GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求.pdf
- 文档部分内容预览:
GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求
安全管理人员要求包括
安全管理人员要求包括:
的人员方能上岗。安全管理机构明确关键岗位,通常包括与关键业务系统直接相关的系统管 理、网络管理、安全管理等岗位。关键岗位应配备专人,并配备2人以上共同管理。 b) 应定期安排安全管理机构人员参加国家、行业或业界网络安全相关活动,及时获取网络安全 动态。 应建立网络安全教育培训制度,定期开展网络安全教育培训和技能考核,关键信息基础设施从 业人员每人每年教育培训时长不得少于30个学时。教育培训内容应包括网络安全相关法律 法规、政策标准,以及网络安全保护技术、网络安全管理等。 d 当安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化(例如:取得非中国国 籍)或必要时,应根据情况重新按照相关要求进行安全背景审查。应在人员发生内部岗位调动 时,重新评估调动人员对关键信息基础设施的逻辑和物理访问权限,修改访问权限并通知相关 人员或角色。应在人员离岗时,及时终止离岗人员的所有访问权限,收回与身份鉴别相关的软 硬件设备,进行面谈并通知相关人员或角色。 e) 应明确从业人员安全保密职责和义务,包括安全职责、奖惩机制、离岗后的脱密期限等,并签订 安全保密协议
应实现通信线路“一主双备”的多电信运营商多路由保护,宜对网络关键节点和重要设施实 点”穴余备份。
互联安全要求包括: a)应建立或完善不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不 同运营者运营的系统之间的安全互联策略; b) 应保持同一用户其用户身份和访问控制策略等在不同网络安全等级保护系统、不同业务系统 不同区域中的一致性; 对不同局域网之间远程通信时应采取安全防护措施漆包线标准,例如:在通信前基于密码技术对通信的双 方进行验证或鉴别
边界防护要求包括: a)应对不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不同运营者 运营的系统之间的互操作、数据交换和信息流向进行严格控制; b)应对未授权设备进行动态发现及管控,只允许通过运营者授权的软硬件运行
应采取网络审计措施,监测、记录系统运行状态、日常操作、故障维护、远程运维等,留存相关日志 少于6个月,
GB/T392042022
GB/T392042022
且)应明确重要业务操作、重要用, b)应对设备、用户、服务或应用、数据进行安全管控,对于重要业务操作、重要用户操作或异常用 户操作行为,建立动态的身份鉴别方式,或者采用多因子身份鉴别等方式; )针对重要业务数据资源的操作,应基于安全标记等技术实现访间控制。
入侵防范要求包括: a)应采取技术手段,提高对高级可持续威胁(APT)等网络攻击行为的人侵防范能力 b)应采取技术手段,实现系统主动防护
应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。对于漏洞、补丁,应在经过 后及时修补,
应在关键信息基础设施建设、改造、升级等环节,实现网络安全技术措施与关键信息基础设施主体 工程同步规划、同步建设、同步使用,并采取测试、评审、攻防演练等多种形式验证。必要时,可建设关键 业务的仿真验证环境,予以验证
供应链安全保护要求包括: a)应建立供应链安全管理策略,包括:风险管理策略、供应方选择和管理策略、产品开发采购策 略、安全维护策略等。建立供应链安全管理制度,提供用于供应链安全管理的资金、人员和权 限等可用资源。 b)采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设 备和产品。 应形成年度采购的网络产品和服务清单。采购、使用的网络产品和服务应符合相关国家标准 的要求。可能影响国家安全的,应通过国家网络安全审查。 1 应建立和维护合格供应方目录。应选择有保障的供应方,防范出现因政治、外交、贸易等非技 术因素导致产品和服务供应中断的风险。 应强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性。 采购网络产品和服务时,应明确提供者的安全责任和义务,要求提供者对网络产品和服务的设 计、研发、生产、交付等关键环节加强安全管理。要求提供者声明不非法获取用户数据、控制和 操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。 应与网络产品和服务的提供者签订安全保密协议,协议内容应包括安全职责、保密内容、奖惩 机制、有效期等
