2022年9月1日,我国《关键信息基础设施安全保护条例》(以下简称《条例》)已正式施行一周年,关于《条例》推出并施行的价值和意义,我们不再做过多的赘述,需要指出的是,尽管在2017年6月1日施行的《网络安全法》中规定了关键信息基础设施提供者的相关义务和规则,对关键信息基础设施的网络运营者的责任与义务也做出了特别规定,但总体而言,《网络安全法》的规定较为原则,缺乏细化的措施。
相比之下,《关键信息基础设施安全保护条例》规定的条款内容则更加详尽、方法更具操行性、安全保护标准更严格,而且对《网络安全法》中规定安全检测评估机制等进行了创新,能够更大程度实现互联网领域中关键基础设施的安全稳定运行。
那么现在我们回过头来看《条例》自2021年9月1日以来这一年,相关行业、企业都发生了哪些积极的变化呢?而在具体落实方面又着重体现在哪里呢?围绕着这些话题,我们特别邀请到了专注于工业互联网安全的企业——长扬科技的营销咨询部总经理李庄来分享他们所观察到的一些细节。
《条例》促进国家整体网络安全战略的深化落地
李庄表示,通过《条例》的细则能够明显看到国家、行业监管部门、关基运营者、安全支撑企业等多方力量对关基网络安全的重视程度不断提升,具体来看则主要体现在以下3点:
1、突出了重点保护对象。从等保到关保,保护对象从“全行业”重点突出了能源、交通、水利、公共通信和信息服务、金融、公共服务、电子政务、国防科技工业等行业;尤其是明确了以上企业的工业控制系统,作为影响国计民生的核心生产运行系统,都被定义为关键信息基础设施(critical information infrastructure,CII)进行重点保护。
2、明确了关基保护流程。在网络安全等级保护制度基础上,着眼分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6大环节,围绕网络安全风险全过程闭环管理,建立网络安全整体框架和规定动作。
3、加强了主动防御体系。基于等保2.0主张的“一个中心、三重防护”的纵深防御思想,增加了“主动防御、监测预警、事件处置”等要求,加强对于各类安全攻击行为的监测、分析、处置、溯源、协同、共享、通报、整改等指导要求,实现了对关基安全的立体化安全保障能力,实现了安全管理的闭环。
从上述几点可以看出,这对于各行业的关基运营者在实际落地《条例》的过程中起到了指导、明确、强化的作用,同时也促进了国家整体网络安全战略的深化落地。
关基运营者加强监管与安全能力建设 国产化安全产品需求提升
《条例》的施行,首先影响到的就是那些被划定为关基单位的运营者们,同时也是网络安全行业的甲方用户群体,在通过《条例》明确了自身的责任和义务之后,结合其给出的关基保护重点建设方向,那么相比此前,他们在行动上有着怎样的变化呢?
首先是在管理方面,《条例》施行后,集团型客户明显加强了对下属生产企业的集中监管。
在《条例》的第十二条明确“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”这一要求,对于集团型客户而言,在顶层规划方面就进行工控网络安全总体设计,从而指导集团和下属企业按照“统一规划、统一标准、统一投资、统一建设、统一管理、统一运维(运营)”的模式,着手进行工控网络安全企业标准的设计编写,并通过构建集团测工控安全态势感知平台,做到“摸清家底、认清风险、找出漏洞、及时通报、持续整改”。
其次是在建设方面,关基运营者开始普遍关注和加强对内部组织、人员网络安全能力。
根据《条例》第十五条“按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件”、“组织网络安全教育、培训”;第二十五条“保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助”。
因此,关基运营者除了相关管理制度的进一步完善和加强的基础上,还特别注重强化自身的网络安全能力提升工作,以适应和满足《条例》所提出的要求,并以实战化的角度出发,无论是自己独立完成还是通过以采购专业第三方服务的方式来完成包括制定应急预案、开展应急演练等工作,提升“以攻促防”以尽可能地保证在遭受网络攻击后,能够快速且有效地处置及相应,保障关基设施的正常运转。
最后是在采购方面,用户对于国产化的工控安全产品需求日益提升。
