2022年10月12日,国家市场监督管理总局(国家标准化管理委员会)批准GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称“安全保护标准”)推荐性国家标准,于2022年11月正式对外发布,并将于2023年5月1日正式实施。安全保护标准是我国关键信息基础设施安全保护的总纲性标准,也是我国首个发布的关键信息基础设施安全保护标准,对指导我国关键信息基础设施安全保护工作,具有重大价值和深远意义。
一、编制背景
2016年,国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》,明确提出开展关键信息基础设施保护急需重点标准研制,全国信息安全标准化技术委员会组织开展了关键信息基础设施安全标准体系研究,提出关键信息基础设施安全标准体系框架和标准明细表,同时按照“急用先行”的原则开展了重点标准的研制。全国信息安全标准化技术委员会通过对《关键信息基础设施安全保护条例》进行标准化需求分析,围绕关键信息基础设施安全保障体系建设各维度,在已有国家网络安全标准的基础上,从关键信息基础设施的保护要求、控制措施、边界识别、保障指标、应急体系、检查评估,以及供应链安全、数据安全、信息共享、监测预警等方面系统推进标准研制工作,共同构建科学性、系统性、实用性的标准体系框架,用标准筑牢关键信息基础设施安全保障体系建设的基础。
二、适用范围
安全保护标准是我国关基安全保护的总纲性标准,本标准在国家网络安全等级保护制度基础上,借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,吸纳国内外在关键信息基础设施安全保护方面的举措,结合我国现有网络安全保障体系等成果,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面,提出关键信息基础设施安全保护要求,采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。
安全保护标准提出了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全控制措施,适用于指导运营者对关键信息基础设施进行全生存周期安全保护,也可供关键信息基础设施安全保护的其他相关方参考使用。
三、明确应遵循的三个基本原则
安全保护标准提出,关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循三个基本原则:以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防。
(一)以关键业务为核心的整体防控
关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系。
统筹规划、综合管理、智能聚合、实战弈升是整体防控体系构建的主要任务。针对已有各类安全平台系统各自建设,导致安全能力碎片化等问题,采用安全能力智能聚合的方式,将分析识别、安全防护、检测评估、监测预警、攻防对抗、事件处置等六大环节安全能力聚合,实现各环节安全数据共享及安全系统对接联动,实现六大安全业务闭环、一体化综合管理,构建形成整体安全防控体系,实现等级保护、威胁信息、实时监测、通报预警、事件处置、指挥调度、应急演练等安全业务综合管理。
(二)以风险管理为导向的动态防护
根据关键信息基础设施所面临的安全威胁态势,进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。
智能化、流程化、自动化、一体化是动态防护的重要途径。可采用系列技术手段和措施,形成跨行业、跨部门、跨地区的立体化网络安全监测技术能力,提升风险威胁建模、安全信息感知、安全事件分析、安全事件预警及安全事件应急处置的精准能力;整合技术、工具、服务、流程等要素,打通网络安全预防、保障、监控、应急等流程,采用安全编排与自动化技术,构建自动化分析、响应、处置机制,一旦发现安全问题就快速将安全风险进行闭环流程化处置。
(三)以信息共享为基础的协同联防
积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。
信息共享、统一指挥、快速调度、智能响应是协同联防的核心要素。依据国家、行业的联防联控相关要求,建立网络安全事件管理制度,应明确不同网络安全事件的处置与响应流程,建立通报预警及内外部协作处置机制;组织专门队伍,调配技术资源,及时收集、汇总、分析各方网络安全信息,开展网络安全威胁分析和态势研判,及时通报预警处置;积极构建相关方广泛参与的信息共享、协同联动机制,提高信息通报预警、信息共享、事件处置等工作的高效性;与国家有关平台对接,实现协同联动和数据共享,能够做到统一指挥、快速调度,实现关基安全保护跨部门、跨行业、跨地域的整体防控和联防联控。
