关键信息基础设施安全保护要求
关键信息基础设施
一、分析识别
⼆、安全防护
三、检测评估
四、检测预警
五、主动防御
六、事件处置
什么是关键信息基础设施?
安全保护基本原则
⽹络安全等级防护
安全管理制度
安全管理机构
安全管理⼈员
安全通信⽹络
安全计算环境
安全建设管理
安全运维管理
供应链安全保护
数据安全防护
a、以关键业务为核⼼的整体防控。以保护关键业务为⽬标,对业务所涉及的一个或多个⽹络和信息系统进⾏体系化安全设计,构建整体安全防控体系。
b、以⻛险管理为导向的动态防护。根据⾯临的安全威胁态势进⾏持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全⻛险。
c、以信息共享为基础的协同联防。构建相关⽅⼴泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对⼤规模⽹络攻击能⼒。
a、应建⽴数据安全管理责任和评价考核制度,编制数据安全保护计划,实施数据安全技术防护开展数据安全⻛险评估,制定数据安全事件应急预案,及时处置安全事件,组织数据安全教育培训。
b、应建⽴基于数据分类分级的数据安全保护策略,明确重要数据和个⼈信息保护的相应措施。
c、将在我国境内运营中收集和产⽣的个⼈信息和重要数据存储在境内。因业务需要,确需向境c外提供数据的,应当按照国家相关规定和标准进⾏安全评估。法律、⾏政法规另有规定的,依照其规定。
d、应严格控制重要数据的使⽤、加⼯、传输、提供和公开等关键环节,并采取加密、脱敏、去标识化等技术⼿段保护敏感数据安全。
e、应建⽴业务连续性管理及容灾备份机制,重要系统和数据库实现异地备份
f、数据可⽤性要求⾼的,应采取数据库异地实时备份措施。业务连续性要求⾼的,应采取系统异地实时备份措施,确保关键信息基础设施一旦被破坏,可及时进⾏恢复和补救。
g、应在关键信息基础设施退役废弃时,按照数据安全保护策略对存储的数据进⾏处理。
h、应建⽴数据处理活动全流程的安全能⼒,并符合相关国家标准关于数据安全保护的要求。
a、应建⽴供应链安全管理策略,包括:⻛险管理策略、供应⽅选择和管理策略、产品开发采购策略、安全维护策略等。建⽴供应链安全管理制度,提供⽤于供应链安全管理的资⾦、⼈员和权限等可⽤资源。
b、采购⽹络关键设备和⽹络安全专⽤产品⽬录中的设备产品时,应采购通过国家检测认证的设备和产品。
c、应形成年度采购的⽹络产品和服务清单。采购、使⽤的⽹络产品和服务应符合相关国家标准的要求。可能影响国家安全的,应通过国家⽹络安全审查。
d、应建⽴和维护合格供应⽅⽬录。应选择有保障的供应⽅,防范出现因政治、外交、贸易等⾮技术因素导致产品和服务供应中断的⻛险。
e、应强化采购渠道管理,保持采购的⽹络产品和服务来源的稳定或多样性。
f、采购⽹络产品和服务时,应明确提供者的安全责任和义务,要求提供者对⽹络产品和服务的设计、研发、⽣产、交付等关键环节加强安全管理。
要求提供者声明不⾮法获取⽤⼾数据、控制和操纵⽤⼾系统和设备,或利⽤⽤⼾对产品的依赖性谋取不正当利益或者迫使⽤⼾更新换代。
g、应与⽹络产品和服务的提供者签订安全保密协议,协议内容应包括安全职责、保密内容、奖惩机制、有效期等。
