五月正式实施！一文带你看懂《关基保护要求》

关键信息基础设施安全保护

自2010年以色列制造“震网”病毒袭击伊朗核设施，直接造成伊朗20%离心机损毁以来，关键信息基础设施一直笼罩在网络攻击的阴影之下。尤其是近年来，在全球网络攻击威胁呈现出分布化、规模化、复杂化的趋势下，如何保障关键信息基础设施安全已经成为牵动国计民生的大事件。

“没有网络安全就没有国家安全”，我国对于关键信息基础设施安全保护一直非常重视。2021年8月，国务院公布《关键信息基础设施安全保护条例》（以下简称《关保条例》）。

作为我国《网络安全法》的重要配套法规，《关保条例》于2021年9月1日正式施行，进一步明确了关键信息基础设施安全保护的具体要求和措施，将推动各行业各领域全面开展关键信息基础设施安全保障工作。

2022年11月，全国信息安全标准委员会发布了《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）（以下简称《关基保护要求》），将于2023年5月1日正式实施。市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《关基保护要求》发布宣贯会。

《关基保护要求》是继《关保条例》后，我国首个发布的关键信息基础设施安全保护标准，对于我国关键信息基础设施安全保护有着极为重要的指导意义。

本文对《关基保护要求》进行简要解读，仅供参考。

总的来说，《关基保护要求》共计11个章节，分别是范围、引用文件、术语、原则、主要内容和活动、分析识别、安全防护、检测评估、监测预警、主动防御、事件处理，提出三项基本原则，六个方面的安全控制措施，其111条安全要求进一步细化、落实《关保条例》，给企业开展关键信息基础设施保护提出更明确的要求和操作细则。

一、目标：关键信息基础设施

《关基保护要求》保护的对象是关键信息基础设施，是指公共通信和信息服务、能源、交通、水利金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

具体如下图所示：

二、一致：网络安全法、关保条例、等保2.0

正如上文所提到的，关键信息基础设施安全是网络安全的重中之重，我国多部网络安全法规都对其有相应的规定。《关基保护要求》是在上位法的基础之上，对关键信息基础设施保护提出具体可落地的要求，因此它和其他法规的要求保持一致。

《网络安全法》明确提出国家需对涉信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域实行重点保护，并从责任、流程、问责三个层面形成我国关基安全保护的基础性法律，促进了关基保护法规体系的完善和统一，为后续相关法规的制订与完善提供了底层支撑。

我国关键信息基础设施标准体系的框架设计参照等保2.0标准，在等保2.0的基础上加强对于涉公共通信和信息服务、能源等领域的重点保护。

2021年9月，《关保条例》正式实施，是特别针对关基安全保护的纲要性文件。在《网络安全法》的基础上，从网络设施、系统对于关键业务的重要程度、遭破坏可能产生的危害程度以及对于其他行业与领域的关联性影响框定了关键信息基础设施的认定原则以及具体的保护范围。

与此同时，《关保条例》进一步明确了关基保护的问责制度，增加了对于运营者违规情形的具体说明，并针对关基础设施采购、运营、检查评估、主动攻击等不同行为的处置原则作出详细区分。

2023年5月，《关基保护要求》将正式实施，并且和上文提及的上位法/文件保持一致。此后，我国关基防护工作将呈现出体系化、系统化的趋势，也标志着关基安全防护工作进入了新的历史阶段。

在网络安全法、关保条例、等保2.0的基础之上，《关基保护要求》提出了更多可操作的细化要求。例如新增了成立网络安全工作委员会或领导小组，并明确提出了将领导班子成员作为首席网络安全官。这在以往的法规中不存在，并且也给企业指出了明了的要求。

还有应急演练也是如此，《网络安全法》《关保条例》只规定了定期开展应急演练，但《关基保护要求》明确每年至少开展一次应急演练，并就演练前中后等提出具体细则。具体将在后文介绍。

在产品服务采购方面也进行了补充和扩展，为运营者提供了更多具体可执行的操作要求，大大增强了采购环节的安全性。例如，建立和维护合格供应方目录；强化采购渠道管理，保持采购的网络产品和服务来源的稳定或多样性等；获得提供者对网络产品和服务的10年以上知识产权授权等。

关于安全计算环境方面，在此前的监管依据中，例如《国家网络安全检查操作指南》2.5.4.3c)关于补丁、漏洞、账户管理等的检查方法包括使用终端检查工具或采用人工方式，而此次《关基安全保护要求》明确提出了应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。

三、确定：三大基本原则

（一）、以关键业务为核心的整体防控

关键信息基础设施安全保护以保护关键业务为目标，对业务所涉及的一个或多个网络和信息系统进行体系化安全设计，构建整体安全防控体系

（二）、以风险管理为导向的动态防护

根据关键信息基础设施所面临的安全威胁态势进行持续监测_和安全控制措施的动态调整，形成动态的安全防护机制，及时有效地防范应对安全风险。

（三）、以信息共享为基础的协同联防

积极构建相关方广泛参与的信息共享、协同联动的共同防护机制，提升关键信息基础设施应对大规模网络攻击能力。

四、细化：六大安全维度

（一）、分析识别

（二）、安全防护

（三）、检测评估

（四）、监测预警

（五）、主动防御

（六）、事件处理

五、总结

《关基保护要求》是结合我国现有关键信息基础设施安全保障体系成果提出的可落地的安全保护要求，例如定量规定安全检测评估及应急演练频次、采购网络关键设备和网络安全专用产品具体流程、明确网络产品和服务提供者安全责任与义务等，有助于进一步为关键信息基础设施运营者及相关人员提供安全工作指引和依据。

对于监管部门而言，《关基保护要求》明确了安全检测评估、考核的具体标准及流程，支撑其优化关键信息基础设施安全监管举措，帮助其进一步把握监管范围与力度。

对于关键信息基础设施运营者而言，《关基保护要求》帮助其构筑网络安全建设、运维、制度、人员管理流程框架，确立安全技术能力提升方向及安全工具采购与使用标准，以更好地保障关键信息基础设施安全的稳定运行。

对于网络安全服务提供者而言，《关基保护要求》明确了产品和服务者的安全责任与义务，限定了网络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权要求，为其更好地开展网络安全服务提供合规依据。

阅读推荐

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！