2022年10月12日,市場監(jiān)管總局(標(biāo)準(zhǔn)委)發(fā)布公告,批準(zhǔn)國家標(biāo)準(zhǔn)——GB/T 39204 2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(以下簡稱《要求》)正式發(fā)布,并將于2023年5月1日實(shí)施?！兑蟆返恼桨l(fā)布,也標(biāo)志著綢繆8年的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)(簡稱關(guān)保)工作正式拉開帷幕。

長揚(yáng)科技依托于自身沉淀多年的行業(yè)標(biāo)準(zhǔn)解讀和實(shí)踐落地經(jīng)驗(yàn),從關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的角度,對本次《要求》發(fā)布的內(nèi)容做出以下深度解讀。

1《要求》保護(hù)框架總體分析

《要求》共計(jì)11章節(jié),111條的內(nèi)容,明確了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的六個(gè)主要內(nèi)容及活動(dòng),具體包括分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動(dòng)防御和事件處置,從而指導(dǎo)運(yùn)營者對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全生命周期的安全保護(hù)工作。其框架如下圖所示:

圖 1 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)要求框架

根據(jù)近年對《要求》的關(guān)注、探索和分析,長揚(yáng)科技發(fā)現(xiàn),“關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)工作指導(dǎo)框架”經(jīng)歷了三個(gè)階段的調(diào)整,最終明確形成了六個(gè)主要活動(dòng)。六個(gè)主要活動(dòng)覆蓋了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的全生命周期,幫助運(yùn)營者從關(guān)基的識別認(rèn)定、強(qiáng)化安全防護(hù),到對運(yùn)營可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行檢測評估、并實(shí)行常態(tài)化監(jiān)測預(yù)警,同時(shí)以監(jiān)測發(fā)現(xiàn)的攻擊行為為基礎(chǔ),進(jìn)行攻防演練,提升主動(dòng)防御能力和事件閉環(huán)處置能力,確保了關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)穩(wěn)定和持續(xù)運(yùn)行。

近年關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各環(huán)節(jié)版本變化情況如下圖所示:

圖 2 近年關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各環(huán)節(jié)版本變化情況

2《要求》三大保護(hù)原則分析

“三大保護(hù)原則”標(biāo)志著我國網(wǎng)絡(luò)安全工作正式邁進(jìn)體系化建設(shè)新階段。我國的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作以“關(guān)鍵業(yè)務(wù)為核心的整體防控、風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)、信息共享為基礎(chǔ)的協(xié)同聯(lián)防”作為三大基本原則。在等級保護(hù)制度的基礎(chǔ)上,施行重點(diǎn)保護(hù),構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)體系。重點(diǎn)保護(hù)主要體現(xiàn)在兩方面,第一是明確重點(diǎn)行業(yè)和領(lǐng)域(8大行業(yè):公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè));第二是明確重點(diǎn)保護(hù)對象(增加了關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)鏈、數(shù)據(jù)安全、供應(yīng)鏈安全等對象)。

以下是對三大保護(hù)原則的解讀:

整體防控:將六大活動(dòng)實(shí)現(xiàn)統(tǒng)一的整合和閉環(huán)管理,形成整體安全防控體系,加強(qiáng)關(guān)鍵業(yè)務(wù)運(yùn)行所涉及的各類信息的整體安全態(tài)勢分析,包括業(yè)務(wù)所涉及系統(tǒng)的相關(guān)聯(lián)的資產(chǎn)、脆弱性、威脅等內(nèi)容,形成整體防控能力。

動(dòng)態(tài)防護(hù):根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全威脅態(tài)勢進(jìn)行持續(xù)監(jiān)測 和安全控制措施的動(dòng)態(tài)調(diào)整,形成動(dòng)態(tài)的安全防護(hù)機(jī)制,及時(shí)有效地防范應(yīng)對安全風(fēng)險(xiǎn)。通過引入自動(dòng)化技術(shù)和工具,實(shí)現(xiàn)實(shí)時(shí)監(jiān)測、通報(bào)預(yù)警、事件處置、指揮調(diào)度,形成立體化網(wǎng)絡(luò)安全動(dòng)態(tài)監(jiān)測能力。

