关���键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、�����电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
(一)网站类,如党政机关网站、企事业单位网站、新闻网站等;
(二)平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服������务平台;
(三)生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
(一)确定关键业务;
(二)确定支撑关键业务的信息系统或工业控制系统;
(三)根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事故后������可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务;
(二)确定关键业务相关的信息系统或工业控制系统;根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管理监�����控系统等;
(三)认定关键信息基础设施,对候选关键信息基础�������设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息�����基础设施。
主要依据安全等级保护2.0管理要求及数据安全法中数据安全制度要求进行建设:
可带来如下收益:
① 建立、健全单位信息安全管理制度体系;
② 安全合规;
③ 规范管理流程、明细职责分工。
挑选重要网站或信息系统进行安全测试,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,在保证整个安全测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息,并将入侵的过程和细节产生报告给用户,由此证实用户系统所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。涵盖现有的攻击手段和最前沿的安全攻击方法,渗透测试不得影响系统的正常运作和业务应用。
内容包括:信息收集、权限提升、溢出测试、注入攻击、����跨站攻击、后门程序检查、登录体系测试、权限体系测试、命令执行攻击、反序列化攻击、文件包含漏洞、文件上传漏洞、路径遍历与文件读取等。
对网站、信息系统进行安全测试,可带来如下收益:
① 评估网站中存在的安全隐患、安全漏洞;
② 发现网站存在的深层次安全隐患;
③ 验证网站现有安全措施的防护强度;
④ 评估网站被入侵的可能性,并在入侵者发起攻击;
⑤ 前封堵可能被利用的攻击途径。
风险(安全)评估是对信息系统和IT基础设施进行安全风险评估,包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和����总结。协助完成对风评过程中发现的问题进行整改,整改完成后测试是否整改完毕。
风险评估,可带来如下收益:
风险评估服务通过信息资产的识别�����与赋值、威胁评估、弱点评估、现有安全措施评估、综合风险分析等若干环节,对信息系统的安全风险进行风险分析,清晰地展现信息系统当前的安全现状,提供公正、客观、翔实的数据作为决策参考,为组织下一步控制和降低安全风险、改善安全状况、实施信息系统的风������险管理提供依据。
应急演练:是指各行业主管部门、各级政府及其部门、企事业单������位、社会团体等组织�������相关单位及人员,依据有关网络安全应急预案,开展应对网络安全事件的活动。
应急演练形式:桌面应急演练、实战应急演练、单项应急演练、�����综合应急演练、检验性应急演练、示范性应急演练、研究性应急演练。
定期组织应急演练,可带来如下收益:
① 做好网络安全事件应对处置;
② 建立健全单位应急演练预案;
③ 满足单位本身自我检查要求;
④ 满足主管部门联合检查要求;
⑤ 满足监管部门合规审查要求。