四、提出六大方面的内容和要求
关键信息基础设施安全保护包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面:
(一)设计分析识别能力,提升安全风险控制水平
1、标准的内容与要求
主要包括第五章“5 主要内容及活动”的内容,即分析识别:围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础,同时包括第六章“6 分析识别”的具体要求。
2、构建分析识别的“风控能力”
为提升分析识别能力,强化提升安全风险管控能力,可以从管理和技术措施两个方面开展工作:
一是明确开展分析识别工作的管理和要求。为保障关键信息基础设施的业务持续、稳定运行,需要动态的掌握关键信息基础设施资产、业务、风险的情况。根据国家和行业关键信息基础设施识别规范或要求,制定自身的资产识别、业务识别、风险识别相关管理制度,指导开展分析识别工作;建立和实施分析识别业务流程,形成关键信息基础设施业务识别相关文档;建立和实施资产识别制度,识别关键业务资产组成和分布,确定资产的重要等级;建立和实施风险管理制度,动态持续性开展风险识别和管理;建立和实施重大变更管理办法,发生重大变更时,将相关情况报告保护工作部门。
二是提升分析识别技术措施。分析识别能力的构建,需要采用系列技术手段和措施,实现相关技术措施的有效聚合和一体化管理,包括:采用自动化识别与人工梳理相结合的方式,明确关键信息基础设施的范围分布、运营情况、影响范围、业务类别、业务逻辑、业务依赖等,测绘业务图谱;采用资产管理相关技术工具,实现资产数据的动态、持续统一管理;采用风险识别动态管控技术手段,掌握风险危害程度、分布状况和态势信息,动态持续性开展风险识别和管理;采用自动化的变更监测手段,快速监测网络拓扑重大变化、关键业务链或关键属性发生变化、业务服务范围发生重大变化,针对重大变更情形,动态掌握变化信息。
(二)设计安全防护能力,确保业务稳定持续运行
1、标准的内容与要求
主要包括第五章“5 主要内容及活动”的内容,即安全防护:根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全,同时包括第七章“7 安全防护”的具体要求。
2、构建安全防护的“弹性能力”
本标准重点突出了数据安全和供应链安全要求,为提升安全防护能力,提升业务持续稳定运行的安全弹性,可以从管理和技术措施两个方面开展工作:
一是明确开展安全防护工作的管理和要求。建立针对关键信息基础设施指导和管理网络安全工作的委员会或领导小组,明确领导班子成员专职管理或分管关键信息基础设施安全保护工作;设置安全管理机构,建立健全网络安全保护工作制度和责任制;将网络安全等级保护制度与关键信息基础设施保护制度、数据安全保护制度有机衔接,统筹落实。
二是增强安全防护技术措施,强化数据安全和供应链安全。安全防护能力的构建,需要采用系列技术手段和措施,实现相关技术措施的有效聚合和一体化管理,包括:采用技术措施对具有不同安全保护等级的系统、不同业务系统、不同区域及与其他运营者之间的互操作、数据交换进行严格控制,建立或完善安全互联安全策略;采用鉴别与授权技术措施,实现重要业务操作、重要用户操作或异常用户操作行为的安全管控;采用网络入侵检测、大数据分析检测等技术手段,发现潜在的未知威胁,并作出响应;采用新的技术措施实现业务发展中采用的云平台、移动互连、物联网、5G等新技术的有效安全防护;建立数据安全管理责任和评价考核制度,编制数据安全保护计划,实施数据安全技术防护,开展数据安全风险评估,制定数据安全事件应急预案,及时处置安全事件;构建供应链安全保护系统,绘制供应链安全管理动态图谱,建立供应方目录,加强通用、开源功能组件模块分析梳理,加强供应安全风险分析识别,对关键业务链开展安全风险分析,分析主要安全风险点,当发生安全风险时,及时采取措施消除隐患。
(三)设计检测能力,深度测评安全风险隐患
1、标准的内容与要求
主要包括第五章“5 主要内容及活动”的内容,即检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,应建立相应的检测评估制度,确定检测评估的流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件,同时包括第八章“8 检测评估”的具体要求。
2、构建检测评估的“前沿能力”
为提升检测评估能力,采用先进的前沿技术手段方法,深度检测评估安全风险隐患,可以从管理和技术措施两个方面开展工作:
一是明确开展检测评估工作的管理和要求。明确检测评估策略,根据国家政策、法律法规要求和组织需求,阐述检测评估目的、范围、角色、责任及组织内协调等;建立健全关键信息基础设施安全检测评估制度和流程,检测评估应包括合规检查、技术检查、分析评估等方面;建立年度检测评估工作责任制,明确检测中的角色分工和相应职责,建立相应问责机制;制定检测评估机制,自行或者委托国家或行业认可的网络安全服务机构,对其安全性和安全风险进行检测评估。
