关键信息基础设施
(完整word版)关键信息基础设施确定指南(试行)
附件1关键信息基础设施确定指南(试行)一、什么是关键信息基础设施关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
二、如何确定关键信息基础设施关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
(二)确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。
如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类符合以下条件之一的,可认定为关键信息基础设施:1. 县级(含)以上党政机关网站。
2. 重点新闻网站。
3. 日均访问量超过100万人次的网站。
4. 一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过100万人工作、生活;(2)影响单个地市级行政区30%以上人口的工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全。
关键信息基础设施确定指南
附件1关键信息基础设施确定指南(试行)一、什么是关键信息基础设施关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
二、如何确定关键信息基础设施关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
(二)确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。
如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类符合以下条件之一的,可认定为关键信息基础设施:1. 县级(含)以上党政机关网站。
2. 重点新闻网站。
3. 日均访问量超过100万人次的网站。
4. 一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过100万人工作、生活;(2)影响单个地市级行政区30%以上人口的工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全。
关键信息基础设施确定的指南
附件1关键信息基础设施确定指南(试行)一、什么是关键信息基础设施关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
二、如何确定关键信息基础设施关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
(二)确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。
如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类符合以下条件之一的,可认定为关键信息基础设施:1. 县级(含)以上党政机关网站。
2. 重点新闻网站。
3. 日均访问量超过100万人次的网站。
4. 一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过100万人工作、生活;(2)影响单个地市级行政区30%以上人口的工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全。
关键信息基础设施确定指南(试行)
附件1关键信息基础设施确定指南(试行)一、什么是关键信息基础设施关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
二、如何确定关键信息基础设施关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
(二)确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。
如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类符合以下条件之一的,可认定为关键信息基础设施:1. 县级(含)以上党政机关网站。
2. 重点新闻网站。
3. 日均访问量超过100万人次的网站。
4. 一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过100万人工作、生活;(2)影响单个地市级行政区30%以上人口的工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全。
关键信息基础设施定义
主要内容
一、什么是关键信息基础设施 二、关键性的四个方面体现 三、面临的风险分析 四、应对措施
9
二、关键性的四个方面体现
(一)支撑关键业务的开展, 为国家提供不可或缺的产品和服 务。
电力供应 金融服务 城市供水供水、热、气 交通运输服务 …
(二)支撑高危设施的运转,操 控其中的关键环节。
(四)从根本做起,全面提升关键信息基 础设施保障能力
2
一、关键信息基础设施定义
