關保 |《關鍵信息基礎設施網絡安全保護基本要求》全文介紹
背景
今天給分享 關保《關鍵信息基礎設施網絡安全保護基本要求》全文內容。 關鍵信息基礎設施的概念在2014年2月27日召開的中央網絡安全和信息化領導小組第一次會議正式提出。2017年6月1日《網絡安全法》正式實施,其中第三章第二節規定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的范圍、保護的主要內容等。國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。 2019年12月3日,全國信息安全標準化技術委員會(以下簡稱信安標委)秘書處在北京組織召開了國家標準《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》(報批稿)(以下簡稱《關保》)試點工作啟動會。本次試點工作旨在驗證《關保》標準內容的合理性和可操作性,為標準推廣實施積累經驗,為關鍵信息基礎設施安全保護工作提供技術支撐
一、范圍 本標準規定了關鍵信息基礎設施識別認定、安全防護、檢測評估、監測預警、事件處置等環節的基本要求。本標準用于關鍵信息基礎設施的規劃設計、開發建設、運行維護、退役廢棄等階段的安全保護工作,主要適用于關鍵信息基礎設施運營者,也可供關鍵信息基礎設施安全保護工作部門和關鍵信息基礎設施安全保護的其他參與者參考。
二、規范性引用文件 下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T 20984 信息安全技術信息安全風險評估規范GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求GB/T 25069 信息安全技術術語GB/T AAAA-AAAAA 信息安全技術關鍵信息基礎設施安全控制措施
三、術語和定義 GB/T 25069、GB/T 20984 中界定的以及下列術語和定義適用于本文件。關鍵信息基礎設施 critical information infrastructure公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的信息設施。
四、安全保護基本原則 關鍵信息基礎設施的安全保護應遵循重點保護、整體防護、動態風控、協同參與的基本原則,建立網絡安全綜合防御體系。 重點保護是指關鍵信息基礎設施網絡安全保護應首先符合網絡安全等級保護政策及 GB/T 22239-2019等標準相關要求,在此基礎上加強關鍵信息基礎設施關鍵業務的安全保護。 整體防護是指基于關鍵信息基礎設施承載的業務,對業務所涉及的多個網絡和信息系統(含工業控制系統)等進行全面防護。 動態風控是指以風險管理為指導思想,根據關鍵信息基礎設施所面臨的安全風險對其安全控制措施進行調整,以及時有效的防范應對安全風險。 協同參與是指關鍵信息基礎設施安全保護所涉及的利益相關方,共同參與關鍵信息基礎設施的安全保護工作。
五、主要環節及活動 本標準所指的關鍵信息基礎設施運營者(以下簡稱運營者)負責關鍵信息基礎設施的運行、管理,對本組織關鍵信息基礎設施安全負主體責任,履行網絡安全保護義務,接受政府和社會監督,承擔社會責任。 關鍵信息基礎設施網絡安全保護包括識別認定、安全防護、檢測評估、監測預警、事件處置五個環節。圖1所示為一般情況下的環節之間的關系圖,當關鍵信息基礎設施運行時,根據實際情況環節之間的關系有所變動。 a)識別認定:運營者配合保護工作部門,按照相關規定開展關鍵信息基礎設施識別和認定活動,圍繞關鍵信息基礎設施承載的關鍵業務,開展業務依賴性識別、風險識別等活動。本環節是開展安全防護、檢測評估、監測預警、事件處置等環節工作的基礎。 b)安全防護:運營者根據已識別的安全風險,實施安全管理制度、安全管理機構、安全管理人員、安全通信網絡、安全計算環境、安全建設管理、安全運維管理等方面的安全控制措施,確保關鍵信息基礎設施的運行安全。本環節在識別關鍵信息基礎設施安全風險的基礎上制定安全防護措施。 