一、《關(guān)鍵信息基礎(chǔ)設施安全保護要求》正式發(fā)布

10月12日，國家市場監(jiān)督管理總局（國家標準化管理委員會）官網(wǎng)（http://www.sac.gov.cn）發(fā)布公告，國家市場監(jiān)督管理總局批準發(fā)布《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設施安全保護要求》（以下簡稱“關(guān)?！保℅B/T 39204-2022）推薦性國家標準，該標準將于2023年5月1日正式實施。11月7日，市場監(jiān)管總局標準技術(shù)司、中央網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局、公安部網(wǎng)絡安全保衛(wèi)局在京聯(lián)合召開《關(guān)鍵信息基礎(chǔ)設施安全保護要求》國家標準發(fā)布宣貫會。

作為關(guān)鍵信息基礎(chǔ)設施安全保護標準體系的構(gòu)建基礎(chǔ)，本次發(fā)布的安全標準是自去年2021年7月30日發(fā)布《關(guān)鍵信息基礎(chǔ)設施安全保護條例》以來頒發(fā)的第一個關(guān)鍵信息基礎(chǔ)設施安全保護相關(guān)的國家標準。

二、標準規(guī)范對象

本標準適用于指導運營者對關(guān)鍵信息基礎(chǔ)設施進行全生存周期安全保護，也可供關(guān)鍵信息基礎(chǔ)設施安全保護的其他相關(guān)方參考使用。

關(guān)鍵信息基礎(chǔ)設施關(guān)鍵信息基礎(chǔ)設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等。

三、主要內(nèi)容

《關(guān)鍵信息基礎(chǔ)設施安全保護要求》作為關(guān)鍵信息基礎(chǔ)設施安全保護標準體系中的7個核心標準之一，屬于安全保護類標準，針對CII安全保護需求，其中提出了以關(guān)鍵業(yè)務為核心的整體防控、以風險管理為導向的動態(tài)防護、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防的關(guān)鍵信息基礎(chǔ)設施安全保護3項基本原則，從分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等六個方面提出了111條安全要求，為運營者開展關(guān)鍵信息基礎(chǔ)設施保護工作需求提供了強有力的標準保障。

3.1三項安全保護基本原則

以關(guān)鍵業(yè)務為核心的整體防控

關(guān)保的對象主要是關(guān)鍵信息設施，主要是由站場自控系統(tǒng)、分控中心、主調(diào)控中心、備調(diào)控中心等相互之間組成的工業(yè)控制網(wǎng)絡，涉及生產(chǎn)控制網(wǎng)、視頻監(jiān)控網(wǎng)、安全監(jiān)控網(wǎng)、無線網(wǎng)絡等多個網(wǎng)絡和信息系統(tǒng)，因此對關(guān)基的防護要覆蓋到業(yè)務（業(yè)務鏈）上的每個系統(tǒng)，因此要以防控關(guān)鍵業(yè)務為核心。

以風險管理為導向的動態(tài)防護

風險管理從預測、防御、檢測、響應四個維度出發(fā)，強調(diào)安全防護是一個持續(xù)處理循環(huán)的過程，需要以風險閉環(huán)管理機制對安全威脅進行實時動態(tài)分析，自動適應不斷變化的網(wǎng)絡和威脅環(huán)境，并不斷優(yōu)化安全防御策略。

以信息共享為基礎(chǔ)的協(xié)同聯(lián)防

在數(shù)字化、智慧化發(fā)展趨勢下，關(guān)鍵信息基礎(chǔ)設施逐漸從彼此孤立向數(shù)據(jù)互通、系統(tǒng)互聯(lián)的數(shù)字運營方向發(fā)展，所涉及的利益相關(guān)方都應積極主動地參與到關(guān)鍵信息基礎(chǔ)設施的安全保護工作中。

3.2六方面主要內(nèi)容及活動

關(guān)鍵信息基礎(chǔ)設施安全保護包括分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置六個方面，這六方面無固定先后順序，同等重要。

分析識別

關(guān)鍵信息設施運營者相關(guān)部門，圍繞關(guān)鍵信息基礎(chǔ)設施承載的關(guān)鍵業(yè)務，開展業(yè)務識別、資產(chǎn)識別、風險識別、重大變更等活動，是六方面活動的基礎(chǔ)。

安全防護

關(guān)鍵信息設施運營者根據(jù)已識別的關(guān)鍵業(yè)務、資產(chǎn)、安全風險，在安全管理制度、安全管理機構(gòu)、安全管理人員、安全通信網(wǎng)絡、安全計算環(huán)境、安全建設管理、安全運維管理等方面實施安全管理和技術(shù)保護措施，確保關(guān)鍵信息基礎(chǔ)設施的運行安全。本活動在識別關(guān)鍵信息基礎(chǔ)設施安全風險的基礎(chǔ)上制定相應的安全防護措施。

