【编者按】
《关键信息基础设施安全保护条例》颁布以来,引发产学研各界广泛关注。本刊对工业控制线系统信息安全技术国家工程实验室、网络安全企业、高校、研究院所专家进行了系列采访,就共同关心的问题开展解读。
本期受访者:
长亭科技资深安全咨询专家 李凌飞
Q1:关键信息基础设施保护与等级保护有何关联与区别?
从范围上看,关保基于等保,又高于等保的要求;从原则上看,关保离不开等保,但等保并不是万能的;从主要环节上看,关保基于等保实施部分工作,同时还需要部署更多方案。
1) 范围
来看看《关基条例》正文内容。首先是范围,主要是有关关键信息基础设施(Critical Information Infrastructure,CII)的识别认定、安全防护、检测评估、监测预警和事件处置等几个环节。也就是说,涉及:
· 关保认定(包括等级保护工作在内)相关工作
· 基于等保2.0,高于等保的安全防护能力
· 年度测评和国家安全检查工作
· 安全事件的监测预警工作
· 应急响应工作(应急团队、技术工具、演练和护网等)
这些工作将贯穿整个CII的声明周期:规划设计、开发建设、运行维护、退役废弃等阶段。
从标准中所应用的文件来看,主要还是基于《GB/T 20984 信息安全技术 信息安全风险评估规范》和《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》,也就是说基于等保但高于等保的要求。说直白了,等保三级的要求是基准,必须做到,但不代表你就合格了,此外还要符合关保中的部分额外要求,这样才算合格合规。
《关基条例》中对CII的定义如下:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。”可见,基本涵盖所有重要行业和有关民生的系统。
2) 原则
等保中提出了“三同步”原则,即同步规划、同步建设、同步运行。而关保所要求的保护原则是以下四点:
· 重点保护是指关键信息基础设施网络安全保护应首先符合网络安全等级保护政策及 GB/T 22239-2019等标准相关要求,在此基础上加强关键信息基础设施关键业务的安全保护。
· 整体防护是指基于关键信息基础设施承载的业务,对业务所涉及的多个网络和信息系统(含工业控制系统)等进行全面防护。
· 动态风控是指以风险管理为指导思想,根据关键信息基础设施所面临的安全风险对其安全控制措施进行调整,以及时有效的防范应对安全风险。
· 协同参与是指关键信息基础设施安全保护所涉及的利益相关方,共同参与关键信息基础设施的安全保护工作。
个人来看,重点防护主要还是基于业务的,而且离不开等保2.0,这是网络安全工作的基线。关保不同于等保,对象是CII,而非信息系统。这就可能存在着一个CII上承载着多个信息系统,安全防护的方位就要覆盖每一个系统,可能会优先保障关键业务系统,但同时也要做好其他系统的防护工作,尤其是安全隔离。尤其是各系统之间可以互相访问的情况,那就要像对于关键业务系统一样,对其他系统一视同仁,采用同样的防护等级。
原则中对于CII还提出了动态风控的要求,这里主要强调的是业务风险,不过我想展开说明的是风险评估。风评本身就是一个类似PDCA的循环周期,旨在不断发现问题,修复问题,调整策略。我们开展风评不是为了应付监管或是为了绩效走个过场。相关方应根据自家业务和系统的特性,制定自己的风评检查用例,不要总是拿着等保那一套东西,坚持原则,100年不动摇,这在安全领域是不可行的。虽说等保2.0刚刚颁布不久,就目来看,标准要求还可以,但不代表3年后这些用例仍然适合你的系统,要知道,国家标准不会在短期内进行更新的,等保1.0和等保2.0之间相距了11年。
协同参与,有点类似云平台的责任共担原则。对于CII的安全保护,除了运营者(是的,无论如何,最终责任人终归是运营方)之外,包括安全厂商、供应商、监管机构都有一定连带责任。以往,企业把这套系统迁移到云上,买了安全服务,那么有关安全的所有问题和责任都有云服务商和安全厂商来承担,这种做法对于CII并不适用。能够承建CII的企业,想必应该都是大中型企业,我相信如果想做都是能做好的。
3) 主要环节
关键信息基础设施运营者负责关键信息基础设施的运行、管理,对关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。
图源:长亭科技
(1) 识别认定:运营者配合保护工作部门,按照相关规定开展关键信息基础设施识别和认定活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、风险识别等活动。
本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础。这一环节有点类似于等保定级外加风险评估工作,因为涉及到业务、资产、风险等的识别活动。
