2022年10月12日,市场监管总局(标准委)发布公告,批准国家标准——GB/T 39204 2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称《要求》)正式发布,并将于2023年5月1日实施。《要求》的正式发布,也标志着绸缪8年的关键信息基础设施安全保护(简称关保)工作正式拉开帷幕。
长扬科技依托于自身沉淀多年的行业标准解读和实践落地经验,从关键信息基础设施运营者的角度,对本次《要求》发布的内容做出以下深度解读。
1《要求》保护框架总体分析
《要求》共计11章节,111条的内容,明确了关键信息基础设施安全保护工作的六个主要内容及活动,具体包括分析识别、安全防护、检测评估、监测预警、主动防御和事件处置,从而指导运营者对关键信息基础设施进行全生命周期的安全保护工作。其框架如下图所示:
图 1 关键信息基础设施网络安全保护要求框架
根据近年对《要求》的关注、探索和分析,长扬科技发现,“关键信息基础设施网络安全保护工作指导框架”经历了三个阶段的调整,最终明确形成了六个主要活动。六个主要活动覆盖了关键信息基础设施安全保护的全生命周期,帮助运营者从关基的识别认定、强化安全防护,到对运营可能存在的网络安全风险进行检测评估、并实行常态化监测预警,同时以监测发现的攻击行为为基础,进行攻防演练,提升主动防御能力和事件闭环处置能力,确保了关键信息基础设施关键业务稳定和持续运行。
近年关键信息基础设施网络安全保护各环节版本变化情况如下图所示:
图 2 近年关键信息基础设施网络安全保护各环节版本变化情况
2《要求》三大保护原则分析
“三大保护原则”标志着我国网络安全工作正式迈进体系化建设新阶段。我国的关键信息基础设施安全保护工作以“关键业务为核心的整体防控、风险管理为导向的动态防护、信息共享为基础的协同联防”作为三大基本原则。在等级保护制度的基础上,施行重点保护,构建关键信息基础设施安全防护体系。重点保护主要体现在两方面,第一是明确重点行业和领域(8大行业:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业);第二是明确重点保护对象(增加了关键业务、关键业务链、数据安全、供应链安全等对象)。
以下是对三大保护原则的解读:
整体防控:将六大活动实现统一的整合和闭环管理,形成整体安全防控体系,加强关键业务运行所涉及的各类信息的整体安全态势分析,包括业务所涉及系统的相关联的资产、脆弱性、威胁等内容,形成整体防控能力。
动态防护:根据关键信息基础设施所面临的安全威胁态势进行持续监测 和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。通过引入自动化技术和工具,实现实时监测、通报预警、事件处置、指挥调度,形成立体化网络安全动态监测能力。