精彩连载！关键信息基础设施安全保护支撑能力白皮书（六）

   前言 

关键信息基础设施安全保护八大能力旨由GB/T 39204-2022国标关保要求文件中定义的六个环节安全要求和六个环节安全要求之一“安全防护”下数据安全防护、供应链安全保护要求共同构成。因其数据安全和供应链安全在关保活动中的极端重要性和紧迫性，故在本白皮书中将其提挡升级为二大一级能力域，进而形成了关保八大能力域。

图3-2  关键信息基础设施安全保护八大能力架构

能力域是指运营者在关键信息基础设施安全保护所需具备的能力，包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置、数据安全保护和供应链安全8个方面的关键能力，每个安全能力包含若干能力指标，每个能力指标包含若干要求内容，内容主要来自《关键信息基础设施安全保护要求》（GB/T 39204—2022）及《网络安全等级保护基本要求》（GB/T 22239—2019）等。另外，对于包含工业控制系统或者采用云计算平台等的关键信息基础设施，应满足《网络安全等级保护基本要求》GB/T 22239—2019中扩展要求中三级以上的相应要求。

评价方法是指关键信息基础设施安全保护能力评价与风险评价体系，旨包括能力域成熟度与风险评价、等级保护测评和商用密码应用安全性评估等相关内容。在关键信息基础设施安全保护能力域评价前，关键信息基础设施应首先通过相应等级的等级保护测评和商用密码应用安全性评估。关键信息基础设施安全保护能力应综合考虑8个能力域成熟度与等级保护测评结果。针对不同能力域的安全风险分析，能够尽快发现风险并转移或降低风险，能够使得关键信息基础设施不受损害，业务连续性不受影响。

关键信息基础设施安全保护能力评价与风险评价形式包括关键信息基础设施保护工作部门及运营者自评和外部评价。保护工作部门及运营者自评旨由保护工作部门或运营者自行对关键信息基础设施安全保护情况进行评价。针对关基所有安全保护措施本质上都是围绕着“风险”这个核心定量指标进行，“风险”分解成为责任、资产、脆弱性和威胁四个步骤，通过自评，结合能力分和风险分得出综合评分，作为关基保护绩效的重要参考指标，掌握本行业或本单位组织的关基安全保护现状，并针对薄弱环节采取有效改进措施，包括技术措施、管理措施和运营措施等，最终达到改善和提高本行业或本单位组织的关键信息基础设施安全保护能力的目的；外部评价旨由外部组织（例如行业主〈监〉管单位、网络安全服务机构等）按照相关评价方法对安全防护情况进行评价，最终达到为运营者提供更客观、更详实、更专业的安全保护能力的目的。

综上，关键信息基础设施运营者应按照《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》《关键信息基础设施安全保护要求》、公安部〔2020〕1960号文件、公安部〔2022〕1058号文件等国家法律法规和政策标准要求，在落实网络安全等级保护制度基础上，落实六大环节具体措施，结合本行业/单位关键信息基础设施保护体系框架，形成风险管理闭环，切实增强在分析识别、安全防护、检测评估、监测预警、主动防御、事件处置、数据安全保护和供应链安全等关保八大能力。

随着我国信息化建设的迅猛推进，网络资产数量快速增长，网络架构日趋复杂，所承载的业务系统也日益增多。关键信息基础设施正朝着大平台、大系统、大数据的方向融合发展，但这种融合也带来了网络边界模糊、攻击面增广、业务逻辑繁杂和业务间依赖加深的问题。对于这种情况，我们需要清楚掌握自身情况，明确风险所在，及时发现漏洞，并通报与督促整改，因为网络安全的维护首先要从了解风险源头开始。习近平总书记指出，“摸清家底，认清风险、找出漏洞，通报结果，督促整改”，“维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险”。

确保关键信息基础设施的安全，分析识别成为了各项安全防护活动的基石。我们需要建立一套综合性的分析识别机制，全面梳理与关键业务相关的所有业务活动，包括识别关键业务及其与外部业务的关联，理解关键业务对外部资源的依赖程度和重要性，进而整理出关键业务链条，并明确支持这些业务的关键信息基础设施的分布和运营状况。此外，还要识别关键业务链所依赖的各种资产，并建立详尽的资产清单，涵盖网络、系统、数据、服务等方面，以确定资产保护的优先顺序。同时，对关键业务链进行深入的安全风险分析，识别各环节的潜在威胁和薄弱环节，评估现有的安全防护措施，并确定主要风险点和风险处理的优先级。一旦关键信息基础设施发生重大变化，如改建、扩建或所有权变更等，都需要重新进行上述的识别和分析工作。

确保关键信息基础设施的稳健、持续运作，实时掌握其资产、业务及风险状况。根据国家和行业的标准，首要任务是制定自身的识别管理制度，为分析识别工作提供指导。接着，需确立并执行业务、资产及风险的识别流程，明确关键业务及其依赖关系，形成详尽的文档记录。此外，应建立风险管理机制，包括供应链风险识别，以实时了解风险情况。当发生重大变更时，需重新进行评估并更新相关清单。

