網(wǎng)絡技術的快速發(fā)展和信息化進程的加速推進,網(wǎng)絡安全已成為國家安全和社會穩(wěn)定的重要組成部分。其中,關鍵信息基礎設施作為國家的重要支撐和基礎,承載著大量關鍵信息和數(shù)據(jù),其安全穩(wěn)定對國家經(jīng)濟、社會運行和人民生活具有重要影響。
為更好地保障能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等關鍵信息基礎設施的網(wǎng)絡安全,明確關鍵基礎設施邊界的確定方法,進一步完善相關技術標準和規(guī)范,全國網(wǎng)絡安全標準化技術委員會秘書處印發(fā)《網(wǎng)絡安全技術 關鍵信息基礎設施邊界確定方法(征求意見稿)》(以下簡稱《方法》)。
《辦法》給出了關鍵信息基礎設施邊界確定的方法,包括基本信息梳理、關鍵信息基礎設施功能識別、關鍵業(yè)務鏈與關鍵業(yè)務信息識別、關鍵業(yè)務信息流識別和資產(chǎn)識別、關鍵信息基礎設施要素識別和邊界確定的流程、步驟等內(nèi)容,適用于指導關鍵信息基礎設施運營者確定關鍵信息基礎設施邊界,也可為關鍵信息基礎設施安全保護的其他相關方使用。
《辦法》提出,關鍵信息基礎設施根據(jù)關鍵業(yè)務類型,分為提供信息化共性服務的關鍵信息基礎設施和高度依賴信息化業(yè)務的關鍵信息基礎設施。其中,提供信息化共性服務的關鍵信息基礎設施,是在經(jīng)濟社會運行中發(fā)揮重要支撐作用、提供人民生產(chǎn)生活不可或缺的算力資源供給、重要數(shù)據(jù)處理和基礎網(wǎng)絡通信等服務的關鍵信息基礎設施,如云平臺、數(shù)據(jù)中心、基礎通信網(wǎng)絡等;高度依賴信息化業(yè)務的關鍵信息基礎設施,是具備高度信息化、自動化和網(wǎng)絡化特點的關鍵信息基礎設施,如監(jiān)控系統(tǒng)、交易系統(tǒng)、控制系統(tǒng)等。
《辦法》強調(diào),關鍵信息基礎設施邊界確定基于信息流方式,將支撐關鍵業(yè)務的網(wǎng)絡設施和信息系統(tǒng)的軟硬件資產(chǎn)等識別出來,經(jīng)過不可或缺性判定,理清功能、部署信息、業(yè)務關系等相關描述信息,并對同一軟硬件資產(chǎn)等進行歸集形成關鍵信息基礎設施要素,由所有關鍵信息基礎設施要素的集合形成關鍵信息基礎設施邊界。針對提供信息化共性服務的基礎通信網(wǎng)絡,由網(wǎng)元(在網(wǎng)絡管理中最小設備或服務單元)、網(wǎng)絡功能及其依賴的資源池識別軟硬件資產(chǎn)。
《辦法》指出,關鍵信息基礎設施運營商應當依據(jù)本行業(yè)、本領域保護工作部門認定的關鍵業(yè)務,對其內(nèi)部工作盡心詳細梳理。其中應當主要對包括運營商信息,關鍵信息基礎設施信息等基本情況信息、常態(tài)化運營信息,本單位關鍵業(yè)務依賴的上下游業(yè)務信息等業(yè)務運行信息、數(shù)據(jù)資產(chǎn)信息以及租用網(wǎng)絡設施的運營者單位名稱等信息進行詳細梳理。
同時、《辦法》要求相關機構和人員應當及時對其關鍵信息基礎設施功能、關鍵業(yè)務鏈與關鍵業(yè)務信息、關鍵業(yè)務信息信息流和資產(chǎn)、關鍵信息基礎設施要素等數(shù)據(jù)資源進行識別。
《辦法》強調(diào),關鍵信息基礎設施邊界是由基本信息、要素信息以及識別時間組成,通常以文件形式描述。其中關鍵信息基礎設施邊界基本信息包括運營者信息、關鍵信息基礎設施信息、數(shù)據(jù)資產(chǎn)信息、租用網(wǎng)絡設施信息等;關鍵信息基礎設施要素信息包括要素總計、對應關系、關鍵業(yè)務鏈、系統(tǒng)功能架構、網(wǎng)絡拓撲、關鍵業(yè)務信息、關鍵業(yè)務信息流、要素清單等信息;識別時間是文件完成時間。