（高清版）GBT 39204-2022 信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求

信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求2022-10-12發(fā)布I前言 2規(guī)范性引用文件 13術(shù)語和定義 l4安全保護(hù)基本原則 15主要內(nèi)容及活動 26分析識別 26.1業(yè)務(wù)識別 26.2資產(chǎn)識別 26.3風(fēng)險識別 36.4重大變更 37安全防護(hù) 37.1網(wǎng)絡(luò)安全等級保護(hù) 37.2安全管理制度 37.3安全管理機(jī)構(gòu) 37.4安全管理人員 37.5安全通信網(wǎng)絡(luò) 47.6安全計算環(huán)境 47.7安全建設(shè)管理 57.8安全運(yùn)維管理 57.9供應(yīng)鏈安全保護(hù) 57.10數(shù)據(jù)安全防護(hù) 68檢測評估 68.1制度 68.2方式和內(nèi)容 69監(jiān)測預(yù)警 79.1制度 7 79.3預(yù)警 810主動防御 810.1收斂暴露面 810.2攻擊發(fā)現(xiàn)和阻斷 810.3攻防演練 810.4威脅情報 9Ⅱ11事件處置 11.1制度 11.2應(yīng)急預(yù)案和演練 11.3響應(yīng)和處置 11.4重新識別 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局、公安部網(wǎng)絡(luò)安全保衛(wèi)局、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國信息安全測評中心、國家信息技術(shù)安全研究中心、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、公安部第三研究所、公安部第一研究所、北京賽西科技發(fā)展有限責(zé)任公司、中國信息安全研究院有限公司、國家工業(yè)信息安全發(fā)展研究中心、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國互聯(lián)網(wǎng)絡(luò)信息中心。為落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》關(guān)于保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全的要求，在國家網(wǎng)絡(luò)安全等級保護(hù)制度基礎(chǔ)上，借鑒我國相關(guān)部門在重要行業(yè)和領(lǐng)域開展網(wǎng)絡(luò)安全保護(hù)工作的成熟經(jīng)驗(yàn)，吸納國內(nèi)外在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)方面的舉措，結(jié)合我國現(xiàn)有網(wǎng)絡(luò)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求，采取必要措施保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)運(yùn)行，及其重要數(shù)據(jù)不受破壞，切實(shí)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)。1信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求1范圍本文件規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置等方面的安全要求。本文件適用于指導(dǎo)運(yùn)營者對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全生存周期安全保護(hù)，也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20984信息安全技術(shù)信息安全風(fēng)險評估方法GB/T25069信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。將多個資源和過程聯(lián)系在一起，并根據(jù)服務(wù)協(xié)議或其他采購協(xié)議建立連續(xù)供應(yīng)關(guān)系的組織系列。注：其中每一組織充當(dāng)需方、供方或雙重角色。關(guān)鍵業(yè)務(wù)鏈criticalbusinesschain組織的一個或多個相互關(guān)聯(lián)的業(yè)務(wù)構(gòu)成的關(guān)鍵業(yè)務(wù)流程。4安全保護(hù)基本原則關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)應(yīng)在網(wǎng)絡(luò)安全等級保護(hù)制度基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)，應(yīng)遵循以下基本原則。——以關(guān)鍵業(yè)務(wù)為核心的整體防控。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)以保護(hù)關(guān)鍵業(yè)務(wù)為目標(biāo)，對業(yè)務(wù)所涉及的一個或多個網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行體系化安全設(shè)計，構(gòu)建整體安全防控體系。