協(xié)同聯(lián)防:以信息共享為基礎(chǔ),積極構(gòu)建相關(guān)方廣泛參與的信息共享、協(xié)同聯(lián)動(dòng)的共同防護(hù)機(jī)制,提升關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)對大規(guī)模網(wǎng)絡(luò)攻擊能力。與國家有關(guān)平臺(tái)對接,實(shí)現(xiàn)協(xié)同聯(lián)動(dòng)和數(shù)據(jù)共享,能夠做到統(tǒng)一指揮、快速調(diào)度,實(shí)現(xiàn)關(guān)基安全保護(hù)跨部門、跨行業(yè)、跨地域的整體防控和聯(lián)防聯(lián)控。

3《要求》六個(gè)活動(dòng)詳細(xì)解讀

3.1 分析識別

《要求》中對分析識別的定義如下:分析識別活動(dòng)指圍繞關(guān)鍵信息基礎(chǔ)設(shè)施(CII)承載的關(guān)鍵業(yè)務(wù),開展業(yè)務(wù)依賴性識別、關(guān)鍵資產(chǎn)識別、風(fēng)險(xiǎn)識別等活動(dòng)。本活動(dòng)是開展安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動(dòng)防御、事件處置等活動(dòng)的基礎(chǔ)。同時(shí),在對本方面的業(yè)務(wù)識別、資產(chǎn)識別、風(fēng)險(xiǎn)識別和重大變更的具體安全要求中可以發(fā)現(xiàn),識別關(guān)鍵業(yè)務(wù)和關(guān)鍵業(yè)務(wù)鏈?zhǔn)情_展關(guān)基保護(hù)工作的前提。針對于本項(xiàng)內(nèi)容,長揚(yáng)的理解為以下四點(diǎn):

3.1.1 關(guān)鍵信息基礎(chǔ)設(shè)施和關(guān)鍵業(yè)務(wù)鏈

關(guān)鍵信息基礎(chǔ)設(shè)施(簡稱CII):是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)籌重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

關(guān)鍵業(yè)務(wù)鏈(Critical Business Chain簡稱CBC):組織的一個(gè)或多個(gè)相互關(guān)聯(lián)的業(yè)務(wù)構(gòu)成的關(guān)鍵業(yè)務(wù)流程。

3.1.2 關(guān)于分析識別中CII要素識別梳理的要點(diǎn)

關(guān)鍵信息基礎(chǔ)設(shè)施(CII)要素識別是指將關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運(yùn)行不可或缺的資產(chǎn)(一般由軟硬件設(shè)備、組件、信息資源等組成的,能夠按照一定規(guī)則獨(dú)立處理信息的功能單元)從CII運(yùn)營者的所有資產(chǎn)中識別出來,以便重點(diǎn)保護(hù)。(CII)要素識別包括四個(gè)部分:(1)關(guān)鍵業(yè)務(wù)基礎(chǔ)情況梳理,(2)關(guān)鍵業(yè)務(wù)信息化情況梳理,(3)關(guān)鍵業(yè)務(wù)信息(CBI)梳理,(4)CII要素確定。

(1)關(guān)鍵業(yè)務(wù)基礎(chǔ)情況梳理包括基本架構(gòu)梳理、管理模式梳理、運(yùn)行框架梳理、業(yè)務(wù)特征梳理、基礎(chǔ)情況描述。

(2)關(guān)鍵業(yè)務(wù)信息化情況梳理包括業(yè)務(wù)模塊信息化梳理、功能模塊信息化梳理、基礎(chǔ)運(yùn)行環(huán)境信息化梳理、信息化范圍描述。

