自2010年以色列制造“震网”病毒袭击伊朗核设施,直接造成伊朗20%离心机损毁以来,关键信息基础设施一直笼罩在网络攻击的阴影之下。尤其是近年来,在全球网络攻击威胁呈现出分布化、规模化、复杂化的趋势下,如何保障关键信息基础设施安全已经成为牵动国计民生的大事件。
“没有网络安全就没有国家安全”,我国对于关键信息基础设施安全保护一直非常重视。2021年8月,国务院公布《关键信息基础设施安全保护条例》(以下简称《关保条例》)。
作为我国《网络安全法》的重要配套法规,《关保条例》于2021年9月1日正式施行,进一步明确了关键信息基础设施安全保护的具体要求和措施,将推动各行业各领域全面开展关键信息基础设施安全保障工作。
2022年11月,全国信息安全标准委员会发布了《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《关基保护要求》),将于2023年5月1日正式实施。市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《关基保护要求》发布宣贯会。
《关基保护要求》是继《关保条例》后,我国首个发布的关键信息基础设施安全保护标准,对于我国关键信息基础设施安全保护有着极为重要的指导意义。
本文对《关基保护要求》进行简要解读,仅供参考。
总的来说,《关基保护要求》共计11个章节,分别是范围、引用文件、术语、原则、主要内容和活动、分析识别、安全防护、检测评估、监测预警、主动防御、事件处理,提出三项基本原则,六个方面的安全控制措施,其111条安全要求进一步细化、落实《关保条例》,给企业开展关键信息基础设施保护提出更明确的要求和操作细则。
一、目标:关键信息基础设施
《关基保护要求》保护的对象是关键信息基础设施,是指公共通信和信息服务、能源、交通、水利金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
具体如下图所示:
二、一致:网络安全法、关保条例、等保2.0
正如上文所提到的,关键信息基础设施安全是网络安全的重中之重,我国多部网络安全法规都对其有相应的规定。《关基保护要求》是在上位法的基础之上,对关键信息基础设施保护提出具体可落地的要求,因此它和其他法规的要求保持一致。
《网络安全法》明确提出国家需对涉信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域实行重点保护,并从责任、流程、问责三个层面形成我国关基安全保护的基础性法律,促进了关基保护法规体系的完善和统一,为后续相关法规的制订与完善提供了底层支撑。
我国关键信息基础设施标准体系的框架设计参照等保2.0标准,在等保2.0的基础上加强对于涉公共通信和信息服务、能源等领域的重点保护。
2021年9月,《关保条例》正式实施,是特别针对关基安全保护的纲要性文件。在《网络安全法》的基础上,从网络设施、系统对于关键业务的重要程度、遭破坏可能产生的危害程度以及对于其他行业与领域的关联性影响框定了关键信息基础设施的认定原则以及具体的保护范围。
与此同时,《关保条例》进一步明确了关基保护的问责制度,增加了对于运营者违规情形的具体说明,并针对关基础设施采购、运营、检查评估、主动攻击等不同行为的处置原则作出详细区分。
2023年5月,《关基保护要求》将正式实施,并且和上文提及的上位法/文件保持一致。此后,我国关基防护工作将呈现出体系化、系统化的趋势,也标志着关基安全防护工作进入了新的历史阶段。
在网络安全法、关保条例、等保2.0的基础之上,《关基保护要求》提出了更多可操作的细化要求。例如新增了成立网络安全工作委员会或领导小组,并明确提出了将领导班子成员作为首席网络安全官。这在以往的法规中不存在,并且也给企业指出了明了的要求。
还有应急演练也是如此,《网络安全法》《关保条例》只规定了定期开展应急演练,但《关基保护要求》明确每年至少开展一次应急演练,并就演练前中后等提出具体细则。具体将在后文介绍。
在产品服务采购方面也进行了补充和扩展,为运营者提供了更多具体可执行的操作要求,大大增强了采购环节的安全性。例如,建立和维护合格供应方目录;强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性等;获得提供者对网络产品和服务的10年以上知识产权授权等。
关于安全计算环境方面,在此前的监管依据中,例如《国家网络安全检查操作指南》2.5.4.3c)关于补丁、漏洞、账户管理等的检查方法包括使用终端检查工具或采用人工方式,而此次《关基安全保护要求》明确提出了应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。
三、确定:三大基本原则
(一)、以关键业务为核心的整体防控
关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系
(二)、以风险管理为导向的动态防护
根据关键信息基础设施所面临的安全威胁态势进行持续监测_和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。
