2022年10月12日,市場(chǎng)監(jiān)管總局(標(biāo)準(zhǔn)委)發(fā)布公告,批準(zhǔn)國家標(biāo)準(zhǔn)——GB/T 39204 2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(以下簡(jiǎn)稱《要求》)正式發(fā)布,并將于2023年5月1日實(shí)施!兑蟆返恼桨l(fā)布,也標(biāo)志著綢繆8年的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)(簡(jiǎn)稱關(guān)保)工作正式拉開帷幕。
長揚(yáng)科技依托于自身沉淀多年的行業(yè)標(biāo)準(zhǔn)解讀和實(shí)踐落地經(jīng)驗(yàn),從關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的角度,對(duì)本次《要求》發(fā)布的內(nèi)容做出以下深度解讀。
1《要求》保護(hù)框架總體分析
《要求》共計(jì)11章節(jié),111條的內(nèi)容,明確了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的六個(gè)主要內(nèi)容及活動(dòng),具體包括分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御和事件處置,從而指導(dǎo)運(yùn)營者對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全生命周期的安全保護(hù)工作。其框架如下圖所示:
圖 1 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)要求框架
根據(jù)近年對(duì)《要求》的關(guān)注、探索和分析,長揚(yáng)科技發(fā)現(xiàn),“關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)工作指導(dǎo)框架”經(jīng)歷了三個(gè)階段的調(diào)整,最終明確形成了六個(gè)主要活動(dòng)。六個(gè)主要活動(dòng)覆蓋了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的全生命周期,幫助運(yùn)營者從關(guān)基的識(shí)別認(rèn)定、強(qiáng)化安全防護(hù),到對(duì)運(yùn)營可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估、并實(shí)行常態(tài)化監(jiān)測(cè)預(yù)警,同時(shí)以監(jiān)測(cè)發(fā)現(xiàn)的攻擊行為為基礎(chǔ),進(jìn)行攻防演練,提升主動(dòng)防御能力和事件閉環(huán)處置能力,確保了關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)穩(wěn)定和持續(xù)運(yùn)行。
近年關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各環(huán)節(jié)版本變化情況如下圖所示:
圖 2 近年關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各環(huán)節(jié)版本變化情況
2《要求》三大保護(hù)原則分析
“三大保護(hù)原則”標(biāo)志著我國網(wǎng)絡(luò)安全工作正式邁進(jìn)體系化建設(shè)新階段。我國的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作以“關(guān)鍵業(yè)務(wù)為核心的整體防控、風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)、信息共享為基礎(chǔ)的協(xié)同聯(lián)防”作為三大基本原則。在等級(jí)保護(hù)制度的基礎(chǔ)上,施行重點(diǎn)保護(hù),構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)體系。重點(diǎn)保護(hù)主要體現(xiàn)在兩方面,第一是明確重點(diǎn)行業(yè)和領(lǐng)域(8大行業(yè):公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè));第二是明確重點(diǎn)保護(hù)對(duì)象(增加了關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)鏈、數(shù)據(jù)安全、供應(yīng)鏈安全等對(duì)象)。
以下是對(duì)三大保護(hù)原則的解讀:
