長揚科技深度解讀 《關鍵信息基礎設施安全保護要求》：關基運營者視角下的安全保障能力建設

　　2022年10月12日,市場監管總局(標準委)發布公告,批準國家標準——GB/T 39204 2022《信息安全技術 關鍵信息基礎設施安全保護要求》(以下簡稱《要求》)正式發布,并將于2023年5月1日實施�！兑�求》的正式發布,也標志著綢繆8年的關鍵信息基礎設施安全保護(簡稱關保)工作正式拉開帷幕。

　　長揚科技依托于自身沉淀多年的行業標準解讀和實踐落地經驗,從關鍵信息基礎設施運營者的角度,對本次《要求》發布的內容做出以下深度解讀。

　　1《要求》保護框架總體分析

　　《要求》共計11章節,111條的內容,明確了關鍵信息基礎設施安全保護工作的六個主要內容及活動,具體包括分析識別、安全防護、檢測評估、監測預警、主動防御和事件處置,從而指導運營者對關鍵信息基礎設施進行全生命周期的安全保護工作。其框架如下圖所示:

　　圖 1 關鍵信息基礎設施網絡安全保護要求框架

　　根據近年對《要求》的關注、探索和分析,長揚科技發現,“關鍵信息基礎設施網絡安全保護工作指導框架”經歷了三個階段的調整,最終明確形成了六個主要活動。六個主要活動覆蓋了關鍵信息基礎設施安全保護的全生命周期,幫助運營者從關基的識別認定、強化安全防護,到對運營可能存在的網絡安全風險進行檢測評估、并實行常態化監測預警,同時以監測發現的攻擊行為為基礎,進行攻防演練,提升主動防御能力和事件閉環處置能力,確保了關鍵信息基礎設施關鍵業務穩定和持續運行。

　　近年關鍵信息基礎設施網絡安全保護各環節版本變化情況如下圖所示:

　　圖 2 近年關鍵信息基礎設施網絡安全保護各環節版本變化情況

　　2《要求》三大保護原則分析

　　“三大保護原則”標志著我國網絡安全工作正式邁進體系化建設新階段。我國的關鍵信息基礎設施安全保護工作以“關鍵業務為核心的整體防控、風險管理為導向的動態防護、信息共享為基礎的協同聯防”作為三大基本原則。在等級保護制度的基礎上,施行重點保護,構建關鍵信息基礎設施安全防護體系。重點保護主要體現在兩方面,第一是明確重點行業和領域(8大行業:公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業);第二是明確重點保護對象(增加了關鍵業務、關鍵業務鏈、數據安全、供應鏈安全等對象)。

　　以下是對三大保護原則的解讀:

　　整體防控:將六大活動實現統一的整合和閉環管理,形成整體安全防控體系,加強關鍵業務運行所涉及的各類信息的整體安全態勢分析,包括業務所涉及系統的相關聯的資產、脆弱性、威脅等內容,形成整體防控能力。

　　動態防護:根據關鍵信息基礎設施所面臨的安全威脅態勢進行持續監測 和安全控制措施的動態調整,形成動態的安全防護機制,及時有效地防范應對安全風險。通過引入自動化技術和工具,實現實時監測、通報預警、事件處置、指揮調度,形成立體化網絡安全動態監測能力。

　　協同聯防:以信息共享為基礎,積極構建相關方廣泛參與的信息共享、協同聯動的共同防護機制,提升關鍵信息基礎設施應對大規模網絡攻擊能力。與國家有關平臺對接,實現協同聯動和數據共享,能夠做到統一指揮、快速調度,實現關基安全保護跨部門、跨行業、跨地域的整體防控和聯防聯控。

　　3《要求》六個活動詳細解讀

　　3.1 分析識別

　　《要求》中對分析識別的定義如下:分析識別活動指圍繞關鍵信息基礎設施(CII)承載的關鍵業務,開展業務依賴性識別、關鍵資產識別、風險識別等活動。本活動是開展安全防護、檢測評估、監測預警、主動防御、事件處置等活動的基礎。同時,在對本方面的業務識別、資產識別、風險識別和重大變更的具體安全要求中可以發現,識別關鍵業務和關鍵業務鏈是開展關基保護工作的前提。針對于本項內容,長揚的理解為以下四點:

　　3.1.1 關鍵信息基礎設施和關鍵業務鏈

　　關鍵信息基礎設施(簡稱CII):是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業籌重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全國計民生、公共利益的重要網絡設施、信息系統等。