二是增强检测评估技术措施。检测评估能力的构建,需要采用系列技术手段和措施,实现相关技术措施的有效聚合和一体化管理,包括:配备检测评估相关工具,实现任务周期管理、跨运营者管理、法律法规和政策落实执行情况管理、信息流动管理、变更管理、整改管理等将检测评估流程、工具和任务管理;将采用的技术手段落实到系统中,持续跟进安全隐患和薄弱环节的整改情况;采用先进前沿的检测技术,强化新技术应用安全评估;在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,能够快速、流程化的利用工具开展检测评估工作,及时发现安全问题并有效整改;提升检测评估数据管理能力,最终形成的检测报告,均以结构化数据进行统一化管理,为人员信用度评估、安全风险、安全整改情况持续性监督提供数据支撑。
(四)设计监测预警能力,精准发现攻击快速预警
1、标准的内容与要求
主要包括第五章“5 主要内容及活动”的内容,即监测预警:建立并实施网络安全监测预警和信息通报制度,针对发生的网络安全事件或发现的网络安全威胁,提前或及时发出安全警示,建立威胁情报和信息共享机制,落实相关措施,提高主动发现攻击能力,同时包括第九章“9 监测预警”的具体要求。
2、构建监测预警的“精准能力”
为提升监测预警能力,全面、精准发现攻击行为,并精准预警响应,可以从管理和技术措施两个方面开展工作:
一是明确开展监测预警工作的管理和要求。制定监测策略,明确监测对象、监测流程、监测内容,主动掌握威胁态势;明确本组织的预警信息分级标准,明确本组织的预警信息分级标准;明确不同级别预警信息的报告、响应和处置流程;建立综合评估机制,综合评估特定时间期限内的监测预警情况;构建完善监测预警和信息通报机制,按规定向行业主管、国家监管等部门报送网络安全监测预警信息。
二是提升监测预警技术措施。监测预警能力的构建,需要采用系列技术手段和措施,实现相关技术措施的有效聚合和一体化管理,包括:构建形成跨行业、跨部门、跨地区的立体化网络安全监测技术能力,发现网络攻击和安全威胁,遏制网络安全重大事件发生,与安全防护、事件处置、攻防对抗等业务活动信息共享,并与保护工作部门联动;通过建设风险威胁建模、安全信息感知、安全事件分析、安全事件预警及安全事件应急处置能力的一体化技术体系,构建形成安全信息汇总枢纽、安全事件调查处置、全局安全态势感知,提高对安全宏观态势的掌控、分析和评估水平;有效的将平台、人员、制度、流程有机的结合起来,形成安全工作的闭环,实现安全运营工作的自动化,提高安全管理和运营效率;加强云平台、移动互联网络、物联网、工业控制系统、大数据及平台、5G技术网络、IPv6技术网络等新技术应用安全监测,持续监测新技术应用的安全状态。
(五)设计主动防御能力,强化实战化攻防与对抗
1、标准的内容与要求
主要包括第五章“5 主要内容及活动”的内容,即主动防御:以应对攻击行为的监测发现为基础,主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力,同时包括第十章“10 主动防御” 的具体要求。
2、构建攻防对抗的“弈升能力”
为提升主动防御综合能力,通过攻防对抗和实战演练,迭代提升攻防博弈能力,验证现有安全控制措施,促进安全防护水平迭代提升,可以从管理和技术措施两个方面开展工作:
一是明确开展主动防御工作的管理和要求。构建攻防演习机制,使关键基础设施运营单位在实战中全面提升威胁应对能力,提升纵深防御能力、动态防御能力,构建主动防御能力,形成整体防控、精准防控和联防联控的安全运营体系;完善突发事件应急机制,有效处置网络安全事件,并针对应急演练中发现的突出问题和漏洞隐患,及时整改加固,完善保护措施;构建安全准入管理制度,开展互联网暴露面治理,全面了解互联网暴露面,并收敛暴露面。
二是提升主动防御技术措施。主动防御能力的构建,需要采用系列技术手段和措施,实现相关技术措施的有效聚合和一体化管理,包括:围绕关键业务的可持续运行,基于真实业务、测试环境或仿真靶场设定演练场景,定期组织开展本单位的攻防演练,及时发现整改网络安全深层次问题隐患,检验网络安全防护措施的有效性和应急处置能力;采用网络空间测绘暴露面管理等技术措施,发现面向互联网的资产和系统以及相关漏洞,掌握对行业暴露的资产情况;采用攻击诱捕、识别、分析等技术措施,构建溯源分析能力,分析和处置监测发现的攻击活动,采取诱捕、干扰、阻断、加固等多种技术手段切断攻击路径快速处置网络攻击;建立威胁情报技术能力,对攻击战术、方法和行为模式等有深入的理解,全面了解潜在的安全风险,对关键信息基础设施面临的威胁做全面的了解,实现外部协同网络威胁情报共享机制,与权威网络威胁情报机构开展协同联动,实现跨行业领域网络安全联防联控。
