GB/T 39204-2022标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB_T 39204-2022 信息安全技术 关键信息基础设施安全保护要求资产识别要求包括: a 应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、数据、服务和其他类资产 的资产清单; b) 应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级; c)应采用资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新。
应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、数据、服务和其他类资 的资产清单; b)应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级; C)应采用资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新。
应按照GB/T20984等风险评估标准,对关键业务链开展安全风险分析,识别关键业务链各环节的 威胁、脆弱性,确认已有安全控制措施,分析主要安全风险点,确定风险处置的优先级,形成安全风险 报告。
在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,应重新开展识别工作,可能影响认 定结果的,应及时将相关情况报告保护工作部门,并更新资产清单。 注:保护工作部门指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业 和领域的主管部门、监督管理部门.也是负责关键信息基础设施安全保护工作的部门
TSG N0001-2017 场(厂)内专用机动车辆安全技术监察规程 质监局网站发布 仅供参考7.1网络安全等级保护
应落实国家网络安全等级保护制度相关要求,开展网络和信息系统的定级、备案、安全建设整改和 等级测评等工作。
安全管理制度要求包括: 应制定适合本组织的网络安全保护计划,明确关键信息基础设施安全保护工作的目标,从管理 体系、技术体系、运营体系、保障体系等方面进行规划,加强机构、人员、经费、装备等资源保障, 支撑关键信息基础设施安全保护工作。网络安全保护计划应形成文档并经审批后发送至相关 人员。网络安全保护计划应每年至少修订一次,或发生重大变化时进行修订。 6 应建立管理制度和安全策略,重点考虑基于关键业务链安全需求,并根据关键信息基础设施面 临的安全风险和威胁的变化进行相应调整。 注1:安全策略包括但不限于:安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自 动化机制策略(配置、洞、补丁、病毒库等)、供应链安全管理策略、安全运维策略等。 主2:管理制度包括但不限于:风险管理制度、网络安全考核及监督间责制度、网络安全教育培训制度、人员管理制 度、业务连续性管理及容灾备份制度、三同步制度(安全措施同步规划、同步建设和同步使用)、供应链安全管 理制度等。
安全管理人员要求包括:
GB/T392042022
应对安全管理机构的负责人和关键岗位的人员进行安全背景审查和安全技能考核,符合要求 的人员方能上岗。安全管理机构明确关键岗位,通常包括与关键业务系统直接相关的系统管 理、网络管理、安全管理等岗位。关键岗位应配备专人,并配备2人以上共同管理。 b) 应定期安排安全管理机构人员参加国家、行业或业界网络安全相关活动,及时获取网络安全 动态。 应建立网络安全教育培训制度,定期开展网络安全教育培训和技能考核,关键信息基础设施从 业人员每人每年教育培训时长不得少于30个学时。教育培训内容应包括网络安全相关法律 法规、政策标准,以及网络安全保护技术、网络安全管理等。 d) 当安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化(例如:取得非中国国 籍)或必要时,应根据情况重新按照相关要求进行安全背景审查。应在人员发生内部岗位调动 时,重新评估调动人员对关键信息基础设施的逻辑和物理访问权限,修改访问权限并通知相关 人员或角色。应在人员离岗时,及时终止离岗人员的所有访问权限,收回与身份鉴别相关的软 硬件设备,进行面谈井通知相关人员或角色。 e 应明确从业人员安全保密职责和义务,包括安全职责、奖惩机制、离岗后的脱密期限等,并签订 安全保密协议。
应实现通信线路“一主双备”的多电信运营商多路由保护,宜对网络关键节点和重要设施穿 点”穴余备份。
互联安全要求包括: a 应建立或完善不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不 同运营者运营的系统之间的安全互联策略; b) 应保持同一用户其用户身份和访问控制策略等在不同网络安全等级保护系统、不同业务系统、 不同区域中的一致性; 对不同局域网之间远程通信时应采取安全防护措施,例如:在通信前基于密码技术对通信的双 方进行验证或鉴别。
边界防护要求包括: a)应对不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不同运营者 运营的系统之间的互操作、数据交换和信息流向进行严格控制; b)应对未授权设备进行动态发现及管控,只允许通过运营者授权的软硬件运行
应采取网络审计措施,监测、记录系统运行状态、日常操作、故障维护、远程运维等,留存相 据不少于6个月。
a)应明确重要业务操作、重要用户操作或异常用户操作行为,并形成清单; b)应对设备、用户、服务或应用、数据进行安全管控,对于重要业务操作、重要用户操作或异常用 户操作行为,建立动态的身份鉴别方式,或者采用多因子身份鉴别等方式; c)针对重要业务数据资源的操作,应基于安全标记等技术实现访问控制。
人侵防范要求包括: a)应采取技术手段,提高对高级可持续威胁(APT)等网络攻击行为的入侵防范能力; b)应采取技术手段,实现系统主动防护, 及时识别开阻断人 侵和病毒行为。