(一)关键信息基础设施定义
《网络安全法》
关键信息基础设施是指:一旦遭到破坏、丧失功 能或者数据泄露,可能严重危害国家安全、国际 民生、公共利益。
一、关键信息基础设施定义
(一)关键信息基础设施定义
2016年国家网络安全检查中的定义
关键信息基础设施是指面向公众提供网络信息服 务或支撑能源、通信、金融、交通、公用事业等 重要行业运行的信息系统或工业控制系统,且这 些系统一旦发生网络安全事故,会影响重要行业 正常运行,对国家政治、经济、科技、社会、文 化、国防、环境以及人民生命财产造成严重损失 。
2010年,“震网”病毒事件 2012年,深圳地铁故障 2015年,乌克兰停电事故 ……………………
三、面临的风险分析
我国关键信息基础设施面临的威胁不容忽视 基础网络可以被敌对势力控制停止运行,窃取 海量的数据 重要信息系统可被敌对势力控制进而破坏物理 设施 关键信息资源被国外收集利用 关键信息技术产品大都被国外垄断,存在后门 风险 信息技术服务受制于人的现状亟需改变
主要内容
一、什么是关键信息基础设施 二、关键性的四个方面体现 三、面临的风险分析 四、应对措施
18
四、应对措施
关键信息基础设施
关键信息基础设施一、前言在当今这个信息化、数字化的时代,信息的传递方式多种多样,包括电子邮件、社交媒体、手机短信、云端存储等等。
信息的传递越来越方便了,但同时也带来了安全隐患。
关键信息基础设施(Critical Information Infrastructure)的安全,已经成为了现代国家的经济建设和国防建设的重要保障。
本文将从各个方面分析关键信息基础设施,为读者带来更多的了解和启示。
二、关键信息基础设施的定义关键信息基础设施,简称CIIP,指的是国家、政治安全、经济安全、国防安全、社会稳定和公共安全所必需的基础网络设施、系统和数据,包括网络、计算机、通信、能源、交通、金融、电力、水务、气象等方面,以及执行国家安全行动所需要的网络设施、系统和数据。
CIIP是国家现代化建设的重要组成部分,是国家社会经济发展、国防建设和国家治理不可或缺的基础设施。
三、关键信息基础设施的分类根据国家对CIIP的要求以及CIIP自身的特点,可以将CIIP分为以下几类:1. 电力类:包括电网、变电站、发电厂等设施。
电力是现代社会生产的重要能源,收到破坏会直接影响国民经济的正常运转。
2. 金融类:包括银行、证券、保险等金融机构,以及ATM机、POS机等金融终端设备。
金融机构涉及到国家财政安全,一旦遭受攻击,将严重危及国家经济稳定。
3. 电信类:包括通信网络、无线通讯、卫星通信、计算机网络等。
通讯是现代社会信息传递的主要形式,一旦通讯设施受到攻击,将造成重大的社会和经济损失。
4. 交通类:包括道路交通、铁路交通、水路交通等。
交通是现代社会的重要血脉,一旦交通受阻或瘫痪,将造成灾难性的后果。
5. 能源类:包括石油、天然气、煤炭等重要能源产业,以及石油、天然气管道、储气库、储油罐等设施。
能源是现代社会最为重要的生产要素,一旦能源产业受到破坏,将对国民经济产生极大影响。
四、CIIP的安全问题CIIP的安全问题,主要集中在以下几个方面:1. 网络攻击:网络攻击是最常见的CIIP安全问题之一。
关键信息基础设施认定指南
关键信息基础设施认定指南一、什么是关键信息基础设施关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、广播电视播控系统等。
二、如何确定关键信息基础设施关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务可参考下表,结合本地区、本部门、本行业实际梳理关键(二)确定关键业务相关的信息系统或工业控制系统根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。
如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类符合以下条件之一的,可认定为关键信息基础设施:1.县级(含)以上党政机关网站。
2.所有新闻网站。
3.日均访问量超过100万人次的网站。
4.一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过100万人工作、生活;(2)影响单个地市级行政区30%以上人口的工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全。
关键信息基础设施定义及步骤
目录 CONTENTS
CRITICAL INFORMATION INFRASTRUCTURE DEFINITION AND STEPS
1 23
什关确 么键定 是信关 关息键 键基信 信础息 息设基 基施础 础的设 设保施 施护步
民航 公路 水运
关键业务
电力生产 电力传输 电力配送 油气开采 炼化加工 油气输送 油气储存
煤炭开采 炼化工
银行运营 证券期货交易 清算支付 保险运营 客运服务 货运服务 运输生产 车站运行 空运交通管控 机场运行 订票、离港及飞行调度检查安排 航空公司运营
公路交通管控 智能交通系统(一卡通、ETC收费等)
① 影响单个地市级行政区30%以上人口的 工作、生活;
