关保笔记系列

初识《关键信息基础设施网络安全保护基本要求》：基于等保，高于等保

关保笔记（二）：识别认定

关保笔记（三）：安全防护

安全防护是关保标准中的第二个环节，也是重点环节，基于等保开展定级、备案、测评、建设、整改和自查工作。此外，在以下8个领域提出要求：

网络安全等级保护制度

安全管理制度

安全管理机构

安全管理人员

安全通信网络

安全计算环境

安全建设管理

安全运维管理

网络安全等级保护制度

应符合国家网络安全等级保护制度相关要求，对相关信息系统开展定级备案、相应等级的测评、安全建设、整改及自查工作。该领域要求就是等级保护制度的定级备案工作，因为暂时没有CII专属定级备案法规文件，可能在一段时间内会依照等级保护制度执行。

安全管理制度

a）建立适合本组织的网络安全保护计划，结合关键业务流的安全风险报告，明确关键信息基础设施网络安全保护工作的目标、安全策略、组织架构、管理制度、技术措施、实施细则及资源保障等，形成文档并经审批后发布至相关人员。网络安全保护计划应至少每年修订一次，或发生重大变化时进行修订。

注 1：安全策略包括但不限于：安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略（配置、漏洞、补丁、病毒库）、供应链安全管理策略、安全运维策略等。

注 2：管理制度包括但不限于：风险管理制度、网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、三同步制度、供应链安全管理制度等。

b）基于关键业务链、供应链等安全需求建立或完善安全策略和制度，并根据关键信息基础设施面临的安全风险和威胁的变化相应调整。

安全防护环节要求与等保2.0十分相似，但细节上却又不大相同，这也体现了《要求》“基于等保，高于等保”的理念。安全管理制度部分基本和等保相同，但是在细节要求上扩展了范围。相同部分，这里不再重述，可以参考关于等保的解读。

CII安全防护中把资源保障问题提升了高度，与信息系统不同，CII应准备必要的资源以保障设施正常运行。而在安全策略方面，《要求》中给出了部分示例（这些是必须要有的），但并不局限于此。其中除了安全技术保障外，还提出了额外要求，如数据安全防护策略（有关数据安全建议可以参考一下《DSMM》）、自动化机制策略、供应链安全管理策略。从之前的《要求》原文中可以看出，关保再三强调自动化管理和平台。

管理制度方面新提出了网络安全考核及监督问责制度、三同步制度、供应链安全制度。《要求》所说的管理制度是一种动态的，不断适应变化的制度体系，不是只要有模板制度或是几年前适应当时情况的制度就可以了，而是一种时刻根据业务风险和威胁变化，能够随之而变的管理制度。这也是去年Gartner以及今年RSAC所提倡的“以人为本”理念。不只是考虑人所带来的风险，也要考虑人所带来的发展和所给予人们的收益。

安全管理机构

a）成立指导和管理网络安全工作的委员会或领导小组，由组织主要负责人担任其领导职务，设置专门的网络安全管理机构，建立首席网络安全官制度，建立并实施网络安全考核及监督问责机制。

b）安全管理机构主要人员应参与本组织信息化决策。

c）安全管理机构相关人员应参加国家、行业或业界网络安全相关活动，及时获取网络安全动态，并传达到本组织。

安全管理机构要求和等保2.0基本相同（前两条要求），额外要求管理机构人员应经常参加一些国内外的安全技术会议、论坛（互联网大会、RSAC等），将国际、业界最新网络安全动态（趋势、新兴技术、标准框架等）信息在组织内部培训或宣讲。