h、应要求⽹络产品和服务的提供者对⽹络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权获得10年以上授权,或在⽹络产品和服务使⽤期内获得持续授权。
i、应要求⽹络产品和服务的提供者提供中⽂版运⾏维护、⼆次开发等技术资料。
j、应⾃⾏或委托第三⽅⽹络安全服务机构对定制开发的软件进⾏源代码安全检测,或由供应⽅提供第三⽅⽹络安全服务机构出具的代码安全检测报告。
k、使⽤的⽹络产品和服务存在安全缺陷、漏洞等⻛险时,应及时采取措施消除⻛险隐患,涉及重⼤⻛险的应按规定向相关部⻔报告。
制度
应急预案和演练
响应和处置
事件报告
事件处理和恢复
时间通报
重新识别
a、应在国家⽹络安全事件应急预案的框架下,根据⾏业和地⽅的特殊要求,制定⽹络安全事件应急预案。
b、应在应急预案中明确,一旦信息系统中断、受到损害或者发⽣故障时,需要维护的关键业务功能,并明确遭受破坏时恢复关键业务
和恢复全部业务的时间。应急预案不仅应包括本组织应急事件的处理,也应包括多个运营者间的应急事件的处理。
c、在制定应急预案时,应同所涉及的运营者内部相关计划(例如:业务持续性计划、灾难备份计划等)以及外部服务提供者的应急计划进⾏协调,以确保连续性要求得以满⾜。
d、应在应急预案中包括⾮常规时期、遭受⼤规模攻击时等处置流程。
e、应对⽹络安全应急预案定期进⾏评估修订,并持续改进。
f、应每年⾄少组织开展1次本组织的应急演练。关键信息基础设施跨组织、跨地域运⾏的,应定期组织或参加跨组织、跨地域的应急演练。
应根据检测评估、监测预警、主动防御中发现的安全隐患或发⽣的安全事件,以及处置结果,并结合安全威胁和⻛险变化情况开展评估,必要时重新开展业务、资产和⻛险识别⼯作,并更新安全策略。
公共通信和信息服务、能源、交通、⽔利、⾦融、公共服务、电⼦政务、国防科技⼯业等重要⾏业和领域,
以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计⺠⽣、公共利益的重要⽹络设施、信息系统等。
应及时将安全事件及其处置情况通报到可能受影响的部⻔和相关⼈员,向供应链涉及的、与事件相关的其他组织提供安全事件信息,并按照法律政策规定报告相关部⻔。
a、应按照事件处置流程、应急预案进⾏事件处理,恢复关键业务和信息系统到已知的状态。
b、应按照先应急处置、后调查评估的原则,在事件发⽣后尽快收集证据,按要求进⾏信息安全取b证分析,并确保所有涉及的响应活动被适当记录,便于⽇后分析,在进⾏取证分析时,应与业务连续性计划相协调。
c、在事件处理完成后,应采⽤⼿⼯或者⾃动化机制形成完整的事件处理报告。事件处理报告包c)括:不同部⻔对事件的处理记录、事件的状态和取证相关的其他必要信息、评估事件细节、趋势和处理。
d、在恢复关键业务和信息系统后,应对关键业务和信息系统恢复情况进⾏评估,查找事件原因,并采取措施防⽌关键业务和信息系统遭受再次破坏、危害或故障。
e、在进⾏事件处理活动时,应协调组织内部多个部⻔和外部相关组织,以更好地对事件进⾏处理,并将事件处理活动的经验教训纳⼊事件响应规程、培训以及测试,并进⾏相应变更。
a、应保证关键信息基础设施的运维地点位于中国境内,如确需境外运维,应符合我国相关规定。
b、应在运维前与维护⼈员签订安全保密协议。
c、应确保优先使⽤已在本组织登记备案的运维⼯具,如确需使⽤未登记备案的运维⼯具,应在使⽤前通过恶意代码检测等测试。