(三)、以信息共享为基础的协同联防
积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。
四、细化:六大安全维度
(一)、分析识别
1、业务识别:关键业务和外部业务的关联性、关键业务对外部业务的依赖性、关键业务对外部业务的重要性、关键业务链的分布和管理 。
2、资产识别:建立关键业务的资产清单;确定资产防护的优先级;采用资产探测技术并动态更新。
3、风险识别:应参照 GB/T 20984 等标准,对关键业务链开展安全风险评估,并形成安全风险报告。
4、重大变更:关键信息基础设施改建、扩建及管理人员及其他的变更,应及时报告相关部门并更新资产清单。
(二)、安全防护
1、遵从网络安全等级保护基本要求,开展定级、备案及相关工作;
2、根据识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全;
3、确定了制定网络安全保护计划,并最少每年更新一次,或者发生安全事件的情况下更新;
4、设置首席安全官,专管或者分管关键信息基础设施;
5、关键岗位设置两人管理,对关基人员不少于30学时的培训;
6、采用“一主双备”,“双节点” 冗余的网络架构;
7、根据区域不同做严格把控,并保留相关日志不少于6个月;
8、应使用自动化工具进行管理,对漏洞、补丁进行修复;
9、对供应链安全和数据安全也做出了相关的要求。
(三)、检测评估
1、每年至少进行一次检测评估,并及时整改发现的问题;
2、涉及多个运营者,定期组织或参加安全检测评估;
3、内容包括网络安全等级保护制度落实情况,商用密码应用安全性评估情况,供应链安全保护情况,数据安全防护情况等;
4、发生重大变化时应重新进行评估,并依据风险变化进行整改后方可上线;
5、针对抽查发现的安全风险,应及时进行整改。
(四)、监测预警
1、制度:建立监测关键业务所涉及的系统;关键信息基础设施舆情监测机制,并对情报研判分析;不同级别预警的应急处置流程;预警通报和协作机制;运营者、管理机构和其他部门沟通机制;建立安全信息共享机制等。
2、监测:部署攻击监测设备;对监测关键业务所涉及的系统进行监测;对流量进行分析并建立相应的模型;全面收集日志信息,构建正向和逆向模型;对关键业务信息进行自动化、整体性分析;关联分析。
3、预警:将监测工具设置为自动模式;对共享、预警信息进行综合研判、分析;安全预警信息持续获取和及时通报。
(五)、主动防御
1、收敛暴露面:减少企业暴露面,压缩互联网出口数量;减少对外暴露组织架构等内部信息;内网存储敏感信息。
2、攻击发现和阻断:分析网络攻击的方法、手段,制定针对性方案;针对监测发现的攻击活动快速处置;及时对网络攻击进行溯源;分析网络攻击意图、技术与过程,进行关联分析与还原。
3、攻防演练:围绕关键业务设定演练场景,定期开展攻防演练;跨组织实网攻防演练,沙盘推演攻防演练;核心供应链、上下游产业链纳入攻防演练中;发现问题,及时整改。
4、威胁情报:建立内外部威胁情报共享机制,跨部门、行业联防联控。
(六)、事件处理
1、制度:建立网络安全事件管理制度,明确事件分类分级,应急响应处置流程和预案;预备事件处置资源,组织建立网络安全应急队伍,确保安全事件及时处置。
2、应急预案和演练:制定应急响应预案,包括本组织和多个运营者之间的应急事件处理;确保预案的连续性;明确非常时期处置流程;定期评估、更新;每年至少开展一次应急演练。
3、响应和处置:及时向安全管理机构、供应链相关单位通报安全事件;按照事件处置流程进行处理,恢复关键业务和信息系统;及时进行取证分析;形成事件处理报告,包括处理记录、事件状态、取证分析、事件细节、趋势、处理等;查找事件发生的原因;吸取教训,防止业务和系统再次遭到破坏;将事件处理纳入应急响应流程之中。
4、重新识别:结合安全威胁和风险变化情况开展评估,识别资产和风险,更新安全策略。
五、总结
《关基保护要求》是结合我国现有关键信息基础设施安全保障体系成果提出的可落地的安全保护要求,例如定量规定安全检测评估及应急演练频次、采购网络关键设备和网络安全专用产品具体流程、明确网络产品和服务提供者安全责任与义务等,有助于进一步为关键信息基础设施运营者及相关人员提供安全工作指引和依据。
对于监管部门而言,《关基保护要求》明确了安全检测评估、考核的具体标准及流程,支撑其优化关键信息基础设施安全监管举措,帮助其进一步把握监管范围与力度。
对于关键信息基础设施运营者而言,《关基保护要求》帮助其构筑网络安全建设、运维、制度、人员管理流程框架,确立安全技术能力提升方向及安全工具采购与使用标准,以更好地保障关键信息基础设施安全的稳定运行。
对于网络安全服务提供者而言,《关基保护要求》明确了产品和服务者的安全责任与义务,限定了网络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权要求,为其更好地开展网络安全服务提供合规依据。
来源:FreeBuf.COM