关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或出现数据泄露便可能严重危害国家安全、国计民生、公共利益的,重要网络设施和信息系统。关键信息基础设施安全保护制度直接针对关键信息基础设施运营者,设备与服务厂商作为间接参与者。
2017年6月,《网络安全法》正式生效,对关键信息基础设施在网络安全等级保护制度的基础上实行重点保护。
2020年1月,《密码法》生效,对于要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码对其进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2021年9月,《关键信息基础设施安全保护条例》生效,条例中提出关键信息基础设施的安全保护应遵循重点保护、整体防护、动态风控、协同参与的基本原则,建立网络安全综合防护体系。
2022年2月,《网络安全审查办法》生效,要求关键信息基础设施运营者采购网络产品和服务时,应进行网络安全审查。
2022年11月,为更加完善关键信息基础设施保护体系,全国信息安全标准化技术委员会正式发布了首个标准《信息安全技术 关键信息基础设施安全保护要求》,并于2023年5月1日正式实施。《要求》共计11章111条,明确了关键信息基础设施安全保护工作的主要内容及活动,具体包括分析识别、安全防护、检测评估、监测预警、主动防御和事件处置,可以指导运营者对关键信息基础设施进行全生命周期的安全保护工作。
在等级保护制度的基础上,应施行重点保护,构建关键信息基础设施安全防护体系。重点保护主要体现在两方面:第一是明确重点行业和领域(本节开头处提到的几大行业和领域);第二是明确重点保护对象(增加了关键业务、关键业务链、数据安全、供应链安全等对象)。关键信息基础设施防护工作有如下三大基本原则。
以关键业务为核心的整体防护:关键信息基础设施防护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防护体系。对主要工作内容实现统一的整合和闭环管理,形成整体安全防护体系,加强关键业务运行所涉及的各类信息的整体安全态势分析,形成整体安全防护能力。
以风险管理为导向的动态防护:根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。通过引入自动化技术和工具,实现实时监测、通报预警、事件处置、指挥调度,形成立体化网络安全动态监测能力。
以信息共享为基础的共同防护:积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击的能力。与国家有关平台对接,实现协同联动和数据共享,做到统一指挥、快速调度,确保关键信息基础设施安全防护可以跨部门、跨行业、跨地域进行。
2007 年,《信息安全等级保护管理办法》(公通字〔2007〕43 号)正式发布,标志着等级保护1.0标准的正式启动。等级保护1.0标准规定了等级保护需要完成的“规定动作”,即定级备案、建设整改、等级测评和监督检查,为了指导用户完成这些“规定动作”,2008—2012 年间陆续发布了等级保护主要标准,构成了等级保护1.0标准体系。
2017年,《网络安全法》的正式实施标志着等级保护2.0标准的正式启动。随着信息技术的发展,等级保护对象已经从狭义的信息系统,扩展为网络基础设施、云计算平台/系统、大数据平台/系统、物联网系统、工业控制系统、采用移动互联技术的系统等,基于新技术和新手段提出新的分级技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。
2019—2020年,作为支撑网络安全等级保护2.0标准的新标准GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070-2019《信息安全技术 网络安全等级保护设计技术要求》、GB/T28448-2019《信息安全技术 网络安全等级保护测评要求》相继出台。
工业和信息化部委托中国信通院基于GB/T 22239-2019等国家标准,开展了电信网和互联网领域的细化标准制定。相继完成了YD/T 3799-2020《电信网和互联网网络安全防护定级备案实施指南》等一系列行业标准的修订和发布。
电信网和互联网安全防护工作的范围包括由网络运营者(电信业务经营者、互联网域名服务提供者、互联网信息服务提供者)管理和运行的公用通信网、互联网及其组成部分。等级保护标准实施的基本过程如图2-4所示。
图2-4 等级保护标准实施的基本过程
中国信通院制定的等级保护标准体系可分为三个层级,分别为:总体指导性标准;专业网络标准;公共标准。总体指导性标准主要从理念和框架上进行定义,专业网络标准针对不同网络类型进行详细定义,公共标准则涵盖物理环境、管理、用户信息保护的通用要求,以及对于通用设备和中间件的基线要求,如图2-5所示。
图2-5 中国信通院等级保护标准体系