2022年10月12日,市場(chǎng)監(jiān)管總局(標(biāo)準(zhǔn)委)發(fā)布公告,批準(zhǔn)國(guó)家標(biāo)準(zhǔn)——GB/T 39204 2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(以下簡(jiǎn)稱《要求》)正式發(fā)布,并將于2023年5月1日實(shí)施。《要求》的正式發(fā)布,也標(biāo)志著綢繆8年的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)(簡(jiǎn)稱關(guān)保)工作正式拉開(kāi)帷幕。
長(zhǎng)揚(yáng)科技依托于自身沉淀多年的行業(yè)標(biāo)準(zhǔn)解讀和實(shí)踐落地經(jīng)驗(yàn),從關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的角度,對(duì)本次《要求》發(fā)布的內(nèi)容做出以下深度解讀。
1《要求》保護(hù)框架總體分析
《要求》共計(jì)11章節(jié),111條的內(nèi)容,明確了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的六個(gè)主要內(nèi)容及活動(dòng),具體包括分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御和事件處置,從而指導(dǎo)運(yùn)營(yíng)者對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全生命周期的安全保護(hù)工作。其框架如下圖所示:
圖 1 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)要求框架
根據(jù)近年對(duì)《要求》的關(guān)注、探索和分析,長(zhǎng)揚(yáng)科技發(fā)現(xiàn),“關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)工作指導(dǎo)框架”經(jīng)歷了三個(gè)階段的調(diào)整,最終明確形成了六個(gè)主要活動(dòng)。六個(gè)主要活動(dòng)覆蓋了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的全生命周期,幫助運(yùn)營(yíng)者從關(guān)基的識(shí)別認(rèn)定、強(qiáng)化安全防護(hù),到對(duì)運(yùn)營(yíng)可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估、并實(shí)行常態(tài)化監(jiān)測(cè)預(yù)警,同時(shí)以監(jiān)測(cè)發(fā)現(xiàn)的攻擊行為為基礎(chǔ),進(jìn)行攻防演練,提升主動(dòng)防御能力和事件閉環(huán)處置能力,確保了關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)穩(wěn)定和持續(xù)運(yùn)行。
近年關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各環(huán)節(jié)版本變化情況如下圖所示:
圖 2 近年關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各環(huán)節(jié)版本變化情況
2《要求》三大保護(hù)原則分析
“三大保護(hù)原則”標(biāo)志著我國(guó)網(wǎng)絡(luò)安全工作正式邁進(jìn)體系化建設(shè)新階段。我國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作以“關(guān)鍵業(yè)務(wù)為核心的整體防控、風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)、信息共享為基礎(chǔ)的協(xié)同聯(lián)防”作為三大基本原則。在等級(jí)保護(hù)制度的基礎(chǔ)上,施行重點(diǎn)保護(hù),構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)體系。重點(diǎn)保護(hù)主要體現(xiàn)在兩方面,第一是明確重點(diǎn)行業(yè)和領(lǐng)域(8大行業(yè):公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè));第二是明確重點(diǎn)保護(hù)對(duì)象(增加了關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)鏈、數(shù)據(jù)安全、供應(yīng)鏈安全等對(duì)象)。
以下是對(duì)三大保護(hù)原則的解讀:
整體防控:將六大活動(dòng)實(shí)現(xiàn)統(tǒng)一的整合和閉環(huán)管理,形成整體安全防控體系,加強(qiáng)關(guān)鍵業(yè)務(wù)運(yùn)行所涉及的各類(lèi)信息的整體安全態(tài)勢(shì)分析,包括業(yè)務(wù)所涉及系統(tǒng)的相關(guān)聯(lián)的資產(chǎn)、脆弱性、威脅等內(nèi)容,形成整體防控能力。
動(dòng)態(tài)防護(hù):根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全威脅態(tài)勢(shì)進(jìn)行持續(xù)監(jiān)測(cè) 和安全控制措施的動(dòng)態(tài)調(diào)整,形成動(dòng)態(tài)的安全防護(hù)機(jī)制,及時(shí)有效地防范應(yīng)對(duì)安全風(fēng)險(xiǎn)。通過(guò)引入自動(dòng)化技術(shù)和工具,實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè)、通報(bào)預(yù)警、事件處置、指揮調(diào)度,形成立體化網(wǎng)絡(luò)安全動(dòng)態(tài)監(jiān)測(cè)能力。
新聞爆料
