關鍵信息基礎設施是指公共通信和信息服務、能源�、交通�����、水利、金融���、公共服務、電子政務�����、國防科技工業等重要行業和領域的�,以及其他一旦遭到破壞、喪失功能或者數據泄露�����,可能嚴重危害國家安全����、國計民生、公共利益的重要網絡設施��、信息系統等�。
(一)網站類,如黨政機關網站���、企事業單位網站���、新聞網站等�����;
(二)平臺類�,如即時通信��、網上購物���、網上支付�、搜索引擎����、電子郵件、論壇、地圖�����、音視頻等網絡服務平臺����;
(三)生產業務類,如辦公和業務系統��、工業控制系統�����、大型數據中心�����、云計算平臺�����、電視轉播系統等����。
(一)確定關鍵業務�����;
(二)確定支撐關鍵業務的信息系統或工業控制系統�����;
(三)根據關鍵業務對信息系統或工業控制系統的依賴程度�,以及信息系統發生網絡安全事故后可能造成的損失認定關鍵信息基礎設施�。
(一)確定本地區、本部門���、本行業的關鍵業務;
(二)確定關鍵業務相關的信息系統或工業控制系統��;根據關鍵業務��,逐一梳理出支撐關鍵業務運行或與關鍵業務相關信息系統或工業控制系統�,形成候選關鍵信息基礎設施清單��。如電力行業火電企業的發電機組控制系統�、管理信息系統等����;市政供水相關的水廠生產控制系統�、供水管理監控系統等;
(三)認定關鍵信息基礎設施����,對候選關鍵信息基礎設施清單中的信息系統或工業控制系統���,根據本地區�����、本部門、本行業實際�,參照以下標準認定關鍵信息基礎設施��。
主要依據安全等級保護2.0管理要求及數據安全法中數據安全制度要求進行建設:
可帶來如下收益:
① 建立、健全單位信息安全管理制度體系�����;
② 安全合規����;
③ 規范管理流程、明細職責分工�����。
挑選重要網站或信息系統進行安全測試���,模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試����,在保證整個安全測試過程都在可以控制和調整的范圍之內盡可能的獲取目標信息系統的管理權限以及敏感信息,并將入侵的過程和細節產生報告給用戶�,由此證實用戶系統所存在的安全威脅和風險���,并能及時提醒安全管理員完善安全策略。涵蓋現有的攻擊手段和最前沿的安全攻擊方法,滲透測試不得影響系統的正常運作和業務應用�����。
內容包括:信息收集����、權限提升、溢出測試、注入攻擊、跨站攻擊、后門程序檢查���、登錄體系測試、權限體系測試、命令執行攻擊�����、反序列化攻擊����、文件包含漏洞、文件上傳漏洞��、路徑遍歷與文件讀取等����。
對網站�����、信息系統進行安全測試,可帶來如下收益:
① 評估網站中存在的安全隱患�、安全漏洞����;
② 發現網站存在的深層次安全隱患��;
③ 驗證網站現有安全措施的防護強度;
④ 評估網站被入侵的可能性,并在入侵者發起攻擊���;
⑤ 前封堵可能被利用的攻擊途徑。
風險(安全)評估是對信息系統和IT基礎設施進行安全風險評估,包括明確風險評估范圍、識別重要資產����、識別脆弱性和威脅�����、現有安全控制措施、應用系統漏洞掃描���、分析和計算風險狀況、制定不可接受風險處置方案和風險評估報告和總結�。協助完成對風評過程中發現的問題進行整改���,整改完成后測試是否整改完畢���。
風險評估����,可帶來如下收益:
風險評估服務通過信息資產的識別與賦值�、威脅評估、弱點評估、現有安全措施評估�����、綜合風險分析等若干環節���,對信息系統的安全風險進行風險分析�����,清晰地展現信息系統當前的安全現狀,提供公正����、客觀���、翔實的數據作為決策參考�,為組織下一步控制和降低安全風險����、改善安全狀況、實施信息系統的風險管理提供依據���。
應急演練:是指各行業主管部門、各級政府及其部門����、企事業單位����、社會團體等組織相關單位及人員����,依據有關網絡安全應急預案,開展應對網絡安全事件的活動�����。
應急演練形式:桌面應急演練、實戰應急演練���、單項應急演練、綜合應急演練�、檢驗性應急演練�、示范性應急演練����、研究性應急演練�����。
定期組織應急演練��,可帶來如下收益:
① 做好網絡安全事件應對處置;
② 建立健全單位應急演練預案���;
③ 滿足單位本身自我檢查要求;
④ 滿足主管部門聯合檢查要求����;
⑤ 滿足監管部門合規審查要求��。
公安備案號:44030502000376