為保障關鍵信息基礎設施安全，維護網(wǎng)絡安全，2021年7月30日，前國務院總理李克強簽署國務院第745號令，公布《關鍵信息基礎設施安全保護條例》(以下簡稱《關保條例》)，自2021年9月1日起正式施行。

2022年10月12日，國家市場監(jiān)督管理總局批準發(fā)布GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》(以下簡稱《關保要求》)，該標準已于2023年于5月1日正式實施。

《關保要求》是《關保條例》施行以來發(fā)布的第一個關鍵信息基礎設施安全保護相關的國家標準，標準著國家對于關鍵信息基礎設施的安全保護工作進入了強化落實的新階段。

關鍵信息基礎設施安全保護框架

為支撐和保障關鍵信息基礎設施安全保護工作的順利和有效開展，關鍵信息基礎設施安全保護相關國家的相關法律法規(guī)政策和標準體系從國家各個層面均在逐步的構建和完善中。而國家監(jiān)管部門、保護工作部門和關基運營者需要立足于當前國際嚴峻的網(wǎng)絡安全形勢和應對大規(guī)模網(wǎng)絡攻擊威脅的能力需求，充分考慮關鍵信息基礎設施的規(guī)劃設計、開發(fā)建設、運行維護、退役廢棄等階段，落實“三化六防”安全措施，滿足關鍵信息基礎設施分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御和事件處置6個方面的安全要求，采取新的技術如可信計算、人工智能、大數(shù)據(jù)分析、密碼等技術，全面構建網(wǎng)絡安全綜合防御體系。金 瀚信安深入學習《關鍵信息基礎設施安全保護條例》《中華人民共和國網(wǎng)絡安全法》、公安部1960號文件和關基要求等相關政策及標準，從頂層設計的角度出發(fā)，總結出了關鍵信息基礎設施安全保護框架如圖1所示。

▲關鍵信息基礎設施安全保護要求框架

關鍵信息基礎設施安全建設思路

隨著國家層面，對于關鍵信息基礎設施安全保護的法律法規(guī)政策體系和標準體系的不斷健全和完善，關鍵信息基礎設施安全保護措施的落實工作也將隨著GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》的施行而正式拉開帷幕。關鍵信息基礎設施保護是一個系統(tǒng)工程，落實工作也需要重點突出，步調明晰，同時其安全理念、本質內涵、建設實施等，均需要不斷深入研究與設計實踐。金 瀚信安始終致力于為國家關鍵信息基礎設施網(wǎng)絡安全保駕護航，在多年的網(wǎng)絡安全工作實踐中，也在不斷總結關鍵信息基礎設施安全保護措施的落地經(jīng)驗和方法，為此，提煉出了一套關基安全建設思路和20項重點措施，指導關基運營者逐步開展相關工作。

▲關鍵信息基礎設施安全建設思路

落實關保要求的20項重點措施

關鍵信息基礎設施安全保護主要從四大方面落實具體的措施，包括頂層設計與規(guī)劃、基礎性安全保護措施的落實、加強型和特殊型安全保護措施的落實、網(wǎng)絡安全綜合能力建設與提升。

01. 頂層設計與規(guī)劃

措施1：建立關基組織體系和工作體系

設立網(wǎng)絡安全工作委員會或領導小組，由組織主要負責人擔任其領導職務，明確一名領導班子成員作為首席網(wǎng)絡安全官，專職管理或分管關鍵信息基礎設施安全保護工作;設置專門的網(wǎng)絡安全管理機構，明確機構負責人及崗位;為每個關鍵信息基礎設施明確一名安全管理責任人;安全管理人員應參與網(wǎng)絡安全和信息化決策;統(tǒng)籌開展網(wǎng)絡安全等級保護、關鍵信息基礎設施保護、數(shù)據(jù)安全保護、個人信息保護等各項工作，為每個第三級以上網(wǎng)絡系統(tǒng)明確網(wǎng)絡安全責任人。

措施2：制定關基安全規(guī)劃和計劃

關基運營者應根據(jù)本行業(yè)或本領域制定的關鍵信息基礎設施安全規(guī)劃和行業(yè)標準規(guī)范，制定適合本組織的網(wǎng)絡安全保護計劃，明確關鍵信息基礎設施安全保護工作的目標，從管理體系、技術體系、運營體系、保障體系等方面進行規(guī)劃，加強機構、人員、經(jīng)費、裝備等資源保障，支撐關鍵信息基礎設施安全保護工作。