2——以風(fēng)險管理為導(dǎo)向的動態(tài)防護(hù)。根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全威脅態(tài)勢進(jìn)行持續(xù)監(jiān)測和安全控制措施的動態(tài)調(diào)整，形成動態(tài)的安全防護(hù)機(jī)制，及時有效地防范應(yīng)對安全風(fēng)險?！孕畔⒐蚕頌榛A(chǔ)的協(xié)同聯(lián)防。積極構(gòu)建相關(guān)方廣泛參與的信息共享、協(xié)同聯(lián)動的共同防護(hù)機(jī)制，提升關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)對大規(guī)模網(wǎng)絡(luò)攻擊能力。5主要內(nèi)容及活動關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)包括分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置六個方面。a)分析識別：圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù)，開展業(yè)務(wù)依賴性識別、關(guān)鍵資產(chǎn)識別、風(fēng)險識別等活動。本活動是開展安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置等活動的基礎(chǔ)。b)安全防護(hù)：根據(jù)已識別的關(guān)鍵業(yè)務(wù)、資產(chǎn)、安全風(fēng)險，在安全人員、安全通信網(wǎng)絡(luò)、安全計算環(huán)境、安全建設(shè)管理、安全運(yùn)維管理等方面實(shí)施安全管理和技術(shù)保護(hù)措施，確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。c)檢測評估：為檢驗(yàn)安全防護(hù)措施的有效性，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險隱患，應(yīng)建立相應(yīng)的檢測評估制度，確定檢測評估的流程及內(nèi)容等，開展安全檢測與風(fēng)險隱患評估，分析潛在安全風(fēng)險可能引發(fā)的安全事件。d)監(jiān)測預(yù)警：建立并實(shí)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，針對發(fā)生的網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)的網(wǎng)絡(luò)安全威脅，提前或及時發(fā)出安全警示。建立威脅情報和信息共享機(jī)制，落實(shí)相關(guān)措施，提高主動發(fā)現(xiàn)攻擊能力。e)主動防御：以應(yīng)對攻擊行為的監(jiān)測發(fā)現(xiàn)為基礎(chǔ)，主動采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施，開展攻防演習(xí)和威脅情報工作，提升對網(wǎng)絡(luò)威脅與攻擊行為的識別、分析和主動防御能力。f)事件處置：運(yùn)營者對網(wǎng)絡(luò)安全事件進(jìn)行報告和處置，并采取適當(dāng)?shù)膽?yīng)對措施，恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。6分析識別6.1業(yè)務(wù)識別業(yè)務(wù)識別要求包括：a)應(yīng)識別本組織的關(guān)鍵業(yè)務(wù)和與其相關(guān)聯(lián)的外部業(yè)務(wù)；b)應(yīng)分析本組織關(guān)鍵業(yè)務(wù)對外部業(yè)務(wù)的依賴性；c)應(yīng)分析本組織關(guān)鍵業(yè)務(wù)對外部業(yè)務(wù)的重要性；d)應(yīng)梳理關(guān)鍵業(yè)務(wù)鏈，明確支撐關(guān)鍵業(yè)務(wù)的關(guān)鍵信息基礎(chǔ)設(shè)施分布和運(yùn)營情況。6.2資產(chǎn)識別資產(chǎn)識別要求包括：a)應(yīng)識別關(guān)鍵業(yè)務(wù)鏈所依賴的資產(chǎn)，建立關(guān)鍵業(yè)務(wù)鏈相關(guān)的網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、服務(wù)和其他類資產(chǎn)的資產(chǎn)清單；b)應(yīng)基于資產(chǎn)類別、資產(chǎn)重要性和支撐業(yè)務(wù)的重要性，確定資產(chǎn)防護(hù)的優(yōu)先級；c)應(yīng)采用資產(chǎn)探測技術(shù)識別資產(chǎn)，并根據(jù)關(guān)鍵業(yè)務(wù)鏈所依賴資產(chǎn)的實(shí)際情況動態(tài)更新。36.3風(fēng)險識別應(yīng)按照GB/T20984等風(fēng)險評估標(biāo)準(zhǔn)，對關(guān)鍵業(yè)務(wù)鏈開展安全風(fēng)險分析，識別關(guān)鍵業(yè)務(wù)鏈各環(huán)節(jié)的威脅、脆弱性，確認(rèn)已有安全控制措施，分析主要安全風(fēng)險點(diǎn)，確定風(fēng)險處置的優(yōu)先級，形成安全風(fēng)險報告。