信息安全技术 关键信息基础设施安全控制措施(报批稿)【2019.04.18】.docx
《信息安全技术 关键信息基础设施安全控制措施(报批稿)【2019.04.18】.docx》由会员分享,可在线阅读,更多相关《信息安全技术 关键信息基础设施安全控制措施(报批稿)【2019.04.18】.docx(27页珍藏版)》请在冰点文库上搜索。
ICS35.040
L80
中华人民共和国国家标准
GB/TXXXXX—XXXX
信息安全技术 关键信息基础设施安全控制措施
Informationsecuritytechnology-Securitycontrolsofcriticalinformationinfrastructure
在提交反馈意见时,请将您知道的相关专利连同支持文件一并附上。
(征求意见稿)
(本稿完成日期:
2019-4-12)
XXXX-XX-XX发布
XXXX-XX-XX实施
GB/TXXXXX—XXXX
目次
1范围 1
2规范性引用文件 1
3术语和定义 1
4概述 2
4.1关键信息基础设施保护相关角色和职责 2
4.2关键信息基础设施安全控制措施的分类 2
5风险识别 2
5.1业务识别 2
5.1.1关键业务识别 2
5.1.2关键信息基础设施边界识别 3
5.2资产识别 3
5.2.1资产清单 3
5.2.2数据分类分级 3
5.2.3资产防护优先级 3
5.3风险分析 3
5.4重大变更 4
6安全防护 4
6.1安全管理制度 4
6.2安全管理机构 4
6.3安全管理人员 5
6.3.1人员审查 5
6.3.2人员筛选 5
6.3.3人员培训 5
6.3.4人员调动 6
6.3.5人员离职 6
6.3.6职责分离 6
6.4安全通信网络 6
6.4.1互联安全 6
6.4.2边界防护 7
6.4.3安全审计 7
6.5安全计算环境 8
6.5.1鉴别与授权 8
6.5.2入侵防范 8
6.5.3数据安全防护 8
6.5.4容灾备份 9
6.5.5业务连续性 9
6.5.6自动化管理 10
6.6安全建设管理 10
6.6.1网络安全与信息化同步要求 10
6.6.2供应链保护 11
6.6.3网络产品和服务采购与使用 11
6.6.4网络产品和服务供应商管理 12
6.7安全运维管理 12
6.7.1运维审批和记录 12
6.7.2运维工具 12
6.7.3远程维护 13
6.7.4运维人员 13
7检测评估 13
7.1检测评估制度 13
7.2检测评估方式和内容 13
7.3安全抽查 14
7.4整改 14
8监测预警 14
8.1监测预警制度 14
8.2监测 15
8.2.1监测设备 15
8.2.2监测内容 15
8.2.3监测信息关联分析 16
8.3预警 16
8.3.1信息共享 16
8.3.2监测报警信息 16
8.3.3内部预警信息 17
8.3.4外部预警信息 17
9事件处置 17
9.1事件管理制度 17
9.2应急预案 18
9.2.1预案制定 18
9.2.2应急培训 18
9.2.3应急演练 18
9.3响应和处置 19
9.3.1事件报告 19
9.3.2事件处置 19
9.3.3系统恢复 19
9.3.4事件总结 19
9.3.5事件通报 20
9.4重新评估 20
参考文献 21
前言
本标准按照GB/T1.1-2009《标准化工作导则 第1部分:
标准的结构和编写》给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:
中国信息安全研究院有限公司、中国电子技术标准化研究院、公安部第三研究所、公安部第一研究所、国家信息中心、国家工业信息安全发展研究中心、国家互联网应急中心、国家信息技术安全研究中心、中国信息安全测评中心等。
本标准主要起草人:
引言
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施是经济社会运行的神经中枢,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。
当前,我国关键信息基础设施面临的网络安全形势严峻复杂,网络安全防控能力薄弱,难以有效应对网络攻击,《网络安全法》《国家网络空间安全战略》等提出建立关键信息基础设施安全保护制度。
2017年7月,国家网信部门发布了《关键信息基础设施安全保护条例(征求意见稿)》,条例明确了关键信息基础设施的具体范围,并提出了进一步的安全保护要求。
