《网络安全技术 关键信息基础设施安全保护能力指标体系.docx》由会员分享,可在线阅读,更多相关《网络安全技术 关键信息基础设施安全保护能力指标体系.docx(48页珍藏版)》请在课桌文档上搜索。
1、ICS35030CSS1.80中华人民共和OBI家标准GB/TXXXXX-XXXX网络安全技术关键信息基础设施安全保护能力指标体系Cybersecuritytechnology-Indicatorsystemforsecurityprotectioncapabilityofcriticalinformationinfrastructure(征求意见稿)(本稿完成日期:2024-06-25)在提交反g见时,请将您知道的相关*利连同支雌文件一并附上.XXXX-XX-XX发布XXXX-XX-XX实施q家市场监督管理总局出在马家标准化管理委员会发布GB/TXXXXX-XXXX目次前言11I范围12规范
2、性引用文件13术语和定义14概述24I能力等级描述24.2能力指标概述35 SX类:安全管理55.1 类的说明55.2 管理规范(SMJSC)65.3 资源保障(SM_RGC)75.4 风险管理(SM_RMC)85.5 供应链安全(SM_SCC)86 SA类:系统架构106.1 类的说明106.2 架构安全(SA_BIS)106.3 业务连续性(SA_BeC)127 TP类:技术防妒137.1 类的说明137.2 网络基础设施防护(TPJiIP)137.3 边界安全防护(IP_BSPM7.4 4计算环境防妒(TP/EP)167.5 数据安全防护(TPJKP)188 SO类:安全运营198.1
3、类的说明198.2 安全运维(S(1.Soe)198.3 态势超知(S(1.SAC)228.4 主动防御(S(1.PDC)238.5 事件处置(S(1.EDC)25附录A(资料性安全保护能力计分方法27附录B(资料性)能力组件计分示例30网录C(资料性某关键信刖基础设施运营者自评计分示例86参考文献888本文件按照GB/T1.12020匕标准化工作导则笫1部分:标准化文件的结构和起草规则S的规定起点。请注意本文件的某线内容可能涉及专利。本文件的发布机构不承担识别专利的贡仔。本文件全国网络安全标准化技术委员会(SAC/TC260提出并归口.本文件起草单位:中国交通通通估息中心、中国电子技术标准化
4、研究院、中国值息安全测评中心、国家信息技术安全研究中心、自然资源部信息中心、国家信息中心、中国金触认证中心、杭州安恒信息技术股份有限公司、深信服科技股份有限公司等。本文件主要起草人:姚相振、王惠莅、杜渐、顾炳中、邸丽清、孙晓丽、张强、伊玮珑、刘芮.战明、高强将、宋璟等.HI网络安全技术关键信息基础设施安全保护能力指标体系1病困本文件规定了关键信息基础设施安全保护能力指标体系,包括基本保护缓、强化保护级、战略保护级的安全保护能力指标.本文件适用于指导关键信息基础改修运营者对关世伯忠基础设施安全保护能力的建设,也可为保妒工作部门、国家监管部门以及第三方评估机构簪提供参考,2规葩性引用文件下列文件中
5、的内容通过文中的规莅性引用而构成本文件必不可少的余款,其中,注口期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件.其用新版本(包括所有的悻改单适用于本文件.GB/T22239-2019估息安全技术网络安全等级保护基本要求GB/T25069-2022信息安全技术术语GB/T32914-2023倍息安全技术网络安全服务能力要求GB/T39281-2022信息安全技术关犍信息基础设施安全保护要求GB/T42446-2023信息安全技术网络安全从业人员能力基本要求GB/T43697-2024数据安全技术数据分类分级规则GB/TXXXXX-AAAA网络安全技术关键信总基础设施边界确定方法
