《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > “網絡安全等級保護”與 “關鍵信息基礎設施保護”的關系

“網絡安全等級保護”與 “關鍵信息基礎設施保護”的關系

2021-01-22
作者:山志
來源:e安在線

  公安部于2020年7月研究制定了公網安〔2020〕1960號《貫徹落實網絡安全等保制度和關保制度的指導意見》(下稱“指導意見”),明確網絡安全工作目標:

  網絡安全等級保護制度深入貫徹實施;

  關鍵信息基礎設施安全保護制度建立并實施;

  網絡安全監(jiān)測預警和應急處置能力顯著提升;

  網絡安全綜合防控體系基本建成。

  深入貫徹落實網絡安全等級保護(簡稱“等?!保┕ぷ鳌⒎e極推進關鍵信息基礎設施保護(簡稱“關?!保┕ぷ鏖_展將是網絡運營者2021年網絡安全工作的重點。在落實等保和關保兩個制度時,網絡運營者明確網絡安全等級保護和關鍵信息基礎設施安全保護間的關系是開展網絡安全工作的前提和基礎。行業(yè)內講“關?;诘缺Wo高于等?!?,究竟該如何理解這一口號呢?本文通過分析下列幾個關系對“等保和關?!钡年P系進行分析、說明:

  關鍵信息基礎設施與等級保護對象的關系?

  關鍵信息基礎設施認定與等級保護定級的關系?

  關鍵信息基礎設施檢測評估與等級測評的關系?

  關鍵信息基礎設施保護制度和網絡安全等級保護制度的關系?

  基本概念

  若要了解“等?!迸c“關?!眱烧哧P系,首先需明白二者的基本概念以及主要的工作內容,具體情況如下表:

  微信圖片_20210122135910.png

  關系分析

  關鍵信息基礎設施與等級保護對象的關系

  關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網絡設施、信息系統(tǒng)。

  等級保護對象是指網絡安全等級保護工作直接作用的對象,主要包括信息系統(tǒng)、通信網絡設施和數據資源。

  關系分析:等級保護對象是針對邊界明確、可獨立定級和明確保護措施的信息系統(tǒng)、通信網絡設施和數據資源,而關鍵信息基礎設施是由支撐關鍵業(yè)務及其關聯業(yè)務穩(wěn)定運行、相互關聯、相互影響的網絡設施和信息系統(tǒng)構成。在《網絡安全法》中要求將關鍵信息基礎設施納入等級保護中,因此關鍵信息基礎設施是等級保護對象的一部分,是等級保護的重點保護對象。

  關鍵信息基礎設施認定與等級保護對象定級的關系

  識別認定流程:

  關鍵信息基礎設施識別認定流程大致可概括為:

微信圖片_20210122135942.png

  定級流程:

  網絡安全等級保護定級流程大致可概括為:

微信圖片_20210122140014.png

  關系分析:關鍵信息基礎設施認定與等級保護對象定級分別作為開展等級保護和關鍵信息基礎設施保護確定保護對象的重要手段,是開展等保、關保工作的前提。二者在資產識別、梳理層面存在一定的相似性,但卻是兩項不同的工作內容,而等級保護對象的識別梳理、定級邊界確定、定級對象關聯資產分析為關鍵信息基礎設施識別認定提供了堅實的基礎。

  關鍵信息基礎設施檢測評估與等級測評的關系

  關鍵信息基礎設施檢測評估通過合規(guī)檢查、技術檢測和分析評估完成,具體評估流程為:評估工作準備(調研、方案制定)、工作實施、工作總結(風險研判、報告編制、結果反饋);

  等級保護測評包括測評準備、方案編制、現場測評、測評結論分析、測評報告編制。

  關系分析:

  第三級以上的等級保護定級對象每年至少一次等級測評,對于關鍵信息基礎設施,運營者可自行或委托網絡安全服務機構對CII地風險隱患每年至少一次檢測評估。關鍵信息基礎設施檢測評估與等級測評的目標對象和檢測力度存在著一定差異,因此檢測評估與等級測評不能混為一談,但關鍵信息基礎設施開展等級測評的情況是關鍵信息基礎設施檢測評估工作的一部分內容。

  關鍵信息基礎設施保護制度和網絡安全等級保護制度的關系

  落實關鍵信息基礎設施保護制度的目標是保障業(yè)務整體安全,即業(yè)務連續(xù)性與安全可控性;落實網絡安全等級保護制度的目標是有效發(fā)現、解決網絡和信息系統(tǒng)安全面臨的威脅和存在的主要問題。

  網絡安全等級保護制度是關鍵信息基礎設施保護的基礎,關鍵信息基礎設施是等級保護的重點,兩者相輔相成、不可分割。對于重點行業(yè)、重點領域的運營者而言,應當對網絡和信息系統(tǒng)進行合理的邊界劃分,確定定級對象,開展等級保護(定級、備案、建設整改、等級測評、監(jiān)督檢查)工作,針對關鍵的業(yè)務系統(tǒng),確定支撐其穩(wěn)定運行的關鍵信息基礎設施,并進行重點防護,開展關鍵信息基礎設施保護(識別認定、安全防護、檢測評估、監(jiān)測預警、事件處置)工作。

  基于等保:等級保護是基礎,即baseline,“關保”的保護對象是等級保護對象的一部分;是在等保對象的基礎上進行細化梳理,“關保”的安全防護是在等保的安全建設整改的基礎上開展;“關?!钡臋z測評估內容包括等級保護的等級測評、安全建設情況等。

  高于等保:“關保”的安全防護、監(jiān)測預警、事件處置環(huán)節(jié)從技術到管理、從過程到方法都有所細化、提升,在技術層面更加強化,管理層面更加明確;安全要求力度要求高于等級保護,增加動態(tài)風控相關要求,更加注重網絡安全實戰(zhàn)化、體系化、常態(tài)化。

  無論是等級保護還是關鍵信息基礎設施保護,其終極目標都是保障國家網絡安全,提升網絡安全綜合防控能力。

 

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。