关键信息基础设施安全一直是我国重点关注对象,也是网络安全市场的重要组成部分。近年来,我国陆续出台多部关基保护的法律法规,进一步细化、落实了关基保护各项政策和要求。
2021 年 8 月,国务院公布《关键信息基础设施安全保护条例》(以下简称《关保条例》),作为《网络安全法》重要配套法规,《关保条例》明确关键信息基础设施安全保护的具体要求和措施,进一步推动了各领域全面开展关键信息基础设施安全保障工作。
2022 年 11 月,为更加完善关键基础设施保护体系,全国信息安全标准委员会发布了《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关基保护要求》),并于 2023 年 5 月 1 日正式实施。
《关基保护要求》旨在解决关键基础设施的安全问题,是继《关保条例》后,我国首个发布的关键信息基础设施安全保护标准,对我国关键信息基础设施安全保护有着极为重要的指导意义。
而为了进一步落地《关基保护要求》,国家市场监督管理总局、国家标准化管理委员会发布了《信息安全技术 关键信息基础设施安全测评要求》(征求意见稿)(以下简称《关基评测要求》),用于指导关键信息基础设施的网络安全评测工作。
本文将在《关基保护要求》的背景下,对《关基评测要求》进行解读,仅供网安人参考。
总体而言,《关基测评要求》共计 8 个章节,分别是范围、规范性引用文件、术语和定义、缩略语、概述、单元测评、关联测评、整体评估,提出三项基本评测框架。
《关基测评要求》规定了针对关键信息基础设施(以下简称“CII”)开展网络安全检测的要求和方法,适用于CII运营者及安全检测评估服务机构的CII安全保护活动,用于指导CII的网络安全检测工作。
1、上位法:《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》
2、与本文件相关的标准包括:
GB/T 39204—2022 信息安全技术 关键信息基础设施安全保护要求;
GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求;
3、测评主体(如下图)
4、CII安全测评与网络安全等级测评
关于两者之间的重叠与差异部分,《关基测评要求》指出,CII安全测评应汇总网络安全等级测评结果、GB/T 39204—2022中相应安全子类的增强要求项测评结果等两方面的测评结果,在关联测评时将单元测评结果与等级测评结果中对应的安全子类测评结果开展融合、分析,确定发现的安全问题,并以此为基础开展渗透测试和整体评估。
简单来说,《关基测评要求》认可等保测评结果,但又要重点落实《关基保护要求》中各个子类目的要求细则,这一点在后文实际测评中也有所体现。
两者之间的具体差异如下:
5、CII安全测评框架如下
单元测评是CII安全测评工作的基本活动,每个单元测评包括测评指标、测评实施和结果分析三部分。
评测指标中的大部分来源于《关基保护要求》的各要求项,还有部分来自于CII安全保护制度相关的行业/地方标准以及运营者的其他特殊需求,特殊需求需结合CII运营者的战略目标、CII的逻辑安全环境等方面进行确定。
单元测评结果分析一方面可以输出安全问题,作为关联测评中模拟攻击路径设计及渗透测试、整体评估中资产安全风险评价的基础;另一方面可以输出已采取的安全措施,作为整体评估中运营者的网络安全管控能力评估和CII网络安全保护水平评估的基础。
关联测评是在单元测评结果的基础上,对CII实施的综合性安全测评,包括信息收集、入侵痕迹分析、业务逻辑安全分析、设计模拟攻击路径及测试用例、开展渗透测试等。通过关联测评可以发现CII整体性的安全问题。
关联测评应结合已知的和潜在的风险集、CII的业务场景、所属领域已知安全事件、可能面临的威胁等,在业务逻辑安全分析、入侵痕迹分析的基础上,设计模拟攻击路径及测试用例,开展渗透测试。
