前言
自中央網絡安全和信息化領導小組第一次會議上,習近平總書記指出“要抓緊制定立法規范,完善互聯網信息內容管理、關鍵信息基礎設施保護等法律法規”以來;國家陸續出臺《網絡安全法》、《數據安全法》、《網絡安全審查辦法》等,引領我國網絡空間安全治理邁入依法治網、依法管網、依法護網、依法用網的法制化時代。
《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)的正式實施,標志著我國網絡安全保護邁進了以關鍵信息基礎設施安全保護為重點的新階段,對保障國家安全、經濟發展和社會穩定,以及推進信息化建設具有十分重要的意義。
01 網絡空間安全形勢嚴峻
關基設施安全受到威脅
導致關鍵服務運行中斷:2015年12月,烏克蘭配電公司約60座變電站遭到網絡攻擊,其首都基輔和烏克蘭西部的140萬名居民遭遇數小時停電;
導致通信基礎設施癱瘓:2016年10月,美國域名服務器管理機構Dyn遭到Mirai病毒攻擊,眾多網站無法訪問,美國大半個互聯網癱瘓;
導致大規模供應鏈中斷:2021年5月,美國最大成品油運輸管道運營商Colonial Pipeline公司工控系統遭勒索病毒攻擊導致停機,造成近100GB數據竊取及成品油運輸管道運營中斷。
全球多起基礎設施和重要信息系統遭受網絡攻擊事件頻發,引發了全球各國對加強關鍵信息基礎設施安全保護的思考。
02 關鍵信息基礎設施安全保護
作為各國網絡安全戰略重要一環
美國自1998年頒布《克林頓政府對關鍵基礎設施保護政策》以來,先后實行了《關鍵基礎設施信息保護法》《增強關鍵信息基礎設施網絡安全框架(CSF)》《改善關鍵基礎設施網絡安全的框架》等20余項保護政策,就關鍵信息基礎設施安全的識別、安全保護框架、安全評估要求及規范等諸多方面進行標準化布局,推動建立了防護完善的安全保護體系。
歐盟自2004年“歐盟關鍵基礎設施保護規劃”啟動以來,陸續出臺《網絡與信息安全指令》《識別關鍵信息基礎設施服務和資產的方法論》《關鍵信息基礎設施領域的物聯網安全基線指南》等多項政策,全面強調關鍵信息基礎設施保護的重要性,實行以風險管理為基礎的安全治理策略。
我國伴隨著《條例》的出臺,也加快了關鍵信息基礎設施安全標準體系的建設工作,包括《關鍵信息基礎設施安全保護要求》《關鍵信息基礎設施安全檢查評估指南》《關鍵信息基礎設施安全控制措施》《關鍵信息基礎設施信息技術產品供應鏈安全要求》等相關標準,就關基設施安全保護的基本要求、檢測評估的流程指南、應急演練協同機制等內容為運營者提供了重要技術基礎。
關鍵信息基礎設施安全保護能力的提升不僅要依靠資金投入、技術提升等,更離不開政府的高度重視和政策支持,通過對法律法規等制度體系的健全完善來牽引整體保護能力的不斷提升,已成為國際社會普遍共識。
03 關鍵信息基礎設施
安全保護體系的構建
1.關鍵信息基礎設施的界定
關鍵信息基礎設施(又稱CII),《條例》第二條就關鍵信息基礎設施的范圍進行了定義,同時在第二章“關鍵信息基礎設施認定”中明確指出保護工作部門結合本行業、本領域實際,制定關鍵信息基礎設施認定規則,并報國務院公安部門備案。
目前相關的認定標準如《CII要素識別指南》、《信息安全技術 關鍵信息基礎設施邊界確定方法》等已經在制定中。根據法規文件及專家解讀,關鍵信息基礎設施認定規則主要考慮下列因素:
● (1)網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度;
● (2)網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度;
● (3)對其他行業和領域的關聯性影響。保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知運營者,并通報國務院公安部門。
2.各方職責的明確
對于關鍵信息基礎設施的監管體系《條例》提出了分類分層的監管模式:國家層面由國家網信部門(國家工業和信息化部)負責統籌協調,協調網絡安全信息的共享以及各部門對關鍵信息基礎設施的網絡安全檢查檢測工作;國務院公安部門(公安部)負責指導監督工作,從保證國家安全角度出發,包括負責規則備案、匯總基礎設施名單、收集重大網絡安全事件和網絡安全威脅信息、對基礎設施進行網絡安全檢查檢測等工作;國務院電信主管部門(國家工業和信息化部)負責行業關鍵信息基礎設施安全保護和監督管理工作(如匯集基礎電信網絡實施漏洞探測、滲透性測試等活動情況)。
