专栏
天翼云开发者社区

《关键信息基础设施安全保护要求》解读

2023-06-05 11:17:38 112阅读

一、背景

         近年来,全球针对关键信息基础设施发起的网络攻击事件不断增多,安全形势日益严峻,关键信息基础设施安全成为大国博弈主战场。2021年9月1日,我国《关键信息基础设施安全保护条例》正式实施,随后首份关键信息基础设施安全标准《关键信息基础设施安全保护要求》发布,并于2023年5月1日正式实施。

二、《关键信息基础设施安全保护要求》诞生

     2016年12月:研讨《关键信息基础设施网络安全框架》标准,为《要求》奠定基础;

     2017年04月:《信息安全技术关键信息基础设施网络安全保护基本要求》立项;

     2017年10月:《信息安全技术关键信息基础设施网络安全保护基本要求》第一版征求意见稿发布;

     2018-2019年:《信息安全技术关键信息基础设施网络安全保护基本要求》多次发布征求意见稿,充分进行了意见收集和内容优化;

     2019年12月:全国信息安全标准化技术委员会(秘书处在北京组织召开了国家标准《信息安全技术关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动会;

     2022年10月:《GB/T39204-2022信息安全技术关键信息基础设施安全保护要求》正式发布,于2023年5月1日正式实施;

     2023年5月1日:正式实施。

三、《关键信息基础设施安全保护要求》定位

  • 定位

        健全关键信息基础设施安全保护标准体系,是《关键信息基础设施安全保护条例》与后续标准之间的桥梁,起到承上启下的作用。

  • 关注点

        在标准中提出了“主动防御”的内容,运营者要提升主观能动性,强调实战下的关基保护。

  • 相关法律法规

     《中华人民共和国网络安全法》

     《中华人民共和国密码法》

     《中华人民共和国数据安全法》

     《中华人民共和国个人信息保护法》

     《关键信息基础设施安全保护条例》

  • 重要意义

     《GB/T39204-2022信息安全技术 关键信息基础设施安全保护要求》作为《关键信息基础设施安全保护条例》颁布后的首份关基相关的标准,为我国关基安全保护的总纲性标准,本标准在国家网络安全等级保护制度基础上,借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,为关键信息基础设施安全保护的开展奠定了坚实的基础,健全了国内关键信息基础设施安全保护体系,对于后续的标准制定具备很好的参考意义。

四、关键信息基础设施安全保护标准体系

五、报批稿与正式稿重大修订内容对比

  • 修订一:在原报批稿第3章节《术语和定义》基础上,正式版增加了关于“供应链”、“关键业务链”的定义。

        解读:提高对于供应链安全的重视程度,近年来,因无法保障供应链安全,各行业遭受网络攻击事件层出不穷,供应链已经成为网络安全保障体系中重要一环。

  • 修订二:在原报批稿第5章节《主要内容及活动》中,将“识别认定”修订为“分析识别”,在内容上增加了对“关键资产识别”的内容。

        解读:重点应放在分析与识别两方面,需要对关键信息基础设施承载的业务进行风险、资产、依赖性的识别,分析和识别完成后,认定工作其实已同步完成。

  • 修订三:在5章节《安全通信网络》章节中,新增《网络架构》内容,应实现通信线路“一主双备"的多电信运营商多路由保护,宜对网络关键节点和重要设施实施“双节点”冗余备份。

        解读:对于关键信息基础设施的可用性提出了更高且更具体的要求,运营者需要进一步的完善组织内的网络架构,保障关键信息基础设施的可持续、稳定的提供服务。

  • 修订四:在原报批稿第8章节《检测评估》基础上,增加了对“供应链安全保护情况”“数据安全防护情况”的检查。

        解读:再一次将数据安全、供应链安全提升至重要地位,随着数据安全事件、供应链安全事件的频发,以及国家、行业、企业对于数据安全和供应链安全的重视,关键信息基础设施保护工作中也需要同步重视。

 

六、关键信息基础设施保护与等级保护的关系

 

网络安全等级保护

关键信息基础设施安全保护

保护对象

信息系统、通信网络设施和数据资源等

关键业务链上的每个系统或网络(至少包含1个三级以上的系统),可能有多个等级保护对象

保护策略和措施

定级备案、等级测评、安全建设整改、监督检查等动作

在等级保护落实的基础之上,按照分析识别、安全防护、检测评 估、监测预警、技术对抗和事件处置6个环节进行保护

监督执行单位

等级保护由公安部、地方各级公安(网监)部门

在国家网信部门统筹协调下,公安部门负责指导监督关键信息基础设施安全保护工作

 