　　關鍵業務鏈(Critical Business Chain簡稱CBC):組織的一個或多個相互關聯的業務構成的關鍵業務流程。

　　3.1.2 關于分析識別中CII要素識別梳理的要點

　　關鍵信息基礎設施(CII)要素識別是指將關鍵業務持續、穩定運行不可或缺的資產(一般由軟硬件設備、組件、信息資源等組成的,能夠按照一定規則獨立處理信息的功能單元)從CII運營者的所有資產中識別出來,以便重點保護。(CII)要素識別包括四個部分:(1)關鍵業務基礎情況梳理,(2)關鍵業務信息化情況梳理,(3)關鍵業務信息(CBI)梳理,(4)CII要素確定。

　　(1)關鍵業務基礎情況梳理包括基本架構梳理、管理模式梳理、運行框架梳理、業務特征梳理、基礎情況描述。

　　(2)關鍵業務信息化情況梳理包括業務模塊信息化梳理、功能模塊信息化梳理、基礎運行環境信息化梳理、信息化范圍描述。

　　(3)關鍵業務信息梳理包括類別梳理、功能梳理、生存周期梳理、關鍵業務信息描述。

　　(4)關鍵信息基礎設施要素確定包括要素梳理、要素歸集、要素重要性評估、要素清單、業務關系確定、網絡位置確定、物理位置確定、管理關系確定、信息記錄�；�本流程圖如下所示:

　　圖 3 CII要素識別流程圖

　　3.1.3 關于分析識別中進行風險評估和風險識別的要點

　　《要求》中提出風險識別應參照GB/T 20984等標準,對關鍵業務鏈開展安全風險分析,識別關鍵環節的威脅、脆弱性,并形成安全風險報告。GB/T 20984,即2022年4月15日新發布的《信息安全技術 信息安全風險評估方法》GB/T 20984-2022,并替代原《信息安全技術 信息安全風險評估規范》GB/T 20984-2007成為新的信息安全風險評估工作實施指導標準。

　　新標準中,風險評估的要素包括資產、脆弱性、威脅和安全措施四大要素,各要素關系如下圖4所示。實施流程包括評估準備、風險識別、風險分析、風險評價、溝通與協調和風險評估文檔記錄六個方面。GB/T 20984風險評估實施流程圖如下圖5所示:

　　圖 4 風險要素及其關系

　　圖 5 GB/T 20984風險評估實施流程圖

　　3.2 安全防護

　　《要求》中對安全防護的定義為:根據已識別的關鍵業務、資產、安全風險,在安全管理制度、安全管理機構、安全管理人員、安全通信網絡、安全計算環境、安全建設管理、安全運維管理等方面實施安全管理和技術保護措施,確保關鍵信息基礎設施的運行安全。

　　值得注意的是,《關鍵信息基礎設施安全保護條例》第六條提出:在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網絡安全事件。因此關鍵信息基礎設施的業務是要先落實國家網絡安全等級保護制度相關要求,開展網絡和信息系統的定級、備案、安全建設整改和等級測評等工作。

　　3.2.1 關保和等保關于安全防護的內容變化分析

　　從總體區別上來看,等級保護2.0重點是圍繞“一個中心,三重防護”為核心,從技術+管理的角度來指導各單位如何開展安全保護工作;關保則是在等保的基礎之上,從運營者關鍵業務及其相關關鍵信息基礎設施的全生命周期角度描述如何開展安全保護工作。

　　3.2.2 關保和等保關于安全防護的要求重點分析

　　圖 6 關保和等保關于安全防護要求區別分析

　　3.2.3 新增供應鏈安全保護

　　2022年2月15日施行的《網絡安全審查辦法》中第一條寫到:為了確保關鍵信息基礎設施供應鏈安全,保障網絡安全和數據安全,維護國家安全等,制定本辦法。關基和《網絡安全審查辦法》一一對應,《網絡安全審查辦法》主要講的就是基于對關鍵信息基礎設施的供應鏈安全進行安全防護。

　　《要求》中對于供應鏈安全保護,主要是對供應鏈安全管理的策略和制度、采購國家檢測認證的設備和產品、同時在相關責任和義務方面明確相關承諾和要求。以下是部分內容摘錄:

　　采購網絡關鍵設備和網絡安全專用產品目錄中的設備產品時,應采購通過國家檢測認證的設備和產品。

　　要求提供者聲明不非法獲取用戶數據、控制和操縱用戶系統和設備,或利用用戶對產品的依賴性謀取不正當利益或者迫使用戶更新換代。

　　應建立和維護合格供應方目錄。應選擇有保障的供應方,防范出現因政治、外交、貿易等非技術因素導致產品和服務供應中斷的風險。

　　應自行或委托第三方網絡安全服務機構對定制開發的軟件進行源代碼安全檢測,或由供應方 提供第三方網絡安全服務機構出具的代碼安全檢測報告。

　　長揚科技解讀

　　由于我國關鍵基礎設施行業例如電力、石油化工、燃氣水務等行業,其核心工業控制系統大部分被國外壟斷,在國內外日益嚴峻的大背景下,為了避免出現因為“卡脖子”而影響關基企業運行安全的事件,供應鏈安全的重要性日益凸顯。本次《要求》新增供應鏈安全,對于國家關鍵信息基礎設施運營者在未來的采購、建設、運行、升級、管理等方面,都提供了有力的要求。