6.4重大變更在關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生改建、擴(kuò)建、所有人變更等較大變化時，應(yīng)重新開展識別工作，可能影響認(rèn)定結(jié)果的，應(yīng)及時將相關(guān)情況報告保護(hù)工作部門，并更新資產(chǎn)清單。注：保護(hù)工作部門指公共通信和信息服務(wù)、能源、交通、水利、金融、公共和領(lǐng)域的主管部門、監(jiān)督管理部門，也是負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。7安全防護(hù)7.1網(wǎng)絡(luò)安全等級保護(hù)應(yīng)落實(shí)國家網(wǎng)絡(luò)安全等級保護(hù)制度相關(guān)要求，開展網(wǎng)絡(luò)和信息系統(tǒng)的定級、備案、安全建設(shè)整改和等級測評等工作。7.2安全管理制度安全管理制度要求包括：a)應(yīng)制定適合本組織的網(wǎng)絡(luò)安全保護(hù)計劃，明確關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的目標(biāo)，從管理支撐關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。網(wǎng)絡(luò)安全保護(hù)計劃應(yīng)形成文檔并經(jīng)審批后發(fā)送至相關(guān)人員。網(wǎng)絡(luò)安全保護(hù)計劃應(yīng)每年至少修訂一次，或發(fā)生重大變化時進(jìn)行修訂。b)應(yīng)建立管理制度和安全策略，重點(diǎn)考慮基于關(guān)鍵業(yè)務(wù)鏈安全需求，并根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全風(fēng)險和威脅的變化進(jìn)行相應(yīng)調(diào)整。注1:安全策略包括但不限于：安全互聯(lián)策略、安全審計策略、身份管理策略、入侵防范策略、數(shù)據(jù)安全防護(hù)策略、自注2:管理制度包括但不限于：風(fēng)險管理制度、網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)制度、網(wǎng)絡(luò)安全教育培訓(xùn)制度、人員管理制度、業(yè)務(wù)連續(xù)性管理及容災(zāi)備份制度、三同步制度(安全措施同步規(guī)劃、同步建設(shè)和同步使用)、供應(yīng)鏈安全管理制度等。7.3安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)要求包括：a)應(yīng)成立網(wǎng)絡(luò)安全工作委員會或領(lǐng)導(dǎo)小組，由組織主要負(fù)責(zé)人擔(dān)任其領(lǐng)導(dǎo)職務(wù)，明確一名領(lǐng)導(dǎo)班子成員作為首席網(wǎng)絡(luò)安全官，專職管理或分管關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作；b)應(yīng)設(shè)置專門的網(wǎng)絡(luò)安全管理機(jī)構(gòu)(以下簡稱“安全管理機(jī)構(gòu)”),明確機(jī)構(gòu)負(fù)責(zé)人及崗位，建立并實(shí)施網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)機(jī)制；c)應(yīng)為每個關(guān)鍵信息基礎(chǔ)設(shè)施明確一名安全管理責(zé)任人；d)應(yīng)將安全管理機(jī)構(gòu)人員納入本組織信息化決策體系。7.4安全管理人員安全管理人員要求包括：4a)應(yīng)對安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查和安全技能考核，符合要求的人員方能上崗。安全管理機(jī)構(gòu)明確關(guān)鍵崗位，通常包括與關(guān)鍵業(yè)務(wù)系統(tǒng)直接相關(guān)的系統(tǒng)管理、網(wǎng)絡(luò)管理、安全管理等崗位。關(guān)鍵崗位應(yīng)配備專人，并配備2人以上共同管理。b)應(yīng)定期安排安全管理機(jī)構(gòu)人員參加國家、行業(yè)或業(yè)界網(wǎng)絡(luò)安全相關(guān)活動，及時獲取網(wǎng)絡(luò)安全動態(tài)。c)應(yīng)建立網(wǎng)絡(luò)安全教育培訓(xùn)制度，定期開展網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核，關(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員每人每年教育培訓(xùn)時長不得少于30個學(xué)時。教育培訓(xùn)內(nèi)容應(yīng)包括網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)，以及網(wǎng)絡(luò)安全保護(hù)技術(shù)、網(wǎng)絡(luò)安d)當(dāng)安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位人員的身份、安全背景等發(fā)生變化(例如：取得非中國國籍)或必要時，應(yīng)根據(jù)情況重新按照相關(guān)要求進(jìn)行安全背景審查。