a、当发⽣有可能危害关键业务的安全事件时,应及时向安全管理机构报告,并组织研判,形成事件报告。
b、应及时将可能危害关键业务的安全事件通报到可能受影响的内部部⻔和⼈员,并按照规定向供应链涉及的、与事件相关的其他组织通报安全事件。
a、应建⽴⽹络安全事件管理制度,明确不同⽹络安全事件的分类分级、不同类别和级别事件处置的流程等,制定应急预案等⽹络安全事件管理⽂档。事件处置制度应符合国家联防联控相关要求,及时将信息共享给相关⽅。
b、应为⽹络安全事件处置提供相应资源,组织建⽴专⻔⽹络安全应急⽀撑队伍、专家队伍,保障6安全事件得到及时有效处置。
c、应按规定参与和配合相关部⻔开展的⽹络安全应急演练、应急处置、案件侦办等⼯作
应在关键信息基础设施建设、改造、升级等环节,实现⽹络安全技术措施与关键信息基础设施主体⼯程同步规划、同步建设、同步使⽤,并采取测试、评审、攻防演练等多种形式验证。
必要时,可建设关键业务的仿真验证环境,予以验证。
鉴别与授权
⼊侵防范
⾃动化⼯具
a、应采取技术⼿段,提⾼对⾼级可持续威胁(APT)等⽹络攻击⾏为的⼊防范能⼒。
b、应采取技术⼿段,实现系统主动防护,及时识别并阻断⼊侵和病毒⾏为。
a、应明确重要业务操作、重要⽤⼾操作或异常⽤⼾操作⾏为,并形成清单。
b、应对设备、⽤⼾、服务或应⽤、数据进⾏安全管控,对于重要业务操作、重要⽤⼾操作或异常⽤⼾操作⾏为,建⽴动态的⾝份鉴别⽅式,或者采⽤多因⼦⾝份鉴别等⽅式
c、针对重要业务数据资源的操作,应基于安全标记等技术实现访问控制。
⽹络架构
互联安全
边界防护
安全审计
a、应对安全管理机构的负责⼈和关键岗位的⼈员进⾏安全背景审查和安全技能考核,符合要求的⼈员⽅能上岗。安全管理机构明确关键岗位,
通常包括与关键业务系统直接相关的系统管理、⽹络管理、安全管理等岗位。关键岗位应配备专⼈,并配备2⼈以上共同管理。
b、应定期安排安全管理机构⼈员参加国家、⾏业或业界⽹络安全相关活动,及时获取⽹络安全动态。
c、应建⽴⽹络安全教育培训制度,定期开展⽹络安全教育培训和技能考核,关键信息基础设施从业⼈员每⼈每年教育培训时⻓不得少于30个学时。
教育培训内容应包括⽹络安全相关法律法规、政策标准,以及⽹络安全保护技术、⽹络安全管理等。
d、当安全管理机构的负责⼈和关键岗位⼈员的⾝份、安全背景等发⽣变化(例如:取得⾮中国国籍)或必要时,应根据情况重新按照相关要求进⾏安全背景审查。
应在⼈员发⽣内部岗位调动时,重新评估调动⼈员对关键信息基础设施的逻辑和物理访问权限,修改访问权限并通知相关⼈员或⻆⾊。
应在⼈员离岗时,及时终⽌离岗⼈员的所有访问权限,收回与⾝份鉴别相关的软硬件设备,进⾏⾯谈并通知相关⼈员或⻆⾊。
e、应明确从业⼈员安全保密职责和义务,包括安全职责、奖惩机制、离岗后的脱密期限等,并签订安全保密协议。
应采取⽹络审计措施,监测、记录系统运⾏状态、⽇常操作、故障维护、远程运维等,留存相关⽇志数据不少于6个⽉。
应使⽤⾃动化⼯具来⽀持系统账⼾、配置、漏洞、补丁、病毒库等的管理。对于漏洞、补丁,应在经过验证后及时修补。
a、应对不同⽹络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不同运营者运营的系统之间的互操作、数据交换和信息流向进⾏严格控制。
b、应对未授权设备进⾏动态发现及管控,只允许通过运营者授权的软硬件运⾏。
