首个关基国家标准正式发布，来看详细解读和防护建议 - 网安

Notice

2022年11月，国家标准GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》正式发布。这是2021年8月《关键信息基础设施保护条例》颁布后一年多，正式发布的第一项关键信息基础设施保护相关的国家标准。在此之前，已经有一大批关基保护的国家标准进行了长达10余年的筹备和研究，在《网安法》《关基保护条例》出台后，一些重要的理论、概念和范围得以明确，将会有一批关基保护国家标准陆续出台，在网络安全等级保护的基础上，重绘国家网络安全保护工作、网络安全保护技术、产业和市场的发展蓝图。

标准的产生

国家标准GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》的制定计划早在2017年就由国家标准化管理委员会下达至“全国信息安全标准化技术委员会（TC260）”。计划号为：20173585-T-469。立项之初的标准名称为“关键信息基础设施网络安全基本要求”。标准的研究、制定以及各网络安全主管监管部门之间的协调过程历时超过7年，标准制定的过程有以下几个特点：

对象明确

标准的制定直接面向关基保护对象，以金融、能源、电力为代表的关基行业运营者在标准制定的早期就已经参与需求调研，主要科研院所、阿里腾讯等代表性互联网企业和国家级的网络安全检测监测机构为标准在提供关基安全防护手段方面提供技术支持。

兼顾国内外经验

与国外主要包括美、欧在关键基础设施保护标准的演进保持同步，NIST的《改善关键基础设施网络安全的框架》、ENISA的《数字服务提供商实施最低安全控制措施技术指南》和法国的《关键运营者强制性安全规则的通用措施集》是标准重要的参考。《网安法》发布后，落实网安法关于保护关键信息基础设施的运行安全的要求，在国家等级保护制度基础上，我国相关部门在重要领域网络安全审查、网络安全检查等重点工作的成熟经验也迅速被纳入标准。

以此标准为原点构筑了一套标准体系

制定初期，至少有4-5项标准同时被纳入制定计划，包括《关键信息基础设施网络安全框架》（直接参考了CSF，目前已经被撤销）作为基础标准，阐明构成框架的基本要素及其关系，统一通用术语和定义；作为基线类标准，对关键信息基础设施运营者开展网络安全保护工作提出最低要求；《关键信息基础设施安全控制措施》作为实施类标准，根据基本要求提出相应的控制措施；《关键信息基础设施安全检查评估指南》和《关键信息基础设施安全保障指标体系》作为测评类标准，依据基本要求明确关键信息基础设施检查评估的目的、流程、内容和结果，并依据检查评估结果、日常安全检测等情况对关键信息基础设施安全保障状况进行定量评价。

较大规模的标准试点试用

标准制定的同时开展了标准试点进而改进标准内容。2019年12月，TC260启动了本标准的试点。电信、广电、能源、交通、金融、卫生健康等重点行业和领域选取了12家单位作为标准应用试点单位。中国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、国家计算机应急技术处理协调中心、公安部第三研究所、公安部第一研究所、国家工业信息安全发展研究中心、中国互联网络信息中心等8家标准编制单位作为第三方测评机构。另外《关键信息基础设施检查评估指南》也进行了较大规模的试点应用，确保了标准的可操作性。

标准的影响与意义安全法律法规体系

《关基保护要求》的发布与实施，是对《网络安全法》《数据安全法》中对关基保护要求的严格落实，也是对《关基保护条例》中对关基保护要求的继承、强调与细化，同时关基保护强调的在等级保护基础上的重点防护，也清晰定位了关保与等保之间关联关系。此外，要求的正式发布，也对其他尚未发布的关基保护相关安全标准的制定具有参考和促进意义。

安全监管工作

《关基保护条例》明确了关键信息基础设施安全监管单位职责范围，《关基保护要求》为国家、行业主管单位针对关基单位履行安全监督、指导等责任提供了明确的任务重点和依据，有助于促进安全监管职能的发挥，切实保障安全监管效果，也为国家、行业制定关基安全防护工作方针、战略提供了必要支撑。

企业安全建设

结合等级保护要求，《关基保护要求》为企业安全建设提供了更为丰富的安全建设参考标准，也对关基安全运营者责任的履行提供了清晰的工作任务划分。对于企业内部安全责任部门，有助于制定整体安全建设与防护策略，也对本单位的安全工作推进提供了强有力的外部合规支持力量，有效促进安全工作的开展与任务落实。

建设之“刚”

整体框架内容

总体目标

关基保护是在等级保护基础之上对关键信息基础设施的再保护、重点防护，《关基保护要求》以关键信息基础设施为中心，采取必要的管理、技术措施，切实提升关键信息基础设施的整体安全防护水平，保障业务稳定安全运行与数据安全。

该安全目标的明确提出，既是网络安全保护工作的最终目标，也与关键信息基础设施一旦发生安全事件带来的严重影响相对应。

适用范围

内容上，明确关基保护6个主要的方面：分析识别、安全防护、检测评估、监测预警、主动防御、事件处置，对这6个方面提出操作要求。

适用对象上，首先关基运营者是本标准的第一适用对象，6个方面的防护工作主要交给关基运营者也就是各重点行业自行实施。其次，关键信息基础设施安全保护的其他相关方也是标准的重要适用对象，这其中包含了主管监管部门、第三方测评机构和网络安全服务提供方、网络安全企业等。

首次在技术标准中定义“关键信息基础设施”

关键信息基础设施定义为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”此定义与关基保护条例第二条完全一致。