GB/T392042022
h)应要求网络产品和服务的提供者对网络产品和服务研发、制造过程中涉及的实体拥有或控制 的已知技术专利等知识产权获得10年以上授权,或在网络产品和服务使用期内获得持续 授权。 i 应要求网络产品和服务的提供者提供中文版运行维护、二次开发等技术资料。 J 应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方 提供第三方网络安全服务机构出具的代码安全检测报告。 k) 使用的网络产品和服务存在安全缺陷、漏洞等风险时,应及时采取措施消除风险隐患,涉及重 大风险的应按规定向相关部门报告。
数据安全防护要求包括: a)应建立数据安全管理责任和评价考核制度,编制数据安全保护计划,实施数据安全技术防护, 开展数据安全风险评估,制定数据安全事件应急预案,及时处置安全事件,组织数据安全教育、 培训。 b) 应建立基于数据分类分级的数据安全保护策略,明确重要数据和个人信息保护的相应措施。 C 将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要,确需向境 外提供数据的,应当按照国家相关规定和标准进行安全评估。法律、行政法规另有规定的,依 照其规定。 d)应严格控制重要数据的使用、加工、传输、提供和公开等关键环节,并采取加密、脱敏、去标识化 等技术手段保护敏感数据安全。 e) 应建立业务连续性管理及容灾备份机制,重要系统和数据库实现异地备份。 数据可用性要求高的,应采取数据库异地实时备份措施。业务连续性要求高的,应采取系统异 地实时备份措施,确保关键信息基础设施一且被破坏,可及时进行恢复和补救。 g 应在关键信息基础设施退役废弃时,按照数据安全保护策略对存储的数据进行处理。 h) 应建立数据处理活动全流程的安全能力,并符合相关国家标准关于数据安全保护的要求
应建立健全关键信息基础设施安全检测评估制度,包括但不限于检测评估流程、方式方法、周期、人 员组织、资金保障等。
情况; 在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,应自行或者委托网络安全服 务机构进行检测评估,分析关键业务链以及关键资产等方面的变更,评估上述变更给关键信息 基础设施带来的风险变化情况,并依据风险变化以及发现的安全问题进行有效整改后方可 上线; 应针对特定的业务系统或系统资产,经有关部门批准或授权,采取模拟网络攻击方式,检测关 键信息基础设施在面对实际网络攻击时的防护和响应能力; 在安全风险抽查检测工作中,应配合提供网络安全管理制度、网络拓扑图、重要资产清单、关键 业务链、网络日志等必要的资料和技术支持,针对抽查检测工作中发现的安全隐患和风险建立 清单,制定整改方案,并及时整改
情况; 在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,应自行或者委托网络安全服 务机构进行检测评估,分析关键业务链以及关键资产等方面的变更,评估上述变更给关键信息 基础设施带来的风险变化情况,并依据风险变化以及发现的安全问题进行有效整改后方可 上线; 应针对特定的业务系统或系统资产,经有关部门批准或授权,采取模拟网络攻击方式,检测关 键信息基础设施在面对实际网络攻击时的防护和响应能力; 在安全风险抽查检测工作中,应配合提供网络安全管理制度、网络拓扑图、重要资产清单、关键 业务链、网络日志等必要的资料和技术支持,针对抽查检测工作中发现的安全隐患和风险建立 清单,制定整改方案,并及时整改
a)应在网络边界、网络出入口等网络关键节点部署攻击监测设备,发现网络攻击和未知威胁; b 应对关键业务所涉及的系统进行监测(例如:对不同网络安全等级保护系统、不同区域的系统 之间的网络流量进行监测等),对监测信息采取保护措施,防止其受到未授权的访问、修改和 删除; C) 应分析系统通信流量或事态的模式,建立常见系统通信流量或事态的模型,并使用这些模型调 整监测工具参数,以减少误报和漏报; d 能力; e) 应采用自动化机制,对关键业务所涉及的系统的所有监测信息进行整合分析,以便及时关联资
