《网络安全技术 关键信息基础设施边界确定方法.docx》由会员分享,可在线阅读,更多相关《网络安全技术 关键信息基础设施边界确定方法.docx(12页珍藏版)》请在课桌文档上搜索。
1、ICS35.030CCS1.80中华人民共和G昌I家标准GB/TXXXXX-XXXX网络安全技术关键信息基础设施边界确定方法CybersecuritytechnologyMethodofboundaryidentificationforcriticalinformationinfrastructure(征求意见稿)(本稿完成日期:2024年5月IlHXXXX-XX-XX实施在Ii交反”见时,请将您知道的相关安利即!支持住文件一并附上.XXXX-XX-XX发布国家市场监督管理总局国家标准化管理委员会trHI范围12规范性引用文件13术语和定义14概述24.1关堆佑息基础设施类型21.2边界确定原
2、理4 .3极限情况下要素识别原则5 .4边界确定流程5基本伯息械理6关键信息册础设施功能识别7关键业务链与键业务息别7. 1关键业务於识别7.2关堆业务信息识别58关键业务信息流识别和资产识别58. 1一般识别步骤58.2提供信息化共性服务的基础通信网络的识别步骤69关墟信息基础设施要索识别69. 1资产归集610. 2要素归集610关键信息基础设施边界确定7附录A(资料性)关犍信息基础设施边界记录模板8参考文献12IA-刖百本文件按照GB,T1.120204标准化工作导则第1部分:标准化文件的结构和起隼规则8的规定起草。本文件Hl全国网络安全标准化技术委员会(sACrrc260提出并仃口.本
3、文件主要起以单位:国家信息技术安全研究中心、国家能源局信.&中心、中国交通通佶信息中心、中国移动通信集团有限公司、中国电信股份有限公司、岷通数字科技有限公司、脚讯公计算(北京)有限货任公司、中国电子技术标准化研究院、国家计算机网络应急技术处理出调中心、国家工业信息安全发展研究中心、公安部第三研咒所、中国M络安全审查认证和市场监管大数据中心.中国信息安全测评中心、中国信息通信研窕院、阿里云计算有限公司、华为技术有限公司、浙江的及小微金融服务集团股份彳i限公司、阿里巴巴(北京)软件服务有限公司、中国互联网络信息中心、国家能源集团神华信息技术有限公司、中国科学院信息工程研究所、中电长城网际系统应用有
4、限公司、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、北京百度网讯科技有限公司、国家信息中心、杭州安恒信息技术股份有RA公司、中国电力科学研究院有限公司等.本文件主要起用人:见晓雷、秦小伟、胡容桂、冯燕洋、胡红升、姚相振、孙晓丽、杜渐、王惠莅、任Jl红、闵京华、袁龄.张滨、谷红勋、张建荣、龚斌、杨普提、杜红亮、上官晓丽、吴桐.甘杰夫、孟楠、刘菊邱勤、张哲宇、王东明、陈亮、姚健康、白晓媛宋铮、孙勇、戴明、邵西、郭永振、邸Iffiifi.周亚超、陈雪渡、王盈、肖红阳、张家箕、佛冬旭、郭建领、惠景两等.Il网络安全技术关键信息基础设施边界确定方法1范围木文件给出了关键信息拈酬设施边界
5、确定的方法,包括肥木信息梳理、关键信息状础设施功能识别、关键业务琏与关键业务信息识别、关键业务信息流识别和资产识别、关键信息基础设能要素识别和边界确定的流程、步骤等内容.本文件适用于指导关键信息基础设脩运营者确定关键信息基础设施边界.也可为关逡信恩基础设施安全保护的其他相关方使用,2规葩性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注口期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.GBfT250692022佰息安全技术术i杵GB.T39204-2022信息安全技术关键信息法础设施安全保护要求3术语
6、和定义GBT250692022、GBjT39222022界定的以及下列术语和定义适用于本文件。1.1关该信息基础设施criticalinformationinfrastructure公共通俗和信息服务、能源、交迪、水利、金融、公共服芬、电子政芬、国防科技工业等曳要行业和领域,以及其他旦遭到破坏、丧失功能或者数据泄露,可能产Hi危杏国家安全、国计民生、公共利益的重要网络设施、信息系统等。侏双:GBT39204-2022.3.1|1.2关汲信息基础设施要素criticalinfrnutio11infruslructurcelement支掠关犍业务的网络设施和信息系统的软便件资产及其描述信息.简称,
