《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 專題·原創(chuàng) | 關(guān)鍵信息基礎(chǔ)設(shè)施安全標準化現(xiàn)狀及思考

專題·原創(chuàng) | 關(guān)鍵信息基礎(chǔ)設(shè)施安全標準化現(xiàn)狀及思考

2021-11-12
來源: 中國信息安全

  2021 年 8 月 17 日,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》正式發(fā)布。標準是開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的堅實基礎(chǔ),,國內(nèi)外都在加緊開展相關(guān)標準建設(shè)工作。

  一,、國內(nèi)標準化工作

  (一)國內(nèi)標準化工作背景

  2016 年,,《網(wǎng)絡(luò)安全法》發(fā)布,,第三章第二節(jié)提出“關(guān)鍵信息基礎(chǔ)設(shè)施運行安全”,同年發(fā)布的《關(guān)于加強國家網(wǎng)絡(luò)安全標準化工作的若干意見》也明確提出加快開展關(guān)鍵信息基礎(chǔ)設(shè)施保護急需重點標準研制,。為充分發(fā)揮標準化工作對國家網(wǎng)絡(luò)安全保障體系建設(shè)的支撐作用,,全國信息安全標準化技術(shù)委員會組織開展了相關(guān)工作,,一是組織開展了關(guān)鍵信息基礎(chǔ)設(shè)施安全標準體系研究,,提出關(guān)鍵信息基礎(chǔ)設(shè)施安全標準體系框架和標準明細表,;二是按照“急用先行”的原則開展了重點標準的研制。

 ?。ǘ╆P(guān)鍵信息基礎(chǔ)設(shè)施安全標準體系研究

  在標準體系研制上,,需要貫徹落實《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》要求,結(jié)合我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護現(xiàn)狀和發(fā)展需求,,研究建立科學合理,、持續(xù)優(yōu)化的關(guān)鍵信息基礎(chǔ)設(shè)施安全標準體系,為編制關(guān)鍵信息基礎(chǔ)設(shè)施安全國家標準研制計劃提供依據(jù),,為各行業(yè)領(lǐng)域開展關(guān)鍵信息基礎(chǔ)設(shè)施保護,、檢查等工作提供標準參考,為完善關(guān)鍵信息基礎(chǔ)設(shè)施安全保護提供標準支撐,,充分發(fā)揮網(wǎng)絡(luò)安全標準對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的指導性,、規(guī)范性和引領(lǐng)性作用。

  目前,,我國已經(jīng)發(fā)布網(wǎng)絡(luò)安全國家標準 323 項,,在研國家標準 100 項,這些標準都是國家開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的堅實基礎(chǔ),。通過對《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》進行標準化需求分析,,圍繞關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)各維度,在已有國家網(wǎng)絡(luò)安全標準的基礎(chǔ)上,,從邊界識別,、保護要求、控制措施,、保障指標,、應(yīng)急體系、檢查評估,,以及供應(yīng)鏈安全,、數(shù)據(jù)安全、信息共享,、監(jiān)測預(yù)警等方面系統(tǒng)推進標準研制工作,,共同構(gòu)建科學性、系統(tǒng)性,、實用性的標準體系框架,,用標準筑牢關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)的基礎(chǔ)。

 ?。ㄈ╆P(guān)鍵信息基礎(chǔ)設(shè)施重要標準研制

  目前,,全國信息安全標準化技術(shù)委員會在研關(guān)鍵信息基礎(chǔ)設(shè)施安全標準 9 項。其中,,《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》(報批稿)提出了關(guān)鍵信息基礎(chǔ)設(shè)施運營者安全保護工作開展的基礎(chǔ)安全要求,,為運營者落實安全主體責任提供依據(jù),;《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南》(報批稿)提出了關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估工作的流程和指標,也為統(tǒng)籌協(xié)調(diào)和指導監(jiān)督部門安全檢查評估工作提供技術(shù)支撐,;《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》(報批稿)提出了關(guān)鍵信息基礎(chǔ)設(shè)施運營者滿足安全保護要求的實施指南,;《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》(報批稿)對關(guān)鍵信息基礎(chǔ)設(shè)施運營者加強供應(yīng)鏈安全管理提出了要求;《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力評價方法》(送審稿)和《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標》(報批稿)等標準為運營者有效開展自身安全能力建設(shè),、提高安全防護水平提供了標準化指導,,同時也為保護工作部門掌握本行業(yè)本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保護態(tài)勢提供參考。此外,,《信息安全技術(shù) 網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求》(征求意見稿),、《信息安全技術(shù) 網(wǎng)絡(luò)安全預(yù)警指南》(GB/T 32924—2016)、《信息安全技術(shù) 網(wǎng)絡(luò)安全信息共享指南》(征求意見稿),、信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急演練指南》(GB/T 38645—2020)等關(guān)鍵信息基礎(chǔ)設(shè)施支撐標準為建立各行業(yè)間監(jiān)測預(yù)警,、信息共享和應(yīng)急演練協(xié)同機制提供重要技術(shù)基礎(chǔ)。

