《网络安全技术 关键信息基础设施边界确定方法.docx》由会员分享,可在线阅读,更多相关《网络安全技术 关键信息基础设施边界确定方法.docx(12页珍藏版)》请在优知文库上搜索。
1、ICS35.030CCS1.80中华人民共和G昌I家标准GB/TXXXXX-XXXX网络安全技术关键信息基础设施边界确定方法CybersecuritytechnologyMethodofboundaryidentificationforcriticalinformationinfrastructure(征求意见稿)(本稿完成日期:2024年5月IlHXXXX-XX-XX实施在Ii交反”见时,请将您知道的相关安利即!支持住文件一并附上.XXXX-XX-XX发布国家市场监督管理总局国家标准化管理委员会trHI范围12规范性引用文件13术语和定义14概述24.1关堆佑息基础设施类型21.2边界确定原
2、理4 .3极限情况下要素识别原则5 .4边界确定流程5基本伯息械理6关键信息册础设施功能识别7关键业务链与键业务息别7. 1关键业务於识别7.2关堆业务信息识别58关键业务信息流识别和资产识别58. 1一般识别步骤58.2提供信息化共性服务的基础通信网络的识别步骤69关墟信息基础设施要索识别69. 1资产归集610. 2要素归集610关键信息基础设施边界确定7附录A(资料性)关犍信息基础设施边界记录模板8参考文献12IA-刖百本文件按照GB,T1.120204标准化工作导则第1部分:标准化文件的结构和起隼规则8的规定起草。本文件Hl全国网络安全标准化技术委员会(sACrrc260提出并仃口.本
3、文件主要起以单位:国家信息技术安全研究中心、国家能源局信.&中心、中国交通通佶信息中心、中国移动通信集团有限公司、中国电信股份有限公司、岷通数字科技有限公司、脚讯公计算(北京)有限货任公司、中国电子技术标准化研究院、国家计算机网络应急技术处理出调中心、国家工业信息安全发展研究中心、公安部第三研咒所、中国M络安全审查认证和市场监管大数据中心.中国信息安全测评中心、中国信息通信研窕院、阿里云计算有限公司、华为技术有限公司、浙江的及小微金融服务集团股份彳i限公司、阿里巴巴(北京)软件服务有限公司、中国互联网络信息中心、国家能源集团神华信息技术有限公司、中国科学院信息工程研究所、中电长城网际系统应用有
4、限公司、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、北京百度网讯科技有限公司、国家信息中心、杭州安恒信息技术股份有RA公司、中国电力科学研究院有限公司等.本文件主要起用人:见晓雷、秦小伟、胡容桂、冯燕洋、胡红升、姚相振、孙晓丽、杜渐、王惠莅、任Jl红、闵京华、袁龄.张滨、谷红勋、张建荣、龚斌、杨普提、杜红亮、上官晓丽、吴桐.甘杰夫、孟楠、刘菊邱勤、张哲宇、王东明、陈亮、姚健康、白晓媛宋铮、孙勇、戴明、邵西、郭永振、邸Iffiifi.周亚超、陈雪渡、王盈、肖红阳、张家箕、佛冬旭、郭建领、惠景两等.Il网络安全技术关键信息基础设施边界确定方法1范围木文件给出了关键信息拈酬设施边界
5、确定的方法,包括肥木信息梳理、关键信息状础设施功能识别、关键业务琏与关键业务信息识别、关键业务信息流识别和资产识别、关键信息基础设能要素识别和边界确定的流程、步骤等内容.本文件适用于指导关键信息基础设脩运营者确定关键信息基础设施边界.也可为关逡信恩基础设施安全保护的其他相关方使用,2规葩性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注口期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.GBfT250692022佰息安全技术术i杵GB.T39204-2022信息安全技术关键信息法础设施安全保护要求3术语
