《關鍵信息基礎設施安全保護條例》(以下簡稱“《條例》”)正式發布,并確定于2021年9月1日起施行。
在《條例》全文正式發布的當日,我們曾對其核心要點進行過分析和解讀,在這里先快速回顧一下。一是《條例》不僅明確了關鍵信息基礎設施(以下簡稱“關基”)的定義,還明確了認定的主體和認定方式;二是關基的主管部門及其相應的職責被明確,其中包括工信部、網信辦、公安部等部門都在其中;三是明確了關基運營者的合規制度建設義務和主體責任,明確要建立健全網絡安全、數據安全、個人信息等相關保護制度;四是針對具體的漏洞挖掘、滲透測試等活動提出了特殊要求和規定。
如今,距離《條例》正式施行剛好滿一年,那么在這一年中,《條例》對于網絡安全行業的促進都有哪些體現?對于用戶側有著什么樣的影響?在《條例》施行的前后,在安全建設方面的關注點有了哪些變化呢?帶著這種種問題,我們特別連線了兩家我國在相關領域安全建設中的佼佼者——威努特與天地和興兩家企業,看看他們對《條例》推出前后的一些變化是如何看待的。
監管力度持續加強
關基保護建設成為“一把手工程”
威努特認為,《條例》提出一個總綱,明確了界定保護范圍及原則目標,對于用戶而言更加清晰;尤其是針對能源、電信等關鍵信息基礎設施,明確確立為國家優先保障重點。其次,《條例》設立了監管機制及認定機制,同時明確了關基運營者的責任和義務,既壓實了關鍵信息基礎設施運營者的主體責任,同時也規定了網信部門、公安機關等機構的責任,進一步明確網絡安全檢測的常態化。這些方面的明確,有利于用戶更清晰地了解關鍵基礎設施網絡安全的建設、維護、檢查等全面運行模式,也了解各方應承擔的法律責任。
談及《條例》施行這一年來,對我國網絡安全行業的促進這一話題時,威努特從政策、意識以及監管三個層面分享了他們的觀點。
//在政策層面,在政策層面,《條例》的發布讓關鍵信息基礎設施安全保護做到了有法可依,并且隨著“三法一條例”的陸續出臺實施,我國整體網絡安全領域法律法規的體系逐步地完善,條例中,涉及國家基礎信息、重要數據、個人信息、違法信息的治理都給予了極高的關注,不同行業主管單位也在積極構建企業自身的安全體系;
//在意識層面,部分領域、行業的網絡安全防護意識進一步的提升,主管單位負責人的網絡安全責任感也進一步得到了提升,網絡安全人才的結構也在進一步優化;
//在監管層面,關鍵信息基礎設施主管單位對于企業安全防護能力建設的監督檢查、對企業網絡存在的漏洞、風險進一步進行了多環節,多角度的監測,監管力度在持續加強;
針對同樣的話題,天地和興的專家則從需求側和供給側兩個角度進行了分析。
首先是需求側方面,由于《條例》明確了關基運營者如因防護不到位將受到嚴厲懲罰,可以說徹底扭轉了不少關基運營者在相關安全建設方面抱有70分萬歲的心態,而是要轉而以實戰的心態去開展網絡安全建設和運營,同時,《條例》的施行,更是讓關基相關安全建設上升為“一把手”工程,促進了關基運營者在重視程度以及資源投入方面相比此前都有了大幅的提升。
同此前相比,用戶在預算以及組織層面不再聚焦于少數幾個系統的等保測評相關工作,而是更側重于主動防御、聯防聯控的網絡安全體系,而且在這一過程中,更重要的是在于關基運營者在網絡安全建設方面的思路發生了轉變,從以往的重建設輕運營轉變為建設與運營同等重要,需要從規劃設計、建設實施、運營優化來整體考慮,真正落實了《網絡安全法》和《條例》的三同步要求。
具體到產品、解決方案的需求層面,也伴隨著發生了不小的變化,早就被認定為難以滿足需求的“三大件”時代徹底遠去,SIEM和SOC已經成為了標配,零信任、SASE等新興技術也在該領域快速發展,同時包括5G安全、AI安全、虛擬化安全等多個場景的安全建設也都被納入到關基運營者需重點考慮的范圍。
