文 | 中国电子技术标准化研究院 上官晓丽 王惠莅
《关键信息基础设施安全保护条例》已正式发布并实施两周年,根据该条例第三十条的要求,国家制定和完善关键信息基础设施安全标准,指导和规范关键信息基础设施安全保护工作。全国信息安全标准化技术委员会(TC260)在相关部门的指导下,组织产学研用单位共同研究关键信息基础设施安全标准体系,编制关键信息基础设施安全的重点标准,体系化推进关键信息基础设施安全标准制定,为国家、行业、运营者、网络安全服务机构等多方从标准化维度提供关键信息基础设施安全保护支撑,提升了我国关键信息基础设施安全防护能力。
一、关键信息基础设施安全国家标准发布
在中央网信办网络安全协调局和公安部网络安全保卫局的指导下,我国首个关键信息基础设施安全国家标准《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)于 2022 年10 月发布,并于今年 5 月正式实施。该标准为落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律法规提供了实施指引,对于关键信息基础设施安全保障体系的建设具有基础性、规范性和引领性作用。该标准提出了关键信息基础设施安全的三项保护基本原则,以及 6 大类、111 条的安全要求。标准的主要内容包括:
一是明确了关键信息基础设施安全保护的基本原则。提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防三项基本防护原则。以保护关键业务为目标,对业务所涉及的网络和系统进行体系化安全设计。根据面临的安全威胁态势进行持续监测和安全控制措施调整,形成动态的安全防护机制。积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,从而构建整体安全防控体系,及时有效地防范安全风险。
二是提出了关键信息基础设施安全保护的框架。该框架围绕关键信息基础设施承载的关键业务,由分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个方面构成。一方面,该框架兼容国际主流的关键基础设施保护框架,并根据我国国情引入了“主动防御”的相关内容,通过采取收敛暴露面、发现阻断、攻防演练、威胁情报等主动措施,有效提升对网络威胁与攻击的识别、分析、处置等防御能力。另一方面,该框架设计以风险管理为主线,立体构建识别风险、分析风险、评价风险、防范风险的综合体系,突出关键信息基础设施安全保护的动态性、协同性、联动性特点。
三是在国家网络安全等级保护基础上,提出了关键信息基础设施安全的重点保护要求。针对关键信息基础设施关键业务的稳定持续运行、数据不被泄露和篡改、供应链安全等核心目标,重点提出了建立专门的安全管理机构、设置首席信息安全官、进行供应链安全管理、实施数据安全保护等要求;针对不同网络安全等级保护系统之间、不同业务系统之间、不同区域系统之间以及不同运营者的系统之间的信息流动,提出了边界保护要求。对通信线路实施“一主双备”的多电信运营商多路由保护要求。针对关键信息基础设施需要及时、快速对异常情况做出响应的需求,提出资产自动化管理、态势感知、信息共享、攻击发现并阻断等要求,指导关键信息基础设施运营者构建整体性和动态性的安全防护体系。
该标准可以为保护工作部门、运营者、网络安全服务机构提供指引和依据。保护工作部门可以参考该标准开展关键信息基础设施安全保护的建设、运维、评价和考核工作;运营者可以按照该标准对关键信息基础设施进行全生存周期的安全保护;网络安全服务机构也可依据该标准开展关键信息基础设施的网络安全检测和风险评估等活动。
二、关键信息基础设施安全国家标准体系化推进情况
随着 GB/T 39204-2022 的发布,我国关键信息基础设施安全标准体系以该标准为基础进行调整和完善。标准体系框架的设计旨在解决关键信息基础设施安全保护工作中的重点难点问题,包括防护实施、能力评价等方面。设计过程借鉴了信息安全管理体系等标准体系的思路,并从关基认定、安全要求、实施指南、能力评估等方面进行构建。以 GB/T 39204-2022 为核心,基于该标准提出的分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面要求研制相对应的指南标准,以指导运营者采取具体安全措施以满足 GB/T 39204-2022 的要求。同时,根据《关键信息基础设施安全保护条例》的要求,还制定研究关键信息基础设施安全能力评估标准,用于评估关键信息基础设施的安全防护能力,以促进运营者持续提升其安全防护能力。目前,关键信息基础设施安全相关国家标准正在研制过程中,也将随着关键信息基础设施安全保护工作的逐步开展进行优化和调整。