6、和定义GBT250692022、GBjT39222022界定的以及下列术语和定义适用于本文件。1.1关该信息基础设施criticalinformationinfrastructure公共通俗和信息服务、能源、交迪、水利、金融、公共服芬、电子政芬、国防科技工业等曳要行业和领域,以及其他旦遭到破坏、丧失功能或者数据泄露,可能产Hi危杏国家安全、国计民生、公共利益的重要网络设施、信息系统等。侏双:GBT39204-2022.3.1|1.2关汲信息基础设施要素criticalinfrnutio11infruslructurcelement支掠关犍业务的网络设施和信息系统的软便件资产及其描述信息.简称,
7、要素.注I描述信息包括但不眼于该类网络设施和信.电系统软便件货产的功傕、部器信思、业务关系等.1.3关犍信息基础设械边界criticalinfornutioninfrastructureboundary所有关圾信息基础设施要索的集合.3.4关破业务信息criticalbusinessink11atio11关犍业务安全稳定运行不可或缺的电子信息.关睚业务信息流CriliCaIbusinessinf11nationIlow关犍业务信息从产生到终止,在网络设施.信息系统中的流动轨迹.注I轨迹企拓信忍液通过节点和流动方向等.1.6极限情况extremeconditions遭遇到大燃模、有组织、持续的网
8、络攻击或产Ig自然灾害等.对网络运行环境、N络运行秩序产生巨大、6变坏性影响的情况,包括但不限于通伯设施、电力、机房等环境因素遭到破坏对网络设施、伯息系统造成影响的情况.1.7组件component根据结构或功能划分的系统组成部分,仍然能实现独立的子功能,来源:ISO208981:2020,3.!41.8关俄业务流程criticalbusinessprocess为了实现关键业务所完成的一系列活动.1.9关键业务tcriticalbusinesschain组织的一个或多个相互关联的业务何成的关键业务流程.来源:GBJT39204-2022,334概述41关键信息基础设施类型关堆信息基础设施根据关
9、键业务类型,分为提供伯恩化共性服务的关键信息基础设施和高度依梭信息化业务的关键信息法础设施.其中,提供信息化共性服务的关键信息必础设施,是在经济社会运行中发挥重要支掠作用、提供人民生产生活不可或缺的算力资源供给、重要数据处理和基础网络通信等服务的关犍倍感基础设施,如云平分、数据中心、基础通信网络等:离度依赖信息化业务的关搂信息基础设施,是具备l度信息化、自动化和网络化特点的关犍信息基础设施,如监控系统、交易系统、控制系统等.关键信息基础设施在形态构成上可以是单独的网络设施、信息系统,也可以是网络设施.信息系统的集合.如网络安全等级保护第三级(含以上)的网络设施、信息系统.4. 2边界确定原理关
10、键信息基础设施边界确定(以下简称“边界确定”)基于信息流方式,将支掾关进业务的网络设施和信息系统的蚊硬件资产等识别出来.经过不可或缺性判定,理清功能、部署信息、业务关系等相关描述信息,弁对同一软硬件资产等进行归集形成关键信理基础设施要素,由所有关键信息基础设施要素的集合形成关键信息茶础设施边界,针对提供信息化共性眼务的聪础通信网络,由网元(在网络管理中Ai小设符或服务单元)、网络功能及其依籁的资源池识别软硬件资产.注1:“不可或缺.判断是通过分析支抵关域业务的网络设施和住总系统的功能、Jt务薇程、业务值息、资产等对关犍业务功能、性健的彬响进行到新.注2关键业务信息滋流经的“灾生系统二一旦屎先.