7、要素.注I描述信息包括但不眼于该类网络设施和信.电系统软便件货产的功傕、部器信思、业务关系等.1.3关犍信息基础设械边界criticalinfornutioninfrastructureboundary所有关圾信息基础设施要索的集合.3.4关破业务信息criticalbusinessink11atio11关犍业务安全稳定运行不可或缺的电子信息.关睚业务信息流CriliCaIbusinessinf11nationIlow关犍业务信息从产生到终止,在网络设施.信息系统中的流动轨迹.注I轨迹企拓信忍液通过节点和流动方向等.1.6极限情况extremeconditions遭遇到大燃模、有组织、持续的网
8、络攻击或产Ig自然灾害等.对网络运行环境、N络运行秩序产生巨大、6变坏性影响的情况,包括但不限于通伯设施、电力、机房等环境因素遭到破坏对网络设施、伯息系统造成影响的情况.1.7组件component根据结构或功能划分的系统组成部分,仍然能实现独立的子功能,来源:ISO208981:2020,3.!41.8关俄业务流程criticalbusinessprocess为了实现关键业务所完成的一系列活动.1.9关键业务tcriticalbusinesschain组织的一个或多个相互关联的业务何成的关键业务流程.来源:GBJT39204-2022,334概述41关键信息基础设施类型关堆信息基础设施根据关
9、键业务类型,分为提供伯恩化共性服务的关键信息基础设施和高度依梭信息化业务的关键信息法础设施.其中,提供信息化共性服务的关键信息必础设施,是在经济社会运行中发挥重要支掠作用、提供人民生产生活不可或缺的算力资源供给、重要数据处理和基础网络通信等服务的关犍倍感基础设施,如云平分、数据中心、基础通信网络等:离度依赖信息化业务的关搂信息基础设施,是具备l度信息化、自动化和网络化特点的关犍信息基础设施,如监控系统、交易系统、控制系统等.关键信息基础设施在形态构成上可以是单独的网络设施、信息系统,也可以是网络设施.信息系统的集合.如网络安全等级保护第三级(含以上)的网络设施、信息系统.4. 2边界确定原理关
10、键信息基础设施边界确定(以下简称“边界确定”)基于信息流方式,将支掾关进业务的网络设施和信息系统的蚊硬件资产等识别出来.经过不可或缺性判定,理清功能、部署信息、业务关系等相关描述信息,弁对同一软硬件资产等进行归集形成关键信理基础设施要素,由所有关键信息基础设施要素的集合形成关键信息茶础设施边界,针对提供信息化共性眼务的聪础通信网络,由网元(在网络管理中Ai小设符或服务单元)、网络功能及其依籁的资源池识别软硬件资产.注1:“不可或缺.判断是通过分析支抵关域业务的网络设施和住总系统的功能、Jt务薇程、业务值息、资产等对关犍业务功能、性健的彬响进行到新.注2关键业务信息滋流经的“灾生系统二一旦屎先.
11、公身及系统功能昆失.性能降低,则纳入关陡信息及:出施变家:关批业务信息流未流经的“灾Jt系统娟不纳入关谯信息基岫设施瞠术,5. 3极限情况下要素识别原则为保障极限情况下关键业务挣续运行.对关犍信息基础设脩要素组成进行显小化识别.根据保护工作部门要求,按照极限情况下保障最小化的原则划定边界,最小化要素识别原则如下:a)最小化运行原则:保证关键业务持续运行提供联本服务所需要的功能、性能,b)敢塔数据保护原则:保证关键信总基础设施中重要数据、核心数据及其配置信息、控制数据的安全性.c)最小化资产原则:保证关键业务持续运行的软硬件资产集合的最小化,6. 4边界确定流程边界确定流程主要包括准符阶段、要去
12、识别和边界确定三个环节.a)准备阶段,包括:1)根据关键业务确定业务莅困;2)组建边界确定团队(包括但不限于专门网络安全管理机构人员、业务运行部门人员、运维人员、开发人员等):3)信息收集和分析:4)制定边界确定工作方案(包括但不限于业务范附、人员团队、工作内容、时间安排、风险控制、资料般得等).b)要素识别阶段,包括:I)基本信总梳理:2)关键信息基础设施功能识别:3)关键业务链及其关键业务信息识别;4)关城业务信息流识别和资产识别:5)美谊信息基础设施要索识别.c)边界确定,此环节在关键信息舰础设施签家法础上确定边界。梳理、沟通和分析、过程文档管理货穿整个边界确定过理,实”流程如图I所示.