整體防控:將六大活動(dòng)實(shí)現(xiàn)統(tǒng)一的整合和閉環(huán)管理,形成整體安全防控體系,加強(qiáng)關(guān)鍵業(yè)務(wù)運(yùn)行所涉及的各類信息的整體安全態(tài)勢(shì)分析,包括業(yè)務(wù)所涉及系統(tǒng)的相關(guān)聯(lián)的資產(chǎn)、脆弱性、威脅等內(nèi)容,形成整體防控能力。
動(dòng)態(tài)防護(hù):根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全威脅態(tài)勢(shì)進(jìn)行持續(xù)監(jiān)測(cè) 和安全控制措施的動(dòng)態(tài)調(diào)整,形成動(dòng)態(tài)的安全防護(hù)機(jī)制,及時(shí)有效地防范應(yīng)對(duì)安全風(fēng)險(xiǎn)。通過引入自動(dòng)化技術(shù)和工具,實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè)、通報(bào)預(yù)警、事件處置、指揮調(diào)度,形成立體化網(wǎng)絡(luò)安全動(dòng)態(tài)監(jiān)測(cè)能力。
協(xié)同聯(lián)防:以信息共享為基礎(chǔ),積極構(gòu)建相關(guān)方廣泛參與的信息共享、協(xié)同聯(lián)動(dòng)的共同防護(hù)機(jī)制,提升關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)對(duì)大規(guī)模網(wǎng)絡(luò)攻擊能力。與國家有關(guān)平臺(tái)對(duì)接,實(shí)現(xiàn)協(xié)同聯(lián)動(dòng)和數(shù)據(jù)共享,能夠做到統(tǒng)一指揮、快速調(diào)度,實(shí)現(xiàn)關(guān)基安全保護(hù)跨部門、跨行業(yè)、跨地域的整體防控和聯(lián)防聯(lián)控。
3《要求》六個(gè)活動(dòng)詳細(xì)解讀
3.1 分析識(shí)別
《要求》中對(duì)分析識(shí)別的定義如下:分析識(shí)別活動(dòng)指圍繞關(guān)鍵信息基礎(chǔ)設(shè)施(CII)承載的關(guān)鍵業(yè)務(wù),開展業(yè)務(wù)依賴性識(shí)別、關(guān)鍵資產(chǎn)識(shí)別、風(fēng)險(xiǎn)識(shí)別等活動(dòng)。本活動(dòng)是開展安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等活動(dòng)的基礎(chǔ)。同時(shí),在對(duì)本方面的業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、風(fēng)險(xiǎn)識(shí)別和重大變更的具體安全要求中可以發(fā)現(xiàn),識(shí)別關(guān)鍵業(yè)務(wù)和關(guān)鍵業(yè)務(wù)鏈?zhǔn)情_展關(guān)基保護(hù)工作的前提。針對(duì)于本項(xiàng)內(nèi)容,長揚(yáng)的理解為以下四點(diǎn):
3.1.1 關(guān)鍵信息基礎(chǔ)設(shè)施和關(guān)鍵業(yè)務(wù)鏈
關(guān)鍵信息基礎(chǔ)設(shè)施(簡(jiǎn)稱CII):是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)籌重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。
關(guān)鍵業(yè)務(wù)鏈(Critical Business Chain簡(jiǎn)稱CBC):組織的一個(gè)或多個(gè)相互關(guān)聯(lián)的業(yè)務(wù)構(gòu)成的關(guān)鍵業(yè)務(wù)流程。
3.1.2 關(guān)于分析識(shí)別中CII要素識(shí)別梳理的要點(diǎn)
關(guān)鍵信息基礎(chǔ)設(shè)施(CII)要素識(shí)別是指將關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運(yùn)行不可或缺的資產(chǎn)(一般由軟硬件設(shè)備、組件、信息資源等組成的,能夠按照一定規(guī)則獨(dú)立處理信息的功能單元)從CII運(yùn)營者的所有資產(chǎn)中識(shí)別出來,以便重點(diǎn)保護(hù)。(CII)要素識(shí)別包括四個(gè)部分:(1)關(guān)鍵業(yè)務(wù)基礎(chǔ)情況梳理,(2)關(guān)鍵業(yè)務(wù)信息化情況梳理,(3)關(guān)鍵業(yè)務(wù)信息(CBI)梳理,(4)CII要素確定。
(1)關(guān)鍵業(yè)務(wù)基礎(chǔ)情況梳理包括基本架構(gòu)梳理、管理模式梳理、運(yùn)行框架梳理、業(yè)務(wù)特征梳理、基礎(chǔ)情況描述。