6、3术语和定义GB/T25069中界定的以及卜列术语和定义适用于本文件,3. 1关俄信息恭础设施CritiCalinformationinfrastructure公共通信和信息服务、能源、交通、水利、金融、公共眼务、电子政务、国防科技工业等重要行业和领域.以及其他一只遭到破坏、丧失功能或拧数据泄殆,可能严加危害国家安全、国计民生、公共利曲的曳要网络设施、信息系蜕等.【来源:GB/T392012022,3.13.2极限情况extremeconditions遭遇到大规模、YfiIlWx持续的网络攻击或严曲自然灾杏等,对网络运行环境、网络运行秩序产生巨大、破坏性影响,包括但不限于通信设施、电力、机房等
7、环境因素遭到破坏对网络设施、信息系统造成影响.来源:GB/TXXXXX-AAAA,3.63.3网络弹性cyberrcsiIience网络存在不利条件、压力、攻击或失陷组件时,自身所应具有的预防、承受、恢笈和适应的能力,以保持系统功能和结构稳定,实现对重大网络安全事件的有序、有效应对,保证关键业务柩定运行.建I网格-Ifi由计总机或者其鲍佶息终增及相关设图A成的按JB定的规则和程序财信息遥行收集.存储.传输.交换、处理的廉统.来源:GB/TXXXXX-BBBB.3.13.4风险risk对目标的不f肯定性影响,注1:影峋是指与期望的偏悉(正向的或反向的).注2:不确定性足时*去及其结果或可能性的相
8、关佰以、理解或知识缺乏的状态(即使是程:分的).注314期就被表征为潜在的本态和后果.或存它们的出台.注4:W险的被改示为事态的后果(包括情形的改变)和区发生可饯性的3iff.注5:在怡息安全管理体系的语境下,信息安全风险可被示为对信息安全H标的不确定性影响.注6;信总安全风修j位特利用信,以资产或信总资产维的航j性时双班造成他害的潜力相关.来源:GB/T292462017,2.684概述4.1能力等级描述关键信息基础设施安全保护能力分为3级,由低到高分别为:基本保护缎、强化保护级、战略保护级.3个等级的能力描述如表1所示.基本保护级1重于满足相关法律法燥要求,系统能修常态化安全稳定运行:强化
9、保护被侧重于关键信息基础设施运营苻与保护工作部门形成安全防御共同体,保障业务稳定运行,形成综合防御和协同防御的能力;板略保护级侧由于关键信息葩础设施运营者、保护工作部门和国家层面二级协同,保障极限情况卜关键业务最小化运行,表1关键信息基础设施安全保护能力等级及描述能力等统能力等线描述韭本保护级满足关键信息基他设施安至保护.等级保护、密码应用.故拈安全等相关法律法规政策标准要求.系统值螭常态化安全稳定运行,能城保江关健业务待缴班务.“备魔方怏U与运行能力,能够实现效熨备份和恢现,媚保数据完整可用.强化保护at在主动防护、业务Ittt性、监测预警能方面进一步强化,能婚实现系统依舛性.在部分功能先攻
10、时,关Bi业务能纳安全6J定送行,便保障数据i可用I1.能防止数指IttiK或算改“能与保护工作部门办问我动.保Ki业务机定运行,初步H番和川国家保护资源徒力.战略保护is在面对国家级网络攻击、严呱自然灾害等极架情况时.外箔弹性应对.自适应初悔能力.l确保关键业务以小化运行.具备自动快速恢复功能保证关犍业务可挣续提供服务.可依助国.京提供的相关济湖保业务检定运行、数据不泄羯,具名测淞处置能力.4.2能力指标载述4. 2.1能力指标结构描述本文件第5政至第8章给出了涵盖买行业(如公共通侑和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等),多系统(如工业控制系统、公平台、大数
11、据应用等)的关键隹总第础设施通用安全保护能力指标描述,能力指标采用“类-族-组件一层次化的结构来衣达。图1类-族组件层次关系示意图一个能力类包括若干个能力度,每个能力族包括若干个能力组件,每个能力组件包括若干指标项,指标项按照花本保护级、强化保护级和燧略保护徽分别描述。强化保护级和战略保护级分别是针对低一等级指标项的补充和强化,在实现强化保护纸和战略保护级时,其低一等级的能力要求应得到满足。有的指标项只列出了基本保护级,强化保护级指标限为“无这表明只需要满足基本保护级能力.对于战略保护级中指标项为“无”的,表明只儒要满足强化保妒级能力,能力类是爆通用的一如能力指标的组合,能力类的编号为类别名称
