2021年7月30日,国务院发布745号国务院令,公布《关键信息基础设施安全保护条例》(以下简称《关保条例》),自2021年9月1日起施行。2022年10月12日,国家市场监督管理总局批准发布GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关基保护要求》),该标准已于2023年5月1日正式实施。
作为《关基保护条例》施行以来发布的第一个关键信息基础设施安全保护相关的国家标准,标志着对关键信息基础设施的安全防护工作进入新的阶段。以《关基保护要求》正式实施作为契机,安全419特别邀请到了来自工控安全领域的两家代表性企业——威努特和中电安科围绕关键信息基础设施安全建设相关话题分享自身的观察,以期能引来更多的探讨。
相较《关保条例》来看《关基保护要求》做出了哪些更具体的要求和指导?
威努特技术服务部高级总监郭洋介绍,相较于《关保条例》,《关基保护要求》在方向和具体活动方面提出了更为明确的要求和指导。首先是明确了关键信息基础设备安全保护的三个基本原则:以关键业务为核心的整体防控、以风险管理为导向的动态防护和以信息共享为基础的协同联防;其次,明确了关键信息基础设施安全保护的具体内容和活动,包括六个方面:分析识别、安全防护、检测评估、监测预警、主动防御和事件处置。
《关基保护要求》在这六个方面均提出了比较细致的要求,比如新标准提出,安全管理机构要明确关键岗位,并且关键岗位要专人负责,并且配备2人以上共同管理。此外,要求中响应《数据安全法》的要求,指导数据安全防护的落地:建立数据安全管理责任和评价考核制度,编制数据安全保护计划,实施数据安全技术防护,开展数据安全风险评估,制定数据安全应预案,及时处置安全事件,组织数据安全教育、培训;“建立基于数据分类分级的数据安全保护策略,明确重要数据和个人信息保护的相应措施”等等。
郭洋指出,《关基保护要求》相比《关保条例》中规定的条款内容则更加详尽、方法更具操行性、安全保护标准更严格,能够更大程度保障关键信息基础设施的安全稳定运行。
值得注意的是,《关基保护要求》提出了三项基本原则,包括以关键业务为核心的整体防控、以风险管理为导向的动态防护和以信息共享为基础的协同联防。那么,监管侧提出的这三项原则应如何正确理解?
中电安科咨询规划部总经理郭占先表示,这三个原则实际上是从三个维度来指导网络安全的提供者、关键信息基础设施的运营者怎么来对关基设施进行防护。
第一项原则:以关键业务为核心的整体防控。比如说地铁的核心业务就是列车的运行,电厂的核心业务就是发电,相关单位的运营者就应以这些关键业务为核心做防护。做网络全防护建设不应该影响到业务系统的可靠性和可用性,这是一个比较明确的原则,同时也是中电安科安全防护方案过去几年一直强调的一个核心。
第二项原则:以风险管理为导向的动态防护。“近年来,信息化和工业化进行了高层次的深度结合,当前很多关键信息基础设施实际上都是两化融合的产物。之前我们可能用过防火墙,把控制网跟办公网、办公网跟互联网隔离开。技术的发展造成了很多关键信息基础设施的工业控制网跟办公网被迫打通,甚至一些工业控制网还与互联网相打通。”因此第二大原则明确要做动态防护,而不能依靠之前“封堵查杀”这样传统的、封闭式的、静态的防护思路。
第三项原则:以信息共享为基础的协同联防。郭占先表示,在同一行业内部建设协同联防机制十分重要,拿制造行业举例来看,实际上生物疫苗、汽车、半导体等等许多关系国计民生的单位都可以归为制造行业,虽然看似他们之间差异性较大,但一般情况下这些行业的单位网络结构都是类似的,面临的威胁也较为相似。因此,如果网络安全相关的威胁信息能够在全国范围内进行共享,形成联防的机制,那么对整个行业都能够实现安全能力的提升。
关基网络安全的重视程度不断提升 但落地过程中仍然存在难点
郭洋谈到,2021年9月1日《关保条例》正式实施后,随着关基运营者、安全支撑企业等多方力量对关基网络安全的重视程度也不断提升,关键信息基础设施运营者在相关防护体系的建设思路上和实际行动上做出了许多改变。
在与各行业关键信息基础设施客户的交流过程中,威努特发现,随着供应链安全风险的不断增加,关键信息基础设施运营者开始重视供应链管理和安全评估。他们开始建立供应商管理制度,对供应商进行严格的安全审查和监测,确保供应商的产品和服务符合安全标准。
与此同时,数据安全也愈发得到关键信息基础设施运营者的关注,许多用户都提出了加强数据分类、备份、加密等方面的管理,以及建立数据安全监测和预警机制,及时发现和处理数据安全事件的需求。此外威努特还注意到,关键信息基础设施运营者普遍开始推动安全治理体系建设,建立安全管理机构和安全管理制度,加强安全意识教育和培训,提高组织安全保护水平。
但与此同时,关键信息基础设施运营者在落地《关保条例》也提出了诸多困惑之处。中电安科郭占先谈到,“因为《关保条例》跟等级保护的要求也存在一些细节差异,在实施后许多关键信息基础设施的运营者都提出了一些疑问,比如等级保护和关键信息基础设施保护之间的区别和联系点如何界定等等。另外一点的话就是《关保条例》在颁布之后,因为缺乏检查反馈机制,所以在条例颁布的时候,这两年实际执行层面还是存在一定脱节。而本次《关基保护要求》中6个方面的安全控制措施,111条安全要求进一步细化、落实《关保条例》,给企业开展关键信息基础设施保护提出更明确的要求和操作细则。对进一步落地实施将会产生比较大的促进作用”。