a、应建⽴或完善不同⽹络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不同运营者运营的系统之间的安全互联策略。
b、应保持同一⽤⼾其⽤⼾⾝份和访问控制策略等在不同⽹络安全等级保护系统、不同业务系统不同区域中的一致性。
c、对不同局域⽹之间远程通信时应采取安全防护措施,例如:在通信前基于密码技术对通信的双⽅进⾏验证或鉴别。
应实现通信线路“一主双备”的多电信运营商多路由保护,宜对⽹络关键节点和重要设施实施“双节点”冗余备份。
a、应成⽴⽹络安全⼯作委员会或领导⼩组,由组织主要负责⼈担任其领导职务,明确一名领导班⼦成员作为⾸席⽹络安全官,专职管理或分管关键信息基础设施安全保护⼯作。
b、应设置专⻔的⽹络安全管理机构(以下简称“安全管理机构”),明确机构负责⼈及岗位,建⽴并实施⽹络安全考核及监督问责机制。
c、应为每个关键信息基础设施明确一名安全管理责任⼈。
d、应将安全管理机构⼈员纳⼊本组织信息化决策体系。
a、应制定适合本组织的⽹络安全保护计划,明确关键信息基础设施安全保护⼯作的⽬标,从管理体系、技术体系、运营体系、保障体系等⽅⾯进⾏规划,
加强机构、⼈员、经费、装备等资源保障,⽀撑关键信息基础设施安全保护⼯作。⽹络安全保护计划应形成⽂档并经审批后发送⾄相关⼈员。
⽹络安全保护计划应每年⾄少修订一次,或发⽣重⼤变化时进⾏修订。
b、应建⽴管理制度和安全策略,重点考虑基于关键业务链安全需求,并根据关键信息基础设施⾯临的安全⻛险和威胁的变化进⾏相应调整。
注意1、安全策略包括但不限于:安全互联策略、安全审计策略、⾝份管理策略、⼊侵防范策略、数据安全防护策略、⾃动化机制策略(配置、漏洞、补丁、病毒库等)供应链安全管理策略、安全运维策略等。
注意2、管理制度包括但不限于:⻛险管理制度、⽹络安全考核及监督问责制度、⽹络安全教育培训制度、⼈员管理制度、业务连续性管理及容灾备份制度、
三同步制度(安全措施同步规划、同步建设和同步使⽤)、供应链安全管理制度等。
应落实国家⽹络安全等级保护制度相关要求,开展⽹络和信息系统的定级、备案、安全建设整改和等级测评等⼯作。
收敛攻击⾯
攻击发现和阻断
攻防演练
威胁情报
制度
检测
预警
a、应建⽴本部⻔、本单位⽹络威胁情报共享机制,组织联动上下级单位,开展威胁情报搜集、加⼯、共享、处置。
b、应建⽴外部协同⽹络威胁情报共享机制,与权威⽹络威胁情报机构开展协同联动,实现跨⾏业6领域⽹络安全联防联控。
a、应将监测⼯具设置为⾃动模式。当发现可能危害关键业务的迹象时,能⾃动报警,并⾃动采取相应措施,降低关键业务被影响的可能性。例如:恶意代码防御机制、⼊侵检
测设备或者防⽕墙等弹出对话框、发出声⾳或者向相关⼈员发出电⼦邮件等⽅式进⾏报警。
b、应对⽹络安全共享信息和报警信息等进⾏综合分析、研判,必要时⽣成内部预警信息。对于可能造成较⼤影响的,应按照相关部⻔要求进⾏通报。内部预警信息的内
容应包括:基本情况描述、可能产⽣的危害及程度,可能影响的⽤⼾及范围、宜采取的应对措施等。
c、应能持续获取预警发布机构的安全预警信息,分析、研判相关事件或威胁对⾃⾝⽹络安全保护对象可能造成损害的程度,必要时启动应急预案。获取的安全预警信息
应按照规定通报给相关⼈员和相关部⻔。
