落实关基安全保护:以保护关键业务为目标
2023年5月1日,《信息安全技术 关键信息基础设施安全保护要求》正式实施,作为我国首个发布的关基安全保护标准,标志着关基安全保护工作进入了新的历史阶段,对我国关基安全保护具有重要指导意义。
早前中国互联网协会青年专家秦小伟在一次论坛中,围绕关键信息基础设施边界识别方法发表观点,他提出关键业务是识别关键信息基础设施边界的出发点,也是客观规律发展的必然结果,信息基础设施之所以重要,不是因为组成关基的网络设施、信息系统有多么重要、多么特别,而是因为这些网络设施、信息系统所支撑的关键业务非常重要。
例如,政务网中关键信息基础设施包含各种网络设施、信息系统,网络设施或者信息系统出现异常,不代表业务运行停止,但是业务受到干扰,即使网络、信息系统显示正常,业务也无法正常运行,影响业务运行的并非是网络攻击,同理关基保护的核心并非是其载体,而是其运行的核心业务,所以,网络设施、信息系统的重要性是由其所承载的关键业务的重要性决定的,脱离业务单独讨论网络设施、信息系统的重要性是不科学的。
随着互联网和计算技术的快速发展,信息化影响着业务的方方面面,为了保障业务安全,“信息系统”就变得越来越大,甚至将一个单位、一个业务定义成为一个信息系统进行整体保护。此外,业务上下游之间开始相互依赖、相互支撑,不同业务主体之间彼此交叉,跨行业、跨领域的互联互通已经成为普遍现象,保障业务的安全不再是某个运营者或者某个行业内部的职责,业务链上的任一环节发生安全事件都会让其它环节上的安全措施不堪一击,最终都会影响业务的安全运营。
所以,厘清关键业务与网络设施、信息系统的支撑、依赖关系,将关键业务安全稳定运行不可或缺的网络设施、信息系统识别出来,实施一体化重点保护,已成为适应新网络安全形式的必然需求。因此,《关基保护要求》强调关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系。
关键信息基础设施是国家网络安全保护的重中之重,直接关系到国家安全、国计民生和公共利益,识别和确定关键信息基础设施边界,是开展关键信息基础设施安全保护工作的前提和基础,如果关基边界尚没有明确,开展关基保护工作将会缺乏针对性和科学性。
关基边界识别,是在行业主管部门认定关键业务之后,由关基运营者对关键业务进一步分析、梳理,将关键业务持续、稳定运行不可或缺的网络设施、信息系统识别出来,为保护、审查、应急处置等工作提供依据。关键业务与识别关键信息基础设施边界之间的关系是什么,关键业务与关基边界识别其他要素有怎样的联系,愈加成为关注的焦点。
立
关键信息基础设施边界以关键业务为基础,由识别方法和关键信息基础设施元素(关键信息基础设施元素:对构成关键信息基础设施的网络设施、信息系统的统称)构成,是识别关键信息基础设施元素的分界线。
在关基运营者的所有信息基础设施中,有一些网络设施、信息系统对保障关键业务持续、稳定运行是非常关键的,有些仅仅是重要的,还有一些是不重要的,开展关基边界识别就是将关键业务持续、稳定运行所必须的网络设施、信息系统同其它信息基础设施区分开来。关基边界反映关基元素与关键业务之间的支撑、依赖关系以及关基元素的分布、部署情况,是开展保护、审查、应急处置等工作的重要依据。
关键业务、网络设施、信息系统、关键业务信息、关键业务信息流、基础运行环境,是识别关基边界需要考虑的六个要素。其中,关键业务是核心要素,是开展关基边界识别的基础,其它要素都是围绕着关键业务产生的,即:
1、网络设施、信息系统属于关键业务的信息化部分,为关键业务提供不可或缺的信息化支撑;
2、关键业务信息是关键业务正常运行不可或缺的信息资源,也是网络设施、信息系统实现对关键业务信息化支撑的桥梁和纽带,网络设施、信息系统按照业务运行逻辑和功能划分对关键业务信息进行设计、采集、整合、处理、呈现、应用、存储、销毁等操作,支撑关键业务自动化、智能化、高效运行;
3、关键业务信息流是关键业务信息在整个生存周期内的流动轨迹,通过梳理关键业务信息流,获得对关键业务提供信息化支撑的网络设施、信息系统;
4、基础运行环境指的是为关键业务提供基本运行保障的安全设备、安全措施、规章制度以及机械、厂房、水、电等。
识别和确定关键信息基础设施边界,是开展关基安全保护工作的前提,而关键业务作为识别关键信息基础设施边界的出发点,是开展关基边界识别的基础和核心,识别关基边界的各要素均围绕关键业务产生,强化落实关基安全保护,以保护关键业务为目标!
