關鍵信息基礎設施邊界確定方法
發(fā)布時間:2020-08-25 來源: 思想?yún)R報 點擊:
ICS 35.040 L80
中 華 人 民 共 和 國 國 家 標 準
GB/T XXXXX—XXXX
信息安全技術 關鍵信息基礎設施邊界確定方法 Information security technology - Method of boundary identification for critical information infrastructure 在提交反饋意見時,請將您知道的相關專利與支持性文件一并附上。
(征求意見稿)
2020 年 7 月 XXXX - XX - XX 發(fā)布 XXXX - XX - XX 實施
GB/T XXXXX—XXXX
目
次 前言 ................................................................................... I 引言 ................................................................................... I 1 范圍 ................................................................................. 2 2 規(guī)范性引用文件 ....................................................................... 2 3 術語和定義 ........................................................................... 2 4 縮略語 ............................................................................... 3 5 概述 ................................................................................. 3 6 關鍵信息基礎設施邊界識別基本原則 ..................................................... 4 6.1 業(yè)務安全原則 ..................................................................... 4 6.2 整體性原則 ....................................................................... 4 6.3 重要性原則 ....................................................................... 4 6.4 動態(tài)識別原則 ..................................................................... 4 7 關鍵信息基礎設施邊界識別模型 ......................................................... 4 7.1 模型說明 ......................................................................... 4 7.2 關鍵業(yè)務 ......................................................................... 5 7.3 網(wǎng)絡設施、信息系統(tǒng) ............................................................... 5 7.4 關鍵業(yè)務信息 ..................................................................... 6 7.5 關鍵業(yè)務信息流 ................................................................... 6 7.6 關鍵信息基礎設施元素 ............................................................. 7 7.7 基礎運行環(huán)境 ..................................................................... 7 7.8 關鍵信息基礎設施邊界 ............................................................. 7 8 關鍵信息基礎設施邊界識別流程 ......................................................... 7 9 關鍵業(yè)務基礎情況梳理 ................................................................. 8 9.1 概述 ............................................................................. 8 9.2 基本信息梳理 ..................................................................... 8 9.3 業(yè)務特征梳理 ..................................................................... 9 9.4 業(yè)務架構梳理 ..................................................................... 9 9.5 業(yè)務范圍梳理 ..................................................................... 9 9.6 基礎情況描述 ..................................................................... 9 10 關鍵業(yè)務信息化情況梳理 .............................................................. 9 10.1 概述 ........................................................................... 10 10.2 信息化范圍梳理 ................................................................. 10 10.3 關鍵業(yè)務信息梳理 ............................................................... 10 10.4 信息化情況描述 ................................................................. 10 11 關鍵信息基礎設施元素梳理 ........................................................... 10 11.1 概述 ........................................................................... 10 11.2 關鍵業(yè)務信息流梳理 ............................................................. 11
