生;5、水利;6、食品;7、金融;8、政府部门;9、传媒与文化。
五、 英国
2016 年英国公布的国家网络安全战略(2016-2021)中对 CNI
(关键国家基础设施)做了界定,主要包括以下 5 个方面:
1、重要企业:已取得极大成功且在研发或知识产权具备很强优势的企业;
2、个人信息数据拥有者:不仅包括大规模数据的拥有者, 还包括一些弱势群体信息数据的所有者;
3、高威胁目标:如媒体;
4、顶级数字经济提供商:数字经济的试金石;
5、保险、投资、监管、专业咨询组织等:对改善网络经济领域网络安全状况有影响的组织机构。
英国对关键国家基础设施(CNI)的界定方法,打破了美国一直以来按照行业特征和部门属性划分关键信息基础设施的常规,从数字经济影响力、数据资源特性等维度,将英国关键基础设施划分为五类。特别值得注意的是,英国甚至把某些专业咨询组织或机构也纳入 CNI 的范围,前提为其对整个经济领域改善网
络安全状况有一定影响。
六、 五国对比
中国、美国、俄罗斯、德国、英国这 5 个国家基本上可以代表欧美亚三大经济体中,互联网发展最为活跃的国家。下面我们就从界定领域的角度来横向对比一下这五个国家对于关键信息基础设施政策的异同。
首先,如果不考虑某些领域的界定可能内涵十分丰富的问题, 单就各国界定的关键信息基础设施数量来看:美国最多,16 类; 中国次之,13 类;接下来是德国 9 类,俄罗斯 7 类,英国 5 类。
| 国家 | 中国 | 美国 | 俄罗斯 | 德国 | 英国 |
|---|---|---|---|---|---|
| CII 类别数量 | 13 | 16 | 7 | 9 | 5 |
五国划分的关键基础设施(CII)类别数量
值得指出的是,英国对关键信息基础设施的定义方式与众不同,既不是某一类具体的企业或机构,也不是某一种具体的基础设施,而几乎是完全抽象的、概念化的界定基础设施。
除了英国以外,中、美、俄、德四国对于关键信息基础设施的界定方式比较接近。而从关键信息基础设施的界定范围看,中国、美国和德国也极为接近。政府部门、通信和交通运输最受关注,同时被中、美、俄、德四国圈定。而中、美、德三个国家共同圈定的领域有 7 个,分别是政府部门、通信、交通运输、能源、金融、水利、医疗卫生。此外,美国和俄罗斯均将应急响应(如抗洪办)与国防系统也圈定为关键信息基础设施,值得我国借鉴。
下表给出了中、美、俄、德四国界定的关键信息基础设施对比情况。由于英国的界定方式比较特殊,未在下表中列出。
| 基础设施 | 中国 | 美国 | 俄罗斯 | 德国 |
|---|---|---|---|---|
| 政府部门 | | | | |
| 通信 | | | | |
| 交通运输 | | | | |
| 能源 | | | | |
| 金融 | | | | |
| 水利 | | | | |
| 医疗卫生 | | | | |
| 公用事业/服务 | | | ||
| 工业制造 | | | ||
| 科技/科研 | | | ||
| 食品和农业 | | | ||
| 应急响应 | | | ||
| 国防 | | | ||
| 教育 | | |||
| 社会保障 | | |||
| 重要互联网应用 | | |||
| 化学工业 | | |||
| 商业设施 | | |||
| 信息技术 | | |||
| 核设施 | | |||
| 司法 | | |||
| 传媒与文化 | |
中美俄德四国界定的关键信息基础设施对比
延伸阅读
更多内容 可以 360 全球关键信息基础设施网络安全分析报告. 进一步学习
联系我们
DB14-T 2320-2021 红外光谱法快速检测道路石油沥青品质技术规程 山西省.pdf
360 全球关键信息基础设施网络安全分析报告相关推荐
- 全球关键信息基础设施网络安全分析报告
声明 本文是学习360 全球关键信息基础设施网络安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 第三章 针对关键信息基础设施的 APT 攻击 关键信息基础设施历来 ...
- 盘点 | 全球关键信息基础设施网络安全大事件
1 委内瑞拉电网遭电磁攻击 2019年3月7日下午5点(当地时间),委内瑞拉全国23个州中的18个州发生了停电,原因是向全国提供80%电力的古里水电站遭到蓄意破坏. 9日上午,全国70%的地方恢复了 ...
- 关键信息基础设施面临的安全威胁
声明 本文是学习360 全球关键信息基础设施网络安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 第二章 关键信息基础设施面临的安全威胁 本章将主要参照国际上划分关 ...
- 山石岩读丨7大行业20个领域,关键信息基础设施的概念比你想象的还要大
任何国家的关键信息基础设施一旦遭到破坏.丧失功能或者数据泄露,都可能严重危及国家安全.国计民生和社会公共利益,因此对国家关键信息基础设施的安全保护意义重大.但是,在对关键信息基础设施进行安全保护之前, ...
- 网络安全等保定级_差异:关键信息基础设施与网络安全等级保护2.0
2019年12月3日,全国信息安全标准化技术委员会(以下简称信安标委)秘书处在北京组织召开了国家标准<信息安全技术 关键信息基础设施网络安全保护基本要求>(报批稿)(以下简称<基本要 ...
- 关键信息基础设施(RVA)安全保护要点分析
关键信息基础设施是国家的重要资产,<网络安全法>明确规定要对其实行重点保护.为落实法律要求,2017 年 7 月 10 日,国家互联网信息办公室发布了<关键信息基础设施安全保护条例( ...
- 专题·关基保护 | 国家关键信息基础设施安全保护的法治进展
保障关键信息基础设施安全是贯彻落实我国<网络安全法>的重点工作,也是<国家安全法><密码法><数据安全法><个人信息保护法>的共同法律要求. ...
- 国家涉及身份安全新规解读 | 《关键信息基础设施安全保护要求》
2022 年11 月 7 日,<信息安全技术关键信息基础设施安全保护要求>(GB/T39204-2022)国家标准发布.作为关键信息基础设施安全保护标准体系的构建基础,该标准将于 2023 ...
- 关键信息基础设施安全控制措施
<信息安全技术 关键信息基础设施安全控制措施> 概括:关键信息基础设施运营者应通过资产识别.威胁识别. 脆弱性识别.漏洞管理.已有安全措施识别和风险分析对关键信息基础设施进行风险识别:关键 ...
最新文章
- The Innovation | 直接病原学证据:无症状患者可引起COVID-19传播
- java-Java可以对方法进行序列化?
- gin gorm插入数据
- 分享20个常用的Python函数,轻松玩转Pandas!!
- java 刷新界面_利用java如何实现在删除信息后刷新页面功能
- 重学数据结构007——二叉查找树
- 鸿蒙系统能不能用了,【图片】华为鸿蒙系统的厉害之处在于 你可能非用不可 !【手机吧】_百度贴吧...
- 电商商家可以用到的小工具和素材资源网站
- [debug+Python] 复制字典不能直接用 ‘=’,要用dict_name.copy()
- isinstance / issubclass / type, 方法和函数, 反射
- freemarker在线编辑
- 使用scroll实现Elasticsearch数据遍历和深度分页
- nodejs 延时函数
- Android智能聊天机器人
- ThinkPad E420/E520 Win10 开机慢的问题
- java基础猜拳游戏
- CSS笔记 —— 美化网页
- 20220624 登录和代理ip
- QFileInfo截取文件后缀
- 云服务器ecs是vps还是虚拟主机,云服务器ecs是vps还是虚拟主机