长扬科技深度解读《关键信息基础设施安全测评要求》
关键信息基础设施(CII)是国家安全和国计民生的重要保障,其安全保护已成为网络安全领域的核心任务。《关键信息基础设施安全测评要求》(GA/T 2182-2024)(以下简称“《关基测评要求》”)是我国首个聚焦关键信息基础设施(CII)安全测评的行业标准,将于2025年5月1日正式实施。该标准以《网络安全法》、《关键信息基础设施安全保护条例》为法律依据,结合等保制度与关基特性,构建了覆盖全生命周期的安全评估框架,标志着我国网络安全保障体系在关基保护领域迈出关键一步。
1. 制定背景
《关基测评要求》的制定是落实《关键信息基础设施安全保护条例》的重要举措。2016年,《网络安全法》正式通过,首次提出关键信息基础设施安全保护制度,并在第三章中专门设置了"关键信息基础设施的运行安全"专节,共计9条(第31-39条)的内容。随后,《关键信息基础设施安全保护条例》进一步完善了相关制度。
作为我国首项关键信息基础设施安全保护的国家标准,GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》于2022年发布,2023年5月1日正式实施。该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本要求,确立了关基安全保护的基本框架。
在这一背景下,《关基测评要求》作为关键信息基础设施安全保护的重要配套标准,进一步完善了关基安全保护的标准体系,为关键信息基础设施的测评工作提供了具体指导。
2. 主要内容解读
2.1 适用范围
《关基测评要求》适用于关键信息基础设施运营者及安全检测评估服务提供方。该标准规定了针对关键信息基础设施开展网络安全测评的要求和方法。结合《关键信息基础设施安全保护条例》中第八条明确的主管部门、监督管理部门负责关基保护工作,其适用的范围如下:
2.2 定位与作用
关键信息基础设施安全检测评估是GB/T 39204—2022中提出的关键信息基础设施安全保护六个环节之一。检测和评估关键信息基础设施安全状况、发现存在的安全问题,是保障关键信息基础设施安全的重要手段。
《关基测评要求》的制定旨在贯彻落实关基安全保护制度,为关键信息基础设施的安全测评工作提供具体指导。该标准的实施将有助于规范关键信息基础设施的安全测评活动,提高测评工作的科学性和有效性,为关键信息基础设施的安全保护提供有力支持。
2.3《关基测评要求》关键内容框架
《关基测评要求》整体分为九章节和四个附录,其中六、七、八、九和四个附录是关基安全测评的最核心部分。从内容来看,《关基测评要求》对于检测方和被检测方都有着极高的要求,要求对网络安全、信息安全、数据安全、供应链安全、云安全、物联网等等各方面都要有着体系化的建设和掌握。
2.4 测评关键内容
《关基测评要求》围绕“分析识别、安全防护、检测评估、监测预警、主动防御、事件处置”这六个维度中的各项安全要求做了明确的要求,关键内容如下:
2.5《关基测评要求》与《等保测评要求》的区别
3. 核心框架与亮点
3.1 与GB/T 39204-2022的衔接
《关基测评要求》作为GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》的重要配套标准,与其形成了有效衔接。GB/T 39204-2022提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本要求,而《关基测评要求》则为这些要求的落实提供了具体的测评指导。
3.2 与等级保护的协同机制
《关基测评要求》明确复用等级测评结果,避免重复评估,同时通过附录C阐明其与GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的关联关系,体现“以等保为基础、关基为深化”的技术逻辑。
3.3 三层测评架构
标准提出“单元测评—关联测评—整体评估”的三层递进式测评体系:
单元测评:基于GB/T 39204-2022《关键信息基础设施安全保护要求》,逐条检测单点安全问题,识别防护措施有效性,同时兼容行业标准和运营者增强需求。
关联测评:在单元测评基础上,结合业务场景开展实战化检测(如渗透测试),通过模拟攻击路径设计、业务逻辑分析等手段,挖掘系统性深层隐患。
整体评估:综合单元、关联测评及等级测评结果,从网络安全管控能力(运营者管理能力)、网络安全保护水平(关基本身防护能力)、关键业务安全风险(业务连续性风险)三个维度进行综合评价。
3.4 风险量化与结论分级
测评结论根据重大安全缺陷存在性和保护能力综合水平分为四档:
高:无重大缺陷且保护能力、风险评价达标;
中:无重大缺陷但保护能力或风险评价存在不足;
低:无重大缺陷但保护能力或风险评价存在明显短板;
存在重大缺陷:直接判定为不合格,需立即整改。
这种分级机制为运营者提供了明确的改进优先级指引。
4. 对关基单位的安全建议
长扬科技在长期服务于关键信息基础设施的过程中,构建了一套完整的关基安全保障能力体系,以“合规+刚需”为业务目标,通过“分析识别-监测预警-响应处置-综合研判-主动防御”等一整套的安全保护、监测评估手段,最终达到“日常安全运营,战时重点保障”的业务能力。
“合规+刚需”的顶层规划设计:长扬科技根据“合规性”相关要求,结合关基单位的“刚需”现状,总结出“摸清家底-看清风险-找出漏洞-建立防护-监测分析-闭环处置-持续优化”七步工作法,为每个关基单位量身定制出适合自身实际情况、清晰可行的规划蓝图,按照“统一规划、统一标准、统一投资、统一建设、统一管理、统一运维”和“集中部署”的“六统一、大集中”管控原则进行总体规划和分步建设。
“平战结合”的主动防御能力构建:围绕“纵深防御、主动防御、协同防护”的理念,为多层次的安全风险建立起安全盾牌和实时监测手段,解决设备安全、网络安全、控制安全、应用安全、数据安全等多层次的重点防护和精准防护。在关键网络节点和设备侧部署数据采集探针,实现集团层面的实时风险感知,为集团统一安全管理建立千里眼和管控抓手。通过工控靶场与对抗演练练验证防御策略有效性,培养安全团队实战能力。
“常态化、精细化”的管理体系建设:以合规为基础强化内生安全。首先在组织内落实“网络安全一把手责任制”,建立起清晰的安全管理组织、安全管理流程;其次在安全建设、安全运维阶段,明确各项安全责任与职责,保证安全管理和技术的有机结合,同时对过程活动进行记录和备案;最后是在重点的安全管理对象,例如资产管理、移动介质管理、供应链管理等领域,加强技术与管理的结合,以技术助管理,以管理落技术。
“统一管控、强化应急”的运营体系建设:打造智能闭环的持续运营能力。基于ITIL理念建立集中化的多级安全运营支撑团队,按照“平战结合”思想,加强日常技术储备,建立应急预案库、定期进行演练,确保在事件发生时,做到科学化、程序化与规范化。当下属单位一旦出现重要网络安全事件时,按照预先设计的应急源库和应急处置流程进行快速响应和上下协同。
该体系目前已经成功应用于国内十多家大型集团,支撑了国内关键信息基础设施单位在各种复杂场景下完整的网络安全保障体系建设工作。
