【編者按】
《關鍵信息基礎設施安全保護條例》頒布以來,引發產學研各界廣泛關注。本刊對工業控制線系統信息安全技術國家工程實驗室、網絡安全企業、高校、研究院所專家進行了系列采訪,就共同關心的問題開展解讀。
本期受訪者:
長亭科技資深安全咨詢專家 李凌飛
Q1:關鍵信息基礎設施保護與等級保護有何關聯與區別?
從范圍上看,關保基于等保,又高于等保的要求;從原則上看,關保離不開等保,但等保并不是萬能的;從主要環節上看,關保基于等保實施部分工作,同時還需要部署更多方案。
1) 范圍
來看看《關基條例》正文內容。首先是范圍,主要是有關關鍵信息基礎設施(Critical Information Infrastructure,CII)的識別認定、安全防護、檢測評估、監測預警和事件處置等幾個環節。也就是說,涉及:
· 關保認定(包括等級保護工作在內)相關工作
· 基于等保2.0,高于等保的安全防護能力
· 年度測評和國家安全檢查工作
· 安全事件的監測預警工作
· 應急響應工作(應急團隊、技術工具、演練和護網等)
這些工作將貫穿整個CII的聲明周期:規劃設計、開發建設、運行維護、退役廢棄等階段。
從標準中所應用的文件來看,主要還是基于《GB/T 20984 信息安全技術 信息安全風險評估規范》和《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求》,也就是說基于等保但高于等保的要求。說直白了,等保三級的要求是基準,必須做到,但不代表你就合格了,此外還要符合關保中的部分額外要求,這樣才算合格合規。
《關基條例》中對CII的定義如下:“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的信息設施。”可見,基本涵蓋所有重要行業和有關民生的系統。
2) 原則
等保中提出了“三同步”原則,即同步規劃、同步建設、同步運行。而關保所要求的保護原則是以下四點:
· 重點保護是指關鍵信息基礎設施網絡安全保護應首先符合網絡安全等級保護政策及 GB/T 22239-2019等標準相關要求,在此基礎上加強關鍵信息基礎設施關鍵業務的安全保護。
· 整體防護是指基于關鍵信息基礎設施承載的業務,對業務所涉及的多個網絡和信息系統(含工業控制系統)等進行全面防護。
· 動態風控是指以風險管理為指導思想,根據關鍵信息基礎設施所面臨的安全風險對其安全控制措施進行調整,以及時有效的防范應對安全風險。
· 協同參與是指關鍵信息基礎設施安全保護所涉及的利益相關方,共同參與關鍵信息基礎設施的安全保護工作。
個人來看,重點防護主要還是基于業務的,而且離不開等保2.0,這是網絡安全工作的基線。關保不同于等保,對象是CII,而非信息系統。這就可能存在著一個CII上承載著多個信息系統,安全防護的方位就要覆蓋每一個系統,可能會優先保障關鍵業務系統,但同時也要做好其他系統的防護工作,尤其是安全隔離。尤其是各系統之間可以互相訪問的情況,那就要像對于關鍵業務系統一樣,對其他系統一視同仁,采用同樣的防護等級。
原則中對于CII還提出了動態風控的要求,這里主要強調的是業務風險,不過我想展開說明的是風險評估。風評本身就是一個類似PDCA的循環周期,旨在不斷發現問題,修復問題,調整策略。我們開展風評不是為了應付監管或是為了績效走個過場。相關方應根據自家業務和系統的特性,制定自己的風評檢查用例,不要總是拿著等保那一套東西,堅持原則,100年不動搖,這在安全領域是不可行的。雖說等保2.0剛剛頒布不久,就目來看,標準要求還可以,但不代表3年后這些用例仍然適合你的系統,要知道,國家標準不會在短期內進行更新的,等保1.0和等保2.0之間相距了11年。
協同參與,有點類似云平臺的責任共擔原則。對于CII的安全保護,除了運營者(是的,無論如何,最終責任人終歸是運營方)之外,包括安全廠商、供應商、監管機構都有一定連帶責任。以往,企業把這套系統遷移到云上,買了安全服務,那么有關安全的所有問題和責任都有云服務商和安全廠商來承擔,這種做法對于CII并不適用。能夠承建CII的企業,想必應該都是大中型企業,我相信如果想做都是能做好的。
3) 主要環節
關鍵信息基礎設施運營者負責關鍵信息基礎設施的運行、管理,對關鍵信息基礎設施安全負主體責任,履行網絡安全保護義務,接受政府和社會監督,承擔社會責任。
圖源:長亭科技
(1) 識別認定:運營者配合保護工作部門,按照相關規定開展關鍵信息基礎設施識別和認定活動,圍繞關鍵信息基礎設施承載的關鍵業務,開展業務依賴性識別、風險識別等活動。
本環節是開展安全防護、檢測評估、監測預警、事件處置等環節工作的基礎。這一環節有點類似于等保定級外加風險評估工作,因為涉及到業務、資產、風險等的識別活動。
(2) 安全防護:運營者根據已識別的安全風險,實施安全管理制度、安全管理機構、安全管理人員、安全通信網絡、安全計算環境、安全建設管理、安全運維管理等方面的安全控制措施,確保關鍵信息基礎設施的運行安全。本環節在識別關鍵信息基礎設施安全風險的基礎上制定安全防護措施。
