2022年10月12日,市場監管總局(標準委)發布公告,批準國家標準——GB/T 39204 2022《信息安全技術 關鍵信息基礎設施安全保護要求》(以下簡稱《要求》)正式發布,并將于2023年5月1日實施。《要求》的正式發布,也標志著綢繆8年的關鍵信息基礎設施安全保護(簡稱關保)工作正式拉開帷幕。

長揚科技依托于自身沉淀多年的行業標準解讀和實踐落地經驗,從關鍵信息基礎設施運營者的角度,對本次《要求》發布的內容做出以下深度解讀。

1《要求》保護框架總體分析

《要求》共計11章節,111條的內容,明確了關鍵信息基礎設施安全保護工作的六個主要內容及活動,具體包括分析識別、安全防護、檢測評估、監測預警、主動防御和事件處置,從而指導運營者對關鍵信息基礎設施進行全生命周期的安全保護工作。其框架如下圖所示:

圖 1 關鍵信息基礎設施網絡安全保護要求框架

根據近年對《要求》的關注、探索和分析,長揚科技發現,“關鍵信息基礎設施網絡安全保護工作指導框架”經歷了三個階段的調整,最終明確形成了六個主要活動。六個主要活動覆蓋了關鍵信息基礎設施安全保護的全生命周期,幫助運營者從關基的識別認定、強化安全防護,到對運營可能存在的網絡安全風險進行檢測評估、并實行常態化監測預警,同時以監測發現的攻擊行為為基礎,進行攻防演練,提升主動防御能力和事件閉環處置能力,確保了關鍵信息基礎設施關鍵業務穩定和持續運行。

近年關鍵信息基礎設施網絡安全保護各環節版本變化情況如下圖所示:

圖 2 近年關鍵信息基礎設施網絡安全保護各環節版本變化情況

2《要求》三大保護原則分析

“三大保護原則”標志著我國網絡安全工作正式邁進體系化建設新階段。我國的關鍵信息基礎設施安全保護工作以“關鍵業務為核心的整體防控、風險管理為導向的動態防護、信息共享為基礎的協同聯防”作為三大基本原則。在等級保護制度的基礎上,施行重點保護,構建關鍵信息基礎設施安全防護體系。重點保護主要體現在兩方面,第一是明確重點行業和領域(8大行業:公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業);第二是明確重點保護對象(增加了關鍵業務、關鍵業務鏈、數據安全、供應鏈安全等對象)。

以下是對三大保護原則的解讀:

整體防控:將六大活動實現統一的整合和閉環管理,形成整體安全防控體系,加強關鍵業務運行所涉及的各類信息的整體安全態勢分析,包括業務所涉及系統的相關聯的資產、脆弱性、威脅等內容,形成整體防控能力。

動態防護:根據關鍵信息基礎設施所面臨的安全威脅態勢進行持續監測 和安全控制措施的動態調整,形成動態的安全防護機制,及時有效地防范應對安全風險。通過引入自動化技術和工具,實現實時監測、通報預警、事件處置、指揮調度,形成立體化網絡安全動態監測能力。