2021年9月1日《关键信息基础设施安全保护条例》(以下简称《关保条例》)正式施行,《条例》明确了关键信息基础设施的范围、职责分工以及保障关键信息基础设施安全的技术和管理要求,推动了我国关键信息基础设施安全保障体系的建设。
时隔一年后,2022年10月12日,国家市场监督管理总局批准发布GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关基保护要求》),于2023年5月1日正式实施。
作为《关基保护条例》施行以来发布的第一个关键信息基础设施安全保护相关的国家标准,标志着对关键信息基础设施的安全防护工作进入新的阶段。以《关基保护要求》正式实施作为契机,安全419特别邀请到了奇安信军团CBG北京总体部负责人顾鑫分享奇安信的观察和见解。
明确多个具象要求
指导关基安全建设进一步落地
顾鑫表示,《关保条例》是2017组织起草,历时4年,到2021年9月正式发布,宗旨是落实《中华人民共和国网络安全法》中关键信息基础设施相关法律要求;而5月1日正式实施的《关基保护要求》作为关基的核心标准,是为了落实《关保条例》当中的要求,在操作层面为各行业部门提供更好的、更具体的指引,特别是《关基保护要求》围绕具体网络安全工作的具体执行逻辑,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六大方面,围绕主要活动和内容给出的要求都很具体,相较于《关保条例》可以指导关基要求的进一步落地。具体来看主要体现在以下三点:
首先是责任落实与安全管理相关的变化。《关保条例》中在明确责任主体时,明确了运营单位主要负责人是本单位关基安全保护工作第一责任人,但在具体落实责任的行动上,只是说明了负责建立健全网络安全责任制并组织落实。
而《关基保护要求》在条例的基础上,分别在安全管理制度、安全管理机构、安全管理人员方面做了更具象的要求。例如在安全管理机构上,不但明确了成立网络安全工作委员会或领导小组,还首次在国标里引入了首席网络安全官的概念,明确了领导班子成员作为首席网络安全官,专职管理或分管关基安全保护工作,这类概念也是极少在国标里出现;
同时,《关基保护要求》还提到了应设置专门的网络安全管理机构、应为每个关键信息基础设施明确一名安全管理责任人、安全管理机构人员纳入本组织信息化决策体系等一系列更明确的要求。这些都有助于关基单位可以更具体、更有效的落实工作;这种具体的落实要求还有很多,例如具体到关基从业人员每人年接受网络安全教育培训的时长也做了要求,要求不少于30小时;
其次是在资产管理方面提出了新要求。所有信息化运行单位都知道资产管理的重要性,围绕资产展开的风险管理是安全管控中特别重要的维度,但实际上,因为云、虚拟化、物联网等新技术、新领域的不断应用,资产管理已经成为了大多数企业的难题,因为不能实时、持续、动态管控资产,网络中存在无法掌控的影子、僵尸、无主、幽灵、沉默等资产,而这些资产由于保护不到位极易引发安全事件,尤其是这些资产与关键信息基础设施相关时,就更加致命。
顾鑫谈到,“我们在学习《关基保护要求》中,欣喜的看到国家标准与时俱进,贴合业务发展,对资产管理提出了动态识别资产变化,利用自动化工具做好资产的配置、漏洞、补丁管理,收敛资产暴露面等要求,这在以前的文件里是没有提及的。对关基保护从业者会有非常明确的帮助。”
第三点是建设实战化的关基安全防护体系。《关基保护要求》在监测预警活动中,要建立事态模型,提前或及时发出安全警示,提高主动发现攻击能力。主动防御活动要主动进行攻击捕获、分析、溯源等,同时开展攻防演习等。上述要求充分表明关基需要建设面向实战的安全防护体系。
确定三大基本原则
顾鑫表示,基本原则是关基保护要求所依据的基本准则,《关基保护要求》的三项基本原则,表现出了相较于其他类似的标准(如《等保基本要求》),具有更先进的理念。具体来看:
第一条原则是以关键业务为核心的整体防控,强调了业务风险与网络安全风险融合理念,在标准中可以找到大量的呼应。其中最具代表性的一条是在第六章“分析识别”的第一项活动中,首次提出了关键业务链的概念。提到业务链,就把安全防控的范畴延申到以业务流、数据流为核心的业务边界,从而打破了传统认知的物理边界或网络边界,这样才能真正的保证关键信息基础设施的安全,也充分切合我国“互联网+”行动和数据化转型的信息化发展大趋势。
