國家標(biāo)準(zhǔn)《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》預(yù)計年內(nèi)實施

背景

2017年是我國關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure，CII）保護工作取得顯著進展的一年?！毒W(wǎng)絡(luò)安全法》、《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》等提出建立關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度；中央網(wǎng)信辦發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》，明確了關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍，并提出進一步的安全保護要求。

2017年以來，我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護標(biāo)準(zhǔn)體系開始布局。為確保標(biāo)準(zhǔn)體系建設(shè)的合理性、科學(xué)性，全國信安標(biāo)委組織多次專家研討會，厘清了關(guān)鍵信息基礎(chǔ)設(shè)施安全各標(biāo)準(zhǔn)之間的關(guān)系與定位，已立項的標(biāo)準(zhǔn)包括：

1.《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》。該標(biāo)準(zhǔn)規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架，說明構(gòu)成框架的基本要素及其關(guān)系，定義基本、通用的術(shù)語。

2.《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》。該標(biāo)準(zhǔn)規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護在識別認(rèn)定、安全防護、檢測評估、監(jiān)測預(yù)警、應(yīng)急處置等環(huán)節(jié)的基本要求。

3.《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》。該標(biāo)準(zhǔn)作為《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》的配套標(biāo)準(zhǔn)，根據(jù)要求提出相應(yīng)控制措施，運營者開展網(wǎng)絡(luò)安全保護工作時可在該標(biāo)準(zhǔn)中選取適用的控制措施。

4.《關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南》。該標(biāo)準(zhǔn)主要依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》的相關(guān)要求，明確關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估的目的、流程、內(nèi)容和結(jié)果。

5.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》。該標(biāo)準(zhǔn)規(guī)范了用于評價關(guān)鍵信息基礎(chǔ)設(shè)施安全保障水平的指標(biāo)，并給出釋義，基于檢查評估結(jié)果、日常安全監(jiān)測等情況給出評價結(jié)果。

2019年12月初，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處在北京組織召開了國家標(biāo)準(zhǔn)《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》（報批稿）（以下簡稱《要求》）試點工作啟動會。

預(yù)計《要求》將在2020年內(nèi)正式實施。（在此之前，《要求》經(jīng)歷了征求意見稿，當(dāng)前是報批稿）

范圍

我們先來看看《要求》正文內(nèi)容。首先是范圍，主要是有關(guān)CII的識別認(rèn)定、安全防護、檢測評估、監(jiān)測預(yù)警和事件處置等幾個環(huán)節(jié)。也就是說，涉及：

關(guān)保認(rèn)定（包括等級保護工作在內(nèi)）相關(guān)工作

基于等保2.0，高于等保的安全防護能力

年度測評和國家安全檢查工作

安全事件的監(jiān)測預(yù)警工作

應(yīng)急響應(yīng)工作（應(yīng)急團隊、技術(shù)工具、演練和護網(wǎng)等）

這些工作將貫穿整個CII的聲明周期：規(guī)劃設(shè)計、開發(fā)建設(shè)、運行維護、退役廢棄等階段。

從標(biāo)準(zhǔn)中所應(yīng)用的文件來看，主要還是基于《GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》和《GB/T22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》，也就是說基于等保但高于等保的要求。說直白寫，等保三級的要求是基準(zhǔn)，必須做到，但不代表你就合格了，此外還要符合關(guān)保中的部分額外要求，這樣才算合格合規(guī)。

《要求》中對CII的定義如下：公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的信息設(shè)施。

可見，基本涵蓋所有重要行業(yè)和有關(guān)民生的系統(tǒng)。

原則

還記得等保中提出的“三同步”么？即同步規(guī)劃、同步建設(shè)、同步運行。我們來看下，關(guān)保所要求的保護原則是什么？

重點保護是指關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護應(yīng)首先符合網(wǎng)絡(luò)安全等級保護政策及 GB/T 22239-2019等標(biāo)準(zhǔn)相關(guān)要求，在此基礎(chǔ)上加強關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)的安全保護。

整體防護是指基于關(guān)鍵信息基礎(chǔ)設(shè)施承載的業(yè)務(wù)，對業(yè)務(wù)所涉及的多個網(wǎng)絡(luò)和信息系統(tǒng)（含工業(yè)控制系統(tǒng)）等進行全面防護。

動態(tài)風(fēng)控是指以風(fēng)險管理為指導(dǎo)思想，根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全風(fēng)險對其安全控制措施進行調(diào)整，以及時有效的防范應(yīng)對安全風(fēng)險。

協(xié)同參與是指關(guān)鍵信息基礎(chǔ)設(shè)施安全保護所涉及的利益相關(guān)方，共同參與關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護工作。

怎么來看呢，從個人的理解來說是這樣的，重點防護主要還是基于業(yè)務(wù)的，而且離不開等保2.0，這是網(wǎng)絡(luò)安全工作的基線。

關(guān)保不同于等保，對象是CII，而非信息系統(tǒng)。這就可能存在著一個CII上承載著多個信息系統(tǒng)，安全防護的方位就要覆蓋每一個系統(tǒng)，可能會優(yōu)先保障關(guān)鍵業(yè)務(wù)系統(tǒng)，但同時也要做好其他系統(tǒng)的防護工作，尤其是安全隔離。尤其是各系統(tǒng)之間可以互相訪問的情況，那就要像對于關(guān)鍵業(yè)務(wù)系統(tǒng)一樣，對其他系統(tǒng)一視同仁，采用同樣的防護等級。

