其实从业者都知道风险评估,很多人也看了关基保护要求中有关分析识别相关工作要求。但是,现实是在风险评估以及关基资产识别过程中,很多单位存在过多的误解,而有些单位既开展了风险评估,也做了资产识别,但是两个资产识别却存在矛盾的情况。由此可知,其实风险评估过程中过于形式化,走过场式的工作太过严重。下面我们结合两个国家标准,一起乱谈几句,希望不要误导各位:关键信息基础设施安全保护要求第一个大内容是分析识别,分析识别的描述如下:分析识别:围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。分析识别是后面工作的基础,分析识别工作的质量就显得尤为重要了。但是实际工作中,我们发现这块往往不能令人满意。一则是某些风险评估实施者被绑架,不能实事求是开展工作,唯上不唯实的工作态度,主打一个应付了事,以至于很多网络安全服务机构以及关基运营者认为这是非常简单而无关重要的工作。二则是开展风险评估的团队,自身综合能力不够,以至于业务识别不准、资产识别不准,当然风险也识别不准,潦草应付以出报告最为“合规”归宿,最终为后面的工作开展不顺畅埋下伏笔。![]()
当基础不稳时,大楼越高风险越大。就像当年上海的“楼倒倒”一样,好似高楼建在稀泥地上。就关基保护而言,前面风险评估开展不好,那么后面的工作自然越干越乱,越乱还得继续干,最终搞得上下都是疲于奔命,而也需要用更多的虚假材料去给领导“交差”,一旦出现事就像“楼倒倒”,压到谁虽然未知,但是必然要有人出来负一定的法律责任。分析识别共分为业务、资产、风险三类识别及重大变更。在分析识别过程中,也是环环相扣的关系。应识别本组织的关键业务和与其相关联的外部业务;
应分析本组织关键业务对外部业务的依赖性;
应分析本组织关键业务对外部业务的重要性;
应梳理关键业务链,明确支撑关键业务的关键信息基础设施分布和运营情况。
应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、数据、服务和其他类资产的资产清单;
应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级;
应采用资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新
应按照GB/T 20984等风险评估标准,对关键业务链开展安全风险分析,识别关键业务链各环节的威胁、脆弱性,确认已有安全控制措施,分析主要安全风险点,确定风险处置的优先级,形成安全风险报告。在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,应重新开展识别工作,可能影响认定结果的,应及时将相关情况报告保护工作部门,并更新资产清单。分析识别的风险识别对应《信息安全技术 信息安全风险评估方法》GB/T 20984 作为工作开展的依据,是我们开展风险评估的一个基础性国家标准。该标准描述了信息安全风险评估的基本概念、风险要素关系,风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。适用于各类组织开展信息安全风险评估工作。该标准给出了风险评估框架及流程、风险评估实施、风险分析、风险评价、沟通与协商、风险评估文档记录等。风险评估框架及流程说明了风险要求关系、风险分析原理、风险评估流程等;风险评估实施则明确了风险评估准备、风险识别、威胁识别、脆弱性识别。![]()
在风险评估对应国家标准中,风险识别则涵盖了业务识别、系统资产识别、系统组件和单元资产识别等内容,我们看到风险评估能够覆盖关基国家标准中分析识别中描述到的三部分内容,可以理解这三部分总体都是需要通过开展风险评估工作来实现。风险评估实施中除了风险识别外,还涉及到威胁识别、脆弱性识别,所以在分析识别过程中,需要充分利用《信息安全技术 信息安全风险评估方法》GB/T 20984及其配套的标准,而风险评估工作是一项基础性工作也是一项比较难开展的工作,风险评估开展的好与坏直接关系影响着后面工作开展的好坏。我们现在网络安全市场面临着前所未有的压力,但是以风险评估为例,我们出具的风险评估报告价值几何?是应付合规检查还是应付领导的审视,如果是这两点那么就是一个破章几张废纸,那么我们抱怨的是什么呢?没有质量的安全服务,其实不是安全服务,只是自欺欺人的一种慰藉,既然是自欺欺人,谈什么市场呢?那么当真正面临监管机关调查时,又是一番苦口婆心的狡辩,而每当监管机关处罚某些单位时,其实背后都有安全厂商和服务机构。