  二,、國外標準化情況

 ?。ㄒ唬┟绹?/p>

  美國國家標準與技術(shù)研究院(NIST)于 2014 年發(fā)布了《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》,該框架定義了一套著眼于安全風險,,應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施的安全風險管控流程,。框架并沒有提出新的安全要求,,但是引用了 NIST 的特別出版物,、國際標準、行業(yè)標準,、團體標準等相關(guān)條款,,同時還進一步考慮對《框架》的完善和對標準體系的擴充。2018 年,,NIST 對《框架》進行了修訂,,并強調(diào)文檔不僅僅適用于關(guān)鍵基礎(chǔ)設(shè)施,還適用于其他組織,。

  2017 年 12 月 5 日,,NIST 發(fā)布了《提供關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全路線圖 V1.1(草案)》?;诼肪€圖,,提出了在關(guān)鍵基礎(chǔ)設(shè)施框架下一步工作中考慮的開發(fā)和協(xié)調(diào)一致的 12 個領(lǐng)域,包括網(wǎng)絡(luò)攻擊生命周期,、網(wǎng)絡(luò)安全人員,、網(wǎng)絡(luò)供應(yīng)鏈風險管理、一致性評估、身份管理,、隱私工程等,。

  為支撐框架的落地執(zhí)行,美國能源部和國土安全部開發(fā)了 C2M2 模型,,定義了 4 個能力成熟度級別該模型適用于各種類型的機構(gòu)對其信息系統(tǒng)、工控系統(tǒng)等資產(chǎn)進行安全評估,。模型定義了 10 個安全域,,每個安全域分別從組織內(nèi)網(wǎng)絡(luò)安全實踐的實現(xiàn)情況(方法層面)和安全實踐的制度化程度(管理層面)對組織安全能力進行評估。

 ?。ǘW盟

  在關(guān)鍵信息基礎(chǔ)設(shè)施方面,,歐洲信息安全局(ENISA)相繼發(fā)布了多份研究報告和白皮書,用以指導歐盟層面關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,。其中,,2014 年 12 月發(fā)布的《識別關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)和資產(chǎn)的方法論》,提出識別關(guān)鍵信息基礎(chǔ)設(shè)施中的服務(wù)和資產(chǎn)的步驟和方法,;2016 年 12 月發(fā)布的《數(shù)字服務(wù)提供商實施最低安全控制措施技術(shù)指南》,,提出了 27個安全目標、控制措施及對目前已有標準的映射,。2020年和 2021 年發(fā)布了在 5G,、電力方面的安全指導文件。此外,,ENISA 還在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施,、ICS SCADA、智能電網(wǎng),、金融,、健康、船舶等方面發(fā)布了相關(guān)規(guī)定,。

  三,、標準化工作思考

  關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護是維護國家網(wǎng)絡(luò)安全的重中之重。在安全標準化方面,,應(yīng)堅持以總體國家安全觀為指引,,立足新發(fā)展階段,不斷適應(yīng)新興技術(shù)發(fā)展趨勢,,以支撐國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作為目標,,為全面構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系提供標準化支撐。

  一是持續(xù)增強標準化頂層設(shè)計,。關(guān)鍵信息基礎(chǔ)設(shè)施安全標準化工作應(yīng)充分結(jié)合行業(yè)和領(lǐng)域需求,,重點圍繞《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)要求的落地實施,以整體提高關(guān)鍵信息基礎(chǔ)設(shè)施運營者安全保護能力為主要目標,充分借鑒國際先進標準研制成果,,加快推動供應(yīng)鏈安全,、監(jiān)測預(yù)警、態(tài)勢感知,、信息共享等重點領(lǐng)域標準研制,,積極探索從業(yè)人員能力、網(wǎng)絡(luò)安全服務(wù)機構(gòu)管理等缺失標準,,建設(shè)完善關(guān)鍵信息基礎(chǔ)設(shè)施安全標準體系,。

  二是提高標準可應(yīng)用性可操作性。在標準研制過程中組織產(chǎn),、學,、研、用等單位共同參與,,并選擇金融,、能源、電信,、交通,、水利、衛(wèi)生健康,、國防軍工等重要行業(yè)和領(lǐng)域開展關(guān)鍵信息基礎(chǔ)設(shè)施的標準試點工作,,邊研究邊編制,邊編制邊試用,,邊試用邊改進,,促進標準研制與行業(yè)實施緊密互動,全鏈條提升標準應(yīng)用價值與實施效果,。

  三是多層次,、多維度開展標準落地和使用。標準的生命力在于使用,,衡量一個標準的價值關(guān)鍵是看其是否被廣泛應(yīng)用,,要在標準試用的基礎(chǔ)上,多層次,、多維度強化關(guān)鍵信息基礎(chǔ)設(shè)施安全標準的實施落地和宣貫培訓,。采取論壇演講、專門標準宣貫,、專題研討等多種形式,,加大標準宣貫培訓力度,提高標準在行業(yè)的普及落地和應(yīng)用,,支撐各行業(yè)各領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。