2022年10月12日,市場監(jiān)管總局(標(biāo)準(zhǔn)委)發(fā)布公告,批準(zhǔn)國家標(biāo)準(zhǔn)——GB/T 39204 2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(以下簡稱《要求》)正式發(fā)布,并將于2023年5月1日實(shí)施��!兑蟆返恼桨l(fā)布,也標(biāo)志著綢繆8年的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)(簡稱關(guān)保)工作正式拉開帷幕。
長揚(yáng)科技依托于自身沉淀多年的行業(yè)標(biāo)準(zhǔn)解讀和實(shí)踐落地經(jīng)驗(yàn),從關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的角度,對本次《要求》發(fā)布的內(nèi)容做出以下深度解讀�����。
1《要求》保護(hù)框架總體分析
《要求》共計11章節(jié),111條的內(nèi)容,明確了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的六個主要內(nèi)容及活動,具體包括分析識別���、安全防護(hù)���、檢測評估�����、監(jiān)測預(yù)警���、主動防御和事件處置,從而指導(dǎo)運(yùn)營者對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全生命周期的安全保護(hù)工作。其框架如下圖所示:
圖 1 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)要求框架
根據(jù)近年對《要求》的關(guān)注�����、探索和分析,長揚(yáng)科技發(fā)現(xiàn),“關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)工作指導(dǎo)框架”經(jīng)歷了三個階段的調(diào)整,最終明確形成了六個主要活動。六個主要活動覆蓋了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的全生命周期,幫助運(yùn)營者從關(guān)基的識別認(rèn)定、強(qiáng)化安全防護(hù),到對運(yùn)營可能存在的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行檢測評估��、并實(shí)行常態(tài)化監(jiān)測預(yù)警,同時以監(jiān)測發(fā)現(xiàn)的攻擊行為為基礎(chǔ),進(jìn)行攻防演練,提升主動防御能力和事件閉環(huán)處置能力,確保了關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)穩(wěn)定和持續(xù)運(yùn)行。
近年關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各環(huán)節(jié)版本變化情況如下圖所示:
圖 2 近年關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各環(huán)節(jié)版本變化情況
2《要求》三大保護(hù)原則分析
“三大保護(hù)原則”標(biāo)志著我國網(wǎng)絡(luò)安全工作正式邁進(jìn)體系化建設(shè)新階段�����。我國的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作以“關(guān)鍵業(yè)務(wù)為核心的整體防控�����、風(fēng)險管理為導(dǎo)向的動態(tài)防護(hù)����、信息共享為基礎(chǔ)的協(xié)同聯(lián)防”作為三大基本原則。在等級保護(hù)制度的基礎(chǔ)上,施行重點(diǎn)保護(hù),構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)體系���。重點(diǎn)保護(hù)主要體現(xiàn)在兩方面,第一是明確重點(diǎn)行業(yè)和領(lǐng)域(8大行業(yè):公共通信和信息服務(wù)��、能源���、交通、水利���、金融��、公共服務(wù)�����、電子政務(wù)��、國防科技工業(yè));第二是明確重點(diǎn)保護(hù)對象(增加了關(guān)鍵業(yè)務(wù)�����、關(guān)鍵業(yè)務(wù)鏈����、數(shù)據(jù)安全、供應(yīng)鏈安全等對象)�。
