关键信息基础设施安全控制措施
《信息安全技术 关键信息基础设施安全控制措施》
概括:关键信息基础设施运营者应通过资产识别、威胁识别、 脆弱性识别、漏洞管理、已有安全措施识别和风险分析对关键信息基础设施进行风险识别;关键信息基础设施运营者在满足等级保护合规要求后,采用同步规划、同步建设、同步使用的三同步原则,实行网络安全责任制对关键信息基础设施进行数据保护、灾难备份、人员组织、人员培训、维护和供应链等方面实施安全保护措施;关键信息基础设施运营者每年至少应进行一次安全评估,在安全评估中发现的问题应及时整改;采取检测预警制度,并制定应急处置计划,定期开展应急培训、应急演练等,发生安全事件时,按照应急处置计划处理,并在安全事件结束后进行事件总结和改进。
首先什么是关键信息基础设施?
关键信息基础设施 critical information infrastructure
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。
关键信息基础设施安全控制包括几方面?
1、风险识别
2、安全防护
3、检测评估
4、监测预警
5、应急处置
接下来我们逐一进行分析。
(一)风险评估
1、资产识别
应围绕关键信息基础设施承载的关键业务,识别关键信息基础设施的资产,形成资产清单明确资产的管理责任人;对数据进行分类并按照分类标准制定符合其安全需求的保护策略。
2、威胁识别
识别关键信息基础实施面临的威胁,并判断威胁可能性。
3、脆弱性识别
可采用脆弱性扫描工具或技术定期对关键信息基础实施网络、信息系统及应用程序进行脆弱性扫描。
4、漏洞管理
应使用漏送管理工具,自动识别、记录、处理、更新安全漏洞相关信息,对发现的安全漏洞在确保不影响业务连续性的前提下及时修复,修复后经改测试才可使用。
5、已有安全措施识别
识别组织已有安全措施,并对安全措施有效性进行确认。
6、风险分析
根据识别的资产、威胁、脆弱性进行风险分析。
(二)安全防护
1、等级保护合规要求
应根据定级对象的安全保护等级的安全要求进行安全建设、管理和运维,在等保基础上,对关键信息基础设施实施分区分域管理,根据承载业务的重要程度和数据敏感程度制定不同的安全策略。
2、网络安全于信息化同步要求
关键信息基础设施运营者应做到同步规划、同步建设、同步使用。
(1)在关键基础设施建设或改建之处,应从本组织的业务出发,同步安全需求,形成安全需求书,基于安全需求书,定义关键信息基础设施的网络安全需求,形成网络安全功能和性能说明书,并得到网络安全责任部门签字;
(2)在明确定义网络安全需求后,设计网络安全体系结构,明确系统内各类信息安全组件提供的服务以及可能的实现机制,在详细的安全设计中,细化安全机制在关键信息基础设施中的具体实现,建设完成后,组织对关键信息基础设施进行验收;
(3)同步运行安全设施,确保安全设施的启用状态,并安排对应安全级别的运维,对安全设施实施配置管理,若出现关键信息基础设施及其运行环境发生明显变化的情况,评估风险,及时升级安全措施并实施变更管理。
3、网络安全责任制
关键信息基础设施运营者应明确责任主体,建立关键信息基础设施应遵循职责分离、最小特权的原则设置相关岗位,明确岗位职责与风险。
4、数据保护
关键信息基础设施运营者应建立规范的个人信息保护制度,符合GB/T 35273;运营者的个人信息和重数据应在境内存储,若确需出境,则需进行出境评估。
5、灾难备份
关键信息基础设施运营者应确定灾难备份目标,制定策略,准备技术方案,建设灾备中心,制定并实施业务连续性计划,确保关键信息基础设施的业务连续性。
6、人员与组织安全
建立网络安全管理框架,设立专门的网络安全管理机构,健全完善网络安全管理制度,落实网络安全防护措施。
做好人员安全审查(背景调查等),进行人员筛选(持证上岗)、人员调动或离职时及时清除访问权限。
7、培训
入职培训应包括安全意识教育和基础安全培训,至少每年进行一次网络安全培训,培训后应进行技能考核。
8、维护
关键信息基础设施运营者应审核并监视维护工具的使用,使用前进行恶意代码监测,维护时应填写维护记录,维护后确保设备仍可正常工作。
若采用境外远程维护,则需提前进行备案(远程维护策略、规程、工具),采用强鉴别技术建立远程维护会话,并对维护活动进行管理、控制和审计,维护日志留存不少于12个月,定期对远程维护日志进行审查。
9、供应链保护
在选择网络产品、服务和网络产品、服务供应商时,应进行评估,确保符合国家相关标准要求,进行背景调查等,签署合同应明确产品和服务的设计、开发、实施、验证、交付、支持过程,定期检查、评审和审核供应商的服务支付。
(三)检测评估
1、自评估
每年至少进行一次安全评估,从合规检查、技术检测、分析评估三个主要环节进行,可选择自行或委网络安全服务机构进行,根据评估结果进行整改,并将评估结果及时上报对应的关键基础设施安全保护工作部门。
2、安全检测
键信息基础设施运营者应通过关键信息基础设施安全保护工作部门认可的网络安全服务机构进行检测评估,在对检测评估发现的安全问题进行有效整改后方可上线。
3、安全抽查
关键信息基础设施运营者应积极配合关键信息基础设施安全保护工作部门组织开展的关键信息基础设施的安全风险抽查检测工作。
(四)监测预警
1、安全监测
应设施安全监测预警机制,制定安全事件应急预案,建立并完善监测预警制度,提高监测能力,确定监测对象、指标、频率,定期对监测结果进行安全评估;
可发现攻击行为,并采用自动分析工具对攻击事件实时分析,可发现未授权本地、网络和远程连接以及对信息系统的非授权使用,当发现信息系统异常情况时,应及时告警;
进行物理访问检测,形成物理访问日志,定期或发生安全事件时,审查物理访问日志;安装物理入侵警报装置;
关键信息基础设施运营者应对公开来源的网站信息(如社交网站信息)进行监测,以确定组织信息是否已被未经授权的方式披露;
采用白名单、黑名单等方式,在网络出入口以及系统主机、移动计算设备上实施恶意代码防护机制,并配置恶意代码防护机制,定期扫描信息系统,检测到恶意代码及时阻断或隔离恶意代码;在系统出入口或网站中工作站、服务器或移动计算设备上部署垃圾信息检测与防护机制,确保恶意代码和垃圾信息防护机制及时更新。
2、信息通报
关键信息基础设施运营者应根据国家行业主管或监管部门关键信息基础设施网络安全信息通报制度的要求;
关键信息基础设施运营者应以适当的方式参与本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度,持续接收行业主管或监管部门发布的安全风险、预警信息和应急防范措施建议。
(五)应急处置
关键信息基础设施运营者应制定组织的网络安全事件预警,明确机构职责,确立预警监测、研判发布、预警响应、警报解除等流程,对预案演练、宣传、培训等工作进行规划,落实保障措施;
定期培训、演练,总结和改进。