安全管理人员

a）对安全管理机构的负责人和关键岗位的人员进行安全背景和安全技能审查，符合要求的人员方能上岗，关键岗位包括与关键业务系统直接相关的系统管理、网络管理、安全管理等岗位。关键岗位应专人负责，并配备2人以上共同管理。

b）运营者应建立网络安全教育培训制度，定期开展基于岗位的网络安全教育培训和技能考核，应规定适当的关键信息基础设施从业人员和网络安全关键岗位从业人员的年度培训时长，教育培训内容应包括网络安全相关制度和规定、网络安全保护技术、网络安全风险意识等。

c）在上岗前对人员进行安全背景审查，当必要时或人员的身份、安全背景等发生变化时（例如取得非中国国籍）应根据情况重新进行安全背景审查。应在人员发生内部岗位调动时，重新评估调动人员对关键信息基础设施的逻辑和物理访问权限，修改访问权限并通知相关人员或角色。应在人员离岗时，及时终止离岗人员的所有访问权限，收回与身份认证相关的软硬件设备，进行离职面谈并通知相关人员或角色。

d）与从业人员签订安全保密协议，在安全保密协议中，应约定安全职责、奖惩机制，以及当离岗后的脱密期限。

关保对人员安全的要求相比等保更严格、更细化。主要体现在几个方面：

关键岗位（三员）背调上岗，身份发生变化时重新开展背调工作

关键岗位必须配置AB岗

关键岗位人员培训规定时长

明确离岗后脱密期限

该领域标准要求描述不难理解，不需要进一步解释。

安全通信网络

（1）互联安全

a）建立或完善不同等级系统、不同业务系统、不同区域之间的安全互联策略。

b）保持相同的用户其用户身份、安全标记、访问控制策略等在不同等级系统、不同业务系统、不同区域中的一致性。例如，可以使用统一身份与授权管理系统/平台。

c）对不同局域网之间远程通信时采取安全防护措施，例如在通信前基于密码技术对通信的双方进行验证或认证。

CII通常可能承载多个业务系统（包括同一系统的不同安全域或VPC），各系统等级不同，但业务需要互访，这种情况下需要对系统与系统间的访问策略进行限制。如无需互访，系统间可以采取逻辑或物理隔离。同时加强身份管理（例如准入系统）和密钥管理。

等保2.0对四级系统要求远程通信必须开启双向认证，关保也同样强调使用密码技术（国密算法为主，国际加密算法为辅）进行双向认证。

（2）边界防护

a）对不同网络安全等级系统、不同业务系统、不同区域之间的互操作、数据交换和信息流向进行严格控制。例如：采取措施限制数据从高网络安全等级系统流向低网络安全等级系统。

b）应对未授权设备进行动态检测及管控，只允许通过运营者自身授权和安全评估的软硬件运行。

（3）安全审计

加强网络审计措施，监测、记录系统运行状态、日常操作、故障维护、远程运维等，留存相关日志数据不少于 12 个月。

边界防护部分可以同互联安全部分放在一起来看，主要是有关越权管理。而对于CII的安全审计要求明显高于等保2.0要求。首先是除了基础五元组的安全相关日志，还要求加入运行状态、操作记录、故障维护记录、远程操作记录等，且不少于12个月。这项要求对于运营者来说还是具有一定压力的。

安全计算环境

（1）鉴别与授权

a）运营者应明确重要业务操作或异常用户操作行为，并形成清单。

b）对设备、用户、服务或应用、数据进行安全管控，对于重要业务操作或异常用户操作行为，建立动态的身份鉴别方式，或者采用多因子身份鉴别方式等。

c）针对重要业务数据资源的操作，基于安全标记等技术实现访问控制。

要求对于重要业务要有明确的操作规范和操作流程，并在规范中定义异常操作。其中，针对重要业务进行操作前需要进行身份鉴别（双因子认证）。这里提到也可使用动态身份鉴别方式（如验证码、滑块拼图等），不过相比还是双因子鉴别安全系数更高一些，具体可以根据实际情况来选择。业务数据的访问控制属于等保常规要求，不再解释。

（2）入侵防范

a）实现对新型网络攻击行为（如 APT 攻击）的入侵防范。

b）具备系统主动防护能力，及时识别并阻断入侵和病毒行为。

《要求》中对于入侵防范的要求明显高于等保2.0要求，更注重新型威胁的防护，并建议采用新兴技术（欺骗防御、威胁情报、自适应/零信任网络等），由被动转变为主动来实现外部攻击的预警和防护工作。