12、英文苜字母缩写。等个能力类包括若干个具有相同意图的能力欣,即能力族是在能力类别框架下进一步的分类,触个能力族被分配一个唯一的族名,其表示方式是所在类名的缩写,猿跟一个下划线,然后再加上与族名有关的:.个字母.徒个能力族包括一个或多个能力组件。组件的表达方式是在族名的缩写后面加一个点,然后根据祖件在族内的顺序从1开始编号,纲件的定义是困绕能力族的安全目的进行分类描述,这也是能力分级的基础.由于关键伯息基础设施的形态多样化,在实现能力指标项时可能会存在差异,为此,本文件在描述指标J时引入了“赋他”和“选择”这两种变城。如果各能力等级指标项的表述不足以表达关键信息基础设殛运营者对系统保护的要求,运营
13、者可以在类和族的框架下扩展相应的组件.扩展组件的表述应在需要扩展的族下面在族名缩写的后面补充“.EXT”后在对扩展组件排序,如需在管理规范能力旗下扩展组件,组件的名称可以命名为-SM_MSC1.EXT.1,运营者也可采取不扩展组件的方式,仪采取扩展既有组件下指标项的方式或针对既有指标项存在不适用的情况进行标注说明等方式4. 2.2能力指标体系构成能力指标体系包括4个类、14个族,52个组件(含扩展祖件),表2提供了各类能力指标项对应的基本保护级、强化保护级、战略保护级的指标项构成俏况。基于关键信息基础设牖所面临的威胁和时应的保护策略,本文件定义了4个类,分别为安全管理(SM)类、系统结构(SA
14、)类、技术防护(TP类和安全运营(SO)类,每个类的好择可以参照后续意节的类说明.表2能力指标体系构成表俺力狭力也件不力等At措行Im*Af*ft化SM:安全管理类SM-MSC:Wfl!赛危雁力Sb1.MSC.I保护计划2OOSM_MSC.2制境策略4OOSM-MSC-3管理考核2OOSK1.RGCl资源俣耀能力SK1.RGCi保护团队42OSM-RGC.2压础宽源保1OOSMRGC.3经费保城2OOSM-RMC14险管理能力SM-RMCI风险管理潴略3OOSM_RMC.2风险管理活勖4OOSM_SCC供应於安仝健力SM_SCC.I供应该安全管理4OOSM.SCC.2供应力安金管理4OOSM.
15、SCC3达雉外包管理3OOSM-SCC4供血域风险预警“应急处科2OOSA1系统架构类SAJiIS:架构安全能力SA一BIS.I网络防护架构622SA-BIS_EXT.1云平台防护架构1OOSA_BIS.2通信显路与关键段冗余3IOSA-BlS.3应用数据分两2OOSA_BCC:业务煌母性能力SA-BCC.1业务依慢性分析2OOSA-BCC.2业务连续性管理642SA-BCc3次建备份和恢乂2IITP,核木防护类TP-NIP:网络堪础设俺防护能力TP-NlRI网络接入安全2IOTP-NIP2M格传将安至2OOTP-NIP3系统互联安全3iOTP_NIPEXEJ1:柠系统互联安仝1OOTPBSP
16、:边界安全防护能力TP-BSPJ边界人侵防数22I11IBSH2边界访问控M42OTP-BSP.3恶府代码防花3IOTP_BSP.4|可招安全审计4IOTP.CEP:计和环境防护徙力TP-CEPJ计算环境身份盛别2IOTP-CER2计算环境访问控刖42OTP-CEP3i卜肾环境卷面软件防疝5IOTP.CEP.4计克环境安全中计5OOTP.CEP5计笄环境入侵防能与印断3OO表2能力指标体系构成表(续)俺力狭力也件不力等At措行化TP:技术防护类TPjWP:数据安全防护能力TP.DSP.I数据分类分级2I0TPJ)SP2数据处理活动63IHlDSP3数据我任100TP-DSP4数拉!羚境100s
