近年来，在全球网络攻击威胁呈现出分布化、规模化、复杂化的趋势下，如何保障关键信息基础设施安全已经成为牵动国计民生的大事件。国家在2023年5月1日正式实施的《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）中给出了关键信息基础设施安全保护的三项基本原则、六个方面活动，其中提到的“安全防护”活动是整个实施环节的核心内容。“安全防护”活动的48条要求内容是在落实国家网络安全等级保护制度的基础上，从“安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理、供应链安全保护、数据安全防护”等方面对关键信息基础设施运营者的网络安全建设进行增强。

本篇文章梳理了《关键信息基础设施安全防护要求》中“安全防护”活动建设的关键点，重点会对数据安全、供应链安全等区别于等保三级的要求内容进行阐述，并给出满足“安全防护”活动建设要求的落地措施。

 

02

安全防护十个方面

 

 

2.1网络安全等级保护

    

《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）安全防护活动中的网络安全等级保护要求：

 

应落实国家网络安全等级保护制度相关要求，开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作。   

 

关键信息基础设施运营者满足网络安全等级保护是实施《关键信息基础设施安全保护要求》的基础，应围绕“一个中心，三重防护”原则，从技术+管理的角度来指导各关键业务开展安全保护工作，完成网络安全等级保护建设与测评。

 

图“一个中心，三重防护”安全框架示意图

2.2 安全管理制度

  

《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）安全防护活动中的安全管理制度要求：

 

a）应制定适合本组织的网络安全保护计划，明确关键信息基础设施安全保护工作的目标，从管理体系、技术体系、运营体系、保障体系等方面进行规划，加强机构、人员、经费、装备等资源保障支撑关键信息基础设施安全保护工作。网络安全保护计划应形成文档并经审批后发送至相关人员。网络安全保护计划应每年至少修订一次，或发生重大变化时进行修订。

 

b）应建立管理制度和安全策略，重点考虑基于关键业务链安全需求，并根据关键信息基础设施面临的安全风险和威胁的变化进行相应调整。

   

关键信息基础设施运营者制定的网络安全保护计划文档要明确网络安全保护工作的目标、安全策略、组织架构、管理制度、技术措施、实施细则及资源保障等，文档内容与关键业务链的安全风险报告是否具有关联性，覆盖相关安全风险；

 

制定的安全策略文件应包括：安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略（配置、漏洞、补丁、病毒库等）、供应链安全管理策略、安全运维策略、应急响应策略、网络安全事件处理与报告策略等；

 

制定的安全管理制度相关文档应包括：风险管理制度、网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、三同步制度（安全措施同步规划、同步建设和同步使用）、供应链安全管理制度等；

 

制定的网络安全保护计划、安全策略、安全管理制度之间形成安全管理体系，具备一致性；

 

保障机制文件要建立安全保障机制，保障内容包括但不限于机构、人员、经费、装备等方面；

 

网络安全保护计划文档修订记录至少每年或发生重大变化时结合关键业务链的安全风险报告及时进行修订；安全策略和安全管理制度及相关过程文档覆盖关键业务链、供应链相关管理，要根据面临的安全风险和威胁的变化进行修订。   

 

图 安全管理制度示意图

2.3 安全管理机构

  

《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）安全防护活动中的安全管理机构要求：

 

a）应成立网络安全工作委员会或领导小组，由组织主要负责人担任其领导职务，明确一名领导班子成员作为首席网络安全官，专职管理或分管关键信息基础设施安全保护工作；

 

b）应设置专门的网络安全管理机构(以下简称“安全管理机构”)，明确机构负责人及岗位，建立并实施网络安全考核及监督问责机制；

 

c）应为每个关键信息基础设施明确一名安全管理责任人；

 

d）应将安全管理机构人员纳入本组织信息化决策体系。

 

落实关键信息基础单位安全管理机构建立应设置专人专岗作为安全管理负责人，以及明确领导班子作为专职或分管关键信息基础设施安全保护工作。将安全管理机构人员纳入本组织信息化决策体系，并实施网络安全考核及监督问责机制，从而形成安全管理闭环。   

 

图 安全管理机构示意图

2.4 安全管理人员

  

《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）安全防护活动中的安全管理人员要求：

 

a）应对安全管理机构的负责人和关键岗位的人员进行安全背景审查和安全技能考核，符合要求的人员方能上岗。安全管理机构明确关键岗位，通常包括与关键业务系统直接相关的系统管理、网络管理、安全管理等岗位。关键岗位应配备2人以上共同管理。   