措施3：落實關基網(wǎng)絡安全責任

制定責任制管理辦法，明確網(wǎng)絡安全管理部門、網(wǎng)絡運營者的主體責任;明確專門安全管理機構具體職責任務，承擔安全管理、應急演練、事件處置、教育培訓和評價考核等日常工作，設置具體崗位，將責任落實到人;加強核心崗位人員管理，建立健全人員管理制度;積極配合公安機關開展網(wǎng)絡安全保衛(wèi)、防范打擊違法犯罪活動和監(jiān)督檢查，對不配合的，公安機關依法進行處罰。

措施4：關鍵信息基礎設施認定

保護工作部門按照關鍵信息基礎設施認定指南，制定完善認定規(guī)則，并組織本行業(yè)或本領域關鍵信息基礎設施認定工作，運營者在此基礎上開展摸底調查，梳理排查關鍵信息基礎設施建設、運行、管理情況及安全保護狀況，全面掌握網(wǎng)絡基礎設施、重要業(yè)務系統(tǒng)、重要數(shù)據(jù)等資源底數(shù)和網(wǎng)絡資產，建立檔案并動態(tài)更新，當關鍵信息基礎設施發(fā)生較大變化時，運營者要及時報告保護工作部門，保護工作部門應當在收到報告后3個月內完成重新認定。

02. 落實基礎性安全保護措施

措施5：落實網(wǎng)絡安全等級保護制度

運營者應當依法開展網(wǎng)絡定級備案、安全建設整改、等級測評和自查等工作，采取管理和技術措施，保障網(wǎng)絡基礎設施安全、網(wǎng)絡運行安全、數(shù)據(jù)安全和信息安全，有效應對網(wǎng)絡安全事件，防范網(wǎng)絡違法犯罪活動。

措施6：構建安全可控的物理環(huán)境與通信網(wǎng)絡

落實物理機房環(huán)境保障措施，保護數(shù)據(jù)機房、云計算機房、重要通信機房等物理設施安全;通信線路采用“一主雙備”的多電信運營商多路由保護措施，對網(wǎng)絡關鍵節(jié)點和重要設施實施“雙節(jié)點”冗余備份;科學設計網(wǎng)絡架構規(guī)劃，合理劃分安全網(wǎng)絡區(qū)域，避免核心業(yè)務區(qū)域部署在網(wǎng)絡邊界;不同網(wǎng)絡安全等級保護系統(tǒng)之間、不同業(yè)務系統(tǒng)之間、不同區(qū)域的系統(tǒng)之間、不同運營者運營的系統(tǒng)之間的互操作、數(shù)據(jù)交換和信息流向進行嚴格控制。

措施7：構建縱深防御的區(qū)域邊界

縮減、歸并網(wǎng)絡出口，加強邊界管理，在網(wǎng)絡邊界處部署訪問控制設備，對進出流量數(shù)據(jù)進行過濾與監(jiān)測，第三級以上網(wǎng)絡系統(tǒng)限制非法外聯(lián)，落實準入控制措施;制定訪問控制策略、優(yōu)化訪問控制規(guī)則，落實邊界隔離、跨界訪問控制，第三級以上網(wǎng)絡系統(tǒng)邊界應采取基于應用協(xié)議和內容的訪問控制措施;提升主動防護能力，第三級以上網(wǎng)絡系統(tǒng)通過技術措施準確識別來自系統(tǒng)內外的攻擊行為，查殺惡意代碼，清除垃圾郵件，提升應對新型網(wǎng)絡攻擊能力;全面收集安全審計日志，構建網(wǎng)絡安全分析平臺，溯源網(wǎng)絡攻擊路徑，預警和處置網(wǎng)絡安全風險。

措施8：構建高度可信的計算環(huán)境

建立完善賬戶保護機制，結合實際應用范圍對賬戶最小授權，對賬戶口令合理配置，審計用戶的登錄和操作行為，對授予較高權限的賬戶實施嚴格的審計措施。第三級以上網(wǎng)絡系統(tǒng)的用戶采用雙因素方式登錄;最小化安裝系統(tǒng)組件和應用程序，關閉多余端口和服務;重要數(shù)據(jù)傳輸和存儲需建立完整性和保密性保護措施，對重要數(shù)據(jù)實施本地和異地備份以及恢復措施，并定期開展恢復測試演練。

措施9：建立一體化的安全管理中心

在網(wǎng)絡中部署運維審計系統(tǒng)、集中管理平臺等措施，實現(xiàn)對各類管理員的集中認證、授權及操作審計;在網(wǎng)絡中規(guī)劃特定區(qū)域用于集中部署安全管控措施，對分布在網(wǎng)絡中的安全設備或安全組件進行管控;實現(xiàn)集中審計，部署綜合審計系統(tǒng)實現(xiàn)對各類審計信息的集中審計分析，并確保日志存儲周期超過6個月;集中部署各類管控系統(tǒng)，實現(xiàn)對安全策略、惡意代碼、補丁升級等安全相關事項集中管理。