c)檢測評估:為檢驗安全防護措施的有效性,發現網絡安全風險隱患,運營者制定相應的檢測評估制度,確定檢測評估的流程及內容等要素,并分析潛在安全風險可能引起的安全事件。 d)監測預警:運營者制定并實施網絡安全監測預警和信息通報制度,針對即將發生或正在發生的網絡安全事件或威脅,提前或及時發出安全警示。 e)事件處置:對網絡安全事件進行處置,并根據檢測評估、監測預警環節發現的問題,運營者制定并實施適當的應對措施,恢復由于網絡安全事件而受損的功能或服務。 本標準對關鍵信息基礎設施運營者提出關鍵信息基礎設施安全保護基本要求。為滿足這些要求,運營者需要采用相應安全控制措施,安全控制措施的選擇可參考GB/T AAAAA-AAAA。
六、識別認定 6.1 業務識別 運營者應:a)識別本組織的關鍵業務和關鍵業務所依賴的外部業務,識別外部業務對本組織關鍵業務的重要性。b)當關鍵業務為外部業務提供服務時,識別本組織關鍵業務對外部業務的重要性。c)梳理關鍵業務鏈,明確支撐本組織關鍵業務的關鍵信息基礎設施分布和運營情況。 6.2 資產識別 運營者應:a)識別關鍵業務鏈所依賴的資產,建立關鍵業務鏈相關的網絡、系統、服務和其他資產清單。b)基于資產類別、資產重要性和支撐業務的重要性,對資產進行優先排序,確定資產防護的優先級。c)實現對關鍵信息基礎設施相關資產的自動化管理,根據關鍵業務鏈所依賴資產的實際情況實時動態更新。 6.3 風險識別 運營者應根據關鍵業務鏈開展安全風險及其影響分析,識別關鍵業務鏈各環節的威脅、脆弱性、已有安全控制措施及主要安全風險點,確定風險處置的優先級,形成安全風險報告。注:風險分析的方法可參照GB/T 20984。 6.4 重大變更 運營者應在關鍵信息基礎設施發生改建、擴建、所有人變更等重大變化有可能影響認定結果時,例如網絡拓撲改變、業務鏈改變等,重新開展識別工作,并更新資產清單,及時將相關情況報告保護工作部門,按規定進行重新認定。
七、安全防護 7.1 網絡安全等級保護制度 運營者應符合國家網絡安全等級保護制度相關要求,對相關信息系統開展定級備案、相應等級的測評、安全建設、整改及自查工作。 7.2 安全管理制度 運營者應:a)建立適合本組織的網絡安全保護計劃,結合關鍵業務流的安全風險報告,明確關鍵信息基礎設施網絡安全保護工作的目標、安全策略、組織架構、管理制度、技術措施、實施細則及資源保障等,形成文檔并經審批后發布至相關人員。網絡安全保護計劃應至少每年修訂一次,或發生重大變化時進行修訂。 注 1:安全策略包括但不限于:安全互聯策略、安全審計策略、身份管理策略、入侵防范策略、數據安全防護策略、自動化機制策略(配置、漏洞、補丁、病毒庫)、供應鏈安全管理策略、安全運維策略等。 注 2:管理制度包括但不限于:風險管理制度、網絡安全考核及監督問責制度、網絡安全教育培訓制度、人員管理制度、業務連續性管理及容災備份制度、三同步制度、供應鏈安全管理制度等。 b)基于關鍵業務鏈、供應鏈等安全需求建立或完善安全策略和制度,并根據關鍵信息基礎設施面臨的安全風險和威脅的變化相應調整。 7.3 安全管理機構 運營者應:a)成立指導和管理網絡安全工作的委員會或領導小組,由組織主要負責人擔任其領導職務,設置專門的網絡安全管理機構,建立首席網絡安全官制度,建立并實施網絡安全考核及監督問責機制。b)安全管理機構主要人員應參與本組織信息化決策。c)安全管理機構相關人員應參加國家、行業或業界網絡安全相關活動,及時獲取網絡安全動態,并傳達到本組織。 7.4 安全管理人員 運營者應:a)對安全管理機構的負責人和關鍵崗位的人員進行安全背景和安全技能審查,符合要求的人員方能上崗,關鍵崗位包括與關鍵業務系統直接相關的系統管理、網絡管理、安全管理等崗位。關鍵崗位應專人負責,并配備2 人以上共同管理。b)運營者應建立網絡安全教育培訓制度,定期開展基于崗位的網絡安全教育培訓和技能考核,應規定適當的關鍵信息基礎設施從業人員和網絡安全關鍵崗位從業人員的年度培訓時長,教育培訓內容應包括網絡安全相關制度和規定、網絡安全保護技術、網絡安全風險意識等。c)在上崗前對人員進行安全背景審查,當必要時或人員的身份、安全背景等發生變化時(例如取得非中國國籍)應根據情況重新進行安全背景審查。