② 影响10万人用水、用电、用气、用油、 取暖或交通出行等,
③ 导致5人以上死亡或50人以上重伤, ④ 直接造成5000万元以上经济损失: ⑤ 造成超过100万人个人信息泄露: ⑥ 造成大量机构、企业敏感信息泄露: ⑦ 造成大量地理、人口、资源等国家基础
消费品、电子制造) 危化品生产加工和存储管控(化学、核等)
高风险工业设施运行管控
水、暖、气供应管理
市政
城市轨道交通 污水处理
智慧城市运行及管控
语音、数据、互联网基础网络及枢纽
电信与互联网
域名解析服务和国家顶级域注册管理
数据中心/云服务
广播电视
电视播出管控 广播播出管控
政府部门
信息公开 面向公众服务 办公业务系统
能源 交通 水利 金融 公共服务 电子政务 国防科技
基础电信业务 广播电视 骨干型电网 公路 管理运营 全国性银行 邮政 应急管理 军工集团
信息安全技术关键信息基础设施安全保护要求内容
信息安全技术关键信息基础设施安全保护要求内容一、信息安全技术概述信息安全技术是指为保护计算机系统和网络不受非法侵入、破坏、篡改和泄露而采取的一系列措施,包括密码学、防火墙、入侵检测等技术。
二、关键信息基础设施概述关键信息基础设施(Critical Information Infrastructure,CII)是指对国家安全和经济社会发展具有重要意义,一旦遭受破坏将会对国家的政治、经济和社会生活造成严重影响的信息基础设施。
三、CII安全保护要求1. 安全管理制度建设CII必须建立健全的安全管理制度,包括安全策略和规划、风险评估与管理、安全培训和教育等方面。
2. 防火墙技术应用为了保障CII的网络安全,必须采用防火墙技术进行网络隔离和访问控制。
防火墙需要定期更新并进行漏洞扫描。
3. 入侵检测技术应用入侵检测系统(Intrusion Detection System,IDS)可以监视网络中的异常行为,并及时发现和报警,防止黑客攻击和恶意软件的传播。
4. 加密技术应用加密技术是保护信息安全的重要手段。
CII必须采用加密技术对重要数据进行加密保护,确保数据在传输和存储过程中不被窃取、篡改或破坏。
5. 安全审计与监控CII必须建立完善的安全审计与监控机制,对系统进行实时监测、分析和记录,及时发现并处理异常事件。
6. 应急响应机制建设CII必须建立健全的应急响应机制,包括预案编制、应急演练、应急处置等方面。
在遭受攻击或其他安全事件时可以快速响应并采取有效措施。
7. 人员安全管理CII必须严格管理人员权限和行为,对人员进行背景调查和安全培训,并定期进行安全审计。
同时要加强对外部人员的管理和监管。
8. 物理安全保障除了网络安全保护外,还需要对服务器房、机房等场所进行物理保护,如门禁系统、视频监控等措施。
四、总结关键信息基础设施安全保护是国家安全的重要组成部分。
为了确保CII 的安全,必须采取多种信息安全技术,建立完善的管理制度和应急响应机制,加强对人员和物理环境的保护。
关键信息基础设施确定指南(完整资料).doc
【最新整理,下载后即可编辑】附件1关键信息基础设施确定指南(试行)一、什么是关键信息基础设施关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
二、如何确定关键信息基础设施关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。
如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类符合以下条件之一的,可认定为关键信息基础设施:1. 县级(含)以上党政机关网站。
2. 重点新闻网站。
3. 日均访问量超过100万人次的网站。
4. 一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过100万人工作、生活;(2)影响单个地市级行政区30%以上人口的工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全。
关键信息基础设施的认定和十个保护要求
关键信息基础设施的认定和十个保护要求随着信息化时代的到来,信息已经成为了现代社会的重要资源,而信息基础设施则是信息的重要载体。
信息基础设施的安全保障已经成为了国家安全的重要组成部分。
为了保障信息基础设施的安全,我国制定了《关键信息基础设施保护条例》,并明确了关键信息基础设施的认定和十个保护要求。
一、关键信息基础设施的认定关键信息基础设施是指在国家安全、经济安全、社会稳定、公共利益等方面具有重要作用,一旦遭受破坏、丧失功能或者数据泄露,将会对国家安全、经济安全、社会稳定、公共利益等方面造成严重影响的信息基础设施。
关键信息基础设施包括电力、交通、金融、电信、水利、气象、广播电视、互联网等领域的基础设施。
二、十个保护要求1. 安全保障责任制度要落实到位关键信息基础设施的安全保障责任制度要落实到位,明确各级责任人员的职责和任务,确保安全保障工作的有效开展。
2. 安全保障机构要建立健全关键信息基础设施的安全保障机构要建立健全,确保安全保障工作的专业化和规范化。
3. 安全保障措施要全面覆盖关键信息基础设施的安全保障措施要全面覆盖,包括物理安全、网络安全、应急管理等方面。
4. 安全保障技术要先进可靠关键信息基础设施的安全保障技术要先进可靠,确保安全保障工作的有效性和可靠性。
