作者 | 宇宸
编 | Yanni
今年10月12日,国标委正式批准发布《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022),并将于明年5月1日正式实施。历时多年的“关保制度”终于公布,早在2020年初,本人对此标准的2019版(8月)送审稿进行了分析解读,现在,让我们回顾一下,期间几版《关保》的条款变化情况。本文选取标准的2019版(8月)送审稿、2021版(12月)报批稿以及2022正式版进行对比。
总体来看,2021版标准与正式版调整较小,只有个别地方做了修改,而相比2019版送审稿的变化较大。
01 三版《关保对比》
框架结构对比
《关键信息基础设施安全保护要求》正式版(以下简称正式版)各域的标题有了较大变化,相比《关键信息基础设施安全保护基本要求(送审稿)》(以下简称旧版关保)更为简洁且合理。新增主动防御章节,并将旧版关保中的“数据安全防护”和“供应链安全保护”部分从安全计算环境中分离出来,单独成章,这也是考虑近年来对数据安全和供应链安全的重视。
范围和定义对比
正式版标准范围中再次明确关键信息基础设施的定义,并队供应链和关键业务链进行了说明,以便组织开展识别工作。
安全保护原则对比
在安全保护原则方面,正式版与2021版报批稿相一致,无调整。强调以等保为基础,实行重点保护。提出以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的总体原则。关注单个或多个对象的整体安全设计和防控体系;持续监测和主动风险识别,动态防护,及时应对;提倡信息共享,鼓励多方共同联防,以应对大规模网络攻击。
具体内容对比
对比表格中,要求项标题均以2022版为准。
分析识别
正式版在业务识别方面,强调依赖性,包括内部关联及外部关联,梳理关键业务链,明确重点和优先级。
在资产识别方面,新增了数据和其他类资产类别,要求具备主/被动资产探测技术能力。
在风险识别方面,明确要求按照国标20984风险评估标准(现已发布2022版)开展关键业务链安全风险分析,以资产、威胁、脆弱性三元素和已有安全措施为基础,并要求形成风险报告。
重大变更方面无明显调整,从旧版标准的“重大变化”调整为“较大变化”,将重新识别工作的范围适当进行了扩大,并在末尾补充了负责关信基安全保护工作的部门。
安全防护
安全防护的基础是国家等级保护制度,从原有的“符合相关要求”变为“落实相关要求”,更强调落地性。在管理制度方面,重新定义了工作目标:从管理体系、技术体系、运营体系、保障体系等方面进行规划,加强机构、人员、经费、装备等资源保障,支撑关键信息基础设施安全保护工作。制度管理上,要重点考虑关键业务链安全需求,根据实际风险情况进行调整,并且在注2中强调三同步工作,并在括号中说明了哪三同步,即同步规划、同步建设和同步使用。
细化安全管理机构要求,提出网络安全工作小组要明确一名领导班子成员作为CSO,专管或分管关信基安保工作;同时,必须设立网安管理机构,并指定负责人和岗位,纳入组织信息化决策体系(决策与管理层),配套和实施考核与监督问责机制。再次,关信基需一对一配备安全管理负责人,不可兼任。
人员管理方面,与数据安全类似,明确提出安全管理机构负责人和关键岗位人员上岗前必须进行背景审查和安全技能考核,关键岗位人员不少于2人;当负责人和关键岗位人员身份、安全背景发生变化时,根据情况重新进行安全背景审查;人员上岗、在岗、离岗期间需签订保密协议。此外,提出定期安排安全管理人员参加各类网络安全活动,了解网安行业动态,这一点个人觉得是大多数组织目前所欠缺的,员工缺乏学习、思考和了解咨询的时间和途径,以至于多年工作自身技能无明显提升。在教育培训方面,明确关信基从业人员每年教培时长不得少于30学时,教培内容可包括网安法律法规、政策标准,技术和管理等。
安全通信网络方面,防护对象从原有的“不同等级系统、不同业务系统、不同区域”变为“不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不同运营者运营的系统”,范围和精确度有所调整。正式版中,将“安全标记”这一要求进行删除。提出对“未授权设备进行动态发现及管控”的要求,需要组织具备相应技术能力。对于安全审计的日志留存(包括监测、记录系统运行状态、日常操作、故障维护、远程运维等),从原来的12个月调整为不少于6个月,介于当前大型企业海量日志的情况,6个月的日志留存,压力减小了不少。