技术层面，应运用多种手段提升分析识别能力。结合自动化与人工方式，全面梳理关键业务和资产，绘制详细的业务图谱。利用资产管理工具实现数据的持续更新。同时，采用风险识别技术动态监控风险状况，特别是供应链风险。最后，通过自动化手段快速检测网络变化，重新评估资产和风险，确保信息的准确性和时效性。

系统化地管理关键信息基础设施的资产、业务及风险，需建立一套完善的管理制度。这套制度应包含以下几个方面：

资产识别规范：确立关键信息基础设施资产的识别标准，明确资产识别的具体步骤和方法。通过梳理形成详尽的资产清单，涵盖数据、服务、系统、平台等各类资产。基于资产的重要性和对业务的支撑程度，对资产进行科学排序，确定其优先级，为后续的资产保护工作提供依据。

业务识别准则：制定关键信息基础设施业务的识别准则，明确业务识别的范围和深度。通过梳理业务流程，识别出关键业务及其相互依赖关系，形成业务识别文档。同时，确保相关人员定期接受培训，提升其对业务识别的认知和能力。

风险管理机制：依据国家标准建立风险管理机制，对关键信息基础设施面临的风险进行持续、动态的管理。包括定期的风险分析、重大变更时的风险重新识别以及软硬件供应链安全风险的识别。通过一系列措施，确保组织能够实时掌握风险状况，采取有效的应对措施。

重大变更管理规程：针对关键信息基础设施的重大变更情况，制定明确的管理规程。包括变更情况的界定、管理流程的制定以及变更后的响应流程。确保在发生重大变更时，能够及时、准确地重新进行资产和业务识别，同步更新安全防护措施，保障关键信息基础设施的安全稳定运行。

图3-3  分析识别能力架构设计

综合性分析识别业务管理框架的构建，旨在通过高效整合当前的分析识别技术资源以及探索采用的新型分析识别工具，为分析识别工作的全流程提供一站式管理服务。强调两大核心功能：一是全方位的安全业务管理，二是数据与业务的智能化集成。

在全方位的安全业务管理方面，着重实现动态的可视化监控、精确的业务识别、资产识别、风险评估、重大变更跟踪、安全信息共享以及业务间的协同联动。通过强化安全信息共享和业务协同机制，能够与“网络安全综合管控与应急指挥系统”实现数据互通和业务对接，进而在安全防护、检测评估、监测预警、主动防御以及事件处置等多个环节实现信息的共享和业务的联动。

在数据与业务的智能化集成方面，提升分析识别业务对接的效率、优化分析识别数据的对接流程，并建立健全的分析识别信息库管理体系。通过这些措施，能够实现对业务接口、业务数据、资产数据等各类信息的标准化和统一化处理。

在业务识别的过程中，实现对关键网络和安全设备等的自动探测，识别出支撑核心业务链的重要资产，并建立详尽的网络、系统、服务和其他资产清单。通过实时采集设备运行数据，并根据设备间的连接关系生成网络拓扑图，为管理人员提供了全面、透明的设备业务视图。

有效识别关键信息基础设施的状态，流量分析是至关重要的一环。可在核心交换机的关键位置部署流量监测探针，借助全网流量观测系统对收集到的数据进行深入分析。绘制出关键信息基础设施的数据流量全景图，并结合关键信息基础设施提供的服务情况，由安全管理员深入分析关键业务流量与外部业务流量之间的依赖性和重要性。通过一系列的流量分析手段，准确掌握关键信息基础设施的分布和运行状况。

资产识别具备自动化管理、探测与绘制、业务依赖性解析、优先级设定及资产清单实时更新等功能。通过构建关键信息基础设施的资产组成和网络架构图谱，运用多种手段如技术手段探测、台账数据导入及人工录入等，全面梳理组织内部的网络服务、硬件和软件资产。重点关注计算机终端、服务器、核心网络设备，以及操作系统、数据库、网络管理系统和业务系统等软件，包括云计算服务等。确保内外网的IP地址、版本、型号和供应商等信息的实时维护与更新，覆盖资产的采购、入网、维护和报废等全生命周期。在此基础上，进一步分析业务流和数据流，识别对关键信息基础设施持续稳定运行和重要数据处理起核心作用的网络资产，以获取全面的网络服务和资产清单。

在识别关键业务和业务链的基础上，深入分析关键业务链所依赖的各类资产，包括网络、系统和服务等，并建立与之相关的详细资产清单。根据资产的类别、重要性和对业务的支撑程度，对资产进行排序，确定其防护的优先级。通过对关键信息基础设施相关资产的自动化管理，根据业务链所依赖资产的实时情况，动态更新资产清单。

为实现更精准的资产识别，可在关键信息基础设施的核心交换机上旁路部署资产检测探针，并在办公主机上安装轻量级资产分析工具。这些工具由资产识别系统统一指挥，收集并上报数据，以帮助准确识别关键业务链所依赖的各类资产，包括相关的计算机终端、服务器、核心网络设备等硬件，以及操作系统、数据库、网络管理系统和业务系统等软件。从而建立起完整且精确的关键业务链相关网络、系统、服务和其他资产的清单。

