【編者按】
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》頒布以來,引發(fā)產(chǎn)學(xué)研各界廣泛關(guān)注。本刊對工業(yè)控制線系統(tǒng)信息安全技術(shù)國家工程實驗室、網(wǎng)絡(luò)安全企業(yè)、高校、研究院所專家進行了系列采訪,就共同關(guān)心的問題開展解讀。
本期受訪者:
長亭科技資深安全咨詢專家 李凌飛
Q1:關(guān)鍵信息基礎(chǔ)設(shè)施保護與等級保護有何關(guān)聯(lián)與區(qū)別?
從范圍上看,關(guān)?;诘缺?,又高于等保的要求;從原則上看,關(guān)保離不開等保,但等保并不是萬能的;從主要環(huán)節(jié)上看,關(guān)?;诘缺嵤┎糠止ぷ?,同時還需要部署更多方案。
1) 范圍
來看看《關(guān)基條例》正文內(nèi)容。首先是范圍,主要是有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure,CII)的識別認(rèn)定、安全防護、檢測評估、監(jiān)測預(yù)警和事件處置等幾個環(huán)節(jié)。也就是說,涉及:
· 關(guān)保認(rèn)定(包括等級保護工作在內(nèi))相關(guān)工作
· 基于等保2.0,高于等保的安全防護能力
· 年度測評和國家安全檢查工作
· 安全事件的監(jiān)測預(yù)警工作
· 應(yīng)急響應(yīng)工作(應(yīng)急團隊、技術(shù)工具、演練和護網(wǎng)等)
這些工作將貫穿整個CII的聲明周期:規(guī)劃設(shè)計、開發(fā)建設(shè)、運行維護、退役廢棄等階段。
從標(biāo)準(zhǔn)中所應(yīng)用的文件來看,主要還是基于《GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》和《GB/T22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》,也就是說基于等保但高于等保的要求。說直白了,等保三級的要求是基準(zhǔn),必須做到,但不代表你就合格了,此外還要符合關(guān)保中的部分額外要求,這樣才算合格合規(guī)。
《關(guān)基條例》中對CII的定義如下:“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的信息設(shè)施?!笨梢?,基本涵蓋所有重要行業(yè)和有關(guān)民生的系統(tǒng)。
2) 原則
等保中提出了“三同步”原則,即同步規(guī)劃、同步建設(shè)、同步運行。而關(guān)保所要求的保護原則是以下四點:
· 重點保護是指關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護應(yīng)首先符合網(wǎng)絡(luò)安全等級保護政策及 GB/T 22239-2019等標(biāo)準(zhǔn)相關(guān)要求,在此基礎(chǔ)上加強關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)的安全保護。
· 整體防護是指基于關(guān)鍵信息基礎(chǔ)設(shè)施承載的業(yè)務(wù),對業(yè)務(wù)所涉及的多個網(wǎng)絡(luò)和信息系統(tǒng)(含工業(yè)控制系統(tǒng))等進行全面防護。
· 動態(tài)風(fēng)控是指以風(fēng)險管理為指導(dǎo)思想,根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全風(fēng)險對其安全控制措施進行調(diào)整,以及時有效的防范應(yīng)對安全風(fēng)險。
· 協(xié)同參與是指關(guān)鍵信息基礎(chǔ)設(shè)施安全保護所涉及的利益相關(guān)方,共同參與關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護工作。
個人來看,重點防護主要還是基于業(yè)務(wù)的,而且離不開等保2.0,這是網(wǎng)絡(luò)安全工作的基線。關(guān)保不同于等保,對象是CII,而非信息系統(tǒng)。這就可能存在著一個CII上承載著多個信息系統(tǒng),安全防護的方位就要覆蓋每一個系統(tǒng),可能會優(yōu)先保障關(guān)鍵業(yè)務(wù)系統(tǒng),但同時也要做好其他系統(tǒng)的防護工作,尤其是安全隔離。尤其是各系統(tǒng)之間可以互相訪問的情況,那就要像對于關(guān)鍵業(yè)務(wù)系統(tǒng)一樣,對其他系統(tǒng)一視同仁,采用同樣的防護等級。
原則中對于CII還提出了動態(tài)風(fēng)控的要求,這里主要強調(diào)的是業(yè)務(wù)風(fēng)險,不過我想展開說明的是風(fēng)險評估。風(fēng)評本身就是一個類似PDCA的循環(huán)周期,旨在不斷發(fā)現(xiàn)問題,修復(fù)問題,調(diào)整策略。我們開展風(fēng)評不是為了應(yīng)付監(jiān)管或是為了績效走個過場。相關(guān)方應(yīng)根據(jù)自家業(yè)務(wù)和系統(tǒng)的特性,制定自己的風(fēng)評檢查用例,不要總是拿著等保那一套東西,堅持原則,100年不動搖,這在安全領(lǐng)域是不可行的。雖說等保2.0剛剛頒布不久,就目來看,標(biāo)準(zhǔn)要求還可以,但不代表3年后這些用例仍然適合你的系統(tǒng),要知道,國家標(biāo)準(zhǔn)不會在短期內(nèi)進行更新的,等保1.0和等保2.0之間相距了11年。