(2)關(guān)鍵業(yè)務(wù)信息化情況梳理包括業(yè)務(wù)模塊信息化梳理、功能模塊信息化梳理、基礎(chǔ)運(yùn)行環(huán)境信息化梳理、信息化范圍描述。
(3)關(guān)鍵業(yè)務(wù)信息梳理包括類別梳理、功能梳理、生存周期梳理、關(guān)鍵業(yè)務(wù)信息描述。
(4)關(guān)鍵信息基礎(chǔ)設(shè)施要素確定包括要素梳理、要素歸集、要素重要性評(píng)估、要素清單、業(yè)務(wù)關(guān)系確定、網(wǎng)絡(luò)位置確定、物理位置確定、管理關(guān)系確定、信息記錄。基本流程圖如下所示:
圖 3 CII要素識(shí)別流程圖
3.1.3 關(guān)于分析識(shí)別中進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)識(shí)別的要點(diǎn)
《要求》中提出風(fēng)險(xiǎn)識(shí)別應(yīng)參照GB/T 20984等標(biāo)準(zhǔn),對(duì)關(guān)鍵業(yè)務(wù)鏈開展安全風(fēng)險(xiǎn)分析,識(shí)別關(guān)鍵環(huán)節(jié)的威脅、脆弱性,并形成安全風(fēng)險(xiǎn)報(bào)告。GB/T 20984,即2022年4月15日新發(fā)布的《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》GB/T 20984-2022,并替代原《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》GB/T 20984-2007成為新的信息安全風(fēng)險(xiǎn)評(píng)估工作實(shí)施指導(dǎo)標(biāo)準(zhǔn)。
新標(biāo)準(zhǔn)中,風(fēng)險(xiǎn)評(píng)估的要素包括資產(chǎn)、脆弱性、威脅和安全措施四大要素,各要素關(guān)系如下圖4所示。實(shí)施流程包括評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、溝通與協(xié)調(diào)和風(fēng)險(xiǎn)評(píng)估文檔記錄六個(gè)方面。GB/T 20984風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖如下圖5所示:
圖 4 風(fēng)險(xiǎn)要素及其關(guān)系
圖 5 GB/T 20984風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖
3.2 安全防護(hù)
《要求》中對(duì)安全防護(hù)的定義為:根據(jù)已識(shí)別的關(guān)鍵業(yè)務(wù)、資產(chǎn)、安全風(fēng)險(xiǎn),在安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全建設(shè)管理、安全運(yùn)維管理等方面實(shí)施安全管理和技術(shù)保護(hù)措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。
值得注意的是,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第六條提出:在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上,采取技術(shù)保護(hù)措施和其他必要措施,應(yīng)對(duì)網(wǎng)絡(luò)安全事件。因此關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)是要先落實(shí)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度相關(guān)要求,開展網(wǎng)絡(luò)和信息系統(tǒng)的定級(jí)、備案、安全建設(shè)整改和等級(jí)測(cè)評(píng)等工作。
3.2.1 關(guān)保和等保關(guān)于安全防護(hù)的內(nèi)容變化分析
從總體區(qū)別上來看,等級(jí)保護(hù)2.0重點(diǎn)是圍繞“一個(gè)中心,三重防護(hù)”為核心,從技術(shù)+管理的角度來指導(dǎo)各單位如何開展安全保護(hù)工作;關(guān)保則是在等保的基礎(chǔ)之上,從運(yùn)營者關(guān)鍵業(yè)務(wù)及其相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的全生命周期角度描述如何開展安全保護(hù)工作。
3.2.2 關(guān)保和等保關(guān)于安全防護(hù)的要求重點(diǎn)分析
圖 6 關(guān)保和等保關(guān)于安全防護(hù)要求區(qū)別分析
3.2.3 新增供應(yīng)鏈安全保護(hù)