　　3.2.4 新增數據安全防護

　　2021年9月1日施行的《中華人民共和國數據安全法》中,第三十一條提到:對關鍵信息基礎設施的運營者在中國境內運營中收集和產生的重要數據進行管理。

　　《要求》中對于數據安全防護,應建立數據安全管理責任和評價考核制度,包括數據安全保護計劃、數據安全風險評估、數據安全事件應急預案,組織數字安全教育等。同時對數據分類分級、保護個人數據的重要性、數據備份等方面做出要求。另外還首次對廢棄數據處理作出要求,要求按照數據安全保護策略對儲存的數據進行處理。

　　長揚科技解讀

　　中央在2020年提出數據已經成為除土地、勞動力、資本、技術之外的第五個要素�！兑�求》的發布是繼《數據安全法》發布后,再一次把數據安全作為綱領性要求進行了獨立闡述,也詮釋了數據作為關鍵信息基礎設施安全保護的重要性。運營者應加強對數據分類分級管理,以及對數據的使用、加工、傳輸、提供和公開等環節進行全生命周期保護。

　　3.3 檢測評估

　　《要求》中對檢測評估的定義為:為檢驗安全防護措施的有效性,發現網絡安全風險隱患,應建立相應的檢測評估制度,確定檢測評估流程及內容等,開展安全檢測與風險隱患評估,分析潛在安全風險可能引發的安全事件。

　　長揚科技解讀

　　對比等保2.0要求可以發現,“商用密碼應用安全性評估情況、數據安全防護情況、供應鏈安全保護情況、攻防演練”等內容,首次作為檢測評估項被明確提出,由此可見,在未來的關保檢查工作當中,運營者需要重點關注在以上方面自身的能力建設,彌補相關短板。

　　3.3.1 檢測評估工作流程

　　檢測評估工作開展前,應明確關鍵信息基礎設施檢查評估活動的背景、目標、原則、依據,充分調研檢測評估對象所屬行業的相關標準及政策文件的要求,確定檢測評估工作任務。具體工作流程如下圖所示:

　　圖7 關基檢測評估工作流程圖

　　3.3.2 檢測評估主要內容

　　(1)與等保相比,關保對開展檢測評估間隔時間做出了明確規定,相較等保更為嚴格。等保僅要求三級(含)以上網絡應當每年至少進行一次等級測評。關基則要求關鍵信息基礎設施運營者每年至少一次自行或委托網絡安全服務機構開展安全性和風險性的檢測評估工作,并及時整改。

　　(2)關保涉及多運營者情況。區別于等保,關保涉及多運營者的情況時,需定期組織或參加跨運營者的安全檢測評估,并及時整改發現的問題。

　　(3)檢測評估具體包括如下內容。網絡安全制度(國家和行業的法律法規及自定的制度)落實情況、組織機構建設情況、人員和經費投入情況、教育培訓情況、網絡安全等級保護制度落實情況、商用密碼應用安全性評估情況、技術防護情況、數據安全防護情況、供應鏈安全保護情況、云計算服務安全評估情況(適用時)、風險評估情況、應急演練情況、攻防演練情況等,尤其關注關基跨系統、跨區域間的信息流動,及其資產的安全防護情況。

　　3.4. 監測預警

　　《要求》中對監測預警的定義為:建立并實施網絡安全監測預警和信息通報制度,針對發生的網絡安全事件或發現的網絡安全威脅,提前或及時發出安全警示。建立威脅情報和信息共享機制,落實相關措施,提高主動發現攻擊的能力。

　　3.4.1 相比等保在制度方面的加強

　　關保要求關注國內外及行業關鍵信息基礎設施安全事件、安全漏洞、解決方法和發展趨勢,并進行研判分析,必要時發出預警;明確不同級別預警報告和響應處置;建立通報預警及寫作處置機制;建立與外部組織之間、運營者內部人員的溝通合作機制,共同研判、處置網絡安全問題;建立網絡安全信息共享機制,建立與相關方的溝通合作機制。共享漏洞信息、威脅信息、最佳實踐、前沿技術等內容。

　　3.4.2 相比等保在監測方面的加強

　　關保要求對關鍵業務所涉及的系統進行監測;分析系統通信流量或事態的模式、建立相關模型,使用模型調整監測工具參數,減少誤報和漏報;全面收集網絡安全日志,構建違規操作模型,強化監測預警能力;采用自動化機制,對監測信息進行整合分析,分析關基的網絡安全態勢,對關鍵信息基礎設施跨組織、跨領域建設、構建統一指揮、多面監測、多級聯動的動態感知和分析能力。

