协同联防:以信息共享为基础,积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。与国家有关平台对接,实现协同联动和数据共享,能够做到统一指挥、快速调度,实现关基安全保护跨部门、跨行业、跨地域的整体防控和联防联控。
3《要求》六个活动详细解读
3.1 分析识别
《要求》中对分析识别的定义如下:分析识别活动指围绕关键信息基础设施(CII)承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。同时,在对本方面的业务识别、资产识别、风险识别和重大变更的具体安全要求中可以发现,识别关键业务和关键业务链是开展关基保护工作的前提。针对于本项内容,长扬的理解为以下四点:
3.1.1 关键信息基础设施和关键业务链
关键信息基础设施(简称CII):是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业筹重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全国计民生、公共利益的重要网络设施、信息系统等。
关键业务链(Critical Business Chain简称CBC):组织的一个或多个相互关联的业务构成的关键业务流程。
3.1.2 关于分析识别中CII要素识别梳理的要点
关键信息基础设施(CII)要素识别是指将关键业务持续、稳定运行不可或缺的资产(一般由软硬件设备、组件、信息资源等组成的,能够按照一定规则独立处理信息的功能单元)从CII运营者的所有资产中识别出来,以便重点保护。(CII)要素识别包括四个部分:(1)关键业务基础情况梳理,(2)关键业务信息化情况梳理,(3)关键业务信息(CBI)梳理,(4)CII要素确定。
(1)关键业务基础情况梳理包括基本架构梳理、管理模式梳理、运行框架梳理、业务特征梳理、基础情况描述。
(2)关键业务信息化情况梳理包括业务模块信息化梳理、功能模块信息化梳理、基础运行环境信息化梳理、信息化范围描述。
(3)关键业务信息梳理包括类别梳理、功能梳理、生存周期梳理、关键业务信息描述。
(4)关键信息基础设施要素确定包括要素梳理、要素归集、要素重要性评估、要素清单、业务关系确定、网络位置确定、物理位置确定、管理关系确定、信息记录。基本流程图如下所示:
图 3 CII要素识别流程图
3.1.3 关于分析识别中进行风险评估和风险识别的要点
《要求》中提出风险识别应参照GB/T 20984等标准,对关键业务链开展安全风险分析,识别关键环节的威胁、脆弱性,并形成安全风险报告。GB/T 20984,即2022年4月15日新发布的《信息安全技术 信息安全风险评估方法》GB/T 20984-2022,并替代原《信息安全技术 信息安全风险评估规范》GB/T 20984-2007成为新的信息安全风险评估工作实施指导标准。