SL-水利网络与信息安全建设技术规范编制说明.docx

附件3水利网络与信息安全建设技术规范（征求意见稿口送审稿报批稿）编制说明主编单位（签章）：水利部信息中心2019年9月29日编制说明一、工作简况（一）任务来源2017年6月1日，中华人民共和国网络安全法正式施行,其中规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。目前，水利行业各单位开展信息系统的网络与信息安全体系建设主要依据信息安全技术网络安全等级保护基本要求等相关标准,对于水利关键信息基础设施重要组成部分的水利工程控制系统网络安全体系建设由于没有行业标准，完全凭建设单位意愿，建设内容不规范，随意性很大，未达到网络安全防护的相关要求。国家对关键信息基础设施网络安全提出了明确目标，但是如何达到这些目标特别是水利关键信息基础设施如何达到要求没有给出明确的方法，在实际操作中难以把握。因此急需出台水利关键信息基础设施网络安全建设技术规范，针对水利关键信息基础设施实际情况,结合当前及今后一段时期网络安全发展趋势，提出有针对性的水利关键信息基础设施网络安全建设框架、内容及要求等Q2017年，经我中心申请，水利部批准水利网络与信息安全建设技术规范（以下简称规范）制定立项，项目周期两年，于2018年启动了编制工作。其中，由水利部网络安全与信息化领导小组主持该规范制定工作，水利部信息中心承担具体编制任务，参编单位为水利部海河水利委员会水利信息中心。（二）编制过程2018年5月，组建编制组。2018年6-8月，编制组收集国家和相关行业信息安全的政策法规、技术标准等，对水利行业网络与信息安全建设情况进行现场调研，并以调查表形式收集水利行业内相关单位意见。2018年9月-2019年3月，编制组编制工作大纲，并按照大纲起草各章节内容，对各章节统稿，讨论研究、补充调研，形成规范（初稿）O2019年8月，水利部信息中心在北京组织召开大纲审查会。2019年9月，根据大纲审查会意见，进一步修改完善规范（初稿），形成规范（征求意见稿）。二、主要内容及来源依据（一）主要内容本标准依据中华人民共和国网络安全法和国家对关键信息基础设施网络安全的相关要求，遵循网络安全等级保护基本要求等相关标准规范，结合水利关键信息基础设施实际情况，提出水利关键信息基础设施网络安全建设总体要求，设计水利关键信息基础设施网络安全技术体系框架，并从纵深防御能力建设、监测预警能力建设、应急响应能力建设和安全运营能力建设和监督检查方法等方面规定水利关键信息基础设施网络安全建设的内容及技术要求，对水利关键信息基础设施网络安全技术体系规划、设计、建设、运营和监督检查起到较好的指导作用。（二）制定依据1. 中华人民共和国网络安全法2. 水利部关于印发水利网络安全管理办法（试行）的通知（水信息（2019）233号）3. 水利部关于印发水利网络安全任务细化实化方案的通知（水信息（2018）212号）4. GB17859计算机信息系统安全保护等级划分准则5. GB/T22239信息安全技术网络安全等级保护基本要求6. GB/T22240信息安全技术信息系统安全等级保护定级指南7. GB/T25069信息安全技术术语8. GB/T25070信息安全技术网络安全等级保护安全设计技术要求9. GB/T28448信息安全技术网络安全等级保护测评要求10. GB/T28449信息安全技术网络安全等级保护测评过程指南11. GB/T31167信息安全技术云计算服务安全指南12. GB/T31168信息安全技术云计算服务安全能力要求13. GB/T32919信息安全技术工业控制系统安全控制应用指南三、国内外相关标准对比分析1.拟纳入标准的技术先进性、成熟程度各国对关键信息基础设施高度重视，发布了相关政策，欧盟2004年启动“欧盟关键信息基础设施保护规划”、德国2015年德国网络安全法中加强了对关键信息基础设施的保护力度、澳大利亚成立关键信息基础设施保护局，发布保护国家信息基础设施政策等,但并没有明确的技术标准。美国2013年奥巴马政府颁布13636号行政令提高关键信息基础设施的网络安全和第21号总统决策指令提高关键信息基础设施的安全性和恢复能力。