三大原则体现关基保护特点

1、以关键业务为核心的整体防控。关键信息基础设施安全保护以保护关键业务为目标，对业务所涉及的一个或多个网络和信息系统进行体系化安全设计，构建整体安全防控体系。

2、以风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整，形成动态的安全防护机制，及时有效地防范应对安全风险

3、以信息共享为基础的协同联防。积极构建相关方广泛参与的信息共享、协同联动的共同防护机制，提升关键信息基础设施应对大规模网络攻击能力。

由于关基安全自身的特性：“业务不可中断”“发生安全事件的代价极大”“安全风险连锁连片”等，关基保护与传统的网络安全防护有巨大的差异。从三大原则，可以看到，关基防护目标从“保障系统安全”转向“保障业务连续性”，从“事件影响消除”转向“风险防范和化解”。由此，关基保护与等级保护的差别体现在：从“静态防御”转向“动态防御”，从“被动防御”转向“主动防御”，从“单点防御”转向“协同联防”。

6个环节，持续防护

关基保护的具体内容包括了分析识别、安全防护、检测评估、监测预警、主动防御和事件处置。

1、分析识别。该活动是关基保护其他活动的基础。针对关基相关业务进行依赖性、重要性和内外链条的梳理，形成关基业务画像，便于准确识别相关的资产与风险。基于业务识别相关的资产，明确关基防护的范围和优先级，有利于风险评估工作的开展。重大变更、动态资产识别要求，是确保关基业务、资产处于关基防护体系内的重要举措。

2、安全防护。安全防护部分，提出了10个方面的要求。这10个方面的要求，等级保护被作为前提和前置条件。具体的防护措施按照技术和管理划分，其中有5项与安全管理相关，包括安全管理机构、制度、人员、建设管理和运维管理。防护技术方面主要强调了安全通信网络的安全和计算环境的安全。数据安全和供应链安全问题但是带有全局性且一旦出现安全风险将产生连锁连片影响的问题，因此在此单独提出。

3、检测评估。检测评估的内容与等保测评相比，出现了较多新的方法。这里的检测评估，包含了对关基运营者网络安全管理机制、组织机构建设、技术防护（风险评估、应急、攻防演练）等基本安全防护机制和基本情况的检查，也包含了针对特定系统和资产，在获得批准或授权进行的渗透性测试，以及针对安全风险的抽查。网络安全服务机构在检测评估环节得到更多的发挥空间。这里的网络安全服务机构可以理解为既包括了传统的国家层面的第三方检测机构，理应也包含具备检测能力的网络安全企业。

4、监测预警。建立并实施监测预警制度，一是在内部建立成熟的风险威胁同步与处置机制，提高响应处置协作能力。二是通过对外部安全态势的监测，提升内部安全措施的跟进与预警的及时性。三是在关基保护过程中，建立与外部机构组织的合作机制，有效进行信息的共享。监测预警技术能力的要求，为关基运营者提升整个安全体系风险威胁监测与预警处置能力提供了必要的场景化指导，明确了监测预警分析等安全运营工作的重点。

5、主动防御。在标准中提出主动防御的要求，是一个新的有突破性的技术要求。除了提出收敛暴露面，也明确提出了攻击阻断、攻击溯源的要求，这对整个国家层面的网络安全防护甚至是反击能力提出了新的要求。主动防御同时也强调了对威胁情报的共享机制。

6、事件处置。关基保护的核心思想，是风险管控，以做到“防患于未然”，这一点在全球范围内是基本的共识。很多核心的关键信息基础设施是不允许出现“破坏性的网络安全事故”。因此IPDRR中对最后一个R的要求是极高的，在事件处置部分的技术规范内容中没有提出更新的R方法，本部分更多是提出对应急演练、应急响应、通报等处置机制的进一步完善，提升与其他安全防护、监测、预警等机制的协同配合能力，减少信息鸿沟。

提升两大网络安全服务能力

对于网络安全服务机构，主要任务将是为国家层面的网络安全防护机构提供技术支撑，为关基运营者提供全方位的持续的网络安全服务。关基安全保护要求所提出的原则，就是企业网络安全服务能力需要提升的方向。匹配关基保护要求，一是升级并强化安全运营的模式与流程，提升安全运营在关基行业安全建设的早期介入能力。确保关基业务连续性为目标，在关基企业信息化建设初期就介入设计，并实施与业务连续性保障有关的安全防护方案。二是以提升风险管控和动态防御能力为核心，强化安全运营过程中的风险识别，安全检测、监测预警和快速响应能力。

提升以信息共享为基础的协同联防能力

提升以信息共享为基础的协同联防能力，带动技术、产品的升级，提升并拓展威胁情报的收集、共享能力，提升网络网络安全产品互联互通能力。在态势感知、数据安全监测、网络攻击溯源与反击能力方面，强化与国家机构以及网络安全商业机构之间的联系、协同与合作，提升对关基保护过程中防范阻断大规模网络攻击、处置和减缓连锁连片安全灾难性事故能力，带动态势感知、数据安全等技术、产品的升级。

提升关键信息基础设施领域重点行业纵向防护能力

在“关键信息基础设施”的定义中已经明确，关基保护的主体是“公共通信、信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等”的运营者，运营者是确保关基安全的第一责任方。不同于美国等关基行业私营特点，在我国，关基行业“垂直性”的从中央到地方，要充分了解不同行业的在网络安全防护的优势与缺陷，从总部到省、市、县、乡，完善纵向防护能力，对关键信息基础设施实现“从头到脚”的安全防护。