GB/T XXXXX—XXXX
11.3 CII 候選元素歸集 ............................................................... 11 11.4 關鍵信息基礎設施候選元素描述 ................................................... 11 12 關鍵信息基礎設施元素關鍵性評估 ..................................................... 11 12.1 概述 ........................................................................... 11 12.2 業(yè)務連續(xù)性評估 ................................................................. 12 12.3 業(yè)務完整性評估 ................................................................. 12 12.4 數(shù)據(jù)保密性評估 ................................................................. 12 12.5 關鍵性判定 ..................................................................... 12 12.6 關鍵性評估結果描述 ............................................................. 12 13 關鍵信息基礎設施邊界確定 ........................................................... 13 13.1 目標 ........................................................................... 13 13.2 CII 邊界信息文件 ............................................................... 13 附錄 A (資料性)
關鍵信息基礎設施邊界描述文件模版 ..................................... 14 附錄 B (資料性)
關鍵信息基礎設施邊界識別示例 ......................................... 15 參考文獻 .............................................................................. 20
GB/T XXXXX—XXXX I 前
言 本文件按照 GB/T 1.1—2020《標準化工作導則 第 1 部分:標準化文件的結構和起草規(guī)則》的規(guī)定起草。
本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。
本文件主要起草單位:國家信息技術安全研究中心、國家能源局信息中心、交通運輸信息安全中心有限公司、中國移動通信集團有限公司、騰訊云技術(北京)有限責任公司、華為技術有限公司、中國信息通信研究院、阿里云計算有限公司、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心、浙江螞蟻小微金融服務集團股份有限公司、國家工業(yè)信息安全發(fā)展研究中心、公安部第三研究所、中國互聯(lián)網(wǎng)絡信息中心、國家能源集團神華信息技術有限公司、中國網(wǎng)絡安全審查技術與認證中心、中國電子技術標準化研究院、中國信息安全測評中心、中電長城網(wǎng)際系統(tǒng)應用有限公司、中電數(shù)據(jù)服務有限公司、阿里巴巴(北京)軟件服務有限公司。
本文件主要起草人:秦小偉、胡容銓、馮燕春、郭曉雷、胡紅升、劉賢剛、劉瑛煜、張濱、龔斌、杜紅亮、于盟、卜哲、唐旺、戴明、陳亮、孫曉麗、王惠蒞、李洪濤、閔京華、任衛(wèi)紅、樊曉賀、李煥、杜漸、邱勤、劉曦澤、龐婷、方海峰、張大江、廖智杰、宋璟、宋錚、孫旭東、樊洞陽、張新躍、白曉媛、肖政、周亞超、陳雪鴻、甘杰夫、楊鵬、黃少青、王許培、邸麗清。
GB/T XXXXX—XXXX I 引
言 識別和確定關鍵信息基礎設施邊界,是開展關鍵信息基礎設施安全保護工作的前提。關鍵信息基礎設施邊界識別,是在行業(yè)主管部門認定關鍵業(yè)務之后,由關鍵信息基礎設施運營者對關鍵業(yè)務進一步分析、梳理,將關鍵業(yè)務持續(xù)、穩(wěn)定運行不可或缺的網(wǎng)絡設施、信息系統(tǒng)識別出來,為保護、審查、應急處置等工作提供依據(jù)。
本文件給出了一種基于信息流的關鍵信息基礎設施邊界確定方法,為關鍵信息基礎設施運營者開展關鍵信息基礎設施邊界識別工作提供參考。
《信息安全技術 關鍵信息基礎設施安全檢查評估指南》依據(jù)識別結果,對如何開展關鍵信息基礎設施安全檢查評估進行了規(guī)范;《信息安全技術 關鍵信息基礎設施安全保障指標體系》依據(jù)檢查評估結果,對如何評價關鍵信息基礎設施安全運行狀態(tài)進行了規(guī)范。
GB/T XXXXX—XXXX 2 信息安全技術 關鍵信息基礎設施邊界確定方法 1 范圍 本文件提出了關鍵信息基礎設施邊界識別基本原則,給出了關鍵信息基礎設施邊界識別模型、方法和流程。
本文件適用于關鍵信息基礎設施運營者開展關鍵信息基礎設施邊界識別工作。
2 規(guī)范性引用文件 下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 20986—2007 信息安全技術 信息安全事件分類分級指南 GB/T 25069 信息安全技術 術語 3 術語和定義 GB/T 25069 和 GB/T 32919—2016 界定的以及下列術語和定義適用于本文件。
3.1 關鍵業(yè)務
critical business 電信、廣播電視、能源、金融、交通運輸、水利、應急管理、衛(wèi)生健康、社會保障、國防科技等行業(yè)和領域中一旦遭到破壞或者喪失功能,會嚴重危害國家安全、經(jīng)濟安全、社會穩(wěn)定、公眾健康和安全的業(yè)務。
3.2 網(wǎng)絡設施
network facilities 連接通信信息網(wǎng)絡(例如,互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控網(wǎng)、專用網(wǎng)等)以及在上述網(wǎng)絡中對信息進行設計、采集、整合、處理、呈現(xiàn)、應用、存儲、銷毀等操作的物理設備。
3.3 信息系統(tǒng)
information system 由計算機軟硬件、網(wǎng)絡及其相關配套設備、信息資源等組成的,按照一定規(guī)則對信息進行設計、采集、整合、處理、呈現(xiàn)、應用、存儲、銷毀等操作的人機系統(tǒng)。
[來源:GB/T 20986—2007,2.1,有修改] 3.4 關鍵信息基礎設施
critical information infrastructure
GB/T XXXXX—XXXX 3 支撐關鍵業(yè)務持續(xù)、穩(wěn)定運行不可或缺的網(wǎng)絡設施、信息系統(tǒng)。在形態(tài)構成上,可以是單個網(wǎng)絡設施、信息系統(tǒng),也可以是由多個網(wǎng)絡設施、信息系統(tǒng)組成的集合。在本質(zhì)上,屬于關鍵業(yè)務的信息化部分,為關鍵業(yè)務提供信息化支撐。
3.5 關鍵信息基礎設施元素
critical information infrastructure element 對構成關鍵信息基礎設施的網(wǎng)絡設施、信息系統(tǒng)的統(tǒng)稱,是關鍵信息基礎設施邊界識別的最小單元。