13、准备阶坦基本信息枕理楂理沟通并分析关施信熊,基磁设施功蛭谀别关诞业秀链与关城业务信息识别关被业务信息流识别和费产识别Z1.JV关BtG总基此设拄iRJ图I关融信息基础设施边界确定实施流程边界确定_1.作是持续、动态的,当关键信总基础谀脩所期的网络设施和信息系统发生改建、犷建、所彳i人变更等较大变化时或关键信息基础设施发生重大调整时,苏按要求或新开展识别工作,确保关键信息基础设柩边界的时效性.5基本信息梳理关键信息基础设旗运营者(以下简称运首君”)依据本行业、本领域保护工作部门认定的关键业务.梳理基本信息:a)基本情况械理.运营者信息,包括运苕音单位名称、单位地址、总位性质、单位负贵人伯息、专门
14、网络安全管理机构负i人及联系人信息等相关信息;关键信息恭础设施信息,包括关键信息基础设施名称,所属行业域域,本单位关键业务等:b)业务运行信息桅理.包括常态化运行信息(关键业务稳定可辙运行情况信息)和极限情况运行估息(极限情况下关说业务持续运行情况信息,如耀忐地域、用户规模、业分数据怙息、资产现模、产奴产值、业务规模等,可根据行业、领域实际情况选取:厘清本单位关键业务依敕的上下游业务信息.其中,上游业务是为关键业务输入的业务,下游业务是接受关键业务输出的业务:梳理本单位关次业务为其他行业提供极务的情况:如果涉及其他运营者.其他运营者单位名称、堆位地址等:c)数据资产信息标理,包括数据类型、数据
15、规模、安全性新求、Hi要程吱、所M关键业务等;d)提供租用网络设施的运营者单位名称、单位地址等.6关键信息基础设施功能识别识别步骤如卜:a)根据关犍业务,结合需求分析设计及建设等文档,识别支撑关键业务运行的网络设施、信息系统以及网络设施、信息系统的功能:b)对支撑关键业务运行的网络设施、信息系统功能进行细分,直到该功能各组成部分能第独立部署为止:判断网络设诙、信息系统的功能或各组成部分支掠关犍业务运行的不可或缺性,确定关键侑息基础设施功能,包括常态化运行和极限情况运行的功能组成.7关键业务链与关键业务信息识别1.1 关维业务曾识别识别步骤如下:a)根据需求、设计(如概要设计、详细设计)等文档的
16、功能设计、业务各环节的执行顺序,梳理出业务流程:b)根据关键信息族础设施功能,结合业务流程,识别出关键信息基础设施功能殂成部分之间的流程及其执行顺序;c)评估关键信息基础设施功能或祖成部分之间的业务流程对其后序关键信息基础设牖功能的影响.造成后序关犍信息基础设施功能丧失或性能下降的.该流程纳入关犍业务流程:d)根据关t业务流程,结合关键信息基础谀除功能,通过功能或组成部分之间的业务流程情况,识别组成关键信息蔚础设施的关键业务琏:e)通过关搂业务胜及关键信息基础设施功能.验证是否可以实现关圾业务,同时结合验证结果进一步完善:D形成关次业务链流程图、系统功能架构图:K)针对提供信息化共性服务的荔础
17、通信网络,在设计阶段完成业务流程识别。7. 2关健业务信息识别识别步骤如下:a)根据需求、设计(如概要设计、详细设计)等文档,分折、梳理关键信息基础设施功能各处成部分的输入、獭出信息:b)根据输入、谕出信息对关键业务的影响确定关键业务信息:c)形成关键业务信息消总,包括但不限F关键信且地础设施功能各殂成部分的描述信息、输入信息、输出信息、不可或缺性判断结果。8关键业务信息流识别和费户识别7.1 一般识别步骤根据关圾信息基础设施功能、关健业务佳等,识别关犍业务信息流,并遹过关惯业务信息流识别网络&雍和信息系统的软W件资产,识别步骤如下:a)根据关键业务流程和关键业务信息,结合实际部署情况,分析关
