1、 1 资料 1关键信息基础设施确定指南(试行)一、什么是关键信息基础设施关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。二、如何确定关键信息基
2、础设施关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。(一)确定本地区、本部门、本行业的关键业务。 2 可参考下表,结合本地区、本部门、本行业实际梳理关键业务。行业 关键业务电力 电力生产(含火电、水电、核 电等) 电力传输 电力配送石油石化 油气开采 炼化加工 油气输送 油气储存能源煤炭 煤炭开采 煤化工金融 银行运营 证券期货交易 清算支付 保险运营铁路 客运服务 货运服务 运输生产 车站运行民航 空运交通管控 机场
3、运行 订票、离港及飞行调度检查安排 航空公司运营公路 公路交通管控 智能交通系统(一卡通、ETC 收费等)交通水运 水运公司运营(含客运、货运) 港口管理运营 航运交通管控水利 水利枢纽运行及管控 长距离输水管控 城市水源地管控医疗卫生 医院等卫生机构运行 疾病控制 急救中心运行环境保护 环境监测及预警(水、空气、土壤、核辐射等)工业制造(原材料、装备、消 费品、电子制造) 企业运营管理 智能制造系统(工业互联网、物联网、智能装备等) 危化品生产加工和存储管控(化学、核等) 高风险工业设施运行管控市政 水、暖、气供应管理 城市轨道交通 污水处理 智慧城市运行及管控电信与互联网 语音、数据、互联
4、网基础网络及枢纽 域名解析服务和国家顶级域注册管理 数据中心/云服务 3 广播电视 电视播出管控 广播播出管控政府部门 信息公开 面向公众服务 办公业务系统(二)确定关键业务相关的信息系统或工业控制系统。根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。(三)认定关键信息基础设施。对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。A.网站类符合以下条件之一的,
5、可认定为关键信息基础设施:1. 县级(含)以上党政机关网站。2. 重点新闻网站。3. 日均访问量超过 100 万人次的网站。4. 一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过 100 万人工作、生活;(2)影响单个地市级行政区 30%以上人口的工作、生活;(3)造成超过 100 万人个人信息泄露; 4 (4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全。5. 其他应该认定为关键信息基础设施。B.平台类符合以下条件之一的,可认定为关键信息基础设施:1. 注册用户数超过 1000 万,或活跃用户(
6、每日至少登陆一次)数超过 100 万。2. 日均成交订单额或交易额超过 1000 万元。3. 一旦发生网络安全事故,可能造成以下影响之一的:(1)造成 1000 万元以上的直接经济损失;(2)直接影响超过 1000 万人工作、生活;(3)造成超过 100 万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害社会和经济秩序,或危害国家安全。4.其他应该认定为关键信息基础设施。C.生产业务类符合以下条件之一的,可认定为关键信息基础设施:1. 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指
7、挥等相关的城市管理系统。 5 2. 规模超过 1500 个标准机架的数据中心。3. 一旦发生安全事故,可能造成以下影响之一的:(1)影响单个地市级行政区 30%以上人口的工作、生活;(2)影响 10 万人用水、用电、用气、用油、取暖或交通出行等;(3)导致 5 人以上死亡或 50 人以上重伤;(4)直接造成 5000 万元以上经济损失;(5)造成超过 100 万人个人信息泄露;(6)造成大量机构、企业敏感信息泄露;(7)造成大量地理、人口、资源等国家基础数据泄露;(8)严重损害社会和经济秩序,或危害国家安全。4.其他应该认定为关键信息基础设施。 6 资料 2关键信息基础设施登记表填表单位(盖章
8、):设施名称(全称): 单位全称组织机构代码单位地址省(自治区、直辖市) 地(区、市、州、盟) 县(区、市、旗) 邮政编码: 行政区划代码 1: 单位类型党政机关 事业单位社会团体 国有及国有控股企业民营企业 其它: 法人代表/单位主要负责人 2姓 名: 职 务: 固定电话: 主管单位信息上一级主管单位无有 主管单位全称: 设施主要负责人姓名: 职 务: 手机: 固定电话: 网络安全管理部门及负责人是否已明确网络安全管理部门:是 否负 责 人: 职 务: 手 机: 固定电话: 联系方式运维单位及联系人运维单位全称: 运维联系人: 手 机: 1按照中华人民共和国行政区划代码 (GB/T 2260