第二条原则是以风险为导向的动态防护,强调了关基保护要采用风险导向、要实现动态防护。这切合了近年来奇安信一直在提的一个主题,网络安全是持续的对抗、是人与人的较量,静态的防御措施无法抵挡中、高强度的攻击,所以《关基保护要求》是以等级保护为基础,对关键信息基础设施提出的强化保障要求,而强化要求中,重点就是落实风险导向和动态防护。
在具体条目中,分析识别中特别强调了风险识别与重大变更,因为重大变更也会带来新的风险。而分析识别是开展安全防护、检测评估、监测预警、主动防御、事件处置等后续活动的基础。所以关基保护是从关基业务的风险评估为起始的,这代表《关基保护要求》融入了业界主流的以风险为导向的安全保护思想。
第三条原则是以信息共享为基础的协同联防,宗旨是在主管单位的指导下,建设“群防群控”的关基监测指挥保护体系。从两个维度看,一是要结合《关保条例》,《关保条例》中对网信、公安、保护工作部门、运营者的职责有明确分工,需要各关基保护单位与主管、监管单位共同构建起关基保护监测指挥保护体系。二是,一个关键业务可能由多个运营者的多个关基承载,这些运营者间也要形成信息共享、协同联动的共同防护机制。这样才能提升关键信息基础设施应对大规模网络攻击能力。
实战效果与安全运营
已逐渐成为关基单位的关注焦点
顾鑫谈到,随着网信办、公安部等主管部门陆续发文对关基保护进行规范,各保护工作部门也迅速行动,发布关基认定办法或标准,组织关基认定,形成行业关基名录,一些走在前面的行业都开始了关基保护的试点工作。
他表示,近两年在于关基用户的交流过程中经常会听用户谈到两个词:
第一个词是实战。关基保护的核心是主动防御,是对抗,是在实战中证明自己,所以实战这个词会被反复提到。很多关基用户都很关心,目前保护关基的安全体系是不是真的可以抵御中高级别攻击,还有什么风险目前没有关注到,希望通过实战攻防演习等方式进行安全性测试,让问题提前暴露出来。
在攻防演习的过程中也发现了大量隐患、问题,有的是老问题,例如资产不清导致管控漏洞、老旧系统导致业务漏洞,但也有很多随着业务发展产生的新问题,比如系统陆续上云后,云下的安全措施无法移植到云上,同时还有一些以前很少被关注的问题,比较典型的例子的应用安全领域的API接口安全,API接口是应用之间互通的必要组件,如果存在风险例如可被任意调用,会是巨大的安全隐患。
当这些问题可能造成的后果通过攻防演习的方式暴露在主管领导或是《关基保护要求》提到的首席网络安全官面前时,会极大的触动主管单位的神经,问题相对聚焦、明确的,就开展的针对性整改,但大多数企业需要采用另一种模式开展工作,就是发起网络安全规划项目,会以零事故为目标,结合业务发展,通过安全规划系统性梳理安全风险、安全需求,形成适合关基保护的实战化安全体系框架,并形成具体工程任务,通过具体工程任务的解决方案分阶段落实安全工作,最终形成可真实对抗攻击的实战化安全防御体系。
第二个词是安全运营。“因为在前期,网络安全运行工作还是更多集中在运维,以设备巡检、日常运维为主,安全事件的处置更多是出了事之后,在找人应急。近些年,尤其是网络安全法及关基条例出台后,在结合国内外网络安全形势及本单位面临网络安全现状,大家都意识到网络安全从来都是不宣而战,随时可能被攻击,并且有时候数据丢了自己都不知道,网络安全基础建设较好的关基单位就迅速的从安全运维向安全运营转变了,会制定安全责任矩阵来落实各部门、各岗位的网络安全责任,并建设合理的组织结构,以安全运营平台或态势感知平台为基础,开展面向事件的安全运营工作,实时监测告警、发现攻击,持续提升安全系统、平台、及人员的实战化安全运营能力。”
资源投入占比低、常态化能力不足
关基安全建设仍然存在现实问题与挑战
从上述顾鑫谈及的部分我们能够感受到,《关保条例》施行以来,对行业的促进作用已经显现,也推动了关键信息基础设施相关安全建设水平的提升,但同时,我们也应看到这期间所仍然存在的一些问题。
针对这一话题,顾鑫表示,从目前看,虽然各关键信息基础设施运营者开始行动起来了,但是在关基保护上还存在不少问题,主要有以下几点:
一是资源投入问题。在公安部1960号文和网信8号文均要求保证关基保护投入。《关基保护要求》的正式实施,必然会引起关基保护整改建设潮,但从目前看,各关基运营者在今年的预算中包括关基保护预算的并不多,有些即使有也不足以支撑关基改造。除了财力投入外,人员投入也不足。从数据上看,美国在网络安全的投入资源占用整体信息化投入的10%,而国内目前的安全占比仍在3%以下。
