为保障关键信息基础设施安全,维护网络安全,2021年7月30日,前国务院总理李克强签署第745号国务院令,公布《关键信息基础设施安全保护条例》(以下简称《关基保护条例》),自2021年9月1日起施行。
2022年10月12日,国家市场监督管理总局批准发布GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关基保护要求》),该标准将于2023年5月1日正式实施。《关基保护要求》是《关基保护条例》施行以来发布的第一个关键信息基础设施安全保护相关的国家标准,标志着对关键信息基础设施的安全防护工作进入新的阶段。
日前,我们发布了《关键信息基础设施安全防护工作关键点总结》,总结了关键信息基础设施的等保合规建设和技术措施要求关键点,本文将进一步分析《关基保护要求》管理措施要求和强化全局安全防护两方面内容的防护工作关键点。
图 1关保安全防护要求分类
02安全防护关键点
2.1 管理措施要求方面
2.1.1 安全管理制度
• 标准要求
安全管理制度要求包括:
• 关键点总结
(1)制定网络安全保护计划
《等级保护要求》对管理制度和安全策略提出了基础要求,《关基保护要求》在其基础上对管理制度和安全策略提出了动态调整的要求,有效支撑动态防御安全建设。
《关基保护要求》新增制定网络安全保护计划,定期对网络安全保护计划的合理性和适用性进行论证和审定,对存在不足或需要改进的网络安全保护计划进行修订,可有效健全本组织的安全管理制度,指导关键信息基础设施运营者与时俱进的开展安全建设工作。
2.1.2 安全管理机构
• 标准要求
安全管理机构要求包括:
• 关键点总结
(1)首席网络安全官
相比之前的监管要求,《关基保护要求》在安全管理机构方面,新增了成立网络安全工作委员会或领导小组,并明确提出了将领导班子成员作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作的要求。
表1《关基保护要求》安全管理机构对比《等级保护要求》
(2)专门的网络安全管理机构
安全管理机构为运营者提供网络安全保障,是运营者网络安全生存发展的基础,因此要设置专门的网络安全管理机构,明确机构负责人及岗位,建立并实施网络安全考核及监督问责机制。同时,还要明确网络安全管理责任人,保障运营者的网络安全,有效防范和减少网络安全事故的发生。
2.1.3 安全管理人员
• 标准要求
安全管理人员要求包括:
• 关键点总结
(1)安全背景审查
为了防止关键信息基础设施存储、处理的数据资源被窃取、泄露从而危害国家和社会安全,须对专门安全管理机构负责人和关键岗位人员安全背景审查,开展安全背景审查可申请公安机关、国家安全机关协助,如《关基保护条例》第十四条规定“运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。”符合安全背景审查要求的安全管理机构负责人和关键岗位人员方能上岗。
(2)网络安全教育培训
《关基保护要求》响应《中华人民共和国网络安全法》第三十四条、《关基保护条例》第十五条(五)规定,要求定期对关键信息基础设施从业人员进行网络安全教育、技术培训和技能考核,每人每年教育培训时长不得少于30个学时。
(3)签订安全保密协议
运营者与关键信息基础设施从业人员明确安全保密职责和义务,签订安全保密协议,可以约束从业人员不得随意泄漏保密内容,防止人为泄密。
2.1.4 安全建设管理
• 标准要求
• 关键点总结
(1)“三同步”
网络安全技术措施与关键信息基础设施主体工程同步规划、同步建设、同步使用的“三同步”要求对应《中华人民共和国网络安全法》第三十三条、《关基保护条例》第十二条内容,在系统生命周期各阶段明确责任部门及安全职责,在全过程中推行安全建设同步开展,强化安全工作前移,降低运维阶段的服务压力。
“三同步”的具体要求包括:
• 一是项目设计单位在编制项目设计文件时就要编制安全技术措施的设计文件;
• 二是在编制项目投资计划时就要将安全技术措施所需经费纳入预算;
• 三是施工单位应严格按照安全技术措施设计施工;
• 四是项目验收时要对安全技术措施进行调试、验收;
