上面写了均保2.0刚刚落地,紧接着《关键信息基础设施网络安全保护基本要求》。当前的网络安全,无论是技术还是国家战略,都需要我们持续关注和加强管理(请稍等,后面还有更多标准)。我打算开一个关于海关保护的系列,但不能算是解读。毕竟还没有实施和实践过,所以系列暂定为?。目的是让运维管理人员有所了解,初步了解海关保护,知道如何满足海关保护要求,配合企业和监管做好关键信息基础设施的网络安全保护工作。本文作为开篇的概述,后续更新将以?(2),(3)...文1.背景2017年是我国关键信息基础设施(CII)保护取得重大进展的一年重大进展。《网络安全法》、《国家网络空间安全战略》等提出建立关键信息基础设施安全保护体系;中央网信办发布《关键信息基础设施安全保护条例(征求意见稿)》,明确了关键信息基础设施的具体范围,提出了进一步的安全保护要求。2017年以来,我国关键信息基础设施安全保护标准体系开始布局。为确保标准体系建设的合理性和科学性,国家安全标准委员会多次组织专家研讨会,明确关键信息基础设施安全各项标准之间的关系和定位。批准的标准包括:《关键信息基础设施网络安全框架》。本标准规定了关键信息基础设施网络安全框架,描述了构成该框架的基本要素及其相互关系,定义了基本和通用术语。《关键信息基础设施网络安全保护基本要求》。本标准规定了关键信息基础设施在识别识别、安全防护、检测评估、监测预警、应急响应等环节的网络安全防护基本要求。《关键信息基础设施安全控制措施》。作为《信息安全技术关键信息基础设施网络安全保护基本要求》的配套标准,该标准根据需要提出了相应的控制措施,运营商在开展网络安全保护工作时可以从该标准中选择适用的控制措施。《关键信息基础设施安全检查评估指南》。本标准主要根据《关键信息基础设施网络安全保护基本要求》的相关要求,明确了关键信息基础设施检查评价的目的、过程、内容和结果。《关键信息基础设施安全保障指标体系》。本标准规定了用于评价关键信息基础设施安全水平的指标,并给出了解释,并根据检查评价结果、日常安全监测等给出了评价结果。2019年12月3日,国家信息安全秘书处标准化技术委员会在京组织召开了国家标准《信息安全技术关键信息基础设施网络安全保护基本要求》(报批稿)(以下简称《要求》)试点工作启动会。《要求》预计在2020年正式实施。(在此之前,《要求》已经通过了征求意见稿,目前为报批稿)2.范围我们来看看的文本内容。一是范围,主要涉及关键信息基础设施的识别识别、安全防护、检测评估、监测预警、事件处置等。即涉及:海关保护认定(含等级保护工作)相关工作以MLPS2.0为基础,高于MLPS安全保护能力年度考核和国家安全安全事件监测预警检查工作应急响应工作(应急队伍、技术工具、演练和网保等)这些工作将贯穿整个CII声明周期:规划设计、开发建设、运行维护、退役等阶段。从标准使用的文件来看,主要是基于《GB/T 20984 信息安全技术 信息安全风险评估规范》和《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》,也就是说基于但高于同等保护的要求。说白了,三级安全保障的要求是标杆,必须达到,但不代表你就合格。此外,您还必须满足海关安全方面的一些额外要求,才能被视为合格合规。《要求》中CII的定义如下:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他可能受到严重损害的行业损坏、丧失功能或者数据泄露等危害国家安全、国计民生和公共利益的信息设施。可见,基本涵盖了所有关系民生的重要行业和系统。三、原则你还记得保障中提出的“三同步”吗?即同步规划、同步建设、同步运营。一起来看看,海关保护需要哪些保护原则?重点保护是指关键信息基础设施的网络安全保护首先要符合网络安全等级保护政策和GB/T22239-2019等标准的相关要求。加强关键信息基础设施和重点业务的安全保护。整体防护是指以关键信息基础设施承载的业务为基础,对业务涉及的多个网络和信息系统(包括工控系统)进行综合防护。动态风险控制是指以风险管理为指导思想,根据关键信息基础设施面临的安全风险调整其安全控制措施,及时有效地防范和应对安全风险。