(3)關(guān)鍵業(yè)務(wù)信息梳理包括類別梳理、功能梳理、生存周期梳理、關(guān)鍵業(yè)務(wù)信息描述。

(4)關(guān)鍵信息基礎(chǔ)設(shè)施要素確定包括要素梳理、要素歸集、要素重要性評估、要素清單、業(yè)務(wù)關(guān)系確定、網(wǎng)絡(luò)位置確定、物理位置確定、管理關(guān)系確定、信息記錄?；玖鞒虉D如下所示:

圖 3 CII要素識別流程圖

3.1.3 關(guān)于分析識別中進(jìn)行風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)識別的要點(diǎn)

《要求》中提出風(fēng)險(xiǎn)識別應(yīng)參照GB/T 20984等標(biāo)準(zhǔn),對關(guān)鍵業(yè)務(wù)鏈開展安全風(fēng)險(xiǎn)分析,識別關(guān)鍵環(huán)節(jié)的威脅、脆弱性,并形成安全風(fēng)險(xiǎn)報(bào)告。GB/T 20984,即2022年4月15日新發(fā)布的《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估方法》GB/T 20984-2022,并替代原《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》GB/T 20984-2007成為新的信息安全風(fēng)險(xiǎn)評估工作實(shí)施指導(dǎo)標(biāo)準(zhǔn)。

新標(biāo)準(zhǔn)中,風(fēng)險(xiǎn)評估的要素包括資產(chǎn)、脆弱性、威脅和安全措施四大要素,各要素關(guān)系如下圖4所示。實(shí)施流程包括評估準(zhǔn)備、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評價(jià)、溝通與協(xié)調(diào)和風(fēng)險(xiǎn)評估文檔記錄六個(gè)方面。GB/T 20984風(fēng)險(xiǎn)評估實(shí)施流程圖如下圖5所示:

圖 4 風(fēng)險(xiǎn)要素及其關(guān)系

圖 5 GB/T 20984風(fēng)險(xiǎn)評估實(shí)施流程圖

3.2 安全防護(hù)

《要求》中對安全防護(hù)的定義為:根據(jù)已識別的關(guān)鍵業(yè)務(wù)、資產(chǎn)、安全風(fēng)險(xiǎn),在安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全建設(shè)管理、安全運(yùn)維管理等方面實(shí)施安全管理和技術(shù)保護(hù)措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。

值得注意的是,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第六條提出:在網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)上,采取技術(shù)保護(hù)措施和其他必要措施,應(yīng)對網(wǎng)絡(luò)安全事件。因此關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)是要先落實(shí)國家網(wǎng)絡(luò)安全等級保護(hù)制度相關(guān)要求,開展網(wǎng)絡(luò)和信息系統(tǒng)的定級、備案、安全建設(shè)整改和等級測評等工作。

3.2.1 關(guān)保和等保關(guān)于安全防護(hù)的內(nèi)容變化分析

從總體區(qū)別上來看,等級保護(hù)2.0重點(diǎn)是圍繞“一個(gè)中心,三重防護(hù)”為核心,從技術(shù)+管理的角度來指導(dǎo)各單位如何開展安全保護(hù)工作;關(guān)保則是在等保的基礎(chǔ)之上,從運(yùn)營者關(guān)鍵業(yè)務(wù)及其相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的全生命周期角度描述如何開展安全保護(hù)工作。

3.2.2 關(guān)保和等保關(guān)于安全防護(hù)的要求重點(diǎn)分析

圖 6 關(guān)保和等保關(guān)于安全防護(hù)要求區(qū)別分析

3.2.3 新增供應(yīng)鏈安全保護(hù)

2022年2月15日施行的《網(wǎng)絡(luò)安全審查辦法》中第一條寫到:為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護(hù)國家安全等,制定本辦法。關(guān)基和《網(wǎng)絡(luò)安全審查辦法》一一對應(yīng),《網(wǎng)絡(luò)安全審查辦法》主要講的就是基于對關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全進(jìn)行安全防護(hù)。

