一、什么是关键信息基础设施（CII）？

《网络安全法》第十八条

下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：

（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

（四）广播电台、电视台、通讯社等新闻单位。

CII横向分类（来源：GFCE）

CII纵向分类（来源：SANS Institute）

二、为什么要保护关键信息基础设施？

1 合 规

2 民 生

关键信息基础设施的破坏最终危害的是每一个人的财产安全与生命安全，国家安全与国计民生都将面临难以想象的危机。

据卡巴斯基实验室报道，2018年3月，中国某军工企业在2018年年初遭到美、俄两国黑客攻击。

2017年，WannaCry勒索病毒在全球范围内蔓延，教育、医疗、能源等行业成为重灾区，损失巨大。

2017年，土耳其伊斯坦布尔和其他地区由于地下电力线路和国外网络攻击造成大面积停电。

2016年10月21日，美国DNS服务提供商Dyn遭受大规模DDoS攻击，导致诸多网站停止服务，最终影响了小半个美国的互联网。

2016年，多起针对我国重要信息系统实施的APT攻击活动被曝光，包括“白象行动5”、“蔓灵花攻击行动”等，主要以我国教育、能源、军事和科研领域为主要攻击目标。

2010年，伊朗政府遭受“震网”病毒的攻击，专门定向攻击能源设施。

万物互联的时代，只有你想不到，没有黑客做不到。

三、如何保护关键信息基础设施？

1.NIST关键基础设施安全框架

注：NIST全称为“美国国家标准与技术研究院”。

关键信息基础设施是“关键基础设施”的组成部分。从NIST的安全框架图中可以看出，CII的安全防护离不开自上而下的风险管理思路。

2.传统防护方案

图片来源：SANS Institute

3.开展风险评估的必要性

风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径。它能帮助我们（以下引自百度百科）：

更准确地认识风险；

保证目标规划的合理性和计划的可行性；

合理选择风险对策，形成最佳风险对策组合。

通过安全风险评估，绝大多数安全事故都是可以避免的。这也是关键信息基础设施风险评估的价值所在。

4.可行防护方案

关键信息基础设施风险评估平台（RVA）

价 值

世平信息率先推出首个风险评估与管控平台

满足合规要求（《网络安全法》与已发布的国家标准要求）

风险可视化，发现未知风险

实时且持续地掌握CII风险

有了关键信息基础设施风险评估平台（RVA），大面积停电？全网瘫痪？根本不存在的。

欢迎各级机构及企事业单位报名试用

详询世平热线：400 100 6790

或咨询世平QQ客服：3256718569