這塊就回到了基于等保實施防護工作,由于目前CII相關配套標準和要求不夠完善,外加等保2.0作為國家網絡安全對于企業的基線要求,在未來一段時期內,仍會通過等保標準來開展部分關保工作。
(3) 檢測評估:為檢驗安全防護措施的有效性,發現網絡安全風險隱患,運營者制定相應的檢測評估制度,確定檢測評估的流程及內容等要素,并分析潛在安全風險可能引起的安全事件。
企業安全自查和風險評估(包括風控在內)的工作,雖說監管方面要求一年至少一次,但大家還是根據實際情況來決定。比如今年風評做完后,對于不可接受風險進行了修復,沒過多久系統又被黑了,這就需要再次對企業的系統進行更細致的評估。
(4) 監測預警:運營者制定并實施網絡安全監測預警和信息通報制度,針對即將發生或正在發生的網絡安全事件或威脅,提前或及時發出安全警示。
安全監控平臺或者SOC一類的平臺,畢竟目前不是每家企業都有阿里那種安全團隊和響應能力的,如今的態勢感知平臺和AI還不夠成熟,所以,還是小心為上,嚴管權限,最小安裝,將暴露面盡可能減小。經常梳理和監控企業IT資產,不需要聯網的就不要聯,沒有業務相關的資產盡量邏輯隔離,做好安全域劃分。時常開展安全意識培訓和技能培訓,有獎有罰。
(5) 事件處置:對網絡安全事件進行處置,并根據檢測評估、監測預警環節發現的問題,運營者制定并實施適當的應對措施,恢復由于網絡安全事件而受損的功能或服務。
這里要求的是兩個方面,一是對于事件的發現和上報流程,二是對于事件的處置和恢復生產能力。結合等保2.0要求,除了業務連續性方面的應急預案外,還要準備數據泄露方面的應急預案。
Q2:條例中為何指出國家要采取措施,優先保障能源、電信等關鍵信息基礎設施安全運行?
為了保障國家安全、國計民生和公共利益安全。
《關基條例》將安全的關注的角度由“信息保密完整可用”提升到“國家安全、國計民生和公共利益安全”。基礎電信網絡、重要互聯網基礎設施等電信行業網絡設施,本身既是關鍵信息基礎設施,同時又為其他行業的關鍵信息基礎設施提供網絡通信和信息服務,一旦遭到網絡攻擊和破壞,將會帶來危害國家安全、國計民生和公共利益的風險發生,從這個角度考慮,優先保障能源、電信等關鍵信息基礎設施安全運行。
Q3:目前已經被列入關鍵信息基礎設施的網絡設施會不會隨著數字化進程而動態調整?
支撐智慧農業,智慧工業、智慧教育的基礎設施在未來可能會被納入關基。
5G、人工智能、物聯網等數據技術的發展,必將帶來國內各行業在信息化方面的建設,提升信息基礎設施在國民經濟中的比重,進而提升國民生產生活對信息化的依賴度,數字化技術的應用。因此個人看來,支撐智慧農業,智慧工業、智慧教育的基礎設施在未來可能會被調整為關基。
Q4:如何做到關鍵信息基礎設施的供應鏈安全?關鍵信息基礎設施認定對信創產業發展有何影響?
依據《網絡安全審查辦法》建立網絡安全審查制度,是保障關鍵信息基礎設施的供應鏈安全的基礎手段。另外,條例中的相關規定也明確表達了對信創產業的支持。
針對第一個問題,《網絡安全審查辦法》要求, 關鍵信息基礎設施運營者采購網絡產品和服務,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。
網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險,主要考慮以下因素:
a) 產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;
b) 產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
c) 產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
d) 產品和服務提供者遵守中國法律、行政法規、部門規章情況;
e) 其他可能危害關鍵信息基礎設施安全和國家安全的因素。
依據《網絡安全審查辦法》建立網絡安全審查制度,是保障關鍵信息基礎設施的供應鏈安全的基礎手段。
第二個問題,《條例》明確規定關鍵信息基礎設施運營者“應當優先采購安全可信的網絡產品和服務”,對信創產業也表達了明確支持。
Q6:《條例》的頒布為網安企業帶來了哪些機遇與挑戰?
對于網絡安全企業而言,《條例》的頒布是重大利好,特別是對于一些安全技術創新廠商,以及網絡安全檢測和評估機構。在這一輪更高規格和要求的合規升級中,它們能夠享受到政策紅利,獲得更多機會,在推動我國網絡安全產業的自主創新,以及網絡安全產業發展方面又進一步提供了新的動力。
《條例》的正式發布不管是對于關基行業還是網絡安全等行業,其帶來的影響都是非常深遠的。對于網絡安全企業而言,《條例》的頒布是重大利好。
《條例》中對關基的運營者要求“應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估”。這對于安全廠商,特別是安全技術創新廠商,以及網絡安全檢測和評估機構,都是利好政策,在這一輪更高規格和要求的合規升級中,享受到政策紅利和獲得更多機會,在推動我國網絡安全產業的自主創新,以及網絡安全產業發展方面又進一步提供了新的動力。