協(xié)同參與,有點類似云平臺的責(zé)任共擔(dān)原則。對于CII的安全保護,除了運營者(是的,無論如何,最終責(zé)任人終歸是運營方)之外,包括安全廠商、供應(yīng)商、監(jiān)管機構(gòu)都有一定連帶責(zé)任。以往,企業(yè)把這套系統(tǒng)遷移到云上,買了安全服務(wù),那么有關(guān)安全的所有問題和責(zé)任都有云服務(wù)商和安全廠商來承擔(dān),這種做法對于CII并不適用。能夠承建CII的企業(yè),想必應(yīng)該都是大中型企業(yè),我相信如果想做都是能做好的。
3) 主要環(huán)節(jié)
關(guān)鍵信息基礎(chǔ)設(shè)施運營者負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施的運行、管理,對關(guān)鍵信息基礎(chǔ)設(shè)施安全負(fù)主體責(zé)任,履行網(wǎng)絡(luò)安全保護義務(wù),接受政府和社會監(jiān)督,承擔(dān)社會責(zé)任。
圖源:長亭科技
(1) 識別認(rèn)定:運營者配合保護工作部門,按照相關(guān)規(guī)定開展關(guān)鍵信息基礎(chǔ)設(shè)施識別和認(rèn)定活動,圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù),開展業(yè)務(wù)依賴性識別、風(fēng)險識別等活動。
本環(huán)節(jié)是開展安全防護、檢測評估、監(jiān)測預(yù)警、事件處置等環(huán)節(jié)工作的基礎(chǔ)。這一環(huán)節(jié)有點類似于等保定級外加風(fēng)險評估工作,因為涉及到業(yè)務(wù)、資產(chǎn)、風(fēng)險等的識別活動。
(2) 安全防護:運營者根據(jù)已識別的安全風(fēng)險,實施安全管理制度、安全管理機構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計算環(huán)境、安全建設(shè)管理、安全運維管理等方面的安全控制措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全。本環(huán)節(jié)在識別關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險的基礎(chǔ)上制定安全防護措施。
這塊就回到了基于等保實施防護工作,由于目前CII相關(guān)配套標(biāo)準(zhǔn)和要求不夠完善,外加等保2.0作為國家網(wǎng)絡(luò)安全對于企業(yè)的基線要求,在未來一段時期內(nèi),仍會通過等保標(biāo)準(zhǔn)來開展部分關(guān)保工作。
(3) 檢測評估:為檢驗安全防護措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險隱患,運營者制定相應(yīng)的檢測評估制度,確定檢測評估的流程及內(nèi)容等要素,并分析潛在安全風(fēng)險可能引起的安全事件。
企業(yè)安全自查和風(fēng)險評估(包括風(fēng)控在內(nèi))的工作,雖說監(jiān)管方面要求一年至少一次,但大家還是根據(jù)實際情況來決定。比如今年風(fēng)評做完后,對于不可接受風(fēng)險進行了修復(fù),沒過多久系統(tǒng)又被黑了,這就需要再次對企業(yè)的系統(tǒng)進行更細致的評估。
(4) 監(jiān)測預(yù)警:運營者制定并實施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度,針對即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅,提前或及時發(fā)出安全警示。
安全監(jiān)控平臺或者SOC一類的平臺,畢竟目前不是每家企業(yè)都有阿里那種安全團隊和響應(yīng)能力的,如今的態(tài)勢感知平臺和AI還不夠成熟,所以,還是小心為上,嚴(yán)管權(quán)限,最小安裝,將暴露面盡可能減小。經(jīng)常梳理和監(jiān)控企業(yè)IT資產(chǎn),不需要聯(lián)網(wǎng)的就不要聯(lián),沒有業(yè)務(wù)相關(guān)的資產(chǎn)盡量邏輯隔離,做好安全域劃分。時常開展安全意識培訓(xùn)和技能培訓(xùn),有獎有罰。
(5) 事件處置:對網(wǎng)絡(luò)安全事件進行處置,并根據(jù)檢測評估、監(jiān)測預(yù)警環(huán)節(jié)發(fā)現(xiàn)的問題,運營者制定并實施適當(dāng)?shù)膽?yīng)對措施,恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。
這里要求的是兩個方面,一是對于事件的發(fā)現(xiàn)和上報流程,二是對于事件的處置和恢復(fù)生產(chǎn)能力。結(jié)合等保2.0要求,除了業(yè)務(wù)連續(xù)性方面的應(yīng)急預(yù)案外,還要準(zhǔn)備數(shù)據(jù)泄露方面的應(yīng)急預(yù)案。
Q2:條例中為何指出國家要采取措施,優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行?