在政策文件的指导下，美国国家标准与技术研究院NIST起草了提升关键信息基础设施网络安全的框架规范（FrameworkforImprovingCriticalInfrastructureCybersecurityD,基本思想是基于安全风险，应用于关键信息基础设施领域的安全风险管控的流程，框架核心由五个功能构成，分别是识别、保护、检测、响应和恢复。同时从关键信息基础设施风险管控需求出发，明确了4个级别的框架实现层级，分别是1级（部分实现级）、2级（风险告知级）、3级（可重复级）、4级（自适应级），严谨度和复杂度逐级增加。该框架是也是我国关键信息基础设施相关标准编制参考的主要标准。国家关键信息基础设施安全保护条例我国准备出台已向社会征求意见，征求意见稿中主要是一些原则性要求，需要制定标准规范细化落实。初步阐述了关键信息基础设施的范围、运营者应履行的职责以及对产品和服务的要求，明确关键信息基础设施保护范围，规定运营者安全保护的权利和义务以及其负责人的职责，运营者安全保护,要求建立关键信息基础设施网络安全监测预警、应急处置和检测评估。我国自1999年发布信息安全等级保护系列标准，标准包括计算机信息系统安全等级保护划分准则、信息安全技术信息系统安全保护等级定级指南、信息安全技术信息系统安全等级保护基本要求、信息安全技术信息系统安全等级保护实施指南、信息安全技术信息系统等级保护安全设计技术要求等一系列等级保护相关技术标准，并在全国大范围推广使用近10年，相关技术规范比较成熟，明确了我国等级保护制度在执行过程中的定级备案、建设整改和等级测评各个环节的要求，从安全技术和安全管理两个方面，涉及物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理十个层面的安全控制要求。今年，我国发布了网络安全等级保护2.0标准，更新了上述的标准内容，重新定义了等级保护的保护对象，扩展了基本要求的内容，修订了安全保护的控制框架和相关要求，包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求，涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理各层面的安全控制要求。我国在关键信息基础设施标准编制领域，处于征求意见稿和报批稿阶段的有4个，分别是信息安全技术关键信息基础设施安全保障指标体系、信息安全技术关键信息基础设施安全检查评估指南、信息安全技术关键信息基础设施网络安全保护基本要求和信息安全技术关键信息基础设施安全控制措施，仍处于草案阶段的有5个，分别是信息安全技术关键信息基础设施安全控制评估方法信息安全技术关键信息基础设施服务机构通用要求信息安全技术国家关键信息基础设施信息共享规范信息安全技术关键信息基础设施安全等级保护技术框架和关键信息基础设施网络安全框架。本标准将依据国家关键信息基础设施网络安全相关要求，遵循网络安全等级保护相关标准规范，结合水利关键信息技术设施实际编制，保证技术先进性和成熟。2 .本标准与其他标准的标准名称、适用范围和技术内容的协调性本标准的名称为水利关键信息基础设施网络安全建设技术规范（以下简称技术规范）。适用范围是水利关键信息基础设施网络安全规划、设计、建设、运行管理和监督检查。标准内容的框架结构围绕水利关键信息基础设施网络安全建设中的的共性问题，针对网络安全纵深防御、监测预警、应急响应和运营管理能力建设等给予了明确可操作的规定。三者关系逻辑明确、协调合理。3 .本标准与相关法律法规的协调性本标准依据中华人民共和国网络安全法等法律法规，在其基础上进行细化，与相关法律法规协调一致。四、重大分歧意见的处理经过和依据编制组在编制过程中认为：水利是国家关键信息基础设施的重要行业和领域，应在网络安全等级保护制度的基础上，实行重点保护,也是水利网络安全工作的重点。因此，在大纲审查会上，编制组提出将规范更名为水利关键信息基础设施网络安全建设技术规范，相关内容也只涉及水利关键信息基础设施。专家组认为目前暂时不宜变更，因此，规范的名称和内容暂时不做更改。五、标准中尚存在主要问题和今后需要进行的主要工作水利行业目前仍未确定关键信息基础设施，规范中涉及关键信息基础设施的内容是否适用较难确定，应在水利关键信息基础设施认定规则及水利关键信息基础设施正式发布后，及时更新完善本规范中的相关内容。六、标准实施建议加强本规范的宣传培训、贯彻实施和业务交流等活动，及时对规范实施情况开展跟踪评估，规范水利行业网络安全管理，全面支撑水利信息化工作。七、其他说明事项无