2022年2月15日施行的《網(wǎng)絡(luò)安全審查辦法》中第一條寫到:為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護(hù)國家安全等,制定本辦法。關(guān)基和《網(wǎng)絡(luò)安全審查辦法》一一對(duì)應(yīng),《網(wǎng)絡(luò)安全審查辦法》主要講的就是基于對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全進(jìn)行安全防護(hù)。
《要求》中對(duì)于供應(yīng)鏈安全保護(hù),主要是對(duì)供應(yīng)鏈安全管理的策略和制度、采購國家檢測(cè)認(rèn)證的設(shè)備和產(chǎn)品、同時(shí)在相關(guān)責(zé)任和義務(wù)方面明確相關(guān)承諾和要求。以下是部分內(nèi)容摘錄:
采購網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄中的設(shè)備產(chǎn)品時(shí),應(yīng)采購?fù)ㄟ^國家檢測(cè)認(rèn)證的設(shè)備和產(chǎn)品。
要求提供者聲明不非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備,或利用用戶對(duì)產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使用戶更新?lián)Q代。
應(yīng)建立和維護(hù)合格供應(yīng)方目錄。應(yīng)選擇有保障的供應(yīng)方,防范出現(xiàn)因政治、外交、貿(mào)易等非技術(shù)因素導(dǎo)致產(chǎn)品和服務(wù)供應(yīng)中斷的風(fēng)險(xiǎn)。
應(yīng)自行或委托第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)定制開發(fā)的軟件進(jìn)行源代碼安全檢測(cè),或由供應(yīng)方 提供第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)出具的代碼安全檢測(cè)報(bào)告。
長揚(yáng)科技解讀
由于我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)例如電力、石油化工、燃?xì)馑畡?wù)等行業(yè),其核心工業(yè)控制系統(tǒng)大部分被國外壟斷,在國內(nèi)外日益嚴(yán)峻的大背景下,為了避免出現(xiàn)因?yàn)?ldquo;卡脖子”而影響關(guān)基企業(yè)運(yùn)行安全的事件,供應(yīng)鏈安全的重要性日益凸顯。本次《要求》新增供應(yīng)鏈安全,對(duì)于國家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在未來的采購、建設(shè)、運(yùn)行、升級(jí)、管理等方面,都提供了有力的要求。
3.2.4 新增數(shù)據(jù)安全防護(hù)
2021年9月1日施行的《中華人民共和國數(shù)據(jù)安全法》中,第三十一條提到:對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)進(jìn)行管理。
《要求》中對(duì)于數(shù)據(jù)安全防護(hù),應(yīng)建立數(shù)據(jù)安全管理責(zé)任和評(píng)價(jià)考核制度,包括數(shù)據(jù)安全保護(hù)計(jì)劃、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全事件應(yīng)急預(yù)案,組織數(shù)字安全教育等。同時(shí)對(duì)數(shù)據(jù)分類分級(jí)、保護(hù)個(gè)人數(shù)據(jù)的重要性、數(shù)據(jù)備份等方面做出要求。另外還首次對(duì)廢棄數(shù)據(jù)處理作出要求,要求按照數(shù)據(jù)安全保護(hù)策略對(duì)儲(chǔ)存的數(shù)據(jù)進(jìn)行處理。
長揚(yáng)科技解讀
中央在2020年提出數(shù)據(jù)已經(jīng)成為除土地、勞動(dòng)力、資本、技術(shù)之外的第五個(gè)要素!兑蟆返陌l(fā)布是繼《數(shù)據(jù)安全法》發(fā)布后,再一次把數(shù)據(jù)安全作為綱領(lǐng)性要求進(jìn)行了獨(dú)立闡述,也詮釋了數(shù)據(jù)作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要性。運(yùn)營者應(yīng)加強(qiáng)對(duì)數(shù)據(jù)分類分級(jí)管理,以及對(duì)數(shù)據(jù)的使用、加工、傳輸、提供和公開等環(huán)節(jié)進(jìn)行全生命周期保護(hù)。
3.3 檢測(cè)評(píng)估