應在人員發生內部崗位調動時,重新評估調動人員對關鍵信息基礎設施的邏輯和物理訪問權限,修改訪問權限并通知相關人員或角色。應在人員離崗時,及時終止離崗人員的所有訪問權限,收回與身份認證相關的軟硬件設備,進行離職面談并通知相關人員或角色。d)與從業人員簽訂安全保密協議,在安全保密協議中,應約定安全職責、獎懲機制,以及當離崗后的脫密期限。 7.5 安全通信網絡 7.5.1 互聯安全運營者應:a)建立或完善不同等級系統、不同業務系統、不同區域之間的安全互聯策略。b)保持相同的用戶其用戶身份、安全標記、訪問控制策略等在不同等級系統、不同業務系統、不同區域中的一致性。例如,可以使用統一身份與授權管理系統/平臺。c)對不同局域網之間遠程通信時采取安全防護措施,例如在通信前基于密碼技術對通信的雙方進行驗證或認證。 7.5.2 邊界防護運營者應:a)對不同網絡安全等級系統、不同業務系統、不同區域之間的互操作、數據交換和信息流向進行嚴格控制。例如:采取措施限制數據從高網絡安全等級系統流向低網絡安全等級系統。b)應對未授權設備進行動態檢測及管控,只允許通過運營者自身授權和安全評估的軟硬件運行。 7.5.3 安全審計運營者應加強網絡審計措施,監測、記錄系統運行狀態、日常操作、故障維護、遠程運維等,留存相關日志數據不少于12個月。 7.6 安全計算環境 7.6.1 鑒別與授權運營者應:a)運營者應明確重要業務操作或異常用戶操作行為,并形成清單。b)對設備、用戶、服務或應用、數據進行安全管控,對于重要業務操作或異常用戶操作行為,建立動態的身份鑒別方式,或者采用多因子身份鑒別方式等。c)針對重要業務數據資源的操作,基于安全標記等技術實現訪問控制。 7.6.2 入侵防范運營者應:a)實現對新型網絡攻擊行為(如APT 攻擊)的入侵防范。b)具備系統主動防護能力,及時識別并阻斷入侵和病毒行為。7.6.3 數據安全防護運營者應:a)建立數據安全管理責任和評價考核制度,制定數據安全計劃,實施數據安全技術防護,開展數據安全風險評估,制定網絡安全事件應急預案,及時處置安全事件,組織數據安全教育、培訓。b)制定數據安全管理策略,明確數據和個人信息保護的相應措施。c)將在我國境內運營中收集和產生的個人信息和重要數據存儲在境內,因業務需要,確需向境外提供數據的,應當按照國家相關規定和標準進行安全評估,法律、行政法規另有規定的,依照其規定。對數據的全生命周期進行安全管理,基于數據分類分級實現相應的數據安全保護。d)嚴格控制重要數據的公開、分析、交換、共享和導出等關鍵環節,并采取加密、脫敏、去標識化等技術手段保護敏感數據安全。e)建立業務連續性管理及容災備份機制,重要系統和數據庫實現異地備份。f) 業務數據安全性要求高的實現數據的異地實時備份。g)業務連續性要求高的實現業務的異地實時切換,確保關鍵信息基礎設施一旦被破壞,可及時進行恢復和補救。 7.6.4 自動化工具運營者應使用自動化工具來支持系統賬戶、配置、漏洞、補丁、病毒庫等的管理。對于漏洞、補丁,應在經過驗證后及時修補。 7.7 安全建設管理 7.7.1 網絡安全與信息化同步要求運營者應:a)在新建或改建、擴建關鍵信息基礎實施設施時,充分考慮網絡安全因素,在規劃、建設和投入使用階段保證安全措施的有效性,并采取測試、評審、攻防演練等多種形式驗證。必要時,可建設關鍵業務的仿真驗證環境。b)當關鍵信息基礎設施退役廢棄時,按照數據安全管理策略對存儲的數據進行處理。 7.7.2 供應鏈安全保護運營者應:a)制定供應鏈安全管理策略,包括:風險管理策略、供應商選擇和管理策略、產品開發采購策略、安全維護策略等。b)建立供應鏈安全管理制度,設置相應的供應鏈安全管理部門,提供用于供應鏈安全管理的資金、人員和權限等可用資源。c)保證產品的設計、研發、交付、使用、廢棄等各階段,以及制造設備、工藝等的供應鏈安全風險基本可控。d)選擇有保障的供應商,防范出現因政治、外交、貿易等非技術因素導致產品和服務供應中斷的風險。e)在能提供相同產品的多個不同供應商中做選擇,以防范供應商鎖定風險。