“技术上有风险、资金上有困难”
关基安全建设落地仍然存在现实问题与挑战
郭占先进一步指出,《关保条例》实施以来,推动了关键信息基础设施相关安全建设水平的提升,行业促进作用已经显现出来。但同时,推动关基安全建设落地的过程中一些问题也随之逐渐暴露出来。
他表示,当前关基安全防护的建设主要存在两个方面的问题:
第一是已经处于运行状态中的关基设施,在建设早期并没有将网络安全问题考虑在内,“可能有些单位装了一个防御软件,但许多单位甚至连基础防护设备都没有。”因此,此类单位在按照《关保条例》做改造的时候就会存在比较大的担忧:本身系统运行的很稳定,一旦加装安全设备,对网络进行更改,在系统内安装新的设备,是否会造成业务的负担,甚至导致业务的中断。
此外大家普遍还存在另一个担忧:在建设早期上线系统时没有考虑网络安全防护方面的资金投入,但假设要给老旧系统加装安全设备,资金申报的问题十分头痛。一方面监管侧提出了政策要求,但另一方面,技术升级改造自身的申报周期漫长,这成为了挡在关基用户面前的一大难题。
第二方面问题在于合规性思维难以扭转。“当前对于大多数关基用户而言,在新建设一个业务系统时会按照国家的标准要求来规划资金投入,但目前在这种动态防御建设方面,实际上用户的接受度偏低,他们还是以满足合规为主。动态防御的话,肯定会投入更多的建设资金,还要投入一些安全的运维人员,这个时候客户的接受度要偏偏低一点,当前行业内这两个问题仍然比较突出。”
在安全419看来,随着《关基保护要求》的正式实施,相关制度、标准正在不断完善和细化,上述郭占先提到的这些问题和挑战将会一一化解。
关基运营者不应止步于“合规”
要从动态防护角度出发做好安全建设
标准是企业安全建设的遵循依据,从“关保条例”到“关保要求”,无论是对关基单位,还是支撑一侧的安全企业都提出了更高的要求。那么对于关基运营者来说,应该从哪些方面加强安全能力建设,更进一步提升自身安全防护水平呢?在采访最后,我们分别邀请威努特与中电安科的相关负责人给出了自己的建议。
郭洋建议,作为关键信息基础设施运营者,需要从以下几个方面入手:
1. 加强供应链管理:关基运营者需要对供应链进行全面管理和风险评估,建立供应商管理制度,确保供应商产品和服务的安全性和可靠性。此外,还需要建立供应链安全监测和预警机制,及时发现和处理供应链安全事件。
2. 加强数据安全管理:关基运营者需要制定完善的数据安全管理制度,包括数据分类分级、数据备份、数据加密、数据清除等措施,确保数据的安全性和可靠性。同时,还需要建立数据安全监测和预警机制,及时发现和处理数据安全事件,做好数据安全治理工作。
3. 完善安全管理制度:关基运营者需要制定完善的安全管理制度和流程,加强安全意识教育和培训,提高员工的安全意识和安全素养。此外,还需要建立安全事件处理机制,及时应对安全事件,最大限度减少损失。
4. 加强安全技术建设:关基运营者需要加强安全技术建设,包括安全防护、安全检测、安全监测等方面。要选择适合自身运营情况的安全技术和产品,建立安全技术体系,提高系统的安全性和可靠性。
5. 加强合规管理:关基运营者需要遵守相关法规和标准,建立合规管理制度,定期进行合规性自查和审核,确保自身运营符合法规和标准要求。
郭洋认为,关基运营者除了需要根据自身情况进行具体的实施和落实上述建议,不断完善和提升信息安全保护水平外,同时还需要加强与政府有关部门的沟通与合作,共同推进关基安全保护工作的发展。
郭占先也从具体建设层面给出了自己的建议,他认为当前关基用户亟需做好三件事:建设动态的资产测绘能力、提升动态防御能力和建设统一的安全管理平台。
郭占先表示,“中电安科在跟客户的交流过程中发现,一些关键信息基础设施企业对工业控制系统的资产,实际上并没有梳理清楚,近年来中电安科也一直在呼吁关基用户建设动态的资产测绘能力。准确的识别出一个工业控制系统里边到底有多少套PLC设备,每一套PLC是什么型号,什么品牌,什么软件版本,一定要能拿到动态的资产清单,实时的数据,有了资产清单之后,我们才能够第一时间对安全事件进行响应。比如说某一天公布一个新漏洞,然后我们可以快速的对照资产清单,知道现在我们的重要设备里边有没有这样的漏洞。”
在动态防御方面,中电安科建议关基用户对流量进行检测与审计。他指出,关基多数都是工业控制系统,做流量的监测审计十分必要,对提前发现风险、以及发生安全事件后进行溯源具有很重要的作用。
最后他建议,关基用户应该部署一套功能完善的安全管理平台来做这种任务的分配。“关基的安全管理人员,跟自动化系统的管理人员可能是两拨人,当安全人员发现自动化系统存在安全隐患时,就需要把工作任务推送到自动化系统的维护者,再推送到网络的维护者,来进行修复。建设统一安全管理平台对于关基单位而言,就像是建立一个工单管理系统,如果单单靠人来发现风险并逐一沟通的话,注定是无法满足一家企业日常的安全应急和运营的需求的,建设具有安全运营管理功能的网络安全管理平台,将会给关基安全建设带来很大的助力。”