檢測評估

采用自行、委托網(wǎng)絡安全服務機構(gòu)、抽查監(jiān)測等方式檢驗安全防護措施的有效性，發(fā)現(xiàn)網(wǎng)絡安全風險隱患，運營者應制定對應的檢測評估制度，確定檢測評估的流程及內(nèi)容等，開展安全檢測與風險隱患評估，分析潛在安全風險可能引發(fā)的安全事件。

監(jiān)測預警

運營者需要制定并實施網(wǎng)絡安全監(jiān)測預警和信息通報制度，監(jiān)測關(guān)鍵業(yè)務所涉及的系統(tǒng)，并針對發(fā)生的網(wǎng)絡安全事件或發(fā)現(xiàn)的網(wǎng)絡安全威脅，提前或及時發(fā)出安全警示。建立威脅情報和信息共享機制，落實相關(guān)措施，提高關(guān)鍵信息基礎(chǔ)設施發(fā)現(xiàn)攻擊并預警的能力。

主動防御

關(guān)鍵信息基礎(chǔ)設施運營者以監(jiān)測到的攻擊行為為基礎(chǔ)，主動采取收斂暴露面、誘捕、溯源、干擾和阻斷等措施，開展攻防演習和威脅情報工作，提升關(guān)鍵信息基礎(chǔ)設施對網(wǎng)絡威脅與攻擊行為的識別、分析和主動防御能力。

事件處置

運營者對網(wǎng)絡安全事件進行報告和處置，并根據(jù)檢測評估、監(jiān)測預警等發(fā)現(xiàn)的不足采取適當?shù)膽獙Υ胧謴陀捎诰W(wǎng)絡安全事件而受損的功能或服務，并在必要時重新開啟分析識別活動。

四、新形勢下，關(guān)鍵信息基礎(chǔ)設施面臨著嚴峻復雜的網(wǎng)絡安全形勢

4.1關(guān)鍵信息基礎(chǔ)設施網(wǎng)絡安全事件頻發(fā)

2010年伊朗布什爾核電站遭“震網(wǎng)”病毒攻擊，導致核電站數(shù)千部離心機被燒毀，放射性物質(zhì)泄漏。

2013年棱鏡事件，曝露出各國國家核心數(shù)據(jù)安全均遭嚴重威脅。

2014年俄烏網(wǎng)絡戰(zhàn)，導致整個克里米亞地區(qū)陸上通訊、移動通信和網(wǎng)絡服務被中斷。

2015年圣誕節(jié)前夕，烏克蘭伊萬諾.弗蘭科夫斯克州大規(guī)模停電，數(shù)萬“災民”不得不在嚴寒中煎熬。

2019年委內(nèi)瑞拉停電事件，導致社會嚴重動蕩。

2021年河南暴雨災害期間，大量基站遭受洪水沖擊導致通訊癱瘓，應急管理部緊急調(diào)派無人機作為“空中基站”。

4.2風險與挑戰(zhàn)

我國關(guān)鍵信息基礎(chǔ)設施安全保護面臨的風險和挑戰(zhàn)主要為四個方面。

高等級網(wǎng)絡攻擊威脅

隨著網(wǎng)絡戰(zhàn)略威懾日益升級，各國均加強網(wǎng)軍建設，高等級攻擊入侵控制、竊密，對關(guān)鍵信息基礎(chǔ)設施安全構(gòu)成嚴重威脅。

大型黑客組織威脅

部分黑客組織頻繁持續(xù)對我國關(guān)鍵信息基礎(chǔ)設施網(wǎng)絡、重要系統(tǒng)等進行攻擊，直接威脅我國關(guān)鍵信息基礎(chǔ)設施安全。

新技術(shù)新應用雙刃劍效應

隨著5G移動通信及云計算、大數(shù)據(jù)、AI等技術(shù)在各行業(yè)的廣泛應用，關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設施更易成為網(wǎng)絡攻擊的高價值目標。

供應鏈安全挑戰(zhàn)

隨著網(wǎng)絡產(chǎn)品集成度的不斷提升和供應鏈全球化大分工的不斷加深，關(guān)鍵信息基礎(chǔ)設施的供應鏈安全風險面臨著嚴峻的挑戰(zhàn)。

事實證明，關(guān)鍵信息基礎(chǔ)設施一旦遭到攻擊破壞或數(shù)據(jù)泄漏，將嚴重危害國家安全、國計民生、經(jīng)濟發(fā)展。同時，也在警示我們，關(guān)鍵信息基礎(chǔ)設施安全問題不可一日不防。

五、實施意義

關(guān)鍵信息基礎(chǔ)設施的安全防護是國家網(wǎng)絡安全工作的重中之重?！蛾P(guān)鍵信息基礎(chǔ)設施安全保護要求》落實了鍵信息基礎(chǔ)設施安全保護以網(wǎng)絡安全等級保護制度為基礎(chǔ)這一要求，與我國的網(wǎng)絡安全整體形勢以及鍵信息基礎(chǔ)設施安全需求相適應，必將助力關(guān)鍵信息基礎(chǔ)設施安全保障體系建設，推動我國網(wǎng)絡強國戰(zhàn)略實施、數(shù)字經(jīng)濟穩(wěn)健發(fā)展！