a)应在网络边界、网络出入口等网络关键节点部署攻击监测设备,发现网络攻击和未知威胁; b)应对关键业务所涉及的系统进行监测(例如:对不同网络安全等级保护系统、不同区域的系统 之间的网络流量进行监测等),对监测信息采取保护措施,防止其受到未授权的访问、修改和 删除; C) 应分析系统通信流量或事态的模式,建立常见系统通信流量或事态的模型,并使用这些模型调 整监测工具参数,以减少误报和漏报; 能力; e)应采用自动化机制,对关键业务所涉及的系统的所有监测信息进行整合分析,以便及时关联资
GB/T392042022
域建设时,构建集中统一指挥、多点全面监测、多级联动处置的动态感知能力; 应将关键业务运行所涉及的各类信息进行关联,并分析整体安全态势,包括:分析不同存储库 的审计日志并使之关联;将多个信息系统内多个组件的审计记录关联;将信息系统审计记录信 息与物理访间监控的信息关联:将来自非技术源的信息(例如:供应链信息、关键岗位人员信息 等)与信息系统审计信息关联;网络安全共享信息的信息关联等; g)应通过安全态势分析结果来确定安全策略和安全控制措施是否合理有效,必要时进行更新。
10.2攻击发现和阻断
攻击发现和阻断要求包括: a 应分析网络攻击的方法、手段,针对拒绝服务攻击等各类攻击,采取有针对性的防护策略和技 术措施,制定总体技术应对方案; b 应针对监测发现的攻击活动,分析攻击路线、攻击目标,设置多道防线,采取捕获、干扰、阻断 封控、加固等多种技术手段,切断攻击路径,快速处置网络攻击; C 应及时对网络攻击活动开展溯源,对攻击者进行画像,为案件侦查、事件调查、完善防护策略和 措施提供支持; d)应系统全面地分析网络攻击意图、技术与过程,进行关联分析与还原,并以此改进安全保护策 略,并加以落实。
暖通空调图纸、图集GB/T392042022
a) 应围绕关键业务的可持续运行设定 织、跨地域运行的,组织或参加实网攻防演练。在不适合开展实网攻防演练场景下,采取沙盘 推演的方式进行攻防演练。 应将关键信息基础设施核心供应链、紧密上下游产业链等业务相关单位纳人演练范畴、
威胁情报要求包括: a)应建立本部门、本单位网络威胁情报共享机制,组织联动上下级单位,开展威胁情报搜集、加 工、共享、处置; b)应建立外部协同网络威胁情报共享机制,与权威网络威胁情报机构开展协同联动,实现跨行业 领域网络安全联防联控。
制度要求包括: a 应建立网络安全事件管理制度,明确不同网络安全事件的分类分级、不同类别和级别事件处置 的流程等,制定应急预案等网络安全事件管理文档。事件处置制度应符合国家联防联控相关 要求,及时将信息共享给相关方。 b)应为网络安全事件处置提供相应资源,组织建立专门网络安全应急支撑队伍、专家队伍,保障 安全事件得到及时有效处置。 c)应按规定参与和配合相关部门开展的网络安全应急演练、应急处置、案件侦办等工作
11.2应急预案和演续
应急预案和演练要求包括: a)应在国家网络安全事件应急预案的框架下,根据行业和地方的特殊要求,制定网络安全事件应 急预案。 b)应在应急预案中明确,一旦信息系统中断、受到损害或者发生故障时,需要维护的关键业务功 能,并明确遭受破坏时恢复关键业务和恢复全部业务的时间。应急预案不仅应包括本组织应 急事件的处理,也应包括多个运营者间的应急事件的处理。 在制定应急预案时,应同所涉及的运营者内部相关计划(例如:业务持续性计划、灾难备份计划 等)以及外部服务提供者的应急计划进行协调,以确保连续性要求得以满足。 d 应在应急预案中包括非常规时期、遭受大规模攻击时等处置流程。 e) 应对网络安全应急预案定期进行评估修订,并持续改进。 应每年至少组织开展1次本组织的应急演练。关键信息基础设施跨组织、跨地域运行的,应定 期组织或参加跨组织、跨地域的应急演练。
件报告; b) 应及时将可能危害关键业务的安全事件通报到可能受影响的内部部门和人员,并按照规 供应链涉及的、与事件相关的其他组织通报安全事件
11.3.2事件处理和恢复
住宅楼标准规范范本GB/T392042022
....- 相关专题: