國外5種典型關鍵信息基礎設施識別認定和分析方法
美國、荷蘭、德國���、加拿大等國開發的關鍵基礎設施識別認定和分析方法���,最初大多是針對關鍵基礎設施而設計的,是一些基礎性且較為通用的方法���,后期衍生出了很多針對不同領域、針對關鍵信息基礎設施特性的方法�,值得我們研究和借鑒�����。
1�、快速掃描法
荷蘭認定關鍵基礎設施的方法是先將待認定的基礎設施分解為產品和服務,通過發放調查問卷的方式���,向各行業搜集了一份包含所有被視為“關鍵”的產品和服務清單,包括簡要描述�、從生產到運輸整個過程���、恢復特性�、對其他產品或服務的依賴程度等�����。評估小組通過制定評價指標來判斷產品和服務是否關鍵���,進而反向倒推做出是否為關鍵基礎設施的判斷���。
判斷產品和服務是否關鍵�,一方面�,主要考慮這些產品和服務是否提供了保證社會最低質量水平所需的基本物質;另一方面�����,失去這些物質是否會對公民生存或政府管理造成影響���。對于前者���,評價指標主要看其是否在以下6個方面做出了實質性貢獻:①國內和國際的法律和秩序�����;②公共安全;③經濟�����;④公眾健康�����;⑤生態環境�����;⑥受破壞會在全國范圍內對公民或政府管理造成影響或危及最低質量水平�����。對于后者,評價指標主要考慮其損失或遭破壞對以下幾項指標造成潛在影響:①人的傷亡�����;②動物的傷亡�;③經濟影響;④環境影響�;⑤非物質性滿足�����,如對公民造成心理上的影響?����?焖賿呙璺ㄟ\用了反向思維和分解倒推方法���,找出關鍵的產品和服務���,反推到關鍵基礎設施領域���,確定關鍵基礎設施的出發點是保證最低質量水平�、維護公民生命及健康或政府管理所必需的���、聯系最緊密的關鍵產品和服務�。通過此方法,荷蘭確定了31種關鍵產品和服務,這些關鍵產品和服務分布在11個關鍵領域中�����。
2�、閾值判定法
為判定關鍵基礎設施,美國國土安全部的做法是對各領域或行業的服務范圍、影響程度�����、涉及人數等方面設定閾值���,高于閾值的就認定為關鍵基礎設施���,否則為非關鍵�。
3、象限判定法
德國信息安全局開發了一種用象限圖的形式來判斷基礎設施關鍵性等級的方法,這種方法也被稱為關鍵基礎部門分析法(ACIS方法)或經驗評價法���。與荷蘭的快速掃描法類似,首先受調查部門將各基礎設施領域細分為服務或產品,再識別和劃分與之相關的業務過程(進程)�,例如�����,能源細分產品為石油�����、天然氣等�,其中���,石油供應的業務過程可以分為生成���、煉化�、運輸和銷售。
不同的是���,德國將評價指標組成N×N的矩陣���,對業務過程的關鍵性進行分析���,進而判斷基礎設施的關鍵性�����。矩陣的橫坐標上的指標為“影響程度”,即業務過程中的某個環節中斷會導致何種程度的結果,分為5種情況:無關緊要�����、微小���、中等�、重大和災難性;縱坐標上的指標為“可能性”,即受破壞的可能性有多大,也分為5種情況:完全可能、很可能�、可能�、不太可能和不可能���。由此組成了一個5×5的矩陣�,對影響程度和可能性進行綜合考慮���,兩兩指標對比得出關鍵性等級���,從高到低共設立了4個等級:極度�、高度、中度和低度�����。
德國還將關鍵性評價工作分部門影響�����、領域影響�����、社會影響和IT依賴度4個層面分階段、分步驟逐層進行�����。首先�,部門內部分析其業務相關過程,選出關鍵性等級為高度和極度的業務過程進入下一輪判斷�����;其次�,從上一輪結果中提煉出對該領域至關重要且受破壞的可能性較高的業務過程進入下一輪判斷;再次�,從上一輪結果中提煉出對整個社會高度或極度關鍵的業務過程進行下一輪判斷;最后,對上一輪結果進行IT依賴性分析,提煉出IT依賴度高度或極度的業務過程�,即為關鍵業務過程���,并以此判定關鍵基礎設施�����。
4、矩陣分析法
隨著信息技術的發展和應用,基礎設施、特別是信息基礎設施之間的相互依賴關系和連鎖影響越來越突出���。相互依賴的類型包括物理的、虛擬的、時間上的等���,影響相互依賴的因素包括政治、經濟、社會、國家安全以及政策法規等。開展相互依賴性分析是關鍵信息基礎設施識別分析工作的重要一環�����,然而���,很多依賴關系無法用一種簡明方式表現出來���,對基礎設施相互依賴性開展全面分析目前仍是一項非常復雜且具有挑戰性的工作。
加拿大提出用矩陣分析模型來說明相互依賴關系和程度�����。矩陣的橫向和縱向所列的是各領域行業中關鍵產品和服務等要素���,縱向與橫向要素一一比對來判定依賴程度�����。各要素之間的依賴程度通過高、中、低�、無4個類別來描述�����。
5、分級分類法
美國開發了一種基于事件影響程度的分級分類法對關鍵基礎設施進行打分并判斷其優先級。具體方法是制定一個分類分級的指標體系�����,并配以權重和分值�,通過對關鍵基礎設施進行打分,從而確定優先級(也就是關鍵性等級)���。首先,對關鍵基礎設施的影響進行分類,定為一級指標�,并通過調研給各個指標分配一個權重值�����。各指標和權重如下(百分制):①對人身健康和安全的影響,28;②對經濟收入的影響�,19�����;③重建所花費的資金,18;④對應急系統的影響�,18�����;⑤對環境和物種的影響,12;⑥標志性和象征性的影響�,5���。其次�����,對每一類影響進行分級���,作為二級指標�����,并根據分級區間設定不同的分值�,最高為4分�����,最低為0分�。通過分級分類表對各基礎設施進行加權求和打分�,將結果作為該基礎設施關鍵性分值,并基于這個分值給關鍵基礎設施進行優先級排序�。
來源:保密科學技術
作者:陳月華等?