关联测评需要与CII的实际业务及信息化情况相结合,测评人员应根据被测CII的实际情况,结合本文件的要求,多角度多层面实施关联测评。
整体评估包括针对CII运营者的网络安全管控能力评估、针对CII自身的网络安全保护水平评估以及针对CII所承载关键业务的网络安全风险评价三部分。
CII运营者的网络安全管控能力评估和CII的网络安全保护水平评估是综合单元测评结果、关联测评结果、CII自身安全保护需求以及等级测评结果,对CII的整体安全进行综合评估。
关键业务安全风险评价是在单元测评、关联测评、等级测评及风险评估等基础上,针对CII存在的安全问题,采用风险分析的方法,分析所产生的安全问题被威胁利用的可能性,判断其被威胁利用后对CII造成影响的程度,并综合评价这些安全问题对CII所承载关键业务及国家安全造成的安全风险。
《关基测评要求》第6条“单元测评”,对“分析识别、安全防护、检测评估、监测预警、主动防御、事件处置”六大评测内容进行了细致的说明,包括测评指标、测评实施和结果分析三部分。
细心的读者也许会发现,测评指标和《关基保护要求》中的已经细化的六大安全维度一模一样,其具体信息可点击“五月实施!一文带你看懂《关基保护要求》”进行查看。
换句话说,《关基测评要求》“单元测评”其实就是检查是否真正落地了《关基保护要求》中“分析识别、安全防护、检测评估、监测预警、主动防御、事件处置”这六个维度中的各项安全要求。
其要求具体如下所示:
1、业务识别:关键业务和外部业务的关联性、关键业务对外部业务的依赖性、关键业务对外部业务的重要性、关键业务链的分布和管理 。
2、资产识别:建立关键业务的资产清单;确定资产防护的优先级;采用资产探测技术并动态更新。
3、风险识别:应参照 GB/T 20984 等标准,对关键业务链开展安全风险评估,并形成安全风险报告。
4、重大变更:CII改建、扩建及管理人员及其他的变更,应及时报告相关部门并更新资产清单。
1、遵从网络安全等级保护基本要求,开展定级、备案及相关工作。
2、根据识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保CII的运行安全。
3、确定了制定网络安全保护计划,并最少每年更新一次,或者发生安全事件的情况下更新。
4、设置首席安全官,专管或者分管CII。
5、关键岗位设置两人管理,对关基人员不少于30学时的培训。
6、采用“一主双备”,“双节点” 冗余的网络架构。
7、根据区域不同做严格把控,并保留相关日志不少于6个月。
8、应使用自动化工具进行管理,对漏洞、补丁进行修复。
9、对供应链安全和数据安全也做出了相关的要求。
1、每年至少进行一次检测评估,并及时整改发现的问题。
2、涉及多个运营者,定期组织或参加安全检测评估。
3、内容包括网络安全等级保护制度落实情况,商用密码应用安全性评估情况,供应链安全保护情况,数据安全防护情况等。
4、发生重大变化时应重新进行评估,并依据风险变化进行整改后方可上线。
5、针对抽查发现的安全风险,应及时进行整改。
1、制度:建立监测关键业务所涉及的系统;CII舆情监测机制,并对情报研判分析;不同级别预警的应急处置流程;预警通报和协作机制;运营者、管理机构和其他部门沟通机制;建立安全信息共享机制等。
2、监测:部署攻击监测设备;对监测关键业务所涉及的系统进行监测;对流量进行分析并建立相应的模型;全面收集日志信息,构建正向和逆向模型;对关键业务信息进行自动化、整体性分析;关联分析。
3、预警:将监测工具设置为自动模式;对共享、预警信息进行综合研判、分析;安全预警信息持续获取和及时通报。
1、收敛暴露面:减少企业暴露面,压缩互联网出口数量;减少对外暴露组织架构等内部信息;内网存储敏感信息。
2、攻击发现和阻断:分析网络攻击的方法、手段,制定针对性方案;针对监测发现的攻击活动快速处置;及时对网络攻击进行溯源;分析网络攻击意图、技术与过程,进行关联分析与还原。