應(yīng)在人員發(fā)生內(nèi)部崗位調(diào)動時，重新評估調(diào)動人員對關(guān)鍵信息基礎(chǔ)設(shè)施的邏輯和物理訪問權(quán)限，修改訪問權(quán)限并通知相關(guān)人員或角色。應(yīng)在人員離崗時，及時終止離崗人員的所有訪問權(quán)限，收回與身份鑒別相關(guān)的軟硬件設(shè)備，進(jìn)行面談并通知相關(guān)人員或角色。e)應(yīng)明確從業(yè)人員安全保密職責(zé)和義務(wù)，包括安全職責(zé)、獎懲機(jī)制、離崗后的脫密期限等，并簽訂安全保密協(xié)議。7.5安全通信網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)通信線路“一主雙備”的多電信運(yùn)營商多路由保護(hù)，宜對網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)和重要設(shè)施實(shí)施“雙節(jié)互聯(lián)安全要求包括：a)應(yīng)建立或完善不同網(wǎng)絡(luò)安全等級保護(hù)系統(tǒng)之間、不同業(yè)務(wù)系統(tǒng)之間、不同區(qū)域的系統(tǒng)之間、不同運(yùn)營者運(yùn)營的系統(tǒng)之間的安全互聯(lián)策略；b)應(yīng)保持同一用戶其用戶身份和訪問控制策略等在不同網(wǎng)絡(luò)安全等級保護(hù)系統(tǒng)、不同業(yè)務(wù)系統(tǒng)、不同區(qū)域中的一致性；c)對不同局域網(wǎng)之間遠(yuǎn)程通信時應(yīng)采取安全防護(hù)措施，例如：在通信前基于密碼技術(shù)對通信的雙方進(jìn)行驗(yàn)證或鑒別。邊界防護(hù)要求包括：a)應(yīng)對不同網(wǎng)絡(luò)安全等級保護(hù)系統(tǒng)之間、不同業(yè)務(wù)系統(tǒng)之間、不同區(qū)域的系統(tǒng)之間、不同運(yùn)營者運(yùn)營的系統(tǒng)之間的互操作、數(shù)據(jù)交換和信息流向進(jìn)行嚴(yán)格控制；b)應(yīng)對未授權(quán)設(shè)備進(jìn)行動態(tài)發(fā)現(xiàn)及管控，只允許通過運(yùn)營者授權(quán)的軟硬件運(yùn)行。據(jù)不少于6個月。7.6安全計算環(huán)境鑒別與授權(quán)要求包括：5a)應(yīng)明確重要業(yè)務(wù)操作、重要用戶操作或異常用戶操作行為，并形成清單；b)應(yīng)對設(shè)備、用戶、服務(wù)或應(yīng)用、數(shù)據(jù)進(jìn)行安全管控，對于重要業(yè)務(wù)操作、重要用戶操作或異常用戶操作行為，建立動態(tài)的身份鑒別方式，或者采用多因子身份鑒別等方式；c)針對重要業(yè)務(wù)數(shù)據(jù)資源的操作，應(yīng)基于安全標(biāo)記等技術(shù)實(shí)現(xiàn)訪問控制。入侵防范要求包括：a)應(yīng)采取技術(shù)手段，提高對高級可持續(xù)威脅(APT)等網(wǎng)絡(luò)攻擊行為的入侵防范能力；b)應(yīng)采取技術(shù)手段，實(shí)現(xiàn)系統(tǒng)主動防護(hù)，及時識別并阻斷入侵和病毒行為。驗(yàn)證后及時修補(bǔ)。7.7安全建設(shè)管理應(yīng)在關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)、改造、升級等環(huán)節(jié)，實(shí)現(xiàn)網(wǎng)絡(luò)安全技術(shù)措施與關(guān)鍵信息基礎(chǔ)設(shè)施主體業(yè)務(wù)的仿真驗(yàn)證環(huán)境，予以驗(yàn)證。7.8安全運(yùn)維管理安全運(yùn)維管理要求包括：a)應(yīng)保證關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)維地點(diǎn)位于中國境內(nèi)，如確需境外運(yùn)維，應(yīng)符合我國相關(guān)規(guī)定；b)應(yīng)在運(yùn)維前與維護(hù)人員簽訂安全保密協(xié)議；c)應(yīng)確保優(yōu)先使用已在本組織登記備案的運(yùn)維工具，如確需使用未登記備案的運(yùn)維工具，應(yīng)在使用前通過惡意代碼檢測等測試。7.9供應(yīng)鏈安全保護(hù)供應(yīng)鏈安全保護(hù)要求包括：a)應(yīng)建立供應(yīng)鏈安全管理策略，包括：風(fēng)險管理策略、供應(yīng)方選擇和管理策略、產(chǎn)品開發(fā)采購策略、安全維護(hù)策略等。建立供應(yīng)鏈安全管理制度，提供用于供應(yīng)鏈安全管理的資金、人員和權(quán)限等可用資源。b)采購網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄中的設(shè)備產(chǎn)品時，應(yīng)采購?fù)ㄟ^國家檢測認(rèn)證的設(shè)備和產(chǎn)品。c)應(yīng)形成年度采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)清單。