9、-2007)规定填写。2无法人代表的单位可填写单位主要负责人。 7 设施类型 3网站类,日均访问量: 万次党政机关网站 新闻信息网站 事业单位网站 社会团体网站国有企业网站 其他: 平台类,注册用户数 4: 万人即时通信网络购物,日均成交订单额: 万元网络交易,日均交易额: 万元网络支付,日均交易额: 万元其他,平台类型: 生产业务类与危险品的生产、运输、仓储等直接关联功能描述(描述该设施所承载的主要功能,服务范围,以及设施对关键业务的支撑作用。)网页入口信息 5域名: IP 地址: ICP 备案号: 设施特征是否实时运行:是 否是否面向社会公众提供服务:是 否基本信息影响分析发生网络安全事故
10、,可能导致以下后果(可多选):影响单个地市级行政区 30%以上人口的工作、生活;直接影响 1000 万人工作、生活;影响 10 万人用水、用电、用气、用油、取暖或交通出行等;导致 5 人以上死亡或 50 人以上重伤;3根据附件 1 的关键信息基础设施确定指南的分类原则进行确定。4不需要用户注册的平台直接填“0” 。5网站和平台类填写网址;生产业务类填写用户登录入口信息;无用户登录入口,可填写后台管理系统登录入口信息。如无域名、ICP 备案号,可不填写。 8 影响分析造成 1000 万元以上直接经济损失;造成超过 100 万人个人信息泄露;造成大量机构、企业敏感信息泄露;造成大量地理、人口、资源
11、等国家基础数据 6泄露;严重损害社会和经济秩序,或危害国家安全。其他,影响程度描述: 投入情况2015 年信息化建设(含运维)总投入(万元): ,其中网络安全总投入(万元): 基本信息信息技术产品国产化率服务器 数量: 台 国产化率: 存储设备 数量: 台 国产化率: 路由器 数量: 台 国产化率: 交换机 数量: 台 国产化率: 服务器操作系统 数量: 套 国产化率: 数据库管理系统 数量: 套 国产化率: 数据内容(可多选)收集或存储个人信息,涉及 万人收集或存储商业数据,涉及 个机构收集或存储国家基础数据,涉及数据内容 存储位置 全部境内存储 有数据境外存储,主要存储地 7 数据集中 全
12、国数据集中 省级数据集中 无数据集中与境外信息系统数据交换存在 不存在数据存储数据加密数据存储与传输均加密 数据存储与传输均未加密仅数据存储加密 仅数据传输加密6指人口信息资源、法人单位信息资源、自然资源和空间地理信息资源、电子证照信息资源、社会信用信息资源等国家基础性信息资源。7填写存储地国际长途区号,如美国为 001,日本为 0081 9 网络运行环境与互联网物理隔离 与互联网连接,互联网接入口数量: 个运行环境托管情况未托管托 管主要托管地 8: 托管单位(全称): 托管方式:主机托管 虚拟主机/云计算 其它 运行维护运维模式自行运维 外包运维主要运维厂商全称:境内厂商 境外厂商 运维方
13、式: 现场运维 远程运维 网设施风险评估 9对国外产品和服务的依赖程度: 高 中 低面临的网络安全威胁程度: 高 中 低网络安全防护能力: 高 中 低8如在国内,填写行政区划编码,如在国外,填写所在国国际长途区号,如美国为 001,日本为 0081。9评估方法:一、对国外产品和服务的依赖程度1. 高:国外停止产品更新升级、终止技术支持等服务后,关键信息基础设施无法运行。2. 中:国外停止产品更新升级、终止技术支持等服务后,关键信息基础设施能够运行,但功能、性能等受较大影响。3. 低:国外停止产品更新升级、终止技术支持等服务后,关键信息基础设施能够正常运转或受影响较小。二、面临的网络安全威胁程度
14、1.关键信息基础设施具有下述特征之一的,为高安全威胁:(1)连接互联网,采用远程在线方式进行运维或对国外产品和服务高度依赖;(2)跨地区联网运行或网络规模大、用户多,采用远程在线方式进行运维或对国外产品和服务高度依赖;(3)存在其他可能导致设施中断或运行受严重影响、大量敏感信息泄露等威胁。 10 安全漏洞管理 定期对系统漏洞进行检查分析:是 否网络安全监测无 自主监测 委托第三方监测,监测机构全称: 云防护措施采用云防护服务,服务商全称: 未采用云防护服务应急措施网络安全应急预案:已制定 未制定网络安全应急演练:本年度已开展 本年度未开展灾备情况(可多选)数据灾备 RPO 10: 系统灾备 R
15、TO 11: 无灾备措施络安全状况网络安全状况网络安全事件2015 年发生的网络安全事件次数: 次,其中由于软硬件故障导致的事件次数: 次2015 年检测发现的高危漏洞数: 个用途身份认证 访问控制 电子签名 传输保护存储保护 密钥管理 安全审计 其他 商用密码使用情况密码设备使用了 (台套)密码设备其中,取得国家密码管理局审批型号的数量 (台套)未取得审批型号的国内产品数量 (台套)2.具有下述特征之一的,为中安全威胁:(1)连接互联网,对国外产品和服务中度依赖;(2)跨地区联网运行或网络规模大、用户多,对国外产品和服务中度依赖;(3)存在其他可能导致设施运行受较大影响、敏感信息泄露等威胁。3.具有下述特征之一的,为低安全威胁:(1)连接互联网,对国外产品和服务依赖度低;(2)跨地区联网运行或网络规模大、用户多,对国外产品和服务依赖度低;(3)存在其他可能导致设施运行受影响、信息泄露等威胁。三、网络安全防护能力1.高:经组织专业技术力量进行攻击测试,不能通过互联网进入或控制设施。2.中:经组织专业技术力量进行攻击测试,能够通过互联网进入或控制设施,但进入或控制系统的难度较高。3.低:经组织专业技术力量进行攻击测试,能够轻易通过互联网进入或控制设施。