首個關基國家標準正式發布，來看詳細解讀和防護建議

Notice

2022年11月，國家標準GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》正式發布。這是2021年8月《關鍵信息基礎設施保護條例》頒布后一年多，正式發布的第一項關鍵信息基礎設施保護相關的國家標準。在此之前，已經有一大批關基保護的國家標準進行了長達10余年的籌備和研究，在《網安法》《關基保護條例》出臺后，一些重要的理論、概念和范圍得以明確，將會有一批關基保護國家標準陸續出臺，在網絡安全等級保護的基礎上，重繪國家網絡安全保護工作、網絡安全保護技術、產業和市場的發展藍圖。

標準的產生

國家標準GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》的制定計劃早在2017年就由國家標準化管理委員會下達至“全國信息安全標準化技術委員會（TC260）”。 計劃號為：20173585-T-469。立項之初的標準名稱為“關鍵信息基礎設施網絡安全基本要求”。標準的研究、制定以及各網絡安全主管監管部門之間的協調過程歷時超過7年，標準制定的過程有以下幾個特點：

對象明確

標準的制定直接面向關基保護對象，以金融、能源、電力為代表的關基行業運營者在標準制定的早期就已經參與需求調研，主要科研院所、阿里騰訊等代表性互聯網企業和國家級的網絡安全檢測監測機構為標準在提供關基安全防護手段方面提供技術支持。

兼顧國內外經驗

與國外主要包括美、歐在關鍵基礎設施保護標準的演進保持同步，NIST的《改善關鍵基礎設施網絡安全的框架》、ENISA的《數字服務提供商實施最低安全控制措施技術指南》和法國的《關鍵運營者強制性安全規則的通用措施集》是標準重要的參考。《網安法》發布后，落實網安法關于保護關鍵信息基礎設施的運行安全的要求，在國家等級保護制度基礎上，我國相關部門在重要領域網絡安全審查、網絡安全檢查等重點工作的成熟經驗也迅速被納入標準。

以此標準為原點構筑了一套標準體系

制定初期，至少有4-5項標準同時被納入制定計劃，包括《關鍵信息基礎設施網絡安全框架》（直接參考了CSF，目前已經被撤銷）作為基礎標準，闡明構成框架的基本要素及其關系，統一通用術語和定義；作為基線類標準，對關鍵信息基礎設施運營者開展網絡安全保護工作提出最低要求；《關鍵信息基礎設施安全控制措施》作為實施類標準，根據基本要求提出相應的控制措施；《關鍵信息基礎設施安全檢查評估指南》和《關鍵信息基礎設施安全保障指標體系》作為測評類標準，依據基本要求明確關鍵信息基礎設施檢查評估的目的、流程、內容和結果，并依據檢查評估結果、日常安全檢測等情況對關鍵信息基礎設施安全保障狀況進行定量評價。

較大規模的標準試點試用

標準制定的同時開展了標準試點進而改進標準內容。2019年12月，TC260啟動了本標準的試點。電信、廣電、能源、交通、金融、衛生健康等重點行業和領域選取了12家單位作為標準應用試點單位。中國電子技術標準化研究院、中國信息安全測評中心、國家信息技術安全研究中心、國家計算機應急技術處理協調中心、公安部第三研究所、公安部第一研究所、國家工業信息安全發展研究中心、中國互聯網絡信息中心等8家標準編制單位作為第三方測評機構。另外《關鍵信息基礎設施檢查評估指南》也進行了較大規模的試點應用，確保了標準的可操作性。

標準的影響與意義安全法律法規體系

《關基保護要求》的發布與實施，是對《網絡安全法》《數據安全法》中對關基保護要求的嚴格落實，也是對《關基保護條例》中對關基保護要求的繼承、強調與細化，同時關基保護強調的在等級保護基礎上的重點防護，也清晰定位了關保與等保之間關聯關系。此外，要求的正式發布，也對其他尚未發布的關基保護相關安全標準的制定具有參考和促進意義。