18、键业务信息在网络设施、信息系统中的流动轨迹,识别关键业务信息流,通常以关键业务信息流在网络拓扑图中流经轨迹表示:b)根据判定关键业务信息流所流经的设备是否会影响关键佶息基础设储功能、性能的实现.最终确定必需的节点:O识别节点硬件资产构成、系统版本、网络结构中的位置信息,输出硬件资产(含容器/位:拟机清电,依出节点饿件资产上部*的软件资产信息,确定关犍信息基础设描软硬件资产:d)梳理资产的总体情况,包括机房的地址及总数收、资产总数、各类型资产及数崎、网络拓扑图;v)脖成关键业务信息流图以及关键信息基础设施软硬件资产清单。8. 2提供信息化共性服务的基础通信网络的识别步臊识别步骤如下:a)已在设计
19、阶段依据所识别的关键业务流程,进行关键业务信息流识别,出网元、网络功能以及所依赖的资源池识别对应的软硬件资产:b)按照8lc)y)的内容诳行识别.9关键信息基础设施要素识别8.1 资产归集运营者依据业务功能时支撑关键业务的网络设脩和信息系统的软现件资产进行归集,对向一设的、系统、组件归案.9. 2要素归集对资产归案结果进一步从帔件类型、设的类型、设备数量、软件类型等方面进行归集,形成关键信息基础设脩要索消单(柢表),可参见附录A衣2.在归集后的资产附加其描述信息组成关雄信息基础设施要素.关键信息基础设脩要素信息包括硬件资产信息、软件相关伯恩等,可参见附录A表3、表4.10. 2.1资产信息关犍
20、估恩基础设施要素的资产信息,主要包括:a)类型情况,包括但不限于网络设备、安全设备、存储设缶、服务器、工控设备、终端设备等;b)资产的名称、品脚及型号、版本号、形态、用途;c)资产安全属性:d)资产采用的软件系统(包括但不限于操作系统、系统软件、应用蚊件、组件等相关软件信息.应用软件应明确开发语言;e)资产开放的端口及其端口上运行的眼务情况(公网开放端口及服务):f)资产的IP(包括对外IP)信息及域名信息(包括公网域名):)对应的硬件资产信息(虚拟设备对应的硬件资产,云平台的硬件设备明确到资源池级别).11. 2.2部看信息依据网络组成结构、网络拓扑结构和网络设施、信息系统地域分布,确定关键
21、信息基础设施要素在网络拓扑中的逻辑位置和物理位置信忠.12. 2.3关系信息关雄信息基础设施要素与关键业务桂、网络设施和信息系统的关系信息,主要包括:a)支掠的关谖业务能:b)所属的网络设施、信息系统:C)前序关系、后序关系:d)与其他系统关联情况.相关犷展信息.10关键信息补础设施边界陷定关键信息基础设施边界是由基本信息、要素信息以及识别时间组成,通常以文件形式描述,可参见附录A表1.包括下列主要内容:a)基本信息关键信息基础设做边界基本信息包括运苕者信息、关键信息基础设施信息、数据资产信息、租用网络谀施信息等.b)要素信息关犍信恩基础设施要素信息包括要素总计、对应关系、关键业务桂、系统功能
22、架构、网络拓扑、关键业务信息、关键业务信息流、要素清单等信息。c)识别时间文件完成时间.表A.3关键信息基础设施要素信息-硬件资产信息(详表)(叁考模板)XXXJMtI费产值资产类型网络设密、安全设法、存他设备、服务后、工控改名.终端设各资产名移具体资产名称船牌及型号形态(是否虚拟化设备)是/否用途安全属性保密性,完整性、可用性软件(总助开放端口及其对血服务公网开放端口及服务IP侑息及域名侑息资产的IP(包括对外IP)信息及域名信(包括公网域名根据参与美犍业务处理时起相同功能,可相n.杵代的资产(节点)进行分类地写.时应的硬件资产市拟设备对应的映件资产.对丁云平台对应便件设的明Bl到货源池级别MHtlAIS一位置对应的网络拓扑分区物理位置云平台资产按资源池节点填写,春云平台货产按所在机底填写.9r所胧的关键业务链所属的网将改施,信息求统前序关系、E序关系在关批业务侪息旅图中体现与其也系统美联帚况明确近甘者.关联系统生产而及供应幅其他扩展信息表A4关键信息基础设施要素信息-软件资产信息(详表)(参考模板)序号软件名篇所在帔备名*商殳采购情况/定/自研J*HXftft商主要功债备注