采購、使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)符合相關(guān)國家標(biāo)準(zhǔn)的要求。可能影響國家安全的，應(yīng)通過國家網(wǎng)絡(luò)安全審查。d)應(yīng)建立和維護(hù)合格供應(yīng)方目錄。應(yīng)選擇有保障的供應(yīng)方，防范出現(xiàn)因政治、外交、貿(mào)易等非技術(shù)因素導(dǎo)致產(chǎn)品和服務(wù)供應(yīng)中斷的風(fēng)險。e)應(yīng)強(qiáng)化采購渠道管理，保持采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)來源的穩(wěn)定或多樣性。f)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時，應(yīng)明確提供者的安全責(zé)任和義務(wù)，要求提供者對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的設(shè)計、研發(fā)、生產(chǎn)、交付等關(guān)鍵環(huán)節(jié)加強(qiáng)安全管理。要求提供者聲明不非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備，或利用用戶對產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使用戶更新?lián)Q代。g)應(yīng)與網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者簽訂安全保密協(xié)議，協(xié)議內(nèi)容應(yīng)包括安全職責(zé)、保密內(nèi)容、獎懲6h)應(yīng)要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者對網(wǎng)絡(luò)產(chǎn)品和服務(wù)研發(fā)、制造過程中涉及的實(shí)體擁有或控制的已知技術(shù)專利等知識產(chǎn)權(quán)獲得10年以上授權(quán)，或在網(wǎng)絡(luò)產(chǎn)品和服務(wù)使用期內(nèi)獲得持續(xù)授權(quán)。i)應(yīng)要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者提供中文版運(yùn)行維護(hù)、二次開發(fā)等技術(shù)資料。j)應(yīng)自行或委托第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對定制開發(fā)的軟件進(jìn)行源代碼安全檢測，或由供應(yīng)方提供第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)出具的代碼安全檢測報告。k)使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在安全缺陷、漏洞等風(fēng)險時，應(yīng)及時采取措施消除風(fēng)險隱患，涉及重大風(fēng)險的應(yīng)按規(guī)定向相關(guān)部門報告。7.10數(shù)據(jù)安全防護(hù)數(shù)據(jù)安全防護(hù)要求包括：a)應(yīng)建立數(shù)據(jù)安全管理責(zé)任和評價考核制度，編制數(shù)據(jù)安全保護(hù)計劃，實(shí)施數(shù)據(jù)安全技術(shù)防護(hù)，開展數(shù)據(jù)安全風(fēng)險評估，制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，及時處置安全事件，組織數(shù)據(jù)安全教育、培訓(xùn)。b)應(yīng)建立基于數(shù)據(jù)分類分級的數(shù)據(jù)安全保護(hù)策略，明確重要數(shù)據(jù)和個人信息保護(hù)的相應(yīng)措施。c)將在我國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)存儲在境內(nèi)。因業(yè)務(wù)需要，確需向境外提供數(shù)據(jù)的，應(yīng)當(dāng)按照國家相關(guān)規(guī)定和標(biāo)準(zhǔn)進(jìn)行安全評估。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。等技術(shù)手段保護(hù)敏感數(shù)據(jù)安全。e)應(yīng)建立業(yè)務(wù)連續(xù)性管理及容災(zāi)備份機(jī)制，重要系統(tǒng)和數(shù)據(jù)庫實(shí)現(xiàn)異地備份。f)數(shù)據(jù)可用性要求高的，應(yīng)采取數(shù)據(jù)庫異地實(shí)時備份措施。業(yè)務(wù)連續(xù)性要求高的，應(yīng)采取系統(tǒng)異地實(shí)時備份措施，確保關(guān)鍵信息基礎(chǔ)設(shè)施一旦被破壞，可及時進(jìn)行恢復(fù)和補(bǔ)救。g)應(yīng)在關(guān)鍵信息基礎(chǔ)設(shè)施退役廢棄時，按照數(shù)據(jù)安全保護(hù)策略對存儲的數(shù)據(jù)進(jìn)行處理。h)應(yīng)建立數(shù)據(jù)處理活動全流程的安全能力，并符合相關(guān)國家標(biāo)準(zhǔn)關(guān)于數(shù)據(jù)安全保護(hù)的要求。