17、o:安仝运酉类S0.S0C:安全运堆能力Sc1.Socl街产、湖洞、配Pl管理530SO-StX:.2校测评估300So-SoC.3运维管控400Sc1.soC.4妪中管理320So-SOC.5协同防护32IS0.SAC态势感知能力SO,SAC.I安全陈渊4I0S0.SAC.2JuSiSiiIi420So-SAC.3或防信恩320SO.PDC:主动防J)I俄力SO-PDS主动安全防护饺略6I0Sc1.PDC2收敛法露面3IISo-PnC3攻击发现和阻断400so_PlXU滋源处置3II5O_EDC:十件处置能力SO_EDC.I应急预案300SO-EDC.2响应处置62ISO.EDC.3攻防演处
18、42ISO-EDC.4桥同联动323合计I6S47154. 2.3能力指标体系使用运甘者在使用本文件时,应首先依据其行业特点、关键信息础设施特点、威胁、组织环境等因素开展风险分析及评估,明确关键信息基础设施应达到的能力等级,然后针对本文件中对应的能力等缎如件及指标项进行扩展或标注不适用项,针对标注的不适用指标应给出具体说明,针对扩展的组件及指标项应明确具体的类-族等信息.原则上不对类和族进行犷展.在明确组件范畴后,运营者应对组件中的瞅伯、选择等操作进行细化,形成特定的关键信息垠础设施保护能力指标体系,评估者依据特定的指标体系开展评估.附录A给出了能力计算方法,附录B给出了纲件计分方法示例,网录
19、C给出了某关键信息基础设施运营者自评计分示例.本文件凡涉及密码使用和管理的相关内杵,按有关标准的规定.5SM类:安全管理5.1 类的说明安全管理类包括管理规范能力、资源保障能力、风险管理能力和供应链安全能力4个族,这些族从制度、资源、风险管理和供应能安全等方面对关避信息基础设施提供了保障.5.2 管理规范(SMJJSC)5. 2.1SMJ*SC.1保护计划5.2, 1,1基本保护级运营者应:a)能制定符合美键信息基础设施业务安全保护的特点并适合本组织的关键信息地础设施安全保护计划,明确关键信总基础设施的安全保护目标:b)能选择选取多个:每年一次、按需要对关键信息基础设随安全保护计划进行审核修订
20、.5. 2.1.2强化保护级无。5. 2.1.3战略保伊级无。5. 2.2SM_I*SC.2制度策略5. 2.2.1基本保护级运苦者应:a)能根据国家要求、行业要求及本组织情况制定符合组织范围的关犍信息基础设施的安全管理制度,管理制度包括选择,选取多个:风险管理、安全考核、安全培训、供应林安全、监测预警、”件处置、由同防护、赋信:其他制度口,并按照制度实施;b)能根据业务情况定期优化安全管理制度;C)能根据国家要求、行业要求及本组织情况制定符合组织范围的关键信息基础设防的安全保护策略.安全策略包括选择,选取多个:风险管理策略、安全互联策略、安全审计策略.身份管理策略、入侵防范策珞、数据安全防护
21、策略、自动化机制策略(龙时、漏洞、补丁、病而用等)、供应链安全管理策略、安全运维策略、赋值:其他安全策略:d)能根捌业务情况定期优化安全策略.5.2. 2.2强化保护级无。5.2.2.3战略保沪级无。5.2.3SMIASC3管理考核5.2.3.1基本保护级运哲者应;a)能落实网络安全工作责任制,建立符合本祖织特点的整督考核机制:b)Ife根据监杼考核机制赋值:时间频度开展网络安全相关考核,5.2.3.2强化保护级无.5.2.3.3战略保护级无.5.3资源保陞(Si1.RGC)5. 3.1SMRGcl保护团队5.3. 1.1基本保护级运营者应:a)有关键信息基础设施安全保护团队,健钙确保安全运维
22、、应急处置等日常工作;b)具备对网络攻击行为进行主动发现、分析和提出防护建议的能力:C)能及时收集、汇总、分析各方网络安全伯恩,开展河络安全威胁分析和态势研判,及时通报预警处汉;d)保护团队人员应具符符合GB/T42446-2023相应要求的能力.5.4. 1.2强化保护级运营者应;a)具备独立应时网络安全攻防实战对抗的能力b)具备实战化、对抗化(体系化)、常态化的组织内部组建的应急响应团队.5.3.1.3战略保护级无。5.3.2SM-RGC2基础资源保陞5.3,2.1恭本保护级运苕者应具备满足关键业务安全稳定运行要求的基础设施保障能力,包括:场地设防、电力设施、通信线路等.5.3.2.2强化