(2) 安全防护:运营者根据已识别的安全风险,实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。
这块就回到了基于等保实施防护工作,由于目前CII相关配套标准和要求不够完善,外加等保2.0作为国家网络安全对于企业的基线要求,在未来一段时期内,仍会通过等保标准来开展部分关保工作。
(3) 检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。
企业安全自查和风险评估(包括风控在内)的工作,虽说监管方面要求一年至少一次,但大家还是根据实际情况来决定。比如今年风评做完后,对于不可接受风险进行了修复,没过多久系统又被黑了,这就需要再次对企业的系统进行更细致的评估。
(4) 监测预警:运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。
安全监控平台或者SOC一类的平台,毕竟目前不是每家企业都有阿里那种安全团队和响应能力的,如今的态势感知平台和AI还不够成熟,所以,还是小心为上,严管权限,最小安装,将暴露面尽可能减小。经常梳理和监控企业IT资产,不需要联网的就不要联,没有业务相关的资产尽量逻辑隔离,做好安全域划分。时常开展安全意识培训和技能培训,有奖有罚。
(5) 事件处置:对网络安全事件进行处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
这里要求的是两个方面,一是对于事件的发现和上报流程,二是对于事件的处置和恢复生产能力。结合等保2.0要求,除了业务连续性方面的应急预案外,还要准备数据泄露方面的应急预案。
Q2:条例中为何指出国家要采取措施,优先保障能源、电信等关键信息基础设施安全运行?
为了保障国家安全、国计民生和公共利益安全。
《关基条例》将安全的关注的角度由“信息保密完整可用”提升到“国家安全、国计民生和公共利益安全”。基础电信网络、重要互联网基础设施等电信行业网络设施,本身既是关键信息基础设施,同时又为其他行业的关键信息基础设施提供网络通信和信息服务,一旦遭到网络攻击和破坏,将会带来危害国家安全、国计民生和公共利益的风险发生,从这个角度考虑,优先保障能源、电信等关键信息基础设施安全运行。
Q3:目前已经被列入关键信息基础设施的网络设施会不会随着数字化进程而动态调整?
支撑智慧农业,智慧工业、智慧教育的基础设施在未来可能会被纳入关基。
5G、人工智能、物联网等数据技术的发展,必将带来国内各行业在信息化方面的建设,提升信息基础设施在国民经济中的比重,进而提升国民生产生活对信息化的依赖度,数字化技术的应用。因此个人看来,支撑智慧农业,智慧工业、智慧教育的基础设施在未来可能会被调整为关基。
Q4:如何做到关键信息基础设施的供应链安全?关键信息基础设施认定对信创产业发展有何影响?
依据《网络安全审查办法》建立网络安全审查制度,是保障关键信息基础设施的供应链安全的基础手段。另外,条例中的相关规定也明确表达了对信创产业的支持。
针对第一个问题,《网络安全审查办法》要求, 关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
a) 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
b) 产品和服务供应中断对关键信息基础设施业务连续性的危害;
c) 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
d) 产品和服务提供者遵守中国法律、行政法规、部门规章情况;
e) 其他可能危害关键信息基础设施安全和国家安全的因素。
依据《网络安全审查办法》建立网络安全审查制度,是保障关键信息基础设施的供应链安全的基础手段。
第二个问题,《条例》明确规定关键信息基础设施运营者“应当优先采购安全可信的网络产品和服务”,对信创产业也表达了明确支持。
Q6:《条例》的颁布为网安企业带来了哪些机遇与挑战?
对于网络安全企业而言,《条例》的颁布是重大利好,特别是对于一些安全技术创新厂商,以及网络安全检测和评估机构。在这一轮更高规格和要求的合规升级中,它们能够享受到政策红利,获得更多机会,在推动我国网络安全产业的自主创新,以及网络安全产业发展方面又进一步提供了新的动力。
《条例》的正式发布不管是对于关基行业还是网络安全等行业,其带来的影响都是非常深远的。对于网络安全企业而言,《条例》的颁布是重大利好。
《条例》中对关基的运营者要求“应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估”。这对于安全厂商,特别是安全技术创新厂商,以及网络安全检测和评估机构,都是利好政策,在这一轮更高规格和要求的合规升级中,享受到政策红利和获得更多机会,在推动我国网络安全产业的自主创新,以及网络安全产业发展方面又进一步提供了新的动力。