七、关键信息基础设施安全保护原则

  • 加强保护

        内容:在等级保护制度基础上加强保护。

        解读:等保2.0是网络安全工作基线,关键信息基础设施安全保护是在等级保护基础之上“加强保护”,被认定为关键信息基础设施保护对象应至少满足等级保护三级要求。

  • 整体防控

        内容:关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系。

        解读:一个关基上承载着多个信息系统,整体防护就是要覆盖每一个系统,可能会优先保障关键业务系统,但同时也要做好其他系统的防护工作。

  • 动态防控

        内容:根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。

        解读不断发现问题,修复问题,调整策略,动态防控。

  • 协同联防

        内容:积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。

        解读:除了运营者之外,包括安全厂商、供应商、监管机构需要共同将关基安全保护工作执行到位。

 

八、关键信息基础设施安全保护环节及活动

  • 分析识别

       关键信息基础设施运营者配合保护工作部门,按照规定开展关基的识别认定和工作,结合本地区、本部门、本行业实际情况,进行业务识别、资产识别和风险识别,在重大变更发生后,要根据实际情况进行更新资产清单等。

  • 安全防护

       运营者根据已识别安全风险,实施网络安全等级保护、安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设 管理、安全运维管理、供应链安全保护、数据安全防护等方面的安全控制措施,确保关键信息基础设施安全、稳定运行。

  • 检测评估

       为检验安全控制措施的有效性,发现网络安全风险,运营者应建立检测评估制度,包括检测流程、方法、人员、资金支持等,评估网络安全等级保护制度落实情况、商用密码应用安全性评估情况、技术防护情况、数据安全防护情况、供应链安全保护情况等,运营者可通过自行检测、委托网络安全服务机构、抽查检测的方式开展检测评估,每年至少开展一次检测评估活动。

  • 监测预警

       监测方面,运营者应对关键业务所涉及的系统进行全面的监测,部署能够检测未知威胁的安全设备,全面收集关键业务系统的日志,建立或使用模型,对获取信息进行关联分析,以便获取最新安全态势,及时制定和调整策略。

       预警方面,运营者应建立监测预警机制,包括内部协作处置机制以及网络安全信息共享机制,在第一时间自动化告警并对告警进行分析研判,对于安全告警及时进行内部通报,当预警信息十分重要或者严重时,要及时启动应急预案,并关注预警情报的进展,要求运营者具备预警解除标准和评估流程,在安全隐患得到控制或者消除后,及时解除预警。

  • 主动防御

       运营者应对攻击行为采取主动防御方式,提升对网络威胁的对抗能力:

        (1)收敛暴露面,减少互联网出口,减少内部信息对外暴露;

        (2)对于常见的网络攻击制定针对性的防御方案,开展攻击路径验证及演练,尽可能多的发现攻击路径,以便采取对应的措施和防护手段,快速处理网络攻击,同时借助安全设备和人员能力开展溯源工作,对攻击者进行画像,完善防护手段;

        (3)定期组织、参与攻防演练活动在演练活动中,要把核心供应链的厂商也纳入演练范围,对于演练中发现的问题,要形成报告和改进计划,有目标地开展整改工作;

        (4)建立威胁情报运营机制,与内部部门、外部机构建立情报共享机制和渠道,在特定时期形成联防联动机制,协同处置。

  • 事件处置

       运营者应对于网络安全事件及时进行报告和处置,并根据前置环节发现的安全风险问题,制定相应的制度和处置机制,降低安全事件影响,尽快恢复因安全事件而受到影响的业务和系统。

九、展望

       《GB/T39204-2022信息安全技术 关键信息基础设施安全保护要求》作为指导关键信息基础设施运营者开展关键信息基础设施保护工作的具体文件,具有很强的指向性和目标性。一方面运营者需要正视关键信息基础设施在未来网络安全工作中的重要地位,另外一方面运营者需要按照《要求》中提到的各方面,进行查漏补缺,弥补自身短板。