5. 安全保障人员要专业有素关键信息基础设施的安全保障人员要专业有素,具备相关技能和知识,确保安全保障工作的专业化和规范化。
6. 安全保障培训要加强关键信息基础设施的安全保障培训要加强,提高安全保障人员的技能和知识水平,确保安全保障工作的有效开展。
7. 安全保障监测要加强关键信息基础设施的安全保障监测要加强,及时发现和处理安全问题,确保安全保障工作的有效性和可靠性。
8. 安全保障演练要定期开展关键信息基础设施的安全保障演练要定期开展,提高安全保障人员的应急处理能力,确保安全保障工作的有效性和可靠性。
9. 安全保障评估要定期开展关键信息基础设施的安全保障评估要定期开展,发现和解决安全问题,确保安全保障工作的有效性和可靠性。
关键信息基础设施确定指南(试行稿)
关键信息基础设施确定指南(试行)一、什么是关键信息基础设施关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
二、如何确定关键信息基础设施关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务(二)确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。
如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A. 网站类符合以下条件之一的,可认定为关键信息基础设施:1. 县级(含)以上党政机关网站。
2. 重点新闻网站。
3. 日均访问量超过100 万人次的网站。
4. 一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过100 万人工作、生活;(2)影响单个地市级行政区30%以上人口的工作、生活;(3)造成超过100 万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全5. 其他应该认定为关键信息基础设施。
信息关键基础设施与网络信息安全
入侵检测技术
总结词
入侵检测技术用于实时监测网络中的异常行 为和恶意攻击,及时发现并应对潜在的安全 威胁。
详细描述
入侵检测系统通过收集和分析网络流量、系 统日志等信息,检测出异常行为和恶意攻击 ,如未经授权的访问、数据篡改等。一旦发 现安全威胁,系统会立即采取措施,如报警 、阻断连接等,以防止攻击的进一步扩大和 损害。
员工培训
企业应对员工进行网络安全培 训,提高员工的网络安全意识
和技能。
政府网络安全实践
制定网络安全法律法规
政府应制定和完善网络安全法律法规 ,为网络安全提供法律保障。
建立网络安全管理机构
政府应设立专门的网络安全管理机构 ,负责监督和管理网络信息安全。
加强关键信息基础设施保护
政府应加大对关键信息基础设施的保 护力度,确保国家重要信息系统的安 全稳定运行。
攻击者通过大量请求拥塞目标系统, 导致服务瘫痪或性能下降。
内部威胁
内部人员误操作
员工不慎将敏感数据泄露给未经 授权的人员,或错误配置导致安
全漏洞。
恶意员工
员工出于私利或报复心态,利用职 务之便对关键基础设施进行破坏或 窃取数据。
权限滥用
员工超越权限访问敏感数据或执行 操作,可能导致数据泄露或系统受 损。
灾难恢复策略
总结词
灾难恢复策略是确保信息关键基础设施在遭受攻击或 灾难后能够快速恢复的重要保障。
详细描述
灾难恢复策略包括数据备份、系统备份、应急响应等 环节。定期对重要数据进行备份,确保数据不会因为 意外情况而丢失;对系统进行备份,以便在系统崩溃 或损坏时能够快速恢复;制定应急响应计划,对安全 事件进行快速响应和处理,最大程度地减少损失。同 时,灾难恢复策略还需要考虑地理冗余和业务连续性 ,确保在重大灾难发生时,关键业务能够继续运行。
关键信息基础设施 标准
关键信息基础设施标准随着信息化和网络化时代的深入发展,关键信息基础设施(CII)已成为国家安全、经济发展和社会稳定的重要基石。
以下围绕关键信息基础设施的标准,从基础硬件、操作系统、数据库、应用软件、网络安全、物理安全、人员管理、备份与恢复、风险评估与管理以及应急响应等10个方面进行阐述。
1.基础硬件基础硬件作为CII的基础设施,必须满足高可用性、高可靠性和高扩展性的要求。
关键硬件组件应采用冗余设计,确保单一故障不会导致整体系统瘫痪。
此外,硬件的维护和升级应遵循严格的操作程序和安全标准。
2.操作系统操作系统作为硬件与应用软件的桥梁,应采用经过验证的、安全的版本,并及时修补已知的安全漏洞。
此外,应限制不必要的系统功能和服务,以降低潜在的安全风险。
3.数据库数据库是存储和处理关键信息的主要场所。
数据库管理系统应具备强大的安全功能,如用户身份验证、访问控制和数据加密。
同时,数据库的备份和恢复策略应确保数据的完整性和可用性。
4.应用软件应用软件直接涉及业务功能的实现。
软件的开发应遵循安全开发生命周期(SDLC),确保从设计阶段就充分考虑安全性。
应用软件应定期进行安全漏洞扫描和修复。
5.网络安全网络安全是CII防护的核心环节。
应实施严格的访问控制策略,包括防火墙配置、入侵检测/防御系统(IDS/IPS)部署等。
此外,应定期进行网络脆弱性评估,并制定针对性的防范措施。
