以風險管理思想構建關鍵信息基礎設施風險評估重器

在網路化時代的背景下，針對關鍵信息基礎設施信息系統的攻擊日益嚴重。

國際背景

國際上，2007年愛沙尼亞國會、政府部門及銀行遭受「殭屍網路」攻擊，涉及位於178個國家的大約8.5萬台電腦，其中絕大多數電腦是在被黑客入侵和操縱的情況下，毫不知情地情況下無辜的捲入了有關攻擊；

2010年伊朗政府遭受「震網」病毒的攻擊，專門定向攻擊真實世界中基礎(能源)設施；

2014年在烏克蘭政府遭受的網路攻擊；

2017年土耳其伊斯坦布爾和其他地區由於地下電力線路和國外網路攻擊造成大面積停電；2014年4月9日爆發的OpenSSL心臟出血（Heart bleed）漏洞及2014年8月31日，匿名黑客利用蘋果iCloud上的雲服務漏洞發動網路攻擊導致用戶個人信息的泄露；

2017年美國多所高校都遭遇了重大的信息泄露和學術信息在線暴露。據360威脅情報中心對2017年全球關鍵信息基礎設施重大網路安全事件的公開信息監測數據分析，在各類不同的關鍵信息基礎設施中，金融、交通、能源等領域最容易遭受網路攻擊，其中金融（33.1%）、醫療衛生（12.7%）、交通（9.9%）、工業（6.3%）等領域信息基礎設施發生的重大網路安全事件最多。金融資產盜竊所佔比例最高，佔31.7%，其次是破壞型攻擊（24.6%）、敏感信息泄露（18.3%），三者之和約佔總數的3/4。

國內背景

國內上，我國一直是網路攻擊的受害國，每月有1萬多個網站被篡改，80%的政府網站遭受過攻擊。針對關鍵信息基礎設施的網路攻擊已經對我國國家安全、社會穩定、經濟的發展及公民個人信息保護產生巨大危害。

在2018全國網路安全和信息化工作會議上,主席系統闡釋了網路強國戰略思想,為加快推進網路強國建設明確了前進方向,提供了根本遵循。主席在講話中特彆強調：積極發展網路安全產業，做到關口前移，防患於未然。要落實關鍵信息基礎設施防護責任，行業、企業作為關鍵信息基礎設施運營者承擔主體防護責任，主管部門履行好監管責任。

與此同時，中央網信辦發布的《關鍵信息基礎設施安全保護條例（徵求意見稿）》中也有了清晰的脈絡和明確的答案。

結果導向

由於來自外部和內部的威脅越來越大，負責關鍵基礎設施的組織需要統一及可重複利用的方法來識別、評估和管理網路安全風險，實現快速風險告知。即以風險管理思想對關鍵信息基礎設施保護工作進行科學、先進的統籌設計。關鍵信息基礎設施風險評估是網信工作中不可或缺的一部分，需要引起足夠的重視及技術的支撐，構建一套完整、高效、全面的關鍵信息基礎設施風險評估重器。

關鍵信息基礎設施風險評估重器

一、依託資產重要性的邏輯起點，開展關鍵信息基礎設施風險評估

有效、完整的識別關鍵信息基礎設施，是開展其風險評估與保護的邏輯起點，世平信息依託風險管理思想，遵循《中華人民共和國網路安全法》的要求，通過「資產價值知識庫」，作為評判關鍵信息基礎設施」資產重要性」的標準，既符合國際通行慣例，同時積極響應國家重點提倡的「依法治國」的理念，在關鍵信息基礎設施領域，實現有法可依。

二、構建智慧知識庫大腦(智庫)，指導關鍵信息基礎設施運營者開展風險評估

維護網路安全，首先要知道風險在哪裡，是什麼樣的風險，什麼時候發生風險，沒有意識到風險是最大風險，無法識別風險的後果只能是「誰進來了不知道、是敵是友不知道、幹了什麼不知道」。

因此我們要服務並幫助關鍵信息基礎實施的運營者，構建並依託風險評估平台的智慧知識庫，以風險管理來統籌對關鍵信息基礎設施的重要保護與風險評估，構建流程化、智慧化、自動化的風險管控評估體系。有效指導各行各業重點行業關鍵信息基礎設施的運營者（例如：金融、能源、政府、電力、水利、教育等）開展自身關鍵信息基礎設施的風險評估工作，構建一套完整的風險管理流程，培養關鍵信息基礎設施運營者的先導意識，確保其能夠快速、高效的識別風險、評估風險。從而實現「上下一體」，有效開展自身關鍵信息基礎設施風險評估，同時根據形勢的需要，不斷更新增加智庫體系。

三、打造全天候網路安全態勢感知體系的基石，全面體檢關鍵信息基礎設施

獲取不同類型數據，根據不同行業要求，及時輸出關鍵信息基礎設施信息的匯總、分析研判和通報數據，通過對數據進行必要的清洗與梳理後，方便數據後續被網路安全態勢感知平台所利用。

四、報告介面無縫對接，兼容多工具結果導入

當前按照等級保護2.0和《中華人民共和國網路安全法》的要求，基礎的支撐工具是必不可少的，然而由於當前不同工具、不同形式的平台所展現的最終報告形式不一樣，導致對檢查結果不滿意、不重視，檢查結果無法引起足夠的作用。為此需要構建一套能夠無縫對接不同工具報告的平台，依據用戶原有工具利舊的原則，兼容多工具平台檢查報告結果的導入，實現無縫的對接。

當前世平關鍵信息基礎設施風險評估平台可以兼容兩大模塊，17款工具，主動檢查模塊包括：漏洞掃描、敏感信息安全評估、資料庫安全檢查等，被動檢查模塊包括：APT檢查、敏感信息防泄漏等。

五、融入專家智慧，使各級風險評估人員擁有專業技能

平台具備高可讀性的風險評估報告，報告結果一目了然，並可同時在平台界面快速修改，確保檢查結果與實際相符，實現風險評估一步到位。

六、關鍵信息基礎設施風險與評估可視化

關鍵信息基礎設施風險評估關鍵在於風險評估結果可給關鍵信息基礎設施的運營者提供必要的幫助。一次成功的風險評估能明確告知用戶：「關鍵信息基礎存在哪方面的風險需要改進？」，「關鍵信息基礎設施跟其他同類相比怎麼樣？」，「如何做可以提升風險評估得分？」等。利用關鍵信息基礎設施風險評估，實現了風險評估結果可視化展現，真正意義上實現了服務並幫助關鍵信息基礎實施。

關鍵信息基礎設施風險評估應用對象

2017年6月1日實施的《中華人民共和國網路安全法》第三十八條明確規定:「關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估」，這是關鍵信息基礎設施風險評估的關鍵應用領域及對象。

主席強調，通過識別風險、評估風險，我們才能「有本清清楚楚的帳」---即「哪些方面必須重兵把守、嚴防死守，哪些方面由地方保障、適度防範，哪些方面由市場力量保護」。

堅持以風險管理的思想，突破及超越根據等級建設「底線式、靜態式」的被動安全能力評估的固化模式，在風險的動態博弈中贏得主動，達到實質性保護關鍵信息基礎實施的效果，這是關鍵信息基礎風險評估的必由之路，也是關鍵信息基礎設施風險評估重器構建的最終目的。

歡迎各級機構及企事業單位報名試用

詳詢世平熱線：400 100 6790

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！