23、保护级无。5.3.2.3战略保护级无。5.3.3SM_RGC.3经费保障5.3.3.1恭本保护级运昔者应:a)能在年度经费预算煽制明确关犍信息基础设胞安全保护预算内容.优先保障关键信息基础设胞安全经费投入;b)能对经由使用进行审批和审计,明确经费使用范Bl和标准,确保经费使用的合规性和有效性。5.3.3.2强化保护级无。5. 3.3.3战略保护级无.5.4 风险管理(Si1.RMC)5. 4.1SM-RMel风险管理策略6. 4.1.1基本保护级运甘者应:a)能制定榄孟系统全生命周期阶段的网络安全风险管理策略:b)网络安全风险管理策略包括风险评估方法、风险监控策略、风险接受准则等:c网络安全风
24、哙管理策珞与组织业务目标相符,7. 4.1.2强化保护级无.8. 4,1.3战略保护级无.9. 4.2SM-RMC2风险管理活动10. 4,2.1基本保护级运营者应:a能识别多马风险管理活动的利益相关方;b)能根据网络安全M险管理策略进行风险评估,识别并形成风险点清单;c能根据网络安全风险管理策略监控识别的风险:d)能对风险管理活动周期性进行审查,以确保符合网络安全风险管理策略.11. 4.2.2强化保护级无。12. 4.2.3战略保护级无。5.5 供应链安全(S1.SCC)5.5.1SM-SCC.1供应链安全管理5.5,1,1基本保护级运肯者应:a)具备供应链安全管理制度和策略,包括供应方管
25、理、产品开发采购管理等;b)采购网络关键设招和网络安全专用产品目录中的设招产品应通过国家检测认证:C)采购影响或可能影响国家安全的产品或服务时应申请开展国家网络安全审查:d)自行或委托第三方网络安全限务机构进行源代码安全检测,或由供应方提供可信第三方网络安全服务机构出具的代码安全检测报告.5.5.1.2强化保护级无。5.5.1.3战略保伊纵无.5.5.2SM-SCC.2供应方安全苫理5.5.2.1基本保伊级运营者应:a)选择符合GB/T32914-2023相应要求的供应方,建立合格供应方目录.明确相关机构责任.防范非技术因素导致供应中断风险:b)签订协议要求供应方横行网络安全和保密通任,加强安
26、全管理,不行设置后门、非法操作或谋取不正当利益:C)要求供应方承诺出现安全风险及时通报并修更漏洞,提供中文版技术资料,培训技术支持及应急晌应措施:d)监瞽审核供应方眼务,对定制研发软件要求供应方具备安全开发相关资质或建立安全开发规范,建立维护安全开发环境,建立工具设得安全管理和准入控制。5.5.2.2强化保护级无。5.5.2.3战略保护级无”5.5.3SM_SCC,3运维外包管理5.5.3.1基本保护级运营者应:a)能明确外包运维服务商的技术能力要求,包括但不限于风险监洌识别、漏洞修坡、完整性保护、安全测试等:b)能在与外包运维服务商签了的例议中明确外包运推人员与本组织运维人员的工作范用和相关
27、贵任,并按照协议落实:C)能确保在赋做:时间周期I内外包运雉人力持续植定。无。5.5.3.3战略保护级无.55.4SMSCC.4供应链风险预警与应急处置5. 5.4.1基本保伊级运营者应:a)在发现使用的网络产品和服务存在安全缺陷、漏洞等风险时,及时采取措施予以消除:b)按照规定向相关部门报告涉及重大风险的情况.6. 5.4.2强化保护级无。7. 5.4.3战略保伊级无.8. SA类:系统架构8.1 类的说明系统架构类包括架构安全能力和业务连续性能力2个族,这些族从高可用、连续性等方面时关键信息基础设施提供了保障.62架构安全(SA_BIS)6.2.1SABBl网络防护架构6.2.1.1基本保