8檢測評估應(yīng)建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估制度，包括但不限于檢測評估流程、方式方法、周期、人8.2方式和內(nèi)容方式和內(nèi)容要求包括：a)應(yīng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施安全性和可能存在的風(fēng)險，每年至少進(jìn)行一次檢測評估，并及時整改發(fā)現(xiàn)的問題；b)在涉及多個運(yùn)營者時，應(yīng)定期組織或參加跨運(yùn)營者的關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估，并及時整改發(fā)現(xiàn)的問題；c)在檢測評估時，內(nèi)容應(yīng)包括但不限于網(wǎng)絡(luò)安全制度(國家和行業(yè)相關(guān)法律、法規(guī)、政策文件及運(yùn)營者制定的制度)落實(shí)情況、組織機(jī)構(gòu)建設(shè)情況、人員和經(jīng)費(fèi)投入情況、教育培訓(xùn)情況、網(wǎng)絡(luò)安全等級保護(hù)制度落實(shí)情況、商用密碼應(yīng)用安全性評估情況、技術(shù)防護(hù)情況、數(shù)據(jù)安全防護(hù)情況、供應(yīng)鏈安全保護(hù)情況、云計算服務(wù)安全評估情況(適用時)、風(fēng)險評估情況、應(yīng)急演練情況、攻防演練情況等，尤其關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施跨系統(tǒng)、跨區(qū)域間的信息流動，及其資產(chǎn)的安全防護(hù)7情況；d)在關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生改建、擴(kuò)建、所有人變更等較大變化時，應(yīng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)進(jìn)行檢測評估，分析關(guān)鍵業(yè)務(wù)鏈以及關(guān)鍵資產(chǎn)等方面的變更，評估上述變更給關(guān)鍵信息基礎(chǔ)設(shè)施帶來的風(fēng)險變化情況，并依據(jù)風(fēng)險變化以及發(fā)現(xiàn)的安全問題進(jìn)行有效整改后方可上線；e)應(yīng)針對特定的業(yè)務(wù)系統(tǒng)或系統(tǒng)資產(chǎn)，經(jīng)有關(guān)部門批準(zhǔn)或授權(quán)，采取模擬網(wǎng)絡(luò)攻擊方式，檢測關(guān)鍵信息基礎(chǔ)設(shè)施在面對實(shí)際網(wǎng)絡(luò)攻擊時的防護(hù)和響應(yīng)能力；f)在安全風(fēng)險抽查檢測工作中，應(yīng)配合提供網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)拓?fù)鋱D、重要資產(chǎn)清單、關(guān)鍵業(yè)務(wù)鏈、網(wǎng)絡(luò)日志等必要的資料和技術(shù)支持，針對抽查檢測工作中發(fā)現(xiàn)的安全隱患和風(fēng)險建立9監(jiān)測預(yù)警制度要求包括：a)應(yīng)建立并落實(shí)常態(tài)化監(jiān)測預(yù)警、快速響應(yīng)機(jī)制。制定自身的監(jiān)測預(yù)警和信息通報制度，確定網(wǎng)絡(luò)安全預(yù)警分級準(zhǔn)則，明確監(jiān)測策略、監(jiān)測內(nèi)容和預(yù)警流程，對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險進(jìn)行監(jiān)測預(yù)警。b)應(yīng)關(guān)注國內(nèi)外及行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全事件、安全漏洞、解決方法和發(fā)展趨勢，并對涉及的關(guān)鍵信息基礎(chǔ)設(shè)施安全性進(jìn)行研判分析，必要時發(fā)出預(yù)警。c)應(yīng)建立關(guān)鍵信息基礎(chǔ)設(shè)施的預(yù)警信息報告和響應(yīng)處置程序，明確不同級別預(yù)警的報告、響應(yīng)和處置流程。d)應(yīng)建立通報預(yù)警及協(xié)作處置機(jī)制，建立和維護(hù)外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。e)應(yīng)建立與外部組織之間、與其他運(yùn)營者之間，以及運(yùn)營者內(nèi)部管理人員、內(nèi)部網(wǎng)絡(luò)安全管理機(jī)構(gòu)與內(nèi)部其他部門之間的溝通與合作機(jī)制，定期召開協(xié)調(diào)會議，共同研判、處置網(wǎng)絡(luò)安全問題。f)應(yīng)建立網(wǎng)絡(luò)安全信息共享機(jī)制，例如：建立與保護(hù)工作部門、同一關(guān)鍵信息基礎(chǔ)設(shè)施的其他運(yùn)營者、研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、業(yè)界專家之間的溝通與合作機(jī)制，網(wǎng)絡(luò)安全共享信息可以是漏洞信息、威脅信息、最佳實(shí)踐、前沿技術(shù)等。當(dāng)網(wǎng)絡(luò)安全共享信息為漏洞信息時，應(yīng)符合國家關(guān)于漏洞管理制度的要求。