為了保障國家安全、國計民生和公共利益安全。
《關(guān)基條例》將安全的關(guān)注的角度由“信息保密完整可用”提升到“國家安全、國計民生和公共利益安全”。基礎(chǔ)電信網(wǎng)絡(luò)、重要互聯(lián)網(wǎng)基礎(chǔ)設(shè)施等電信行業(yè)網(wǎng)絡(luò)設(shè)施,本身既是關(guān)鍵信息基礎(chǔ)設(shè)施,同時又為其他行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施提供網(wǎng)絡(luò)通信和信息服務(wù),一旦遭到網(wǎng)絡(luò)攻擊和破壞,將會帶來危害國家安全、國計民生和公共利益的風(fēng)險發(fā)生,從這個角度考慮,優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行。
Q3:目前已經(jīng)被列入關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)設(shè)施會不會隨著數(shù)字化進程而動態(tài)調(diào)整?
支撐智慧農(nóng)業(yè),智慧工業(yè)、智慧教育的基礎(chǔ)設(shè)施在未來可能會被納入關(guān)基。
5G、人工智能、物聯(lián)網(wǎng)等數(shù)據(jù)技術(shù)的發(fā)展,必將帶來國內(nèi)各行業(yè)在信息化方面的建設(shè),提升信息基礎(chǔ)設(shè)施在國民經(jīng)濟中的比重,進而提升國民生產(chǎn)生活對信息化的依賴度,數(shù)字化技術(shù)的應(yīng)用。因此個人看來,支撐智慧農(nóng)業(yè),智慧工業(yè)、智慧教育的基礎(chǔ)設(shè)施在未來可能會被調(diào)整為關(guān)基。
Q4:如何做到關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全?關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定對信創(chuàng)產(chǎn)業(yè)發(fā)展有何影響?
依據(jù)《網(wǎng)絡(luò)安全審查辦法》建立網(wǎng)絡(luò)安全審查制度,是保障關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全的基礎(chǔ)手段。另外,條例中的相關(guān)規(guī)定也明確表達了對信創(chuàng)產(chǎn)業(yè)的支持。
針對第一個問題,《網(wǎng)絡(luò)安全審查辦法》要求, 關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國家安全的,應(yīng)當(dāng)按照本辦法進行網(wǎng)絡(luò)安全審查。網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備、高性能計算機和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計算服務(wù),以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。
網(wǎng)絡(luò)安全審查重點評估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險,主要考慮以下因素:
a) 產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險;
b) 產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;
c) 產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性,供應(yīng)渠道的可靠性以及因為政治、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險;
d) 產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況;
e) 其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全的因素。
依據(jù)《網(wǎng)絡(luò)安全審查辦法》建立網(wǎng)絡(luò)安全審查制度,是保障關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全的基礎(chǔ)手段。
第二個問題,《條例》明確規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者“應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”,對信創(chuàng)產(chǎn)業(yè)也表達了明確支持。
Q6:《條例》的頒布為網(wǎng)安企業(yè)帶來了哪些機遇與挑戰(zhàn)?
對于網(wǎng)絡(luò)安全企業(yè)而言,《條例》的頒布是重大利好,特別是對于一些安全技術(shù)創(chuàng)新廠商,以及網(wǎng)絡(luò)安全檢測和評估機構(gòu)。在這一輪更高規(guī)格和要求的合規(guī)升級中,它們能夠享受到政策紅利,獲得更多機會,在推動我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的自主創(chuàng)新,以及網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展方面又進一步提供了新的動力。
《條例》的正式發(fā)布不管是對于關(guān)基行業(yè)還是網(wǎng)絡(luò)安全等行業(yè),其帶來的影響都是非常深遠的。對于網(wǎng)絡(luò)安全企業(yè)而言,《條例》的頒布是重大利好。
《條例》中對關(guān)基的運營者要求“應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估”。這對于安全廠商,特別是安全技術(shù)創(chuàng)新廠商,以及網(wǎng)絡(luò)安全檢測和評估機構(gòu),都是利好政策,在這一輪更高規(guī)格和要求的合規(guī)升級中,享受到政策紅利和獲得更多機會,在推動我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的自主創(chuàng)新,以及網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展方面又進一步提供了新的動力。