28、护级运哲者应;a)能按照Gbtxxxxx-Aaaa明确关键信息基础设施常态化和最小化边界:b)能制定网络区域划分、安全互联和网络访问控制等安全策略:C)能按照网络区域划分原则划分网络区域,网络拓扑图与实际网络运行环境致:d)能识别Hi要网络区域,JR要网络区域部署在可控区域;e)能将面向互联网提供服务的业务系统,部詈花可控的网络环境中:f)具备物理层、网络层、应用层、数据层、供应链等多个层面的防护能力.62.1.2强化保护级运苜者应:a)具备主动安全防护技术框架技术框架能好适应不断变化的网洛环境.通过持续的监控.分析和自动化响应来提高安全性:b)在安全防护技术框架中包括协同防护接口、异构性和冗
29、余性、内部架构、业务流程、击要资源、核心算法、通信找路等内容,保障网络架构的弹性能力。B3风险管理能力族所含蛆件计分弱险管理能力族包括风险识别和分析和管理活动2个组件项,组件计分示例见表B.3。表8.3风险管理能力族所含组件将分示例序号能力组件能力等级指标项评估方法指标项分位1.SI1.RMcl除管理策略珞本保护级Q便制定检品系统全生命周期阶段的网络安全风险售i理域跖)查希策略,有网络安全网龄管理策略”分);b)AffjftiSi,风险管理筑略SiSI系统全生命周期阶段12分).32.b)网络安全风险管理策略包括14险押估方法、风险Ift控策略、风15接受准则等I伐有策略.网络安全风险管理策略
30、包括风险讨估方法、风险冻拉策珞、风岐接受准则笄(3分),33.C)网络安全风险管理饺略与沮织业务目标相符.就行策略,M络安全风险管理策略MIVifl织业务目标(4.44.SMRMC.2Wt殓管理活动基本保护级H)傕识别参与阿陞审理活动的利益相关方Ia)查行策略等,识别出风险管理活动的利益相关力(】分1.b)杳看饺略等.已识别的利益相关方充郎、无迪渺(1分).25.b)便根据网将安全风险笆理策略进行风险拜1A,3别并形成凤陵点清单1a)查看诫略.评佑记录等.根据风险管理策略进行了风险评估(1分力b)杳看渍略和消牛等,形成了风险点击通(2分).36.c)便根据网络安全风殴代理或电监控识别的风Kh俣
31、价风险点活取和记录,对风除清冷中的风险点进行Ki控,在Kl控记录(2分八27.d)便时风陶低理活动周期性进行市置,以病保符合网络安全风龄泞理策电.a)查看记录.对风修管理活动进行了周期性审套.有相关记录(1分力b)杳杼策略和记录等,风险管理活动符合策略并持续优化.芍修订或优化记录(2分).3B4供应疑安全熊力族所含蛆件计分供应琏安全能力族包括供应链安全管理、供应方安全管理、运维外包管理、供应琏风险预警与应急处置1个组件项,组件计分示例见表B4.表84供应该安全能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分位*SM.SCC.1供庖於安全管理*本保护级Q具备供应t安全管理制度和数
32、略.包括供应方笆理.产品开发采购管理等IQ食片供庖链安全制度中包含供应健收险、供应方管理.产品开发和采的像理、安全维护等方面的内涔(1,5分九b)爽希依查供应集安全济理Ml攵町的供应链安全济理的U标、Kj则和责任(0.5分):c钱片供应链风险讨估要求,双别潜在的安全哦物和漏洞.并制定相应的应对搭揄(Q.5分Xd)代春供应链汴理要求,包括对供应方的准入、印估、分级、沏汰要求、明确供应方安鱼货任(0.5分”c)查价对开发商的相关管理要求,包括开发环境、开发工具、开发人员等要求(0.5分)rf)先精采时的曾理要求,供应康培调要求何供应链应急响应要求的内容(0.5分).J9.b)采曲网络关设设备和网络
33、安全专用产品Il录中的设缶产丛应通过因以检湾认证:幡杳采网网络关代设省和网汽安全专用产&II录中的设品架购记录,产品通过国*检测认证(2分).2表B5架构安全能力族所含组件得分示例(续)序号能力配件能力齿极指标项评估方法揖标项分依7.强化保护级Q具;&主动安全防护技术框架,技术板架能够适应不IVi变化的网络环境,通过持续的监控、分析W自动化晌电来提Bi安全性:会f!Mi防护架构自主动安全防护技术框架相关的设计内容(2分)1b)主动安全防护技术板架相关的设计内容符合物理环地、业务环境等要求(3分).58.b)在安全防护技术框柒中包括协同防护接EK并构性和冗余性、内部架构、业务谖程、成要i.住心算