• 五是安全技术措施应与主体工程同时投入使用。
2.1.5安全运维管理
• 标准要求
安全运维管理要求包括:
• 关键点总结
(1)境内运维
关键信息基础设施的全部运营、维护、技术支持都必须在境内实施,若需要境外远程访问、维护、调试等操作的,应符合我国相关规定。
(2)签订安全保密协议
运营者与关键信息基础设施运维人员明确安全保密职责和义务,签订安全保密协议,可以约束运维人员不得随意泄漏保密内容,防止人为泄密。
2.2 强化全局安全防护方面
2.2.1 供应链安全保护
• 标准要求
供应链安全保护要求包括:
• 关键点总结
国家深刻意识到建立安全可靠的关键信息基础设施供应链事关国家产业安全、经济安全和社会长治久安。2020年4月27日,国家互联网信息办公室等12个部门联合发布了《网络安全审查办法》,要求关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。审查办法作为落实《网络安全法》第三十五条提出的网络安全审查制度的重要制度文件,将重点关注关键信息基础设施采购网络产品和服务可能带来的国家安全风险,确保关键信息基础设施供应链安全。
关键信息基础设施供应链安全涉及了网络产品和服务从无到有再到废弃的整个生命周期,不仅包含传统的生产、仓储、销售、交付等供应链环节,还延伸到产品的设计、开发、集成等生命周期,以及交付后的安装、运维等过程。《关基保护要求》针对供应链安全防护的要求,是在保障我国关键信息基础设施供应链安全,维护国家安全的道路上迈出了重要的一步。
(1)供应链安全管理策略与制度
构建和完善供应链安全管理策略与制度体系是关键信息基础设施供应链安全保护的基础,为供应链安全保护提供强有力的支撑依据。通过制定供应链安全管理策略与制度,运营者可以更加全面地了解供应链中存在的风险,并采取相应的措施进行管理和控制,从而降低风险带来的损失。
(2)网络关键设备和网络安全专用产品目录
明确关键信息基础设施需要国家检测认证设备和产品的范围,供应商在提供产品时应注意网络关键设备和网络安全专用产品目录设备必须持有相关国家检测认证,且在有效期内。
本项要求更侧重于设备安全检测,在设备使用前检测可能存在的漏洞,进而对漏洞深入分析并解决可以有效提升设备和产品的安全性。针对设备和产品的安全检测和漏洞发现,漏洞挖掘平台可以通过未知漏洞挖掘、安全性及协议健壮性测试,深度挖掘工控设备或系统的各类已知、未知漏洞,并生成测试报告,清晰定位问题并提供测试报文便于问题回溯,能显著提升系统的安全性。
(3)形成年度采购的网络产品和服务清单
《关基保护要求》在产品服务采购方面也进行了补充和扩展,为运营者提供了更多具体可执行的操作要求,大大增强了采购环节的安全性。年度采购清单可以帮助企业优化供应链,选择合适的供应商,建立长期稳定的合作关系,提高供应链的效率和稳定性。
(4)建立和维护合格供应方目录
选择稳定、有保障的供应方,确保供应商符合采购标准和要求,防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险,保护关键信息基础设施供应链安全稳定。政府大力推动国产化设备的科技创新和研发,着力推动国产化系统建设,通过国产化技术开发,提高产品质量和技术水平,加强供应链的安全建设,更符合国内安全要求并有效保障网络安全。
(5)与网络产品和服务提供者明确安全责任和义务、签订安全保密协议
明确网络产品和服务提供者的安全责任和义务,要求提供者对网络产品和服务的关键点加强管理,要求提供者杜绝非法获取数据、操作系统或谋求不正当利益。与提供者签订安全保密协议,可以约束提供者对网络产品和服务的安全责任意识,明确安全责任和义务,有效降低供应链安全风险。
(6)知识产权
网络产品和服务的提供者对网络产品和服务知识产权要求获得10年以上授权,或在网络产品和服务使用期内获得持续授权,在尊重和保护知识产权的同时,避免因知识产权或授权问题带来困扰,保护供应链中的关键信息不被盗窃或滥用,确保供应链的信息安全。
(7)源代码安全检测
通过源代码安全检测发现代码架构和编码中的安全漏洞,将业务软件的安全风险降低,形成一个安全的软件产品,找出潜在的漏洞和风险,防止供应链中的恶意代码、后门等安全问题对企业造成损失和危害,提高供应链安全性。