措施10：定期開展網(wǎng)絡安全檢測與風險評估

自行或者委托網(wǎng)絡安全服務機構對關鍵信息基礎設施安全性和可能存在的風險，每年至少進行一次檢測評估，并及時整改發(fā)現(xiàn)的問題;針對特定的業(yè)務系統(tǒng)或系統(tǒng)資產，經(jīng)有關部門批準或授權，采取模擬網(wǎng)絡攻擊方式，檢測關鍵信息基礎設施在面對實際網(wǎng)絡攻擊時的防護和響應能力;在安全風險抽查檢測工作中，應配合提供網(wǎng)絡安全管理制度、網(wǎng)絡拓撲圖、重要資產清單、關鍵業(yè)務鏈、網(wǎng)絡日志等必要的資料和技術支持，針對抽查檢測工作中發(fā)現(xiàn)的安全隱患和風險建立清單，制定整改方案，并及時整改。

03. 落實加強型和特殊型安全保護措施

措施11：建立健全完善的安全管理體系

完善安全管理制度，規(guī)范安全管理活動中各項管理制度和操作規(guī)程，涉及層面包括但不限于機構人員、物理環(huán)境、網(wǎng)絡通信、數(shù)據(jù)管理、安全建設和安全運維;加強人員安全管理，規(guī)范內部人員錄用、離崗和外部人員訪問，認定關鍵崗位，明確安全責任和懲戒措施，并有計劃地開展人員培訓和技能考核;強化安全運維管理，加強對環(huán)境、資產、介質、設備維護、配置等方面的管理，嚴格落實變更審批程序，制定應急預案并定期開展應急演練，提高安全防護意識和應急處理能力。

措施12：建立和完善數(shù)據(jù)安全保護措施

按照《數(shù)據(jù)安全法》要求，在落實網(wǎng)絡安全等級保護制度基礎上，建立數(shù)據(jù)安全保護制度，強化重要數(shù)據(jù)保護;開展數(shù)據(jù)資產排查，對業(yè)務系統(tǒng)所承載和處理的數(shù)據(jù)進行深入梳理排查，確認數(shù)據(jù)類型和資產，明確數(shù)據(jù)權屬關系;對數(shù)據(jù)采集、存儲、處理、應用、提供和銷毀等各環(huán)節(jié)，全面進行風險排查和隱患分析，對數(shù)據(jù)全生命周期進行保護。

措施13：加強供應鏈安全保護措施

加強供應鏈安全管理，從機構人員、資金保障、產品服務、風險管理、安全建設和安全維護等多方面予以規(guī)范，并采取相應措施確保制度落實;采購網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品目錄中的設備產品時，應采購通過國家檢測認證的設備和產品;加強供應鏈提供方安全準入管理，對服務方人員進行安全管理，簽訂安全保密協(xié)議，明確安全責任和義務;建立供應方目錄，定期梳理和更新供應鏈企業(yè)、產品、人員清單;針對產品或服務采購，要求供應方同時提供相關技術文檔，并明確產品或服務的知識產權。

措施14：采取多種方式檢驗保護措施的有效性

在公安機關指導和支持下，開展網(wǎng)絡安全演練，集中檢驗發(fā)現(xiàn)是否存在重大安全問題隱患，檢驗各環(huán)節(jié)安全保護措施是否有效;開展沙盤推演，科學設計典型業(yè)務場景，深入分析網(wǎng)絡安全威脅風險和薄弱環(huán)節(jié)，在沙盤上演繹技術對抗過程，評價防護策略、技術和措施的有效性，提升應對大規(guī)模網(wǎng)絡攻擊能力;聘請專門的安全檢測機構，遠程滲透測試與現(xiàn)場檢測相結合，對第三級以上網(wǎng)絡系統(tǒng)進行全流程、全方位檢測評估，及時排查和消除重大風險隱患。

