导语:2023年5月1日,《信息安全技术关键信息基础设施安全保护要求》(以下简称《关基保护要求》) 开始正式实施。这是《关键信息基础设施安全保护条例》(以下简称《关保条例》) 发布后,首个正式发布的关键信息基础设施安全保护标准。该标准提供了更好的、更具体的操作指引,以帮助关键信息基础设施管理者更好地开展安全保护工作,进而推动和指导关键信息基础设施的关基保护落地。 安全保护标准提出了关键信息基础设施
2023年5月1日,《信息安全技术关键信息基础设施安全保护要求》(以下简称《关基保护要求》) 开始正式实施。这是《关键信息基础设施安全保护条例》(以下简称《关保条例》) 发布后,首个正式发布的关键信息基础设施安全保护标准。该标准提供了更好的、更具体的操作指引,以帮助关键信息基础设施管理者更好地开展安全保护工作,进而推动和指导关键信息基础设施的关基保护落地。
安全保护标准提出了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全控制措施,适用于指导运营者对关键信息基础设施进行全生存周期安全保护,也可供关键信息基础设施安全保护的其他相关方参考使用。
一、监管的延续与变化
“三同步” 原则的延续
《网络安全法》第三十三条规定:“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”《关基安全保护条例》第十二条延续了《网络安全法》确定的“三同步”原则,进一步强调“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”。在《关基安全保护要求》7.2安全管理制度及7.7安全建设管理章节中,再一次强调了“三同步”原则。
在具体落实“三同步”原则时,运营者可以从以下几个方面理解安全保护措施应与关键信息基础设施“三同步”:首先,“同步规划”,是指在网络设施和信息系统的规划阶段,就应该同步引入安全保护措施;其次,“同步建设”,要求在项目建设阶段,通过落实系统集成商、网络服务提供商等,确保相关安全技术措施能够顺利准时实施,并在项目上线时,对安全保护措施进行验收,确保只有符合安全要求的系统才能上线;最后,“同步使用”,是指在网络设施和信息系统安全验收后的日常运行和维护中,应该保持网络设施和信息系统处于持续安全防护的水平,并符合国家的相关安全技术标准。
《关基安全保护要求》是基于《网络安全法》、《关基安全保护条例》和网络安全等级保护制度的基础上提出的可落地的安全保护要求。除此之外,《关基安全保护要求》在监管方面还提出了一些新要求。
新的要求
安全管理方面:新增了成立网络安全工作委员会或领导小组,并明确提出了将领导班子成员作为首席网络安全官的要求。
应急演练方面:进一步明确了每年至少组织开展1次本组织的应急演练。
产品服务采购方面:建立和维护合格供应方目录;强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性;获得提供者对网络产品和服务的10年以上知识产权授权;自行或委托第三方对定制开发的软件进行源代码安全检测。
安全计算环境方面:明确提出应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。
二、《关基安全保护要求》主要内容
关键信息基础设施安全保护三项基本原则
安全保护标准提出,关键信息基础设施的安全保护应该在网络安全等级保护制度的基础上进行重点保护。保护工作应遵循三个基本原则:以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防。
(一)以关键业务为核心的整体防控
关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系。
(二)以风险管理为导向的动态防护
根据关键信息基础设施所面临的安全威胁态势,进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。
(三)以信息共享为基础的协同联防
积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。
关键信息基础设施安全保护六个重点环节
在等级保护的基础上,《关基安全保护要求》重点从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面,对关键信息基础设施安全保护提出了更高、更具体的要求。
(一)分析识别
提升分析识别能力,强化提升安全风险管控能力。关键信息基础设施的运营者应当配合保护工作部门,按照规定开展关键信息基础设施的识别和认定工作,并围绕关键信息基础设施承载的关键业务,开展资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。
其中对风险的分析识别是重中之重,而源代码是信息基础设施的重要组成部分,因此对于源代码中的风险识别尤为重要。这一部分可以借助对应的源代码扫描工具如SAST、SCA等工具对源代码中的安全漏洞及许可证风险进行检测、识别和分析,从而提升代码质量,保障关键信息基础设施的安全性。
(二)安全防护
根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。
《保护要求》除了在等级保护要求的基础上进一步细化,还重点突出了数据安全和供应链安全的要求,进一步规范化了数字化发展和可信可控背景下的安全能力保障。其中软件供应链安全越来越受到国家及各行业的重视,尤其是在各种软件供应链安全攻击事件频发的背景下,《网络安全审查办法》、《信息安全技术软件供应链安全要求》、《关基安全保护条例》等法规中都强调了要保障软件供应链安全。
(三)检测评估
为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度、确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。
为了更好地提高关键信息基础设施的安全保护水平,针对检测评估工作,明确了其范围、内容、周期等要求,特别是在检测评估内容方面,将等级保护和密评等强合规要求满足情况作为重要的评估依据。
(四)监测预警
运营者制定并实施网络安全监测预警和通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高关键信息基础设施主动防御的能力。
管理方面,明确开展监测预警工作的管理和要求,制定监测策略,明确监测对象、监测流程、监测内容,主动掌握威胁态势;技术措施方面,提升监测预警技术措施,实现相关技术措施的有效聚合和一体化管理。
(五)主动防御
以应对攻击行为的监测发现为基础,主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。
(六)事件处置
对网络安全事件进行报告和处置,并根据检测评估、监测预警环节发现的问题、运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
三、安全建设方向
标准是企业安全建设的遵循依据,从“关保条例”到“关保要求”,无论是对关基单位,还是支撑一侧的安全企业都提出了更高的要求。
对于关键信息基础设施运营者,应该从以下几个方向入手:
(一)加强供应链管理
关键信息基础设施的运营者需要对供应链进行全面管理和风险评估,以确保供应链的安全性和可靠性。同时,他们需要建立供应商管理制度,以确定供应商产品和服务的安全性和可靠性。此外,还需要建立供应链安全监测和预警机制,以及时发现和处理供应链安全事件。
(二)加强数据安全管理
为了确保数据的安全性和可靠性,关基运营者需要制定完善的数据安全管理制度。这包括对数据进行分类和分级,进行数据备份,使用数据加密技术,以及定期进行数据清除等措施。此外,关基运营者还需要建立数据安全监测和预警机制,以便及时发现和处理数据安全事件。在进行数据安全治理工作时,关基运营者应该注重数据的完整性、可用性和保密性,并确保数据的合法合规性。
(三)完善安全管理制度
为了确保关基运营的安全性,需要制定完善的安全管理制度和流程。这些制度和流程应该包括安全意识教育、培训,数据安全控制措施、安全监测和预警机制等。同时,需要建立安全事件处理机制,以便及时应对安全事件,并最大程度地减少损失。
(四)加强安全技术建设
为了确保关基运营的安全性和可靠性,需要加强安全技术建设。安全技术建设包括安全防护、安全检测、安全监测等方面。在选择安全技术和产品时,关基运营者需要根据自身运营情况做出判断和决策,建立适合自身运营的安全技术体系。这些技术体系可以包括安全漏洞扫描、入侵检测、数据加密、防火墙等技术手段,以确保系统的安全性和可靠性。
(五)加强合规管理
运营者需要遵守相关法规和标准,建立合规管理制度,并定期进行合规自查和审核,以确保自身的运营符合法规和标准的要求。
如若转载,请注明原文地址