以风险管理思想构建关键信息基础设施风险评估重器
在网络化时代的背景下,针对关键信息基础设施信息系统的攻击日益严重。
国际背景
国际上,2007年爱沙尼亚国会、政府部门及银行遭受“僵尸网络”攻击,涉及位于178个国家的大约8.5万台电脑,其中绝大多数电脑是在被黑客入侵和操纵的情况下,毫不知情地情况下无辜的卷入了有关攻击;
2010年伊朗政府遭受“震网”病毒的攻击,专门定向攻击真实世界中基础(能源)设施;
2014年在乌克兰政府遭受的网络攻击;
2017年土耳其伊斯坦布尔和其他地区由于地下电力线路和国外网络攻击造成大面积停电;2014年4月9日爆发的OpenSSL心脏出血(Heart bleed)漏洞及2014年8月31日,匿名黑客利用苹果iCloud上的云服务漏洞发动网络攻击导致用户个人信息的泄露;
2017年美国多所高校都遭遇了重大的信息泄露和学术信息在线暴露。据360威胁情报中心对2017年全球关键信息基础设施重大网络安全事件的公开信息监测数据分析,在各类不同的关键信息基础设施中,金融、交通、能源等领域最容易遭受网络攻击,其中金融(33.1%)、医疗卫生(12.7%)、交通(9.9%)、工业(6.3%)等领域信息基础设施发生的重大网络安全事件最多。金融资产盗窃所占比例最高,占31.7%,其次是破坏型攻击(24.6%)、敏感信息泄露(18.3%),三者之和约占总数的3/4。
国内背景
国内上,我国一直是网络攻击的受害国,每月有1万多个网站被篡改,80%的政府网站遭受过攻击。针对关键信息基础设施的网络攻击已经对我国国家安全、社会稳定、经济的发展及公民个人信息保护产生巨大危害。
在2018全国网络安全和信息化工作会议上,主席系统阐释了网络强国战略思想,为加快推进网络强国建设明确了前进方向,提供了根本遵循。主席在讲话中特别强调:积极发展网络安全产业,做到关口前移,防患于未然。要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。
与此同时,中央网信办发布的《关键信息基础设施安全保护条例(征求意见稿)》中也有了清晰的脉络和明确的答案。
结果导向
由于来自外部和内部的威胁越来越大,负责关键基础设施的组织需要统一及可重复利用的方法来识别、评估和管理网络安全风险,实现快速风险告知。即以风险管理思想对关键信息基础设施保护工作进行科学、先进的统筹设计。关键信息基础设施风险评估是网信工作中不可或缺的一部分,需要引起足够的重视及技术的支撑,构建一套完整、高效、全面的关键信息基础设施风险评估重器。
关键信息基础设施风险评估重器
一、依托资产重要性的逻辑起点,开展关键信息基础设施风险评估
有效、完整的识别关键信息基础设施,是开展其风险评估与保护的逻辑起点,世平信息依托风险管理思想,遵循《中华人民共和国网络安全法》的要求,通过“资产价值知识库”,作为评判关键信息基础设施”资产重要性”的标准,既符合国际通行惯例,同时积极响应国家重点提倡的“依法治国”的理念,在关键信息基础设施领域,实现有法可依。
二、构建智慧知识库大脑(智库),指导关键信息基础设施运营者开展风险评估
维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,没有意识到风险是最大风险,无法识别风险的后果只能是“谁进来了不知道、是敌是友不知道、干了什么不知道”。
因此我们要服务并帮助关键信息基础实施的运营者,构建并依托风险评估平台的智慧知识库,以风险管理来统筹对关键信息基础设施的重要保护与风险评估,构建流程化、智慧化、自动化的风险管控评估体系。有效指导各行各业重点行业关键信息基础设施的运营者(例如:金融、能源、政府、电力、水利、教育等)开展自身关键信息基础设施的风险评估工作,构建一套完整的风险管理流程,培养关键信息基础设施运营者的先导意识,确保其能够快速、高效的识别风险、评估风险。从而实现“上下一体”,有效开展自身关键信息基础设施风险评估,同时根据形势的需要,不断更新增加智库体系。
三、打造全天候网络安全态势感知体系的基石,全面体检关键信息基础设施
获取不同类型数据,根据不同行业要求,及时输出关键信息基础设施信息的汇总、分析研判和通报数据,通过对数据进行必要的清洗与梳理后,方便数据后续被网络安全态势感知平台所利用。
四、报告接口无缝对接,兼容多工具结果导入
当前按照等级保护2.0和《中华人民共和国网络安全法》的要求,基础的支撑工具是必不可少的,然而由于当前不同工具、不同形式的平台所展现的最终报告形式不一样,导致对检查结果不满意、不重视,检查结果无法引起足够的作用。为此需要构建一套能够无缝对接不同工具报告的平台,依据用户原有工具利旧的原则,兼容多工具平台检查报告结果的导入,实现无缝的对接。
当前世平关键信息基础设施风险评估平台可以兼容两大模块,17款工具,主动检查模块包括:漏洞扫描、敏感信息安全评估、数据库安全检查等,被动检查模块包括:APT检查、敏感信息防泄漏等。
五、融入专家智慧,使各级风险评估人员拥有专业技能
平台具备高可读性的风险评估报告,报告结果一目了然,并可同时在平台界面快速修改,确保检查结果与实际相符,实现风险评估一步到位。
六、关键信息基础设施风险与评估可视化
关键信息基础设施风险评估关键在于风险评估结果可给关键信息基础设施的运营者提供必要的帮助。一次成功的风险评估能明确告知用户:“关键信息基础存在哪方面的风险需要改进?”,“关键信息基础设施跟其他同类相比怎么样?”,“如何做可以提升风险评估得分?”等。利用关键信息基础设施风险评估,实现了风险评估结果可视化展现,真正意义上实现了服务并帮助关键信息基础实施。
关键信息基础设施风险评估应用对象