地方層面則由省級人民政府有關部門進行保護監督管理工作。
3.重點保護方法論
參照《信息安全技術 關鍵信息基礎設施安全保護要求(報批稿)》等標準,關鍵信息基礎設施安全保護制度應建立在網絡安全等級保護體系基礎上,著眼分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等重點活動的建設,并圍繞關鍵信息基礎設施網絡安全風險識別到處置進行閉環管理,其體系框架如圖1所示。
圖1 關鍵信息基礎設施安全保護體系框架
(1)分析識別:圍繞關鍵信息基礎設施承載的業務,開展業務識別、資產識別、風險識別等活動,為后續環節開展工作打下基礎;
(2)安全防護:根據已識別的相關信息從安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全通信網絡、安全計算環境、安全運維管理、供應鏈安全保護、數據安全防護等方面進行安全能力的建設加固;
(3)檢測評估:對安全防護環節的安全措施有效性進行驗證,定期開展相關活動;
(4)監測預警:制定實施網絡安全監測預警制度,及時對安全事件做出響應;
(5)主動防御:在減少暴露面的同時,采取誘捕、溯源、干擾和阻斷等措施主動發現網絡攻擊事件;
(6)事件處置:對網絡安全事件進行報告和處置并采取相應的應對措施。
04 關鍵信息基礎設施
安全保護工作的思考
《關鍵信息基礎設施安全保護要求》(報批稿)是基于《網絡安全法》和《條例》,在網絡安全等級保護制度基礎上,結合我過現有網絡安全保障體系成果,從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等環節,提出可落地的安全保護要求。
01 以“三同步”為核心,建章立制夯實責任
《條例》在第十二條中明確提出 “安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用”,奠定了“三同步”作為關鍵信息基礎設施網絡安全合規建設的原則和前提要求,在實踐中我們建議通過安全規劃前置、安全建設同步和持續的安全運營來真正落實“三同步”原則。
02 以風險管理為導向,建設動態防御機制
不同環境場景下關鍵信息基礎設施所面對的安全威脅呈現動態變化,需要根據關鍵信息基礎設施的業務特點、網絡特征及面臨的安全威脅,構建動態的風險監測和安全防護措施,形成動態的安全防護機制,根據面對的安全風險進行動態調整,以及時有效的應對安全風險。
首先,運營者應自行或委托第三方機構進行關鍵信息基礎設施安全檢測評估,評估工作每年至少進行一次,并對發現的問題及時整改。其次,運營者應建立常態、快速的監測與響應能力,并與內外部組織和人員積極聯動情報、預警及處置措施。同時,運營者應重點加強在實戰方面的建設,包括落地攻擊捕獲、干擾、阻斷、封控等技術手段,定期開展攻防演練。
03 以信息共享為基礎,健全聯防聯動體系
情報信息作為安全決策的基礎,在現在的網絡空間安全防御體系中占據著重要位置。《條例》第二十三條強調“國家網信部門統籌協調有關部門建立網絡安全信息共享機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享”。需要打通不同安全設備間的信息壁壘,建立以威脅情報驅動的安全能力,實現整體網絡的聯防聯動,提升面對大規模網絡攻擊的防范能力。
04 關注潛在安全風險,加強特殊場景安全
《條例》中提到:“運營者應當優先采購安全可信的網絡產品和服務;采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查”,“履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度”。為維護關鍵信息基礎設施安全防護的安全可靠,應加強其在供應鏈安全、數據安全兩方面的安全建設。
05 小結
關鍵信息基礎設施安全保護體系作為網絡安全體系中的一部分,隨著后續其配套制度和標準逐步發布,關鍵信息基礎設施安全保護勢必成為企業不可或缺的安全合規內容。而如何做好完善的關鍵信息基礎設施保護體系,積極配合相關部門開展關鍵信息基礎設施的認定和保護一直都是業內關注探討的問題。希望本文能夠給各關鍵信息基礎設施運營者在相關安全工作建設提供借鑒和思考。
更多信息可以來這里獲取==>>電子技術應用-AET<<