此外,国家网信部门还会同有关部门起草了《网络产品和服务安全审查办法(试行)》《国家网络安全事件应急预案》《个人信息和重要数据出境安全评估办法(征求意见稿)》,均对关键信息基础设施运营者提出了相关要求。
基于对《网络安全法》及相关法律法规要求的细化落实,围绕上述目标,结合目前已经开展的关键信息基础设施网络安全保护工作,全国信息安全标准化委员会组织开展了系列标准的制定,主要有以下五项标准。
《关键信息基础设施网络安全框架》作为基础标准,阐明构成框架的基本要素及其关系,统一通用术语和定义;《关键信息基础设施网络安全保护基本要求》作为基线类标准,对关键信息基础设施运营者开展网络安全保护工作提出最低要求;本标准作为实施类标准,根据基本要求提出相应的控制措施;《关键信息基础设施安全检查评估指南》作为测评类标准,依据基本要求明确关键信息基础设施检查评估的目的、流程、内容和结果;《关键信息基础设施安全保障指标体系》作为测评类标准,依据检查评估结果、日常安全检测等情况对关键信息基础设施安全保障状况进行定量评价。
本标准将为关键信息基础设施保护工作的部门指导和监督关键信息基础设施运行安全保护工作提供技术参考,也可供关键信息基础设施运行安全保护工作的其他参与方参考,对提高我国关键信息基础设施安全保障水平具有十分重要的意义。
III
GB/TXXXXX—XXXX
信息安全技术关键信息基础设施安全控制措施
1范围
本标准规定了关键信息基础设施运营者在风险识别、安全防护、检测评估、监测预警、事件处置等环节应实施的安全控制措施,以满足关键信息基础设施网络安全保护的基本要求。
本标准适用于关键信息基础设施的规划设计、开发建设、运行维护、退出废弃等阶段,可供关键信息基础设施保护工作部门、关键信息基础设施运营者以及关键信息基础设施安全保护中的其他参与者参考。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T20984-2007信息安全技术信息安全风险评估规范
GB/T20988-2007信息安全技术信息系统灾难恢复规范
GB/T22239-XXXX信息安全技术网络安全等级保护基本要求
GB/T25069-2010 信息安全技术术语
GB/T35273-2017信息安全技术个人信息安全规范
GB/Z20986-2007信息安全技术信息安全事件分类分级指南
GB/T32924-2016信息安全技术网络安全预警指南
GB/T36635-2018信息安全技术网络安全监测基本要求与实施指南
GB/TAAAAA-AAAA信息安全技术关键信息基础设施网络安全保护基本要求
GB/TBBBBB-BBBB信息安全技术关键信息基础设施安全检查评估指南
3术语和定义
GB/T25069-2010界定的以及下列术语和定义适用于本文件。
3.1
关键信息基础设施criticalinformationinfrastructure
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。
3.2
控制措施controls
为保护关键信息基础设施及其信息的保密性、完整性和可用性等,在管理、运行和技术等方面的防护措施和和对抗措施。
4概述
4.1关键信息基础设施保护相关角色和职责
本标准所指的关键信息基础设施包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统、工业控制系统等,其一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。
关键信息基础设施安全保护中涉及到角色包括:
关键信息基础设施运营者、关键信息基础设施安全保护工作部门以及关键信息基础设施安全保护中的其他参与者。
——关键信息基础设施运营者:
负责关键信息基础设施的运行、管理,对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。
——关键信息基础设施安全保护工作部门:
即所属行业或领域的国家行业主管或监管部门,负责指导和监督本行业、本领域的关键信息基础设施运行安全保护工作。
——关键信息基础设施安全保护其他参与者:
与国家关键信息基础设施安全相关的其他组织。
包括但不限于:
关键信息基础设施网络安全保护相关部门、关键信息基础设施网络安全服务机构、研究机构、网络产品和服务提供者以及用户等。
关键信息基础设施网络安全保护中的相关角色应按我国法律法规和政策规定履行各自职责。
4.2关键信息基础设施安全控制措施的分类