2017年6月1日实施的《中华人民共和国网络安全法》第三十八条明确规定:“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估”,这是关键信息基础设施风险评估的关键应用领域及对象。
主席强调,通过识别风险、评估风险,我们才能“有本清清楚楚的帐”—即“哪些方面必须重兵把守、严防死守,哪些方面由地方保障、适度防范,哪些方面由市场力量保护”。
坚持以风险管理的思想,突破及超越根据等级建设“底线式、静态式”的被动安全能力评估的固化模式,在风险的动态博弈中赢得主动,达到实质性保护关键信息基础实施的效果,这是关键信息基础风险评估的必由之路,也是关键信息基础设施风险评估重器构建的最终目的。
欢迎各级机构及企事业单位报名试用
详询世平热线:400 100 6790
或咨询世平QQ客服:3256718569
杭州世平信息科技有限公司
世平信息专注于智能化数据管理,基于内容的识别、检查和审计,从针对数据本身的防护需求角度出发,为各行业用户提供业务数据的梳理、分析、价值分享和安全管理方案。凭借近年来在数据库保密检查、数据泄漏防护、敏感信息风险评估和数据脱敏领域的创新与突破,世平信息获得了来自各个行业领域和机构的认可。
以风险管理思想构建关键信息基础设施风险评估重器相关推荐
- 专题·关基保护 | 国家关键信息基础设施安全保护的法治进展
保障关键信息基础设施安全是贯彻落实我国<网络安全法>的重点工作,也是<国家安全法><密码法><数据安全法><个人信息保护法>的共同法律要求. ...
- 关键信息基础设施(RVA)安全保护要点分析
关键信息基础设施是国家的重要资产,<网络安全法>明确规定要对其实行重点保护.为落实法律要求,2017 年 7 月 10 日,国家互联网信息办公室发布了<关键信息基础设施安全保护条例( ...
- 《信息安全技术 关键信息基础设施安全保护要求》国家标准在京发布
近日,市场监管总局标准技术司.中央网信办网络安全协调局.公安部网络安全保卫局在京联合召开<信息安全技术 关键信息基础设施安全保护要求>(GB/T 39204-2022)国家标准发布会. 关 ...
- 网络安全通识全解|第6期 一文读懂关键信息基础设施
01 什么是关键信息基础设施? 关键信息基础设施是指那些一旦遭到破坏.丧失功能或者数据泄露将对国家安全.国计民生.公共利益造成严重危害的网络设施和信息系统. 02 关键信息基础设施包括哪些? (1)网 ...
- CII-关键信息基础设施风险评估必要性
随着信息技术广泛应用和网络空间兴起发展,国家高度重视网络空间安全,陆续出台了相关战略.规划.立法以及实施方案等,并开始加大对关键信息基础设施的保护力度. 随着我国网络强国战略的深化和实施,关键信息基础 ...
- 《关键信息基础设施保护条例》已上报国务院有望年内出台
2019北京网络安全大会8月21日在北京国家会议中心开幕,在大会上了解到由中央网信办和公安部共同制定的<关键信息基础设施保护条例>已上报国务院,有望年内正式出台. 1.什么是关键信息基础设 ...
- 信息安全技术 关键信息基础设施安全保护要求
信息安全技术 关键信息基础设施安全保护要求 2022年10月12日,国家市场监督管理总局(国家标准化管理委员会)批准GB/T 39204-2022<信息安全技术 关键信息基础设施安全保护要求&g ...
- 信息安全技术 关键信息基础设施安全保护要求 2022版附下载地址
信息安全技术 关键信息基础设施安全保护要求 2022年10月12日,国家市场监督管理总局(国家标准化管理委员会)批准GB/T 39204-2022<信息安全技术 关键信息基础设施安全保护要求&g ...
- 关键信息基础设施保护条例_韩永刚:内生安全助力关键信息基础设施保护
10月29日,"2019中国网络安全等级保护和关键信息基础设施保护大会"在无锡召开. "新一代数字化转型信息化技术的发展引发了网络安全的变革,面对有组织的网络攻击,没有攻 ...
- 国家涉及身份安全新规解读 | 《关键信息基础设施安全保护要求》
2022 年11 月 7 日,<信息安全技术关键信息基础设施安全保护要求>(GB/T39204-2022)国家标准发布.作为关键信息基础设施安全保护标准体系的构建基础,该标准将于 2023 ...
最新文章
- pytorch与keras_Keras vs PyTorch:如何通过迁移学习区分外星人与掠食者
- Android 国际化问题
- 解决uni-app官方弹框popup关闭不了问题;/pages/extUI/popup/popup;uni-app弹框popup打开调用事件。unin-app弹框封装;
- 歌谣带你看java面试题
- Angular Style
- django配置随时执行的脚本,使用运行时的manage环境执行程序
- python小练——下载指定url中的图片
- 5复数与复变函数(五)
- 问题三十四:怎么用ray tracing画任意长方体(generalized box)
- 编写安装配置DNS服务脚本
- 安装centos7 Minimal后 开启远程SSH
- 思科模拟器5506防火墙配置_企业办公网络配置不求人之二
- iMeta | ggClusterNet微生物网络分析和可视化保姆级教程
- 星球矿石盲盒流量主小程序
- 提高数据存储效率的七个技巧
- 网易 Duilib:功能全面的开源桌面 UI 开发框架
- 生物冰箱智能锁有哪些功能
- 特性(Attribute)
- 老罗锤子手机(Smartisan T1)的一些感想
- 《刷新》读书笔记2-看萨提亚治下的微软文化变革