1、ICS35.040L 80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术关键信息基础设施安全控制措施Information security technology Security controls of critical information infrastructure 在提交反馈意见时,请将您知道的相关专利连同支持文件一并附上。(征求意见稿)(本稿完成日期:2019-4-12)XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目 次1 范围12 规范性引用文件13 术语和定义14 概述24.1 关键信息基础设施保护相关角色和职责
2、24.2 关键信息基础设施安全控制措施的分类25 风险识别25.1 业务识别25.1.1 关键业务识别25.1.2 关键信息基础设施边界识别35.2 资产识别35.2.1 资产清单35.2.2 数据分类分级35.2.3 资产防护优先级35.3 风险分析35.4 重大变更46 安全防护46.1 安全管理制度46.2 安全管理机构46.3 安全管理人员56.3.1 人员审查56.3.2 人员筛选56.3.3 人员培训56.3.4 人员调动66.3.5 人员离职66.3.6 职责分离66.4 安全通信网络66.4.1 互联安全66.4.2 边界防护76.4.3 安全审计76.5 安全计算环境86.5
3、.1 鉴别与授权86.5.2 入侵防范86.5.3 数据安全防护86.5.4 容灾备份96.5.5 业务连续性96.5.6 自动化管理106.6 安全建设管理106.6.1 网络安全与信息化同步要求106.6.2 供应链保护116.6.3 网络产品和服务采购与使用116.6.4 网络产品和服务供应商管理126.7 安全运维管理126.7.1 运维审批和记录126.7.2 运维工具126.7.3 远程维护136.7.4 运维人员137 检测评估137.1 检测评估制度137.2 检测评估方式和内容137.3 安全抽查147.4 整改148 监测预警148.1 监测预警制度148.2 监测158.
4、2.1 监测设备158.2.2 监测内容158.2.3 监测信息关联分析168.3 预警168.3.1 信息共享168.3.2 监测报警信息168.3.3 内部预警信息178.3.4 外部预警信息179 事件处置179.1 事件管理制度179.2 应急预案189.2.1 预案制定189.2.2 应急培训189.2.3 应急演练189.3 响应和处置199.3.1 事件报告199.3.2 事件处置199.3.3 系统恢复199.3.4 事件总结199.3.5 事件通报209.4 重新评估20参考文献21前 言本标准按照GB/T 1.12009标准化工作导则第1部分:标准的结构和编写给出的规则起草
5、。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国信息安全研究院有限公司、中国电子技术标准化研究院、公安部第三研究所、公安部第一研究所、国家信息中心、国家工业信息安全发展研究中心、国家互联网应急中心、国家信息技术安全研究中心、中国信息安全测评中心等。本标准主要起草人:引 言公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施是经济社会运行的神经中枢,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。当前,我国关键信息基础设施面临的网络安全形势严峻复杂,网络安全防控能力薄弱,难以有效
6、应对网络攻击,网络安全法国家网络空间安全战略等提出建立关键信息基础设施安全保护制度。2017年7月,国家网信部门发布了关键信息基础设施安全保护条例(征求意见稿),条例明确了关键信息基础设施的具体范围,并提出了进一步的安全保护要求。此外,国家网信部门还会同有关部门起草了网络产品和服务安全审查办法(试行)国家网络安全事件应急预案个人信息和重要数据出境安全评估办法(征求意见稿),均对关键信息基础设施运营者提出了相关要求。基于对网络安全法及相关法律法规要求的细化落实,围绕上述目标,结合目前已经开展的关键信息基础设施网络安全保护工作,全国信息安全标准化委员会组织开展了系列标准的制定,主要有以下五项标准。
7、关键信息基础设施网络安全框架作为基础标准,阐明构成框架的基本要素及其关系,统一通用术语和定义;关键信息基础设施网络安全保护基本要求作为基线类标准,对关键信息基础设施运营者开展网络安全保护工作提出最低要求;本标准作为实施类标准,根据基本要求提出相应的控制措施;关键信息基础设施安全检查评估指南作为测评类标准,依据基本要求明确关键信息基础设施检查评估的目的、流程、内容和结果;关键信息基础设施安全保障指标体系作为测评类标准,依据检查评估结果、日常安全检测等情况对关键信息基础设施安全保障状况进行定量评价。 本标准将为关键信息基础设施保护工作的部门指导和监督关键信息基础设施运行安全保护工作提供技术参考,也
8、可供关键信息基础设施运行安全保护工作的其他参与方参考,对提高我国关键信息基础设施安全保障水平具有十分重要的意义。IIIGB/T XXXXXXXXX信息安全技术 关键信息基础设施安全控制措施1 范围本标准规定了关键信息基础设施运营者在风险识别、安全防护、检测评估、监测预警、事件处置等环节应实施的安全控制措施,以满足关键信息基础设施网络安全保护的基本要求。本标准适用于关键信息基础设施的规划设计、开发建设、运行维护、退出废弃等阶段,可供关键信息基础设施保护工作部门、关键信息基础设施运营者以及关键信息基础设施安全保护中的其他参与者参考。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期
9、的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 20984-2007 信息安全技术 信息安全风险评估规范GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范GB/T 22239-XXXX 信息安全技术 网络安全等级保护基本要求GB/T 25069-2010信息安全技术 术语GB/T 35273-2017 信息安全技术 个人信息安全规范GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南GB/T 32924-2016 信息安全技术 网络安全预警指南GB/T 36635-2018 信息安全技术
10、网络安全监测基本要求与实施指南GB/T AAAAA-AAAA 信息安全技术 关键信息基础设施网络安全保护基本要求GB/T BBBBB-BBBB 信息安全技术 关键信息基础设施安全检查评估指南3 术语和定义GB/T 25069-2010界定的以及下列术语和定义适用于本文件。3.1 关键信息基础设施 critical information infrastructure公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。3.2控制措施 controls为保护关键信息基础设施及
11、其信息的保密性、完整性和可用性等,在管理、运行和技术等方面的防护措施和和对抗措施。4 概述4.1 关键信息基础设施保护相关角色和职责本标准所指的关键信息基础设施包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统、工业控制系统等,其一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。关键信息基础设施安全保护中涉及到角色包括:关键信息基础设施运营者、关键信息基础设施安全保护工作部门以及关键信息基础设施安全保护中的其他参与者。 关键信息基础设施运营者:负责关键信
12、息基础设施的运行、管理,对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。 关键信息基础设施安全保护工作部门:即所属行业或领域的国家行业主管或监管部门,负责指导和监督本行业、本领域的关键信息基础设施运行安全保护工作。 关键信息基础设施安全保护其他参与者:与国家关键信息基础设施安全相关的其他组织。包括但不限于:关键信息基础设施网络安全保护相关部门、关键信息基础设施网络安全服务机构、研究机构、网络产品和服务提供者以及用户等。关键信息基础设施网络安全保护中的相关角色应按我国法律法规和政策规定履行各自职责。4.2 关键信息基础设施安全控制措施的分类本标准参
13、照GB/T AAAAA从风险识别、安全防护、检测评估、监测预警、事件处置五个环节,根据关键信息基础设施的基本要求提出相应的控制措施。关键信息基础设施运营者应在满足网络安全等级保护GB/T 22239相应级别要求的基础上,围绕安全风险管理,根据自身具体情况和识别的安全风险,选择应采取的安全控制措施,确保将安全风险控制在可接受的范围。 风险识别: 围绕关键信息基础设施承载的关键业务,开展风险识别,包括识别资产、威胁、脆弱性、已有安全措施,进行风险分析。风险识别是开展安全防护、检测评估、监测预警、事件处置等工作的基础。 安全防护:根据已识别的安全风险,实施安全管理制度、安全管理机构、安全管理人员、安
14、全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。本环节在认定关键信息基础设施及识别其安全风险的基础上制定安全防护措施。 检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,建立健全关键信息基础设施检测评估制度,确定检测评估的流程及内容等要素,分析潜在安全风险并进行整改。 监测预警:制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时进行预警通报。 事件处置:根据监测预警环节发现的问题,制定并实施适当的应对措施,并恢复由于网络安全事件而受损的功能或服务。5 风险识别5.1 业务识别5.1
15、.1 关键业务识别关键信息基础设施运营者应:a)识别本组织的关键业务和关键业务所依赖的外部关键业务。b)当关键业务为外部关键业务提供服务时,识别本组织关键业务对外部关键业务的重要性。c)建立关键业务链。5.1.2 关键信息基础设施边界识别关键信息基础设施运营者应:a)基于关键业务链,识别关键业务链所需的信息流,主要考虑以下因素:1)该信息流足以保障关键业务按照预设功能运行。2)该信息流一旦中断或者发生信息泄露,给关键业务造成严重影响。b)基于信息流,识别关键信息基础设施的最大可能边界,即涉及的所有网络设施、信息系统。c)开展关键性评估,调整关键信息基础设施的边界范围,并重新评估至确定边界,评估
16、主要考虑以下因素:1)网络设施、信息系统等对关键业务的重要程度。2)网络设施、信息系统等一旦遭到破坏后可能带来的危害程度。3)对其他组织关键业务的关联性影响。d)明确本组织的关键信息基础设施分布和运营情况。5.2 资产识别5.2.1 资产清单关键信息基础设施运营者应:a) 参照GB/T 20984,围绕关键信息基础设施承载的关键业务,识别关键信息基础设施的资产并进行分类,包括数据、服务、信息系统、平台或支撑系统、基础设施、服务、人员管理等。b) 当关键信息基础设施发生改建、扩建等重大变化时,例如网络拓扑、业务链改变等,重新开展识别工作,并更新资产清单。c) 建立和维护关键信息基础设施的各类资产
17、清单,明确资产的管理责任人。d) 建立数据分类分级制度,对关键信息基础设施承载的数据进行分类分级。e) 参照国家有关要求,识别与国家安全、经济发展以及社会公共利益密切相关的重要数据。f) 基于资产类别、资产本身的重要性以及资产所支撑的业务的重要性,对资产进行优先排序,确定资产防护的优先级。5.2.2 资产自动管理关键信息基础设施运营者应能够采用自动化方式进行资产管理,包括:a)根据关键业务链所依赖资产的实际变化等,自动更新资产清单。b)使用符合法律法规要求的资产定位技术手段,例如端口监控或自动位置跟踪技术,监控并追踪受控区域内资产的位置和转移情况,以确保重要设备和核心组件位于所授权的区域内。c
18、)通过配置管理数据库(CMDB)等方式,实现数据库自动管理。d)能够使用自动机制识别关键信息基础设施信息系统中新增的非授权软件、硬件或固件组件。5.3 风险分析关键信息基础设施运营者应参照GB/T 20984,围绕关键业务链进行以下活动:a)识别关键业务链面临的威胁,判断威胁可能性。b)实施脆弱性扫描,确保所使用的脆弱性扫描工具能对扫描结果生成报告,对发现的漏洞提供修复建议,并及时更新漏洞库,如在实施扫描之前、在新的漏洞信息发布之后。c)识别组织已有的安全措施,并对已有安全措施的有效性进行确认。d)根据识别的关键业务链资产、威胁、脆弱性和已有安全措施,进行风险分析。e)根据业务重要性和风险严重
