国家市场监督管理总局批准发布的国家标准GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称“《关保标准》”)于2023年5月1日正式实施。作为《关基保护条例》施行以来发布的第一个关键信息基础设施安全保护相关的国家标准,《网络安全法》、《关保条例》以及大陆关基方面相关监管规范,均在《关保标准》中有相应的要求落地,标志着对关键信息基础设施的安全防护工作进入新的阶段。
沃通CA以国密证书产品为基础,结合PKI服务设施及商用密码应用方案,助力关键信息基础设施在安全通信、商用密码应用等方面的合规建设。
《关保标准》核心内容
《关保标准》基于《网络安全法》和《关保条例》,在网络安全等级保护制度基础上,结合大陆现有网络安全保障体系成果提出的可落地的安全保护要求,提出了3项基本原则、6个方面主要内容,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。
3项基本原则:《关保标准》提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。
6个方面主要内容:针对关键信息基础设施安全保护在分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求。
《关保标准》在安全防护方面、检测评估方面针对安全通信网络、商用密码应用安全性评估等均提出明确要求。
在安全防护方面:针对安全通信网络第7.5.2条提出明确的互联安全要求。
互联安全要求包括:
a)应建立或完善不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不同运营者运营的系统之间的安全互联策略;
b)应保持同一用户其用户身份和访问控制策略等在不同网络安全等级保护系统、不同业务系统、不同区域中的一致性;
c)对不同局域网之间远程通信时应采取安全防护措施,例如:在通信前基于密码技术对通信的双方进行验证或鉴别。
在检测评估方面:第8.2条明确提出每年至少进行一次检测评估,其中包括网络安全等级保护制度落实情况、商用密码应用安全性评估情况。
检测评估方式和内容要求包括:
a)应自行或者委托网络安全服务机构对关键信息基础设施安全性和可能存在的风险,每年至少进行一次检测评估,并及时整改发现的问题;
b)在涉及多个运营者时,应定期组织或参加跨运营者的关键信息基础设施安全检测评估,并及时整改发现的问题;
c)在检测评估时.内容应包括但不限于网络安全制度(国家和行业相关法律、法规、政策文件及运营者制定的制度)落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护制度落实情况、商用密码应用安全性评估情况、技术防护情况、数据安全防护情况、供应链安全保护情况、云计算服务安全评估情况(适用时)、风险评估情况、应急演练情况、攻防演练情况等……
沃通国密数字证书助力关保合规
沃通CA以国密证书产品为基础,结合PKI服务设施及商用密码应用方案,在安全通信、商用密码应用等方面,为关键信息基础设施提供符合网络安全等级保护要求以及商用密码应用安全要求的产品方案。
1、落实等保2.0安全通信设计要求
《信息系统等级保护安全设计技术要求》对不同等级的信息系统提出了不同安全通信设计技术要求。第一级只需采用常规校验机制验证数据传输的完整性;第二级及以上需要采用密码技术保护数据传输的完整性及保密性;第三级及以上需要采用密码技术确保网络可信接入。
沃通提供国密SSL证书、国密客户端证书等国密数字证书产品,支持SM2/SM3/SM4等国产密码算法和国密安全协议,通过SSL/TLS协议的加密认证机制,基于国密算法建立安全的网络连接并校验通信方的真实身份,实现网络传输的保密性、完整性,确保通信双方身份可信,可帮助关键信息基础设施信息系统满足等保2.0安全通信设计要求。
2、助力关键信息基础设施密码应用合规
《关保标准》提出每年评估一次商用密码应用安全情况,商用密码应用安全性评估简称“密评”,GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》是指导商用密码应用与安全性评估工作的一项基础性标准,规定了信息系统在网络和通信安全层面的密码应用技术要求,通信主体、信息系统与网络边界外建立的网络通信信道,应采用密码技术保护通信信道传输安全。
网络和通信安全层面主要测评对象是针对跨网络访问的通信信道,涉及不同网络类型和通信主体在建立通信通道时的HTTPS协议、SSL VPN协议、IPSec协议等通信协议的密码应用情况。沃通国密SSL证书为关键信息基础设施实现基于国密算法的HTTPS协议、SSL VPN协议加密连接,保障通信信道的数据传输安全,帮助关键信息基础设施信息系统实现网络和通信安全层面的密码应用技术要求。
沃通CA是依法设立的第三方电子认证服务机构及网络安全服务提供商,获得国密局颁发《电子认证使用密码许可证》、工信部颁发《电子认证服务许可证》,获批电子政务电子认证服务资质,具备合规资质和专业服务能力,将持续为关键信息基础设施安全保护提供优秀的解决方案和专业的产品及服务!