《要求》中對于供應(yīng)鏈安全保護(hù),主要是對供應(yīng)鏈安全管理的策略和制度、采購國家檢測認(rèn)證的設(shè)備和產(chǎn)品、同時(shí)在相關(guān)責(zé)任和義務(wù)方面明確相關(guān)承諾和要求。以下是部分內(nèi)容摘錄:

采購網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄中的設(shè)備產(chǎn)品時(shí),應(yīng)采購?fù)ㄟ^國家檢測認(rèn)證的設(shè)備和產(chǎn)品。

要求提供者聲明不非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備,或利用用戶對產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使用戶更新?lián)Q代。

應(yīng)建立和維護(hù)合格供應(yīng)方目錄。應(yīng)選擇有保障的供應(yīng)方,防范出現(xiàn)因政治、外交、貿(mào)易等非技術(shù)因素導(dǎo)致產(chǎn)品和服務(wù)供應(yīng)中斷的風(fēng)險(xiǎn)。

應(yīng)自行或委托第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對定制開發(fā)的軟件進(jìn)行源代碼安全檢測,或由供應(yīng)方 提供第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)出具的代碼安全檢測報(bào)告。

長揚(yáng)科技解讀

由于我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)例如電力、石油化工、燃?xì)馑畡?wù)等行業(yè),其核心工業(yè)控制系統(tǒng)大部分被國外壟斷,在國內(nèi)外日益嚴(yán)峻的大背景下,為了避免出現(xiàn)因?yàn)?ldquo;卡脖子”而影響關(guān)基企業(yè)運(yùn)行安全的事件,供應(yīng)鏈安全的重要性日益凸顯。本次《要求》新增供應(yīng)鏈安全,對于國家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在未來的采購、建設(shè)、運(yùn)行、升級、管理等方面,都提供了有力的要求。

3.2.4 新增數(shù)據(jù)安全防護(hù)

2021年9月1日施行的《中華人民共和國數(shù)據(jù)安全法》中,第三十一條提到:對關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)進(jìn)行管理。

《要求》中對于數(shù)據(jù)安全防護(hù),應(yīng)建立數(shù)據(jù)安全管理責(zé)任和評價(jià)考核制度,包括數(shù)據(jù)安全保護(hù)計(jì)劃、數(shù)據(jù)安全風(fēng)險(xiǎn)評估、數(shù)據(jù)安全事件應(yīng)急預(yù)案,組織數(shù)字安全教育等。同時(shí)對數(shù)據(jù)分類分級、保護(hù)個(gè)人數(shù)據(jù)的重要性、數(shù)據(jù)備份等方面做出要求。另外還首次對廢棄數(shù)據(jù)處理作出要求,要求按照數(shù)據(jù)安全保護(hù)策略對儲(chǔ)存的數(shù)據(jù)進(jìn)行處理。

長揚(yáng)科技解讀

中央在2020年提出數(shù)據(jù)已經(jīng)成為除土地、勞動(dòng)力、資本、技術(shù)之外的第五個(gè)要素?！兑蟆返陌l(fā)布是繼《數(shù)據(jù)安全法》發(fā)布后,再一次把數(shù)據(jù)安全作為綱領(lǐng)性要求進(jìn)行了獨(dú)立闡述,也詮釋了數(shù)據(jù)作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要性。運(yùn)營者應(yīng)加強(qiáng)對數(shù)據(jù)分類分級管理,以及對數(shù)據(jù)的使用、加工、傳輸、提供和公開等環(huán)節(jié)進(jìn)行全生命周期保護(hù)。

3.3 檢測評估

《要求》中對檢測評估的定義為:為檢驗(yàn)安全防護(hù)措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患,應(yīng)建立相應(yīng)的檢測評估制度,確定檢測評估流程及內(nèi)容等,開展安全檢測與風(fēng)險(xiǎn)隱患評估,分析潛在安全風(fēng)險(xiǎn)可能引發(fā)的安全事件。

長揚(yáng)科技解讀

對比等保2.0要求可以發(fā)現(xiàn),“商用密碼應(yīng)用安全性評估情況、數(shù)據(jù)安全防護(hù)情況、供應(yīng)鏈安全保護(hù)情況、攻防演練”等內(nèi)容,首次作為檢測評估項(xiàng)被明確提出,由此可見,在未來的關(guān)保檢查工作當(dāng)中,運(yùn)營者需要重點(diǎn)關(guān)注在以上方面自身的能力建設(shè),彌補(bǔ)相關(guān)短板。

3.3.1 檢測評估工作流程

檢測評估工作開展前,應(yīng)明確關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估活動(dòng)的背景、目標(biāo)、原則、依據(jù),充分調(diào)研檢測評估對象所屬行業(yè)的相關(guān)標(biāo)準(zhǔn)及政策文件的要求,確定檢測評估工作任務(wù)。具體工作流程如下圖所示:

圖7 關(guān)基檢測評估工作流程圖

3.3.2 檢測評估主要內(nèi)容

(1)與等保相比,關(guān)保對開展檢測評估間隔時(shí)間做出了明確規(guī)定,相較等保更為嚴(yán)格。等保僅要求三級(含)以上網(wǎng)絡(luò)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評。關(guān)基則要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者每年至少一次自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展安全性和風(fēng)險(xiǎn)性的檢測評估工作,并及時(shí)整改。

(2)關(guān)保涉及多運(yùn)營者情況。區(qū)別于等保,關(guān)保涉及多運(yùn)營者的情況時(shí),需定期組織或參加跨運(yùn)營者的安全檢測評估,并及時(shí)整改發(fā)現(xiàn)的問題。

(3)檢測評估具體包括如下內(nèi)容。網(wǎng)絡(luò)安全制度(國家和行業(yè)的法律法規(guī)及自定的制度)落實(shí)情況、組織機(jī)構(gòu)建設(shè)情況、人員和經(jīng)費(fèi)投入情況、教育培訓(xùn)情況、網(wǎng)絡(luò)安全等級保護(hù)制度落實(shí)情況、商用密碼應(yīng)用安全性評估情況、技術(shù)防護(hù)情況、數(shù)據(jù)安全防護(hù)情況、供應(yīng)鏈安全保護(hù)情況、云計(jì)算服務(wù)安全評估情況(適用時(shí))、風(fēng)險(xiǎn)評估情況、應(yīng)急演練情況、攻防演練情況等,尤其關(guān)注關(guān)基跨系統(tǒng)、跨區(qū)域間的信息流動(dòng),及其資產(chǎn)的安全防護(hù)情況。

3.4. 監(jiān)測預(yù)警

《要求》中對監(jiān)測預(yù)警的定義為:建立并實(shí)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度,針對發(fā)生的網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)的網(wǎng)絡(luò)安全威脅,提前或及時(shí)發(fā)出安全警示。建立威脅情報(bào)和信息共享機(jī)制,落實(shí)相關(guān)措施,提高主動(dòng)發(fā)現(xiàn)攻擊的能力。

3.4.1 相比等保在制度方面的加強(qiáng)

關(guān)保要求關(guān)注國內(nèi)外及行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全事件、安全漏洞、解決方法和發(fā)展趨勢,并進(jìn)行研判分析,必要時(shí)發(fā)出預(yù)警;明確不同級別預(yù)警報(bào)告和響應(yīng)處置;建立通報(bào)預(yù)警及寫作處置機(jī)制;建立與外部組織之間、運(yùn)營者內(nèi)部人員的溝通合作機(jī)制,共同研判、處置網(wǎng)絡(luò)安全問題;建立網(wǎng)絡(luò)安全信息共享機(jī)制,建立與相關(guān)方的溝通合作機(jī)制。共享漏洞信息、威脅信息、最佳實(shí)踐、前沿技術(shù)等內(nèi)容。

3.4.2 相比等保在監(jiān)測方面的加強(qiáng)

關(guān)保要求對關(guān)鍵業(yè)務(wù)所涉及的系統(tǒng)進(jìn)行監(jiān)測;分析系統(tǒng)通信流量或事態(tài)的模式、建立相關(guān)模型,使用模型調(diào)整監(jiān)測工具參數(shù),減少誤報(bào)和漏報(bào);全面收集網(wǎng)絡(luò)安全日志,構(gòu)建違規(guī)操作模型,強(qiáng)化監(jiān)測預(yù)警能力;采用自動(dòng)化機(jī)制,對監(jiān)測信息進(jìn)行整合分析,分析關(guān)基的網(wǎng)絡(luò)安全態(tài)勢,對關(guān)鍵信息基礎(chǔ)設(shè)施跨組織、跨領(lǐng)域建設(shè)、構(gòu)建統(tǒng)一指揮、多面監(jiān)測、多級聯(lián)動(dòng)的動(dòng)態(tài)感知和分析能力。

3.4.3 相比等保在預(yù)警方面的加強(qiáng)

關(guān)保要求監(jiān)測工具設(shè)置自動(dòng)模式,發(fā)現(xiàn)危害關(guān)鍵業(yè)務(wù)時(shí)自動(dòng)報(bào)警,自動(dòng)采取措施;網(wǎng)絡(luò)安全共享信息和監(jiān)測報(bào)警等信息綜合分析,生成內(nèi)部預(yù)警信息;對預(yù)警信息進(jìn)行分析、研判損害程度,采取應(yīng)對措施;采取措施對預(yù)警進(jìn)行響應(yīng);隱患得以控制或消除,執(zhí)行預(yù)警流程。

長揚(yáng)科技解讀

根據(jù)對《要求》監(jiān)測預(yù)警章節(jié)理解,將監(jiān)測預(yù)警立體化示意圖梳理如下圖所示:

圖8 監(jiān)測預(yù)警立體化示意圖

3.5 主動(dòng)防御

《要求》中對主動(dòng)防御的定義為:以應(yīng)對攻擊行為的監(jiān)測發(fā)現(xiàn)為基礎(chǔ),主動(dòng)采取收斂暴露面、誘捕、溯源、干擾和阻斷等措施,開展攻防演習(xí)和威脅情報(bào)工作,提升對網(wǎng)絡(luò)威脅與攻擊行為的識別、分析和主動(dòng)防御能力。

長揚(yáng)通過對《要求》和征求意見稿對比發(fā)現(xiàn),該部分在征求意見稿中是“技術(shù)對抗”,最終發(fā)布為“主動(dòng)防御”。而從技術(shù)對抗到主動(dòng)防御的演變,要求運(yùn)營者構(gòu)建精準(zhǔn)、全面、彈性的主動(dòng)防御體系。重點(diǎn)包括以下三個(gè)方面:

1.應(yīng)識別和收斂暴露面,減少在互聯(lián)網(wǎng)側(cè)暴露的IP、端口、應(yīng)用服務(wù)、組織架構(gòu)、郵箱賬號、通信錄、技術(shù)文檔(拓?fù)鋱D、源代碼、IP規(guī)劃、賬號密碼等)等相關(guān)信息。

2.分析攻擊方法、路線、技術(shù)手段、目標(biāo)等,采用相關(guān)技術(shù)措施快速處置網(wǎng)絡(luò)攻擊,并針對網(wǎng)絡(luò)安全事件進(jìn)行開展溯源,完善防護(hù)策略和措施。

3.開展攻防演練及建立威脅情報(bào)共享機(jī)制,增強(qiáng)主動(dòng)防御能力。

3.6 事件處置

《要求》對事件處置的定義為:為運(yùn)營者對網(wǎng)絡(luò)安全事件進(jìn)行報(bào)告和處置,并采取適當(dāng)?shù)膽?yīng)對措施,恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

結(jié)合《要求》中的具體要求,可總結(jié)為以下四點(diǎn):

3.6.1 制度方面

應(yīng)建立網(wǎng)絡(luò)安全事件管理制度,明確不同網(wǎng)絡(luò)安全事件的分類分級、不同類別和級別事件處置的流程等,制定應(yīng)急預(yù)案等網(wǎng)絡(luò)安全事件管理文檔。

3.6.2 應(yīng)急預(yù)案和演練方面

根據(jù)相關(guān)要求制定預(yù)案,應(yīng)急預(yù)案中包括相關(guān)事件發(fā)生、恢復(fù)的時(shí)間點(diǎn),包括多個(gè)運(yùn)營者的應(yīng)急事件的處理,內(nèi)外部的相關(guān)計(jì)劃,非常規(guī)時(shí)期、遭受大規(guī)模攻擊的流程;每年至少開展一次本組織的應(yīng)急演練,定期修訂預(yù)案。

3.6.3 響應(yīng)和處置方面

根據(jù)已發(fā)生的安全事件及時(shí)報(bào)告,研判后形成事件報(bào)告,及時(shí)向相關(guān)方通報(bào)安全事件;按照遲滯流程、進(jìn)行事件處理,對事件進(jìn)行取證分析,形成事件報(bào)告;業(yè)務(wù)恢復(fù)后的再評估,采取措施免受再次破壞;將事件納入規(guī)程培訓(xùn)、考試等,并進(jìn)行相應(yīng)變更;按照相關(guān)要求將事件及時(shí)上報(bào)給相關(guān)方。

長揚(yáng)科技解讀

下圖是根據(jù)長揚(yáng)科技在某關(guān)基行業(yè)總結(jié)的網(wǎng)絡(luò)安全事件處置流程圖:

圖 9 某關(guān)基運(yùn)營者網(wǎng)絡(luò)安全事件處置流程圖

3.6.4 重新識別方面

對發(fā)現(xiàn)的安全隱患和安全事件再次開展評估工作,根據(jù)需要重新識別認(rèn)定、風(fēng)險(xiǎn)評估,并更新安全策略。

該環(huán)節(jié)引入了PDCA戴明環(huán)持續(xù)改進(jìn)的管理思想,實(shí)現(xiàn)了六個(gè)活動(dòng)持續(xù)優(yōu)化的閉環(huán)銜接,通過檢測評估推動(dòng)整體安全保護(hù)工作不斷深化。

長揚(yáng)科技解讀

事件處置相關(guān)管理制度的建立包括制度總體文件設(shè)計(jì)、流程角色梳理、崗位職責(zé)設(shè)定、事件分類、事件分級、事件處理時(shí)限(SLA)設(shè)計(jì)、事件管理工具/平臺(tái)建設(shè)、常見網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案庫設(shè)計(jì)、針對典型事件的應(yīng)急演練和人員培訓(xùn)、事件沉淀知識庫、事件分析溯源、事件結(jié)果通報(bào)、與監(jiān)管單位的協(xié)同上報(bào)聯(lián)動(dòng)等具體工作內(nèi)容。

4 總結(jié)

《要求》的發(fā)布,為國家各行業(yè)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者對自身關(guān)鍵信息基礎(chǔ)設(shè)施的全生存周期安全保護(hù)提供了明確要求,也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方參考使用。從保護(hù)工作部門(即相關(guān)監(jiān)管部門)角度來看:可以更方便快捷地了解到下屬、分管的單位的關(guān)鍵信息基礎(chǔ)設(shè)施的情況,從而進(jìn)行全面把控和有力的監(jiān)管;從關(guān)基運(yùn)營者角度來看:對照保護(hù)要求可以明確知曉本單位自身在關(guān)基安全保護(hù)方面的短板和不足,在技術(shù)、管理、運(yùn)營、人員等方面做出自評和差距分析,形成后續(xù)的建設(shè)整改計(jì)劃,從而進(jìn)一步保證本單位關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行;從安全服務(wù)機(jī)構(gòu)角度來看:嚴(yán)格按照《要求》,不斷加強(qiáng)企業(yè)產(chǎn)品技術(shù)研發(fā)和服務(wù)能力創(chuàng)新,提供符合要求的產(chǎn)品和服務(wù),為國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全保駕護(hù)航。

免責(zé)聲明：市場有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：