《关基保护要求》实施，应用层零信任将发挥重要作用

2023年5月1日起，国家标准《GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求》正式实施。

 

这是继《关键信息基础设施安全保护条例》发布后首个正式发布的针对性标准，也代表着关键信息基础设施保护工作部门开展监管、运营者开展安全保护、检测评估机构开展测评进入了新的阶段。

#01

谁应被视作“关键信息技术设施”？

《关键信息基础设施安全保护要求》中明确指出：

关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

#02

为关键信息基础设施提供安全保护

遵循三项基本原则！

《关基保护要求》明确提出，关键信息基础设施安全保护应在网络安全等级保护制度基础上，实行重点保护，应遵循三个基本原则：

一、以关键业务为核心的整体防控：

关键信息基础设施安全保护以保护关键业务为目标，对业务所涉及的一个或多个网络和信息系统进行体系化安全设计，构建整体安全防控体系。

传统安全产品的部署往往会拖沓或影响业务效率，业务部门排斥安全产品，迫使安全只能做旁路分析，距离业务较远。

《关基保护要求》规定安全产品要以业务为核心，并且需要对业务所涉及的网络和信息系统进行一体化、体系化安全架构的部署，这两个原则也是持安科技在落地零信任策略时重点考虑的原则。

二、以风险管理为导向的动态防护：

根据关键信息基础设施所面临的安全威胁态势，进行持续监测和安全控制措施的动态调整，形成动态的安全防护机制，及时有效地防范应对安全风险。

关键信息基础设施在面临不同的安全威胁时，需要根据威胁态势进行持续监测和安全控制措施的动态调整。这种策略能够形成一个不断更新、不断优化的安全防护机制，及时有效地防范和应对各种安全风险。传统的边界安全模型，静态的、封闭的防御思路将不再适用，零信任作为一种新的安全架构，是基于访问者的行为来判定其安全状态，可有效防范未知攻击。

三、以信息共享为基础的协同联防：

积极构建相关方广泛参与的信息共享、协同联动的共同防护机制，提升关键信息基础设施应对大规模网络攻击能力。

针对大规模网络攻击，单独的安全措施难以应对，而通过建立相关方广泛参与的信息共享和协同联动机制，则可以充分发挥各方的优势，有效应对网络攻击。零信任平台可以与企业现有的安全产品融合，帮助协调各个业务系统之间共享恶意代码样本、攻击数据、安全事件情报等信息，来提高网络威胁感知和响应效率，并增强关键信息基础设施的抵御能力。

#03

推动关基保护体系落地

零信任将发挥关键作用

针对防护内容和要求层面，《关基保护要求》重点从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面，对关键信息基础设施安全保护提出了更高的、更加具体的要求。

 

基于自身20年甲方安全建设经验，8年持续的甲方零信任落地经验，持安认为，对应本标准提供的六大维度，零信任能够适应关键信息基础设施的防护要求，并显著提高其安全防护能力及检测预警能力：

一、分析识别：以保护关键业务资产为核心

IT资产是企业网络系统的重要组成部分，由于新技术、新场景的不断出现，如云计算、虚拟化、物联网等，使得IT资产增长迅速、多样化，以至于大多数企业无法实时、持续且动态地管控资产。

《关基保护要求》着重提出了关键业务资产的重要性，组织应该建立关键业务链相关的网络、系统、数据、服务和其他类资产的资产清单，确定资产防护优先级，根据资产变化情况动态更新，动态识别资产变化。

零信任作为企业IT基础设施，基于业务身份建立，同时在网络、应用、数据、主机层全面贯彻零信任，平台即可自动识别、发现新的IT资产，将各种信息资源整合在一起进行管理，帮助企业建立全局的IT资产视图，并对不同层级的资产进行统一的治理和防护，将大幅降低因资产管控不到位而导致被攻陷的风险。

二、安全防护：建立一体化的关基防护体系

目前企业IT系统碎片化现象较为严重，不同的产品、服务、技术难以互通和协调，难以实现整体安全防御。同时，由于缺乏统一的安全管理和策略，企业在应对网络安全事件时反应迟缓，无法快速反应和处置。

《关基保护要求》提出，应建立适合本组织的网络安全保护计划，明确关键信息基础设施保护的目标，且计划应每年修订一次，或发生重大变化时进行修订。

在互联安全方面，应建立或完善不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不司运营者运营的系统之间的安全互联策略。