安全監管工作

《關基保護條例》明確了關鍵信息基礎設施安全監管單位職責范圍，《關基保護要求》為國家、行業主管單位針對關基單位履行安全監督、指導等責任提供了明確的任務重點和依據，有助于促進安全監管職能的發揮，切實保障安全監管效果，也為國家、行業制定關基安全防護工作方針、戰略提供了必要支撐。

企業安全建設

結合等級保護要求，《關基保護要求》為企業安全建設提供了更為豐富的安全建設參考標準，也對關基安全運營者責任的履行提供了清晰的工作任務劃分。對于企業內部安全責任部門，有助于制定整體安全建設與防護策略，也對本單位的安全工作推進提供了強有力的外部合規支持力量，有效促進安全工作的開展與任務落實。

建設之“剛”

整體框架內容

總體目標

關基保護是在等級保護基礎之上對關鍵信息基礎設施的再保護、重點防護，《關基保護要求》以關鍵信息基礎設施為中心，采取必要的管理、技術措施，切實提升關鍵信息基礎設施的整體安全防護水平，保障業務穩定安全運行與數據安全。

該安全目標的明確提出，既是網絡安全保護工作的最終目標，也與關鍵信息基礎設施一旦發生安全事件帶來的嚴重影響相對應。

適用范圍

內容上，明確關基保護6個主要的方面：分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置，對這6個方面提出操作要求。

適用對象上，首先關基運營者是本標準的第一適用對象，6個方面的防護工作主要交給關基運營者也就是各重點行業自行實施。其次，關鍵信息基礎設施安全保護的其他相關方也是標準的重要適用對象，這其中包含了主管監管部門、第三方測評機構和網絡安全服務提供方、網絡安全企業等。

首次在技術標準中定義“關鍵信息基礎設施”

關鍵信息基礎設施定義為“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。”此定義與關基保護條例第二條完全一致。

三大原則體現關基保護特點

1、以關鍵業務為核心的整體防控。關鍵信息基礎設施安全保護以保護關鍵業務為目標，對業務所涉及的一個或多個網絡和信息系統進行體系化安全設計，構建整體安全防控體系。

2、以風險管理為導向的動態防護。根據關鍵信息基礎設施所面臨的安全威脅態勢進行持續監測和安全控制措施的動態調整，形成動態的安全防護機制，及時有效地防范應對安全風險

3、以信息共享為基礎的協同聯防。積極構建相關方廣泛參與的信息共享、協同聯動的共同防護機制，提升關鍵信息基礎設施應對大規模網絡攻擊能力。

由于關基安全自身的特性：“業務不可中斷”“發生安全事件的代價極大”“安全風險連鎖連片”等，關基保護與傳統的網絡安全防護有巨大的差異。從三大原則，可以看到，關基防護目標從“保障系統安全”轉向“保障業務連續性”，從“事件影響消除”轉向“風險防范和化解”。由此，關基保護與等級保護的差別體現在：從“靜態防御”轉向“動態防御”，從“被動防御”轉向“主動防御”，從“單點防御”轉向“協同聯防”。

6個環節，持續防護

關基保護的具體內容包括了分析識別、安全防護、檢測評估、監測預警、主動防御和事件處置。

1、分析識別。該活動是關基保護其他活動的基礎。針對關基相關業務進行依賴性、重要性和內外鏈條的梳理，形成關基業務畫像，便于準確識別相關的資產與風險。基于業務識別相關的資產，明確關基防護的范圍和優先級，有利于風險評估工作的開展。重大變更、動態資產識別要求，是確保關基業務、資產處于關基防護體系內的重要舉措。

2、安全防護。安全防護部分，提出了10個方面的要求。這10個方面的要求，等級保護被作為前提和前置條件。具體的防護措施按照技術和管理劃分，其中有5項與安全管理相關，包括安全管理機構、制度、人員、建設管理和運維管理。防護技術方面主要強調了安全通信網絡的安全和計算環境的安全。數據安全和供應鏈安全問題但是帶有全局性且一旦出現安全風險將產生連鎖連片影響的問題，因此在此單獨提出。