关键信息基础设施需要保护完整业务链,这可能涉及单个或多个信息系统,甚至跨越组织、地域、层级和系统的复杂网络系统。这一特点给关键信息基础设施保护工作带来了挑战,需要全局性的统筹考虑和有效协同的安全管理机制。目前,全国信安标委正在基于 GB/T 39204-2022 推进相关标准的研制和发布,涵盖供应链安全、数据安全、信息共享、态势感知等方面。
一是在供应链安全方面,《信息安全技术 软件供应链安全要求》(报批稿)针对软件供应链中存在的软件漏洞、后门、供应链劫持等安全问题,提出了供需双方对软件供应链安全风险管理的要求。另外,《信息安全技术 软件产品开源代码安全评价方法》(征求意见稿)针对软件产品中的开源代码,涵盖了知识产权风险、持续性风险等方面,提供了评价指标体系和评价方法,用于评估开源代码的来源、质量、知识产权和管理能力。
二是在数据安全方面,《信息安全技术 数据分类分级规则》(报批稿)、《信息安全技术 数据安全风险评估方法》(征求意见稿)、《信息安全技术 重要数据处理安全要求》(征求意见稿)、《信息安全技术 个人信息跨境传输安全认证要求》(送审稿)等标准也都在陆续推进,这些标准可用于解决关键信息基础设施中的数据分类分级、数据安全风险评估、重要数据保护以及数据跨境等典型数据安全问题,并规范相关工作的开展。
三是在信息共享、态势感知和监测预警等方面,《信息安全技术 网络安全信息共享指南》(GB/Z 42885-2023)、《信息安全技术 网络安全信息报送指南》(报批稿)、《信息安全技术网络安全态势感知通用技术要求》(GB/T 42453-2023)、《信息安全技术 政务网络安全监测平台技术规范》(GB/T 42583-2023)等标准为我国的信息共享制度和监测预警制度的健全完善提供了支持,推动其健全完善。这些标准也为运营者对关键信息基础设施安全保护态势的研判提供了指南。
此外,《信息安全技术 网络安全服务能力要求》(GB/T 32914-2023)、《信息安全技术 网络安全服务成本度量》(GB/T 42461-2023)、《信息安全技术 网络安全从业人员能力基本要求》(GB/T42446-2023)、《信息安全技术 网络安全弹性评价准则》(征求意见稿)、《信息安全技术 网络攻击和攻击事件判定准则》(征求意见稿)、《信息安全技术 零信任安全参考架构》(报批稿)、《信息安全技术 人工智能安全计算平台框架》(征求意见稿)等标准,从网络安全服务机构、网络安全从业人员、基础设施的弹性、网络攻击统计以及新技术应用等方面保障关键信息基础设施的安全。
三、关键信息基础设施安全国家标准宣贯推广情况
网络安全标准是保障国家关键信息基础设施的重要技术要素,而网络安全标准不仅在于服务政府,规范产业,其强大的生命力来自标准的推广应用。信安标委致力于营造标准化工作的良性生态,组织更多的网络安全企业、高校、科研院所等参与到关键信息基础设施安全标准化工作中,打通技术、产业、学术等环节,形成标准化合力,深入推动金融、能源、电信、交通、水利、卫生健康、国防科技工业等重要行业和领域关键信息基础设施的标准试点工作,促进标准研制与行业实施紧密互动,全链条提升标准应用价值与实施效果,共筑网络安全防线的良性生态。
一是召开《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)国家标准发布宣贯会。会议由市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局于 2022 年 11 月 7 日在京联合召开。会上,保护工作部门代表以及来自公共通信和信息服务、能源、交通、水利、金融、公共服务、国防科技工业等重要行业和领域的标准应用单位共同学习研究了该标准的相关要求。
二是多层次、多维度强化关键信息基础设施安全标准的实施落地和宣贯培训。在“4·15”国家安全日、国家网络安全宣传周、网络安全行业大会以及重要行业领域的培训等重要会议上,宣贯关键信息基础设施安全保护标准,并与相关行业合作,推动标准在行业中的普及和应用,为各行业和领域的关键信息基础设施安全提供支持。同时,鼓励各行业领域在 GB/T 39204-2022 的基础上提出细化要求,制定具有行业特色的安全标准。
关键信息基础设施作为直接关系到国家安全、国计民生和公共利益的重要基础设施,其安全防护是国家网络安全工作的重中之重。标准是落实关键信息基础设施安全相关法律法规的重要抓手,是保障关键信息基础设施安全与发展的重要技术要素。深入贯彻党的二十大精神,落实《关键信息基础设施安全保护条例》《国家标准化发展纲要》的任务部署,统筹优化标准体系建设,持续开展关键标准的研制工作,不断强化标准实施应用,以标准助力关键信息基础设施安全保障体系和关键信息基础设施综合防御体系建设,提升关键信息基础设施综合防护水平,确保关键信息基础设施安全稳定运行。
(本文刊登于《中国信息安全》杂志2023年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。