工业自动化
网络安全等级保护:什么是关键信息基础设施

发布于:2023-12-23 01:57:12  来源:工业自动化  点击量:14次

  :国家关键基础设施是指对美国而言重要的实际或虚拟的系统和资产,此类系统和资产的缺乏或破坏将对国家安全、国家经济安全、国家公共健康和安全或以上事项的任何组合产生削弱影响。

  美国在2009年《国家基础设施保护计划》中定义了国家关键信息基础设施:通信和信息系统,以及这些系统中的信息数据,其中通信和信息系统由对各类型数据来进行处理、储存和通信的软硬件组成,其包括计算机信息系统、控制管理系统和网络。

  2013年2月,奥巴马政府发布的第21号总统令《提高关键基础设施的安全性和恢复力》确定了其范围,其范围确定了17类关键基础设施部门,包括化学、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、运输系统、水及污水处理系统。

  国际上对关键信息基础设施(CII) 的定义是:维系全球或国家的关键基础设施服务持续运转的基础网络、重要信息系统、信息数据等,是确保一国关键基础设施服务得以持续运转的不可或缺的要素,在很大程度上由信息和电信部门组成,还包括电信、计算机/软件、互联网、卫星、光纤等成分。这个术语还被用来统称相互连接的计算机、网络及在其上传送的关键信息流。

  国际电信联盟的定义是:国家关键信息基础设施是指支撑物理国家关键基础设施的信息系统。

  另外,欧盟方面有关关键信息基础设施保护,发布了NIS指令,从了解的资料看NIS指令核心保护关键信息基础设施。

  关键信息基础设施这个概念中央第一次正式提出,是2014年2月27日召开的中央网络安全和信息化领导小组第一次会议,习指示,“要抓紧制定互联网内容信息管理、国家关键信息基础设施保护等方面的专项法规,解决工作急需”,随后下发的文件中提到,要建设网络强国,要有良好的信息基础设施,形成实力丰沛雄厚的信息经济,要完善关键信息基础设施保护等法律和法规等。

  我们看到现有材料是,在网络安全等级保护制度在建立过程中,公安部和有关部门研究、借鉴了美国等西方国家保护关键信息基础设施的经验和做法。结合我国国情,研究认为:关键信息基础设施是指关系国家安全、国计民生的基础信息网络、重要信息系统、大数据和大型公共服务平台。电信网、广电网、互联网、移动互联网、物联网、大型业务专网等重要网络设施,重要行业部门的核心业务系统、卫星通信系统、工业控制管理系统、重点网站等重要信息系统,大型云计算中心、云服务平台、大数据中心等大型服务设施和大数据,涵盖在我国等级保护管理对象的范围内。

  《网络安全法》第三十一条是这样描述:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

  我们知道,关键信息基础设施要求在等级保护的基础上实行重点保护。如何理解这个重点保护呢?确定关键信息基础设施,不是随意确定的 应当在第三级(含)以上网络中确定关键信息基础设施, 要落实公安机关、保密部门、密码部门的保卫、保护、监管责任,落实网络运营者和行业主管部门的主体责任等。在确定范围这个事情上,你能够理解关键信息基础设施是第三级以上网络的一个子集,而且是一个重点子集。

  我们若要想对关键信息基础设施的保护有更多的了解,可以借鉴的材料有 《关键信息基础设施安全保护条例(征求意见稿)》等文件,宣贯工作已经举办过多次,相关国家标准如《信息安全技术 关键信息基础设施网络安全保护基础要求》《信息安全技术 关键信息基础设施安全保障指标体系》《信息安全技术 关键信息基础设施安全控制措施》等处于征求意见稿阶段,尚在制定中。