信息化觀察網(wǎng)

本文來自微信公眾號(hào)“權(quán)說安全”，作者/猛禽實(shí)驗(yàn)室。

01

《關(guān)基要求》是個(gè)啥？

《關(guān)基要求》是《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》的簡(jiǎn)稱，是我國(guó)國(guó)家信息安全領(lǐng)域的一項(xiàng)重要技術(shù)規(guī)范，這里引用一下官方公告：“為深入貫徹習(xí)近平總書記關(guān)于維護(hù)網(wǎng)絡(luò)安全、強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的系列重要指示精神，落實(shí)《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》關(guān)于保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全的要求，做好國(guó)家標(biāo)準(zhǔn)的落地實(shí)施，不斷提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)能力，2022年10月12日，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布公告，正式批準(zhǔn)發(fā)布GB/T 39204—2022《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（簡(jiǎn)稱《關(guān)基保護(hù)要求》），并于2023年5月1日實(shí)施。”

02

《關(guān)基要求》的內(nèi)容和作用是？

《關(guān)基要求》的內(nèi)容可以概括為三大基本原則和六大安全維度。三大基本原則是以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)，和以信息共享為基礎(chǔ)的協(xié)同聯(lián)防。六大安全維度包括分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御和事件處置。

從規(guī)范的內(nèi)容我們可以看出，本次發(fā)布的《關(guān)基要求》不僅僅是針對(duì)安全防護(hù)的要求，同時(shí)強(qiáng)調(diào)了安全管理、安全技術(shù)、安全評(píng)估和安全監(jiān)測(cè)等方面的要求：

1)安全管理方面：要求關(guān)鍵信息基礎(chǔ)設(shè)施的管理者必須建立完善的安全管理制度，包括管理制度、管理機(jī)構(gòu)、管理人員等，也包括風(fēng)險(xiǎn)評(píng)估、策略制定、安全培訓(xùn)、應(yīng)急預(yù)案等；

2)安全技術(shù)方面：要求關(guān)鍵信息基礎(chǔ)設(shè)施必須具備安全可控的技術(shù)手段，包括收斂暴露面、訪問控制、身份認(rèn)證、加密傳輸、攻擊發(fā)現(xiàn)和阻斷等；

3)安全評(píng)估方面：要求必須能夠識(shí)別關(guān)鍵信息資產(chǎn)，并定期進(jìn)行安全評(píng)估和測(cè)試，以發(fā)現(xiàn)安全隱患并加以修復(fù)。

4)安全監(jiān)測(cè)方面：要求關(guān)鍵信息基礎(chǔ)設(shè)施必須具備安全監(jiān)測(cè)與應(yīng)急響應(yīng)機(jī)制，變被動(dòng)防御為主動(dòng)防御，及時(shí)發(fā)現(xiàn)和處置安全事件。

從規(guī)范的要求可以看出，《關(guān)基》旨在保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全性、可靠性和穩(wěn)定性。其執(zhí)行可以幫助目標(biāo)單位提高安全保護(hù)水平、減少安全風(fēng)險(xiǎn)、增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力以及免于違規(guī)責(zé)任。

03

《關(guān)基要求》是強(qiáng)制的嗎？

《關(guān)基要求》是我國(guó)國(guó)家信息安全領(lǐng)域的一項(xiàng)重要技術(shù)規(guī)范，是具有強(qiáng)制性質(zhì)的。這意味著，所有被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的單位，必須按照該規(guī)范的要求進(jìn)行安全保護(hù)，否則將可能面臨處罰。

我國(guó)已經(jīng)出臺(tái)了多項(xiàng)法律法規(guī)和政策文件對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)作出了明確的規(guī)定和要求，包括《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等。各行各業(yè)的監(jiān)管部門也會(huì)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)進(jìn)行監(jiān)督和檢查，確保規(guī)范執(zhí)行。因此，關(guān)鍵信息基礎(chǔ)設(shè)施的單位必須認(rèn)真履行《關(guān)基要求》，并加強(qiáng)安全保護(hù)措施，確保系統(tǒng)的安全性、可靠性和穩(wěn)定性。

04

《關(guān)基要求》和零信任是什么關(guān)系？

《關(guān)基要求》是一份技術(shù)規(guī)范，零信任是一種安全架構(gòu)的理念，它們是兩個(gè)不同的概念，但它們可以相互補(bǔ)充，共同提高系統(tǒng)的安全性。