6.物理安全物理安全涉及到CII的物理环境安全。
应建立完善的门禁系统,限制未授权人员进入关键区域。
此外,应定期进行物理环境的安全检查,确保无安全隐患。
7.人员管理人员管理涉及到所有与CII相关的人员,包括用户和管理员。
应制定严格的访问权限管理策略,确保人员只能访问其所需的数据和功能。
此外,应对所有员工进行安全意识培训,使其了解并遵循安全规定。
8.备份与恢复备份与恢复是应对突发事件的关键措施。
应制定详细的备份策略,确保数据和配置信息得到及时备份。
此外,应定期进行恢复演练,确保在真正需要时可以快速恢复系统。
关键信息基础设施的认定和十个保护要求
关键信息基础设施的认定和十个保护要求《关键信息基础设施的认定和十个保护要求》一、背景关键信息基础设施(KII)是指以公用事业为基础提供社会关键服务,并应用信息技术的信息基础设施(ICS)设施系统,其重要性特别可见于重要的社会领域,如通信、电力和医疗保健。
这些关键基础设施的安全保护从而成为国家安全和社会稳定的重要基础。
二、定义根据《中华人民共和国关键信息基础设施保护条例(修订草案)》,KII是指,它对社会和经济发展具有重要意义以及对国家安全特别重要的信息基础设施系统。
三、标准与要求1、对KII的确定和识别根据《中华人民共和国关键信息基础设施保护条例(修订草案)》,KII的确定和识别是按照社会的战略安全需求,国家战略的发展方向,社会关键服务的需求,国家安全的要求,以及社会和经济的发展情况和技术特征来进行的。
2、KII的安全管理要求(一)建立KII的安全管理机制。
KII的安全管理机制应根据社会安全需求,对关键信息基础设施进行综合管理,并确保其安全运行。
(二)规章制度化。
应建立和完善关键信息基础设施的安全法律、法规和相关政策,明确关键信息基础设施安全的法律责任,加强管理。
(三)强化安全架构。
应设计完善的关键信息基础设施的安全架构,包括企业安全架构、技术安全架构、管理安全架构等,为安全架构及其管理提供可靠的保证。
(四)提高员工的安全意识。
应通过安全培训、安全演练和安全意识宣传等形式,提升关键信息基础设施的人员安全意识,强化安全规范知识以及安全行为技能。
(五)加强安全审批。
应建立和完善安全审查制度,对关键信息基础设施的安全、可靠性和可用性等进行审核,以确保对关键信息基础设施安全有效的管理。
3、KII的十个保护要求(一)加强物理环境安全的管理。
应加强物理环境的安全管理,并实施规范的安全检查。
(二)建立健全网络安全管理机制。
应建立和完善网络安全的管理机制,对网络系统的安全性、可靠性和可用性进行有效管理。
(三)实施计算机病毒检测和防控措施。
关键信息基础设施系列标准
关键信息基础设施系列标准关键信息基础设施(Critical Information Infrastructure,CII)是现代社会的重要组成部分,对于国家的安全、经济和社会发展具有至关重要的作用。
关键信息基础设施的系列标准是为了保障其安全和可靠性而制定的一系列规范和准则。
这些标准涉及到的领域非常广泛,包括信息技术、通信、能源、金融、交通等各个领域。
一、关键信息基础设施的定义和重要性关键信息基础设施是指那些对国家安全、经济和社会发展具有至关重要作用的设施,包括计算机系统、网络、数据中心、工业控制系统等。
这些设施承载着大量的重要数据和业务,一旦遭受攻击或破坏,将对国家安全、经济和社会发展带来极大的影响。
因此,保障关键信息基础设施的安全和可靠性具有非常重要的意义。
二、关键信息基础设施系列标准的主要内容1.风险管理关键信息基础设施的风险管理是其安全和可靠性的核心。
这些标准要求组织对关键信息基础设施进行全面的风险评估,识别潜在的安全威胁和漏洞,并采取相应的措施来降低风险。
同时,还需要建立完善的安全管理制度和流程,确保组织的安全策略和措施能够有效地实施。
1.网络安全网络安全是保障关键信息基础设施安全的重要方面。
这些标准要求组织采取一系列措施来保护网络的安全,包括防火墙、入侵检测和防御、数据加密等。
此外,还需要对网络进行监控和审计,及时发现和处理安全事件。
1.物理安全关键信息基础设施的物理安全也是非常重要的。
这些标准要求组织采取一系列措施来保护设施的物理安全,包括门禁系统、视频监控等。
此外,还需要对设施进行定期的检查和维护,确保设施的正常运行。
1.人员安全人员安全是保障关键信息基础设施安全的又一重要方面。
这些标准要求组织对人员进行全面的背景调查和审查,确保只有可信的人员能够接触关键信息基础设施。
此外,还需要对人员进行定期的安全培训和教育,提高人员的安全意识和技能。
三、关键信息基础设施系列标准的实施意义实施关键信息基础设施系列标准有助于提高组织的安全管理和防护能力,降低组织面临的安全风险。
关键信息基础设施 认定规则
关键信息基础设施认定规则关键信息基础设施(Critical Information Infrastructure,CII)是指在国家安全、经济发展、社会稳定等方面具有重要作用,一旦遭受破坏、瘫痪或失效,将对国家、社会、公众利益产生严重影响的信息基础设施。
为了保障关键信息基础设施的安全,各国都制定了相应的认定规则。
我将以中国为例,介绍中国的关键信息基础设施认定规则。