  • 1
  • 1
  • 1
1 评论
0/1000
蔡维珑

学习下

2023-06-06 17:32:07
0
回复
评论(1) 发表评论
蔡维珑

学习下

1****m

1****m

1 篇文章 0 粉丝
关注

《关键信息基础设施安全保护要求》解读

2023-06-05 11:17:38 112阅读

一、背景

         近年来,全球针对关键信息基础设施发起的网络攻击事件不断增多,安全形势日益严峻,关键信息基础设施安全成为大国博弈主战场。2021年9月1日,我国《关键信息基础设施安全保护条例》正式实施,随后首份关键信息基础设施安全标准《关键信息基础设施安全保护要求》发布,并于2023年5月1日正式实施。

二、《关键信息基础设施安全保护要求》诞生

     2016年12月:研讨《关键信息基础设施网络安全框架》标准,为《要求》奠定基础;

     2017年04月:《信息安全技术关键信息基础设施网络安全保护基本要求》立项;

     2017年10月:《信息安全技术关键信息基础设施网络安全保护基本要求》第一版征求意见稿发布;

     2018-2019年:《信息安全技术关键信息基础设施网络安全保护基本要求》多次发布征求意见稿,充分进行了意见收集和内容优化;

     2019年12月:全国信息安全标准化技术委员会(秘书处在北京组织召开了国家标准《信息安全技术关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动会;

     2022年10月:《GB/T39204-2022信息安全技术关键信息基础设施安全保护要求》正式发布,于2023年5月1日正式实施;

     2023年5月1日:正式实施。

三、《关键信息基础设施安全保护要求》定位

  • 定位

        健全关键信息基础设施安全保护标准体系,是《关键信息基础设施安全保护条例》与后续标准之间的桥梁,起到承上启下的作用。

  • 关注点

        在标准中提出了“主动防御”的内容,运营者要提升主观能动性,强调实战下的关基保护。

  • 相关法律法规

     《中华人民共和国网络安全法》

     《中华人民共和国密码法》

     《中华人民共和国数据安全法》

     《中华人民共和国个人信息保护法》

     《关键信息基础设施安全保护条例》

  • 重要意义

     《GB/T39204-2022信息安全技术 关键信息基础设施安全保护要求》作为《关键信息基础设施安全保护条例》颁布后的首份关基相关的标准,为我国关基安全保护的总纲性标准,本标准在国家网络安全等级保护制度基础上,借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,为关键信息基础设施安全保护的开展奠定了坚实的基础,健全了国内关键信息基础设施安全保护体系,对于后续的标准制定具备很好的参考意义。

四、关键信息基础设施安全保护标准体系

五、报批稿与正式稿重大修订内容对比

  • 修订一:在原报批稿第3章节《术语和定义》基础上,正式版增加了关于“供应链”、“关键业务链”的定义。

        解读:提高对于供应链安全的重视程度,近年来,因无法保障供应链安全,各行业遭受网络攻击事件层出不穷,供应链已经成为网络安全保障体系中重要一环。

  • 修订二:在原报批稿第5章节《主要内容及活动》中,将“识别认定”修订为“分析识别”,在内容上增加了对“关键资产识别”的内容。

        解读:重点应放在分析与识别两方面,需要对关键信息基础设施承载的业务进行风险、资产、依赖性的识别,分析和识别完成后,认定工作其实已同步完成。

  • 修订三:在5章节《安全通信网络》章节中,新增《网络架构》内容,应实现通信线路“一主双备"的多电信运营商多路由保护,宜对网络关键节点和重要设施实施“双节点”冗余备份。

        解读:对于关键信息基础设施的可用性提出了更高且更具体的要求,运营者需要进一步的完善组织内的网络架构,保障关键信息基础设施的可持续、稳定的提供服务。

  • 修订四:在原报批稿第8章节《检测评估》基础上,增加了对“供应链安全保护情况”“数据安全防护情况”的检查。

        解读:再一次将数据安全、供应链安全提升至重要地位,随着数据安全事件、供应链安全事件的频发,以及国家、行业、企业对于数据安全和供应链安全的重视,关键信息基础设施保护工作中也需要同步重视。

 

六、关键信息基础设施保护与等级保护的关系

 

网络安全等级保护

关键信息基础设施安全保护

保护对象

信息系统、通信网络设施和数据资源等

关键业务链上的每个系统或网络(至少包含1个三级以上的系统),可能有多个等级保护对象

保护策略和措施

定级备案、等级测评、安全建设整改、监督检查等动作

在等级保护落实的基础之上,按照分析识别、安全防护、检测评 估、监测预警、技术对抗和事件处置6个环节进行保护

监督执行单位

等级保护由公安部、地方各级公安(网监)部门

在国家网信部门统筹协调下,公安部门负责指导监督关键信息基础设施安全保护工作

 

