关键信息基础设施安全防护工作关键点总结

01 概述
 
为保障关键信息基础设施安全，维护网络安全，2021年7月30日，前国务院总理李克强签署第745号国务院令，公布《关键信息基础设施安全保护条例》（以下简称《关基保护条例》），自2021年9月1日起施行。
 
2022年10月12日，国家市场监督管理总局批准发布GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》（以下简称《关基保护要求》），该标准将于2023年5月1日正式实施。《关基保护要求》是《关基保护条例》施行以来发布的第一个关键信息基础设施安全保护相关的国家标准，标志着对关键信息基础设施的安全防护工作进入新的阶段。
本次通过两篇文章对《关基保护要求》中的关键信息基础设施网络安全防护关键点进行整理总结，可供关键信息基础设施落实安全防护工作时参考。
 
本文重点分析等保和关保的关系，对关保提出的安全通信网络和安全计算环境等技术安全防护关键点进行总结。
 
02 关保和等保的关系
 
等保指网络安全等级保护制度，国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统、网络通信设施和数据资源等分等级实行安全保护。关保指关键信息基础设施安全保护，是针对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域等，在网络安全等级保护制度的基础上实行重点保护。等级保护制度是普适性的制度，是关键信息基础设施保护的基础；关键信息基础设施是等级保护对象的一部分；关保从安全防护、监测预警、事件处置等方面均高于等保。
 
03 安全防护关键点
 
《关基保护要求》为落实《网络安全法》、《关基保护条例》关于保护关键信息基础设施运行安全的要求，提出了关键信息基础设施安全保护应在网络安全等级保护制度基础上，实行重点保护。
 
《关基保护要求》明确以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的3项原则，并从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求，为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。
 
作为关键信息基础设施全生命周期安全保护的重要组成部分，安全防护工作内容是根据已识别的关键业务、资产、安全风险，在网络安全等级保护、安全通信网络、安全计算环境、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理、供应链安全保护、数据安全防护等方面实施安全管理和技术保护措施，确保关键信息基础设施的运行安全。
为便于关键信息基础设施安全防护的理解和实施，本文将安全防护10项要求分为等保合规建设、技术措施要求、管理措施要求、强化全局安全防护四个方面：
 
第一方面，等保合规建设是关保的前提和必要条件，落实等保相关要求是开展关键信息基础设施安全保护的基础；
 
第二方面，安全通信网络、安全计算环境针对关键信息基础设施保护提出更新、更高的技术措施要求；
 
第三方面，安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理是基于等保并在其基础上提出的更全面的安全管理体系；
 
第四方面，供应链安全保护和数据安全防护是关基安全防护的重要手段，也是强化关基全局安全防护的重要体现。
 
关保安全防护十项要求分类如下图所示：  
本文总结前两方面安全防护工作关键点。
 
3.1 等保合规建设方面

3.1.1  网络安全等级保护
 
• 标准要求
 
（1）落实等保制度，开展等保工作
 
《关基保护条例》第六条提出：“运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。”因此关键信息基础设施的安全防护首先要落实国家网络安全等级保护制度相关要求，开展关基系统的定级、备案、安全建设整改和等级测评等工作。
 
关保是在等保基础上实行重点防护，是针对关键信息基础设施防护的特殊需求和增强要求，提出更高的安全要求，进而体现整体防护、动态防护和联防联控。因此，运营者在规划和建设时需要将《关基保护要求》和《等级保护要求》结合起来，共同作为关键信息基础设施应贯彻落实的安全保护要求。
 
3.2 技术措施要求方面
 
3.2.1 安全通信网络
 
• 标准要求
 
3.2.1.1 网络架构
 


3.2.1.2 互联安全
 
互联安全要求包括：



3.2.1.3 边界防护
 
边界防护要求包括：



3.2.1.4 安全审计
 


• 关键点总结
 
（1）通信线路“一主双备”
 
《关基保护要求》对关键信息基础设施的可用性提出更高要求，按照要求关键信息基础设施运营者在建设过程至少需要引入2个及以上电信运营商实现通信服务，且其中至少1个运营商需要提供冗余线路，与《等级保护要求》“应提供通信线路、关键网络设备和关键计算设备的硬件冗余保证系统的可用性”相比，此项要求对网络架构冗余提出了更高要求，并落实了《网络安全法》第三十一条规定中对关键信息基础设施实施重点保护原则。
 