（3）数据安全防护

此部分非本人专业领域，建议大家参考GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型。

《要求》中强调的一些重点如下：

数据安全风险评估

网络安全应急预案

数据和个人信息保护管理策略

跨境数据安全管理

数据加密、脱敏、去标识管理

BCP、DRP和异地备份（异地实时切换能力）

（4）自动化工具

使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。对于漏洞、补丁，应在经过验证后及时修补。

这里个人感觉同之前识别认定环节相似，都是对于资产的自动化识别、监控、管理，包括漏洞、病毒库和补丁等。在关保中反复强调自动化管理，可见国家对这类技术的重视。

安全建设管理

（1）网络安全与信息化同步要求

a）在新建或改建、扩建关键信息基础设施时，充分考虑网络安全因素，在规划、建设和投入使用阶段保证安全措施的有效性，并采取测试、评审、攻防演练等多种形式验证。必要时，可建设关键业务的仿真验证环境。

b）当关键信息基础设施退役废弃时，按照数据安全管理策略对存储的数据进行处理。

本部分要求CII的整个生命周期实施“三同步”以及“重点保护、整体防护、动态风控、协同参与”原则，从设计阶段就要考虑网络安全因素。上线前也要像信息系统一样，做好上线前的各项安全测试，且要比等保中的SDL要求更为严格。《要求》中明确指出，采取测试、评审、攻防演练和仿真验证环境。还包括设施废弃后，对于数据的销毁策略。

（2）供应链安全保护

2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上指出，“互联网核心技术是我们最大的‘命门’，核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高，如果核心元器件严重依赖外国，供应链的‘命门’掌握在别人手里，那就好比在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击。”

2016年我国发布了《国家网络空间安全战略》，其中明确提出“建立实施网络安全审查制度，加强供应链安全管理，对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查，提高产品和服务的安全性和可控性，防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。”另外，我国也制定了ICT供应链安全的相关标准，如GB/T 24420-2009供应链风险管理指南、GB/T 31168-2014云计算服务安全能力要求、GB/T 32921-2016信息技术产品供应方行为安全准则、GB/T 22239-2008信息系统安全等级保护基本要求、GB/T 29245-2012政府部门信息安全管理基本要求。2018年5月1日正式实施的GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》，正是在完整性、保密性、可用性、可控性的原则指导下制定的指南，目标使用者包括了ICT产品、服务的采购方——党政部门、重点行业、关键信息基础设施。

本部分侧重的是当前供应链攻击的增长，组织可能对于自身安全能够做到有效管控，但是对于供应商和服务商就有些鞭长莫及了。这一攻击方式，在过去几年里极大地改变了典型的企业攻击方式，因为能够接触到敏感数据的供应商和服务提供商的数量，要比以往任何时候都要多，而这些第三方组织的安全管理远不如CII运营者。近几年国内外有关数据泄露的安全事件，大多数是第三方管理不善引起的，因此组织应重点关注第三方风险管理工作。

供应链面临的安全风险主要来源于安全威胁和安全脆弱性。安全风险主要包括恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作和其他方面的威胁。安全脆弱性主要包含供应链生命周期的脆弱性和供应链基础设施的脆弱性。

《要求》对供应链安全提出以下防护要求：

供应链安全管理策略/制度

产品全生命周期风控

多供应商选择，以防锁定防线

供应商权限管理

产品及设备符合国家法规

漏洞检测和通报

明确责任

安全运营管理

a）保证关键信息基础设施的运维地点位于中国境内，如确需境外运维，应当符合我国相关规定。

b）应要求维护人员签订安全保密协议。

c）确保优先使用已登记备案的运维工具，如确需使用由维护人员带入关键信息基础设施

内部的维护工具，应在使用前通过恶意代码检测等测试。本部分要求比较明确，相比等保2.0没有交特殊的额外要求，不做详细解释。

附：关保安全防护环节标准框架图

最后

对于后续检测评估、监测预警和事件处置三个环节的内容描述较为清晰，不需要特别说明，待《要求》正式发布后，各位可自行阅读参考。因此，关保系列笔记到此完结。本系列所参考为《关键信息基础设施网络安全保护基本要求》（征求意见稿）、部分互联网《关键信息基础设施网络安全保护基本要求》（报批稿）内容。《要求》最终版本还要参考后续颁布的正式国标文件。

*本文原创作者：宇宸，本文属FreeBuf原创奖励计划，未经许可禁止转载