對于CII提出了動態(tài)風(fēng)控的要求，這里主要強調(diào)的是業(yè)務(wù)風(fēng)險，這部分不是我們的強項，也就不胡說八道了。但是有關(guān)風(fēng)險評估，要提一下。風(fēng)評本身就是一個類似PDCA的循環(huán)周期，旨在不斷發(fā)現(xiàn)問題，修復(fù)問題，調(diào)整策略。我們開展風(fēng)評不是為了應(yīng)付監(jiān)管或是為了績效走個過場。相關(guān)方應(yīng)根據(jù)自家業(yè)務(wù)和系統(tǒng)的特性，制定自己的風(fēng)評檢查用例，不要總是拿著等保那一套東西，堅持原則，100年不動搖。這在安全領(lǐng)域是不可行的。雖說等保2.0剛剛頒布不久，就目來看，標(biāo)準(zhǔn)要求還可以，但不代表3年后這些用例仍然適合你的系統(tǒng)，要知道，國家標(biāo)準(zhǔn)不會在短期內(nèi)進行更新的，等保1.0和等保2.0之間相距了11年。

協(xié)同參與，有點類似云平臺的責(zé)任共擔(dān)原則。對于CII的安全保護，除了運營者（是的，無論如何，最終責(zé)任人終歸是運營方）之外，包括安全廠商、供應(yīng)商、監(jiān)管機構(gòu)都有一定連帶責(zé)任。以往，企業(yè)把這套系統(tǒng)遷移到云上，買了安全服務(wù)，那么有關(guān)安全的所有問題和責(zé)任都有云服務(wù)商和安全廠商來承擔(dān)，這種做法對于CII并不適用。能夠承建CII的企業(yè)，想必應(yīng)該都是大中型企業(yè)，我相信如果想做都是能做好的。

主要環(huán)節(jié)

關(guān)鍵信息基礎(chǔ)設(shè)施運營者負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施的運行、管理，對關(guān)鍵信息基礎(chǔ)設(shè)施安全負(fù)主體責(zé)任，履行網(wǎng)絡(luò)安全保護義務(wù)，接受政府和社會監(jiān)督，承擔(dān)社會責(zé)任。

識別認(rèn)定：運營者配合保護工作部門，按照相關(guān)規(guī)定開展關(guān)鍵信息基礎(chǔ)設(shè)施識別和認(rèn)定活動，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù)，開展業(yè)務(wù)依賴性識別、風(fēng)險識別等活動。

本環(huán)節(jié)是開展安全防護、檢測評估、監(jiān)測預(yù)警、事件處置等環(huán)節(jié)工作的基礎(chǔ)。

有點類似于等保定級外加風(fēng)險評估工作。因為涉及到業(yè)務(wù)、資產(chǎn)、風(fēng)險等的識別活動。

安全防護：運營者根據(jù)已識別的安全風(fēng)險，實施安全管理制度、安全管理機構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計算環(huán)境、安全建設(shè)管理、安全運維管理等方面的安全控制措施，確保關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全。本環(huán)節(jié)在識別關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險的基礎(chǔ)上制定安全防護措施。

這塊就回到了基于等保實施防護工作，由于目前CII相關(guān)配套標(biāo)準(zhǔn)和要求不夠完善，外加等保2.0作為國家網(wǎng)絡(luò)安全對于企業(yè)的基線要求，在未來一段時期內(nèi)，仍會通過等保標(biāo)準(zhǔn)來開展部分關(guān)保工作。

檢測評估：為檢驗安全防護措施的有效性，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險隱患，運營者制定相應(yīng)的檢測評估制度，確定檢測評估的流程及內(nèi)容等要素，并分析潛在安全風(fēng)險可能引起的安全事件。

企業(yè)安全自查和風(fēng)險評估（包括風(fēng)控在內(nèi)）的工作，雖說監(jiān)管方面要求一年至少一次，但大家還是根據(jù)實際情況來決定。比如今年風(fēng)評做完后，對于不可接受風(fēng)險進行了修復(fù)，沒過多久系統(tǒng)又被黑了，這就需要再次對企業(yè)的系統(tǒng)進行更細(xì)致的評估。

監(jiān)測預(yù)警：運營者制定并實施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，針對即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時發(fā)出安全警示。

安全監(jiān)控平臺或者SOC一類的平臺，畢竟目前不是每家企業(yè)都有阿里那種安全團隊和響應(yīng)能力的，如今的態(tài)勢感知平臺和AI還不夠成熟，所以，還是小心為上，嚴(yán)管權(quán)限，最小安裝，將暴露面盡可能減小。經(jīng)常梳理和監(jiān)控企業(yè)IT資產(chǎn)，不需要聯(lián)網(wǎng)的就不要聯(lián)，沒有業(yè)務(wù)相關(guān)的資產(chǎn)盡量邏輯隔離，做好安全域劃分。時常開展安全意識培訓(xùn)和技能培訓(xùn)，有獎有罰。

事件處置：對網(wǎng)絡(luò)安全事件進行處置，并根據(jù)檢測評估、監(jiān)測預(yù)警環(huán)節(jié)發(fā)現(xiàn)的問題，運營者制定并實施適當(dāng)?shù)膽?yīng)對措施，恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

這里講求的是兩個方面，一是對于事件的發(fā)現(xiàn)和上報流程，二是對于事件的處置和恢復(fù)生產(chǎn)能力。此外，結(jié)合等保2.0要求，除了業(yè)務(wù)連續(xù)性方面的應(yīng)急預(yù)案外，還要準(zhǔn)備數(shù)據(jù)泄露方面的應(yīng)急預(yù)案。