一、认定标准中国国家安全法规定,关键信息基础设施是指国家安全、国民经济、人民生命财产安全和公共利益至关重要的信息基础设施。
根据这一标准,中国国家互联网应急中心制定了《关键信息基础设施保护管理办法》(以下简称《办法》),规定了关键信息基础设施的认定标准。
《办法》规定,关键信息基础设施应当具备以下条件:(一)对国家安全、国民经济、人民生命财产安全和公共利益至关重要;(二)一旦遭受破坏、瘫痪或失效,将对国家、社会、公众利益产生严重影响;(三)具有较高的技术复杂性、专业性和关键性,一旦出现安全事故,后果难以控制。
二、认定程序《办法》规定,关键信息基础设施的认定应当按照以下程序进行:(一)由各省、自治区、直辖市确定本行政区域内的关键信息基础设施名录;(二)由国家互联网应急中心组织专家对各省、自治区、直辖市确定的名录进行审核,并在全国范围内公示;(三)由国家互联网应急中心组织专家对全国范围内的关键信息基础设施名录进行审核,并报国务院批准。
三、保护措施《办法》规定,关键信息基础设施的保护应当采取以下措施:(一)建立健全保护机制,制定保护措施和应急预案;(二)加强安全管理,建立安全责任制和安全管理制度;(三)加强技术防护,采取安全加固、安全监测、安全检测等技术手段;(四)加强人员管理,进行安全培训和背景审查;(五)加强安全监管,建立安全监管机制和安全评估制度。
以上就是中国关键信息基础设施认定规则的相关内容。
通过认定和保护措施的实施,可以有效保障关键信息基础设施的安全,维护国家安全和社会稳定。
《关键信息基础设施安全保护条例》解读 (一)
《关键信息基础设施安全保护条例》解读(一)2018年4月1日,《关键信息基础设施安全保护条例》正式公布实施,被媒体誉为“网络安全的重要法制突破”。
接下来,本文将为大家解读该条例,重点关注其主要内容和意义。
一、什么是关键信息基础设施?该条例规定,关键信息基础设施指“涉及国家安全、经济运行、公共利益,一旦遭受破坏、丢失或泄露,可能导致严重危害的网络与信息系统”。
二、规定了哪些主体应该承担安全保护的责任?该条例规定了“关键信息基础设施的所有者、运营者及其服务提供者应当承担相应的安全保护责任,制定并公布印有防护标识的安全保护责任书”。
三、要求哪些内容需要安全防护?条例规定了要求“关键信息基础设施的所有者、运营者及其服务提供者应当在安全保护责任书中制定相应的安全保护措施,包括安全检测、防护与监控、应急处置预案、信息安全人员培训等”。
四、规定了哪些行为违反该条例?条例规定了“私自拆除、移动、停用或销毁安全保护设施,未经授权擅自进入关键信息基础设施等行为”,这些行为违反该条例,将受到行政、刑事或民事等法律制裁。
五、对于如何进行监督执法,该条例做了哪些规定?该条例规定了“国家及有关部门应当加强关键信息基础设施安全保护体系建设,依法开展安全防范监督检查,查处违法违规行为”。
六、该条例对于信息安全有什么意义?该条例的出台标志着国家信息安全法制化进程建设上又一次实质性进展。
通过该条例的实施,将会加强对关键信息基础设施的安全防范,保护重要网络和信息系统的安全,促进信息经济的健康发展,维护公共利益。
七、该条例还有哪些不足?一方面,该条例对于关键信息基础设施安全保护的具体安全技术措施等方面没有明确指导,缺乏可操作性;另一方面,针对违规行为的处罚力度也需要进一步强化。
综上所述,《关键信息基础设施安全保护条例》是信息安全领域的一个重要里程碑,是保障国家信息安全的法制化举措。
我们需要认真遵守并加以落实,在保护个人隐私的同时,保障国家信息安全,建设网络强国。
信息关键基础 解读
关键信息基础设施(Critical Information Infrastructure,简称CII)是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业筹重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施保护与等级保护制度密切相关。
等级保护制度是网络安全工作的基线,关键信息基础设施安全保护是在等级保护基础上加强保护。
关键信息基础设施的运营者应加强两个“落实”和两个“建立”:落实国家网络安全等级保护制度相关要求,开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作;落实安全管理制度,制定适合本组织的网络安全保护计划,计划应每年至少修订一次;建立安全管理机构,应为每个关键信息基础设施明确一名安全管理责任人;建立安全管理结构,应明确从业人员安全保密职责和义务,并签订安全保密协议。
此外,为了应对网络安全威胁,关键信息基础设施的运营者还应采取技术措施和其他必要措施,确保其网络安全等级保护符合国家有关标准,并实施持续的维护和改进。
同时,应建立并完善网络安全事件应急预案,定期进行演练,以应对可能出现的网络安全事件。
总的来说,关键信息基础设施保护是一项重要的任务,需要各级政
府和企业共同努力,通过制定和实施相应的政策和措施,确保关键信息基础设施的安全和稳定运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关键信息基础设施关键信息基础设施的概念及关键性目前,国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。