11、公身及系统功能昆失.性能降低,则纳入关陡信息及:出施变家:关批业务信息流未流经的“灾Jt系统娟不纳入关谯信息基岫设施瞠术,5. 3极限情况下要素识别原则为保障极限情况下关键业务挣续运行.对关犍信息基础设脩要素组成进行显小化识别.根据保护工作部门要求,按照极限情况下保障最小化的原则划定边界,最小化要素识别原则如下:a)最小化运行原则:保证关键业务持续运行提供联本服务所需要的功能、性能,b)敢塔数据保护原则:保证关键信总基础设施中重要数据、核心数据及其配置信息、控制数据的安全性.c)最小化资产原则:保证关键业务持续运行的软硬件资产集合的最小化,6. 4边界确定流程边界确定流程主要包括准符阶段、要去
12、识别和边界确定三个环节.a)准备阶段,包括:1)根据关键业务确定业务莅困;2)组建边界确定团队(包括但不限于专门网络安全管理机构人员、业务运行部门人员、运维人员、开发人员等):3)信息收集和分析:4)制定边界确定工作方案(包括但不限于业务范附、人员团队、工作内容、时间安排、风险控制、资料般得等).b)要素识别阶段,包括:I)基本信总梳理:2)关键信息基础设施功能识别:3)关键业务链及其关键业务信息识别;4)关城业务信息流识别和资产识别:5)美谊信息基础设施要索识别.c)边界确定,此环节在关键信息舰础设施签家法础上确定边界。梳理、沟通和分析、过程文档管理货穿整个边界确定过理,实”流程如图I所示.
13、准备阶坦基本信息枕理楂理沟通并分析关施信熊,基磁设施功蛭谀别关诞业秀链与关城业务信息识别关被业务信息流识别和费产识别Z1.JV关BtG总基此设拄iRJ图I关融信息基础设施边界确定实施流程边界确定_1.作是持续、动态的,当关键信总基础谀脩所期的网络设施和信息系统发生改建、犷建、所彳i人变更等较大变化时或关键信息基础设施发生重大调整时,苏按要求或新开展识别工作,确保关键信息基础设柩边界的时效性.5基本信息梳理关键信息基础设旗运营者(以下简称运首君”)依据本行业、本领域保护工作部门认定的关键业务.梳理基本信息:a)基本情况械理.运营者信息,包括运苕音单位名称、单位地址、总位性质、单位负贵人伯息、专门
14、网络安全管理机构负i人及联系人信息等相关信息;关键信息恭础设施信息,包括关键信息基础设施名称,所属行业域域,本单位关键业务等:b)业务运行信息桅理.包括常态化运行信息(关键业务稳定可辙运行情况信息)和极限情况运行估息(极限情况下关说业务持续运行情况信息,如耀忐地域、用户规模、业分数据怙息、资产现模、产奴产值、业务规模等,可根据行业、领域实际情况选取:厘清本单位关键业务依敕的上下游业务信息.其中,上游业务是为关键业务输入的业务,下游业务是接受关键业务输出的业务:梳理本单位关次业务为其他行业提供极务的情况:如果涉及其他运营者.其他运营者单位名称、堆位地址等:c)数据资产信息标理,包括数据类型、数据
15、规模、安全性新求、Hi要程吱、所M关键业务等;d)提供租用网络设施的运营者单位名称、单位地址等.6关键信息基础设施功能识别识别步骤如卜:a)根据关犍业务,结合需求分析设计及建设等文档,识别支撑关键业务运行的网络设施、信息系统以及网络设施、信息系统的功能:b)对支撑关键业务运行的网络设施、信息系统功能进行细分,直到该功能各组成部分能第独立部署为止:判断网络设诙、信息系统的功能或各组成部分支掠关犍业务运行的不可或缺性,确定关键侑息基础设施功能,包括常态化运行和极限情况运行的功能组成.7关键业务链与关键业务信息识别1.1 关维业务曾识别识别步骤如下:a)根据需求、设计(如概要设计、详细设计)等文档的功能设计、业务各环节的执行顺序,梳理出业务流程:b)根据关键信息族础设施功能,结合业务流程,识别出关键信息基础设施功能殂成部分之间的流程及其执行顺序;c)评估关键信息基础设施功能或祖成部分之间的业务流程对其后序关键信息基础设牖功能的影响.造成后序关犍信息基础设施功
免费区 