安全计算环境的鉴别与授权部分,正式版中新增“重要用户操作”行为清单,并对其进行动态身份鉴别或多因子身份鉴别。在入侵防御方面,从“具备系统主动防具能力”调整为“实现系统主动防护”,对组织提出了更高的要求。
安全建设与安全运维管理方面,正式版再次强调“三同步”原则,针对必要时的关键业务方针验证环境,提出予以验证的新要求。明确关信基运维地点需位于中国境内,并应符合我国相关规定;运维人员要签订安全保密协议,运维工具的使用需使用已登记备案的,确需使用其他运维工具,应事先通过恶意代码监测。
供应链安全保护方面,正式版进行了大量修改,具体内容较多,这里不再赘述,可以参考正式版原文以及《信息安全技术 软件供应链安全要求(征求意见稿)》。
数据安全保护方面,重点在制度和考核体系建设、安全保护计划、数据安全风险评估、数据分类分级、重要数据和个人信息保护、数据安全生命周期管理、数据灾备建设等。正式版新增关信基退役阶段数据管理要求,即“按照数据安全保护策略对存储的数据进行处理”。
检测评估
监测评估部分,正式版内容调整较小,在方式和内容中提出定期开展跨运营者的安全监测评估和问题整改。监测内容中新增云计算服务安全、供应链安全保护和数据安全防护等情况的评估。
针对特定业务系统或资产,可采取不正式告知、可控的模拟攻击,以此监测关信基防护和响应能力。那么,这种操作是限于组织内还是多运营者之间,是否与已知法律法规相悖,这可能需要官方进行说明,目前正式版作为推荐性标准,不建议以此作为参考依据。
安全风险检测工作,明确应配合提供管理制度、网络拓扑、重要资产清单、关键业务链、网络日志等资料,这其中网络拓扑、重要资产和关键业务链对于企业来说,可能需要重点关注一下。
监测预警
监测预警部分,正式版要求建立并落实常态化监测预警、快速响应机制;及时关注国内外及行业安全咨询,经分析研判后再发预警。
监测预警的范围不再限于组织内部,要求“与外部组织之间、与其他运营者之间,以及运营者内部管理人员、内部网络安全管理机构与内部其他部门之间的沟通与合作机制,定期召开协调会议,共同研判、处置网络安全问题”。多次强调网络安全信息共享。
在监测方面,正式版中新增网络边界和出入口等网络关键节点处应部署攻击监测设备,其中要考虑的是所有关键节点处还是整体边界处,这个范围以及难度有很大差别,就正式版中描述来看,很可能是指前者。
正式版新增网络安全日志收集要求,“应全面收集网络安全日志,构建违规操作模型、攻击入侵模型、异常行为模型,强化监测预警能力”。重点在全流量日志(6个月)、大数据建模、网络安全监测模型应用。
在自动化机制方面,提出关键业务系所涉及的系统,需与资产、脆弱性和威胁关联;跨组织、跨地域建设关信基时,需构建集中统一指挥、多点全面监测、多级联动处置的动态感知能力。
在预警方面,要求采用自动模式,自动发现、自动报警、自动应对,要求相对较高。原文如下:
“应将监测工具设置为自动模式。当发现可能危害关键业务的迹象时,能自动报警,并自动采取相应措施,降低关键业方被影响的可能性。例如:恶意代码防御机制、入侵检测设备或者防火墙等弹出对话框、发出声音或者向相关人员发出电子邮件等方式进行报警。”
主动防御
本章节为正式版新增要求,旧版标准仅在个别地方提到相关要求,因此主要是2021版送审稿和正式版的对比,调整内容较少。主要包括:
收敛暴露面方面,从原“网络协议(IP)”调整为“互联网协议”,可能是出于IP协议的范围所限,用互联网协议进行描述,可以涵盖的更为广泛。
攻击发现和阻断方面,在网络攻击的方法、手段中,也别强调拒绝服务攻击这一类别,可能是出于影响范围和发生频率原因。
具体要求可参考正式版原文。
事件处置
事件处置部分,正式版与旧版标准变化很小,仅在几处进行了些许调整。
制度方面,正式版新增事件处置制度要求,应符合国家联防联控要求,且信息要及时共享给相关方;在参与和配合工作方面,增加了案件侦查工作类别。
应急预案和演练方面,从原“每年至少组织1次跨组织、跨地域的应急演练(适用时)”调整为每年至少开展1次本组织应急演练,定期组织或参与跨组织跨地域的应急演练,描述相较旧版更为明确。
响应和处置方面, 正式版提出“先应急处置、后调查评估的原则”。事件通报机制上,从原“按照规定通报相关部门”调整为“按照法律政策规定通报相关部门”,将通报依据上升为法律政策。
重新识别方面,2021版送审稿中,依据条件增加了攻防演练这一场景,但在正式版中又将此删除,并新增主动防御场景。同时,正式版再次强调业务、资产和风险识别工作,以此代替旧版标准中的风险评估。
声明:本文来自FreeBuf安全咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。