GB 信息安全技术 关键信息基础设施网络安全应急体系框架
前言
本文件由全国信息安全标准化技术委员会提出并归口
1 范围
本文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。
本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。
2 规范性引用文件
信息安全技术 信息安全事件分类分级指南
信息安全技术 术语
信息安全技术 关键信息基础设施安全保护要求
信息安全技术 网络安全信息共享指南
3 术语和定义
3.1 关键信息基础设施
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
3.2 网络安全事件
由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。
3.3 应急响应
为了应对网络安全事件发生所做的准备,以及在网络安全事件发生后所采取的措施。
3.4 应急预案
为了应对网络安全事件而编制的,对关键信息基础设施进行维持、恢复,保障关键业务安全稳定运行的系统策略和规程。
3.5 网络安全应急相关方
负责、参与关键信息基础设施网络安全保护和应急活动的有关实体。
3.6 供应链
将多个资源和过程联系在一起,并根据服务协议或其他采购协议建立连续供应关系的组织系列。
3.7 关键业务链
组织的一个或多个相互关联的业务构成的关键业务流程。
4 缩略语
CII 关键信息基础设施(critical information infrastructure)
5 总体结构
CII 运营者首先设立专门安全管理机构,统筹负责本单位网络安全应急工作,依据对关键业务分析识别结果,制定本单位网络安全应急预案。在网络安全事件发生前,通过技术监测、情报收集等手段,发现CII面临的网络安全威胁,及时消除风险并降低发生网络安全事件的概率;在网络安全事件发生时,启动应急预案,快速定位问题并终止紧急状态;在网络安全事件得到控制后,开展后期处置,将CII恢复到事前运行状态并进行总结分析。
CII运营者发现网络安全事件威胁时,按要求通过信息共享接口及时向国家网信部门、保护工作部门、公安机关和网络安全服务机构等共享信息;发生重大网络安全事件时,按要求通过事件报告接口向国家网信部门、保护工作部门和公安机关报告。
6 机构设立
CII运营者设立专门安全管理机构,机构的领导由CII运营者最高管理层的分管领导担任,成员包括各相关部门负责人、技术支撑人员、咨询专家和对内、对外联络人员等。CII专门安全管理机构的职责包括:
a)统筹协调,负责领导和决策本单位CII网络安全应急事项,在发生网络安全事件期间负责指挥协调;
b)制定应急预案,依据分析识别结果,制定网络安全应急预案;
c)监测预警,负责组织常态化网络安全监测,及时发现CII面临的网络安全风险或威胁,并及时预警;
d)事件报告,负责对接国家网信部门、保护工作部门和公安机关,落实重大网络安全事件报告要求;
e)信息共享,负责对内、对外联络,落实网络安全信息共享要求;
f)应急处置,负责组织现场应急处置;
g)应急保障,负责落实物资、人力、资金等保障事项。
7 分析识别
CII运营者需要对关键业务进行分析识别,确定本单位关键业务运行情况以及对外部业务的依赖性、重要性,以支撑编制网络安全应急预案、开展网络安全应急活动。
a)基本情况梳理
梳理关键业务的服务对象、地域分布、组织结构、管理模式、岗位设置等,明确关键业务的运行特征、业务逻辑、运行架构、业务范围,确定关键业务的基本功能。
b)关键业务链识别
梳理与本单位关键业务相关联的外部业务,识别支撑关键业务的CII分布、运营情况,确定对外部业务的依赖性、重要性。
c)CII数据识别
分析关键业务在收集、存储、使用、加工、传输、输出、共享等环节中涉及到的数据情况,如配置数据、运行数据、运行数据、业务数据、用户数据等,明确数据的种类、作用,形成CII数据清单。
d)重要资产识别
识别关键业务安全稳定运行不可或缺的网络设施、信息系统等重要资产,厘清上述网络设施、信息系统的功能作用、结构组成、网络拓扑、地理位置以及与关键业务之间的支撑作用、依赖关系,形成CII资产清单。
e)供应链识别
识别CII资产所依赖的重要零部件、服务等信息,确定主要供货商,形成CII供应链清单。
8 应急预案
CII运营者以关键业务为核心制定网络安全应急预案。
a)在国家网络安全事件应急预案的框架下,CII专门安全管理机构组织技术、安全、业务、运维、采购等部门,建立健全本单位网络安全应急预案体系,包括总体应急预案、专项应急预案,规定统一的应急预案框架,明确应急预案的适用范围、启动预案的条件等;
