为落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》关于保护关键信息基础设施运行安全的要求,在国家网络安全等级保护制度基础上,借鉴我国有关部门在重要行业和领域开展 网络安全保护工作的成熟经验,吸纳国内外在关键信息基础设施安全保护方面的举措,结合我国现有网 络安全保障体系等成果,从分析识别、安全防护、检验测试评估、监测预警、主动防御、事件处置等环节,提出关键信息基础设施安全保护要求,采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。
本文件规定了关键信息基础设施分析识别、安全防护、检验测试评估、监测预警、主动防御、事件处置等方面的安全要求。本文件适用于指导运营者对关键信息基础设施进行全生存周期安全保护,也可供关键信息基础设施安全保护的其他相关方参考使用。
关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本原则:
——以关键业务为核心的整体防控。关键信息基础设施安全保护应以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统来进行体系化安全设计,构建整体安全防控体系;
——以风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险;
——以信息共享为基础的协同联防。积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。
关键信息基础设施安全保护包括分析识别、安全防护、检验测试评估、监测预警、主动防御、事件处置六个方面:
a)分析识别:围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本活动是开展安全防护、检验测试评估、监测预警、主动防御、事件处置等活动的基础;
b)安全防护:根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护的方法,确保关键信息基础设施的运行安全;
c)检验测试评估:为检验安全保护措施的有效性,发现网络安全风险隐患,应制定相应的检验测试评估制度,确定检测评估的流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件;
d)监测预警:制定并实施网络安全监测预警和信息通报制度,针对发生的网络安全事件或发现的 网络安全威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提 高主动发现攻击能力;
e)主动防御:以对攻击行为的监测发现为基础,主动采取收敛暴露面、诱捕、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力;
f)事件处置:运营者对网络安全事件进行报告和处置,并采取适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
应落实国家网络安全等级保护制度有关要求,开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作。项要求包括:
a) 应制定适合本组织的网络安全保护计划,明确关键信息基础设施安全保护工作的目标,从管理体系、技术体系、运营体系、保障体系等方面做规划,加强机构、人员、经费、装备等资源保障,支撑关键信息基础设施安全保护工作。网络安全保护计划应形成文档并经审批后发布至有关人员。网络安全保护计划应每年至少修订一次,或出现重大变化时进行修订;
b) 应制定管理制度和建立安全策略,重点考虑基于关键业务链安全需求,并根据关键信息基础设施面临的安全风险和威胁的变化进行相应调整。