《要求》中對(duì)檢測(cè)評(píng)估的定義為:為檢驗(yàn)安全防護(hù)措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患,應(yīng)建立相應(yīng)的檢測(cè)評(píng)估制度,確定檢測(cè)評(píng)估流程及內(nèi)容等,開展安全檢測(cè)與風(fēng)險(xiǎn)隱患評(píng)估,分析潛在安全風(fēng)險(xiǎn)可能引發(fā)的安全事件。
長揚(yáng)科技解讀
對(duì)比等保2.0要求可以發(fā)現(xiàn),“商用密碼應(yīng)用安全性評(píng)估情況、數(shù)據(jù)安全防護(hù)情況、供應(yīng)鏈安全保護(hù)情況、攻防演練”等內(nèi)容,首次作為檢測(cè)評(píng)估項(xiàng)被明確提出,由此可見,在未來的關(guān)保檢查工作當(dāng)中,運(yùn)營者需要重點(diǎn)關(guān)注在以上方面自身的能力建設(shè),彌補(bǔ)相關(guān)短板。
3.3.1 檢測(cè)評(píng)估工作流程
檢測(cè)評(píng)估工作開展前,應(yīng)明確關(guān)鍵信息基礎(chǔ)設(shè)施檢查評(píng)估活動(dòng)的背景、目標(biāo)、原則、依據(jù),充分調(diào)研檢測(cè)評(píng)估對(duì)象所屬行業(yè)的相關(guān)標(biāo)準(zhǔn)及政策文件的要求,確定檢測(cè)評(píng)估工作任務(wù)。具體工作流程如下圖所示:
圖7 關(guān)基檢測(cè)評(píng)估工作流程圖
3.3.2 檢測(cè)評(píng)估主要內(nèi)容
(1)與等保相比,關(guān)保對(duì)開展檢測(cè)評(píng)估間隔時(shí)間做出了明確規(guī)定,相較等保更為嚴(yán)格。等保僅要求三級(jí)(含)以上網(wǎng)絡(luò)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)。關(guān)基則要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者每年至少一次自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展安全性和風(fēng)險(xiǎn)性的檢測(cè)評(píng)估工作,并及時(shí)整改。
(2)關(guān)保涉及多運(yùn)營者情況。區(qū)別于等保,關(guān)保涉及多運(yùn)營者的情況時(shí),需定期組織或參加跨運(yùn)營者的安全檢測(cè)評(píng)估,并及時(shí)整改發(fā)現(xiàn)的問題。
(3)檢測(cè)評(píng)估具體包括如下內(nèi)容。網(wǎng)絡(luò)安全制度(國家和行業(yè)的法律法規(guī)及自定的制度)落實(shí)情況、組織機(jī)構(gòu)建設(shè)情況、人員和經(jīng)費(fèi)投入情況、教育培訓(xùn)情況、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度落實(shí)情況、商用密碼應(yīng)用安全性評(píng)估情況、技術(shù)防護(hù)情況、數(shù)據(jù)安全防護(hù)情況、供應(yīng)鏈安全保護(hù)情況、云計(jì)算服務(wù)安全評(píng)估情況(適用時(shí))、風(fēng)險(xiǎn)評(píng)估情況、應(yīng)急演練情況、攻防演練情況等,尤其關(guān)注關(guān)基跨系統(tǒng)、跨區(qū)域間的信息流動(dòng),及其資產(chǎn)的安全防護(hù)情況。
3.4. 監(jiān)測(cè)預(yù)警
《要求》中對(duì)監(jiān)測(cè)預(yù)警的定義為:建立并實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,針對(duì)發(fā)生的網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)的網(wǎng)絡(luò)安全威脅,提前或及時(shí)發(fā)出安全警示。建立威脅情報(bào)和信息共享機(jī)制,落實(shí)相關(guān)措施,提高主動(dòng)發(fā)現(xiàn)攻擊的能力。
3.4.1 相比等保在制度方面的加強(qiáng)
關(guān)保要求關(guān)注國內(nèi)外及行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全事件、安全漏洞、解決方法和發(fā)展趨勢(shì),并進(jìn)行研判分析,必要時(shí)發(fā)出預(yù)警;明確不同級(jí)別預(yù)警報(bào)告和響應(yīng)處置;建立通報(bào)預(yù)警及寫作處置機(jī)制;建立與外部組織之間、運(yùn)營者內(nèi)部人員的溝通合作機(jī)制,共同研判、處置網(wǎng)絡(luò)安全問題;建立網(wǎng)絡(luò)安全信息共享機(jī)制,建立與相關(guān)方的溝通合作機(jī)制。共享漏洞信息、威脅信息、最佳實(shí)踐、前沿技術(shù)等內(nèi)容。