本标准参照GB/TAAAAA从风险识别、安全防护、检测评估、监测预警、事件处置五个环节,根据关键信息基础设施的基本要求提出相应的控制措施。
关键信息基础设施运营者应在满足网络安全等级保护GB/T22239相应级别要求的基础上,围绕安全风险管理,根据自身具体情况和识别的安全风险,选择应采取的安全控制措施,确保将安全风险控制在可接受的范围。
——风险识别:
围绕关键信息基础设施承载的关键业务,开展风险识别,包括识别资产、威胁、脆弱性、已有安全措施,进行风险分析。
风险识别是开展安全防护、检测评估、监测预警、事件处置等工作的基础。
——安全防护:
根据已识别的安全风险,实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。
本环节在认定关键信息基础设施及识别其安全风险的基础上制定安全防护措施。
——检测评估:
为检验安全防护措施的有效性,发现网络安全风险隐患,建立健全关键信息基础设施检测评估制度,确定检测评估的流程及内容等要素,分析潜在安全风险并进行整改。
——监测预警:
制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时进行预警通报。
——事件处置:
根据监测预警环节发现的问题,制定并实施适当的应对措施,并恢复由于网络安全事件而受损的功能或服务。
5风险识别
5.1业务识别
5.1.1关键业务识别
关键信息基础设施运营者应:
a)识别本组织的关键业务和关键业务所依赖的外部关键业务。
b)当关键业务为外部关键业务提供服务时,识别本组织关键业务对外部关键业务的重要性。
c)建立关键业务链。
5.1.2关键信息基础设施边界识别
关键信息基础设施运营者应:
a)基于关键业务链,识别关键业务链所需的信息流,主要考虑以下因素:
1)该信息流足以保障关键业务按照预设功能运行。
2)该信息流一旦中断或者发生信息泄露,给关键业务造成严重影响。
b)基于信息流,识别关键信息基础设施的最大可能边界,即涉及的所有网络设施、信息系统。
c)开展关键性评估,调整关键信息基础设施的边界范围,并重新评估至确定边界,评估主要考虑以下因素:
1)网络设施、信息系统等对关键业务的重要程度。
2)网络设施、信息系统等一旦遭到破坏后可能带来的危害程度。
3)对其他组织关键业务的关联性影响。
d)明确本组织的关键信息基础设施分布和运营情况。
5.2资产识别
5.2.1资产清单
关键信息基础设施运营者应:
a)参照GB/T20984,围绕关键信息基础设施承载的关键业务,识别关键信息基础设施的资产并进行分类,包括数据、服务、信息系统、平台或支撑系统、基础设施、服务、人员管理等。
b)当关键信息基础设施发生改建、扩建等重大变化时,例如网络拓扑、业务链改变等,重新开展识别工作,并更新资产清单。
c)建立和维护关键信息基础设施的各类资产清单,明确资产的管理责任人。
d)建立数据分类分级制度,对关键信息基础设施承载的数据进行分类分级。
e)参照国家有关要求,识别与国家安全、经济发展以及社会公共利益密切相关的重要数据。
f)基于资产类别、资产本身的重要性以及资产所支撑的业务的重要性,对资产进行优先排序,确定资产防护的优先级。
5.2.2资产自动管理
关键信息基础设施运营者应能够采用自动化方式进行资产管理,包括:
a)根据关键业务链所依赖资产的实际变化等,自动更新资产清单。
b)使用符合法律法规要求的资产定位技术手段,例如端口监控或自动位置跟踪技术,监控并追踪受控区域内资产的位置和转移情况,以确保重要设备和核心组件位于所授权的区域内。
c)通过配置管理数据库(CMDB)等方式,实现数据库自动管理。
d)能够使用自动机制识别关键信息基础设施信息系统中新增的非授权软件、硬件或固件组件。
5.3风险分析
关键信息基础设施运营者应参照GB/T20984,围绕关键业务链进行以下活动:
a)识别关键业务链面临的威胁,判断威胁可能性。
b)实施脆弱性扫描,确保所使用的脆弱性扫描工具能对扫描结果生成报告,对发现的漏洞提供修复建议,并及时更新漏洞库,如在实施扫描之前、在新的漏洞信息发布之后。
c)识别组织已有的安全措施,并对已有安全措施的有效性进行确认。
d)根据识别的关键业务链资产、威胁、脆弱性和已有安全措施,进行风险分析。
e)根据业务重要性和风险严重程度,确定关键信息基础设施风险处置的优先级。
5.4重大变更
当关键信息基础设施发生改建、扩建等重大变更有可能影响认定结果时,关键信息基础设施运营者应当重新开展识别工作,并更新资产清单,及时将相关情况报告保护工作部门,按规定进行重新认定。