其次是供給側方面,《條例》的落地使得原來以政策合規為主的網絡安全產品服務市場,逐步轉向在滿足等保合規的基礎上能夠具備應對網絡安全實戰攻擊的安全技術產品,既考驗著供給側的產品技術能力,也考驗著其綜合服務能力。
關基行業領域相關執行標準仍有欠缺
風險評估及應急演練應當常態化
通過上述內容我們可以看出,《條例》推出后,對于整體行業以及關基運營者在相關防護體系的建設思路上、實際行動上都有了很大的促進,比如行業客戶對于網絡安全建設越來越關注,相關的主管部門越來越重視相關資金投入,尤其是安全防護能力建設方面,從安全設備部署查漏補缺到整體安全解決方案設計。但同時,我們也看到在具體落實層面仍存在有待加強之處。
天地和興認為,由于受到企業自身數字化轉型進度、安全建設能力的不平衡影響,再加上《條例》的基本要求仍然不夠細化,且沒有明確針對不同行業的執行標準,導致《條例》在執行、落地過程中,企業對于如何執行以及執行的重點方面缺乏一致的認知,比如哪些企業是屬于關基保護的范疇?保護到什么程度?這些在執行層面的細節部分如果不夠明確,那么企業在執行過程中就會存在一定的偏差,而推進的進度以及保護的力度方面也會出現不一致的情況。
關于關鍵信息基礎設施行業領域尚欠缺執行標準這一點,威努特也表示認同,并同時針對用戶側方面體現出的不足提出了相關的改善建議,具體有如下3點:
● 1. 網絡安全風險評估是開展網絡安全建設的基礎,尤其是涉及行業關鍵信息基礎設施,要有優先開展安全風險評估,并將風險評估作為一個常態化的動作,每年至少一次風險評估。
● 2. 常態化進行行業關鍵信息基礎設施安全事件應急演練,保證一旦出現網絡安全事件,能夠有條不紊的開展應急響應工作。
● 3. 行業關鍵信息基礎設施單位應重視對企業自身資產的梳理,識別企業關鍵信息基礎設施的類別并形成關鍵信息基礎設施資產列表,通過常態化的風險評估,實時掌握企業自身資產的風險情況。
關基運營者不應止步于“合規”
要從實戰角度出發做好安全建設
作為網絡安全市場的重要推動力,“合規”是一個不能繞開的話題,每當新的法律法規等相關政策的出臺,都會引起業內的廣泛討論,那么在《條例》施行后,從合規的角度看,關基運營者最應該關注哪些方面呢?
面對這個話題,天地和興指出,關基運營者應能夠確保關基保護閉環,從識別和梳理自身的重要業務和資產開始,梳理可能存在的攻擊路徑,以實戰的角度去部署產品技術、落實管理制度和安全策略,并加強監測預警和檢測評估工作,能夠及時的發現存在的隱患和可能的攻擊,同時能夠針對已經發生的攻擊或安全事件能夠及時響應和處置。
威努特則進一步指出,對于關基運營者而言,不應僅僅止步于“合規”,合規僅僅是基礎能力基線,更應該關注在合規的基礎上,進一步強化企業網絡安全的風險預測和研判能力、網絡安全的應急響應和安全運營能力。尤其是態勢感知的建設,是非常關鍵的。最終關鍵信息基礎設施保護以防范安全威脅、有效降低安全風險、保障業務的安全持續、穩定運行,實現閉環管理動態化、能力迭代自動化、安全能力流程化、安全運營一體化。
Gartner此前曾表示,許多國家的政府已經意識到,幾十年來,國家的關鍵信息基礎設施一直是一個未公開的戰場,因此大家都紛紛采取行動,要求對支撐這些資產的基礎系統實施更多的安全控制措施。在具體行動上,關鍵信息基礎設施的安全已經成為世界各國政府首要關切的重點,美國、英國、歐盟、加拿大和澳大利亞等國家都成立了“關鍵信息基礎設施部門”,涵蓋通信、運輸、能源、水利、醫療保健和公共設施等領域。在這一形勢之下,《條例》的施行對于我國整體網絡安全乃至國家安全都有著重要的意義和價值,通過上述內容我們可以看出,這一年來,它已經在多個行業、領域產生了積極的影響,我們也相信隨著后續相關政策的不斷細化、完善,將進一步在保障關鍵信息基礎設施安全方面發揮更大作用,為筑牢國家網絡安全屏障提供有力支撐。
更多信息可以來這里獲取==>>電子技術應用-AET<<