3.6 關鍵業(yè)務信息
critical business information 關鍵業(yè)務持續(xù)、穩(wěn)定運行不可或缺的信息,是關鍵信息基礎設施元素對關鍵業(yè)務提供信息化支撐的橋梁和紐帶。關鍵信息基礎設施元素通過對關鍵業(yè)務信息進行設計、采集、整合、處理、呈現(xiàn)、應用、存儲、銷毀等操作,支撐關鍵業(yè)務自動化、智能化、高效運行。
3.7 關鍵業(yè)務信息流
critical business information flow 關鍵業(yè)務信息從產(chǎn)生到終止,在整個生存周期內(nèi)的流動軌跡,處于該流動軌跡上的網(wǎng)絡設施、信息系統(tǒng)是關鍵信息基礎設施候選元素,經(jīng)關鍵性評估,一旦遭到攻擊、喪失功能或者數(shù)據(jù)泄露會嚴重危害關鍵業(yè)務持續(xù)、穩(wěn)定運行的網(wǎng)絡設施、信息系統(tǒng)列為關鍵信息基礎設施元素。
3.8 關鍵信息基礎設施邊界
critical information infrastructure boundary 以關鍵業(yè)務為基礎,由識別方法和關鍵信息基礎設施元素構成,反映關鍵信息基礎設施元素與關鍵業(yè)務之間的支撐、依賴關系以及關鍵信息基礎設施元素的分布、部署情況,是開展保護、審查、應急處置等工作的重要依據(jù)。
4 縮略語 下列縮略語適用于本文件:
CII:關鍵信息基礎設施(critical information infrastructure)
CBI:關鍵業(yè)務信息(critical business information)
CBIF:關鍵業(yè)務信息流(critical business information flow)
5 概述 本文件在行業(yè)主管部門認定關鍵業(yè)務后,依據(jù)關鍵業(yè)務,給出了一種基于信息流的CII邊界確定方法:
通過關鍵業(yè)務基礎情況梳理,明確關鍵業(yè)務運行框架、組織結構、業(yè)務特征、業(yè)務范圍等信息;通過關鍵業(yè)務信息化情況梳理,厘清關鍵業(yè)務信息化建設、信息化管理、信息化運維等信息,明確關鍵業(yè)務信息的種類和作用;通過CII元素梳理,分析關鍵業(yè)務信息(CBI)整個生存周期內(nèi)的流動軌跡(CBIF),梳理CBIF上的網(wǎng)絡設施、信息系統(tǒng),確定CII候選元素;通過關鍵性評估,分析CII候選元素對關鍵業(yè)務重要程度,一旦遭到攻擊、喪失功能或者數(shù)據(jù)泄露會嚴重危害關鍵業(yè)務持續(xù)、穩(wěn)定運行的網(wǎng)絡設施、信
GB/T XXXXX—XXXX 4 息系統(tǒng)列為CII元素;最后,根據(jù)關鍵業(yè)務運行框架等基礎信息,明確CII元素分布、部署情況,確定CII邊界。
6 關鍵信息基礎設施邊界識別基本原則 6.1 業(yè)務安全原則 CII 的重要性不是指組成 CII 的網(wǎng)絡設施、信息系統(tǒng)很重要,而是因為 CII 所支撐的關鍵業(yè)務非常重要。CII 一旦遭到攻擊、喪失功能或者數(shù)據(jù)泄露會嚴重危害關鍵業(yè)務正常運行,進而危害國家安全、經(jīng)濟安全、社會穩(wěn)定、公眾健康和安全。因此,CII 邊界識別應以保障關鍵業(yè)務安全為基本原則,將關鍵業(yè)務持續(xù)、穩(wěn)定運行不可或缺的網(wǎng)絡設施、信息系統(tǒng)識別出來,明確 CII 元素、確定 CII 邊界。
注:例如,2G 移動通信網(wǎng)絡曾是國家重點保護目標,時至今日,支撐 2G 移動通信業(yè)務的網(wǎng)絡設施、信息系統(tǒng)已失去了重點保護的意義,因為 2G 移動通信業(yè)務已被 3G、4G 通信業(yè)務所取代。
6.2 整體性原則 隨著經(jīng)濟社會的不斷發(fā)展,業(yè)務規(guī)模越來越大,不同業(yè)務模塊、子業(yè)務之間相互依賴、彼此支撐,CII 邊界識別應注重關鍵業(yè)務的整體性,確保關鍵業(yè)務的完整性,避免遺漏。
此外,跨行業(yè)、跨領域已是普遍現(xiàn)象,涉及多個運營者的,應加強信息共享和聯(lián)動協(xié)調(diào),確保 CII邊界識別是從保障整個關鍵業(yè)務安全的角度開展。
注:例如,導航業(yè)務涉及到衛(wèi)星、通信鏈路和直接向用戶提供導航服務的三個部分,且每部分由不同的運營者負責經(jīng)營。每個運營者在開展 CII 邊界識別時,首先應確保自身經(jīng)營業(yè)務的完整,還應注重整體協(xié)調(diào),從保障整個導航業(yè)務持續(xù)、穩(wěn)定的角度考慮。
6.3 重要性原則 在 CII 運營者所有網(wǎng)絡設施、信息系統(tǒng)中,有些網(wǎng)絡設施、信息系統(tǒng)對關鍵業(yè)務的持續(xù)、穩(wěn)定運行是至關重要的,有些網(wǎng)絡設施、信息系統(tǒng)僅僅是比較重要的,甚至有一些網(wǎng)絡設施、信息系統(tǒng)對關鍵業(yè)務是無關緊要的,因此,開展 CII 邊界識別應聚焦一旦遭到破壞、喪失功能或者發(fā)生數(shù)據(jù)泄露,會嚴重危害關鍵業(yè)務持續(xù)、穩(wěn)定運行的網(wǎng)絡設施、信息系統(tǒng),嚴格控制范圍。
6.4 動態(tài)識別原則 CII 與關鍵業(yè)務之間的支撐、依賴關系是動態(tài)的,而非靜態(tài)的。CII 邊界識別應采用動態(tài)工作方式,及時更新 CII 邊界信息。
當 CII 運營者的組織結構、業(yè)務架構、從屬關系等發(fā)生重大調(diào)整時,應及時實施邊界識別工作,確保 CII 邊界及時調(diào)整。
7 關鍵信息基礎設施邊界識別模型 7.1 模型說明 關鍵業(yè)務、網(wǎng)絡設施、信息系統(tǒng)、CBI、CBIF、基礎運行環(huán)境,是識別CII邊界需要考慮的六個方面。其中,關鍵業(yè)務是核心要素,是開展CII邊界識別的基礎,其它要素都是圍繞著關鍵業(yè)務產(chǎn)生的,即:網(wǎng)絡設施、信息系統(tǒng)屬于關鍵業(yè)務的信息化部分,為關鍵業(yè)務提供不可或缺的信息化支撐;CBI是關鍵業(yè)務正常運行不可或缺的信息資源,也是網(wǎng)絡設施、信息系統(tǒng)實現(xiàn)對關鍵業(yè)務信息化支撐的橋梁和紐帶,網(wǎng)絡設施、信息系統(tǒng)按照業(yè)務運行邏輯和功能劃分對CBI進行設計、采集、整合、處理、呈現(xiàn)、應用、
GB/T XXXXX—XXXX 5 存儲、銷毀等操作,支撐關鍵業(yè)務自動化、智能化、高效運行;CBIF是CBI在整個生存周期內(nèi)的流動軌跡,通過梳理CBIF,獲得對關鍵業(yè)務提供信息化支撐的網(wǎng)絡設施、信息系統(tǒng);基礎運行環(huán)境指的是為關鍵業(yè)務提供基本運行保障的安全設備、安全措施、規(guī)章制度以及機械、廠房、水、電等。
基于上述概念,圖1給出了CII邊界識別模型示意圖。CBI從產(chǎn)生到終止所流經(jīng)的網(wǎng)絡設施、信息系統(tǒng)是CII候選元素,經(jīng)關鍵性評估后,其中一旦遭到攻擊、喪失功能或者數(shù)據(jù)泄露會嚴重危害關鍵業(yè)務持續(xù)、穩(wěn)定運行的信息資產(chǎn)應列為CII元素。
對于識別出的CII元素,CII運營者應根據(jù)關鍵業(yè)務運行框架、運行邏輯、業(yè)務范圍以及CII元素與關鍵業(yè)務支撐、依賴關系,明確CII元素分布、部署情況和資產(chǎn)清單,確定CII邊界。
圖 1 關鍵信息基礎設施邊界識別模型示意圖 7.2 關鍵業(yè)務 關鍵業(yè)務由行業(yè)主管部門認定,CII運營者應結合行業(yè)、領域特點和自身運營實際情況,對關鍵業(yè)務進一步梳理、分析,厘清關鍵業(yè)務的運行架構、管理模式、業(yè)務邏輯,梳理關鍵業(yè)務的各業(yè)務模塊、各子業(yè)務組成情況,確保關鍵業(yè)務的完整性。