f)要求供應商承諾不非法獲取用戶數據、控制和操縱用戶系統和設備,或利用用戶對產品的依賴性謀取不正當利益或者迫使用戶更新換代。g)采購、使用的網絡關鍵設備和網絡安全專用產品,應通過國家規定的檢測認證。h)采購、使用的網絡產品和服務,應符合法律、行政法規的規定和相關國家標準的要求,可能影響國家安全的,應當通過國家安全審查。i)發現使用的網絡產品、服務存在安全缺陷、漏洞等風險時,及時采取措施消除風險隱患,涉及重大風險的應當按規定向保護工作部門報告。j)采購網絡產品和服務時,明確提供者的安全責任和義務,要求提供者做出必要安全承諾,并簽訂安全保密協議,協議內容應包括安全職責、保密內容、獎懲機制、有效期等。 7.8 安全運營管理 運營者應:a)保證關鍵信息基礎設施的運維地點位于中國境內,如確需境外運維,應當符合我國相關規定。b)應要求維護人員簽訂安全保密協議。c)確保優先使用已登記備案的運維工具,如確需使用由維護人員帶入關鍵信息基礎設施內部的維護工具,應在使用前通過惡意代碼檢測等測試。
8、檢查評估 8.1 檢測評估制度 運營者應建立健全關鍵信息基礎設施安全檢測評估制度,應包括但不限于檢測評估流程、方式方法、周期、人員組織、資金保障等。 8.2 檢測評估方式和內容 運營者應: a)自行或者委托網絡安全服務機構對關鍵信息基礎設施安全性和可能存在的風險每年至少進行一次檢測評估,并及時整改發現的問題。 b)檢測評估內容包括但不限于網絡安全制度(國家和行業相關法律法規政策文件及運營者制定的制度)落實情況、組織機構建設情況、人員和經費投入情況、教育培訓情況、網絡安全等級保護工作落實情況、密碼應用安全性評估情況、技術防護情況、云服務安全評估情況、風險評估情況、應急演練情況、攻防演練情況等,尤其關注關鍵信息基礎設施跨系統、跨區域間的信息流動,及其關鍵業務流動過程中所經資產的安全防護情況。 c)新建關鍵信息基礎設施,或關鍵信息基礎設施在改建、擴建中發生重大變化時,應自行或者委托網絡安全服務機構進行檢測評估,評估變更部分所引起的業務信息流的變更,評估是否引入新的風險,并對發現的安全問題進行有效整改后方可上線。 e)在安全風險抽查檢測工作,提供網絡安全管理制度、網絡拓撲圖、重要資產清單、關鍵業務介紹、網絡日志等必要的資料和技術支持,針對抽查檢測工作中發現的安全問題和風險進行及時整改。
九、監測預警 9.1 監測預警制度 運營者應:a)制定自身的監測預警和信息通報制度,確定網絡安全預警分級標準,明確監測策略、監測內容和預警流程,對關鍵信息基礎設施的網絡安全風險進行監測預警。b)關注國內外及行業關鍵信息基礎設施安全事件、安全漏洞、解決方法和發展趨勢,并對涉及到的關鍵信息基礎設施安全性進行研判分析,必要時發出預警。c)建立關鍵信息基礎設施的預警信息響應處置程序,明確不同級別預警的報告、響應和處置流程。d)建立通報預警及協作處置機制,建立和維護外聯單位聯系列表,包括外聯單位名稱、合作內容、聯系人和聯系方式等信息。e)建立組織機構內部管理人員、內部網絡安全管理機構與內部其他部門之間的溝通與合作機制,定期召開協調會議,共同研判、處置網絡安全問題。f)建立網絡安全信息共享渠道,例如建立與保護工作部門、研究機構、網絡安全服務機構、業界專家之間的溝通與合作機制,共享的信息可以是漏洞信息、威脅信息、最佳實踐、前沿技術等。 9.2 監測 運營者應:a)對關鍵業務所涉及的信息系統進行監測(例如:對加密通信進行監測,對應用層進行監測,對不同等級系統、不同業務系統、不同區域之間的信息流動進行監測等),對監測獲得的信息采取保護措施,防止其受到未授權的訪問、修改和刪除。b)分析信息系統通信流量或事態的模式,建立常見系統通信流量或事態的模型,并使用這些模型調整監測設備,以減少誤報和漏報。c)采用自動化機制對關鍵業務所涉及的信息系統的所有監測信息進行整合分析,以便及時關聯、分析關鍵信息基礎設施的網絡安全態勢。d)能對將關鍵業務運行所涉及的各類信息進行關聯,并分析整體安全態勢。包括:分析不同存儲庫的審計日志并使之關聯;系統內多個組件的審計記錄進行關聯;將取自審計記錄的信息與得自物理訪問監控的信息關聯;將來自非技術源的信息(例如供應鏈活動信息、關鍵崗位人員信息等)與審計信息關聯;網絡安全信息共享信息關聯等。