关键信息基础设施的概念在2014年2月27日召开的中央网络安全和信息化领导小组第一次会议正式提出。2017年6月1日《网络安全法》正式实施,其中第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
2019年12月3日,全国信息安全标准化技术委员会(以下简称信安标委)秘书处在北京组织召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)(以下简称《关保》)试点工作启动会。本次试点工作旨在验证《关保》标准内容的合理性和可操作性,为标准推广实施积累经验,为关键信息基础设施安全保护工作提供技术支撑。
本标准规定了关键信息基础设施识别认定、安全防护、检测评估、监测预警、事件处置等环节的基本要求。
本标准用于关键信息基础设施的规划设计、开发建设、运行维护、退役废弃等阶段的安全保护工作,主要适用于关键信息基础设施运营者,也可供关键信息基础设施安全保护工作部门和关键信息基础设施安全保护的其他参与者参考。
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害、国计民生、公共利益的信息设施。
关键信息基础设施的安全保护应遵循重点保护、整体防护、动态风控、协同参与的基本原则,建立网络安全综合防御体系。
重点保护是指关键信息基础设施网络安全保护应首先符合网络安全等级保护政策及 GB/T 22239-2019等标准相关要求,在此基础上加强关键信息基础设施关键业务的安全保护。
整体防护是指基于关键信息基础设施承载的业务,对业务所涉及的多个网络和信息系统(含工业控制系统)等进行全面防护。
动态风控是指以风险管理为指导思想,根据关键信息基础设施所面临的安全风险对其安全控制措施进行调整,以及时有效的防范应对安全风险。
协同参与是指关键信息基础设施安全保护所涉及的利益相关方,共同参与关键信息基础设施的安全保护工作。
本标准所指的关键信息基础设施运营者(以下简称运营者)负责关键信息基础设施的运行、管理,对本组织关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。
关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节。图1所示为一般情况下的环节之间的关系图,当关键信息基础设施运行时,根据实际情况环节之间的关系有所变动。
a)识别认定:运营者配合保护工作部门,按照相关规定开展关键信息基础设施识别和认定活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础。
b)安全防护:运营者根据已识别的安全风险,实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。
c)检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。
d)监测预警:运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。
e)事件处置:对网络安全事件进行处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
本标准对关键信息基础设施运营者提出关键信息基础设施安全保护基本要求。为满足这些要求,运营者需要采用相应安全控制措施,安全控制措施的选择可参考GB/T AAAAA-AAAA。
c)实现对关键信息基础设施相关资产的自动化管理,根据关键业务链所依赖资产的实际情况实时动态更新。
运营者应根据关键业务链开展安全风险及其影响分析,识别关键业务链各环节的威胁、脆弱性、已有安全控制措施及主要安全风险点,确定风险处置的优先级,形成安全风险报告。
运营者应在关键信息基础设施发生改建、扩建、所有人变更等重大变化有可能影响认定结果时,例如网络拓扑改变、业务链改变等,重新开展识别工作,并更新资产清单,及时将相关情况报告保护工作部门,按规定进行重新认定。
运营者应符合国家网络安全等级保护制度相关要求,对相关信息系统开展定级备案、相应等级的测评、安全建设、整改及自查工作。
a)建立适合本组织的网络安全保护计划,结合关键业务流的安全风险报告,明确关键信息基础设施网络安全保护工作的目标、安全策略、组织架构、管理制度、技术措施、实施细则及资源保障等,形成文档并经审批后发布至相关人员。网络安全保护计划应至少每年修订一次,或发生重大变化时进行修订。
注 1:安全策略包括但不限于:安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略(配置、漏洞、补丁、病毒库)、供应链安全管理策略、安全运维策略等。
注 2:管理制度包括但不限于:风险管理制度、网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、三同步制度、供应链安全管理制度等。