二是部分单位常态化能力不足。许多运营者在监管单位或上级部门组织的实战攻防演习中搞突击,演习前搞一场运动,有风险的业务不是整改,而是在演习期间关停,过程表现优异,但演习结束后,运营人员撤出了,下线有风险的系统回来了,又回到了解放前,这会带来极大的风险。
三是体系化能力缺失。安全建设没有总体规划,以“零散”建设为主,存在安全能力烟囱、能力重叠和能力缺失的情况,没有形成木桶原理;
四是实战化问题。部署了大量安全设备,有防御的,有告警的,看起来虚假繁荣,但告警每天几万乃至几十万条,没有人能实时监测分析,海量告警日志因为无法实时分析,只能作为事后审计的数据;防御设备都有,但设备的安全规则年久失修,积劳成疾,平时防一些基础的扫描行为还可以,一旦遇到专项打击,策略起不到防护作用。
针对这些现实问题,《关基保护要求》标准从分析识别、安全防护、检测评估、监测预警、主动防御、事件处理六个方面按工作推进逻辑系统的覆盖了与按去工作相关的六个领域,提出了明确的安全控制措施,来指导关基单位针对性的提升安全能力。
但顾鑫也指出,在标准落地上,不能简单粗暴的拿来主义、逐条落实,需要采用系统化的思维进行安全体系的审视和设计,与关基业务相结合,形成科学、完整、有效的安全保障体系,并持续通过安全运营保障安全体系的有效运转。才能切实解决安全问题、有效落实《关基保护要求》。
在采访最后,针对关基运营者来说,应该从哪些方面加强安全能力建设,更进一步提升自身安全防护水平的话题,顾鑫给出了5个方面的建议:
一是关基保护,责任先行。《关基保护要求》已经非常明确的给出了主导责任,主导责任要落实,并在主导责任的基础上,全面落实各领域、岗位的安全责任,建立责任矩阵,因为“安全”不是独立存在的,是一个附属属性,所以,需要各相关部门、相关人员,都要承担起本岗位应该有的安全职责,实现责任到岗、责任到人。
二是落实关基,规划优先。关基保护不能遵循以前的合规思路,对照《关基保护要求》,逐条查找能力差距的方式是做不好关基保护的。因为木桶原理大家都知道,关基保护得好不好不是由能力强项决定的,反而是由弱项决定的。需要先以业务为核心梳理系统范围,通过风险评估对关基做个全面的诊断,然后制定关基保护规划,合理规划建设顺序、并逐步落实。
三是建立能力导向、架构驱动的新安全体系。通过风险管控,将多源、动态、零散的需求映射到统一标准的安全能力体系中,形成体系化作战模式,整体视角解决问题;在能力构建上,将安全能力组件化,分布融入数字化业务各方面,实现信息化系统及基础设施本质安全,避免“两张皮”;并通过内生安全的方法指引新安全体系建设,内生安全系统工程,就是把安全能力内置到业务系统中,感知、响应对业务系统和数据的任何破坏行为,真正做到“事前防控”。达到1+1>2的“涌现”效果。
四是建设实战化安全运营体系。构建关基全方位无死角的监测预警与处置能力。重点强调一下这里说的是能力,而不是措施,是由制度、流程、SOP、技术措施加上各个岗位合适的人员而体现出来的实战化运营能力。为什么强调全方位,因为于关基保护来说,我们防护的对象是基于业务梳理的架构,需要采用纵深防御的思路研究边界的定义与各业务单元的定义,并在此基础上,结合安全风险,设置安全防护控制点与安全监测点,避免出现攻击看不见、事件不能及时处置的情况。
五是构建政企防御+国家网空对抗协同的“双体系”。实现国家网络空间防御能力是一个复杂的系统工程,需要在统一的框架下,在充分考虑国家级网络空间防御能力与企业级的网络空间防御能力的同时,还需要充分考虑之间的相互关联。要用系统工程的方法进行设计,并通过体系化的工程建设来实现国家网络空间安全防御能力。
顾鑫表示,奇安信作为新一代网络安全领军者,在国家关键信息基础设施保护的大背景下,奇安信会关注全球网络安全态势变化,紧跟国家网络安全策略,结合奇安信多年的网络安全实战经验与冬奥的零事故积累,为各关基单位的网络安全建设与运营提供全方位的规划设计、解决方案、产品体现于运营服务。通过安全咨询规划,为关基单位提供体系化的安全规划;通过纵深防御方案、零信任方案、数据安全方案、云安全方案、应用安全方案、端点安全方案、安全运营方案等各类专项解决方案,提供标本兼治的专项治理办法,系统化落实局部难题;通过奇安信完整的网络安全产品体系与技术能力,为用户提供全面、有效的技术支撑;并通过强大的实战攻防能力,在攻防演习、风险评估、安全运营和应急响应中提供专业的服务保障。