3、攻防演练:围绕关键业务设定演练场景,定期开展攻防演练;跨组织实网攻防演练,沙盘推演攻防演练;核心供应链、上下游产业链纳入攻防演练中;发现问题,及时整改。
4、威胁情报:建立内外部威胁情报共享机制,跨部门、行业联防联控。
1、制度:建立网络安全事件管理制度,明确事件分类分级,应急响应处置流程和预案;预备事件处置资源,组织建立网络安全应急队伍,确保安全事件及时处置。
2、应急预案和演练:制定应急响应预案,包括本组织和多个运营者之间的应急事件处理;确保预案的连续性;明确非常时期处置流程;定期评估、更新;每年至少开展一次应急演练。
3、响应和处置:及时向安全管理机构、供应链相关单位通报安全事件;按照事件处置流程进行处理,恢复关键业务和信息系统;及时进行取证分析;形成事件处理报告,包括处理记录、事件状态、取证分析、事件细节、趋势、处理等;查找事件发生的原因;吸取教训,防止业务和系统再次遭到破坏;将事件处理纳入应急响应流程之中。
4、重新识别:结合安全威胁和风险变化情况开展评估,识别资产和风险,更新安全策略。
CII关联测评应在信息收集的基础上,针对可能的威胁,结合单元测评中发现的漏洞及安全问题,从攻击者视角利用各种攻击技术对CII可能遭受的攻击路径进行非破坏性质的攻击性测试。关联测评包括信息收集、入侵痕迹分析、业务逻辑安全分析、模拟攻击路径设计和渗透测试等过程。
其中,渗透测试细则如下:
面向CII的渗透测试应经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权下运行;
对基础电信网络实施渗透性测试等活动,应当事先向国务院电信主管部门报告;
在不适合开展实网渗透测试场景下,应采取在测试仿真环境或桌面推演的方式进行安全测试;
渗透测试过程应包含明确目标、信息收集、漏洞探测、漏洞验证、信息分析、获取所需、信息整理、形成报告;
渗透测试类型应根据目标CII所承载的关键核心业务以及安全防护需求决定,宜覆盖:漏洞验证、业务安全测试、社会工程学测试、无线安全测试、内网安全测试、安全域测试、新技术扩展安全测试等。渗透测试至少应实施附录B的相关用例。
渗透测试工具应使用满足国家信息安全产品技术标准的相关工具或者软硬件系统,或者提供工具自身安全性的承诺,确保渗透测试过程本身不会导致CII被恶意程序或其他安全缺陷入侵导致安全风险,渗透测试后相关后门应及时清除;
经过渗透测试能够获取管理员权限且会对CII产生不利影响的安全问题,其被利用的可能性应为最高级别,应立即通知CII运营者整改并上报相关部门。
整体评估包括网络安全管控能力评估、网络安全保护水平评估,以及关键业务安全风险评价三部分,每一部分都有对应的评估方法和评估结论。
1.网络安全管控能力评估主要是评估运营者对CII相关的各项安全保护工作的组织情况。在评估时,结合单元测评结果、等级测评结果、关联测评结果以及CII自身安全保护需求,进行综合评价。
评估结论分为高、较高、一般三档。
2.网络安全保护水平评估主要是基于单元测评结果、等级测评结果、关联测评结果以及CII自身安全保护需求,对CII自身有效防范网络安全重大风险隐患的能力进行评估。
评估结论分为高、较高、一般三档。
关键业务安全风险评价包括资产安全风险评价和关键业务安全风险评价两部分;评价结论分为高风险、中风险、低风险三档。
在《关基保护要求》的大背景下,《关基测评要求》从我国关键信息基础设施安全保障体系现阶段发展状况出发,提出了可落地执行测评策略,明确关键基础设施运营方在制度制定、资产识别、攻击溯源等层面的定期测评责任与义务,有助于进一步提高关键信息基础设施运营者及相关人员的保护意识。
《关基测评要求》划定测评类别、标准、以及具体流程,有利支撑相关部门对关键信息基础设施的安全监管,帮助其进一步把握执法力度,更好的保护关键基础设施。
《关基测评要求》的实施发布对于关键信息基础设施运营者而言,有助于其及时获悉关键基础设施中制度、设备、流程框架等存在的安全风险,以便更好地保障关键信息基础设施安全的稳定运行。