协同参与是指涉及关键信息基础设施安全保护的利益相关方,共同参与关键信息基础设施安全保护工作。你怎么看?以我个人的理解,是这样的。重点保护主要基于业务,离不开保障2.0,保障2.0是网络安全工作的底线。海关保护不同于等级保护,对象是关键信息基础设施,不是信息系统。这意味着一个关键信息基础设施上可能存在多个信息系统,安全保护必须覆盖到每个系统。可以优先保护关键业务系统,但同时也要做好其他系统的保护工作,特别是安全隔离。.尤其是在系统之间可以相互访问的情况下,需要对其他系统一视同仁,对关键业务系统采用相同的保护级别。对于CII,提出了动态风险控制的要求。这里主要强调的是商业风险。这部分不是我的强项,就不废话了。但是关于风险评估的话。风评本身就是一个类似于PDCA的循环,旨在不断发现问题、修复问题、调整策略。我们不进行风险评估来应对监管或通过议案以履行职责。相关方应该根据自身业务和系统的特点,制定自己的风险评估和检查的用例,而不是一直抱着那套保底,坚守原则,100年不动摇。这在安全领域是行不通的。虽然WaitingGuarantee2.0刚刚颁布,从标准的要求来看是可以接受的,但并不代表这些用例在3年后仍然适合你的系统。要知道国标短期内是不会更新的。等待和保障2.0之间有11年的差距。协同参与有点类似于云平台的责任共担原则。对于CII的安全保护,除了运营商(是的,无论如何,最终责任人是运营商)之外,安全厂商、供应商、监管机构也有一定的连带责任。过去,企业在将这个系统迁移到云端并购买安全服务时,所有与安全相关的问题和责任都由云服务商和安全厂商承担。这种方法不适用于CII。能够承担CII建设的企业必须是大中型企业。我相信,如果他们想做,他们一定能做好。4.主要环节关键信息基础设施运营者负责关键信息基础设施的运营管理,承担关键信息基础设施安全的主体责任,履行网络安全保护义务,接受政府和社会监督,并承担社会责任。(一)识别识别:运营商配合保护部门按照有关规定开展关键信息基础设施识别识别活动,围绕关键信息基础设施承载的关键业务开展业务依赖识别、风险识别等活动。该环节是开展安全防护、检测评估、监测预警、事件处置等环节的基础。有点类似于安全评级加风险评估工作的水平。因为涉及业务、资产、风险等识别活动。(2)安全防护:经营者根据识别出的安全风险,从安全管理制度、安全管理机构、安全管理人员、安全管理人员等方面实施安全控制措施。通信网络、安全计算环境、安全建设管理、安全运维管理等,保障关键信息基础设施运行安全。该环节在识别关键信息基础设施安全风险的基础上,制定安全防护措施。这部分回到基于MLPS的保护工作的实施。由于目前CII相关配套标准和要求还不完善,而MLPS2.0作为企业国家网络安全的基线要求,未来一段时间内仍将采用MLPS。做好一些保障工作。(3)检测评估:为检验安全防护措施的有效性,发现网络安全隐患,运营商制定相应的检测评估制度,确定检测评估的流程和内容,分析可能发生的安全事件。造成的潜在安全隐患。企业安全自查和风险评估(含风险控制)工作,虽然监管要求至少一年一次,但大家还是根据实际情况来定。比如今年风评完成后,修复了不可接受的风险,没过多久系统又被黑了,这就需要对企业系统再次进行更详细的评估。(四)监测预警:运营者制定并实施网络安全监测预警和信息通报制度,对即将发生或正在发生的网络安全事件或威胁,提前或及时发布安全预警。对于安全监控平台或者SOC平台来说,毕竟不是每个公司都像阿里这样有安全团队和响应能力的。现在的态势感知平台和AI还不够成熟,还是小心点,严格管理权限好。最小化安装,尽可能少的暴露表面。经常梳理和监控企业IT资产,不需要接入互联网的不接入,与业务无关的资产尽可能逻辑隔离,做好安全域划分。不定期开展安全意识培训和技能培训,有奖有罚。(5)事件处理:处理网络安全事件,根据检测、评估、监控和预警环节中发现的问题,运营商制定并实施相应的应对措施,恢复因网络安全事件而受损的功能或服务。这里强调的是两个方面,一个是事件的发现和报告过程,一个是事件的处置和产能的恢复。另外,结合ClassGuarantee2.0的要求,除了业务连续性的应急预案外,还必须做好数据泄露的应急预案。