b)基于关键业务链、供应链等安全需求建立或完善安全策略和制度,并根据关键信息基础设施面临的安全风险和威胁的变化相应调整。
a)成立指导和管理网络安全工作的委员会或领导小组,由组织主要负责人担任其领导职务,设置专门的网络安全管理机构,建立首席网络安全官制度,建立并实施网络安全考核及监督问责机制。
c)安全管理机构相关人员应参加国家、行业或业界网络安全相关活动,及时获取网络安全动态,并传达到本组织。
a)对安全管理机构的负责人和关键岗位的人员进行安全背景和安全技能审查,符合要求的人员方能上岗,关键岗位包括与关键业务系统直接相关的系统管理、网络管理、安全管理等岗位。关键岗位应专人负责,并配备2 人以上共同管理。
b)运营者应建立网络安全教育培训制度,定期开展基于岗位的网络安全教育培训和技能考核,应规定适当的关键信息基础设施从业人员和网络安全关键岗位从业人员的年度培训时长,教育培训内容应包括网络安全相关制度和规定、网络安全保护技术、网络安全风险意识等。
c)在上岗前对人员进行安全背景审查,当必要时或人员的身份、安全背景等发生变化时(例如取得非中国国籍)应根据情况重新进行安全背景审查。应在人员发生内部岗位调动时,重新评估调动人员对关键信息基础设施的逻辑和物理访问权限,修改访问权限并通知相关人员或角色。应在人员离岗时,及时终止离岗人员的所有访问权限,收回与身份认证相关的软硬件设备,进行离职面谈并通知相关人员或角色。
d)与从业人员签订安全保密协议,在安全保密协议中,应约定安全职责、奖惩机制,以及当离岗后的脱密期限。
b) 保持相同的用户其用户身份、安全标记、访问控制策略等在不同等级系统、不同业务系统、不同区域中的一致性。例如,可以使用统一身份与授权管理系统/平台。
c) 对不同局域网之间远程通信时采取安全防护措施,例如在通信前基于密码技术对通信的双方进行验证或认证。
a) 对不同网络安全等级系统、不同业务系统、不同区域之间的互操作、数据交换和信息流向进行严格控制。例如:采取措施限制数据从高网络安全等级系统流向低网络安全等级系统。
运营者应加强网络审计措施,监测、记录系统运行状态、日常操作、故障维护、远程运维等,留存相关日志数据不少于12个月。
b) 对设备、用户、服务或应用、数据进行安全管控,对于重要业务操作或异常用户操作行为,建立动态的身份鉴别方式,或者采用多因子身份鉴别方式等。
a) 建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。
c) 将在我国境内运营中收集和产生的个人信息和重要数据存储在境内,因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估,法律、行政法规另有规定的,依照其规定。对数据的全生命周期进行安全管理,基于数据分类分级实现相应的数据安全保护。
d) 严格控制重要数据的公开、分析、交换、共享和导出等关键环节,并采取加密、脱敏、去标识化等技术手段保护敏感数据安全。
g) 业务连续性要求高的实现业务的异地实时切换,确保关键信息基础设施一旦被破坏,可及时进行恢复和补救。
运营者应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。对于漏洞、补丁,应在经过验证后及时修补。
a)在新建或改建、扩建关键信息基础实施设施时,充分考虑网络安全因素,在规划、建设和投入使用阶段保证安全措施的有效性,并采取测试、评审、攻防演练等多种形式验证。必要时,可建设关键业务的仿真验证环境。
a)制定供应链安全管理策略,包括:风险管理策略、供应商选择和管理策略、产品开发采购策略、安全维护策略等。
b)建立供应链安全管理制度,设置相应的供应链安全管理部门,提供用于供应链安全管理的资金、人员和权限等可用资源。
c)保证产品的设计、研发、交付、使用、废弃等各阶段,以及制造设备、工艺等的供应链安全风险基本可控。
d)选择有保障的供应商,防范出现因、外交、贸易等非技术因素导致产品和服务供应中断的风险。
f)要求供应商承诺不非法获取用户数据、控制和操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。
h)采购、使用的网络产品和服务,应符合法律、行政法规的规定和相关国家标准的要求,可能影响的,应当通过审查。
i)发现使用的网络产品、服务存在安全缺陷、漏洞等风险时,及时采取措施消除风险隐患,涉及重大风险的应当按规定向保护工作部门报告。
j)采购网络产品和服务时,明确提供者的安全责任和义务,要求提供者做出必要安全承诺,并签订安全保密协议,协议内容应包括安全职责、保密内容、奖惩机制、有效期等。
c)确保优先使用已登记备案的运维工具,如确需使用由维护人员带入关键信息基础设施内部的维护工具,应在使用前通过恶意代码检测等测试。
运营者应建立健全关键信息基础设施安全检测评估制度,应包括但不限于检测评估流程、方式方法、周期、人员组织、资金保障等。
a)自行或者委托网络安全服务机构对关键信息基础设施安全性和可能存在的风险每年至少进行一次检测评。