风险识别包括关键业务链的风险点识别、安全威胁的关联性分析、风险应对的优先级排序、风险的持续监控以及防控措施的效果评估等。运营者聚焦于关键信息基础设施所承载的关键业务链，对其进行深入的安全风险评估。包括对关键信息基础设施的网络结构、网络设备、安全防护设备、中间件、数据库等关键组成部分的安全状况进行全面审查，以识别组织可能面临的网络和信息安全风险。通过明确有效的风险应对措施，降低潜在安全事件的发生概率或其可能带来的影响。同时，对风险的分布和处置状态进行持续监控，实现业务系统安全风险的动态管理，确保风险得到及时控制和消除。

按照相关风险评估标准，对关键业务链的各个环节进行安全风险分析。包括识别各环节的潜在威胁和脆弱性，确认现有的安全防护措施，进而分析出主要的安全风险点，并根据风险的严重程度和影响范围确定处理的优先级。过程将形成详细的安全风险评估报告，为后续的风险应对提供有力依据。

在风险评估过程中，采用多种技术手段进行全面深入的分析。包括探测扫描、检测评估、攻防验证以及情报共享等，以识别和分析业务、资产、威胁、脆弱性以及现有的安全措施。通过分析威胁利用脆弱性的可能性，评估关键业务链发生安全事件的风险等级。同时，结合安全事件可能影响的资产价值和脆弱性的严重程度，进一步确定核心业务链的主要安全风险点和处理的优先级。

实现风险的动态持续监测，重点关注残余风险和新出现的风险情况，每年重新进行一次全面的风险评估。风险评估系统通过网络资产攻击面管理，采集并分析端点和网络的遥测数据。从攻击者的视角进行深度资产威胁建模和暴露面威胁建模，找出可能的攻击路径并进行有效的加固。同时采用网络遥测采集工具和端点遥测采集工具分别部署在关键信息基础设施的核心交换机和主机服务器上，进行流量和主机安全的检测与防护。这些工具能够实时匹配流量并检测异常行为标记后上报给风险评估系统，进行深度分析以挖掘潜在的威胁。此外，风险评估系统还能基于用户真实环境进行上下文关联，结合威胁情报信息持续监控并检测可疑行为，深度挖掘主机系统风险等，从而提供全面的安全保障。

关键信息基础设施的重大变更管理涵盖了多个方面，包括但不限于关键信息基础设施的大规模调整、业务属性的改变、改建和扩建项目的管理、以及所有权变更等。当这些关键要素发生显著变化时，例如网络拓扑结构的重大调整、关键业务链或关键业务属性的更改、业务服务范围的实质性扩展或缩减等，需要重新启动识别流程，确保对所有相关变更的全面了解和管理。

可采用重大变更管理系统实时跟踪和管理各类变更，确保资产清单的动态更新。可以及时了解和掌握所有可能影响关键信息基础设施安全和稳定运行的变更情况。

此外，一旦发现任何可能影响认定结果的变更情况，立即向保护工作部门和公安机关报告，以便能够及时采取必要的措施来确保关键信息基础设施的安全和稳定运行。建立一个高效、灵活且全面的重大变更管理机制，以应对不断变化的关键信息基础设施环境。

运营者构建关键信息基础设施的网络产品服务及资产管理数据库，全面梳理和掌握网络服务和资产的详细情况。整合网络产品和服务、云计算服务（如适用）的采购记录，并结合现场情况，实时发现并收录资产信息至专用的信息系统中。依据保护工作部门的规定，规范数据库的建设和上报流程，并提出建议性的数据收集和处理方法。通过安全的方式，汇集各运营者的网络产品服务信息、资产管理信息及采购清单，利用专用的数据库系统进行了整合，进而形成了行业资产库。

业务信息库主要建立与关键业务链相关的网络、系统、服务和其他资产的详细清单。通过实时采集设备运行数据，并根据设备间的连接关系生成网络拓扑图，为管理人员提供全面的设备业务视图。

资产信息库主要构建关键信息基础设施的全方位资产信息库，涵盖计算机终端、服务器、核心网络设备，以及操作系统、数据库、网络管理系统、业务系统软件，还包括云计算服务等。动态地维护和更新内外网的IP地址、版本、型号、供应商等信息，确保覆盖资产的整个生命周期，从采购到入网、维护直至报废。

安全风险信息库主要建立关键信息基础设施的全面安全风险信息库，收录脆弱性、漏洞、威胁、风险等级以及安全事件处理的优先级等信息。覆盖关键业务和关键资产的安全风险点，并能根据风险等级确定处理的优先顺序。

机构和人员库主要建立与关键业务相关的机构和人员信息库，包括机构的基础信息（如机构名称、职责等），跨行业、跨部门的相互依赖关系，以及关键业务负责人的详细信息（如人员姓名、职责等）。有助于明确与关键业务相关的机构和人员的权责关系。