开展在针对国家关键信息基础设施开展的研究中,首当其冲的理清关键基础设施(CI)和关键信息基础设施(CII)的关系问题。
在对CII的研究中发现,国际社会虽然对CI有着基本的共识,但对CII的认知存在较大的分歧。
近十年来,随着信息通信技术的进一步发展,越来越多的基础设施接入互联网,CII涵盖的范围也随之不断扩大。
1. 国际社会CI与CII的相关概念(1)关键基础设施相关概念国际社会上,国家关键基础设施(CI)的概念由来已久,这些设施的关键性在于关系国计民生,为社会提供不可缺少的产品和服务。
1. 美国2001年《爱国者法案》认为,CI是指关系到美国生死存亡的,无论是物理还是虚拟的系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。
2. 欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动,加强CI保护》中针对CI作出了定义,明确CI是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。
CI横跨经济的诸多部门和重要政府服务。
4. 德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转,在基础设施中,凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。
德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为:给定基础设施中IT部分的总和。
5. 荷兰明确规定,对于社会不可或缺的,其损坏速度造成全国性紧急状态,或者会在更长时间内对社会产生不良影响的基础设施,为CI。
3. 根据国际电信联盟的定义,国家关键信息基础设施是指支撑物理国家关键信息基础设施的信息系统。
CII保护之所以特别重要,主要有两点原因:1)它们在经济部门中扮演着价值不可估量且越来越重要的角色。
2)它们在各基础设施部门与保证其他基础设施随时运转的基本要求之间扮演着连接渠道的角色,此外还有若干种特性要求明确区分CI和CII。
首先,新兴信息基础设施的系统特点与传统体系(其中包括较早的信息基础设施)有着本质性区别,它们在规模、连接性和依赖性方面有别于后者。
这意味着需要用新的分析技术和方法来了解它们。
其次,由于网络威胁在性质和破坏力方面发展非常迅速,因此,保护性措施必须在技术上不断改进,同时还不断需要新的方法。
(3)国际社会CI和CII的关系分析CIP所涉及的范围要广于 CIIP(国家关键信息基础设施),而 CIIP是CIP 的基本组成部分,这两个概念之间的明显区别在于CIP牵涉一国基础设施的所有关键部门,而 CIIP是全面保护工作的一个分支,侧重于保护关键信息基础设施。
然而随着信息技术的发展,国家关键基础设施普遍网络化和信息化,犯罪分子、恐怖分子、邪教组织等敌对势力通过网络发起针对CI的攻击变得非常容易,攻击源分散且隐藏。
因此国际社会的国家关键基础设施保护逐渐聚焦于国家关键基础设施的网络安全保障上,关键信息基础设施和关键基础设施的边界逐渐模糊,两者的概念经常互相交错使用。
1998年美国签署的《关于保护美国关键基础设施的第63号总统令》中,设立了国家关键基础设施保护的国家目标,要求“采取所有必要的措施来迅速减弱关键基础设施——尤其是信息系统——在面临物理和信息攻击时的任何重大脆弱性”。
2003年2月美国发布的《网络空间安全国家战略》指出,“保护美国关键基础设施免遭网络攻击、降低国家在网络攻击前的脆弱性、缩短网络攻击发生后的破坏和恢复时间”为“网络空间安全”的三大战略目标。
总的来说,随着国家关键基础设施的普遍网络化和信息化,美国的国家关键基础设施保护逐渐聚焦于国家关键基础设施的网络安全保障上。
同时,在欧盟、澳大利亚、日本等国家,关键信息基础设施和关键基础设施的边界逐渐模糊,两者的概念经常互相交错使用。
关键信息基础设施已经逐渐与关键基础设施的边界趋同。
国际社会中,国家关键信息基础设施也通常用于泛指那些需要进行网络安全保障的国家关键基础设施。
2. 国内相关概念分析目前我国尚未从法律层面给出CI及CII的明确概念,在实施关键信息基础设施保护时经常处于无法可依的状况。
这但相关部门分别从重大基础设施和重点领域网络与信息系统两个角度开展了安全保障工作。
随着这些重大基础设施的网络化和信息化,通过将这些网络化和信息化的重大基础设施认定为国家关键信息基础设施,进而可为从国家层面全面部署,统一开展安全保障工作打下基础。
(1)我国相关概念基础重大基础设施:“《国务院办公厅关于开展重大基础设施安全隐患排查工作的通知》国办发〔2007〕58号”中使用了“重大基础设施”的概念,并列举了公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施等九种类别,但该定义过于偏重物理设施,涵盖范围较窄,可以作为关键业务梳理时的参考依据。
重点领域网络与信息系统:《2012年重点领域网络与信息安全检查总结报告》中指出,各重点领域共有XXXXX余个“重要网络与信息系统”,其中的调查报告则初步列举了我国XXX个关系国家安全、经济秩序正常运行和社会稳定的“关键网络与信息系统”。