　　3.4.3 相比等保在預警方面的加強

　　關保要求監測工具設置自動模式,發現危害關鍵業務時自動報警,自動采取措施;網絡安全共享信息和監測報警等信息綜合分析,生成內部預警信息;對預警信息進行分析、研判損害程度,采取應對措施;采取措施對預警進行響應;隱患得以控制或消除,執行預警流程。

　　長揚科技解讀

　　根據對《要求》監測預警章節理解,將監測預警立體化示意圖梳理如下圖所示:

　　圖8 監測預警立體化示意圖

　　3.5 主動防御

　　《要求》中對主動防御的定義為:以應對攻擊行為的監測發現為基礎,主動采取收斂暴露面、誘捕、溯源、干擾和阻斷等措施,開展攻防演習和威脅情報工作,提升對網絡威脅與攻擊行為的識別、分析和主動防御能力。

　　長揚通過對《要求》和征求意見稿對比發現,該部分在征求意見稿中是“技術對抗”,最終發布為“主動防御”。而從技術對抗到主動防御的演變,要求運營者構建精準、全面、彈性的主動防御體系。重點包括以下三個方面:

　　1.應識別和收斂暴露面,減少在互聯網側暴露的IP、端口、應用服務、組織架構、郵箱賬號、通信錄、技術文檔(拓撲圖、源代碼、IP規劃、賬號密碼等)等相關信息。

　　2.分析攻擊方法、路線、技術手段、目標等,采用相關技術措施快速處置網絡攻擊,并針對網絡安全事件進行開展溯源,完善防護策略和措施。

　　3.開展攻防演練及建立威脅情報共享機制,增強主動防御能力。

　　3.6 事件處置

　　《要求》對事件處置的定義為:為運營者對網絡安全事件進行報告和處置,并采取適當的應對措施,恢復由于網絡安全事件而受損的功能或服務。

　　結合《要求》中的具體要求,可總結為以下四點:

　　3.6.1 制度方面

　　應建立網絡安全事件管理制度,明確不同網絡安全事件的分類分級、不同類別和級別事件處置的流程等,制定應急預案等網絡安全事件管理文檔。

　　3.6.2 應急預案和演練方面

　　根據相關要求制定預案,應急預案中包括相關事件發生、恢復的時間點,包括多個運營者的應急事件的處理,內外部的相關計劃,非常規時期、遭受大規模攻擊的流程;每年至少開展一次本組織的應急演練,定期修訂預案。

　　3.6.3 響應和處置方面

　　根據已發生的安全事件及時報告,研判后形成事件報告,及時向相關方通報安全事件;按照遲滯流程、進行事件處理,對事件進行取證分析,形成事件報告;業務恢復后的再評估,采取措施免受再次破壞;將事件納入規程培訓、考試等,并進行相應變更;按照相關要求將事件及時上報給相關方。

　　長揚科技解讀

　　下圖是根據長揚科技在某關基行業總結的網絡安全事件處置流程圖:

　　圖 9 某關基運營者網絡安全事件處置流程圖

　　3.6.4 重新識別方面

　　對發現的安全隱患和安全事件再次開展評估工作,根據需要重新識別認定、風險評估,并更新安全策略。

　　該環節引入了PDCA戴明環持續改進的管理思想,實現了六個活動持續優化的閉環銜接,通過檢測評估推動整體安全保護工作不斷深化。

　　長揚科技解讀

　　事件處置相關管理制度的建立包括制度總體文件設計、流程角色梳理、崗位職責設定、事件分類、事件分級、事件處理時限(SLA)設計、事件管理工具/平臺建設、常見網絡安全事件應急預案庫設計、針對典型事件的應急演練和人員培訓、事件沉淀知識庫、事件分析溯源、事件結果通報、與監管單位的協同上報聯動等具體工作內容。

　　4 總結

　　《要求》的發布,為國家各行業關鍵基礎設施運營者對自身關鍵信息基礎設施的全生存周期安全保護提供了明確要求,也可供關鍵信息基礎設施安全保護的其他相關方參考使用。從保護工作部門(即相關監管部門)角度來看:可以更方便快捷地了解到下屬、分管的單位的關鍵信息基礎設施的情況,從而進行全面把控和有力的監管;從關基運營者角度來看:對照保護要求可以明確知曉本單位自身在關基安全保護方面的短板和不足,在技術、管理、運營、人員等方面做出自評和差距分析,形成后續的建設整改計劃,從而進一步保證本單位關鍵信息基礎設施的安全穩定運行;從安全服務機構角度來看:嚴格按照《要求》,不斷加強企業產品技術研發和服務能力創新,提供符合要求的產品和服務,為國家關鍵信息基礎設施的安全保駕護航。