(六)设计事件处置能力,实现智能化响应与处置
1、标准的内容与要求
主要包括第五章“5 主要内容及活动”的内容,即事件处置:运营者对网络安全事件进行报告和处置,并采取适当的应对措施,恢复由于网络安全事件而受损的功能或服务,同时包括第十一章“11 事件处置” 的具体要求。
2、构建事件处置的“智联能力”
为提升事件处置能力,提高联防联控智能化、自动化、流程化水平,可以从管理和技术措施两个方面开展工作:
一是明确开展事件处置工作的管理和要求。建立网络安全事件管理制度,明确不同网络安全事件的分类分级,明确不同类别、级别及特殊时期的网络安全事件报告、处置和响应流程;明确人员职责制度,建立并落实资产安全管理、漏洞持续管理、安全策略管理、风险持续监测和安全事件响应处置闭环流程,提升处置效率;建立合作机制,建立运营者与外部机构之间、其他运营者之间的合作机制,以及运营者内部管理人员、内部网络安全管理机构与内部其他部门之间的合作机制;制定应急预案,根据演练情况对应急预案进行评估和改进;制定重大事件和威胁报告规范,明确报告流程和方法;建立信息上报机制,当网络系统出现特别重大网络安全事件时,应及时报告行业主管部门和相关监管部门。
二是提升事件处置技术措施。事件处置能力的构建,需要采用系列技术手段和措施,实现相关技术措施的有效聚合和一体化管理,包括:构建自动化事件报告技术措施,协助生成事件报告;构建分析研判的技术系统平台,支撑决策人员根据网络安全事件的信息主动获取与呈报事件相关的情报信息,支撑研判人员开展多部门、多人或多地联合的网络安全事件研判等操作;建立自动化编排响应技术措施,通过可编排可执行的数字化应急预案和可机读的威胁情报,结合事前应急演练,针对重大网络安全事件,实现对预警响应流程和应急响应流程的全方位支撑;构建应急队伍库、处置装备库、应急知识库等。
五、思考与展望
安全保护标准是我国关基安全保护的总纲性标准,对指导我国关键信息基础设施安全保护工作,具有重大价值和深远意义。通过研究分析,我们认为:
(一)本标准的基本原则与内容活动,具有“四化六能”显著特征
借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,吸纳国内外在关键信息基础设施安全保护方面的举措,结合我国现有网络安全保障体系等成果,采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。我国的关键信息基础设施安全保护,以关键业务为核心的整体防控、风险管理为导向的动态防护、信息共享为基础的协同联防作为基本原则,是以等级保护制度为基础的重点保护,关键信息基础设施安全保护的构建,具备风险管控“智能化”、技术措施“自动化”、安全业务“流程化”、综合运营“一体化”等四化特征,需强化提升分析识别的“风控能力”、安全防护的“弹性能力”、检测评估的“前沿能力”、监测预警的“精准能力”、攻防对抗的“弈升能力”和事件处置的“智联能力”等六大能力,四化特征和六大能力简称“四化六能”,以实现关键信息基础设施重点保护。
(二)我国网络安全将由堆叠式的“小安全”,正式迈进体系化的“大安全”
关键信息基础设施安全保护是个巨型复杂的系统工程,关基保护的安全本质内涵、建设实施等需要深入研究,保护工作部门和运营者需要建立本部门的网络安全综合业务管理和协调指挥体系,优化关基保护的工作流程和机制,采用安全能力智能化大聚合的方式,将分析识别、安全防护、检测评估、监测预警、主动防御和事件处置六大安全能力环节有机整合,实现六大环节技术措施的有效聚合和一体化管理,促进关键信息基础设施安全保护活动的动态大循环;同时六大能力环节将各自的技术措施进行聚合和一体化管理,促进各自安全数据和业务的自动化交互,形成各环节业务的流程化内循环;通过动态大循环和流程化内循环的体系化整合,构建形成动态自适应、业务流程化、六大能力聚合化、可自提升的关键信息基础设施安全保护体系;通过建设关键信息基础设施安全保护系统平台/中心,与国家监管部门等相关平台对接,形成纵横贯通、协同联动的综合防控大格局。
(三)我国关键信息基础设施安全保护工作任重道远,机遇和挑战并存
下一步,我国开展关键信息基础设施安全保护工作,将充分发挥关键信息基础设施监管部门、保护工作部门、运营部门、测评服务机构、安全相关机构和厂商各角色的积极作用,共同推进我国关键信息基础设施安全能力的提升,其中监管部门发挥国家统筹协调与指导监督作用,保护工作部门指导规范行业关基保护和能力建设,运营部门贯彻落实关键信息基础设施安全保护制度并探索实践,测评机构需打造关基检测评估专业技术和队伍,网络安全相关机构和厂商创新关基保护技术产品和安全服务等。(王少杰)
声明:本文来自关键信息基础设施安全保护联盟筹,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。