2022年10月12日,国家标准化管理委员会发布公告,正式批准GB/T 39204—2022《信息安全技术 关键信息基础设施安全保护要求》(简称《关基保护要求》)发布。该标准针对关键信息基础设施(简称CII)安全保护工作,为运营者和相关方提供了全生存周期的指导和参考。
1、标准的定位
作为关键信息基础设施安全保护标准体系(见解析系列之一)中的7个核心标准之一,《关基保护要求》属于安全保护类标准,针对CII安全保护需求,规定了分析识别、安全防护、检测评估、监测预警、主动防御和事件处置等六个环节的安全要求,是各运营者开展安全保护工作时的重要依据。
2、标准的特点
从框架及内容上来看,《关基保护要求》具有以下特点:
01全面落实政策法规要求
一是充分借鉴国内外的典型网络安全框架模型(如IPDRR),结合政策法规中提出的安全保护重点工作,确立了CII安全防护的6个关键环节:分析识别、安全防护、检测评估、监测预警、主动防御和事件处置,并以此为基础构建CII安全防护技术体系;二是《网络安全法》、《关键信息基础设施安全保护条例》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号)等法律法规和政策文件中明确提出的且适合在标准中规范的,均在标准中有相应的要求落地,比如制定保护工作计划、人员安全审查、日志保存6个月等。
02与等级保护相关标准紧密衔接
为体现在等级保护制度上实现重点保护,《关基保护要求》对于已经在网络安全等级保护标准,如GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》(简称《等级保护要求》),中提出的安全条款不再进行重复规定,而是针对CII防护的特殊需求(如主动防御)和增强要求(如自动化工具),提出更高的安全要求,进而体现整体防护、动态防护和联防联控。因此,运营者在规划和建设时需要将《等级保护要求》和《关基保护要求》组合起来,共同作为CII应落实的安全要求。
03充分体现CII特点
一是CII可能包含多个定级对象,定级对象之间存在不同的互联和信任关系,《关基保护要求》对于这些互联可能带来的安全风险提出了明确的安全防护要求;二是CII可能是跨运营者跨部门的。对于CII对象涉及到多个运营主体的情况下,《关基保护要求》提出了多运营者责任层层落实、协同防护的要求;三是以保护关键业务为目标,面向关键业务链及其依赖的资产提出落实“三化六防”的安全要求。
04采用能力目标的描述方式
安全要求条款采用能力目标性描述方式,不限定具体安全措施。这种描述方式一方面方便运营者灵活落实,同时也为技术发展预留了演进空间。
3 标准的主要内容
《关基保护要求》从分析识别、安全防护、检测评估、监测预警、主动防御和事件处置等6个环节提出了安全保护增强要求。其中分析识别环节是安全防护、检测评估、监测预警、主动防御、事件处置等环节的基础。
深入分析标准内容,可以看出要求条款目标是提升CII的安全能力,即:关基运营者的网络安全管控能力和关基自身的安全保护能力两方面。其中运营者的网络安全管控能力侧重于关基管理体系机制的构建,关基自身的安全保护能力侧重于关基应采取的技术和管理措施。
01运营者的网络安全管控能力
运营者的网络安全管控能力包括顶层设计和统筹规划、组织架构体系、安全管理制度体系、各项机制建立等方面。
顶层设计和统筹规划包括等级保护、关基保护、数据保护等统筹设计,如条款要求“每年制定安全保护计划”。
组织架构体系包括构建领导体系、决策体系、工作体系等,如条款要求“成立网络安全工作委员会或领导小组”、“设置专门的网络安全管理机构”、“安全管理机构人员纳入组织信息化决策体系”等。
安全管理制度体系体现为在《等级保护要求》基础上增加了管理制度要求,如网络安全责任制、考核及监督问责、监测预警和信息通报、供应链安全管理、数据安全管理、经费保障等各项制度。
各项机制建立则包括监测预警、信息通报、检测评估、应急处置等各项工作机制的建立。如条款要求“建立并落实常态化监测预警、快速响应机制”、“每年至少进行一次检测评估”等。
02关基自身的安全保护能力
关基自身的安全保护能力包括动态防御能力、主动防御能力、纵深防御能力、精准防护能力、整体防控能力、联防联控能力。
动态防御能力以风险管理为指导思想,基于对关基所面临安全风险及隐患的立体化网络安全动态监测,对其安全控制措施进行动态调整,以及时有效的防范应对安全风险,具体条款要求见标准中的风险识别、监测、预警等章节。
主动防御能力以应对攻击行为的监测发现为基础,主动采取收敛暴露面、诱捕、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,具体条款要求见标准中的主动防御章节。
纵深防御能力通过关基按照业务功能实行分区分域管理,区域之间进行有效安全隔离和认证,实现从边界到核心的多层保护,具体条款要求见互联安全、边界防护等章节。
精准防护能力基于资产的全面自动化智能管理措施,结合网络安全威胁情报,开展威胁分析和态势研判,及时发现资产面临的威胁和风险,实现对资产的精准防护。具体条款要求见资产识别、威胁情报、监测预警、安全计算环境等章节。
整体防护能力基于关基承载的业务,对业务所涉及的多个网络和信息系统等进行整体设计、全面防护。具体条款要求见业务识别、安全管理中心(《等级保护要求》)、安全建设管理等章节。
联防联控能力通过关基相关的指导监督部门、保护工作部门、多个运营者、服务商、专家等多方共同保护关基来实现。具体条款要求见“检测评估、攻防演练、应急演练、响应和处置”等章节。
综上,《关基保护要求》落实了CII安全保护以网络安全等级保护制度为基础这一要求,并与我国的网络安全整体形势以及CII安全需求相适应,必将有力推动关键信息基础设施安全保护制度在全国的落地实施。
作者:公安部第三研究所评估中心 咨询部副主任 袁静
相关阅读:
声明:本文来自公安部网络安全等级保护中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