34、法、通信线路等内容,保依网络架构的弹性能力.)会希主动安全防护技术框架中有明确的协同防护按口、异构性和冗余性、内部架构.业务流程、,Ii要资源,搐Gta法、通信魏路等内容(2分为b)查野主动防护技术框架设计内容是在技术侧落地(3分).59.成略保护线.,)对承设关Bi业务的软硬件设色具品两种以上异构能力.如采用不同技术架构的芯片、操作系统、防火墙等:N)查看设地说明书及实际环境,事我关键业务的校心融珞刨如:路由卷.交泉机、防火馔、IPS等,“两种以上异构能力(如采用不同技术架构的芯片、劭火墙等)(2分)b)套行设篦说明书及女际环境.承我关健业务的软使件设施(如:计货一、存储贵存南套的牧米.有两
35、种以上异构能力(如果用文掩不同指令集的掾作系统卷3分).510.h)具备极Ri情况下最小化边界内网洛架构、安全架构支第能力.食价相关制度、记录及实际环境.针对我小化边界方独立的网济基础设糙、安全基成谀施可以提供极展情况下的网络环境和安全防护(5分).5表B5架构安全能力族所含组件得分示例(续)序号能力组件能力等级指标项评估方法拧标项分位I1.SA_BIS_EXT.I云平台防护架构基本保护嫉运营我应其曾云平台网络隔周能力,如云服务台与云祖户、不同云租户虚拟网络之间的隔陶Ia)R行承我关谕信息拓砒设施的云平台网络辐离设计.设计包含云服务平台与云机户.不同云租户虚拟网络之间的隔底(5分):b)直行实
36、际环境,承我关攫信息原础设施的云平台有网招隔离技术实.云服务平台与云租户、不同云租户也拟闷洛之间的隔离,施理访问控制的主客林沛注(2分Xe)诩过策略/安全狙件进行隔离,直猜相关访问控制策略以及访问控制黄略见新情况,确保隔离的有效性(3分).IO12.SAJIS.2通信设路与美谊设得冗余礼本保护摄,,)Ri通信规路3主双笈”的多电信运首面妥路由保护健力,a)2i存冏用拓扑图明砒设计油收兼用一主女备或身一主多茶冏笫通信陵路设计(1分);b)访谈网络管理员通信现路采用乡路由保护,交石与电信运昔Qasx的合同协议或甘技术描他黄行通信疑路中的Ip地U代价JMl项运昔商的倡以U分)213.b)具备关健节点
37、和重要设施双H余能力:G植杳关但网络设笛、关ta安全设笛、关例让林设番(数据跖收务8.数粼存俅设备等)、诩传线路快件冗余拾胞仃效(2分):b)直行络i2备的配网信息,如交摭机.路由器等.确认设置了主路径和备份设各的配置,检置出招间的冗余协议,如VRRP(JfcWHi由兀余协议)或16RP(热品份珞由杨议)等(2分).4B6业务连续性能力族所含蛆件计分业务连续性能力族包括业务依赖性分析、业务连续性管理、灾难番份和恢亚3个组件项,组件计分示例见表B,6,表B6业务连续性安全能力族所含组件得分示例序号能力俎件能力落袋指标项评估方法指标项分值1.SABCC1业务依检性分析基本保护执a)能识别关粒业务和
38、关联业务.桎理业务晟并分析依慢性和玳妥性;a)百希济小.椅理了率蛆投的业务链,识别本蛆织的关Bt业务和关联也务.仃关键业务和关联业务的清取(3分):b)佟希记录和实际环境,通过技术措地对关键业务t进行了段理井格关键业务、关联业务业务俵通过泵烧/平8化方式呈现(2分八52.b)能识别关联业务的愉出性,包拈关枕信患珞时设旅苒系统、跨K域间的依低性以及募行业的关联业务等.,)作希记录和实际环境,通过技术推地双别r美联业务的脱弱性,包括关键信息也础设港将系统湾区域间的依幢性以及跨行业的关联业务等,在Ift弱性分析相关报告(3分),)萩行记录和实际环境可以通过技术办胞*f关联业务风险进行了淙分展示与呈现
