一文读懂关键信息基础设施网络安全保护

即将过去的2019年，对我国网络安全业界而言，注定是不平常的一年。在万众期盼之下，GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》（以下简称“等保2.0”）已于12月1日正式实施。等保2.0的重大升级为我国网络安全提出了新目标、新理念、新举措和新高度。12月3日，信安标委秘书处在北京组织召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》（报批稿）（以下简称“关保”）试点工作启动会。无疑，“关保”的接踵而来，为提升我国网络安全防护体系增加更浓墨重彩的一笔，为今后一段时期的关键信息基础设施保护工作更加指明目标和方向。

关键信息基础设施的概念在2014年2月27日召开的中央网络安全和信息化领导小组第一次会议正式提出。2017年6月1日《网络安全法》正式实施，其中第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

等保2.0是普适的标准，对诸如能源、交通、水利等行业的关键信息基础设施而言，等保是基础，但重点略显不突出。面对当前错综复杂、对抗升级的网络安全形势，关键信息基础设施的安全防护需要更聚焦、更强化的标准。

尽管“关保”当前正处于报批稿阶段，但笔者还是想就其中一些内容（对比等保2.0）做一分析，以飨读者。

1

为什么强调关键信息基础设施网络安全保护

关键信息基础设施在《网络安全法》中有相关定义：“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息设施。”以工业控制系统为例，定义中说明的能源、交通、水利等领域的工控系统及关联系统都属于关键信息基础设施的范畴。定义中也明确指出：关键信息基础设施的保护，关系到国计民生、公共利益，甚至国家安全。显而易见，对这些信息设施的保护予以重点强调毫不为过，也势在必行。在等保2.0中，关键信息基础设施保护也是等级保护制度的重点保护部分。

在“关保”报批稿中指出：关键信息基础设施的安全保护应遵循重点保护、整体防护、动态风控、协同参与的基本原则,建立网络安全综合防御体系。

重点保护是指关键信息基础设施网络安全保护应首先符合网络安全等级保护政策及GB/T 22239-2019等标准相关要求，在此基础上加强关键信息基础设施关键业务的安全保护。

整体防护是指基于关键信息基础设施承载的业务，对业务所涉及的多个网络和信息系统（含工业控制系统）等进行全面防护。

动态风控是指以风险管理为指导思想，根据关键信息基础设施所面临的安全风险对其安全控制措施进行调整，以及时有效的防范应对安全风险。

协同参与是指关键信息基础设施安全保护所涉及的利益相关方，共同参与关键信息基础设施的安全保护工作。

2

“关保”与“等保2.0”的对比分析

按照目前报批稿的相关内容分析来看，等保2.0是基础，“关保”是在满足等保要求的基础上进行升级，从技术到管理、从过程到方法都有所提升。

范围不同，“关保”更聚焦

等保2.0是一个涵盖范围更广的标准，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等，基本上涵盖了我们能接触到的所有信息系统。“关保”主要针对重要行业和领域关乎国家安全、国计民生、公共利益的信息设施。

流程升级，“关保”更全面

等保2.0明确了定级备案建设、整改测评监督检查的流程。

“关保”主要包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节。“关保”的“安全防护”环节要求关键信息基础设施的运营者开展等保定级备案、安全建设、整改、测评及自查工作，在等保的基础上，加强关键信息基础设施关键业务的安全保护，“关保”的实施流程包含“等保”的同时增加更多动态风控的内容，比“等保”更加严格且全面。

图：关键信息基础设施网络安全保护各环节关系图

技术升级，“关保”更强化

“关保”在安全防护技术方面的要求更具体，也进一步强化。以网络审计为例，“等保”要求日志留存不少于六个月，“关保”对审计日志数据留存时间要求为12个月。以监测预警为例，“关保”对监测措施做出了明确规定，强调对系统的实时安全监测、建立通信流量或事态模型，并采取自动化机制对监测信息整合分析安全态势，要求各运营者建立关键信息基础设施的网络安全态势感知平台。同时“关保”也对“预警措施做出了明确规定，突出内外部监测预警分析能力，实现自动化的报警和应对措施联动，并强调内外部预警信息的通报和传递。以入侵检测为例，对新型网络攻击行为（如APT）的入侵防范也明确提出。

管理升级，“关保”更明确

“关保”对安全管理制度的内容有更加明确和细致的要求，安全策略和管理制度要求更加细化，同时对网络安全保护计划修订周期有更严格的要求。

表：基础差异

表：技术和管理要求差异

以上内容转自公众号：威努特工控安全