d、采取相关措施对预警进⾏响应,当安全隐患得以控制或消除时,应执⾏预警解除流程。
a、应在⽹络边界、⽹络出⼊⼝等⽹络关键节点部署攻击监测设备,发现⽹络攻击和未知威胁
b、应对关键业务所涉及的系统进⾏监测(例如:对不同⽹络安全等级保护系统、不同区域的系统b)之间的⽹络流量进⾏监测等),对监测信息采取保护措施,防⽌其受到未授权的访问、修改和删除。
c、应分析系统通信流量或事态的模式,建⽴常⻅系统通信流量或事态的模型,并使⽤这些模型调C)整监测⼯具参数,以减少误报和漏报。
d、应全⾯收集⽹络安全⽇志,构建违规操作模型、攻击⼊侵模型、异常⾏为模型,强化监测预警能⼒。
e、应采⽤⾃动化机制,对关键业务所涉及的系统的所有监测信息进⾏整合分析,以便及时关联资产、脆弱性、威胁等,分析关键信息基础设施的⽹络安全态势。关键信息基础设施跨组织、跨地域建设
时,构建集中统一指挥、多点全⾯监测、多级联动处置的动态感知能⼒。
f、应将关键业务运⾏所涉及的各类信息进⾏关联,并分析整体安全态势,包括:分析不同存储库的审计⽇志并使之关联;将多个信息系统内多个组件的审计记录关联;将信息系统审计记录信息与物理访问监
控的信息关联;将来⾃⾮技术源的信息(例如:供应链信息、关键岗位⼈员信息等)与信息系统审计信息关联;⽹络安全共享信息的信息关联等。
g、应通过安全态势分析结果来确定安全策略和安全控制措施是否合理有效,必要时进⾏更新。
a、应建⽴并落实常态化监测预警、快速响应机制。制定⾃⾝的监测预警和信息通报制度,确定⽹a)络安全预警分级准则,明确监测策略、监测内容和预警流程,对关键信息基础设施的安全⻛险进⾏监测预警。
b、应关注国内外及⾏业关键信息基础设施安全事件、安全漏洞、解决⽅法和发展趋势,并对涉及的关键信息基础设施安全性进⾏研判分析,必要时发出预警。
c、应建⽴关键信息基础设施的预警信息报告和响应处置程序,明确不同级别预警的报告、响应和处置流程。
d、应建⽴通报预警及协作处置机制,建⽴和维护外联单位联系列表,包括外联单位名称、合作内容、联系⼈和联系⽅式等信息。
e、应建⽴与外部组织之间、与其他运营者之间,以及运营者内部管理⼈员、内部⽹络安全管理机e)构与内部其他部⻔之间的沟通与合作机制,定期召开协调会议,共同研判、处置⽹络安全问题。
f、应建⽴⽹络安全信息共享机制,例如:建⽴与保护⼯作部⻔、同一关键信息基础设施的其他运营者、研究机构、⽹络安全服务机构、业界专家之间的沟通与合作机制,⽹络安全共享信息可以是漏洞信息、
威胁信息、最佳实践、前沿技术等。当⽹络安全共享信息为漏洞信息时,应符合国家关于漏洞管理制度的要求。
a、应围绕关键业务的可持续运⾏设定演练场景,定期组织开展攻防演练,关键信息基础设施跨组a织、跨地域运⾏的,组织或参加实⽹攻防演练。在不适合开
展实⽹攻防演练场景下,采取沙盘推演的⽅式进⾏攻防演练
b、应将关键信息基础设施核⼼供应链、紧密上下游产业链等业务相关单位纳⼊演练范畴。
c、应针对攻防演练中发现的安全问题及⻛险进⾏及时整改,消除结构性、全局性⻛险。
a、应分析⽹络攻击的⽅法、⼿段,针对拒绝服务攻击等各类攻击,采取有针对性的防护策略和技a)术措施,制定总体技术应对⽅案。
b、应针对监测发现的攻击活动,分析攻击路线、攻击⽬标,设置多道防线,采取捕获、⼲扰、阻断6)封控、加固等多种技术⼿段,切断
攻击路径,快速处置⽹络攻击。