39、(2分).53.SAJCG2业务连续性管理票本保护拨a)族开展业务彰响和凤l分析.根据结果明砒核心业务、优先次序.关键过程、可接受故障鼠用以及愎身优先胤序:a)馀黄开展业务双畛评估和风l分析情况.查看形成相关报名(1分):b)萩行报告和实际环境.报告明确校心业务、优先次序、美饿过程以及可接受故田更国以及恢变优先顺序等内容(1分八24.b)制定业务连续性计划卬方窠,并在方案中制定演足行业规定的业务连续性指标:a)2f看业务连嫉性计划和方案,有:务连蛾性计划和方案(0.5分):b)隹骞业务立埃性方案,业务逐绘性方案中的内容包含行业规定的业务连城性指标.以及根据业务或要性确定恢M优先嫉和恢亚策站(0
40、.5分):C)过看业务连续性演练内容,根蛆连续性计划和方案开展演糠.识别业务煌枚性风险,并根据14IM优业务连桂性计划和方案U分).2表B.6业务连续性安全能力族所含蛆件得分示例(续)序号能力超件能力等圾揖标项评估方法指标项分例10.b)具右对关联业务的反烙断能力.碓确保舅谟”;息珞砒设施在面院网络攻击时关键业务正常运行,关联业务可持续为关at信息基础设施业务提供服务I较行刚度策略等文档和实际环域,评估系统的反熔新能力.1.在收防演练成HJJU攻防测试中.系统遭受攻击保持关健业务的正常运行,并且关联业务持线为关员业务坦供IK务.杳。攻劭潴嫁相关报告佐证反络厮能力(2分).211.C)能实现系精
41、侬钾性.能通过出议、系统配置诚者软件硬件的应用实现网络拓扑结构的分区分域源性策略:使Pllll如网络交换机、路由调度算法、路径多样性、流控制.实现网洛拓扑洁构的弹性HMtQ直行制履策略等文档和实际环境,有系统拨弹性的设计能力,ftWfIH的设计方案I1.方案可落地(1分1.)我看则收谊略等文档卬实际环境.可以通过技术插推落地廉统坤性役it.也议、系统比照或存软件蟆件的应用实现网用拓扑站构的分区分域井性邀略(1分);C)会所制收读电等文档和实际环境,通过M络交换机、路由调度算法、路径多样性、流拉则实现网络拓扑架杓的邦性健力.01以根掂相关训备的代毁进行验证”分).312.d)能提供极奴情况卜关B
42、t业务运行所需必要的基洲设值责源.tD:网络贵源、计算货源、存站贷源、电力资淑等.H)杳而制1狗略等文档,有假限情况下关Bt业务所需的恭自谀插资源济m.清单包畲网络资源、计算资潴.在褚资源、电力资源等内容(I分h1)食行按黑极架情况下小针务所甯的延砒设篦赞源沛单.匹配的基础资淑H条他资源在演战中进行验证可以使用,食价演练报告进行验证(2分).313.战略保护城在极限情况下,关联业务被攻击时仍能界注为关键业务提佻服务.以保障关at业务正常运行IG造后制度饺郎等文档和实际环境.行些丁关爱业务流程、成用和数如Ift可用和安全性的以活切换方案与设计(2分1:1)奇石制收该略等文档和实际环境,可以根据极
43、据攻防演拣情况.确保造受各类攻击时业务、应用、数据和安全堆瓶有效性并可实时切换.直行报告与切换记求并进行验证(3分).5听含蛆件得分示例(续)评估方法指标项分例a)查看极仪情况下的业务连续性安全性忖洋细力窠与计划.方案与计划符介业务场景(2分):h杳有相关记聚等文档,在演故、攻防模拟或者实际M件中验i业务迷被性与安全性受影响程15.根据相关报告进行质证,如果受曲响则证明方案和落物存在间翅.需要调优.奇折近年有无任何业务中断或者被攻击彬响业务的事件,如存在则则证明ISRI连缴性方案存在问电(3分).5Q责看灾品和恢U方案或计划.灾得和恢复方案或计划符合关班业务。运营者实际运能环境(2分),b)杳看灾备和恢也方案计划的实际运行情况可以按煦计划进行铁史W落地(2分);O宜而对灾符何快复计划进行优化和冏优,资布调优记录(2分八6it查希验证记录,可以通过沙盘推演、桌面推演或模拟攻击迸行脸证,判断火推恢更的能力,德保生产业务不可用时,招份系统可以接替生产系然全取能(2分).4a)关改信用基础设械有hI双活能力.老希灾腺品份饮处的设if与四地三中心的设计(5分):fi力主中心与备份中心业务切换记录,确认不出响数据靡务(5分).10表B.6业务连续性安全能力族f序号能力Jfl件
