《关键信息基础设施安全保护要求》正式发布,你不得不了解的相关知识
- 关键词:安盟信息,网络安全
- 摘要:10月12日,国家市场监督管理总局(国家标准化管理委员会)官网(http://www.sac.gov.cn)发布公告,国家市场监督管理总局批准发布《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)推荐性国家标准,该标准将于2023年5月1日正式实施。
一、《关键信息基础设施安全保护要求》正式发布
10月12日,国家市场监督管理总局(国家标准化管理委员会)官网(http://www.sac.gov.cn)发布公告,国家市场监督管理总局批准发布《信息安全技术 关键信息基础设施安全保护要求》(以下简称“关保”)(GB/T 39204-2022)推荐性国家标准,该标准将于2023年5月1日正式实施。11月7日,市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《关键信息基础设施安全保护要求》国家标准发布宣贯会。
作为关键信息基础设施安全保护标准体系的构建基础,本次发布的安全标准是自去年2021年7月30日发布《关键信息基础设施安全保护条例》以来颁发的第一个关键信息基础设施安全保护相关的国家标准。
二、标准规范对象
本标准适用于指导运营者对关键信息基础设施进行全生存周期安全保护,也可供关键信息基础设施安全保护的其他相关方参考使用。
关键信息基础设施关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
三、主要内容
《关键信息基础设施安全保护要求》作为关键信息基础设施安全保护标准体系中的7个核心标准之一,属于安全保护类标准,针对CII安全保护需求,其中提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。
3.1三项安全保护基本原则
以关键业务为核心的整体防控
关保的对象主要是关键信息设施,主要是由站场自控系统、分控中心、主调控中心、备调控中心等相互之间组成的工业控制网络,涉及生产控制网、视频监控网、安全监控网、无线网络等多个网络和信息系统,因此对关基的防护要覆盖到业务(业务链)上的每个系统,因此要以防控关键业务为核心。
以风险管理为导向的动态防护
风险管理从预测、防御、检测、响应四个维度出发,强调安全防护是一个持续处理循环的过程,需要以风险闭环管理机制对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化安全防御策略。
以信息共享为基础的协同联防
在数字化、智慧化发展趋势下,关键信息基础设施逐渐从彼此孤立向数据互通、系统互联的数字运营方向发展,所涉及的利益相关方都应积极主动地参与到关键信息基础设施的安全保护工作中。
3.2六方面主要内容及活动
关键信息基础设施安全保护包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面,这六方面无固定先后顺序,同等重要。
分析识别
关键信息设施运营者相关部门,围绕关键信息基础设施承载的关键业务,开展业务识别、资产识别、风险识别、重大变更等活动,是六方面活动的基础。
安全防护
关键信息设施运营者根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。本活动在识别关键信息基础设施安全风险的基础上制定相应的安全防护措施。
检测评估
采用自行、委托网络安全服务机构、抽查监测等方式检验安全防护措施的有效性,发现网络安全风险隐患,运营者应制定对应的检测评估制度,确定检测评估的流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。
监测预警
运营者需要制定并实施网络安全监测预警和信息通报制度,监测关键业务所涉及的系统,并针对发生的网络安全事件或发现的网络安全威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高关键信息基础设施发现攻击并预警的能力。
主动防御
关键信息基础设施运营者以监测到的攻击行为为基础,主动采取收敛暴露面、诱捕、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升关键信息基础设施对网络威胁与攻击行为的识别、分析和主动防御能力。
事件处置
运营者对网络安全事件进行报告和处置,并根据检测评估、监测预警等发现的不足采取适当的应对措施,恢复由于网络安全事件而受损的功能或服务,并在必要时重新开启分析识别活动。
四、新形势下,关键信息基础设施面临着严峻复杂的网络安全形势
4.1关键信息基础设施网络安全事件频发
2010年伊朗布什尔核电站遭“震网”病毒攻击,导致核电站数千部离心机被烧毁,放射性物质泄漏。
2013年棱镜事件,曝露出各国国家核心数据安全均遭严重威胁。
2014年俄乌网络战,导致整个克里米亚地区陆上通讯、移动通信和网络服务被中断。
2015年圣诞节前夕,乌克兰伊万诺.弗兰科夫斯克州大规模停电,数万“灾民”不得不在严寒中煎熬。
2019年委内瑞拉停电事件,导致社会严重动荡。
2021年河南暴雨灾害期间,大量基站遭受洪水冲击导致通讯瘫痪,应急管理部紧急调派无人机作为“空中基站”。
4.2风险与挑战
我国关键信息基础设施安全保护面临的风险和挑战主要为四个方面。
高等级网络攻击威胁
随着网络战略威慑日益升级,各国均加强网军建设,高等级攻击入侵控制、窃密,对关键信息基础设施安全构成严重威胁。
大型黑客组织威胁
部分黑客组织频繁持续对我国关键信息基础设施网络、重要系统等进行攻击,直接威胁我国关键信息基础设施安全。
新技术新应用双刃剑效应
随着5G移动通信及云计算、大数据、AI等技术在各行业的广泛应用,关系国计民生的关键信息基础设施更易成为网络攻击的高价值目标。
供应链安全挑战
随着网络产品集成度的不断提升和供应链全球化大分工的不断加深,关键信息基础设施的供应链安全风险面临着严峻的挑战。
事实证明,关键信息基础设施一旦遭到攻击破坏或数据泄漏,将严重危害国家安全、国计民生、经济发展。同时,也在警示我们,关键信息基础设施安全问题不可一日不防。
五、实施意义
关键信息基础设施的安全防护是国家网络安全工作的重中之重。《关键信息基础设施安全保护要求》落实了键信息基础设施安全保护以网络安全等级保护制度为基础这一要求,与我国的网络安全整体形势以及键信息基础设施安全需求相适应,必将助力关键信息基础设施安全保障体系建设,推动我国网络强国战略实施、数字经济稳健发展!