七、关键信息基础设施安全保护原则

  • 加强保护

        内容:在等级保护制度基础上加强保护。

        解读:等保2.0是网络安全工作基线,关键信息基础设施安全保护是在等级保护基础之上“加强保护”,被认定为关键信息基础设施保护对象应至少满足等级保护三级要求。

  • 整体防控

        内容:关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系。

        解读:一个关基上承载着多个信息系统,整体防护就是要覆盖每一个系统,可能会优先保障关键业务系统,但同时也要做好其他系统的防护工作。

  • 动态防控

        内容:根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。

        解读不断发现问题,修复问题,调整策略,动态防控。

  • 协同联防

        内容:积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。

        解读:除了运营者之外,包括安全厂商、供应商、监管机构需要共同将关基安全保护工作执行到位。

 

八、关键信息基础设施安全保护环节及活动

  • 分析识别

       关键信息基础设施运营者配合保护工作部门,按照规定开展关基的识别认定和工作,结合本地区、本部门、本行业实际情况,进行业务识别、资产识别和风险识别,在重大变更发生后,要根据实际情况进行更新资产清单等。

  • 安全防护

       运营者根据已识别安全风险,实施网络安全等级保护、安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设 管理、安全运维管理、供应链安全保护、数据安全防护等方面的安全控制措施,确保关键信息基础设施安全、稳定运行。

  • 检测评估

       为检验安全控制措施的有效性,发现网络安全风险,运营者应建立检测评估制度,包括检测流程、方法、人员、资金支持等,评估网络安全等级保护制度落实情况、商用密码应用安全性评估情况、技术防护情况、数据安全防护情况、供应链安全保护情况等,运营者可通过自行检测、委托网络安全服务机构、抽查检测的方式开展检测评估,每年至少开展一次检测评估活动。

  • 监测预警

       监测方面,运营者应对关键业务所涉及的系统进行全面的监测,部署能够检测未知威胁的安全设备,全面收集关键业务系统的日志,建立或使用模型,对获取信息进行关联分析,以便获取最新安全态势,及时制定和调整策略。

       预警方面,运营者应建立监测预警机制,包括内部协作处置机制以及网络安全信息共享机制,在第一时间自动化告警并对告警进行分析研判,对于安全告警及时进行内部通报,当预警信息十分重要或者严重时,要及时启动应急预案,并关注预警情报的进展,要求运营者具备预警解除标准和评估流程,在安全隐患得到控制或者消除后,及时解除预警。

  • 主动防御

       运营者应对攻击行为采取主动防御方式,提升对网络威胁的对抗能力:

        (1)收敛暴露面,减少互联网出口,减少内部信息对外暴露;

        (2)对于常见的网络攻击制定针对性的防御方案,开展攻击路径验证及演练,尽可能多的发现攻击路径,以便采取对应的措施和防护手段,快速处理网络攻击,同时借助安全设备和人员能力开展溯源工作,对攻击者进行画像,完善防护手段;

        (3)定期组织、参与攻防演练活动在演练活动中,要把核心供应链的厂商也纳入演练范围,对于演练中发现的问题,要形成报告和改进计划,有目标地开展整改工作;

        (4)建立威胁情报运营机制,与内部部门、外部机构建立情报共享机制和渠道,在特定时期形成联防联动机制,协同处置。

  • 事件处置

       运营者应对于网络安全事件及时进行报告和处置,并根据前置环节发现的安全风险问题,制定相应的制度和处置机制,降低安全事件影响,尽快恢复因安全事件而受到影响的业务和系统。

九、展望

       《GB/T39204-2022信息安全技术 关键信息基础设施安全保护要求》作为指导关键信息基础设施运营者开展关键信息基础设施保护工作的具体文件,具有很强的指向性和目标性。一方面运营者需要正视关键信息基础设施在未来网络安全工作中的重要地位,另外一方面运营者需要按照《要求》中提到的各方面,进行查漏补缺,弥补自身短板。

文章来自专栏

关基

1 篇文章 1 订阅
1 评论
0/1000
蔡维珑

学习下

2023-06-06 17:32:07
0
回复
评论(1) 发表评论
蔡维珑

学习下

  • 1
    点赞
  • 1
    收藏
  • 1
    评论