— 欢迎关注 往期回顾 —
230个网络和数据安全相关法律法规规范文件打包下载
网络安全等级保护:等级保护的概念
网络安全等级保护:等级保护工作的内涵
网络安全等级保护:开展网络等级保护工作的流程
网络安全等级保护:贯彻落实网络安全等级保护制度的原则
网络安全等级保护:开展网络安全等级保护工作的法律依据
网络安全等级保护:开展网络安全等级保护工作的政策依据
网络安全等级保护:开展网络安全等级保护工作的标准依据
网络安全等级保护:等级保护工作从定级到备案
网络安全等级保护:网络总体安全规划很重要
网络安全等级保护:一定要做好网络安全运行与维护
网络安全等级保护:应急响应与保障是法定要求
网络安全等级保护:如何正确处理终止的等级保护对象
网络安全等级保护:政策与技术“七一”大合集100+篇
网络安全等级保护:安全管理机构
网络安全等级保护:网络安全事件分类分级思维导图
网络安全等级保护:明确测评双方的责任从了解测评过程指南开始(思维导图下载)
>>>关键信息基础设施安全保护<<<
关键信息基础设施安全保护要求思维导图
>>>数据安全系列<<<
警惕风险突出的100个高危漏洞(上)
警惕风险突出的100个高危漏洞(下)
警惕“两高一弱”风险及安全防护提示(全集)
不履行网络安全保护义务是违法行为!多家单位被通报!
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
四川遂宁公安公布10起涉网违法犯罪典型案例
276人落网!河南新乡警方摧毁特大“网络水军”犯罪团伙
非法出售公民个人信息 网站经营者被判三年有期徒刑
超范围采集公民信息,违法!鹤壁网警出手
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
重庆某国企因网安责任人履职不到位被约谈
回顾长沙市三个区网信开出首张罚单的不同时间和处罚单位类型
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网安局:拒不履行网络安全保护义务,处罚!事关备案!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<
2023年10佳免费网络威胁情报来源和工具
重大网络安全事件事后工作很重要
默认安全:对现代企业意味着什么
网络安全知识:什么是事件响应?
网络安全知识:什么是攻击面?
网络安全知识:什么是访问控制列表 (ACL)?
网络安全知识:什么是访问管理?
网络安全知识:什么是访问矩阵?
网络安全知识:什么是账户收集?
网络安全知识:什么是工业控制系统 (ICS) 网络安全?
网络安全知识:什么是暴力攻击?
网络安全知识:什么是安全审计?
网络安全知识:什么是分组密码?
网络安全知识:什么是僵尸网络?
网络安全知识:什么是非对称加密?
网络安全知识:什么是边界网关协议 (BGP)?
网络安全知识:什么是缓冲区溢出?
网络安全知识:网络安全中的EDR是什么?
网络安全知识:什么是身份验证?
网络安全知识:什么是勒索软件?
网络安全知识:什么是授权?
网络安全知识:什么是自治系统?
网络安全知识:什么是蓝队?
网络安全知识:什么是Bind Shell?
网络安全知识:什么是安全网关?
网络安全知识:什么是蓝队?
网络安全知识:什么是防病毒产品?
网络安全知识:什么是横幅抓取?
网络安全知识:什么是堡垒主机?
网络安全知识:什么是引导扇区病毒?
网络安全知识:计算机网络中的桥接器
网络安全知识:什么是广播?
网络安全知识:什么是业务连续性计划?
网络安全知识:什么是基于证书的身份验证?
网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?
网络安全知识:什么是补丁管理?
网络安全知识:什么是跨站请求伪造?
网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?
网络安全知识:什么是拒绝服务(DoS)攻击?
网络安全知识:什么是端到端加密 (E2EE)?
将人类从网络安全中解放出来
