簡析《關鍵資訊基礎設施安全保護要求》及其對網路安全產業的影響

綠盟科技發表於2022-11-15

根據2022年10月28日國家市場監督管理總局、國家標準化管理委員會釋出的中華人民共和國國家標準公告(2022年第14號),全國資訊保安標準化技術委員會歸口的國家標準《資訊保安技術 關鍵資訊基礎設施安全保護要求》(GB/T 39204-2022)(以下簡稱《保護要求》)於2022年11月7日正式釋出,實施日期為2023年5月1日。

《保護要求》旨在落實《網路安全法》《關鍵資訊基礎設施安全保護條例》(以下簡稱《關基條例》)關於保障關鍵資訊基礎設施安全的有關規定,對關鍵資訊基礎設施運營者開展網路安全保護工作提出相關規範。本文對《保護要求》制定的歷程、主要內容等進行研究梳理,並簡要分析其對網路安全產業的影響。

一、標準制定歷程

《保護要求》歷經五年多正式出臺,制定過程大致可分為四個階段:一是形成標準草案,2017年3月,編制組形成《資訊保安技術 關鍵資訊基礎設施網路安全保護基本要求》(以下簡稱《基本要求》)標準草案,並提交全國資訊保安標準化委員會(以下簡稱信安標委)正式立項。二是廣泛徵求意見,2018年6月,信安標委就編制組根據專家意見形成的《基本要求》(徵求意見稿)面向社會公開徵求意見。三是開展試點工作,2019年12月,信安標委組織開展《基本要求》(報批稿)釋出前的試點驗證工作,選取電信、能源、交通等重點行業和領域的12家單位作為標準應用試點單位,以驗證《基本要求》標準內容的合理性和可操作性。四是正式釋出標準,2022年11月,更名後的《資訊保安技術 關鍵資訊基礎設施安全保護要求》國家標準正式釋出,並將於2023年5月1日正式實施。

《保護要求》是我國在關鍵資訊基礎設施領域正式出臺的首個國家標準。目前信安標委將開展的標準專案分為制定、修訂、研究三種型別。根據不完全統計,信安標委在關鍵資訊基礎設施方面共開展了14項標準專案,其中包括9項標準制定專案和5項標準研究專案。詳見下表。


表1 關鍵資訊基礎設施相關標準制定與研究專案

簡析《關鍵資訊基礎設施安全保護要求》及其對網路安全產業的影響



二、標準主要內容

《保護要求》明確了關鍵資訊基礎設施安全保護的適用物件、基本原則和具體要求等內容,具體分析如下。

(一)適用物件

《保護要求》的適用物件分為兩類:一是關鍵資訊基礎設施運營者,適用於指導其對關鍵資訊基礎設施進行全生存週期安全保護;二是其他相關方,如主管部門、監督管理部門等,適用於其開展關鍵資訊基礎設施安全保護工作時參考使用。

(二)基本原則

《保護要求》規定了關鍵資訊基礎設施保護工作的三大基本原則。一是整體防控。要以保護關鍵業務為目標,對業務所涉及的一個或多個網路和資訊系統進行體系化安全設計,構建整體安全防控體系;二是動態防護。要根據面臨的安全威脅態勢進行持續監測和安全控制措施的動態調整,形成動態的安全防護機制;三是協同聯防。要積極構建相關方廣泛參與的資訊共享、協同聯動的共同防護機制,提升關鍵資訊基礎設施應對大規模網路攻擊能力。

(三)具體要求

《保護要求》進一步細化了《關基條例》中關鍵資訊基礎設施運營者在建設管理、安全審查、事件報告、檢查配合等方面的責任義務,從關鍵資訊基礎設施全生存週期的角度提出了具體防護要求,包括分析識別、安全防護、檢測評估、監測預警、主動防禦、事件處置等6類27項。主要內容如下表所示。


表2 《關鍵資訊基礎設施安全保護要求》中規定的關基運營者責任義務

圖片


三、內容要求思考


從內容要求來看,關鍵資訊基礎設施安全保護制度在網路安全等級保護制度的基礎上,進一步突出了保護重點,並強化了保護措施。一方面,關鍵資訊基礎設施安全保護應首先符合網路安全等級保護制度相關要求。從《保護要求》行文上也可以看出,關鍵資訊基礎設施安全保護的總體建設思路與網路安全等級保護制度的“三化六防”中的“整體防控”、“動態防禦”、“聯防聯控”等理念一脈相承。另一方面,應在滿足“合規性”防護的基礎上,應重點加強關鍵資訊基礎設施關鍵業務的風險識別、監測預警、主動防禦等方面能力建設,確保關鍵資訊基礎設施業務持續穩定執行。


四、產業影響分析


《保護要求》的頒佈,對於網路安全產業在關鍵資訊基礎設施領域的發展具有重要推動作用,主要體現在以下三個方面。

一是加強關鍵資訊基礎設施安全技術創新。大力發展相關網路安全技術,包括但不限於:關鍵資訊基礎設施安全風險感知和識別技術、關鍵資訊基礎設施系統漏洞檢測技術、關鍵資訊基礎設施資料標識和管理技術、關鍵資訊基礎設施網路威脅溯源和取證技術等。二是加快完善關鍵資訊基礎設施安全產品和方案體系。需要儘快建立健全關鍵資訊基礎設施網路安全產品體系,重要產品包括但不限於:關鍵資訊基礎設施安全評估產品、關鍵資訊基礎設施安全檢測產品、關鍵資訊基礎設施安全增強防護產品、關鍵資訊基礎設施安全執行監測平臺等。三是加快完善關鍵資訊基礎設施安全服務體系。從關鍵資訊基礎設施保護所需的網路安全服務體系來看,關鍵服務型別包括但不限於:關鍵資訊基礎設施安全應急處置服務、關鍵資訊基礎設施安全演練服務、關鍵資訊基礎設施安全教育培訓服務、關鍵資訊基礎設施安全一體化運營服務等。

《保護要求》的頒佈及實施,是我國關鍵資訊基礎設施安全保護工作的重要一環。綠盟科技深耕網路安全領域二十餘年,將繼續秉承“專攻術業,成就所託”的宗旨,務實創新,為加強國家關鍵資訊基礎設施安全保障體系和能力建設作出更大貢獻。


相關文章