根据《条例》第十九条提到的“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”要求,结合今年2月份新版《网络安全审查办法》的正式施行,共同确保了关键信息基础设施供应链安全、网络安全和数据安全,从而更好地维护国家安全。从行业角度看,国家能源局、水利部、国铁集团等行业主管部门也在行业相关规划中提出要进行“安全自主可控”国产化替代要求。由于我国工业控制系统基础弱,大部分控制系统被国外垄断,在国内外日益严峻的大背景下,工控行业需要逐渐改变过分依赖国外芯片、操作系统的现状,避免出现因为“卡脖子”而影响关基企业运行安全的事件。
对于由政策带动的市场需求变化,国内的安全企业也在积极应对,在沟通中我们了解到,目前长扬工控安全防护产品已经与业内众多生态伙伴实现产品兼容性互认证,包括麒麟软件、统信软件;飞腾、龙芯、申威、海光、兆芯等CPU厂商;长城、曙光、宝德 、联想、浪潮等整机厂商。随着时间的不断推移,我们有理由相信,无论是从国家的政策要求角度还是从实际的安全角度,在技术上自主可控的国产化安全产品市场在未来必将迎来一个快速发展的时期。
《条例》落地过程中仍存在的四大现实问题与挑战
基于上述内容我们可以看出,《条例》施行一年以来,对行业的促进作用已经显现,也推动了关键信息基础设施相关安全建设水平的提升,但同时,我们也应看到这期间所仍然存在的一些问题。针对这一话题,李庄表示,关键信息基础设施是国家重要的战略资源,关系国家安全、国计民生和公共利益,具有基础性、支撑性、全局性作用,保护关键信息基础设施安全是国家网络安全工作的重中之重。在具体落地工作中,仍存在以下现实问题和挑战:
1、关键信息基础设施安全保护法律仍需完善。关基保护要求基于等保高于等保,对于关基运营者来说两者要求都要满足,但《条例》细则中的《CII安全保护要求》和《CII安全检查评估指南》仍未发布,运营者进行关基保护落地缺少细化依据;
2、关基涉及的行业范围广,业务众多,复杂度高。关键信息基础设施涵盖各行业的业务系统众多且复杂度高。目前在各行业关基业务识别认定方面,缺少统一的行业认定标准和规范指引;
3、关基保护工作开展时间相对较短,运营者自身各方意识有待加强。关基保护涉及到从“纵深防御”到“动态防御、主动防御、联防联控”的转变,运营者自身的安全意识认知、人员技术能力、主动监测能力、安全分析水平、事件处置等软能力方面仍需要进一步加强。
4、安全方案和产品“实战”能力不强。关基运营者选用的安全方案和产品缺少在“以攻促防”场景下的实战检验能力,没有发挥真正的防护作用,这一点主要体现在我国一年一度的大型攻防演练活动中,依然会有大量的相关企业被攻陷,暴露出严重的安全隐患。
在我们看来,上述这些问题和挑战也并非是通过一个制度在短时间内就能完全扭转的,随着相关法律法规制度的不断完善和细化,以及我国整体网络安全能力的逐步提升,这些问题和挑战都将会一一化解。
满足《条例》要求需重点关注六方面
从关键信息基础设施安全保护执行落地的六个阶段具体要求来看,“分析识别、安全防护、检测评估、监测预警、主动防御、事件处置”是基于等保2.0“安全技术+安全管理”的增强要求。
那么如何既满足等保合规要求,又符合关基保护要求呢?李庄在这里也为关基行业的运营者(企业)提出自己的建议——需重点关注以下6个方面:
1.分析识别:运营者按照相关规定开展关键信息基础设施分析和识别活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、主动防御、事件处置环节工作的基础。
2.安全防护:运营者根据已识别的关键业务和资产、安全风险,实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。
3.检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。
4.监测预警:运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高关键信息基础设施主动防御能力。
5.主动防御:运营者以对安全行为的监测发现为基础,主动采取诱捕、溯源、干扰和阻断等措施,及时精准预警,实时构建弹性防御体系,避免、转移、降低关键信息基础设施面临的风险的安全措施。提升对网络威胁与攻击行为的认知和应对能力。
6.事件处置:对网络安全事件进行报告和处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
基于上述内容,运营者需要构建一套持续、动态的风险管理方法,实现从关基认定识别、主动防御、到安全风险全过程监测、分析、处置、改进的运营管理平台和保障体系建设,以应对动态的网络安全威胁,将网络安全风险控制在可接受的范围,确保企业自身关键信息基础设施业务稳定、持续运行。