应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。对于漏洞、补丁,应在 金证后及时修补
工程同步规划、同步建设、同步使用,并采取测试、评审、攻防演练等多种形式验证。必要时,可建设关键 业务的仿直验证环境,予以验证。
供应链安全保护要求包: a)应建立供应链安全管理策略,包括:风险管理策略、供应方选择和管理策略、产品开发采购策 略、安全维护策略等。建立供应链安全管理制度,提供用于供应链安全管理的资金、人员和权 限等可用资源。 b 采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设 备和产品。 应形成年度采购的网络产品和服务清单。采购、使用的网络产品和服务应符合相关国家标准 的要求。可能影响国家安全的,应通过国家网络安全审查。 应建立和维护合格供应方目录。应选择有保障的供应方,防范出现因政治、外交、贸易等非技 术因素导致产品和服务供应中断的风险。 e 应强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性。 f)采购网络产品和服务时,应明确提供者的安全责任和义务,要求提供者对网络产品和服务的设 计、研发、生产、交付等关键环节加强安全管理。要求提供者声明不非法获取用户数据、控制和 操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。 名) 应与网络产品和服务的提供者签订安全保密协议,协议内容应包括安全职责、保密内容、奖惩 机制、有效期等。
的已知技术专利等知识产权获得10年以上授权,或在网络产品和服务使用期内获得持续 授权。 1 应要求网络产品和服务的提供者提供中文版运行维护、二次开发等技术资料。 应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方 提供第三方网络安全服务机构出具的代码安全检测报告。 k) 使用的网络产品和服务存在安全缺陷、漏洞等风险时,应及时采取措施消除风险隐患,涉及重 大风险的应按规定向相关部门报告。
应建立健全关键信息基础设施安全检测评估制度,包括但不限于检测评估流程、方式方法、周期、人 员组织、资金保障等。
GB/T392042022
情况; d)在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,应自行或者委托网络安全服 务机构进行检测评估,分析关键业务链以及关键资产等方面的变更,评估上述变更给关键信息 基础设施带来的风险变化情况,并依据风险变化以及发现的安全问题进行有效整改后方可 上线; e) 应针对特定的业务系统或系统资产,经有关部门批准或授权,采取模拟网络攻击方式,检测关 键信息基础设施在面对实际网络攻击时的防护和响应能力; 在安全风险抽查检测工作中,应配合提供网络安全管理制度、网络拓扑图、重要资产清单、关键 业务链、网络日志等必要的资料和技术支持,针对抽查检测工作中发现的安全隐患和风险建立 清单,制定整改方案,并及时整改,
L 应在网络边界、网络出入口等网络关键节点部署攻击监测设备,发现网络攻击和未知威胁; 应对关键业务所涉及的系统进行监测(例如:对不同网络安全等级保护系统、不同区域的系统 之间的网络流量进行监测等),对监测信息采取保护措施,防止其受到未授权的访问、修改和 删除; 应分析系统通信流量或事态的模式,建立常见系统通信流量或事态的模型,并使用这些模型调 整监测工具参数,以减少误报和漏报; d 应全面收集网络安全日志,构建违规操作模型、攻击入侵模型、异常行为模型,强化监测预警 能力; 应采用自动化机制,对关键业务所涉及的系统的所有监测信息进行整合分析,以便及时关联资 产、脆弱性、威胁等,分析关键信息基础设施的网络安全态势。关键信息基础设施跨组织、跨地
a)应在网络边界、网络出人口等网络关键节点部署攻击监测设备,发现网络攻击和未知威胁; 应对关键业务所涉及的系统进行监测(例如:对不同网络安全等级保护系统、不同区域的系统 之间的网络流量进行监测等),对监测信息采取保护措施,防止其受到未授权的访问、修改和 删除; 应分析系统通信流量或事态的模式,建立常见系统通信流量或事态的模型,并使用这些模型调 整监测工具参数,以减少误报和漏报; d) 应全面收集网络安全日志,构建违规操作模型、攻击入侵模型、异常行为模型,强化监测预警 能力; e) 应采用自动化机制,对关键业务所涉及的系统的所有监测信息进行整合分析,以便及时关联资 产、脆弱性、威胁等,分析关键信息基础设施的网络安全态势。关键信息基础设施跨组织、跨地
GB/T39204—2022
域建设时,构建集中统一指挥、多点全面监测、多级联动处置的动态感知能力; 应将关键业务运行所涉及的各类信息进行关联,并分析整体安全态势GB/T 4292-2017 氟化铝,包括:分析不同存储库 的审计日志并使之关联;将多个信息系统内多个组件的审计记录关联;将信息系统审计记录信 息与物理访问监控的信息关联;将来自非技术源的信息(例如:供应链信息、关键岗位人员信息 等)与信息系统审计信息关联;网络安全共享信息的信息关联等; g)应通过安全态势分析结果来确定安全策略和安全控制措施是否合理有效,必要时进行更新。
10.2攻击发现和阻断
场景,定期组织开展攻防演练,关键信息基础设施跨组 织、跨地域运行的,组织或参加实网攻防演练。在不适合开展实网攻防演练场景下,采取沙盘 推演的方式进行攻防演练。 b)应将关键信息基础设施核心供应链、紧密上下游产业链等业务相关单位纳人演练范畴。 c)应针对攻防演练中发现的安全问题及风险进行及时整改,消除结构性、全局性风险
威胁情报要求包: 应建立本部门、本单位网络威胁情报共享机制,组织联动上下级单位,开展威胁情报搜集、加 工、共享、处置; 应建立外部协同网络威胁情报共享机制,与权威网络威胁情报机构开展协同联动,实现跨行业 领域网络安全联防联控
11.2应急预索和演练
应根据检测评、监 全威胁和风险变化情况开展评估,必要时 和风险识别工作QJLF 0014S-2016 四川成都金利福食品有限公司 复合蛋白饮料,并更新安全策略。