9.2監(jiān)測監(jiān)測要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)出入口等網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署攻擊監(jiān)測設(shè)備，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和未知威脅；b)應(yīng)對關(guān)鍵業(yè)務(wù)所涉及的系統(tǒng)進(jìn)行監(jiān)測(例如：對不同網(wǎng)絡(luò)安全等級保護(hù)系統(tǒng)、不同區(qū)域的系統(tǒng)之間的網(wǎng)絡(luò)流量進(jìn)行監(jiān)測等),對監(jiān)測信息采取保護(hù)措施，防止其受到未授權(quán)的訪問、修改和刪除；c)應(yīng)分析系統(tǒng)通信流量或事態(tài)的模式，建立常見系統(tǒng)通信流量或事態(tài)的模型，并使用這些模型調(diào)整監(jiān)測工具參數(shù)，以減少誤報和漏報；d)應(yīng)全面收集網(wǎng)絡(luò)安全日志，構(gòu)建違規(guī)操作模型、攻擊入侵模型、異常行為模型，強(qiáng)化監(jiān)測預(yù)警能力；e)應(yīng)采用自動化機(jī)制，對關(guān)鍵業(yè)務(wù)所涉及的系統(tǒng)的所有監(jiān)測信息進(jìn)行整合分析，以便及時關(guān)聯(lián)資產(chǎn)、脆弱性、威脅等，分析關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全態(tài)勢。關(guān)鍵信息基礎(chǔ)設(shè)施跨組織、跨地8域建設(shè)時，構(gòu)建集中統(tǒng)一指揮、多點(diǎn)全面監(jiān)測、多級聯(lián)動處置的動態(tài)感知能力；f)應(yīng)將關(guān)鍵業(yè)務(wù)運(yùn)行所涉及的各類信息進(jìn)行關(guān)聯(lián)，并分析整體安全態(tài)勢，包括：分析不同存儲庫的審計日志并使之關(guān)聯(lián)；將多個信息系統(tǒng)內(nèi)多個組件的審計記錄關(guān)聯(lián)；將信息系統(tǒng)審計記錄信息與物理訪問監(jiān)控的信息關(guān)聯(lián)；將來自非技術(shù)源的信息(例如：供應(yīng)鏈信息、關(guān)鍵崗位人員信息等)與信息系統(tǒng)審計信息關(guān)聯(lián)；網(wǎng)絡(luò)安全共享信息的信息關(guān)聯(lián)等；g)應(yīng)通過安全態(tài)勢分析結(jié)果來確定安全策略和安全控制措施是否合理有效，必要時進(jìn)行更新。9.3預(yù)警預(yù)警要求包括：a)應(yīng)將監(jiān)測工具設(shè)置為自動模式。當(dāng)發(fā)現(xiàn)可能危害關(guān)鍵業(yè)務(wù)的跡象時，能自動報警，并自動采取相應(yīng)措施，降低關(guān)鍵業(yè)務(wù)被影響的可能性。例如：惡意代碼防御機(jī)制、入侵檢測設(shè)備或者防火墻等彈出對話框、發(fā)出聲音或者向相關(guān)人員發(fā)出電子郵件等方式進(jìn)行報警。b)應(yīng)對網(wǎng)絡(luò)安全共享信息和報警信息等進(jìn)行綜合分析、研判，必要時生成內(nèi)部預(yù)警信息。對于可能造成較大影響的，應(yīng)按照相關(guān)部門要求進(jìn)行通報。內(nèi)部預(yù)警信息的內(nèi)容應(yīng)包括：基本情況描述、可能產(chǎn)生的危害及程度、可能影響的用戶及范圍、宜采取的應(yīng)對措施等。c)應(yīng)能持續(xù)獲取預(yù)警發(fā)布機(jī)構(gòu)的安全預(yù)警信息，分析、研判相關(guān)事件或威脅對自身網(wǎng)絡(luò)安全保護(hù)對象可能造成損害的程度，必要時啟動應(yīng)急預(yù)案。獲取的安全預(yù)警信息應(yīng)按照規(guī)定通報給相關(guān)人員和相關(guān)部門。d)采取相關(guān)措施對預(yù)警進(jìn)行響應(yīng)，當(dāng)安全隱患得以控制或消除時，應(yīng)執(zhí)行預(yù)警解除流程。10主動防御10.1收斂暴露面收斂暴露面要求包括：a)應(yīng)識別和減少互聯(lián)網(wǎng)和內(nèi)網(wǎng)資產(chǎn)的互聯(lián)網(wǎng)協(xié)議地址、端口、應(yīng)用服務(wù)等暴露面，壓縮互聯(lián)網(wǎng)出口數(shù)量；b)應(yīng)減少對外暴露組織架構(gòu)、郵箱賬號、組織通信錄等內(nèi)部信息，防范社會工程學(xué)攻擊；c)不應(yīng)在公共存儲空間(例如：代碼托管平臺、文庫、網(wǎng)盤等)存儲可能被攻擊者利用的技術(shù)文檔。