GB 信息安全技术 关键信息基础设施网络安全应急体系框架

2024-07-21  本文已影响0人  掠过原野的风

前言

本文件由全国信息安全标准化技术委员会提出并归口

1  范围

    本文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。

    本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。

2  规范性引用文件

    信息安全技术  信息安全事件分类分级指南

    信息安全技术  术语

    信息安全技术  关键信息基础设施安全保护要求

    信息安全技术  网络安全信息共享指南

3  术语和定义

3.1 关键信息基础设施

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

3.2  网络安全事件

由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。

3.3  应急响应

为了应对网络安全事件发生所做的准备,以及在网络安全事件发生后所采取的措施。

3.4  应急预案

为了应对网络安全事件而编制的,对关键信息基础设施进行维持、恢复,保障关键业务安全稳定运行的系统策略和规程。

3.5  网络安全应急相关方

负责、参与关键信息基础设施网络安全保护和应急活动的有关实体。

3.6  供应链

将多个资源和过程联系在一起,并根据服务协议或其他采购协议建立连续供应关系的组织系列。

3.7  关键业务链

组织的一个或多个相互关联的业务构成的关键业务流程。

4  缩略语

CII 关键信息基础设施(critical information infrastructure)

5  总体结构

CII 运营者首先设立专门安全管理机构,统筹负责本单位网络安全应急工作,依据对关键业务分析识别结果,制定本单位网络安全应急预案。在网络安全事件发生前,通过技术监测、情报收集等手段,发现CII面临的网络安全威胁,及时消除风险并降低发生网络安全事件的概率;在网络安全事件发生时,启动应急预案,快速定位问题并终止紧急状态;在网络安全事件得到控制后,开展后期处置,将CII恢复到事前运行状态并进行总结分析。

CII运营者发现网络安全事件威胁时,按要求通过信息共享接口及时向国家网信部门、保护工作部门、公安机关和网络安全服务机构等共享信息;发生重大网络安全事件时,按要求通过事件报告接口向国家网信部门、保护工作部门和公安机关报告。

6  机构设立

CII运营者设立专门安全管理机构,机构的领导由CII运营者最高管理层的分管领导担任,成员包括各相关部门负责人、技术支撑人员、咨询专家和对内、对外联络人员等。CII专门安全管理机构的职责包括:

a)统筹协调,负责领导和决策本单位CII网络安全应急事项,在发生网络安全事件期间负责指挥协调;

b)制定应急预案,依据分析识别结果,制定网络安全应急预案;

c)监测预警,负责组织常态化网络安全监测,及时发现CII面临的网络安全风险或威胁,并及时预警;

d)事件报告,负责对接国家网信部门、保护工作部门和公安机关,落实重大网络安全事件报告要求;

e)信息共享,负责对内、对外联络,落实网络安全信息共享要求;

f)应急处置,负责组织现场应急处置;

g)应急保障,负责落实物资、人力、资金等保障事项。

7  分析识别

CII运营者需要对关键业务进行分析识别,确定本单位关键业务运行情况以及对外部业务的依赖性、重要性,以支撑编制网络安全应急预案、开展网络安全应急活动。

a)基本情况梳理

梳理关键业务的服务对象、地域分布、组织结构、管理模式、岗位设置等,明确关键业务的运行特征、业务逻辑、运行架构、业务范围,确定关键业务的基本功能。

b)关键业务链识别

梳理与本单位关键业务相关联的外部业务,识别支撑关键业务的CII分布、运营情况,确定对外部业务的依赖性、重要性。

c)CII数据识别

分析关键业务在收集、存储、使用、加工、传输、输出、共享等环节中涉及到的数据情况,如配置数据、运行数据、运行数据、业务数据、用户数据等,明确数据的种类、作用,形成CII数据清单。

d)重要资产识别

识别关键业务安全稳定运行不可或缺的网络设施、信息系统等重要资产,厘清上述网络设施、信息系统的功能作用、结构组成、网络拓扑、地理位置以及与关键业务之间的支撑作用、依赖关系,形成CII资产清单。

e)供应链识别

识别CII资产所依赖的重要零部件、服务等信息,确定主要供货商,形成CII供应链清单。

8  应急预案

CII运营者以关键业务为核心制定网络安全应急预案。

a)在国家网络安全事件应急预案的框架下,CII专门安全管理机构组织技术、安全、业务、运维、采购等部门,建立健全本单位网络安全应急预案体系,包括总体应急预案、专项应急预案,规定统一的应急预案框架,明确应急预案的适用范围、启动预案的条件等;

b)应急预案要素需要齐全,包括确定组织机构职责,基于分析识别的结果,明确监测预警、应急处置、事后恢复与总结、事件报告和信息共享的实施方法,明确应急保障、演练与培训的落实细节;

c)明确应急策略,在应急预案中明确,一旦网络设施、信息系统受到损害或者发生故障时,需要维护的关键业务功能,并明确遭受破坏时恢复关键业务的时间;