2.2.2 数据安全防护
• 标准要求
数据安全防护要求包括:
• 关键点总结
随着互联网科技的迅猛发展,我们已经迎来了数据大爆炸时代,运营者的生产经营活动、个人的私人生活已经与信息化、数据化密不可分,为维护国家主权、国家安全、国家利益以及维护全体公民和组织数据合法权益,我国相继颁布了《网络安全法》、《数据安全法》和《个人信息保护法》,从法律层面保障数据安全。2021年9月1日,数据安全法正式施行,明确规定国家建立数据安全审查制度,2022年2月15日起施行修订后的《网络安全审查办法》,主要目的是进一步保障网络安全和数据安全,维护国家安全。
《关基保护要求》响应了《网络安全法》、《数据安全法》、《个人信息保护法》、《网络安全审查办法》等法律法规,针对关键信息基础设施的数据安全防护提出明确要求,对保障关键信息基础设施网络安全具有重要意义。
(1)数据安全保护计划
近年来,全球数据安全威胁呈现多样化趋势,各类数据泄露、网络攻击、恶意软件、数据贩卖等问题层出不穷,极大危害到网络安全和社会利益,数据安全防护问题在全球范围内引起了广泛关注。
通过建立数据安全管理责任和评价考核制度,制定数据安全保护计划,实施数据安全技术防护等方式,采取必要措施确保数据处于有效保护和合法利用的状态以及具备保障持续安全状态的能力,保证数据生产、存储、传输、访问、使用、销毁、公开等全过程的安全。
(2)数据分类分级
《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。”数据分类分级是数据安全治理的前提,是数据合规最核心的问题。只有对数据进行有效分类分级,才能避免一刀切的控制方式,在数据安全管理上采用更加精细的措施,使数据在共享使用和安全使用之间获得平衡。
(3)境内存储、重要数据和个人信息保护
“境内存储”指个人信息和重要数据存储介质位于中国内地且其存储个人信息不被境外主体以非公开方式读取,此项要求体现了对个人信息和重要数据的重视。境内存储和重要数据保护可以避免因数据跨境传输而被窃取或窜改、避免因数据损坏或丢失而导致数据的不完整、避免因网络问题或其他原因导致数据无法访问,保证数据的保密性、完整性、可用性。
(4)保护敏感数据安全
关键信息基础设施数据资源中往往包含大量的敏感和重要数据,一旦泄露或遭到非法利用,将会给运营者甚至是国家带来无法弥补的损失。想要实现敏感数据资产的保护和管理,可通过数据防泄漏系统对敏感数据流转进行监控审计以及阻断防护,同时重要数据可采取基于敏感内容感知的加密保护,保证数据流转使用过程中的安全。
(5)容灾备份
容灾备份实际上是两个概念,容灾是为了在遭遇灾害时能保证信息系统正常运行,帮助运营者实现业务连续性的目标,备份是为了应对灾难来临时造成的数据丢失问题。容灾备份可通过容灾备份一体机或其他备份设备通过远程镜像、快照和互连等技术,在相隔较远的异地,建立两套或多套功能相同的系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。
(6)数据处理活动全流程保护
在数据安全方面,应参考《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》等法律法规,构建基于数据分类分级的、覆盖数据全生存周期的安全防护体系,可部署数据库审计系统监控数据的多重状态和通信内容,不仅能够对数据库所面临的风险进行多方位的评估,还可以通过审计功能对数据库所有操作进行审计,提供事后追查机制。
03 结语
关键信息基础设施安全防护是在网络安全等级保护制度基础上对关键信息基础设施实行重点保护,根本在于提升运营者的网络安全管控能力和自身的安全保护能力。运营者的网络安全管控能力侧重于关基管理体系机制的构建,而关基自身的安全保护能力侧重于关基应采取的技术措施和管理措施。因此关基运营者应贯彻落实网络安全等级保护制度,建立和完善技术措施和管理措施,构建关键信息基础设施管理体系机制,提升关键信息基础设施的安全防护能力。
附表 :关键信息基础设施安全防护产品及服务建议