隨著信息技術(shù)廣泛應(yīng)用和網(wǎng)絡(luò)空間興起發(fā)展，國家高度重視網(wǎng)絡(luò)空間安全，陸續(xù)出臺了相關(guān)戰(zhàn)略、規(guī)劃、立法以及實施方案等，并開始加大對關(guān)鍵信息基礎(chǔ)設(shè)施的保護力度。

隨著我國網(wǎng)絡(luò)強國戰(zhàn)略的深化和實施，關(guān)鍵信息基礎(chǔ)設(shè)施在國民經(jīng)濟和社會發(fā)展中的基礎(chǔ)性、重要性、保障性、戰(zhàn)略性地位也日益突出，中國《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》提出要加強對國家關(guān)鍵信息基礎(chǔ)設(shè)施的保護，并指出國家關(guān)鍵信息基礎(chǔ)設(shè)施是指關(guān)系國家安全、國計民生，一旦數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設(shè)施，包括但不限于提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會保障、公用事業(yè)等領(lǐng)域和國家機關(guān)的重要信息系統(tǒng)，重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)等。

保護關(guān)鍵信息基礎(chǔ)設(shè)施的正常運轉(zhuǎn)，關(guān)系國家安全、經(jīng)濟發(fā)展、社會穩(wěn)定，也是政府、企業(yè)和全社會的共同責(zé)任。

關(guān)鍵信息基礎(chǔ)設(shè)施運營者規(guī)模不同，對網(wǎng)絡(luò)安全工作的重視程度不一，技術(shù)強弱各異。

關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險評估云平臺有助于運營單位在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上，針對性的按需做好各關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護工作。

同時幫助CII運營單位、服務(wù)CII檢查、檢測機構(gòu)。提升CII防御威脅能力和培養(yǎng)專業(yè)CII檢查隊伍。

關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險評估的必要性:

1.?傳統(tǒng)網(wǎng)絡(luò)安全為信息系統(tǒng)設(shè)置防御，在攻擊與竊取手段不斷進化的今天，面臨安全風(fēng)險日增、形勢嚴峻，需要樹立動態(tài)、綜合的防護理念;

2.?網(wǎng)絡(luò)安全是國家與人民共同的而不是孤立于某信息系統(tǒng)的。需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡(luò)安全防線;

3.?《中華人民共和國網(wǎng)絡(luò)安全法》明確了關(guān)鍵信息基礎(chǔ)設(shè)施在動態(tài)網(wǎng)絡(luò)安全防護、安全監(jiān)測方面的基本要求，《關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險評估指南》有效支持網(wǎng)絡(luò)安全法落地。

《網(wǎng)絡(luò)安全法》

《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》

《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》

《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制要求》

《關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南》

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標體系》

風(fēng)險評估分析

l?脆弱性評估

針對CII系統(tǒng)的每一項需要保護資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；根據(jù)對資產(chǎn)的損害程度、技術(shù)實現(xiàn)的難易程度、弱點的流行程度，采用等級方式對已識別的脆弱性的嚴重程度進行賦值。

l?威脅情報

識別判斷威脅的來源，給威脅動機、威脅能力進行賦值，結(jié)合安全威脅和風(fēng)險預(yù)估清單，根據(jù)分析CII運營者的業(yè)務(wù)特點，按照威脅的來源判斷出威脅發(fā)生的可能性。

?通過威脅與脆弱性進行關(guān)聯(lián)，確定威脅可利用的脆弱性，及可引發(fā)的安全事件，并分析安全事件發(fā)生的可能性；一旦安全事件發(fā)生，造成的損失有多大。

l?已有安全措施

在識別脆弱性、威脅的同時，對已采取的安全措施的有效性進行確認。安全措施的確認應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施是否繼續(xù)保持，對確認為不適當?shù)陌踩胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M行修正，或用更合適的安全措施替代。已有安全措施為風(fēng)險處理計劃的制定，為風(fēng)險評估分析提供依據(jù)和參考。

對合規(guī)性檢查、技術(shù)檢測、安全監(jiān)測進行風(fēng)險評估，對發(fā)現(xiàn)的問題按照風(fēng)險級別進行高中低進行統(tǒng)計分類。

對檢測發(fā)現(xiàn)的問題（高風(fēng)險安全漏洞和隱患、是否已經(jīng)被入侵、敏感信息泄露等）并給出修復(fù)整改建議。同時對漏洞加以描述（漏洞名稱、漏洞影響的范圍、漏洞存在的證明、漏洞的危害、漏洞的等級等。）同時圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的核心業(yè)務(wù)，通過關(guān)鍵屬性的識別和分析，對關(guān)鍵屬性的安全進行評估，對每個關(guān)鍵屬性的具體描述內(nèi)容的安全性逐一進行風(fēng)險分析，給出風(fēng)險分析的結(jié)果，最終根據(jù)風(fēng)險分析的結(jié)果定性分析出整體安全狀況的評價，并給出整體安全狀況的描述。

包含關(guān)鍵信息基礎(chǔ)設(shè)施的定義描述、主要核心資產(chǎn)情況、核心業(yè)務(wù)情況、面臨的主要威脅和系統(tǒng)安全能力的描述情況等；檢查評估結(jié)果說明是對檢查評估中發(fā)現(xiàn)的關(guān)鍵信息基礎(chǔ)設(shè)施存在的主要問題進行說明，包含了合規(guī)檢查、技術(shù)檢測、監(jiān)控分析：

??合規(guī)檢查結(jié)果對關(guān)鍵信息基礎(chǔ)設(shè)施安全保障措施是否合規(guī)下結(jié)論，對不符合的項進行詳細的說明和描述。

??技術(shù)檢測結(jié)果對關(guān)鍵信息基礎(chǔ)設(shè)施存在的主要安全漏洞和隱患、面臨的安全風(fēng)險進行說明，對檢測中發(fā)現(xiàn)的具體安全問題進行描述。

??根據(jù)監(jiān)測分析結(jié)果對關(guān)鍵信息基礎(chǔ)設(shè)施存在的主要安全威脅、安全漏洞和隱患進行了說明，對監(jiān)測分析中發(fā)現(xiàn)的具體安全問題進行了描述。

??最后通過對關(guān)鍵信息基礎(chǔ)設(shè)施的總體安全狀況進行定性分析，給出整體安全狀況的描述。

報表模塊展示CII資產(chǎn)分布， CII各類指標的風(fēng)險趨勢，安全事件詳情等，幫助用戶全方位了解風(fēng)險情況，發(fā)現(xiàn)安全威脅和隱患，實現(xiàn)預(yù)警通報，同時提供安全事件審計和溯源。

加強與《網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險評估指南》等法律法規(guī)認知，從而滿足對CII系統(tǒng)的合規(guī)性檢查、風(fēng)險評估需求，解決專業(yè)檢查評估人員缺少、檢查工作耗時多、效率低。檢查方法、檢查內(nèi)容不統(tǒng)一的問題。

總結(jié)

以上是生活随笔為你收集整理的CII-关键信息基础设施风险评估必要性的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。