19、程度,确定关键信息基础设施风险处置的优先级。5.4 重大变更当关键信息基础设施发生改建、扩建等重大变更有可能影响认定结果时,关键信息基础设施运营者应当重新开展识别工作,并更新资产清单,及时将相关情况报告保护工作部门,按规定进行重新认定。其中,重大变更的情形包括但不限于:a)网络拓扑发生重大变化。b)关键业务链发生变化或关键业务的重要性发生变化。c)业务服务范围发生重大变化。6 安全防护6.1 安全管理制度关键信息基础设施运营者应:a)阐明安全保护的总体目标、范围、原则和安全框架等,框架可包括管理机构、管理人员、通信网络、计算环境、建设管理、运维管理等方面。b)基于已识别的风险和资产以及关键业务
20、链、供应链等安全需求,明确安全防护策略。c)对安全管理活动中的各类管理内容建立安全管理制度。d)对管理人员或操作人员执行的日常管理操作建立操作规程。e)形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。f)指定或授权专门的部门或人员负责安全管理制度的制定。g)至少每年或发生重大变化时,检查和更新安全策略、安全制度以及相关规程文件。6.2 安全管理机构关键信息基础设施运营者应:a)建立针对关键信息基础设施指导和管理网络安全工作的委员会或领导小组,由本组织的第一责任人担任其最高领导。b)设置专门的网络安全管理机构,包括:1)将组织的网络安全职责从信息化职责中剥离出来。2)
21、配备专职网络安全管理人员,不可兼任。3)建立健全完善网络安全管理制度,监督落实网络安全防护措施。c)做好关键岗位的网络安全管理,包括:1)标识关键岗位,包括与重要系统直接相关的系统管理、网络管理、安全管理等岗位。2)明确关键岗位的网络安全职责。3)由专人负责关键岗位,并配备2人以上共同管理。d)建立并实施网络安全考核及监督问责机制,包括:1)明确网络安全考核目的、内容、方式等。2)明确网络安全问责对象、问责对象的责任界定和处罚措施等。6.3 安全管理人员6.3.1 人员审查关键信息基础设施运营者应:a)在以下情形时对安全管理负责人和关键岗位的人员实施人员安全背景审查,审查通过才可从事相关岗位工
22、作,包括:1)上岗前。2)人员的身份、安全背景等发生变化时。3)岗位发生重大变化或其他必要情况下。4)至少每年一次。b)制定关键岗位的人员安全审查准则,如国籍、政治背景、从业经历、教育背景、犯罪记录、个人信用、家庭情况以及海外关系等。c)通过访谈、调查问卷等方式自行审查,或委托第三方调查机构审查。d)对调查问卷的真实性进行核对并备案,当国籍、家庭情况等发生变化时应及时更新,并根据情况重新组织安全审查。6.3.2 人员筛选关键信息基础设施运营者应:a)对授权访问关键信息基础设施的人员(包含外部人员)进行筛选,人员信息和筛选结果应可供关键信息基础设施安全保护工作部门查阅。b)在需要时或定期对授权访
23、问人员进行再筛选。c)与关键岗位的人员签署岗位责任协议。d)与授权访问关键信息基础设施的人员(包含外部人员)签订保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。e)参照国家或行业相关规定,落实网络安全关键岗位专业技术人员执证上岗的要求。6.3.3 人员培训6.3.3.1 培训制度关键信息基础设施运营者应:a)建立网络安全教育培训制度,为关键信息基础设施从业人员及其他有关人员(如合同商、用户等)提供安全意识教育和基本安全技能培训,为关键岗位人员提供基于岗位的专业安全技能培训。b)将安全意识教育和基本安全技能培训作为关键信息基础设施从业人员入职培训的一部分。c)确保关键岗位人员上岗前参加
24、与岗位相关的安全技能培训。d)确保关键信息基础设施从业人员每年参加一次网络安全培训,时长不少于8个学时,网络安全关键岗位的人员年度培训时长不少于24个学时。6.3.3.2 培训对象关键信息基础设施运营者应针对关键信息基础设施从业人员,做到全员安全意识教育、全员培训和全员考核。从业人员不仅限于网络安全岗位上的专业人员,还包括其他与关键信息基础设施运营安全相关的管理人员、操作人员、使用人员、服务人员等。6.3.3.3 培训内容关键信息基础设施运营者应:a)针对不同岗位制定不同的培训计划,确定或编制配套培训教材。b)确保培训内容包括网络安全相关制度和规定、网络安全基础知识、网络安全保护技术、网络安全