其中,重大变更的情形包括但不限于:
a)网络拓扑发生重大变化。
b)关键业务链发生变化或关键业务的重要性发生变化。
c)业务服务范围发生重大变化。
6安全防护
6.1安全管理制度
关键信息基础设施运营者应:
a)阐明安全保护的总体目标、范围、原则和安全框架等,框架可包括管理机构、管理人员、通信网络、计算环境、建设管理、运维管理等方面。
b)基于已识别的风险和资产以及关键业务链、供应链等安全需求,明确安全防护策略。
c)对安全管理活动中的各类管理内容建立安全管理制度。
d)对管理人员或操作人员执行的日常管理操作建立操作规程。
e)形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。
f)指定或授权专门的部门或人员负责安全管理制度的制定。
g)至少每年或发生重大变化时,检查和更新安全策略、安全制度以及相关规程文件。
6.2安全管理机构
关键信息基础设施运营者应:
a)建立针对关键信息基础设施指导和管理网络安全工作的委员会或领导小组,由本组织的第一责任人担任其最高领导。
b)设置专门的网络安全管理机构,包括:
1)将组织的网络安全职责从信息化职责中剥离出来。
2)配备专职网络安全管理人员,不可兼任。
3)建立健全完善网络安全管理制度,监督落实网络安全防护措施。
c)做好关键岗位的网络安全管理,包括:
1)标识关键岗位,包括与重要系统直接相关的系统管理、网络管理、安全管理等岗位。
2)明确关键岗位的网络安全职责。
3)由专人负责关键岗位,并配备2人以上共同管理。
d)建立并实施网络安全考核及监督问责机制,包括:
1)明确网络安全考核目的、内容、方式等。
2)明确网络安全问责对象、问责对象的责任界定和处罚措施等。
6.3安全管理人员
6.3.1人员审查
关键信息基础设施运营者应:
a)在以下情形时对安全管理负责人和关键岗位的人员实施人员安全背景审查,审查通过才可从事相关岗位工作,包括:
1)上岗前。
2)人员的身份、安全背景等发生变化时。
3)岗位发生重大变化或其他必要情况下。
4)至少每年一次。
b)制定关键岗位的人员安全审查准则,如国籍、政治背景、从业经历、教育背景、犯罪记录、个人信用、家庭情况以及海外关系等。
c)通过访谈、调查问卷等方式自行审查,或委托第三方调查机构审查。
d)对调查问卷的真实性进行核对并备案,当国籍、家庭情况等发生变化时应及时更新,并根据情况重新组织安全审查。
6.3.2人员筛选
关键信息基础设施运营者应:
a)对授权访问关键信息基础设施的人员(包含外部人员)进行筛选,人员信息和筛选结果应可供关键信息基础设施安全保护工作部门查阅。
b)在需要时或定期对授权访问人员进行再筛选。
c)与关键岗位的人员签署岗位责任协议。
d)与授权访问关键信息基础设施的人员(包含外部人员)签订保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。
e)参照国家或行业相关规定,落实网络安全关键岗位专业技术人员执证上岗的要求。
6.3.3人员培训
6.3.3.1培训制度
关键信息基础设施运营者应:
a)建立网络安全教育培训制度,为关键信息基础设施从业人员及其他有关人员(如合同商、用户等)提供安全意识教育和基本安全技能培训,为关键岗位人员提供基于岗位的专业安全技能培训。
b)将安全意识教育和基本安全技能培训作为关键信息基础设施从业人员入职培训的一部分。
c)确保关键岗位人员上岗前参加与岗位相关的安全技能培训。
d)确保关键信息基础设施从业人员每年参加一次网络安全培训,时长不少于8个学时,网络安全关键岗位的人员年度培训时长不少于24个学时。
6.3.3.2培训对象
关键信息基础设施运营者应针对关键信息基础设施从业人员,做到全员安全意识教育、全员培训和全员考核。
从业人员不仅限于网络安全岗位上的专业人员,还包括其他与关键信息基础设施运营安全相关的管理人员、操作人员、使用人员、服务人员等。
6.3.3.3培训内容
关键信息基础设施运营者应:
a)针对不同岗位制定不同的培训计划,确定或编制配套培训教材。
b)确保培训内容包括网络安全相关制度和规定、网络安全基础知识、网络安全保护技术、网络安全风险意识、岗位操作规程等。
6.3.3.4技能考核
关键信息基础设施运营者应至少每年一次开展网络安全技能考核,及时记录并保存培训和考核情况,作为从业人员综合评价的一部分。
6.3.4人员调动
关键信息基础设施运营者应在人员发生内部岗位调动时:
a)评估是否保留其对关键信息基础设施的逻辑和物理访问权限。
b)根据评估结果,修改访问授权。
c)及时通知相关人员或角色。
6.3.5人员离职
关键信息基础设施运营者一旦决定终止与某位人员的雇佣关系,应:
a)及时终止或撤销与该人员相关的任何访问权限、身份鉴别物或凭证。
b)与该人员进行离职面谈,包括商讨网络安全事宜,承诺离职后的保密义务。
c)收回该人员所有涉及安全的本组织相关资产。
d)确保之前由该人员控制的信息系统和数据仍然可用。
e)及时通知相关人员或角色。
6.3.6职责分离
关键信息基础设施运营者应:
a)对关键岗位的职责进行分离,形成相互制约。
例如,系统管理员不能同时兼任审计管理员。
b)遵循职责分离原则进行访问授权,以避免未授权或无意的修改或者不当使用组织资产。
6.4安全通信网络
6.4.1互联安全
关键信息基础设施运营者应建立或完善不同等级系统、不同业务系统、不同区域之间的安全互联策略,该策略应:
a)确保互联策略包括数据交换、数据获取、数据流向、互联层次、服务请求方向等方面的访问控制、边界防护策略等内容。
b)明确不同等级系统之间的安全互联策略,如从低安全等级向高安全等级的访问控制策略,从高安全等级向低安全等级的数据流控制策略等。
c)明确不同业务系统之间的安全互联策略,如具有相同系统服务安全保护等级系统、不同安全保护等级的业务信息共享型系统、不同安全保护等级的系统服务共享型系统之间的安全互联策略。
d)明确不同区域之间的安全互联策略,如终端区、服务器区、核心交换区、对外服务区等之间的访问控制、边界防护策略等。
e)保持不同系统或区域互联过程中用户身份、安全标记、访问控制策略等的一致性。
例如,通过统一身份与授权管理系统对用户身份进行集中管理,实现用户安全标记、应用程序安全标记、业务数据安全标记等应在用户访问关键信息基础设施的全过程中携带,以确保主体对客体访问控制策略的一致性。
f)加强不同局域网之间远程通信时的安全防护,在通信前基于密码技术对通信的双方进行验证或认证,如基于密码机或证书。
6.4.2边界防护
6.4.2.1交互控制
关键信息基础设施运营者应采取措施对不同等级系统、不同业务系统、不同区域之间的互操作、数据交换进行严格控制,可包括:
a)确保不同等级系统之间的互联边界达到较高等级系统的安全防护要求。
b)对不同类别、不同级别的数据交换进行限制,如限制从高等级系统向低等级系统的数据输出。
c)通过业务服务层次实现不同等级系统之间的交互,如将低等级系统作为高等级系统的“客户端”。
d)根据区域所处位置、服务特点、功能需求等,明确不同区域之间的访问控制策略。
6.4.2.2信息流控制
关键信息基础设施运营者应在确保客户隐私权和安全利益的前提下:
a)制定信息流控制策略,控制系统内或互连系统间的信息流动,如限制受控信息流向互联网、限制重要数据流向境外或在境外处理、限制关键信息基础设施信息系统主动对外部网络的访问、限制跨区域数据流动、限制某些数据格式或含关键字的信息流出关键信息基础设施。
b)定义禁止在不同的安全域之间传输的信息类型、特征或关键字,检查跨不同安全域的信息传输中是否存在禁止类信息,并遵循信息流控制策略,禁止传输此类信息。
c)唯一地标识和鉴别以组织、系统、应用、个人为标识的源和目的地址,以实施信息流策略,如禁止信息流向境外目的地址。
d)使用同一设备对多个不同安全域上的计算平台、应用或数据访问时,防止不同安全域之间的任何信息以违背信息流策略的方式流动。
6.4.2.3软硬件设备管控
关键信息基础设施运营者应采取措施加强对未授权设备的动态检测及管控能力,只允许通过运营者自身授权和安全评估的软硬件运行,措施包括:
a)在设备接入前对其进行安全评估。
b)对设备进行唯一性标识与鉴别,如基于设备的介质访问控制(MAC)地址。
c)对唯一性标识进行集中管理,确保通过唯一性标识可快速查找到设备。
d)对软件进行安全评估,并实施注册管理。
e)对设备接入进行实时监测,能够及时发现和阻止未授权设备接入并报警。
6.4.2.4移动设备的物理连接
关键信息基础设施运营者应确保只有经其授权的移动设备才能直接连接关键信息基础设施的信息系统,并应:
a)在移动设备连接信息系统前对其进行安全检查,禁止自动执行移动设备上的代码。
b)防止信息系统的信息非授权写入移动设备。
6.4.3安全审计
关键信息基础设施运营者应:
a)明确审计范围,包括系统运行状态、日常操作、故障维护、远程运维等,并形成审计记录。
b)明确对审计记录进行审查、分析、报
升级会员 