《关键信息基础设施安全保护条例》施行一周年 行业发生了哪些变化?

首页 / 业界 / 资讯 /  正文
作者:安全419
来源:安全419
发布于:2022-09-01
2021年8月17日,《关键信息基础设施安全保护条例》(以下简称“《条例》”)正式发布,并确定于2021年9月1日起施行。
 
在《条例》全文正式发布的当日,我们曾对其核心要点进行过分析和解读,在这里先快速回顾一下。一是《条例》不仅明确了关键信息基础设施(以下简称“关基”)的定义,还明确了认定的主体和认定方式;二是关基的主管部门及其相应的职责被明确,其中包括工信部、网信办、公安部等部门都在其中;三是明确了关基运营者的合规制度建设义务和主体责任,明确要建立健全网络安全、数据安全、个人信息等相关保护制度;四是针对具体的漏洞挖掘、渗透测试等活动提出了特殊要求和规定。



如今,距离《条例》正式施行刚好满一年,那么在这一年中,《条例》对于网络安全行业的促进都有哪些体现?对于用户侧有着什么样的影响?在《条例》施行的前后,在安全建设方面的关注点有了哪些变化呢?带着这种种问题,我们特别连线了两家我国在相关领域安全建设中的佼佼者——威努特与天地和兴两家企业,看看他们对《条例》推出前后的一些变化是如何看待的。
 
监管力度持续加强 关基保护建设成为“一把手工程”
 
威努特认为,《条例》提出一个总纲,明确了界定保护范围及原则目标,对于用户而言更加清晰;尤其是针对能源、电信等关键信息基础设施,明确确立为国家优先保障重点。其次,《条例》设立了监管机制及认定机制,同时明确了关基运营者的责任和义务,既压实了关键信息基础设施运营者的主体责任,同时也规定了网信部门、公安机关等机构的责任,进一步明确网络安全检测的常态化。这些方面的明确,有利于用户更清晰地了解关键基础设施网络安全的建设、维护、检查等全面运行模式,也了解各方应承担的法律责任。

谈及《条例》施行这一年来,对我国网络安全行业的促进这一话题时,威努特从政策、意识以及监管三个层面分享了他们的观点。
 

在政策层面,《条例》的发布让关键信息基础设施安全保护做到了有法可依,并且随着“三法一条例”的陆续出台实施,我国整体网络安全领域法律法规的体系逐步地完善,条例中,涉及国家基础信息、重要数据、个人信息、违法信息的治理都给予了极高的关注,不同行业主管单位也在积极构建企业自身的安全体系;
 
在意识层面,部分领域、行业的网络安全防护意识进一步的提升,主管单位负责人的网络安全责任感也进一步得到了提升,网络安全人才的结构也在进一步优化;
 
在监管层面,关键信息基础设施主管单位对于企业安全防护能力建设的监督检查、对企业网络存在的漏洞、风险进一步进行了多环节,多角度的监测,监管力度在持续加强;
 
针对同样的话题,天地和兴的专家则从需求侧和供给侧两个角度进行了分析。
 
首先是需求侧方面,由于《条例》明确了关基运营者如因防护不到位将受到严厉惩罚,可以说彻底扭转了不少关基运营者在相关安全建设方面抱有70分万岁的心态,而是要转而以实战的心态去开展网络安全建设和运营,同时,《条例》的施行,更是让关基相关安全建设上升为“一把手”工程,促进了关基运营者在重视程度以及资源投入方面相比此前都有了大幅的提升。
 
同此前相比,用户在预算以及组织层面不再聚焦于少数几个系统的等保测评相关工作,而是更侧重于主动防御、联防联控的网络安全体系,而且在这一过程中,更重要的是在于关基运营者在网络安全建设方面的思路发生了转变,从以往的重建设轻运营转变为建设与运营同等重要,需要从规划设计、建设实施、运营优化来整体考虑,真正落实了《网络安全法》和《条例》的三同步要求。具体到产品、解决方案的需求层面,也伴随着发生了不小的变化,早就被认定为难以满足需求的“三大件”时代彻底远去,SIEM和SOC已经成为了标配,零信任、SASE等新兴技术也在该领域快速发展,同时包括5G安全、AI安全、虚拟化安全等多个场景的安全建设也都被纳入到关基运营者需重点考虑的范围。
 