以下是對三大保護(hù)原則的解讀:
整體防控:將六大活動實(shí)現(xiàn)統(tǒng)一的整合和閉環(huán)管理,形成整體安全防控體系,加強(qiáng)關(guān)鍵業(yè)務(wù)運(yùn)行所涉及的各類信息的整體安全態(tài)勢分析,包括業(yè)務(wù)所涉及系統(tǒng)的相關(guān)聯(lián)的資產(chǎn)、脆弱性��、威脅等內(nèi)容,形成整體防控能力��。
動態(tài)防護(hù):根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全威脅態(tài)勢進(jìn)行持續(xù)監(jiān)測 和安全控制措施的動態(tài)調(diào)整,形成動態(tài)的安全防護(hù)機(jī)制,及時有效地防范應(yīng)對安全風(fēng)險����。通過引入自動化技術(shù)和工具,實(shí)現(xiàn)實(shí)時監(jiān)測、通報預(yù)警�����、事件處置�、指揮調(diào)度,形成立體化網(wǎng)絡(luò)安全動態(tài)監(jiān)測能力。
協(xié)同聯(lián)防:以信息共享為基礎(chǔ),積極構(gòu)建相關(guān)方廣泛參與的信息共享�����、協(xié)同聯(lián)動的共同防護(hù)機(jī)制,提升關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)對大規(guī)模網(wǎng)絡(luò)攻擊能力�。與國家有關(guān)平臺對接,實(shí)現(xiàn)協(xié)同聯(lián)動和數(shù)據(jù)共享,能夠做到統(tǒng)一指揮、快速調(diào)度,實(shí)現(xiàn)關(guān)基安全保護(hù)跨部門�����、跨行業(yè)�、跨地域的整體防控和聯(lián)防聯(lián)控。
3《要求》六個活動詳細(xì)解讀
3.1 分析識別
《要求》中對分析識別的定義如下:分析識別活動指圍繞關(guān)鍵信息基礎(chǔ)設(shè)施(CII)承載的關(guān)鍵業(yè)務(wù),開展業(yè)務(wù)依賴性識別�、關(guān)鍵資產(chǎn)識別、風(fēng)險識別等活動��。本活動是開展安全防護(hù)��、檢測評估�、監(jiān)測預(yù)警、主動防御�、事件處置等活動的基礎(chǔ)。同時,在對本方面的業(yè)務(wù)識別�、資產(chǎn)識別、風(fēng)險識別和重大變更的具體安全要求中可以發(fā)現(xiàn),識別關(guān)鍵業(yè)務(wù)和關(guān)鍵業(yè)務(wù)鏈?zhǔn)情_展關(guān)基保護(hù)工作的前提���。針對于本項(xiàng)內(nèi)容,長揚(yáng)的理解為以下四點(diǎn):
3.1.1 關(guān)鍵信息基礎(chǔ)設(shè)施和關(guān)鍵業(yè)務(wù)鏈
關(guān)鍵信息基礎(chǔ)設(shè)施(簡稱CII):是指公共通信和信息服務(wù)��、能源����、交通、水利���、金融�、公共服務(wù)���、電子政務(wù)����、國防科技工業(yè)籌重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞���、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全國計民生�����、公共利益的重要網(wǎng)絡(luò)設(shè)施���、信息系統(tǒng)等。
關(guān)鍵業(yè)務(wù)鏈(Critical Business Chain簡稱CBC):組織的一個或多個相互關(guān)聯(lián)的業(yè)務(wù)構(gòu)成的關(guān)鍵業(yè)務(wù)流程���。
3.1.2 關(guān)于分析識別中CII要素識別梳理的要點(diǎn)
關(guān)鍵信息基礎(chǔ)設(shè)施(CII)要素識別是指將關(guān)鍵業(yè)務(wù)持續(xù)���、穩(wěn)定運(yùn)行不可或缺的資產(chǎn)(一般由軟硬件設(shè)備�����、組件、信息資源等組成的,能夠按照一定規(guī)則獨(dú)立處理信息的功能單元)從CII運(yùn)營者的所有資產(chǎn)中識別出來,以便重點(diǎn)保護(hù)��。(CII)要素識別包括四個部分:(1)關(guān)鍵業(yè)務(wù)基礎(chǔ)情況梳理,(2)關(guān)鍵業(yè)務(wù)信息化情況梳理,(3)關(guān)鍵業(yè)務(wù)信息(CBI)梳理,(4)CII要素確定�����。
