2022年10月12日,市場監(jiān)管總局(標(biāo)準(zhǔn)委)發(fā)布公告,批準(zhǔn)國家標(biāo)準(zhǔn)——GB/T 39204 2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》(以下簡稱《要求》)正式發(fā)布,并將于2023年5月1日實施�！兑�求》的正式發(fā)布,也標(biāo)志著綢繆8年的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(簡稱關(guān)保)工作正式拉開帷幕。

長揚科技依托于自身沉淀多年的行業(yè)標(biāo)準(zhǔn)解讀和實踐落地經(jīng)驗,從關(guān)鍵信息基礎(chǔ)設(shè)施運營者的角度,對本次《要求》發(fā)布的內(nèi)容做出以下深度解讀。

1《要求》保護框架總體分析

《要求》共計11章節(jié),111條的內(nèi)容,明確了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的六個主要內(nèi)容及活動,具體包括分析識別、安全防護、檢測評估、監(jiān)測預(yù)警、主動防御和事件處置,從而指導(dǎo)運營者對關(guān)鍵信息基礎(chǔ)設(shè)施進行全生命周期的安全保護工作。其框架如下圖所示:

圖 1 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護要求框架

根據(jù)近年對《要求》的關(guān)注、探索和分析,長揚科技發(fā)現(xiàn),“關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護工作指導(dǎo)框架”經(jīng)歷了三個階段的調(diào)整,最終明確形成了六個主要活動。六個主要活動覆蓋了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的全生命周期,幫助運營者從關(guān)基的識別認(rèn)定、強化安全防護,到對運營可能存在的網(wǎng)絡(luò)安全風(fēng)險進行檢測評估、并實行常態(tài)化監(jiān)測預(yù)警,同時以監(jiān)測發(fā)現(xiàn)的攻擊行為為基礎(chǔ),進行攻防演練,提升主動防御能力和事件閉環(huán)處置能力,確保了關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)穩(wěn)定和持續(xù)運行。

近年關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護各環(huán)節(jié)版本變化情況如下圖所示:

圖 2 近年關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護各環(huán)節(jié)版本變化情況

2《要求》三大保護原則分析

“三大保護原則”標(biāo)志著我國網(wǎng)絡(luò)安全工作正式邁進體系化建設(shè)新階段。我國的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作以“關(guān)鍵業(yè)務(wù)為核心的整體防控、風(fēng)險管理為導(dǎo)向的動態(tài)防護、信息共享為基礎(chǔ)的協(xié)同聯(lián)防”作為三大基本原則。在等級保護制度的基礎(chǔ)上,施行重點保護,構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全防護體系。重點保護主要體現(xiàn)在兩方面,第一是明確重點行業(yè)和領(lǐng)域(8大行業(yè):公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè));第二是明確重點保護對象(增加了關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)鏈、數(shù)據(jù)安全、供應(yīng)鏈安全等對象)。

以下是對三大保護原則的解讀:

整體防控:將六大活動實現(xiàn)統(tǒng)一的整合和閉環(huán)管理,形成整體安全防控體系,加強關(guān)鍵業(yè)務(wù)運行所涉及的各類信息的整體安全態(tài)勢分析,包括業(yè)務(wù)所涉及系統(tǒng)的相關(guān)聯(lián)的資產(chǎn)、脆弱性、威脅等內(nèi)容,形成整體防控能力。

動態(tài)防護:根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全威脅態(tài)勢進行持續(xù)監(jiān)測 和安全控制措施的動態(tài)調(diào)整,形成動態(tài)的安全防護機制,及時有效地防范應(yīng)對安全風(fēng)險。通過引入自動化技術(shù)和工具,實現(xiàn)實時監(jiān)測、通報預(yù)警、事件處置、指揮調(diào)度,形成立體化網(wǎng)絡(luò)安全動態(tài)監(jiān)測能力。