《關(guān)基要求》提出了非常嚴(yán)格的安全保護(hù)要求，事實(shí)上要求企業(yè)在構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施時(shí)必須遵循零信任的原則。例如：對(duì)每個(gè)用戶和設(shè)備進(jìn)行認(rèn)證和授權(quán)的要求，可通過零信任IAM系統(tǒng)統(tǒng)一管控；對(duì)資產(chǎn)識(shí)別的要求，可通過零信任架構(gòu)統(tǒng)一管理全部終端、網(wǎng)元和應(yīng)用，并基于零信任的應(yīng)用發(fā)現(xiàn)功能識(shí)別組織的全部應(yīng)用；對(duì)收斂暴露面的要求，可通過零信任敲門技術(shù)實(shí)現(xiàn)應(yīng)用的百分百收斂；對(duì)遠(yuǎn)程訪問進(jìn)行驗(yàn)證并加密傳輸?shù)囊?，可通過零信任SDP建立安全的訪問通道，并對(duì)訪問行為進(jìn)行細(xì)粒度的權(quán)限管控；對(duì)于主動(dòng)防護(hù)的要求，可通過零信任自適應(yīng)動(dòng)態(tài)策略第一時(shí)間識(shí)別各類入侵并作出對(duì)應(yīng)的反制動(dòng)作；對(duì)于整體技術(shù)方案的要求，更是可以通過零信任體系拉通各類產(chǎn)品形成統(tǒng)一的安全管理平臺(tái)。

對(duì)比美國(guó)國(guó)防部的《國(guó)防部零信任戰(zhàn)略》、美國(guó)國(guó)家安全局(NSA)的《擁抱零信任安全模型》、美國(guó)政府的《美國(guó)聯(lián)邦政府零信任戰(zhàn)略》和我國(guó)的《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》，會(huì)發(fā)現(xiàn)他們都普遍關(guān)注攻擊面暴露、用戶數(shù)據(jù)泄露、遠(yuǎn)程利用、內(nèi)部威脅、供應(yīng)鏈?zhǔn)軗p等信息安全問題，也都會(huì)強(qiáng)調(diào)多重認(rèn)證、高級(jí)加密、端點(diǎn)安全、分析工具、穩(wěn)健審計(jì)和主動(dòng)防御等安全能力。雖然《關(guān)基要求》沒有明確指明要使用零信任，但是其對(duì)安全技術(shù)的要求和美國(guó)軍方安全標(biāo)準(zhǔn)高度重合，這也從側(cè)面佐證了零信任是滿足《關(guān)基要求》的首選方案。

因此，可以預(yù)見，該規(guī)范將推動(dòng)零信任在企業(yè)和組織中的廣泛應(yīng)用和發(fā)展。

05

《關(guān)基要求》用零信任方案能滿足嗎？

雖然零信任是一種高效的網(wǎng)絡(luò)安全架構(gòu)，但是單獨(dú)采用的零信任方案不一定能夠滿足《關(guān)基要求》的全部要求。

《關(guān)基要求》是一份相對(duì)全面的技術(shù)規(guī)范，涵蓋了關(guān)鍵信息基礎(chǔ)設(shè)施的安全管理、技術(shù)、防護(hù)、監(jiān)測(cè)和評(píng)估等方面的要求。因此，需要采用零信任的一種或幾種技術(shù)手段，再結(jié)合其他安全保護(hù)措施和管理制度，才能夠全面滿足要求。比如規(guī)范中的“關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)實(shí)施網(wǎng)絡(luò)分割、安全域隔離、數(shù)據(jù)加密、訪問控制等措施，并且要定期進(jìn)行風(fēng)險(xiǎn)評(píng)估和漏洞掃描。”這些要求需要采用多種技術(shù)手段和管理制度來實(shí)現(xiàn)，零信任只是其中的一種技術(shù)手段之一。

然而，零信任可以作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)方案的一個(gè)重要組成部分。使用零信任方案可以幫助防范攻擊，包括通過授權(quán)、訪問控制和驗(yàn)證等手段來保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受未經(jīng)授權(quán)的訪問和攻擊。零信任的方案也可以提高系統(tǒng)的安全性、可靠性和穩(wěn)定性，減少安全風(fēng)險(xiǎn)。

因此，采用一套零信任方案作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)方案的重要組成部分是可行的，但仍需要結(jié)合其他安全保護(hù)措施和管理制度來全面滿足《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》的要求。

06

《關(guān)基要求》對(duì)網(wǎng)安廠商有什么影響？

《關(guān)基要求》的發(fā)布，對(duì)網(wǎng)絡(luò)安全廠家具有重要的影響。一方面，這份規(guī)范明確了關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)要求，這將推動(dòng)網(wǎng)絡(luò)安全廠家不斷提升產(chǎn)品和服務(wù)的質(zhì)量和水平。另一方面，該規(guī)范也明確了安全產(chǎn)品設(shè)計(jì)和實(shí)施方面的具體要求，這將使得更多安全產(chǎn)品零信任化，以滿足規(guī)范的要求和實(shí)際應(yīng)用場(chǎng)景。此外，該規(guī)范還要求網(wǎng)絡(luò)安全廠家開展安全產(chǎn)品評(píng)估和認(rèn)證工作，這將促使安全廠商在提供產(chǎn)品的同時(shí)提供更多的安全服務(wù)內(nèi)容。

綜上所述，《關(guān)基要求》的發(fā)布將使得越來越多的企業(yè)和組織了解并采用零信任架構(gòu)來保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的安全，同時(shí)網(wǎng)絡(luò)安全廠商也會(huì)加強(qiáng)對(duì)零信任的研究和開發(fā)，提供更加完善的綜合性解決方案和全面的安全服務(wù)。