25、风险意识、岗位操作规程等。6.3.3.4 技能考核关键信息基础设施运营者应至少每年一次开展网络安全技能考核,及时记录并保存培训和考核情况,作为从业人员综合评价的一部分。6.3.4 人员调动关键信息基础设施运营者应在人员发生内部岗位调动时:a)评估是否保留其对关键信息基础设施的逻辑和物理访问权限。b)根据评估结果,修改访问授权。c)及时通知相关人员或角色。6.3.5 人员离职关键信息基础设施运营者一旦决定终止与某位人员的雇佣关系,应:a)及时终止或撤销与该人员相关的任何访问权限、身份鉴别物或凭证。b)与该人员进行离职面谈,包括商讨网络安全事宜,承诺离职后的保密义务。c)收回该人员所有涉及安全的本
26、组织相关资产。d)确保之前由该人员控制的信息系统和数据仍然可用。e)及时通知相关人员或角色。6.3.6 职责分离关键信息基础设施运营者应:a)对关键岗位的职责进行分离,形成相互制约。例如,系统管理员不能同时兼任审计管理员。b)遵循职责分离原则进行访问授权,以避免未授权或无意的修改或者不当使用组织资产。6.4 安全通信网络6.4.1 互联安全关键信息基础设施运营者应建立或完善不同等级系统、不同业务系统、不同区域之间的安全互联策略,该策略应:a)确保互联策略包括数据交换、数据获取、数据流向、互联层次、服务请求方向等方面的访问控制、边界防护策略等内容。b)明确不同等级系统之间的安全互联策略,如从低安
27、全等级向高安全等级的访问控制策略,从高安全等级向低安全等级的数据流控制策略等。c)明确不同业务系统之间的安全互联策略,如具有相同系统服务安全保护等级系统、不同安全保护等级的业务信息共享型系统、不同安全保护等级的系统服务共享型系统之间的安全互联策略。d)明确不同区域之间的安全互联策略,如终端区、服务器区、核心交换区、对外服务区等之间的访问控制、边界防护策略等。e)保持不同系统或区域互联过程中用户身份、安全标记、访问控制策略等的一致性。例如,通过统一身份与授权管理系统对用户身份进行集中管理,实现用户安全标记、应用程序安全标记、业务数据安全标记等应在用户访问关键信息基础设施的全过程中携带,以确保主体
28、对客体访问控制策略的一致性。f)加强不同局域网之间远程通信时的安全防护,在通信前基于密码技术对通信的双方进行验证或认证,如基于密码机或证书。6.4.2 边界防护6.4.2.1 交互控制关键信息基础设施运营者应采取措施对不同等级系统、不同业务系统、不同区域之间的互操作、数据交换进行严格控制,可包括:a)确保不同等级系统之间的互联边界达到较高等级系统的安全防护要求。b)对不同类别、不同级别的数据交换进行限制,如限制从高等级系统向低等级系统的数据输出。c) 通过业务服务层次实现不同等级系统之间的交互,如将低等级系统作为高等级系统的“客户端”。d)根据区域所处位置、服务特点、功能需求等,明确不同区域之
29、间的访问控制策略。6.4.2.2 信息流控制关键信息基础设施运营者应在确保客户隐私权和安全利益的前提下:a)制定信息流控制策略,控制系统内或互连系统间的信息流动,如限制受控信息流向互联网、限制重要数据流向境外或在境外处理、限制关键信息基础设施信息系统主动对外部网络的访问、限制跨区域数据流动、限制某些数据格式或含关键字的信息流出关键信息基础设施。b)定义禁止在不同的安全域之间传输的信息类型、特征或关键字,检查跨不同安全域的信息传输中是否存在禁止类信息,并遵循信息流控制策略,禁止传输此类信息。c)唯一地标识和鉴别以组织、系统、应用、个人为标识的源和目的地址,以实施信息流策略,如禁止信息流向境外目的
30、地址。d)使用同一设备对多个不同安全域上的计算平台、应用或数据访问时,防止不同安全域之间的任何信息以违背信息流策略的方式流动。6.4.2.3 软硬件设备管控关键信息基础设施运营者应采取措施加强对未授权设备的动态检测及管控能力,只允许通过运营者自身授权和安全评估的软硬件运行,措施包括:a)在设备接入前对其进行安全评估。b)对设备进行唯一性标识与鉴别,如基于设备的介质访问控制(MAC)地址。c)对唯一性标识进行集中管理,确保通过唯一性标识可快速查找到设备。d)对软件进行安全评估,并实施注册管理。e)对设备接入进行实时监测,能够及时发现和阻止未授权设备接入并报警。6.4.2.4 移动设备的物理连接关键信息基础设施运营者应确保只有经其授权的移动设备才能直接连接关键信息基础设施的信息系统,并应:a)在移动设备连接信息系统前对其进行安全检查,禁止自动执行移动设备上的代码。b)防止信息系统的信息非授权写入移动设备。6.4.3 安全审计关键信息基础设施运营者应:a)明确审计范围,包括系统运行状态、日常操作、故障维护、远程运维等,并形成审计记录。b)明确对审计记录进行审查、分析、报