04. 建設提升網(wǎng)絡安全綜合能力

措施15：落實實時監(jiān)測措施，提升發(fā)現(xiàn)攻擊能力

建設并應用網(wǎng)絡安全監(jiān)測系統(tǒng)，利用多種手段、多種渠道，采取多種方式，組織內部力量和外部支持力量，開展7X24全方位全鏈條實時監(jiān)測，及時發(fā)現(xiàn)網(wǎng)絡攻擊、病毒木馬傳播、漏洞隱患等風險威脅，為安全防護、應急處置提供支撐;在互聯(lián)網(wǎng)出口、內外網(wǎng)連接處、內網(wǎng)重點節(jié)點等，設置監(jiān)測設備，對全網(wǎng)、重要系統(tǒng)、關鍵部位進行實時監(jiān)測，對跨不同網(wǎng)絡、不同業(yè)務、不同區(qū)域間的數(shù)據(jù)流動進行監(jiān)測，對跨不同網(wǎng)絡、不同業(yè)務、不同區(qū)域間的數(shù)據(jù)流動進行監(jiān)測;分析網(wǎng)絡通信流量或事態(tài)模型，建立網(wǎng)絡通信流量或事態(tài)模型，實踐檢驗事態(tài)模型的準確性和有效性，逐步增強模型的科學性，并以此調整監(jiān)測設備;利用自動化手段，建立自動化分析機制，對所有監(jiān)測信息進行匯總整合，關聯(lián)分析來自多方渠道的信息和線索，并進行綜合研判，形成有價值的威脅情報，支撐網(wǎng)絡安全保護和事件處置等工作。

措施16：落實信息通報預警措施，提升通報預警能力

依托本單位網(wǎng)絡與信息安全通報預警機制，及時接收來自國家、地方、行業(yè)和社會的網(wǎng)絡安全情況信息;在網(wǎng)絡與信息安全通報機構支持下，對各渠道獲得的信息進行匯總、分析、研判，及時通報內部單位;采用自動化報警方式，建立重點發(fā)現(xiàn)可能危害關鍵業(yè)務的監(jiān)測機制和手段，并能自動采取應對措施;建設或依托保護工作部門信息通報預警平臺，暢通通報預警和接收信息渠道。

措施17：落實重大事件處置措施，提升應對突發(fā)事件能力

建立網(wǎng)絡安全事件管理制度，按照國家有關網(wǎng)絡安全事件分類分級規(guī)范和指南，確定不同類別和級別事件處置的指揮流程、處置要求等;按照國家網(wǎng)絡安全事件應急預案要求，制定網(wǎng)絡安全事件應急預案;每年至少組織開展1次應急演練，并根據(jù)演練情況對應急預案進行評估和改進;當發(fā)生有可能危害關鍵業(yè)務的安全事件時，應及時向安全管理機構報告，并組織研判，形成事件報告。

措施18：落實獲取網(wǎng)絡安全威脅信息措施，提升主動防御能力

建立威脅信息搜集分析隊伍，豐富技術手段，發(fā)揮技術支撐力量資源優(yōu)勢，對攻擊者進行畫像，技術發(fā)現(xiàn)網(wǎng)絡攻擊、侵入、竊密、破壞等活動;密切跟蹤行業(yè)領域網(wǎng)絡安全威脅動向，全面搜集高危漏洞隱患等高價值信息，深入開展威脅信息分析研判，挖掘行動性、預警性、綜合性威脅線索;以威脅信息為引領，及時預警攻擊活動，查找防護薄弱點，組織實施安全整改加固，確保有效防御大規(guī)模網(wǎng)絡攻擊活動。

措施19：落實技術應對措施，提升技術對抗能力

識別和減少互聯(lián)網(wǎng)和內網(wǎng)資產的互聯(lián)網(wǎng)協(xié)議地址、端口、應用服務等暴露面，壓縮互聯(lián)網(wǎng)出口數(shù)量;減少對外暴露組織架構、郵箱賬號、組織通信錄等內部信息，防范社會工程學攻擊;部署探針和蜜罐等設備，模擬真實業(yè)務場景，捕獲攻擊，分析攻擊路線、攻擊目標，設置多道防線，采取捕獲、干擾、阻斷、封控、加固等多種技術手段，切斷攻擊路徑，快速處置網(wǎng)絡攻擊。

措施20：落實協(xié)調聯(lián)動措施，提升聯(lián)合應對能力

在機構的業(yè)務應用、系統(tǒng)建設、技術實施、運營運維、綜合管理等部門間建立內部機制;與保護工作部門、行業(yè)內上下級單位、直屬機構建立縱向機制;與公安機關、橫向合作單位、技術支撐機構建立橫向機制;將內部、縱向、橫向三方面機制有機結合，建立一體化機制，統(tǒng)籌制定機制運轉規(guī)范;在國家網(wǎng)絡安全職能部門、保護工作部門的支持和指導下，聯(lián)合科研院所、網(wǎng)絡安全企業(yè)等多方資源力量，開展集中攻關、技術監(jiān)測、數(shù)據(jù)治理和應急演練等活動，提升監(jiān)測發(fā)現(xiàn)、分析研判、應急響應、追蹤溯源等核心能力。

—【 THE END 】—