d)关键业务恢复顺序

e)确定事件分级、预警分级和响应分级的标准并与上位预案衔接

f)网络安全应急预案需要有联系方式清单,包括应急值班24小时联系电话、重要资产责任人联系方式、专家名单及联系方式、网络安全应急技术队伍联系方式、应急相关方联系方式等;

g)制定应急预案操作手册,明确培训内容、频率、方式和对象;

h)制定应急演练手册,明确演练频率、组织方式和演练形式,评价预案内容的针对性、实用性和可操作性,实现应急预案的科学管理和优化更新。

9  监测预警

9.1  发现风险

CII运营者在风险发现方面:

a)建设网络安全监控中心,开展7*24小时安全监测,监测内容需要包括网络流量、日志信息、运行状态、性能状况和异常行为等;

b)具备两种以上威胁信息收集渠道,收集内外部网络安全威胁信息,包括内部报告的安全隐患、可疑事件和外部发布的安全漏洞、网络攻击最新动态等;

c)每年至少开展一次网络安全检测和风险评估,发现CII面临的风险和威胁;

d)留存重要监测数据时间不少于6个月,并符合国家、行业或地方有关部门网络安全应急相关法规的要求。

9.2  风险分析

CII运营者在风险分析方面:

a)装备分析工具、制定分析方法,全面分析日志、流量、漏洞和恶意代码;

b)制定威胁模型,挖掘检测规避、隐蔽通信、数据加密、欺骗绕过等高级网络攻击行为;

c)制定多源异构数据、多业务场景分析方法、分析无文件攻击、供应链攻击、账号凭据盗用等深层网络安全风险;

d)制定多源信息融合分析方法,综合研判CII业务、数据和供应链面临的网络安全态势;

e)对网络安全事件实施分级分类。

9.3  风险预警

CII运营者在风险预警方面:

a)制定内部预警通报制度,对发现和发生的风险、威胁,及时在内部发出预警;

b)根据不同等级、不同类别的网络安全事件制定相应的预警响应措施;

c)通过多种渠道及时采集内外部网络安全信息,并持续跟踪网络安全信息的变化情况,适时调整预警响应措施;

d)对于发现的可能造成较大影响的网络安全威胁信息,及时向保护工作部门、公安机关报告,并根据网络安全威胁信息的变化情况,及时补报最新网络安全威胁信息。

10  应急处置

10.1 概述

  CII运营者需要组建专业应急处置队伍,建立网络安全应急响应机制,确保危害CII业务、数据和供应链的事件得到及时处置,保障关键业务安全稳定运行。

10.2  应急处置机制

CII运营者网络安全应急响应机制包括:

a)建设网络安全应急指挥中心,制定指挥调度规范流程,实施7*24小时值班值守;

b)制定抑制、根除、恢复网络安全事件和威胁的方法;

c)针对网络攻击活动,制定应对方案,分析攻击路线、攻击目标,采取捕获、干扰、阻断、封控、加固等手段,快速切断攻击路线;

d)部署自动化安全响应和自动化实施封禁技术

e)制定协同处置方案,国家网信办、保护工作部门和公安机关指导下,开展或配合网络安全事件处置工作;

f)密切关注舆情,向社会公众通告网络安全事件情况及避免或减轻危害的措施,及时消除舆情;

g)对于未知类型的网络安全事件,根据影响情况果断采取措施,最大可能降低事件影响;

h)按要求,对网络攻击进行溯源、取证。

10.3 业务应急处置

CII运营者针对业务瘫痪情况,制定业务专项应急处置措施,包括,扩容网络带宽、启用备用的网络设施和信息系统、针对办公场所遭到自然灾害,临时切换工作场所或者线上办公。

10.4 数据应急处置

a)针对数据被篡改,分析攻击来源、攻击路径,针对性反制或抑制网络攻击,防止数据继续被篡改;

b)针对数据违规使用或者滥用,及时发布权威信息,消除数据违规使用或滥用产生次生危害;

c)针对数据泄露(丢失),及时下线或切断相关业务系统外联网络,防止继续泄露(丢失);

d)在数据被损坏时,通过备份数据恢复,保障业务运行需要。

10.5 供应链应急处置

11  事后恢复与总结

12  事件报告与信息共享

13  应急保障

13.1基础保障

应急资源:人财物,加强技术队伍建设,备品备件,应急工具,日常维护。

13.2  协同保障

13.3  业务保障(网络容量动态化、备份、定期巡检、资产更新)

13.4  数据保障

13.5  供应链保障

a)零部件供应

b)建立供应商审核制度,及时淘汰

c)制定设备替换方案,至少两家以上独立供货渠道

d)优先采购通过国家检测认证的设备和产品

14  演练与培训

每年对应急预案演练一次

培训考核合格后上岗

上一篇下一篇

猜你喜欢

热点阅读