初步划定了我国信息安全保障的重点。
基础信息资源:《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号文中提到,应强化信息资源和个人信息保护。
加强地理、人口、法人、统计等基础信息资源的保护和管理,保障信息系统互联互通和部门间信息资源共享安全。
明确敏感信息保护要求,强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任,严格规范企业、机构在我国境内收集数据的行为。
国家重要信息系统:2013年公安部发布了“关于开展国家重要信息系统调查工作的函”,对四级信息系统,以及第三级信息系统中跨省全国联网的大系统,对本行业、本部门重要业务起到关键支撑性作用或面向公众提供大范围服务(不包括政府网站)的信息系统,以及涉及国家安全、经济命脉、社会稳定和公共利益的极端重要系统,进行调查,并在2013年6月前上报。
该调查范围主要为三级、四级的等保定级对象。
关键信息基础设施:2014年2月27日召开的中央网络安全和信息化领导小组第一次会议中提到,建设网络强国,要有良好的信息基础设施,形成势力雄厚的信息经济,要完善关键信息基础设施保护等法律法规等。
重点领域:指政府、以及银行、证券、保险、电力、石油天然气、石化、煤炭、铁路、民航、公路、广播电视、国防军工、医疗卫生、教育、水利、环境保护等行业,城市轨道交通、供水供气供热等市政领域。
基础设施是通指为社会生产和居民生活提供公共服务的物质工程设施,是用于保证国家或地区社会经济活动正常进行的公共服务系统。
它是社会赖以生存发展的一般物质条件。
“基础设施”不仅包括公路、铁路、机场、通讯、水电煤气等公共设施,即俗称的基础建设(physicalinfrastructure),而且包括教育、科技、医疗卫生、体育、文化等社会事业即“社会性基础设施”(social infrastructure)。
早期的信息基础设施的范围包含了诸如通信管网(由光纤PSTN、同轴电缆、以太网线及其管道资源等组成)、无线基站、中继设备、各级机房以及相关配套的电源、建筑等设施。
信息基础设施是国家基础设施的重要内容,对国民生产生活发挥着巨大的作用。
(2)关键信息基础设施概念共识早期,信息基础设施通常被理解为电信网络和广播电视网络。
是保障信息通信的金融、国家机关等国家重要领域基础设施正常运作的信息网络。
也有观点认为信息基础设施就是支撑信息技术研发、应用的基础平台,如电子签名认证PKI中心、电子数据鉴定中心、网络安全测评与认证中心、网络安全应急中心、国家漏洞库等。
还有的观点认为在信息基础设施中起核心支撑作用的信息系统即为国家关键信息基础设施。
甚至认为关键的操作系统、数据库也应该列入国家关键信息基础设施中。
综上所述,对于国家关键信息基础设施的定义的认识存在不同层面上的差异,有的理解为物理设施,有的理解为信息系统,还有的理解为基础网络。
但比较一致的观点是,仅将国家关键信息基础设施理解为信息系统,或者信息网络,已经不能适应现今网络空间网络安全保障的需求。
网络安全保障应该着眼全局,从业务保障的角度,自上而下的确认需重点保障的对象。
将保护对象由信息系统的概念上升至“设施”层面,随着信息基础设施边界扩展至由通信网络连接的计算机、信息资源等随着关键基础设施的普遍信息化和网络化,关键基础设施与关键信息基础设施的概念逐渐统一。
3. 关键信息基础设施关键性的思考国家关键信息基础设施互相关联,构成一个复杂、庞大的动态体系,为国防安全、经济运行提供不可替代的物质和服务。
国家关键信息基础设施一般具有以下一项或几项特征:(1)关键信息基础设施为国家正常运转提供必需的产品和服务关键信息基础设施承载或支撑部门行业关键核心业务,即支撑部门行使职能,行业正常运转,对于部门或行业稳定运行具有战略性作用。
国家正常运转所依赖的是产品、服务的不间断可靠供给,而非某个具体的设施。
因此,我们要保护的目标不是静态的基础设施,而是关键信息基础设施在社会上担任的角色和发挥的功能,所体现出来的核心价值。
当所提供的产品和服务对于国家正常运转来说是可广泛替代的、或者不重要时,该设施将不再是关键的。
虽然设施相对于服务和产品较易把握和掌控,但设施的关键性考虑不能脱离其支撑业务的关键性考虑。
(2)关键信息基础设施是结构体系中被强依赖的关键节点关键信息基础设施所承载业务对其他部门或行业核心业务有较大关联性影响。
某个基础设施或其某个组件之所以关键是由其在整个基础设施系统中的结构性地位决定的,尤其是当其在其他基础设施或部门之间起着连接渠道的作用时,在结构体系中表现为被强依赖的关键节点。
通常关键信息基础设施作为个体,可以应对分散的故障,对于随机故障或局部故障有较强的恢复力,但是在针对关键节点的,系统性的,重复性的攻击面前异常脆弱。
对这类关键信息基础设施的攻击会造成直接的和间接的后果。
所产生的破坏通过关联的行业、领域逐渐传递,会造成连锁连片的严重后果。
(3)关键信息基础设施可能是高危设施,被攻击可导致直接的破坏后果化工、核电站等设施在经济部门中扮演概述着必不可少的角色,但是由于该设施与生俱来的的高危特点,存在爆炸,泄漏、坍塌、污染等隐患,可造成环境污染、人员伤亡、等严重后果,进而影响人民群众生产生活、影响国家正常运转的设施。