工控網(wǎng)首頁(yè)
>

應(yīng)用設(shè)計(jì)

>

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》正式發(fā)布,你不得不了解的相關(guān)知識(shí)

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》正式發(fā)布,你不得不了解的相關(guān)知識(shí)

一、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》正式發(fā)布

10月12日,國(guó)家市場(chǎng)監(jiān)督管理總局(國(guó)家標(biāo)準(zhǔn)化管理委員會(huì))官網(wǎng)(http://www.sac.gov.cn)發(fā)布公告,國(guó)家市場(chǎng)監(jiān)督管理總局批準(zhǔn)發(fā)布《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(以下簡(jiǎn)稱(chēng)“關(guān)?!保℅B/T 39204-2022)推薦性國(guó)家標(biāo)準(zhǔn),該標(biāo)準(zhǔn)將于2023年5月1日正式實(shí)施。11月7日,市場(chǎng)監(jiān)管總局標(biāo)準(zhǔn)技術(shù)司、中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局、公安部網(wǎng)絡(luò)安全保衛(wèi)局在京聯(lián)合召開(kāi)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》國(guó)家標(biāo)準(zhǔn)發(fā)布宣貫會(huì)。

關(guān)鍵信息基礎(chǔ)設(shè)施要求1.png

作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)體系的構(gòu)建基礎(chǔ),本次發(fā)布的安全標(biāo)準(zhǔn)是自去年2021年7月30日發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以來(lái)頒發(fā)的第一個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)的國(guó)家標(biāo)準(zhǔn)。

二、標(biāo)準(zhǔn)規(guī)范對(duì)象

本標(biāo)準(zhǔn)適用于指導(dǎo)運(yùn)營(yíng)者對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全生存周期安全保護(hù),也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方參考使用。

關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

三、主要內(nèi)容

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)體系中的7個(gè)核心標(biāo)準(zhǔn)之一,屬于安全保護(hù)類(lèi)標(biāo)準(zhǔn),針對(duì)CII安全保護(hù)需求,其中提出了以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)3項(xiàng)基本原則,從分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等六個(gè)方面提出了111條安全要求,為運(yùn)營(yíng)者開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作需求提供了強(qiáng)有力的標(biāo)準(zhǔn)保障。

3.1三項(xiàng)安全保護(hù)基本原則

以關(guān)鍵業(yè)務(wù)為核心的整體防控

關(guān)保的對(duì)象主要是關(guān)鍵信息設(shè)施,主要是由站場(chǎng)自控系統(tǒng)、分控中心、主調(diào)控中心、備調(diào)控中心等相互之間組成的工業(yè)控制網(wǎng)絡(luò),涉及生產(chǎn)控制網(wǎng)、視頻監(jiān)控網(wǎng)、安全監(jiān)控網(wǎng)、無(wú)線網(wǎng)絡(luò)等多個(gè)網(wǎng)絡(luò)和信息系統(tǒng),因此對(duì)關(guān)基的防護(hù)要覆蓋到業(yè)務(wù)(業(yè)務(wù)鏈)上的每個(gè)系統(tǒng),因此要以防控關(guān)鍵業(yè)務(wù)為核心。

以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)

風(fēng)險(xiǎn)管理從預(yù)測(cè)、防御、檢測(cè)、響應(yīng)四個(gè)維度出發(fā),強(qiáng)調(diào)安全防護(hù)是一個(gè)持續(xù)處理循環(huán)的過(guò)程,需要以風(fēng)險(xiǎn)閉環(huán)管理機(jī)制對(duì)安全威脅進(jìn)行實(shí)時(shí)動(dòng)態(tài)分析,自動(dòng)適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境,并不斷優(yōu)化安全防御策略。

以信息共享為基礎(chǔ)的協(xié)同聯(lián)防

在數(shù)字化、智慧化發(fā)展趨勢(shì)下,關(guān)鍵信息基礎(chǔ)設(shè)施逐漸從彼此孤立向數(shù)據(jù)互通、系統(tǒng)互聯(lián)的數(shù)字運(yùn)營(yíng)方向發(fā)展,所涉及的利益相關(guān)方都應(yīng)積極主動(dòng)地參與到關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)工作中。

3.2六方面主要內(nèi)容及活動(dòng)

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)包括分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置六個(gè)方面,這六方面無(wú)固定先后順序,同等重要。

分析識(shí)別

關(guān)鍵信息設(shè)施運(yùn)營(yíng)者相關(guān)部門(mén),圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù),開(kāi)展業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、風(fēng)險(xiǎn)識(shí)別、重大變更等活動(dòng),是六方面活動(dòng)的基礎(chǔ)。

安全防護(hù)

關(guān)鍵信息設(shè)施運(yùn)營(yíng)者根據(jù)已識(shí)別的關(guān)鍵業(yè)務(wù)、資產(chǎn)、安全風(fēng)險(xiǎn),在安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全建設(shè)管理、安全運(yùn)維管理等方面實(shí)施安全管理和技術(shù)保護(hù)措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。本活動(dòng)在識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)的基礎(chǔ)上制定相應(yīng)的安全防護(hù)措施。

檢測(cè)評(píng)估

采用自行、委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、抽查監(jiān)測(cè)等方式檢驗(yàn)安全防護(hù)措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患,運(yùn)營(yíng)者應(yīng)制定對(duì)應(yīng)的檢測(cè)評(píng)估制度,確定檢測(cè)評(píng)估的流程及內(nèi)容等,開(kāi)展安全檢測(cè)與風(fēng)險(xiǎn)隱患評(píng)估,分析潛在安全風(fēng)險(xiǎn)可能引發(fā)的安全事件。