c、应及时对⽹络攻击活动开展溯源,对攻击者进⾏画像,为案件侦查、事件调查、完善防护策略和措施提供⽀持。
d、应系统全⾯地分析⽹络攻击意图、技术与过程,进⾏关联分析与还原,并以此改进安全保护策d略,并加以落实。
a、应识别和减少互联⽹和内⽹资产的互联⽹协议地址、端⼝、应⽤服务等暴露⾯,压缩互联⽹出⼝数量。
b、应减少对外暴露组织架构、邮箱账号、组织通信录等内部信息,防范社会⼯程学攻击。
c、不应在公共存储空间(例如:代码托管平台、⽂库、⽹盘等)存储可能被攻击者利⽤的技术⽂档c例如:⽹络拓扑图、源代码、互联⽹协议地址规划等。
制度
⽅式和内容
应建⽴健全关键信息基础设施安全检测评估制度,包括但不限于检测评估流程、⽅式⽅法、周期、⼈员组织、资⾦保障等。
a、应⾃⾏或者委托⽹络安全服务机构对关键信息基础设施安全性和可能存在的⻛险,每年⾄少a)进⾏一次检测评估,并及时整改发现的问题。
b、在涉及多个运营者时,应定期组织或参加跨运营者的关键信息基础设施安全检测评估,并及时整改发现的问题。
c、在检测评估时,内容应包括但不限于⽹络安全制度(国家和⾏业相关法律、法规、政策⽂件及运c) 营者制定的制度)落实情况、组织机构建设情况、⼈员和经费投⼊情况、
教育培训情况、⽹络安全等级保护制度落实情况、商⽤密码应⽤安全性评估情况、技术防护情况、数据安全防护情况、供应链安全保护情况、云计算服务安全评估情况(适⽤时)、
⻛险评估情况、应急演练情况、攻防演练情况等,尤其关注关键信息基础设施跨系统、跨区域间的信息流动,及其资产的安全防护情况。
d、在关键信息基础设施发⽣改建、扩建、所有⼈变更等较⼤变化时,应⾃⾏或者委托⽹络安全服务机构进⾏检测评估,分析关键业务链以及关键资产等⽅⾯的变更,
评估上述变更给关键信息基础设施带来的⻛险变化情况,并依据⻛险变化以及发现的安全问题进⾏有效整改后⽅可上线。
e、应针对特定的业务系统或系统资产,经有关部⻔批准或授权,采取模拟⽹络攻击⽅式,检测关键信息基础设施在⾯对实际⽹络攻击时的防护和响应能⼒。
f、在安全⻛险抽查检测⼯作中,应配合提供⽹络安全管理制度、⽹络拓扑图、重要资产清单、关键业务链、⽹络⽇志等必要的资料和技术⽀持,针对抽查检测⼯作中发现的安全隐患和⻛险建⽴清单,制定整改⽅案,并及时整改。
业务识别
资产识别
⻛险识别
重⼤变更 在关键信息基础设施发⽣改建、扩建、所有⼈变更等较⼤变化时,应重新开展识别⼯作,可能影响认定结果的,应及时将相关情况报告保护⼯作部⻔,并更新资产清单。
应按照GB/T20984等⻛险评估标准,对关键业务链开展安全⻛险分析,识别关键业务链各环节的威胁、脆弱性,确认已有安全控制措施,分析主要安全⻛险点,确定⻛险处置的优先级,形成安全⻛险报告。
a、应识别关键业务链所依赖的资产,建⽴关键业务链相关的⽹络、系统、数据、服务和其他类资产的资产清单。
b、应基于资产类别、资产重要性和⽀撑业务的重要性,确定资产防护的优先级。
c、应采⽤资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新。
a、应识别本组织的关键业务和与其相关联的外部业务。
b、应分析本组织关键业务对外部业务的依赖性。
c、应分析本组织关键业务对外部业务的重要性。
d、应梳理关键业务链,明确⽀撑关键业务的关键信息基础设施分布和运营情况。
资源评论
