國家市場監督管理總局準許釋出的國家标準GB/T 39204-2022《資訊安全技術 關鍵資訊基礎設施安全保護要求》(以下簡稱“《關保标準》”)于2023年5月1日正式實施。作為《關基保護條例》施行以來釋出的第一個關鍵資訊基礎設施安全保護相關的國家标準,《網絡安全法》、《關保條例》以及大陸關基方面相關監管規範,均在《關保标準》中有相應的要求落地,标志着對關鍵資訊基礎設施的安全防護工作進入新的階段。
沃通CA以國密證書産品為基礎,結合PKI服務設施及商用密碼應用方案,助力關鍵資訊基礎設施在安全通信、商用密碼應用等方面的合規建設。
《關保标準》核心内容
《關保标準》基于《網絡安全法》和《關保條例》,在網絡安全等級保護制度基礎上,結合大陸現有網絡安全保障體系成果提出的可落地的安全保護要求,提出了3項基本原則、6個方面主要内容,為營運者開展關鍵資訊基礎設施保護工作需求提供了強有力的标準保障。
3項基本原則:《關保标準》提出了以關鍵業務為核心的整體防控、以風險管理為導向的動态防護、以資訊共享為基礎的協同聯防的關鍵資訊基礎設施安全保護3項基本原則。
6個方面主要内容:針對關鍵資訊基礎設施安全保護在分析識别、安全防護、檢測評估、監測預警、主動防禦、事件處置等6個方面提出了111條安全要求。
《關保标準》在安全防護方面、檢測評估方面針對安全通信網絡、商用密碼應用安全性評估等均提出明确要求。
在安全防護方面:針對安全通信網絡第7.5.2條提出明确的互聯安全要求。
互聯安全要求包括:
a)應建立或完善不同網絡安全等級保護系統之間、不同業務系統之間、不同區域的系統之間、不同營運者營運的系統之間的安全互聯政策;
b)應保持同一使用者其使用者身份和通路控制政策等在不同網絡安全等級保護系統、不同業務系統、不同區域中的一緻性;
c)對不同區域網路之間遠端通信時應采取安全防護措施,例如:在通信前基于密碼技術對通信的雙方進行驗證或鑒别。
在檢測評估方面:第8.2條明确提出每年至少進行一次檢測評估,其中包括網絡安全等級保護制度落實情況、商用密碼應用安全性評估情況。
檢測評估方式和内容要求包括:
a)應自行或者委托網絡安全服務機構對關鍵資訊基礎設施安全性和可能存在的風險,每年至少進行一次檢測評估,并及時整改發現的問題;
b)在涉及多個營運者時,應定期組織或參加跨營運者的關鍵資訊基礎設施安全檢測評估,并及時整改發現的問題;
c)在檢測評估時.内容應包括但不限于網絡安全制度(國家和行業相關法律、法規、政策檔案及營運者制定的制度)落實情況、組織機建構設情況、人員和經費投入情況、教育教育訓練情況、網絡安全等級保護制度落實情況、商用密碼應用安全性評估情況、技術防護情況、資料安全防護情況、供應鍊安全保護情況、雲計算服務安全評估情況(适用時)、風險評估情況、應急演練情況、攻防演練情況等……
沃通國密數字證書助力關保合規
沃通CA以國密證書産品為基礎,結合PKI服務設施及商用密碼應用方案,在安全通信、商用密碼應用等方面,為關鍵資訊基礎設施提供符合網絡安全等級保護要求以及商用密碼應用安全要求的産品方案。
1、落實等保2.0安全通信設計要求
《資訊系統等級保護安全設計技術要求》對不同等級的資訊系統提出了不同安全通信設計技術要求。第一級隻需采用正常校驗機制驗證資料傳輸的完整性;第二級及以上需要采用密碼技術保護資料傳輸的完整性及保密性;第三級及以上需要采用密碼技術確定網絡可信接入。
沃通提供國密SSL證書、國密用戶端證書等國密數字證書産品,支援SM2/SM3/SM4等國産密碼算法和國密安全協定,通過SSL/TLS協定的加密認證機制,基于國密算法建立安全的網絡連接配接并校驗通信方的真實身份,實作網絡傳輸的保密性、完整性,確定通信雙方身份可信,可幫助關鍵資訊基礎設施資訊系統滿足等保2.0安全通信設計要求。
2、助力關鍵資訊基礎設施密碼應用合規
《關保标準》提出每年評估一次商用密碼應用安全情況,商用密碼應用安全性評估簡稱“密評”,GB/T 39786-2021《資訊安全技術資訊系統密碼應用基本要求》是指導商用密碼應用與安全性評估工作的一項基礎性标準,規定了資訊系統在網絡和通信安全層面的密碼應用技術要求,通信主體、資訊系統與網絡邊界外建立的網絡通信信道,應采用密碼技術保護通信信道傳輸安全。
網絡和通信安全層面主要測評對象是針對跨網絡通路的通信信道,涉及不同網絡類型和通信主體在建立通信通道時的HTTPS協定、SSL VPN協定、IPSec協定等通信協定的密碼應用情況。沃通國密SSL證書為關鍵資訊基礎設施實作基于國密算法的HTTPS協定、SSL VPN協定加密連接配接,保障通信信道的資料傳輸安全,幫助關鍵資訊基礎設施資訊系統實作網絡和通信安全層面的密碼應用技術要求。
沃通CA是依法設立的第三方電子認證服務機構及網絡安全服務提供商,獲得國密局頒發《電子認證使用密碼許可證》、工信部頒發《電子認證服務許可證》,獲批電子政務電子認證服務資質,具備合規資質和專業服務能力,将持續為關鍵資訊基礎設施安全保護提供優秀的解決方案和專業的産品及服務!