 

b）应定期安排安全管理机构人员参加国家、行业或业界网络安全相关活动，及时获取网络安全动态。

 

c）应建立网络安全教育培训制度，定期开展网络安全教育培训和技能考核，关键信息基础设施从业人员每人每年教育培训时长不得少于30个学时。教育培训内容应包括网络安全相关法律法规、政策标准、以及网络安全保护技术、网络安全管理等；

 

d）当安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化（例如取得非中国国籍）或必要时，应根据情况重新按照相关要求进行安全背景调查。应在人员发生内部岗位调动时，重新评估调动人员对关键信息基础设施的逻辑和物理访问权限，修改访问权限并通知相关人员或角色。应在人员离岗时，及时终止离岗人员的所有访问权限，收回与身份鉴别相关的软硬件设备，进行面谈并通知相关人员或角色。

 

e）应明确从业人员安全保密职责和义务，包括安全职责、奖惩机制、离岗后的脱密期限等，并签订保密协议。

 

解决关键信息基础设施运营者安全管理人员问题，可以着重从安全背景审查和技能考核、参加网络安全相关活动、建立网络安全教育培训制度、明确人员保密职责及义务、定期审查安全背景访问权限等方面进行展开。  

 

图 安全管理人员示意图

2.5 安全通信网络

 

《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）安全防护活动中对安全通信网络的增强要求如下：

 

• 网络架构增强要求

网络关键节点和重要设施采用“双节点”冗余备份，通信线路采用“一主双备”的多电信运营商多路由保护。

 

• 互联安全增强要求    

 

关键信息基础设施涉及的不同等保级别的系统、不同业务系统之间、不同区域的系统之间、不同运营者运营的系统之间的安全互联策略合理，对同一用户其用户身份及其访问控制策略要保持一致。

 

关键信息基础设施涉及的系统在不同局域网间远程通信时，采取有效安全措施对双方身份进行验证或鉴别，并对通信信道进行加密。

• 安全区域边界增强要求

关键信息基础设施系统及关联系统要具备对未授权设备接入、未授权软件的安装和运行进行动态检测的措施，覆盖无线网络接入，能实时报警并阻断非授权设备的接入；例如：测试接入未授权设备时报警、阻断和管控措施及时、有效。

 

2.6 安全计算环境

《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）对安全防护活动中的安全计算环境增强要求如下：

• 鉴别与授权增强要求

对于重要业务操作、重要用户操作或异常用户操作行为要形成操作或行为清单，安全防护措施要建立动态的身份鉴别方式，或者采用多因子身份鉴别方式。

• 入侵防范增强要求

在入侵防范要求中强调要具备主动防护能力，如采用蜜罐或蜜网、端点检测与响应、主动免疫可信验证等主动防御技术及时识别并阻断病毒行为。

 

2.7 安全建设管理

  

《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）安全防护活动中的安全建设管理要求：

   

应在关键信息基础设施建设、改造、升级等环节，实现网络安全技术措施与关键信息基础设施主体工程同步规划、同步建设、同步使用，并采取测试、评审、攻防演练等多种形式验证。必要时，可建设关键业务的仿真验证环境，予以验证。

 

《关键信息基础设施安全保护要求》进一步强调“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”，即该“三同步”原则。

 

在具体落实“三同步”原则时，运营者可以从以下几个方面理解安全保护措施应与关键信息基础设施“三同步”：

 

首先，“同步规划”，是指在网络设施和信息系统的规划阶段，就应该同步引入安全保护措施；

 

其次，“同步建设”，要求在项目建设阶段，通过落实系统集成商、网络服务提供商等，确保相关安全技术措施能够顺利准时实施，并在项目上线时，对安全保护措施进行验收，确保只有符合安全要求的系统才能上线；

 

最后，“同步使用”，是指在网络设施和信息系统安全验收后的日常运行和维护中，应该保持网络设施和信息系统处于持续安全防护的水平，并符合国家的相关安全技术标准。  

 

图 安全建设管理示意图

2.8 安全运维管理

《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）安全防护活动中的安全运维管理增强要求：

• 选择运维地点

 

应保证关键信息基础设施的运维地点位于中国境内如确需境外运维，应符合我国相关规定。

• 签署保密协议

应在运维前与维护人员签订安全保密协议。

• 登记备案工具

 

应确保优先使用已在本组织登记备案的运维工具，如确需使用未登记备案的运维工具，应在使用前通过恶意代码检测等测试。  

 