e)通過安全態勢分析結果來確定安全策略和安全控制措施是否合理有效,必要時進行更新。 9.3 預警 運營者應:a)在發現可能危害關鍵業務的跡象時,監測機制應能采用自動化的方式及時報警,并自動化地采取對關鍵業務破壞性最小的行動。例如:惡意代碼防御機制、入侵檢測設備或者防火墻等彈出對話框、發出聲音或者向相關人員發出電子郵件等方式進行報警。 b)對網絡安全共享信息和報警信息等進行綜合分析、研判,必要時生成內部預警信息。對于可能造成較大影響的,應按照相關部門要求進行通報。內部預警信息的內容應包括:基本情況描述、可能產生的危害及程度、可能影響的用戶及范圍、建議采取的應對措施等。c)當內部預警信息發出之后,情況出現新的變化,運營者應向有關人員和組織及時補發最新內部預警信息。d)能持續獲取預警發布機構的安全預警信息,分析、研判相關事件或威脅對自身網絡安全保護對象可能造成損害的程度,必要時啟動應急預案。獲取的安全預警信息應按照規定通報給相關人員和相關部門。f)采取相關措施對預警進行響應,當安全隱患得以控制或消除時,應執行預警解除流程。
十、事件處置 10.1 事件管理制度 運營者應:a)具備網絡安全事件的處理能力,建立網絡安全事件管理制度,明確不同網絡安全事件的分類分級、不同類別和級別事件處置的流程等,制定應急預案等網絡安全事件管理文檔。b)為網絡安全事件處置提供相應資源,指定專門網絡安全應急支撐隊伍、專家隊伍,保障安全事件得到及時有效處置。c)按規定參與和配合相關部門開展的網絡安全應急演練、應急處置等工作。 10.2 應急預案 運營者應:a) 在國家網絡安全事件應急預案的框架下,根據行業和地方的特殊要求,制定本組織的網絡安全事件應急預案。應急預案中應明確,一旦信息系統中斷、受到損害或者發生故障時,需要維護的關鍵業務功能,并明確遭受破壞時恢復關鍵業務和恢復全部業務的時間。應急預案不僅應包括本組織應急事件的處理,也應包括多個組織間的應急事件的處理(適用時)。b) 在制定應急預案時,同所涉及到的運營者內部相關計劃(例如業務持續性計劃、災難備份計劃等)以及外部服務提供者的應急計劃進行協調,以確保連續性要求得以滿足。c) 在應急預案中包括非常規時期、遭受大規模攻擊時等處置流程。 d)對網絡安全應急預案定期進行評估修訂,并持續改進。 e) 每年至少組織1 次跨組織、跨地域的應急演練(適用時)。 10.3 響應和處置 10.3.1 事件報告運營者應:a)當發生有可能危害關鍵業務的安全事件時,應及時向安全管理機構報告,并組織研判,形成事件報告單。b)及時將可能危害關鍵業務的安全事件通報到可能受影響的內部部門和人員,并按照規定向關鍵業務供應鏈涉及的、與事件相關的其他組織通報安全事件。 10.3.2 事件處理和恢復運營者應:a)按照事件處置流程、應急預案進行事件處置,恢復關鍵業務和信息系統到已知的狀態。b)在事件發生后盡快收集證據,按要求進行信息安全取證分析,并確保所有涉及的響應活動被適當記錄,便于日后分析。在進行取證分析時,應與業務連續性計劃相協調。c)在事件處理完成后,應采用手工或者自動化機制形成完整的事件處理報告。事件處理報告包括:不同部門對事件的處理記錄、事件的狀態和取證相關的其他必要信息、評估事件細節、趨勢和處理。d)在恢復關鍵業務和信息系統后,應對關鍵業務和信息系統恢復情況進行評估,查找事件原因,并采取措施防止關鍵業務和信息系統遭受再次破壞、危害或故障。e)在進行事件處理活動時,協調組織內部多個部門和外部相關組織,以更好的對事件進行處理,并將事件處理活動的經驗教訓納入事件響應規程、培訓以及測試,并進行相應變更。 10.3.3 事件通報運營者應及時將安全事件及其處置情況通報到可能受影響的部門和相關人員,向關鍵業務供應鏈涉及的、與事件相關的其他組織提供安全事件信息,并按照規定通報相關部門。 10.4 重新評估 運營者應根據檢測評估、監測預警中發現的安全隱患和發生的安全事件,以及處置結果,并結合安全威脅和風險變化情況開展評估,必要時重新開展風險評估,并更新安全策略。