b)应急预案要素需要齐全,包括确定组织机构职责,基于分析识别的结果,明确监测预警、应急处置、事后恢复与总结、事件报告和信息共享的实施方法,明确应急保障、演练与培训的落实细节;
c)明确应急策略,在应急预案中明确,一旦网络设施、信息系统受到损害或者发生故障时,需要维护的关键业务功能,并明确遭受破坏时恢复关键业务的时间;
d)关键业务恢复顺序
e)确定事件分级、预警分级和响应分级的标准并与上位预案衔接
f)网络安全应急预案需要有联系方式清单,包括应急值班24小时联系电话、重要资产责任人联系方式、专家名单及联系方式、网络安全应急技术队伍联系方式、应急相关方联系方式等;
g)制定应急预案操作手册,明确培训内容、频率、方式和对象;
h)制定应急演练手册,明确演练频率、组织方式和演练形式,评价预案内容的针对性、实用性和可操作性,实现应急预案的科学管理和优化更新。
9 监测预警
9.1 发现风险
CII运营者在风险发现方面:
a)建设网络安全监控中心,开展7*24小时安全监测,监测内容需要包括网络流量、日志信息、运行状态、性能状况和异常行为等;
b)具备两种以上威胁信息收集渠道,收集内外部网络安全威胁信息,包括内部报告的安全隐患、可疑事件和外部发布的安全漏洞、网络攻击最新动态等;
c)每年至少开展一次网络安全检测和风险评估,发现CII面临的风险和威胁;
d)留存重要监测数据时间不少于6个月,并符合国家、行业或地方有关部门网络安全应急相关法规的要求。
9.2 风险分析
CII运营者在风险分析方面:
a)装备分析工具、制定分析方法,全面分析日志、流量、漏洞和恶意代码;
b)制定威胁模型,挖掘检测规避、隐蔽通信、数据加密、欺骗绕过等高级网络攻击行为;
c)制定多源异构数据、多业务场景分析方法、分析无文件攻击、供应链攻击、账号凭据盗用等深层网络安全风险;
d)制定多源信息融合分析方法,综合研判CII业务、数据和供应链面临的网络安全态势;
e)对网络安全事件实施分级分类。
9.3 风险预警
CII运营者在风险预警方面:
a)制定内部预警通报制度,对发现和发生的风险、威胁,及时在内部发出预警;
b)根据不同等级、不同类别的网络安全事件制定相应的预警响应措施;
c)通过多种渠道及时采集内外部网络安全信息,并持续跟踪网络安全信息的变化情况,适时调整预警响应措施;
d)对于发现的可能造成较大影响的网络安全威胁信息,及时向保护工作部门、公安机关报告,并根据网络安全威胁信息的变化情况,及时补报最新网络安全威胁信息。
10 应急处置
10.1 概述
CII运营者需要组建专业应急处置队伍,建立网络安全应急响应机制,确保危害CII业务、数据和供应链的事件得到及时处置,保障关键业务安全稳定运行。
10.2 应急处置机制
CII运营者网络安全应急响应机制包括:
a)建设网络安全应急指挥中心,制定指挥调度规范流程,实施7*24小时值班值守;
b)制定抑制、根除、恢复网络安全事件和威胁的方法;
c)针对网络攻击活动,制定应对方案,分析攻击路线、攻击目标,采取捕获、干扰、阻断、封控、加固等手段,快速切断攻击路线;
d)部署自动化安全响应和自动化实施封禁技术
e)制定协同处置方案,国家网信办、保护工作部门和公安机关指导下,开展或配合网络安全事件处置工作;
f)密切关注舆情,向社会公众通告网络安全事件情况及避免或减轻危害的措施,及时消除舆情;
g)对于未知类型的网络安全事件,根据影响情况果断采取措施,最大可能降低事件影响;
h)按要求,对网络攻击进行溯源、取证。
10.3 业务应急处置
CII运营者针对业务瘫痪情况,制定业务专项应急处置措施,包括,扩容网络带宽、启用备用的网络设施和信息系统、针对办公场所遭到自然灾害,临时切换工作场所或者线上办公。
10.4 数据应急处置
a)针对数据被篡改,分析攻击来源、攻击路径,针对性反制或抑制网络攻击,防止数据继续被篡改;
b)针对数据违规使用或者滥用,及时发布权威信息,消除数据违规使用或滥用产生次生危害;
c)针对数据泄露(丢失),及时下线或切断相关业务系统外联网络,防止继续泄露(丢失);
d)在数据被损坏时,通过备份数据恢复,保障业务运行需要。
10.5 供应链应急处置
11 事后恢复与总结
12 事件报告与信息共享
13 应急保障
13.1基础保障
应急资源:人财物,加强技术队伍建设,备品备件,应急工具,日常维护。
13.2 协同保障
13.3 业务保障(网络容量动态化、备份、定期巡检、资产更新)
13.4 数据保障
13.5 供应链保障
a)零部件供应
b)建立供应商审核制度,及时淘汰
c)制定设备替换方案,至少两家以上独立供货渠道
d)优先采购通过国家检测认证的设备和产品
14 演练与培训
每年对应急预案演练一次
培训考核合格后上岗