(1)關(guān)鍵業(yè)務(wù)基礎(chǔ)情況梳理包括基本架構(gòu)梳理����、管理模式梳理、運(yùn)行框架梳理����、業(yè)務(wù)特征梳理、基礎(chǔ)情況描述����。
(2)關(guān)鍵業(yè)務(wù)信息化情況梳理包括業(yè)務(wù)模塊信息化梳理、功能模塊信息化梳理�、基礎(chǔ)運(yùn)行環(huán)境信息化梳理、信息化范圍描述����。
(3)關(guān)鍵業(yè)務(wù)信息梳理包括類別梳理�、功能梳理�、生存周期梳理、關(guān)鍵業(yè)務(wù)信息描述��。
(4)關(guān)鍵信息基礎(chǔ)設(shè)施要素確定包括要素梳理����、要素歸集、要素重要性評估����、要素清單、業(yè)務(wù)關(guān)系確定���、網(wǎng)絡(luò)位置確定�����、物理位置確定����、管理關(guān)系確定、信息記錄����。基本流程圖如下所示:
圖 3 CII要素識別流程圖
3.1.3 關(guān)于分析識別中進(jìn)行風(fēng)險評估和風(fēng)險識別的要點(diǎn)
《要求》中提出風(fēng)險識別應(yīng)參照GB/T 20984等標(biāo)準(zhǔn),對關(guān)鍵業(yè)務(wù)鏈開展安全風(fēng)險分析,識別關(guān)鍵環(huán)節(jié)的威脅���、脆弱性,并形成安全風(fēng)險報告。GB/T 20984,即2022年4月15日新發(fā)布的《信息安全技術(shù) 信息安全風(fēng)險評估方法》GB/T 20984-2022,并替代原《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》GB/T 20984-2007成為新的信息安全風(fēng)險評估工作實(shí)施指導(dǎo)標(biāo)準(zhǔn)�����。
新標(biāo)準(zhǔn)中,風(fēng)險評估的要素包括資產(chǎn)�����、脆弱性����、威脅和安全措施四大要素,各要素關(guān)系如下圖4所示。實(shí)施流程包括評估準(zhǔn)備�����、風(fēng)險識別���、風(fēng)險分析���、風(fēng)險評價��、溝通與協(xié)調(diào)和風(fēng)險評估文檔記錄六個方面�����。GB/T 20984風(fēng)險評估實(shí)施流程圖如下圖5所示:
圖 4 風(fēng)險要素及其關(guān)系
圖 5 GB/T 20984風(fēng)險評估實(shí)施流程圖
3.2 安全防護(hù)
《要求》中對安全防護(hù)的定義為:根據(jù)已識別的關(guān)鍵業(yè)務(wù)�����、資產(chǎn)���、安全風(fēng)險,在安全管理制度、安全管理機(jī)構(gòu)����、安全管理人員、安全通信網(wǎng)絡(luò)��、安全計算環(huán)境���、安全建設(shè)管理���、安全運(yùn)維管理等方面實(shí)施安全管理和技術(shù)保護(hù)措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全��。
值得注意的是,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第六條提出:在網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)上,采取技術(shù)保護(hù)措施和其他必要措施,應(yīng)對網(wǎng)絡(luò)安全事件����。因此關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)是要先落實(shí)國家網(wǎng)絡(luò)安全等級保護(hù)制度相關(guān)要求,開展網(wǎng)絡(luò)和信息系統(tǒng)的定級���、備案���、安全建設(shè)整改和等級測評等工作�����。
3.2.1 關(guān)保和等保關(guān)于安全防護(hù)的內(nèi)容變化分析
從總體區(qū)別上來看,等級保護(hù)2.0重點(diǎn)是圍繞“一個中心,三重防護(hù)”為核心,從技術(shù)+管理的角度來指導(dǎo)各單位如何開展安全保護(hù)工作;關(guān)保則是在等保的基礎(chǔ)之上,從運(yùn)營者關(guān)鍵業(yè)務(wù)及其相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的全生命周期角度描述如何開展安全保護(hù)工作��。
3.2.2 關(guān)保和等保關(guān)于安全防護(hù)的要求重點(diǎn)分析
圖 6 關(guān)保和等保關(guān)于安全防護(hù)要求區(qū)別分析
3.2.3 新增供應(yīng)鏈安全保護(hù)
2022年2月15日施行的《網(wǎng)絡(luò)安全審查辦法》中第一條寫到:為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護(hù)國家安全等,制定本辦法���。關(guān)基和《網(wǎng)絡(luò)安全審查辦法》一一對應(yīng),《網(wǎng)絡(luò)安全審查辦法》主要講的就是基于對關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全進(jìn)行安全防護(hù)���。
《要求》中對于供應(yīng)鏈安全保護(hù),主要是對供應(yīng)鏈安全管理的策略和制度、采購國家檢測認(rèn)證的設(shè)備和產(chǎn)品�����、同時在相關(guān)責(zé)任和義務(wù)方面明確相關(guān)承諾和要求。以下是部分內(nèi)容摘錄:
采購網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄中的設(shè)備產(chǎn)品時,應(yīng)采購?fù)ㄟ^國家檢測認(rèn)證的設(shè)備和產(chǎn)品���。
要求提供者聲明不非法獲取用戶數(shù)據(jù)��、控制和操縱用戶系統(tǒng)和設(shè)備,或利用用戶對產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使用戶更新?lián)Q代�。
應(yīng)建立和維護(hù)合格供應(yīng)方目錄�����。應(yīng)選擇有保障的供應(yīng)方,防范出現(xiàn)因政治�、外交、貿(mào)易等非技術(shù)因素導(dǎo)致產(chǎn)品和服務(wù)供應(yīng)中斷的風(fēng)險�。
應(yīng)自行或委托第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對定制開發(fā)的軟件進(jìn)行源代碼安全檢測,或由供應(yīng)方 提供第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)出具的代碼安全檢測報告。
長揚(yáng)科技解讀
由于我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)例如電力����、石油化工、燃?xì)馑畡?wù)等行業(yè),其核心工業(yè)控制系統(tǒng)大部分被國外壟斷,在國內(nèi)外日益嚴(yán)峻的大背景下,為了避免出現(xiàn)因?yàn)?ldquo;卡脖子”而影響關(guān)基企業(yè)運(yùn)行安全的事件,供應(yīng)鏈安全的重要性日益凸顯��。本次《要求》新增供應(yīng)鏈安全,對于國家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在未來的采購����、建設(shè)���、運(yùn)行、升級�����、管理等方面,都提供了有力的要求����。
3.2.4 新增數(shù)據(jù)安全防護(hù)
2021年9月1日施行的《中華人民共和國數(shù)據(jù)安全法》中,第三十一條提到:對關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)進(jìn)行管理。
《要求》中對于數(shù)據(jù)安全防護(hù),應(yīng)建立數(shù)據(jù)安全管理責(zé)任和評價考核制度,包括數(shù)據(jù)安全保護(hù)計劃�����、數(shù)據(jù)安全風(fēng)險評估��、數(shù)據(jù)安全事件應(yīng)急預(yù)案,組織數(shù)字安全教育等�����。同時對數(shù)據(jù)分類分級�����、保護(hù)個人數(shù)據(jù)的重要性�、數(shù)據(jù)備份等方面做出要求。另外還首次對廢棄數(shù)據(jù)處理作出要求,要求按照數(shù)據(jù)安全保護(hù)策略對儲存的數(shù)據(jù)進(jìn)行處理��。
長揚(yáng)科技解讀
中央在2020年提出數(shù)據(jù)已經(jīng)成為除土地�����、勞動力����、資本、技術(shù)之外的第五個要素����。《要求》的發(fā)布是繼《數(shù)據(jù)安全法》發(fā)布后,再一次把數(shù)據(jù)安全作為綱領(lǐng)性要求進(jìn)行了獨(dú)立闡述,也詮釋了數(shù)據(jù)作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要性�����。運(yùn)營者應(yīng)加強(qiáng)對數(shù)據(jù)分類分級管理,以及對數(shù)據(jù)的使用�、加工、傳輸��、提供和公開等環(huán)節(jié)進(jìn)行全生命周期保護(hù)����。
3.3 檢測評估
《要求》中對檢測評估的定義為:為檢驗(yàn)安全防護(hù)措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險隱患,應(yīng)建立相應(yīng)的檢測評估制度,確定檢測評估流程及內(nèi)容等,開展安全檢測與風(fēng)險隱患評估,分析潛在安全風(fēng)險可能引發(fā)的安全事件�����。
長揚(yáng)科技解讀
對比等保2.0要求可以發(fā)現(xiàn),“商用密碼應(yīng)用安全性評估情況����、數(shù)據(jù)安全防護(hù)情況����、供應(yīng)鏈安全保護(hù)情況、攻防演練”等內(nèi)容,首次作為檢測評估項(xiàng)被明確提出,由此可見,在未來的關(guān)保檢查工作當(dāng)中,運(yùn)營者需要重點(diǎn)關(guān)注在以上方面自身的能力建設(shè),彌補(bǔ)相關(guān)短板���。
3.3.1 檢測評估工作流程
檢測評估工作開展前,應(yīng)明確關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估活動的背景���、目標(biāo)、原則��、依據(jù),充分調(diào)研檢測評估對象所屬行業(yè)的相關(guān)標(biāo)準(zhǔn)及政策文件的要求,確定檢測評估工作任務(wù)�����。具體工作流程如下圖所示:
圖7 關(guān)基檢測評估工作流程圖
3.3.2 檢測評估主要內(nèi)容
(1)與等保相比,關(guān)保對開展檢測評估間隔時間做出了明確規(guī)定,相較等保更為嚴(yán)格���。等保僅要求三級(含)以上網(wǎng)絡(luò)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評�。關(guān)基則要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者每年至少一次自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展安全性和風(fēng)險性的檢測評估工作,并及時整改����。
(2)關(guān)保涉及多運(yùn)營者情況。區(qū)別于等保,關(guān)保涉及多運(yùn)營者的情況時,需定期組織或參加跨運(yùn)營者的安全檢測評估,并及時整改發(fā)現(xiàn)的問題����。
(3)檢測評估具體包括如下內(nèi)容。網(wǎng)絡(luò)安全制度(國家和行業(yè)的法律法規(guī)及自定的制度)落實(shí)情況�、組織機(jī)構(gòu)建設(shè)情況、人員和經(jīng)費(fèi)投入情況�、教育培訓(xùn)情況、網(wǎng)絡(luò)安全等級保護(hù)制度落實(shí)情況����、商用密碼應(yīng)用安全性評估情況、技術(shù)防護(hù)情況����、數(shù)據(jù)安全防護(hù)情況、供應(yīng)鏈安全保護(hù)情況�、云計算服務(wù)安全評估情況(適用時)、風(fēng)險評估情況�、應(yīng)急演練情況、攻防演練情況等,尤其關(guān)注關(guān)基跨系統(tǒng)����、跨區(qū)域間的信息流動,及其資產(chǎn)的安全防護(hù)情況�����。
3.4. 監(jiān)測預(yù)警
《要求》中對監(jiān)測預(yù)警的定義為:建立并實(shí)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度,針對發(fā)生的網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)的網(wǎng)絡(luò)安全威脅,提前或及時發(fā)出安全警示����。建立威脅情報和信息共享機(jī)制,落實(shí)相關(guān)措施,提高主動發(fā)現(xiàn)攻擊的能力�����。
3.4.1 相比等保在制度方面的加強(qiáng)
關(guān)保要求關(guān)注國內(nèi)外及行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全事件�����、安全漏洞��、解決方法和發(fā)展趨勢,并進(jìn)行研判分析,必要時發(fā)出預(yù)警;明確不同級別預(yù)警報告和響應(yīng)處置;建立通報預(yù)警及寫作處置機(jī)制;建立與外部組織之間�����、運(yùn)營者內(nèi)部人員的溝通合作機(jī)制,共同研判���、處置網(wǎng)絡(luò)安全問題;建立網(wǎng)絡(luò)安全信息共享機(jī)制,建立與相關(guān)方的溝通合作機(jī)制�。共享漏洞信息�、威脅信息、最佳實(shí)踐�、前沿技術(shù)等內(nèi)容。
3.4.2 相比等保在監(jiān)測方面的加強(qiáng)
關(guān)保要求對關(guān)鍵業(yè)務(wù)所涉及的系統(tǒng)進(jìn)行監(jiān)測;分析系統(tǒng)通信流量或事態(tài)的模式�����、建立相關(guān)模型,使用模型調(diào)整監(jiān)測工具參數(shù),減少誤報和漏報;全面收集網(wǎng)絡(luò)安全日志,構(gòu)建違規(guī)操作模型,強(qiáng)化監(jiān)測預(yù)警能力;采用自動化機(jī)制,對監(jiān)測信息進(jìn)行整合分析,分析關(guān)基的網(wǎng)絡(luò)安全態(tài)勢,對關(guān)鍵信息基礎(chǔ)設(shè)施跨組織��、跨領(lǐng)域建設(shè)�、構(gòu)建統(tǒng)一指揮、多面監(jiān)測��、多級聯(lián)動的動態(tài)感知和分析能力��。
3.4.3 相比等保在預(yù)警方面的加強(qiáng)
關(guān)保要求監(jiān)測工具設(shè)置自動模式,發(fā)現(xiàn)危害關(guān)鍵業(yè)務(wù)時自動報警,自動采取措施;網(wǎng)絡(luò)安全共享信息和監(jiān)測報警等信息綜合分析,生成內(nèi)部預(yù)警信息;對預(yù)警信息進(jìn)行分析��、研判損害程度,采取應(yīng)對措施;采取措施對預(yù)警進(jìn)行響應(yīng);隱患得以控制或消除,執(zhí)行預(yù)警流程���。
長揚(yáng)科技解讀
根據(jù)對《要求》監(jiān)測預(yù)警章節(jié)理解,將監(jiān)測預(yù)警立體化示意圖梳理如下圖所示:
圖8 監(jiān)測預(yù)警立體化示意圖
3.5 主動防御
《要求》中對主動防御的定義為:以應(yīng)對攻擊行為的監(jiān)測發(fā)現(xiàn)為基礎(chǔ),主動采取收斂暴露面���、誘捕、溯源、干擾和阻斷等措施,開展攻防演習(xí)和威脅情報工作,提升對網(wǎng)絡(luò)威脅與攻擊行為的識別����、分析和主動防御能力。
長揚(yáng)通過對《要求》和征求意見稿對比發(fā)現(xiàn),該部分在征求意見稿中是“技術(shù)對抗”,最終發(fā)布為“主動防御”��。而從技術(shù)對抗到主動防御的演變,要求運(yùn)營者構(gòu)建精準(zhǔn)����、全面、彈性的主動防御體系�����。重點(diǎn)包括以下三個方面:
1.應(yīng)識別和收斂暴露面,減少在互聯(lián)網(wǎng)側(cè)暴露的IP���、端口�、應(yīng)用服務(wù)��、組織架構(gòu)����、郵箱賬號、通信錄���、技術(shù)文檔(拓?fù)鋱D���、源代碼、IP規(guī)劃��、賬號密碼等)等相關(guān)信息�����。
2.分析攻擊方法����、路線、技術(shù)手段�、目標(biāo)等,采用相關(guān)技術(shù)措施快速處置網(wǎng)絡(luò)攻擊,并針對網(wǎng)絡(luò)安全事件進(jìn)行開展溯源,完善防護(hù)策略和措施。
3.開展攻防演練及建立威脅情報共享機(jī)制,增強(qiáng)主動防御能力��。
3.6 事件處置
《要求》對事件處置的定義為:為運(yùn)營者對網(wǎng)絡(luò)安全事件進(jìn)行報告和處置,并采取適當(dāng)?shù)膽?yīng)對措施,恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)���。
結(jié)合《要求》中的具體要求,可總結(jié)為以下四點(diǎn):
3.6.1 制度方面
應(yīng)建立網(wǎng)絡(luò)安全事件管理制度,明確不同網(wǎng)絡(luò)安全事件的分類分級����、不同類別和級別事件處置的流程等,制定應(yīng)急預(yù)案等網(wǎng)絡(luò)安全事件管理文檔�����。
3.6.2 應(yīng)急預(yù)案和演練方面
根據(jù)相關(guān)要求制定預(yù)案,應(yīng)急預(yù)案中包括相關(guān)事件發(fā)生、恢復(fù)的時間點(diǎn),包括多個運(yùn)營者的應(yīng)急事件的處理,內(nèi)外部的相關(guān)計劃,非常規(guī)時期��、遭受大規(guī)模攻擊的流程;每年至少開展一次本組織的應(yīng)急演練,定期修訂預(yù)案�。
3.6.3 響應(yīng)和處置方面
根據(jù)已發(fā)生的安全事件及時報告,研判后形成事件報告,及時向相關(guān)方通報安全事件;按照遲滯流程、進(jìn)行事件處理,對事件進(jìn)行取證分析,形成事件報告;業(yè)務(wù)恢復(fù)后的再評估,采取措施免受再次破壞;將事件納入規(guī)程培訓(xùn)�、考試等,并進(jìn)行相應(yīng)變更;按照相關(guān)要求將事件及時上報給相關(guān)方。
長揚(yáng)科技解讀
下圖是根據(jù)長揚(yáng)科技在某關(guān)基行業(yè)總結(jié)的網(wǎng)絡(luò)安全事件處置流程圖:
圖 9 某關(guān)基運(yùn)營者網(wǎng)絡(luò)安全事件處置流程圖
3.6.4 重新識別方面
對發(fā)現(xiàn)的安全隱患和安全事件再次開展評估工作,根據(jù)需要重新識別認(rèn)定�����、風(fēng)險評估,并更新安全策略���。
該環(huán)節(jié)引入了PDCA戴明環(huán)持續(xù)改進(jìn)的管理思想,實(shí)現(xiàn)了六個活動持續(xù)優(yōu)化的閉環(huán)銜接,通過檢測評估推動整體安全保護(hù)工作不斷深化�����。
長揚(yáng)科技解讀
事件處置相關(guān)管理制度的建立包括制度總體文件設(shè)計��、流程角色梳理���、崗位職責(zé)設(shè)定、事件分類�����、事件分級、事件處理時限(SLA)設(shè)計����、事件管理工具/平臺建設(shè)、常見網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案庫設(shè)計���、針對典型事件的應(yīng)急演練和人員培訓(xùn)、事件沉淀知識庫���、事件分析溯源�、事件結(jié)果通報�、與監(jiān)管單位的協(xié)同上報聯(lián)動等具體工作內(nèi)容。
4 總結(jié)
《要求》的發(fā)布,為國家各行業(yè)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者對自身關(guān)鍵信息基礎(chǔ)設(shè)施的全生存周期安全保護(hù)提供了明確要求,也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方參考使用���。從保護(hù)工作部門(即相關(guān)監(jiān)管部門)角度來看:可以更方便快捷地了解到下屬���、分管的單位的關(guān)鍵信息基礎(chǔ)設(shè)施的情況,從而進(jìn)行全面把控和有力的監(jiān)管;從關(guān)基運(yùn)營者角度來看:對照保護(hù)要求可以明確知曉本單位自身在關(guān)基安全保護(hù)方面的短板和不足,在技術(shù)、管理��、運(yùn)營��、人員等方面做出自評和差距分析,形成后續(xù)的建設(shè)整改計劃,從而進(jìn)一步保證本單位關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行;從安全服務(wù)機(jī)構(gòu)角度來看:嚴(yán)格按照《要求》,不斷加強(qiáng)企業(yè)產(chǎn)品技術(shù)研發(fā)和服務(wù)能力創(chuàng)新,提供符合要求的產(chǎn)品和服務(wù),為國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全保駕護(hù)航。
京公網(wǎng)安備 11010502041587號