其次是供给侧方面,《条例》的落地使得原来以政策合规为主的网络安全产品服务市场,逐步转向在满足等保合规的基础上能够具备应对网络安全实战攻击的安全技术产品,既考验着供给侧的产品技术能力,也考验着其综合服务能力。
 


关基行业领域相关执行标准仍有欠缺 风险评估及应急演练应当常态化
 
通过上述内容我们可以看出,《条例》推出后,对于整体行业以及关基运营者在相关防护体系的建设思路上、实际行动上都有了很大的促进,比如行业客户对于网络安全建设越来越关注,相关的主管部门越来越重视相关资金投入,尤其是安全防护能力建设方面,从安全设备部署查漏补缺到整体安全解决方案设计。但同时,我们也看到在具体落实层面仍存在有待加强之处。
 
天地和兴认为,由于受到企业自身数字化转型进度、安全建设能力的不平衡影响,再加上《条例》的基本要求仍然不够细化,且没有明确针对不同行业的执行标准,导致《条例》在执行、落地过程中,企业对于如何执行以及执行的重点方面缺乏一致的认知,比如哪些企业是属于关基保护的范畴?保护到什么程度?这些在执行层面的细节部分如果不够明确,那么企业在执行过程中就会存在一定的偏差,而推进的进度以及保护的力度方面也会出现不一致的情况。
 
关于关键信息基础设施行业领域尚欠缺执行标准这一点,威努特也表示认同,并同时针对用户侧方面体现出的不足提出了相关的改善建议,具体有如下3点:
 
1. 网络安全风险评估是开展网络安全建设的基础,尤其是涉及行业关键信息基础设施,要优先开展安全风险评估,并将风险评估作为一个常态化的动作,每年至少一次风险评估。
 
2. 常态化进行行业关键信息基础设施安全事件应急演练,保证一旦出现网络安全事件,能够有条不紊的开展应急响应工作。
 
3.  行业关键信息基础设施单位应重视对企业自身资产的梳理,识别企业关键信息基础设施的类别并形成关键信息基础设施资产列表,通过常态化的风险评估,实时掌握企业自身资产的风险情况。
 
关基运营者不应止步于“合规” 要从实战角度出发做好安全建设
 
作为网络安全市场的重要推动力,“合规”是一个不能绕开的话题,每当新的法律法规等相关政策的出台,都会引起业内的广泛讨论,那么在《条例》施行后,从合规的角度看,关基运营者最应该关注哪些方面呢?
 
面对这个话题,天地和兴指出,关基运营者应能够确保关基保护闭环,从识别和梳理自身的重要业务和资产开始,梳理可能存在的攻击路径,以实战的角度去部署产品技术、落实管理制度和安全策略,并加强监测预警和检测评估工作,能够及时的发现存在的隐患和可能的攻击,同时能够针对已经发生的攻击或安全事件能够及时响应和处置。
 
威努特则进一步指出,对于关基运营者而言,不应仅仅止步于“合规”,合规仅仅是基础能力基线,更应该关注在合规的基础上,进一步强化企业网络安全的风险预测和研判能力、网络安全的应急响应和安全运营能力。尤其是态势感知的建设,是非常关键的。最终关键信息基础设施保护以防范安全威胁、有效降低安全风险、保障业务的安全持续、稳定运行,实现闭环管理动态化、能力迭代自动化、安全能力流程化、安全运营一体化。
 
Gartner此前曾表示,许多国家的政府已经意识到,几十年来,国家的关键信息基础设施一直是一个未公开的战场,因此大家都纷纷采取行动,要求对支撑这些资产的基础系统实施更多的安全控制措施。

在具体行动上,关键信息基础设施的安全已经成为世界各国政府首要关切的重点,美国、英国、欧盟、加拿大和澳大利亚等国家都成立了“关键信息基础设施部门”,涵盖通信、运输、能源、水利、医疗保健和公共设施等领域。

在这一形势之下,《条例》的施行对于我国整体网络安全乃至国家安全都有着重要的意义和价值,通过上述内容我们可以看出,这一年来,它已经在多个行业、领域产生了积极的影响,我们也相信随着后续相关政策的不断细化、完善,将进一步在保障关键信息基础设施安全方面发挥更大作用,为筑牢国家网络安全屏障提供有力支撑。