2.9 供应链安全保护

  

《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）安全防护活动中的供应链安全保护增强要求：

 

供应链攻击是一种很难防御的攻击手法，具有牵涉到的企业广、极端隐蔽难检测、软件生命周期暴露环节多、使用开源组件不可控等特点；另外，当前普遍采用的纵深防御、威胁情报、应用程序白名单等防御技术在面对供应链攻击时变得力不从心了。在《关键信息基础设施安全保护要求》（GB/T 39204-2022）中，对供应链攻击安全防护给出了如下增强要求：

 

• 建立供应链安全管理策略及制度

 

供应链安全管理策略能够提高供应链的安全性，如风险管理策略、供应方选择和管理策略、产品的开发和采购策略、安全运维策略、外包策略等；

 

供应链安全管理制度内容涵盖供应方的权限和责任、供应链安全管理部门的责任和权限、开发过程的控制方法、人员行为准则、供管理部门用于供应链安全管理的资金、人员和权限等可用资源的保障内容等。

• 采购通过国家检验认证的产品

采购网络关键设备和网络安全专用产品要通过国家检测认证，如设备或产品具备网络关键设备和网络安全专用产品认证证书、商用密码产品认证证书等；

• 建立合格供应方目录

建立和维护合格供应方目录，对供应方的入围标准进行审定（符合要求的知识产权授权期限；签订保密协议；具有过程控制文档且内容全面，提供技术资料等），审定内容覆盖因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险等；  

 

• 进行源代码安全检测

产品的生命周期安全可控（产品的设计、研发、交付、使用、废弃、设备制造、工艺等可管）；风险管控措施有效（开展或由供应方提供源代码安全检测，定期进行安全测试，有风险消除措施，有重大风险上报机制等）。

 

目前，工业网络在应对将恶意代码植入到合法供应商合法软件中的供应链攻击手法上还缺乏成熟的实时防护产品，轻量级工业EDR（端点检测和响应）产品将是一种有效的防护手段，通过全面记录端点系统行为事件，使用行为分析、机器学习等技术分析可疑异常行为，实现对未知潜在威胁的有效发现。另外，工业EDR产品要做到低资源消耗，以适用于部署在工业网络老旧主机上；要摒弃补丁管理，云查杀等只适用于IT网络开发的复杂功能，适用于工业网络使用。

 

图 供应链攻击安全防护手段示意图

   

2.10 数据安全防护

  

《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）安全防护活动中的数据安全保护增强要求：

 

在数据安全方面，关键信息基础设施运营者需要制定完善的数据安全管理制度体系（数据安全保护计划、策略、制度、操作规程、记录类表单等体系文件齐全，内容全面），并在重要数据的收集、存储、使用、加工、传输、提供和公开等关键环节，依据数据安全保护策略中关于重要数据的保护要求，采取相应保护措施；

 

关键信息基础设施的生产运营都对数据都有着高度的依赖性，诸如生产工艺参数、产品设计数据、设备运行数据、物流数据等是影响生产活动的关键业务数据，这些数据的泄露、篡改、丢失或错误都可能影响企业经营效益、生产经营安全、国计民生甚至国家安全。在数据安全治理实践走深向实的大趋势下，威努特以贯彻落实《关键信息基础设施安全保护要求》、《中华人民共和国数据安全法》和《中华人民共和国网络安全法》等法律法规为核心，结合关键信息基础设施单位数据资产的现状以及现有的数据安全防护现状，提出了“1个平台、2个并重、3套体系”的“1+2+3工业领域数据安全治理思路”。   

 

图 关键信息基础设施单位数据安全治理思路

 

03

总结

 

关键信息基础设施安全保护要求是结合我国现有关键信息基础设施安全保障体系成果提出的可落地的安全保护要求，对于关键信息基础设施运营者而言，关键信息基础设施安全保护要求中“安全防护”帮助其构筑网络安全建设、运维、制度、人员管理流程框架，确立安全技术能力提升方向及安全工具采购与使用标准，以更好地保障关键信息基础设施安全的稳定运行。

 

威努特网络安全产品与解决方案已实现在满足关键信息基础设施安全保护要求中“安全防护”要求内容的情况下系统落地，并将解决方案成功复制到电力、水利、能源等关键信息基础设施单位，协助企业筑牢生产网络安全防护建设的基石。

              

附：《信息安全技术 关键信息基础设施安全保护要求》，“安全防护”活动防护建议