3、檢測評估。檢測評估的內容與等保測評相比，出現了較多新的方法。這里的檢測評估，包含了對關基運營者網絡安全管理機制、組織機構建設、技術防護（風險評估、應急、攻防演練）等基本安全防護機制和基本情況的檢查，也包含了針對特定系統和資產，在獲得批準或授權進行的滲透性測試，以及針對安全風險的抽查。網絡安全服務機構在檢測評估環節得到更多的發揮空間。這里的網絡安全服務機構可以理解為既包括了傳統的國家層面的第三方檢測機構，理應也包含具備檢測能力的網絡安全企業。

4、監測預警。建立并實施監測預警制度，一是在內部建立成熟的風險威脅同步與處置機制，提高響應處置協作能力。二是通過對外部安全態勢的監測，提升內部安全措施的跟進與預警的及時性。三是在關基保護過程中，建立與外部機構組織的合作機制，有效進行信息的共享。監測預警技術能力的要求，為關基運營者提升整個安全體系風險威脅監測與預警處置能力提供了必要的場景化指導，明確了監測預警分析等安全運營工作的重點。

5、主動防御。在標準中提出主動防御的要求，是一個新的有突破性的技術要求。除了提出收斂暴露面，也明確提出了攻擊阻斷、攻擊溯源的要求，這對整個國家層面的網絡安全防護甚至是反擊能力提出了新的要求。主動防御同時也強調了對威脅情報的共享機制。

6、事件處置。關基保護的核心思想，是風險管控，以做到“防患于未然”，這一點在全球范圍內是基本的共識。很多核心的關鍵信息基礎設施是不允許出現“破壞性的網絡安全事故”。因此IPDRR中對最后一個R的要求是極高的，在事件處置部分的技術規范內容中沒有提出更新的R方法，本部分更多是提出對應急演練、應急響應、通報等處置機制的進一步完善，提升與其他安全防護、監測、預警等機制的協同配合能力，減少信息鴻溝。

提升兩大網絡安全服務能力

對于網絡安全服務機構，主要任務將是為國家層面的網絡安全防護機構提供技術支撐，為關基運營者提供全方位的持續的網絡安全服務。關基安全保護要求所提出的原則，就是企業網絡安全服務能力需要提升的方向。匹配關基保護要求，一是升級并強化安全運營的模式與流程，提升安全運營在關基行業安全建設的早期介入能力。確保關基業務連續性為目標，在關基企業信息化建設初期就介入設計，并實施與業務連續性保障有關的安全防護方案。二是以提升風險管控和動態防御能力為核心，強化安全運營過程中的風險識別，安全檢測、監測預警和快速響應能力。

提升以信息共享為基礎的協同聯防能力

提升以信息共享為基礎的協同聯防能力，帶動技術、產品的升級，提升并拓展威脅情報的收集、共享能力，提升網絡網絡安全產品互聯互通能力。在態勢感知、數據安全監測、網絡攻擊溯源與反擊能力方面，強化與國家機構以及網絡安全商業機構之間的聯系、協同與合作，提升對關基保護過程中防范阻斷大規模網絡攻擊、處置和減緩連鎖連片安全災難性事故能力，帶動態勢感知、數據安全等技術、產品的升級。

提升關鍵信息基礎設施領域重點行業縱向防護能力

在“關鍵信息基礎設施”的定義中已經明確，關基保護的主體是“公共通信、信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等”的運營者，運營者是確保關基安全的第一責任方。不同于美國等關基行業私營特點，在我國，關基行業“垂直性”的從中央到地方，要充分了解不同行業的在網絡安全防護的優勢與缺陷，從總部到省、市、縣、鄉，完善縱向防護能力，對關鍵信息基礎設施實現“從頭到腳”的安全防護。