注:例如,以列車運輸業(yè)務為例,經(jīng)分析、梳理發(fā)現(xiàn),該業(yè)務包括車輛管理、列車行駛狀態(tài)監(jiān)控、列車控制、供水、供電、站臺等組成部分。所以,開展 CII 邊界識別應將上述業(yè)務模塊、子業(yè)務視為列車運輸業(yè)務的組成部分,確保列車運輸業(yè)務的完整性。
7.3 網(wǎng)絡設施、信息系統(tǒng) 網(wǎng)絡設施、信息系統(tǒng)本質(zhì)上屬于關鍵業(yè)務的信息化部分,為關鍵業(yè)務提供信息化支撐,所以CII元素只存在于關鍵業(yè)務依賴信息化運行的部分。CII運營者應在保證關鍵業(yè)務完整性的基礎之上,梳理關鍵業(yè)務的信息化建設、信息化運維、信息化管理情況,明確關鍵業(yè)務的信息化范圍。
GB/T XXXXX—XXXX 6 注:例如,以上述列車運輸業(yè)務為例,經(jīng)過梳理、分析,車輛管理、列車行駛狀態(tài)監(jiān)控、列車控制依賴信息化運行,供水、供電、站臺完全依賴人工、機械運行。因此,對列車運輸業(yè)務開展CII邊界識別主要聚焦在車輛管理、列車行駛狀態(tài)監(jiān)控和列車控制部分。
7.4 關鍵業(yè)務信息 CBI 是關鍵業(yè)務正常運行不可或缺的信息,網(wǎng)絡設施、信息系統(tǒng)對 CBI 的處理方式分為下列九種方式或其組合:
a) 信息設計 是指根據(jù)業(yè)務需求,按照預設信息模式產(chǎn)生信息數(shù)據(jù),使之能夠有效地存儲、流轉(zhuǎn)等,滿足業(yè)務各個應用環(huán)節(jié)的需求,又稱信息起源或者信息產(chǎn)生。
b) 信息采集 是指根據(jù)業(yè)務需求,將設計好的信息數(shù)據(jù)收集起來的過程,又稱信息獲取。
c) 外部信息采集 是指根據(jù)業(yè)務自身的需求,收集除自身設計以外的信息數(shù)據(jù)。
d) 信息整合 是指把在不同信源的信息數(shù)據(jù)收集、整理、清洗,轉(zhuǎn)換后加載到一個新的信源,為信息處理提供統(tǒng)一視圖。
e) 信息處理 是指從大量的、可能是雜亂無章的、難以理解的信息數(shù)據(jù)中抽取并推導出對于某些特定的有價值、有意義的信息數(shù)據(jù)。在表現(xiàn)形式上可能是采集、存儲、檢索、加工和變換。
f) 信息呈現(xiàn) 是指按照業(yè)務預設功能,將信息起源階段所要達到目標的最終展示。
g) 其它應用 是指將信息數(shù)據(jù)用于業(yè)務自身以外的其它用途。
h) 信息存儲 是指根據(jù)業(yè)務需求,將信息數(shù)據(jù)經(jīng)過加工、整理后按照一定格式和順序存儲在特定載體中的活動,便于業(yè)務快速、準確利用信息。
i) 信息銷毀 是指以某種方法銷毀記錄數(shù)據(jù)的載體,使信息數(shù)據(jù)消亡的過程。信息銷毀分為兩種,一種是可恢復刪除,另外一種是不可恢復刪除。
注:例如,列車行駛狀態(tài)監(jiān)控信息是列車操控人員實時監(jiān)控列車行駛狀態(tài)所必須的信息,列車操控人員通過接收、分析列車行駛狀態(tài)監(jiān)控信息,實現(xiàn)了對行駛中的列車實時監(jiān)控。
7.5 關鍵業(yè)務信息流 CBIF 是 CBI 在整個生存周期內(nèi)的流動軌跡,處于該流動軌跡上的網(wǎng)絡設施、信息系統(tǒng)參與了對 CBI的處理,進而參與了對關鍵業(yè)務的信息化支撐。因此,CBIF 是一個邏輯識別線,用于將 CII 候選元素從 CII 運營者所有網(wǎng)絡設施、信息系統(tǒng)中識別出來。
注:例如,列車行駛狀態(tài)監(jiān)控信息是由信號傳感器產(chǎn)生的,經(jīng)傳輸網(wǎng)絡傳送到信號分析平臺,信號分析平臺解析處理后在數(shù)據(jù)庫中存儲,最后由數(shù)據(jù)管理系統(tǒng)銷毀。因此,列車行駛狀態(tài)監(jiān)控信息生產(chǎn)周期內(nèi)的流動軌跡是:信號傳感器->傳輸網(wǎng)絡->信號分析平臺->數(shù)據(jù)庫->數(shù)據(jù)管理系統(tǒng),所以,信號傳感器、傳輸網(wǎng)絡、信號分析平臺、數(shù)據(jù)庫、數(shù)據(jù)管理系統(tǒng),是列車行駛狀態(tài)監(jiān)控業(yè)務的CII候選元素。
GB/T XXXXX—XXXX 7 7.6 關鍵信息基礎設施元素 由于作用和功能不同,通過梳理 CBIF 獲得的網(wǎng)絡設施、信息系統(tǒng)對關鍵業(yè)務的重要程度是不同的,而 CII 是在等級保護的基礎之上實施重點保護,因此,需要對 CII 候選元素開展關鍵性評估,其中一旦遭到攻擊、喪失功能或者數(shù)據(jù)泄露會嚴重危害關鍵業(yè)務持續(xù)、穩(wěn)定運行的網(wǎng)絡設施、信息系統(tǒng)列為 CII元素。
注:例如,上述列車行駛狀態(tài)監(jiān)控業(yè)務中,信號傳感器、傳輸網(wǎng)絡、信號分析平臺、數(shù)據(jù)庫都對列車行駛狀態(tài)監(jiān)控業(yè)務至關重要,列為CII元素。數(shù)據(jù)管理系統(tǒng)用作數(shù)據(jù)銷毀,對列車行駛狀態(tài)監(jiān)控業(yè)務沒有直接影響,不宜列為CII元素。
7.7 基礎運行環(huán)境 基礎運行環(huán)境為關鍵業(yè)務提供運行的基礎條件,也是關鍵業(yè)務持續(xù)、穩(wěn)定運行不可或缺的組成部分,是否納入 CII 邊界識別范圍由基礎運行環(huán)境的信息化建設情況決定。如果基礎運行環(huán)境也依賴信息化運行,應將基礎運行環(huán)境納入 CII 邊界識別范圍內(nèi);反之,如果基礎運行環(huán)境僅依賴機械、人工等非信息化方式運行,不宜將基礎運行環(huán)境納入 CII 邊界識別范圍內(nèi)。
基礎運行環(huán)境中的安全設備不宜被列為 CII 元素。因為,CII 元素是需要重點保護的對象,安全設備本身作為保護 CII 元素的一部分,不宜再進行重點保護。
注:例如,列車行駛狀態(tài)監(jiān)控信號傳感器是列車正常行駛不可或缺的網(wǎng)絡設備,無論有沒有風險,這個設備都是必須的,是需要重點保護的對象。因為有了網(wǎng)絡風險,列車運營者又安裝了防火墻、堡壘機等安全設備,這些安全設備是用來保護列車行駛狀態(tài)監(jiān)控信號傳感器的,不宜再納入重點保護對象。因此,列車行駛狀態(tài)監(jiān)控信號傳感器是CII元素,防火墻、堡壘機不宜納入CII元素。
7.8 關鍵信息基礎設施邊界 CII 邊界是一個虛擬與物理相結合的概念。CII 邊界以關鍵業(yè)務為基礎,由識別方法和 CII 元素組成,反映 CII 元素與關鍵業(yè)務之間的支撐、依賴關系以及 CII 元素的分布、部署情況。通過 CII 邊界,可以獲得每一個 CII 元素的具體信息,如部署位置、具體作用、啟用時間、責任人聯(lián)系方式等,CII 邊界應包括但不限于以下信息:
a)關鍵業(yè)務的運行框架、組織機構、管理模式等基礎信息; b)CII 元素識別方法和過程介紹; c)CII 元素網(wǎng)絡拓結構圖; d)CII 元素分布、部署詳情; e)CII 元素作用介紹; f)資產(chǎn)清單。
8 關鍵信息基礎設施邊界識別流程 CII 邊界識別流程具體包括關鍵業(yè)務基礎情況梳理、關鍵業(yè)務信息化情況梳理、CII 元素梳理、CII元素關鍵性評估和 CII 邊界確定五個部分,如圖 2 所示。
關鍵業(yè)務基礎情況梳理是指根據(jù)行業(yè)、領域特點,結合運營者實際情況,對行業(yè)主管部門認定的關鍵業(yè)務進一步梳理、分析,明確關鍵業(yè)務基礎情況信息,如運行特征、運行邏輯、運行框架等,是 CII邊界識別工作的第一步。