監(jiān)測(cè)預(yù)警

運(yùn)營(yíng)者需要制定并實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,監(jiān)測(cè)關(guān)鍵業(yè)務(wù)所涉及的系統(tǒng),并針對(duì)發(fā)生的網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)的網(wǎng)絡(luò)安全威脅,提前或及時(shí)發(fā)出安全警示。建立威脅情報(bào)和信息共享機(jī)制,落實(shí)相關(guān)措施,提高關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)現(xiàn)攻擊并預(yù)警的能力。

主動(dòng)防御

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以監(jiān)測(cè)到的攻擊行為為基礎(chǔ),主動(dòng)采取收斂暴露面、誘捕、溯源、干擾和阻斷等措施,開(kāi)展攻防演習(xí)和威脅情報(bào)工作,提升關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)網(wǎng)絡(luò)威脅與攻擊行為的識(shí)別、分析和主動(dòng)防御能力。

事件處置

運(yùn)營(yíng)者對(duì)網(wǎng)絡(luò)安全事件進(jìn)行報(bào)告和處置,并根據(jù)檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警等發(fā)現(xiàn)的不足采取適當(dāng)?shù)膽?yīng)對(duì)措施,恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù),并在必要時(shí)重新開(kāi)啟分析識(shí)別活動(dòng)。

四、新形勢(shì)下,關(guān)鍵信息基礎(chǔ)設(shè)施面臨著嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)安全形勢(shì)

4.1關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件頻發(fā)

2010年伊朗布什爾核電站遭“震網(wǎng)”病毒攻擊,導(dǎo)致核電站數(shù)千部離心機(jī)被燒毀,放射性物質(zhì)泄漏。

2013年棱鏡事件,曝露出各國(guó)國(guó)家核心數(shù)據(jù)安全均遭嚴(yán)重威脅。

2014年俄烏網(wǎng)絡(luò)戰(zhàn),導(dǎo)致整個(gè)克里米亞地區(qū)陸上通訊、移動(dòng)通信和網(wǎng)絡(luò)服務(wù)被中斷。

2015年圣誕節(jié)前夕,烏克蘭伊萬(wàn)諾.弗蘭科夫斯克州大規(guī)模停電,數(shù)萬(wàn)“災(zāi)民”不得不在嚴(yán)寒中煎熬。

2019年委內(nèi)瑞拉停電事件,導(dǎo)致社會(huì)嚴(yán)重動(dòng)蕩。

2021年河南暴雨災(zāi)害期間,大量基站遭受洪水沖擊導(dǎo)致通訊癱瘓,應(yīng)急管理部緊急調(diào)派無(wú)人機(jī)作為“空中基站”。

4.2風(fēng)險(xiǎn)與挑戰(zhàn)

我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)面臨的風(fēng)險(xiǎn)和挑戰(zhàn)主要為四個(gè)方面。

高等級(jí)網(wǎng)絡(luò)攻擊威脅

隨著網(wǎng)絡(luò)戰(zhàn)略威懾日益升級(jí),各國(guó)均加強(qiáng)網(wǎng)軍建設(shè),高等級(jí)攻擊入侵控制、竊密,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全構(gòu)成嚴(yán)重威脅。

大型黑客組織威脅

部分黑客組織頻繁持續(xù)對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)、重要系統(tǒng)等進(jìn)行攻擊,直接威脅我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全。

新技術(shù)新應(yīng)用雙刃劍效應(yīng)

隨著5G移動(dòng)通信及云計(jì)算、大數(shù)據(jù)、AI等技術(shù)在各行業(yè)的廣泛應(yīng)用,關(guān)系國(guó)計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施更易成為網(wǎng)絡(luò)攻擊的高價(jià)值目標(biāo)。

供應(yīng)鏈安全挑戰(zhàn)

隨著網(wǎng)絡(luò)產(chǎn)品集成度的不斷提升和供應(yīng)鏈全球化大分工的不斷加深,關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全風(fēng)險(xiǎn)面臨著嚴(yán)峻的挑戰(zhàn)。

事實(shí)證明,關(guān)鍵信息基礎(chǔ)設(shè)施一旦遭到攻擊破壞或數(shù)據(jù)泄漏,將嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、經(jīng)濟(jì)發(fā)展。同時(shí),也在警示我們,關(guān)鍵信息基礎(chǔ)設(shè)施安全問(wèn)題不可一日不防。

五、實(shí)施意義

關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)是國(guó)家網(wǎng)絡(luò)安全工作的重中之重?!蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》落實(shí)了鍵信息基礎(chǔ)設(shè)施安全保護(hù)以網(wǎng)絡(luò)安全等級(jí)保護(hù)制度為基礎(chǔ)這一要求,與我國(guó)的網(wǎng)絡(luò)安全整體形勢(shì)以及鍵信息基礎(chǔ)設(shè)施安全需求相適應(yīng),必將助力關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè),推動(dòng)我國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略實(shí)施、數(shù)字經(jīng)濟(jì)穩(wěn)健發(fā)展!

審核編輯(
王靜
)
投訴建議

提交

查看更多評(píng)論
其他資訊

查看更多

一站式全覆蓋|安盟信息助力建設(shè)云密碼服務(wù)運(yùn)營(yíng)體系

商用密碼產(chǎn)品|服務(wù)器密碼機(jī)的前世今生

創(chuàng)新商用密碼應(yīng)用|火力發(fā)電廠信息系統(tǒng)密碼應(yīng)用方案

攜手共赴未來(lái) 護(hù)航數(shù)智發(fā)展 新奧集團(tuán)與安盟信息簽署戰(zhàn)略合作

智慧礦山無(wú)人礦車(chē)密碼應(yīng)用解決方案