 
（2）互联安全
 
关键信息基础设施按照业务功能实行分区分域管理，区域之间进行有效安全互联策略，建立和完善不同等级系统、不同业务系统、不同区域、多个运营者之间的安全互联策略，实现从边界到核心的多层保护。
 
对不同局域网之间远程通信采取安全防护措施，可通过SSH、SSL、TLS、HTTPS、VPN等加密通信的方式对数据进行加密处理，如采用防火墙等安全设备基于密码技术的IPSec VPN、SSL VPN等技术手段对通信进行验证或鉴别。
 
（3）边界防护
 
针对边界防护，可部署网闸、防火墙等边界安全防护设备严格控制不同等级系统、不同业务系统、不同区域的互操作、数据交换和信息流向，防范网络攻击行为。
 
对未授权设备进行动态监测及管控，可通过部署网络准入系统，利用终端准入控制技术，满足等级保护对网络边界、终端防护相应要求的同时并提供更高效、更智能的网络准入防护体系，实现只允许通过运营者自身授权和安全评估的软硬件运行。


 
（4）安全审计
 
针对安全审计，可部署日志审计与分析系统、安全运维管理系统、数据库审计系统、流量审计系统等设备实时将网络中的网络设备、安全设备、服务器、数据库系统的日志信息，进行统一地收集、处理和关联分析，帮助运营者从海量日志中迅速、精准地识别安全事件。

《关基保护要求》要求留存相关日志数据应不少于6个月，明确响应了《网络安全法》第二十一条对日志数据留存的要求，以便安全事件进行事后追溯。

 
 
3.2.2  安全计算环境
 
• 标准要求
 
3.2.2.1 鉴别与授权
 
鉴别与授权要求包括：



3.2.2.2 入侵防范
 
入侵防范要求包括：



3.2.2.3 自动化工具
 


• 关键点总结
 
（1）动态身份鉴别、多因子身份鉴别
 
目前在网络环境下实现的身份鉴别大多采用“用户名+口令”方式，这种方存在诸多不安全隐患，如弱口令猜解、密码暴力破解等，可通过OTP等认证方式或双因子KEY等实物实现动态身份鉴别或多因子身份鉴别，提高重要业务操作、重要用户操作或异常用户操作的身份鉴别安全能力。


 
（2）基于安全标记等技术实现访问控制
 
基于安全标记的访问控制具有强制性，访问控制策略（含安全标记）应由授权主体配置，属于强制访问控制机制。应采取强制访问控制技术对主体（如用户、进程）及其所操作的客体（如：进程、文件等）进行安全标记，这些标记是实施强制访问控制的依据，系统通过比较主体和客体的安全标记来判断一个主体是否能够访问其要操作的客体。此项安全要求可通过具有强制访问控制功能的工控主机加固系统实现。
 
（3）高级可持续威胁（APT）
 
黑客攻击手段从传统的随机病毒、木马感染及网络攻击，到近来的利用社交工程、各种零日漏洞以及高级逃逸技术（AET）发起的有针对性的APT（高级持续性威胁）攻击，具有高级化、组合化、长期化等特点，并且能够轻易绕过传统的安全检测和防御体系。关键信息基础设施中应部署APT检测系统等具备未知攻击检测能力的设备，对网络中的南北流量/东西流量进行全面深度威胁检测与溯源分析，对检测及防御APT攻击起到关键作用。 （4）自动化工具
 
自动化工具通过使用人工智能和机器学习等技术，以机器速度审查威胁情报，补丁管理将专注于自动化，特别是自动化安全漏洞检测及扫描过程。此项要求基于资产的全面自动化智能管理措施，结合网络安全威胁情报，开展威胁分析和态势研判，及时发现资产面临的威胁和风险，实现对资产的精准防护。
 
04小结
 
本文全面梳理关保安全防护的等保合规建设方面和技术措施要求方面关键点，并提出安全防护产品及服务建议。
附表 ：关键信息基础设施安全防护产品及服务建议