基于应用层建立的零信任，可保证所有业务系统共用一套身份，可满足《关基保护要求》提到的“应保持同一用户其用户身份和访问控制策略等在不同网络安全等级保护系统、不同业务系统不同区域中的一致性。”

《关基保护要求》着重提出了边界防护要求：应对不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不同运营者运营的系统之间的互操作、数据交换和信息流向进行严格控制。

通过零信任理念的落地，可实现对未授权设备进行动态发现及管控，只允许通过运营者授权的软硬件运行。

《关基保护要求》还提到，在安全计算环境的鉴别与授权时，应对设备、用户、服务或应用、数据进行安全管控，对于重要业务操作、重要用户操作或异常用户操作行为，建立动态的身份鉴别方式，或者采用多因子身份鉴别等方式；针对重要业务数据资源的操作，应基于安全标记等技术实现访问控制。

三、检测评估：深度发现安全风险

为检验安全防护措施的有效性，发现网络安全风险隐患，应建立健全的安全检测评估制度，包括检测流程、方式方法、周期、人员组织等方面。每年至少自测或委托检测机构进行一次检测评估。期间，通过实施零信任策略，对网络流量进行实时监控，并根据用户身份、行为和设备情况等多个因素进行动态访问控制以协助检测评估。

四、监测预警：精准、快速应急响应

《关基保护要求》提出，需要建立常态化的监测预警、快速响应机制，全面收集网络安全日志，提高主动发现攻击能力，主动进行攻击捕获、分析、溯源等。

基于真实业务身份的零信任安全网络，访问者每发起一个访问请求，都需要通过零信任的可信验证，零信任决策引擎将综合访问数据包内的身份、设备、行为、上下文数据等进行安全评估和认证，一旦发现异常行为，立即加强认证或阻断本次访问行为并上报。

此外，基于应用层建立的零信任，可以为用户的每一个行为打上身份标签，从用户登录终端到业务访问，期间终端行为、应用访问行为、登录认证、零信任策略执行等过程均有包含身份和设备信息的详尽日志，可天然满足《关基保护要求》对监测预警的要求。

五、主动防御：实战化的关基防护思路

传统的网络安全策略通常采用被动防御，主要是针对已知威胁进行预防。但随着互联网的高速发展，网络威胁变得更加复杂和智能化，在面对真实的攻防对抗场景时，仅靠被动防御已不能满足需求。

需要采取主动防御手段收敛业务系统暴露面，识别和减少互联网和内网资产的互联网协议地址、端口、应用服务等暴露面，压缩出口数量。减少对外暴露组织架构、邮箱账号、组织通信录等内部信息，防范社会工程学攻击，零信任可通过代理的方式，通过“先验证、再访问”策略，有效降低业务暴露面。

此外，零信任通过与企业现有的身份平台、威胁情报中心、SOC等安全能力融合，综合分析联防联控，深度感知用户及设备的异常信息，可快速切断异常访问。

六、事件处理：将安全事件的影响降到最低

应制定网络安全事件管理制度，对网络安全事件分类分级，事件发生时及时进行报告和处置，一体化的零信任平台可快速感知网络安全事件的整体情况，为事件报告与处理提供事后溯源的依据，并积极采取适当的应对措施，恢复由于网络安全事件而受损的功能或服务。

六大维度是关基安全运营体系的闭环，但在面向实战时，仍需用系统化的思维对关基安全体系进行整体的审视和设计，不断提升体系与其具体业务场景的契合度，保障安全体系的高效运转。

#04

一条硬广

持安科技团队拥有20年甲方安全建设经验，8年持续的零信任落地经验，其核心产品持安远望办公安全平台，是 Google BeyondCorp 架构的应用层零信任，可有效防御未知人员发起的未知攻击。目前客户主要集中在互联网、金融、能源、科技、高端制造、新零售领域，已为数十万人办公安全以及数千个业务系统提供持续稳定的保护。

 

持安远望办公安全平台数据流示意图

为了持续保障关键信息基础设施的安全，我们将继续深耕零信任安全建设，并加快完善自身安全产品和方案，为企业的安全防护和运营能力赋予持续创新的力量。