10.2攻擊發(fā)現(xiàn)和阻斷攻擊發(fā)現(xiàn)和阻斷要求包括：a)應(yīng)分析網(wǎng)絡(luò)攻擊的方法、手段，針對拒絕服務(wù)攻擊等各類攻擊，采取有針對性的防護(hù)策略和技術(shù)措施，制定總體技術(shù)應(yīng)對方案；b)應(yīng)針對監(jiān)測發(fā)現(xiàn)的攻擊活動，分析攻擊路線、攻擊目標(biāo)，設(shè)置多道防線，采取捕獲、干擾、阻斷、封控、加固等多種技術(shù)手段，切斷攻擊路徑，快速處置網(wǎng)絡(luò)攻擊；c)應(yīng)及時對網(wǎng)絡(luò)攻擊活動開展溯源，對攻擊者進(jìn)行畫像，為案件偵查、事件調(diào)查、完善防護(hù)策略和措施提供支持；d)應(yīng)系統(tǒng)全面地分析網(wǎng)絡(luò)攻擊意圖、技術(shù)與過程，進(jìn)行關(guān)聯(lián)分析與還原，并以此改進(jìn)安全保護(hù)策攻防演練要求包括：9a)應(yīng)圍繞關(guān)鍵業(yè)務(wù)的可持續(xù)運(yùn)行設(shè)定演練場景，定期組織開展攻防演練，關(guān)鍵信息基礎(chǔ)設(shè)施跨組織、跨地域運(yùn)行的，組織或參加實(shí)網(wǎng)攻防演練。在不適合開展實(shí)網(wǎng)攻防演練場景下，采取沙盤推演的方式進(jìn)行攻防演練。b)應(yīng)將關(guān)鍵信息基礎(chǔ)設(shè)施核心供應(yīng)鏈、緊密上下游產(chǎn)業(yè)鏈等業(yè)務(wù)相關(guān)單位納入演練范疇。c)應(yīng)針對攻防演練中發(fā)現(xiàn)的安全問題及風(fēng)險進(jìn)行及時整改，消除結(jié)構(gòu)性、全局性風(fēng)險。威脅情報要求包括：a)應(yīng)建立本部門、本單位網(wǎng)絡(luò)威脅情報共享機(jī)制，組織聯(lián)動上下級單位，開展威脅情報搜集、加b)應(yīng)建立外部協(xié)同網(wǎng)絡(luò)威脅情報共享機(jī)制，與權(quán)威網(wǎng)絡(luò)威脅情報機(jī)構(gòu)開展協(xié)同聯(lián)動，實(shí)現(xiàn)跨行業(yè)領(lǐng)域網(wǎng)絡(luò)安全聯(lián)防聯(lián)控。11事件處置制度要求包括：a)應(yīng)建立網(wǎng)絡(luò)安全事件管理制度，明確不同網(wǎng)絡(luò)安全事件的分類分級、不同類別和級別事件處置的流程等，制定應(yīng)急預(yù)案等網(wǎng)絡(luò)安全事件管理文檔。事件處置制度應(yīng)符合國家聯(lián)防聯(lián)控相關(guān)要求，及時將信息共享給相關(guān)方。b)應(yīng)為網(wǎng)絡(luò)安全事件處置提供相應(yīng)資源，組織建立專門網(wǎng)絡(luò)安全應(yīng)急支撐隊(duì)伍、專家隊(duì)伍，保障安全事件得到及時有效處置。c)應(yīng)按規(guī)定參與和配合相關(guān)部門開展的網(wǎng)絡(luò)安全應(yīng)急演練、應(yīng)急處置、案件偵辦等工作。11.2應(yīng)急預(yù)案和演練應(yīng)急預(yù)案和演練要求包括：a)應(yīng)在國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的框架下，根據(jù)行業(yè)和地方的特殊要求，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。b)應(yīng)在應(yīng)急預(yù)案中明確，一旦信息系統(tǒng)中斷、受到損害或者發(fā)生故障時，需要維護(hù)的關(guān)鍵業(yè)務(wù)功能，并明確遭受破壞時恢復(fù)關(guān)鍵業(yè)務(wù)和恢復(fù)全部業(yè)務(wù)的時間。應(yīng)急預(yù)案不僅應(yīng)包括本組織應(yīng)急事件的處理，也應(yīng)包括多個運(yùn)營者間的應(yīng)急事件的處理。c)在制定應(yīng)急預(yù)案時，應(yīng)同所涉及的運(yùn)營者內(nèi)部相關(guān)計劃(例如：業(yè)務(wù)持續(xù)性計劃、災(zāi)難備份計劃等)以及外部服務(wù)提供者的應(yīng)急計劃進(jìn)行協(xié)調(diào)，以確保連續(xù)性要求得以滿足。d)應(yīng)在應(yīng)急預(yù)案中包括非常規(guī)時期、遭受大規(guī)模攻擊時等處置流程。e)應(yīng)對網(wǎng)絡(luò)安全應(yīng)急預(yù)案定期進(jìn)行評估修訂，并持續(xù)改進(jìn)。f)應(yīng)每年至少組織開展1次本組織的應(yīng)急演練。關(guān)鍵信息基礎(chǔ)設(shè)施跨組織、跨地域運(yùn)行的，應(yīng)定期組織或參加跨組織、跨地域的應(yīng)急演練。11.3響應(yīng)和處置事件報告要求包括：a)當(dāng)發(fā)生有可能危害關(guān)鍵業(yè)務(wù)的安全事件時，應(yīng)及時向安全管理機(jī)構(gòu)報告，并組織研判，形成事b)應(yīng)及時將可能危害關(guān)鍵業(yè)務(wù)的安全事件通報到可能受影響的內(nèi)部部門和人員，并按照規(guī)定向供應(yīng)鏈涉及的、與事件相關(guān)的其他組織通報安全事件。事件處理和恢復(fù)要求包括：a)應(yīng)按照事件處置流程、應(yīng)急預(yù)案進(jìn)行事件處理，恢復(fù)關(guān)鍵業(yè)務(wù)和信息系統(tǒng)到已知的狀態(tài)；b)應(yīng)按照先應(yīng)急處置、后調(diào)查評估的原則，在事件發(fā)生后盡快收集證據(jù)，按要求進(jìn)行信息安全取證分析，并確保所有涉及的響應(yīng)活動被適當(dāng)記錄，便于日后分析，在進(jìn)行取證分析時，應(yīng)與業(yè)務(wù)連續(xù)性計劃相協(xié)調(diào)；c)