關鍵業(yè)務信息化情況梳理是指根據(jù)關鍵業(yè)務基礎情況梳理結果,分析關鍵業(yè)務信息化建設、信息化運行、信息化管理等情況,梳理 CBI 種類和作用,為識別 CII 元素做準備,是 CII 邊界識別的基礎性工作。
GB/T XXXXX—XXXX 8 CII 元素梳理是指根據(jù)關鍵業(yè)務信息化情況梳理結果,梳理 CBIF,明確 CBIF 上的網(wǎng)絡設施、信息系統(tǒng),確定 CII 候選元素清單,是 CII 邊界識別工作的核心工作。
CII 元素關鍵性評估是指根據(jù) CII 元素梳理結果,對每一個 CII 候選元素開展關鍵性評估,評估結果為關鍵的列為 CII 元素,為確定 CII 邊界做準備。
CII 邊界確定是指根據(jù) CII 元素關鍵性評估結果,明確 CII 元素分布、 部署情況和資產(chǎn)清單,確定 CII 邊界,并形成 CII 邊界信息文件,作為保護、審查、應急處置的重要依據(jù),是 CII 邊界識別工作最終目標。
圖 2 CII 邊界識別流程 9 關鍵業(yè)務基礎情況梳理 9.1 概述 關鍵業(yè)務基礎情況梳理具體包括基本信息梳理、業(yè)務特征梳理、業(yè)務架構梳理、業(yè)務范圍梳理和基礎情況描述五個部分,如圖 3 所示。
圖 3 關鍵業(yè)務基礎情況分析流程 9.2 基本信息梳理 根據(jù)行業(yè)主管部門認定的關鍵業(yè)務,調(diào)查了解關鍵業(yè)務所屬行業(yè)、領域特點,梳理關鍵業(yè)務的服務對象和服務區(qū)域,明確運營者相關信息,在此基礎之上形成關鍵業(yè)務基本信息描述文件。一般來說,關鍵業(yè)務基本信息描述文件應包含以下主要內(nèi)容:
a) 所屬行業(yè)、領域介紹; b) 所屬行業(yè)主管機構介紹; 關鍵業(yè)務基礎情況梳理
關鍵業(yè)務信息化情況梳理 CII 元素梳理 CII 元素關鍵性評估 非關鍵 CII 邊界確定 關鍵
GB/T XXXXX—XXXX 9 c) 運營者信息介紹; d) 運營者網(wǎng)絡安全管理部門介紹; e) 業(yè)務服務對象介紹; f) 業(yè)務服務區(qū)域介紹; g) 與其它業(yè)務的依賴性分析。
9.3 業(yè)務特征梳理 根據(jù)關鍵業(yè)務基本信息描述文件,調(diào)查了解業(yè)務運營的組織架構、管理架構、管理策略、規(guī)章制度、地理位置、崗位設置和崗位職責等方面信息,梳理業(yè)務框架,明確業(yè)務特征,在此基礎上形成關鍵業(yè)務特征描述文件。一般來說,關鍵業(yè)務特征描述文件應包含以下主要內(nèi)容:
a) 業(yè)務功能介紹; b) 業(yè)務關鍵性分析; c) 業(yè)務組織、管理架構介紹。
9.4 業(yè)務架構梳理 根據(jù)關鍵業(yè)務特征描述文件,調(diào)查了解關鍵業(yè)務運行情況,分析關鍵業(yè)務運行邏輯,明確各業(yè)務模塊、各子業(yè)務組成情況,確定關鍵業(yè)務運行架構,形成關鍵業(yè)務運行架構描述文件。一般來說,關鍵業(yè)務運行架構描述文件應包含以下主要內(nèi)容:
a) 業(yè)務運行架構介紹; b) 業(yè)務運行邏輯介紹; c) 各業(yè)務模塊情況介紹; d) 各子業(yè)務情況介紹。
9.5 業(yè)務范圍梳理 根據(jù)關鍵業(yè)務運行架構描述文件,明確業(yè)務范圍,確保關鍵業(yè)務完整性,在此基礎之上形成業(yè)務范圍描述文件。一個典型的關鍵業(yè)務范圍描述文件應包含以下主要內(nèi)容:
a) 業(yè)務整體范圍概述; b) 業(yè)務依賴性分析; c) 業(yè)務完整性分析。
9.6 基礎情況描述 根據(jù)基本信息梳理、業(yè)務特征梳理、業(yè)務架構梳理、業(yè)務范圍梳理結果,對關鍵業(yè)務的基礎情況進行整理并輸出關鍵業(yè)務基礎情況描述文件。一般來說,關鍵業(yè)務基礎情況描述文件應包含以下主要內(nèi)容:
a) 關鍵業(yè)務基礎情況概述; b) 關鍵業(yè)務基本信息描述文件; c) 關鍵業(yè)務特征描述文件; d) 關鍵業(yè)務運行架構描述文件; e) 關鍵業(yè)務范圍描述文件。
10 關鍵業(yè)務信息化情況梳理
GB/T XXXXX—XXXX 10 10.1 概述 關鍵業(yè)務信息化情況梳理具體包括信息化范圍梳理、CBI梳理、信息化情況描述三個部分,如圖4所示。
圖 4 業(yè)務信息化情況分析流程 10.2 信息化范圍梳理 根據(jù)關鍵業(yè)務基礎情況描述文件,調(diào)查了解各業(yè)務模塊、各子業(yè)務信息化建設情況,梳理各業(yè)務模塊、各子業(yè)務信息化運維情況,確定關鍵業(yè)務的信息化范圍,形成關鍵業(yè)務信息化范圍描述文件。一般來說,關鍵業(yè)務信息化范圍描述文件應包含以下主要內(nèi)容:
a) 關鍵業(yè)務信息化范圍整體介紹; b) 各業(yè)務模塊信息化情況介紹; c) 各子業(yè)務信息化情況介紹。
10.3 關鍵業(yè)務信息梳理 根據(jù)關鍵業(yè)務信息化范圍描述文件,分析關鍵業(yè)務不可或缺的 CBI,梳理 CBI 種類和功能,并在此基礎上形成 CBI 描述文件。一般來說,CBI 描述文件應包含以下主要內(nèi)容:
a) CBI 整體情況概述; b) CBI 類別介紹; c) CBI 功能介紹; d) CBI 關鍵性介紹。
10.4 信息化情況描述 根據(jù)信息化范圍梳理、關鍵業(yè)務信息梳理的結果,整理、歸納關鍵業(yè)務的信息化整體情況,輸出關鍵業(yè)務信息化情況描述文件。一般來說,關鍵業(yè)務信息化情況描述文件應包含以下主要內(nèi)容:
a) 關鍵業(yè)務信息化整體情況概述; b) 關鍵業(yè)務信息化范圍描述文件; c) CBI 描述文件。
11 關鍵信息基礎設施元素梳理 11.1 概述 CII 元素梳理具體包括 CBIF 梳理,CII 候選元素歸集、CII 候選元素描述三個部分,如圖 5 所示。
GB/T XXXXX—XXXX 11
圖 5 CII 元素識別流程 11.2 關鍵業(yè)務信息流梳理 根據(jù)關鍵業(yè)務信息化情況描述文件,分析 CBI 在整個生存周期內(nèi)的流動軌跡,即 CBIF。梳理 CBIF上的網(wǎng)絡設施、信息系統(tǒng)分布情況,獲得 CII 候選元素清單,并在此基礎上形成 CBIF 描述文件。一般來說,CBIF 描述文件應包含以下主要內(nèi)容:
a) CBIF 梳理情況概述; b) 各 CBIF 介紹; c) 各 CBIF 網(wǎng)絡設施、信息系統(tǒng)情況介紹。
11.3 CII 候選元素歸集 根據(jù)CBIF描述文件,對各CBIF上的網(wǎng)絡設施、信息系統(tǒng)進行去重處理,得到CII候選元素清單,形成CII候選元素清單描述文件。一般來說,CII候選元素清單描述文件應包含以下主要內(nèi)容:
a) CII 后續(xù)元素整體情況概述; b) 網(wǎng)絡設施介紹; c) 信息系統(tǒng)介紹; d) CII 候選元素資產(chǎn)清單。
11.4 關鍵信息基礎設施候選元素描述 根據(jù)CBIF梳理、CII候選元素歸集結果,整理、歸納CII后續(xù)元素整體情況,形成CII候選元素描述文件。一般來說,CII候選元素描述文件應包含以下主要內(nèi)容:
a) CII 候選元素整體情況概述; b) CBIF 描述文件; c) CII 候選元素清單描述文件; d) CII 候選元素分布、部署詳情。
12 關鍵信息基礎設施元素關鍵性評估 12.1 概述 CII 元素關鍵性評估是指根據(jù) CII 候選元素描述文件,評估 CII 候選元素對關鍵業(yè)務持續(xù)、穩(wěn)定運行的重要性,評估結果為“關鍵”的列入 CII 元素清單。評估指標包括但不限于業(yè)務連續(xù)、業(yè)務完整性和數(shù)據(jù)保密性,具體流程包括業(yè)務連續(xù)性評估、業(yè)務完整性評估、數(shù)據(jù)保密性評估、關鍵性判定和關鍵性評估描述五個部分,如圖 6 所示。
由于 CII 涉及到電信、廣播電視、能源、金融、交通運輸、水利、應急管理、衛(wèi)生健康、社會保障、國防科技等行業(yè)和領域,上述行業(yè)、領域之間存在巨大的差異性,各行業(yè)、領域?qū)﹃P鍵性的評價方法、
GB/T XXXXX—XXXX 12 量化指標等存在很大的不同,所以本文件只給出了指南性的評估原則,CII 運營宜根據(jù)自身所處行業(yè)、領域特點,制定具體的評估細則。
圖 6 CII 元素關鍵性評估流程 12.2 業(yè)務連續(xù)性評估 業(yè)務連續(xù)性評估是指評估 CII 候選元素遭到破壞或者喪失功能,是否會造成關鍵業(yè)務運行中斷或者運行速率降低。
注:例如,鐵路信號和控制系統(tǒng)遭到破壞以后,無法對運行中的列車發(fā)出預警或者停車信號,列車需要中止運行或者降低運行速率;網(wǎng)絡直播業(yè)務的CDN出現(xiàn)故障,會造成視頻直播中斷或者視頻直播卡頓現(xiàn)象;電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制出現(xiàn)故障,會造成供電中斷。
12.3 業(yè)務完整性評估 業(yè)務完整性評估是指評估 CII 候選元素遭到破壞或者喪失功能,是否會造成關鍵業(yè)務某項功能喪失或者多項功能喪失。
注:例如,自動安檢系統(tǒng)停止運行,影響關鍵業(yè)務自動化功能,需要啟用人工或者其它安檢方式;網(wǎng)絡發(fā)生故障,雖然不會造成售票業(yè)務中斷,但造成用戶無法通過互聯(lián)網(wǎng)進行購票,只能通過電話、人工等方式。
12.4 數(shù)據(jù)保密性評估 數(shù)據(jù)保密性評估是指評估 CII 候選元素遭到破壞或者喪失功能,是否會造成關鍵業(yè)務數(shù)據(jù)泄露或者被篡改。
注:例如,電力控制系統(tǒng)用于電力控制和調(diào)度,一旦遭到攻擊后會對供電系統(tǒng)發(fā)出錯誤指令;導航系統(tǒng)為用戶提供準確位置信息,受到攻擊后會提供錯誤位置信息;數(shù)據(jù)存儲業(yè)務是云的一個重要功能,正常情況下只與授權用戶之間進行信息交互,如果受到攻擊可能會將信息提供給非法用戶,即發(fā)生數(shù)據(jù)泄露。
12.5 關鍵性判定 由于 CII 是在等級保護的基礎之上實施重點保護,所以不再對 CII 元素分級處理,不再細分 CII元素對關鍵業(yè)務的影響程度,只將對關鍵業(yè)務最為重要的網(wǎng)絡設施、信息系統(tǒng)識別出來。所以,對任一評價指標造成影響的 CII 候選元素其關鍵性評估結果應為“關鍵”;對所有評價指標都無影響的 CII候選元素其關鍵性評估結果為“非關鍵”,如表 1 所示。
表1 CII 元素關鍵性評估表 評估對象 評估指標 業(yè)務連續(xù)性 業(yè)務完整性 數(shù)據(jù)保密性 CII候選元素 影響/否 影響/否 影響/否 12.6 關鍵性評估結果描述
GB/T XXXXX—XXXX 13 根據(jù)關鍵性判定結果,形成 CII 元素關鍵性評估結果描述文件。一個典型的 CII 元素關鍵性評估結果描述文件應包含以下主要內(nèi)容:
a) CII 元素整體情況概述; b) 業(yè)務連續(xù)性評估介紹; c) 業(yè)務完整性評估介紹; d) 數(shù)據(jù)保密性評估介紹; e) 關鍵性判定結果介紹。
13 關鍵信息基礎設施邊界確定 13.1 目標 CII 邊界確定是指對關鍵業(yè)務基礎情況梳理、關鍵業(yè)務信息化情況梳理、CII 元素梳理、CII 元素關鍵性評估的結果進行整理,并形成 CII 邊界信息文件,作為保護、審查、應急處置等工作的參考依據(jù)。通過確定 CII 邊界,應實現(xiàn)下列目標:
a) 可以獲取關鍵業(yè)務整體情況信息,如所述行業(yè)、領域,業(yè)務特征,服務對象,關鍵性介紹、信息化建設等; b) 可以獲取 CII 元素網(wǎng)絡拓撲圖,并可以獲取 CII 元素的具體信息,如部署位置、功能作用、負責人信息等; c) 可以獲取 CII 元素與關鍵業(yè)務自己的支撐、依賴關系,如 CII 元素遭到攻擊、喪失功能或者數(shù)據(jù)泄露,對關鍵業(yè)務造成的影響等。
13.2 CII 邊界信息文件 一個典型的 CII 邊界信息文件包括但不限于下列五部分內(nèi)容,附錄 A 給出了 CII 邊界信息文件格式參考示例。
a) 文件名稱 每一個CII邊界信息文件應有文件名稱,文件名稱宜是關鍵業(yè)務的高度概括,如“列車運輸CII邊界信息文件”。
b) 基本信息 識別時間、識別聯(lián)系人信息等。
c) CII 邊界概述 每一個CII邊界信息文件應概述部分,包括CII元素網(wǎng)絡拓撲圖,CII元素分布、部署詳情。
d) 關鍵業(yè)務部分 CII 邊界信息文件應詳細記錄關鍵業(yè)務信息,內(nèi)容與關鍵業(yè)務基礎情況描述文件和關鍵業(yè)務信息化情況描述文件內(nèi)容一致。
e) CII 元素部分 CII 邊界信息文件應詳細記錄 CII 元素信息,包括識別過程、識別結果,這部分內(nèi)容與 CII 候選元素描述文件和 CII 元素關鍵性評估結果描述文件內(nèi)容一致。
GB/T XXXXX—XXXX 14 附
錄
A (資料性)
關鍵信息基礎設施邊界描述文件模版
表 A.1 關鍵信息基礎設施邊界識別文件模版 類別
章節(jié)
子章節(jié)
內(nèi)容
文件名稱
對關鍵業(yè)務的高度概括。
基本信息
識別時間、識別聯(lián)系人等。
邊界概述
CII 元素網(wǎng)絡拓撲圖,CII 元素分布、部署詳情、資產(chǎn)清單。
關鍵業(yè)務介紹
關鍵業(yè)務信息 I CII 元素介紹
網(wǎng)絡設施
信息系統(tǒng)
識別方法和過程介紹
基本信息
CII 名稱 CII 名稱宜是關鍵業(yè)務信息的高度概括,例如列車運輸業(yè)務 CII。
識別時間 開展 CII 邊界識別的時間、更新時間列表等。
識別執(zhí)行者信息 識別機構/部門的名稱、聯(lián)系人信息等。
關鍵業(yè)務基礎情況
關鍵業(yè)務基本信息介紹 運營者信息、所屬行業(yè)、領域介紹等。
關鍵業(yè)務特征介紹 業(yè)務功能介紹、業(yè)務關鍵性說明等。
關鍵業(yè)務運行架構介紹 業(yè)務運行架構、業(yè)務運行邏輯說明等。
關鍵業(yè)務范圍介紹 各子業(yè)務、各功能單位介紹,地域分布等。
關鍵業(yè)務信息化情況
關鍵業(yè)務信息化范圍介紹 業(yè)務信息化建設情況、各子業(yè)務、各功能單元信息化建設情況等。
關鍵業(yè)務信息資產(chǎn)說明 信息資產(chǎn)分布和資產(chǎn)清單等。
I CII 候選元素情況
CBI 介紹 CBI 類別、作用等。
CBIF 介紹 資產(chǎn)分布情況等。
CII 候選元素說明 CII 候選元素網(wǎng)絡拓撲圖、CII 候選元素部署詳情、資產(chǎn)清單等。
I CII 元素關鍵性評估結果
業(yè)務連續(xù)性評估情況
業(yè)務完整性評估情況
數(shù)據(jù)保密性評估情況
評估結果說明 CII 元素部署詳情、資產(chǎn)清單、關鍵性說明等。
GB/T XXXXX—XXXX 15 附
錄
B (資料性)
關鍵信息基礎設施邊界識別示例
以電網(wǎng)為例,介紹CII邊界識別活動,所示內(nèi)容皆為去敏和去秘密后的部分數(shù)據(jù),只為說明CII邊界識別方法,不是全部數(shù)據(jù),也不代表真實數(shù)據(jù)。
B.1 業(yè)務基礎情況梳理 供電業(yè)務是電力公司的關鍵業(yè)務,具體包括電力生產(chǎn)、電力傳輸、電力配送等環(huán)節(jié),分為省、市兩級,分別由省級電力調(diào)控中心和市級電力調(diào)控中心負責運營,主管機構是省電力總公司。
省級電力調(diào)控中心主要負責管內(nèi)220kV及以上電廠、變電站及部分110kV電廠、變電站穩(wěn)態(tài)監(jiān)測與控制,并將信息及時與管內(nèi)各供電局共享;市級電力調(diào)控中心主要負責管內(nèi)部分110kV電廠、變電站及35kV以上電廠、變電站穩(wěn)態(tài)監(jiān)測與控制,并將所管區(qū)域內(nèi)的信息數(shù)據(jù)上送到省級電力調(diào)控中心,整個業(yè)務運行框架如圖B.1所示。
圖 B.1 電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制業(yè)務運行架構 B.2 業(yè)務信息化情況梳理 B.2.1 信息化范圍梳理
部署在各電廠、變電站的監(jiān)控系統(tǒng)和測控裝置將各電廠、變電站運行態(tài)勢信息通過電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡自動上送給各級電力調(diào)控中心,最后數(shù)據(jù)歸集到省級電力調(diào)控中心,網(wǎng)絡拓撲如圖B.2所示。
電網(wǎng)運行控制系統(tǒng)穩(wěn)態(tài)監(jiān)視與控制功能 ( 省級 )廠站子站 智能遠動(子站)發(fā)電廠計算機監(jiān)控系統(tǒng)、變電站站端測控裝置電力調(diào)度數(shù)據(jù)網(wǎng)實時監(jiān)視數(shù)據(jù) 控制指令和發(fā)電計劃調(diào)度主站廠站子站發(fā)電廠計算機監(jiān)控系統(tǒng)、變電站站端測控裝置智能遠動(子站)電網(wǎng)運行控制系統(tǒng)穩(wěn)態(tài)監(jiān)視與控制功能( 地級 )公司其它信息管理系統(tǒng)風功率預測系統(tǒng)外部數(shù)據(jù)交換OMS
圖 B.2 電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制網(wǎng)絡拓撲結構
GB/T XXXXX—XXXX 16 省級電力調(diào)控中心利用電網(wǎng)穩(wěn)態(tài)監(jiān)視與控制平臺對收集到的電網(wǎng)運行態(tài)勢數(shù)據(jù)實時智能化處理,實現(xiàn)對整個電網(wǎng)運行態(tài)勢的感知。
電網(wǎng)穩(wěn)態(tài)監(jiān)視與控制平臺在電網(wǎng)運行態(tài)勢的基礎之上,結合其他外部數(shù)據(jù),比如風功率預測系統(tǒng)、OMS 等上報的數(shù)據(jù),做出精準判斷,并通過調(diào)度主站系統(tǒng)、智能遠動子站系統(tǒng)、廠房子站系統(tǒng)將調(diào)控、調(diào)度指令下發(fā)給部署在各發(fā)電廠、變電站的監(jiān)控系統(tǒng)和測控裝置。
I B.2.2 CBI 梳理
。1)
CBI 類別 電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺處理的主要信息數(shù)據(jù)分為三大類,一是電網(wǎng)運行態(tài)勢信息;二是控制指令信息;三是共享信息。通過對電網(wǎng)運行態(tài)勢信息的獲取和處理,實現(xiàn)了對整個電網(wǎng)運行態(tài)勢的實時感知,為下發(fā)控制指令提供決策依據(jù)。通過共享信息將電網(wǎng)實時運行態(tài)勢共享給管內(nèi)供電局,為供電局制定行業(yè)發(fā)展政策提供依據(jù)。
(2)CBI 功能 電網(wǎng)運行態(tài)勢信息主要類別和功能如下:
a) 電能量計量信息主要用于監(jiān)測實時用電量,為電力調(diào)度提供依據(jù); b) 繼電保護信息主要實現(xiàn)對供電安全裝置的運行狀態(tài)、動作行為進行監(jiān)測,在電網(wǎng)故障時則進行快速的故障分析; c) 相量測量信息和行波測距信息主要用于對故障地點進行定位; d) 天氣、水文等自然數(shù)據(jù),用于輔助下發(fā)控制指令; 控制指令信息主要類別和功能如下:
e) 控制指令,用于開合刀閘、投切電容器; f) 發(fā)電計劃指令,用于控制各發(fā)電機組的發(fā)電量; 共享信息主要類別和功能如下:
g) 電網(wǎng)運行態(tài)勢信息,用于各供電局實時掌握用電量,為制定行業(yè)發(fā)展規(guī)劃提供依據(jù)。
B.3 CII元素梳理 F B.3.1 CBIF 梳理
(1)
CBI 生命周期 a) 數(shù)據(jù)起源環(huán)節(jié) 電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺的數(shù)據(jù)起源主要是由部署在各電廠、變電站和電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡上的數(shù)據(jù)采集器產(chǎn)生的。
b) 數(shù)據(jù)收集環(huán)節(jié) 電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺的數(shù)據(jù)收集主要是指將部署在各電廠、變電站和電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡上的數(shù)據(jù)采集器將產(chǎn)生的數(shù)據(jù)收集起來的過程,該過程主要由相應的數(shù)據(jù)處理系統(tǒng)完成的。
c) 外部數(shù)據(jù)匯入環(huán)節(jié) 電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺的外部數(shù)據(jù)匯入環(huán)節(jié)主要是天氣、水文等自然信息數(shù)據(jù),主要由電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺的數(shù)據(jù)中心完成。
d) 數(shù)據(jù)匯集環(huán)節(jié) 電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡將分布在各監(jiān)測點的數(shù)據(jù)匯集到片區(qū)電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺的數(shù)據(jù)中心,或者電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺的數(shù)據(jù)中心。
GB/T XXXXX—XXXX 17 e) 存儲環(huán)節(jié) 電網(wǎng)運行態(tài)勢數(shù)據(jù)都存在片區(qū)電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺的數(shù)據(jù)中心,或者電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺的數(shù)據(jù)中心,并保障數(shù)據(jù)安全。
f) 數(shù)據(jù)處理環(huán)節(jié) 電網(wǎng)運行態(tài)勢數(shù)據(jù)主要由電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺的數(shù)據(jù)中心處理完成的。
g) 呈現(xiàn)環(huán)節(jié) 按照電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺預設功能,最終將整個電網(wǎng)運行態(tài)勢情況實時顯示出來。
h) 其它應用 電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺將電網(wǎng)運行態(tài)勢信息共享給管內(nèi)各供電局。
i) 數(shù)據(jù)刪除 電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺只存儲一定周期內(nèi)的電網(wǎng)運行數(shù)據(jù),過期數(shù)據(jù)會定期刪除。
。2)
BIF 資產(chǎn)清單 a) 電能量計量信息 電能量數(shù)據(jù)采集器、電能量數(shù)據(jù)處理系統(tǒng)、電能量縱向互聯(lián)交換機、縱向加密裝置、電力調(diào)度數(shù)據(jù)網(wǎng)、電網(wǎng)綜合數(shù)據(jù)網(wǎng)、SAN 交換機、數(shù)據(jù)中心、大屏顯示與控制系統(tǒng)。
b) 繼電保護信息 繼電數(shù)據(jù)采集器、采集服務器、電力調(diào)度數(shù)據(jù)網(wǎng)、電網(wǎng)綜合數(shù)據(jù)網(wǎng)、SAN 交換機、數(shù)據(jù)中心、大屏顯示與控制系統(tǒng)。
c) 相量測量信息 相量數(shù)據(jù)采集器、電力調(diào)度數(shù)據(jù)網(wǎng)、電網(wǎng)綜合數(shù)據(jù)網(wǎng)、SAN 交換機、數(shù)據(jù)中心、大屏顯示與控制系統(tǒng)。
d) 行波測距信息 行波數(shù)據(jù)采集器、電力調(diào)度數(shù)據(jù)網(wǎng)、電網(wǎng)綜合數(shù)據(jù)網(wǎng)、SAN 交換機、數(shù)據(jù)中心、大屏顯示與控制系統(tǒng)。
e) 天氣、水文信息 數(shù)據(jù)采集服務器、正反向隔離裝置、電網(wǎng)綜合數(shù)據(jù)網(wǎng)、大屏顯示與控制系統(tǒng)。
f) 控制指令 電網(wǎng)運行控制系統(tǒng)、電力調(diào)度數(shù)據(jù)網(wǎng)、縱向互聯(lián)交換機、發(fā)電廠/變電站端遠動裝置、發(fā)電廠計算機端監(jiān)控系統(tǒng)、變電站測控裝置。
g) 發(fā)電計劃指令 電網(wǎng)運行控制系統(tǒng)、電力調(diào)度數(shù)據(jù)網(wǎng)、縱向互聯(lián)交換機、發(fā)電廠/變電站端遠動裝置、發(fā)電廠計算機端監(jiān)控系統(tǒng)、變電站測控裝置。
h) 共享信息 數(shù)據(jù)中心、WEB 系統(tǒng)、電網(wǎng)運行控制系統(tǒng)暫態(tài)監(jiān)視與保信系統(tǒng)。
B.3.2 設備資產(chǎn)歸集
對梳理出的資產(chǎn)去重、合并、歸集得到支撐電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制的 CII 元素候選清單如下:
數(shù)據(jù)采集服務器、行波數(shù)據(jù)采集器、繼電數(shù)據(jù)采集器、采集服務器、電能量數(shù)據(jù)采集器、電能量數(shù)據(jù)處理系統(tǒng)、電網(wǎng)運行控制系統(tǒng)、電能量縱向互聯(lián)交換機、發(fā)電廠/變電站端遠動裝置、發(fā)電廠計算機端監(jiān)控系統(tǒng)、變電站測控裝置、縱向加密裝置、正反向隔離裝置、電力調(diào)度數(shù)據(jù)網(wǎng)、縱向互聯(lián)交換機、
GB/T XXXXX—XXXX 18 電網(wǎng)綜合數(shù)據(jù)網(wǎng)、SAN 交換機、WEB 系統(tǒng)、電網(wǎng)運行控制系統(tǒng)暫態(tài)監(jiān)視與保信系統(tǒng)、數(shù)據(jù)中心、大屏顯示與控制系統(tǒng)、電網(wǎng)運行控制系統(tǒng)。
B.4 CII元素關鍵性評估 對梳理出的候選 CII 設備資產(chǎn)進行關鍵性評估,評估結果如表 B.1 所示。
表 B.1 CII 元素關鍵性評估
B.5 CII邊界確定 a) 運營者信息 包括運營者名稱、統(tǒng)一社會代碼、運營者性質(zhì)、主要負責人信息、網(wǎng)絡安全分管負責人信息。
b) 專門網(wǎng)絡安全管理機構信息 包括機構名稱、機構負責人、聯(lián)系方式。
c) 行業(yè)領域說明 電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制業(yè)務屬于“能源類”的“電力”。
設施類型
涉及信息系統(tǒng)和設備
評估 結果
( ( 是/ / 否關鍵) )
邊界范圍
。ㄊ/ / 否)
網(wǎng)絡設施
數(shù)據(jù)采集服務器 是 是 行波數(shù)據(jù)采集器 否 否 繼電數(shù)據(jù)采集器 是 是 電能量數(shù)據(jù)采集器 是 是 數(shù)據(jù)庫 是 是 發(fā)電廠/變電站端遠動裝置 是 是 變電站測控裝置 是 是 縱向加密裝置 是 是 正反向隔離裝置 是 是 電力調(diào)度數(shù)據(jù)網(wǎng) 是 是 縱向互聯(lián)交換機 是 是 電網(wǎng)綜合數(shù)據(jù)網(wǎng) 是 是 SAN 交換機 是 是
信息系統(tǒng)
電網(wǎng)運行控制系統(tǒng) 是 是 電網(wǎng)運行控制系統(tǒng)暫態(tài)監(jiān)視與保信系統(tǒng) 是 是 發(fā)電廠計算機端監(jiān)控系統(tǒng) 是 是 大屏顯示與控制系統(tǒng) 是 是 WEB 系統(tǒng) 是 是 電能量數(shù)據(jù)處理系統(tǒng) 是 是
GB/T XXXXX—XXXX 19 d) 關鍵業(yè)務說明 電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制平臺主要監(jiān)控XXXX家發(fā)電廠、變電站,涉及用電戶XXXX家,一旦擊毀..... e) 網(wǎng)絡設施、信息系統(tǒng)目錄 組成該 CII 的網(wǎng)絡設施、信息系統(tǒng)清單。
圖 B.3(電網(wǎng)運行穩(wěn)態(tài)監(jiān)視與控制)元素網(wǎng)絡拓撲圖
GB/T XXXXX—XXXX 20 參 考 文 獻 [1] GB/T 19024-2008 質(zhì)量管理 實現(xiàn)財務和經(jīng)濟效益的指南 [2] GB/T 19004-2015 質(zhì)量管理體系 業(yè)績改進指南 [3] GB/T 19001-2016 質(zhì)量管理體系 要求 [4] GB/T 36466-2018 信息安全技術 工業(yè)控制系統(tǒng)風險評估實施指南 [5] GB/T 22080—2016 信息技術 安全技術 信息安全管理體系要求 [6] GB/T 22239—2019 信息安全技術 網(wǎng)絡安全等級保護基本要求 [7] GB/T 31496—2015 信息技術 安全技術 信息安全管理體系實施指南 [8] GB/T 32919-2016 信息安全技術 工業(yè)控制系統(tǒng)安全控制應用指南 [9] 中華人民共和國網(wǎng)絡安全法 (2016 年 11 月 7 日第十二屆全國人民代表大會常務委員會第二十四次會議通過)。
[10] ISO/IEC 25024:2015 Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - Measurement of data quality
_________________________________
熱點文章閱讀