《關鍵信息基礎設施安全保護要求》正式發布，你不得不了解的相關知識

一、《關鍵信息基礎設施安全保護要求》正式發布

10月12日，國家市場監督管理總局（國家標準化管理委員會）官網（http://www.sac.gov.cn）發布公告，國家市場監督管理總局批準發布《信息安全技術 關鍵信息基礎設施安全保護要求》（以下簡稱“關保”）（GB/T 39204-2022）推薦性國家標準，該標準將于2023年5月1日正式實施。11月7日，市場監管總局標準技術司、中央網信辦網絡安全協調局、公安部網絡安全保衛局在京聯合召開《關鍵信息基礎設施安全保護要求》國家標準發布宣貫會。

作為關鍵信息基礎設施安全保護標準體系的構建基礎，本次發布的安全標準是自去年2021年7月30日發布《關鍵信息基礎設施安全保護條例》以來頒發的第一個關鍵信息基礎設施安全保護相關的國家標準。

二、標準規范對象

本標準適用于指導運營者對關鍵信息基礎設施進行全生存周期安全保護，也可供關鍵信息基礎設施安全保護的其他相關方參考使用。

關鍵信息基礎設施關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

三、主要內容

《關鍵信息基礎設施安全保護要求》作為關鍵信息基礎設施安全保護標準體系中的7個核心標準之一，屬于安全保護類標準，針對CII安全保護需求，其中提出了以關鍵業務為核心的整體防控、以風險管理為導向的動態防護、以信息共享為基礎的協同聯防的關鍵信息基礎設施安全保護3項基本原則，從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等六個方面提出了111條安全要求，為運營者開展關鍵信息基礎設施保護工作需求提供了強有力的標準保障。

3.1三項安全保護基本原則

以關鍵業務為核心的整體防控

關保的對象主要是關鍵信息設施，主要是由站場自控系統、分控中心、主調控中心、備調控中心等相互之間組成的工業控制網絡，涉及生產控制網、視頻監控網、安全監控網、無線網絡等多個網絡和信息系統，因此對關基的防護要覆蓋到業務（業務鏈）上的每個系統，因此要以防控關鍵業務為核心。

以風險管理為導向的動態防護

風險管理從預測、防御、檢測、響應四個維度出發，強調安全防護是一個持續處理循環的過程，需要以風險閉環管理機制對安全威脅進行實時動態分析，自動適應不斷變化的網絡和威脅環境，并不斷優化安全防御策略。

以信息共享為基礎的協同聯防

在數字化、智慧化發展趨勢下，關鍵信息基礎設施逐漸從彼此孤立向數據互通、系統互聯的數字運營方向發展，所涉及的利益相關方都應積極主動地參與到關鍵信息基礎設施的安全保護工作中。

3.2六方面主要內容及活動

關鍵信息基礎設施安全保護包括分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置六個方面，這六方面無固定先后順序，同等重要。

分析識別

關鍵信息設施運營者相關部門，圍繞關鍵信息基礎設施承載的關鍵業務，開展業務識別、資產識別、風險識別、重大變更等活動，是六方面活動的基礎。

安全防護

關鍵信息設施運營者根據已識別的關鍵業務、資產、安全風險，在安全管理制度、安全管理機構、安全管理人員、安全通信網絡、安全計算環境、安全建設管理、安全運維管理等方面實施安全管理和技術保護措施，確保關鍵信息基礎設施的運行安全。本活動在識別關鍵信息基礎設施安全風險的基礎上制定相應的安全防護措施。

檢測評估

采用自行、委托網絡安全服務機構、抽查監測等方式檢驗安全防護措施的有效性，發現網絡安全風險隱患，運營者應制定對應的檢測評估制度，確定檢測評估的流程及內容等，開展安全檢測與風險隱患評估，分析潛在安全風險可能引發的安全事件。

監測預警

運營者需要制定并實施網絡安全監測預警和信息通報制度，監測關鍵業務所涉及的系統，并針對發生的網絡安全事件或發現的網絡安全威脅，提前或及時發出安全警示。建立威脅情報和信息共享機制，落實相關措施，提高關鍵信息基礎設施發現攻擊并預警的能力。

主動防御

關鍵信息基礎設施運營者以監測到的攻擊行為為基礎，主動采取收斂暴露面、誘捕、溯源、干擾和阻斷等措施，開展攻防演習和威脅情報工作，提升關鍵信息基礎設施對網絡威脅與攻擊行為的識別、分析和主動防御能力。

事件處置

運營者對網絡安全事件進行報告和處置，并根據檢測評估、監測預警等發現的不足采取適當的應對措施，恢復由于網絡安全事件而受損的功能或服務，并在必要時重新開啟分析識別活動。

四、新形勢下，關鍵信息基礎設施面臨著嚴峻復雜的網絡安全形勢

4.1關鍵信息基礎設施網絡安全事件頻發

2010年伊朗布什爾核電站遭“震網”病毒攻擊，導致核電站數千部離心機被燒毀，放射性物質泄漏。

2013年棱鏡事件，曝露出各國國家核心數據安全均遭嚴重威脅。

2014年俄烏網絡戰，導致整個克里米亞地區陸上通訊、移動通信和網絡服務被中斷。

2015年圣誕節前夕，烏克蘭伊萬諾.弗蘭科夫斯克州大規模停電，數萬“災民”不得不在嚴寒中煎熬。

2019年委內瑞拉停電事件，導致社會嚴重動蕩。

2021年河南暴雨災害期間，大量基站遭受洪水沖擊導致通訊癱瘓，應急管理部緊急調派無人機作為“空中基站”。

4.2風險與挑戰

我國關鍵信息基礎設施安全保護面臨的風險和挑戰主要為四個方面。

高等級網絡攻擊威脅

隨著網絡戰略威懾日益升級，各國均加強網軍建設，高等級攻擊入侵控制、竊密，對關鍵信息基礎設施安全構成嚴重威脅。

大型黑客組織威脅

部分黑客組織頻繁持續對我國關鍵信息基礎設施網絡、重要系統等進行攻擊，直接威脅我國關鍵信息基礎設施安全。

新技術新應用雙刃劍效應

隨著5G移動通信及云計算、大數據、AI等技術在各行業的廣泛應用，關系國計民生的關鍵信息基礎設施更易成為網絡攻擊的高價值目標。

供應鏈安全挑戰

隨著網絡產品集成度的不斷提升和供應鏈全球化大分工的不斷加深，關鍵信息基礎設施的供應鏈安全風險面臨著嚴峻的挑戰。

事實證明，關鍵信息基礎設施一旦遭到攻擊破壞或數據泄漏，將嚴重危害國家安全、國計民生、經濟發展。同時，也在警示我們，關鍵信息基礎設施安全問題不可一日不防。

五、實施意義

關鍵信息基礎設施的安全防護是國家網絡安全工作的重中之重。《關鍵信息基礎設施安全保護要求》落實了鍵信息基礎設施安全保護以網絡安全等級保護制度為基礎這一要求，與我國的網絡安全整體形勢以及鍵信息基礎設施安全需求相適應，必將助力關鍵信息基礎設施安全保障體系建設，推動我國網絡強國戰略實施、數字經濟穩健發展！