3.4.2 相比等保在監(jiān)測(cè)方面的加強(qiáng)
關(guān)保要求對(duì)關(guān)鍵業(yè)務(wù)所涉及的系統(tǒng)進(jìn)行監(jiān)測(cè);分析系統(tǒng)通信流量或事態(tài)的模式、建立相關(guān)模型,使用模型調(diào)整監(jiān)測(cè)工具參數(shù),減少誤報(bào)和漏報(bào);全面收集網(wǎng)絡(luò)安全日志,構(gòu)建違規(guī)操作模型,強(qiáng)化監(jiān)測(cè)預(yù)警能力;采用自動(dòng)化機(jī)制,對(duì)監(jiān)測(cè)信息進(jìn)行整合分析,分析關(guān)基的網(wǎng)絡(luò)安全態(tài)勢(shì),對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施跨組織、跨領(lǐng)域建設(shè)、構(gòu)建統(tǒng)一指揮、多面監(jiān)測(cè)、多級(jí)聯(lián)動(dòng)的動(dòng)態(tài)感知和分析能力。
3.4.3 相比等保在預(yù)警方面的加強(qiáng)
關(guān)保要求監(jiān)測(cè)工具設(shè)置自動(dòng)模式,發(fā)現(xiàn)危害關(guān)鍵業(yè)務(wù)時(shí)自動(dòng)報(bào)警,自動(dòng)采取措施;網(wǎng)絡(luò)安全共享信息和監(jiān)測(cè)報(bào)警等信息綜合分析,生成內(nèi)部預(yù)警信息;對(duì)預(yù)警信息進(jìn)行分析、研判損害程度,采取應(yīng)對(duì)措施;采取措施對(duì)預(yù)警進(jìn)行響應(yīng);隱患得以控制或消除,執(zhí)行預(yù)警流程。
長揚(yáng)科技解讀
根據(jù)對(duì)《要求》監(jiān)測(cè)預(yù)警章節(jié)理解,將監(jiān)測(cè)預(yù)警立體化示意圖梳理如下圖所示:
圖8 監(jiān)測(cè)預(yù)警立體化示意圖
3.5 主動(dòng)防御
《要求》中對(duì)主動(dòng)防御的定義為:以應(yīng)對(duì)攻擊行為的監(jiān)測(cè)發(fā)現(xiàn)為基礎(chǔ),主動(dòng)采取收斂暴露面、誘捕、溯源、干擾和阻斷等措施,開展攻防演習(xí)和威脅情報(bào)工作,提升對(duì)網(wǎng)絡(luò)威脅與攻擊行為的識(shí)別、分析和主動(dòng)防御能力。
長揚(yáng)通過對(duì)《要求》和征求意見稿對(duì)比發(fā)現(xiàn),該部分在征求意見稿中是“技術(shù)對(duì)抗”,最終發(fā)布為“主動(dòng)防御”。而從技術(shù)對(duì)抗到主動(dòng)防御的演變,要求運(yùn)營者構(gòu)建精準(zhǔn)、全面、彈性的主動(dòng)防御體系。重點(diǎn)包括以下三個(gè)方面:
1.應(yīng)識(shí)別和收斂暴露面,減少在互聯(lián)網(wǎng)側(cè)暴露的IP、端口、應(yīng)用服務(wù)、組織架構(gòu)、郵箱賬號(hào)、通信錄、技術(shù)文檔(拓?fù)鋱D、源代碼、IP規(guī)劃、賬號(hào)密碼等)等相關(guān)信息。
2.分析攻擊方法、路線、技術(shù)手段、目標(biāo)等,采用相關(guān)技術(shù)措施快速處置網(wǎng)絡(luò)攻擊,并針對(duì)網(wǎng)絡(luò)安全事件進(jìn)行開展溯源,完善防護(hù)策略和措施。
3.開展攻防演練及建立威脅情報(bào)共享機(jī)制,增強(qiáng)主動(dòng)防御能力。
3.6 事件處置
《要求》對(duì)事件處置的定義為:為運(yùn)營者對(duì)網(wǎng)絡(luò)安全事件進(jìn)行報(bào)告和處置,并采取適當(dāng)?shù)膽?yīng)對(duì)措施,恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。
結(jié)合《要求》中的具體要求,可總結(jié)為以下四點(diǎn):
3.6.1 制度方面
應(yīng)建立網(wǎng)絡(luò)安全事件管理制度,明確不同網(wǎng)絡(luò)安全事件的分類分級(jí)、不同類別和級(jí)別事件處置的流程等,制定應(yīng)急預(yù)案等網(wǎng)絡(luò)安全事件管理文檔。
3.6.2 應(yīng)急預(yù)案和演練方面
根據(jù)相關(guān)要求制定預(yù)案,應(yīng)急預(yù)案中包括相關(guān)事件發(fā)生、恢復(fù)的時(shí)間點(diǎn),包括多個(gè)運(yùn)營者的應(yīng)急事件的處理,內(nèi)外部的相關(guān)計(jì)劃,非常規(guī)時(shí)期、遭受大規(guī)模攻擊的流程;每年至少開展一次本組織的應(yīng)急演練,定期修訂預(yù)案。
3.6.3 響應(yīng)和處置方面
根據(jù)已發(fā)生的安全事件及時(shí)報(bào)告,研判后形成事件報(bào)告,及時(shí)向相關(guān)方通報(bào)安全事件;按照遲滯流程、進(jìn)行事件處理,對(duì)事件進(jìn)行取證分析,形成事件報(bào)告;業(yè)務(wù)恢復(fù)后的再評(píng)估,采取措施免受再次破壞;將事件納入規(guī)程培訓(xùn)、考試等,并進(jìn)行相應(yīng)變更;按照相關(guān)要求將事件及時(shí)上報(bào)給相關(guān)方。
長揚(yáng)科技解讀
下圖是根據(jù)長揚(yáng)科技在某關(guān)基行業(yè)總結(jié)的網(wǎng)絡(luò)安全事件處置流程圖:
圖 9 某關(guān)基運(yùn)營者網(wǎng)絡(luò)安全事件處置流程圖
3.6.4 重新識(shí)別方面
對(duì)發(fā)現(xiàn)的安全隱患和安全事件再次開展評(píng)估工作,根據(jù)需要重新識(shí)別認(rèn)定、風(fēng)險(xiǎn)評(píng)估,并更新安全策略。
該環(huán)節(jié)引入了PDCA戴明環(huán)持續(xù)改進(jìn)的管理思想,實(shí)現(xiàn)了六個(gè)活動(dòng)持續(xù)優(yōu)化的閉環(huán)銜接,通過檢測(cè)評(píng)估推動(dòng)整體安全保護(hù)工作不斷深化。
長揚(yáng)科技解讀
事件處置相關(guān)管理制度的建立包括制度總體文件設(shè)計(jì)、流程角色梳理、崗位職責(zé)設(shè)定、事件分類、事件分級(jí)、事件處理時(shí)限(SLA)設(shè)計(jì)、事件管理工具/平臺(tái)建設(shè)、常見網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案庫設(shè)計(jì)、針對(duì)典型事件的應(yīng)急演練和人員培訓(xùn)、事件沉淀知識(shí)庫、事件分析溯源、事件結(jié)果通報(bào)、與監(jiān)管單位的協(xié)同上報(bào)聯(lián)動(dòng)等具體工作內(nèi)容。
4 總結(jié)
《要求》的發(fā)布,為國家各行業(yè)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者對(duì)自身關(guān)鍵信息基礎(chǔ)設(shè)施的全生存周期安全保護(hù)提供了明確要求,也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方參考使用。從保護(hù)工作部門(即相關(guān)監(jiān)管部門)角度來看:可以更方便快捷地了解到下屬、分管的單位的關(guān)鍵信息基礎(chǔ)設(shè)施的情況,從而進(jìn)行全面把控和有力的監(jiān)管;從關(guān)基運(yùn)營者角度來看:對(duì)照保護(hù)要求可以明確知曉本單位自身在關(guān)基安全保護(hù)方面的短板和不足,在技術(shù)、管理、運(yùn)營、人員等方面做出自評(píng)和差距分析,形成后續(xù)的建設(shè)整改計(jì)劃,從而進(jìn)一步保證本單位關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行;從安全服務(wù)機(jī)構(gòu)角度來看:嚴(yán)格按照《要求》,不斷加強(qiáng)企業(yè)產(chǎn)品技術(shù)研發(fā)和服務(wù)能力創(chuàng)新,提供符合要求的產(chǎn)品和服務(wù),為國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全保駕護(hù)航。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
2024年的Adobe MAX 2024發(fā)布會(huì)上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價(jià)比很高,簡(jiǎn)直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會(huì)——工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析專題論壇在沈陽成功舉辦。
返回主頁 ┊ 關(guān)于我們 ┊ 內(nèi)容聯(lián)系 ┊ 聯(lián)系我們 ┊ 免責(zé)聲明 ┊ 原創(chuàng)新聞 ┊ 友情鏈接 ┊ 舊版首頁
Copyright © 2009-2024 3iu24w.cn 中文科技資訊|Citnews中文科技資訊,中文科技資訊網(wǎng)|科技資訊網(wǎng)|中國科技資訊|中國科技新聞網(wǎng)|中國科技資訊網(wǎng)|快科技|新科技|中文科技數(shù)碼頭條號(hào)|中文移動(dòng)新媒體 all rights reserved