深度解读 | 四点五环看关基 安全防护不轻意

发布时间 2020-03-25

关键信息基础设施作为经济社会运行的神经中枢,其网络安全更是重中之重。本文基于对国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)详读,从试点开展、4大要点展示、5大环节、解决方案等方面,让大家更加清晰了解关键信息基础设施的安全防护。


试点开展


2019年12月3日,全国信息安全标准化技术委员会秘书处在北京组织召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动会。


本次试点工作在电信、广电、能源、交通、金融、卫生健康等重点行业和领域选取了12家单位作为标准应用试点单位、8家标准编制单位作为第三方测评机构。来自关键信息基础设施安全防护相关领域的12位行业和地方专家组成标准试点专家组,指导试点工作开展。



4大要点展示


1基本要求范围


?基本要求适用于关键信息基础设施运营者、关键信息基础设施安全保护工作部门、关键信息基础设施安全保护的其他参与者等;


?基本要求规定了关键信息基础设施识别认定、安全防护、检测评估、监测预警、事件处置等5大环节的基本要求;


?基本要求用于关键信息基础设施的规划设计、开发建设、运行维护、退役废弃等4个阶段的安全保护工作。


2安全保护的基本原则


关键信息基础设施的安全保护应遵循重点保护、整体防护、动态风控、协同参与的基本原则,建立网络安全综合防御体系。


?重点保护


指关键信息基础设施网络安全保护应首先符合网络安全等级保护政策及GB/T 22239-2019等标准相关要求,在此基础上加强关键信息基础设施关键业务的安全保护。


?整体防护


指基于关键信息基础设施承载的业务,对业务所涉及的多个网络和信息系统(含工业控制系统)等进行全面防护。


?动态风控


指以风险管理为指导思想,根据关键信息基础设施所面临的安全风险对其安全控制措施进行调整,及时有效防范应对安全风险。


?协同参与


指关键信息基础设施安全保护所涉及的利益相关方,共同参与关键信息基础设施的安全保护工作。


3网络安全等级保护重要性


对关键信息基础设施的保护应符合国家网络安全等级保护制度相关要求,对相关信息系统开展定级备案、相应等级的测评、安全建设、整改及自查工作。


4关键信息基础设施运营者的责任


负责关键信息基础设施的运行、管理,对本组织关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。



五大环节


关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节,在网络安全等级保护之上进行加强防护。


五大环节关系图


此部分对标征求意见稿,“安全防护”部分从制度、管理、技术三个维度8个层面描述了对关键信息基础设施网络安全防护的要求,更贴合网络安全等级保护,涉及内容更为全面、详细、具体;“事件处置”部分也从应急处置变更为现在的事件处置,涉及事件管理制度、应急预案、响应和处置,重新评估四个层面,内容更加完善,要求更加具体。五大环节描述及定位要求如下:


1识别认定


运营者配合保护工作部门,按照相关规定开展关键信息基础设施识别和认定活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础。


2安全防护


运营者根据已识别的安全风险,实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。


3检测评估


为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。


4检测预警


运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。


5事件处置


对网络安全事件进行处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。


启明星辰解决方案


根据网络安全法及关键信息基础设施网络安全保护基本要求,启明星辰设计了关键信息基础设施安全保障体系设计框架。


关键信息基础设施安全保障框架体系


网络安全防护主体是业务系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统等关键信息基础设施,安全保障框架所有安全控制都应以安全方针、策略为安全工作的指导与依据,并在等级保护总体安全策略的基础上,在识别认定、安全防护、检测评估、监测预警、事件处置五个环节上进行加强保护。


等级保护总体安全策略方面主要落实安全管理、安全技术、安全运维三大维度的具体实施与维护,以业务系统的安全运营和管理中心为信息安全保障建设的核心,并辅以风险评估、安全加固、应急响应、安全培训贯穿等级保护安全保障体系的全过程,形成风险可控的关键信息基础设施安全保障框架体系。