自中央网络安全和信息化领导小组第一次会议上,习近平总书记指出“要抓紧制定立法规范,完善互联网信息内容管理、关键信息基础设施保护等法律法规”以来;国家陆续出台《网络安全法》、《数据安全法》、《网络安全审查办法》等,引领我国网络空间安全治理迈入依法治网、依法管网、依法护网、依法用网的法制化时代。2021年9月1日,《关键信息基础设施安全保护条例》(以下简称《条例》)的正式实施,标志着我国网络安全保护迈进了以关键信息基础设施安全保护为重点的新阶段,对保障国家安全、经济发展和社会稳定,以及推进信息化建设具有十分重要的意义。
一.网络空间安全形势严峻,关基设施安全受到威胁
导致关键服务运行中断:2015年12月,乌克兰配电公司约60座变电站遭到网络攻击,其首都基辅和乌克兰西部的140万名居民遭遇数小时停电;
导致通信基础设施瘫痪:2016年10月,美国域名服务器管理机构Dyn遭到Mirai病毒攻击,众多网站无法访问,美国大半个互联网瘫痪;
导致大规模供应链中断:2021年5月,美国最大成品油运输管道运营商Colonial Pipeline公司工控系统遭勒索病毒攻击导致停机,造成近100GB数据窃取及成品油运输管道运营中断。
全球多起基础设施和重要信息系统遭受网络攻击事件频发,引发了全球各国对加强关键信息基础设施安全保护的思考。
二.关键信息基础设施安全保护作为各国网络安全战略重要一环
美国自1998年颁布《克林顿政府对关键基础设施保护政策》以来,先后实行了《关键基础设施信息保护法》《增强关键信息基础设施网络安全框架(CSF)》《改善关键基础设施网络安全的框架》等20余项保护政策,就关键信息基础设施安全的识别、安全保护框架、安全评估要求及规范等诸多方面进行标准化布局,推动建立了防护完善的安全保护体系。
欧盟自2004年“欧盟关键基础设施保护规划”启动以来,陆续出台《网络与信息安全指令》《识别关键信息基础设施服务和资产的方法论》《关键信息基础设施领域的物联网安全基线指南》等多项政策,全面强调关键信息基础设施保护的重要性,实行以风险管理为基础的安全治理策略。
我国伴随着《条例》的出台,也加快了关键信息基础设施安全标准体系的建设工作,包括《关键信息基础设施安全保护要求》《关键信息基础设施安全检查评估指南》《关键信息基础设施安全控制措施》《关键信息基础设施信息技术产品供应链安全要求》等相关标准,就关基设施安全保护的基本要求、检测评估的流程指南、应急演练协同机制等内容为运营者提供了重要技术基础。
关键信息基础设施安全保护能力的提升不仅要依靠资金投入、技术提升等,更离不开政府的高度重视和政策支持,通过对法律法规等制度体系的健全完善来牵引整体保护能力的不断提升,已成为国际社会普遍共识。
三.关键信息基础设施安全保护体系的构建
1.关键信息基础设施的界定
关键信息基础设施(又称CII),《条例》第二条就关键信息基础设施的范围进行了定义,同时在第二章“关键信息基础设施认定”中明确指出保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
目前相关的认定标准如《CII要素识别指南》、《信息安全技术 关键信息基础设施边界确定方法》等已经在制定中。根据法规文件及专家解读,关键信息基础设施认定规则主要考虑下列因素:
(1)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(2)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(3)对其他行业和领域的关联性影响。保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
2.各方职责的明确
对于关键信息基础设施的监管体系《条例》提出了分类分层的监管模式:国家层面由国家网信部门(国家工业和信息化部)负责统筹协调,协调网络安全信息的共享以及各部门对关键信息基础设施的网络安全检查检测工作;国务院公安部门(公安部)负责指导监督工作,从保证国家安全角度出发,包括负责规则备案、汇总基础设施名单、收集重大网络安全事件和网络安全威胁信息、对基础设施进行网络安全检查检测等工作;国务院电信主管部门(国家工业和信息化部)负责行业关键信息基础设施安全保护和监督管理工作(如汇集基础电信网络实施漏洞探测、渗透性测试等活动情况)。
地方层面则由省级人民政府有关部门进行保护监督管理工作。
3.重点保护方法论
参照《信息安全技术 关键信息基础设施安全保护要求(报批稿)》等标准,关键信息基础设施安全保护制度应建立在网络安全等级保护体系基础上,着眼分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等重点活动的建设,并围绕关键信息基础设施网络安全风险识别到处置进行闭环管理,其体系框架如图1所示。
图1 关键信息基础设施安全保护体系框架
(1)分析识别:围绕关键信息基础设施承载的业务,开展业务识别、资产识别、风险识别等活动,为后续环节开展工作打下基础;
(2)安全防护:根据已识别的相关信息从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全通信网络、安全计算环境、安全运维管理、供应链安全保护、数据安全防护等方面进行安全能力的建设加固;
(3)检测评估:对安全防护环节的安全措施有效性进行验证,定期开展相关活动;
(4)监测预警:制定实施网络安全监测预警制度,及时对安全事件做出响应;
(5)主动防御:在减少暴露面的同时,采取诱捕、溯源、干扰和阻断等措施主动发现网络攻击事件;
(6)事件处置:对网络安全事件进行报告和处置并采取相应的应对措施。
四.关键信息基础设施安全保护工作的思考
《关键信息基础设施安全保护要求》(报批稿)是基于《网络安全法》和《条例》,在网络安全等级保护制度基础上,结合我过现有网络安全保障体系成果,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等环节,提出可落地的安全保护要求。
1.以“三同步”为核心,建章立制夯实责任
《条例》在第十二条中明确提出 “安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”,奠定了“三同步”作为关键信息基础设施网络安全合规建设的原则和前提要求,在实践中我们建议通过安全规划前置、安全建设同步和持续的安全运营来真正落实“三同步”原则。
2.以风险管理为导向,建设动态防御机制
不同环境场景下关键信息基础设施所面对的安全威胁呈现动态变化,需要根据关键信息基础设施的业务特点、网络特征及面临的安全威胁,构建动态的风险监测和安全防护措施,形成动态的安全防护机制,根据面对的安全风险进行动态调整,以及时有效的应对安全风险。
首先,运营者应自行或委托第三方机构进行关键信息基础设施安全检测评估,评估工作每年至少进行一次,并对发现的问题及时整改。其次,运营者应建立常态、快速的监测与响应能力,并与内外部组织和人员积极联动情报、预警及处置措施。同时,运营者应重点加强在实战方面的建设,包括落地攻击捕获、干扰、阻断、封控等技术手段,定期开展攻防演练。
3.以信息共享为基础,健全联防联动体系
情报信息作为安全决策的基础,在现在的网络空间安全防御体系中占据着重要位置。《条例》第二十三条强调“国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享”。需要打通不同安全设备间的信息壁垒,建立以威胁情报驱动的安全能力,实现整体网络的联防联动,提升面对大规模网络攻击的防范能力。
4.关注潜在安全风险,加强特殊场景安全
《条例》中提到:“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”,“履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度”。为维护关键信息基础设施安全防护的安全可靠,应加强其在供应链安全、数据安全两方面的安全建设。
五.小结
关键信息基础设施安全保护体系作为网络安全体系中的一部分,随着后续其配套制度和标准逐步发布,关键信息基础设施安全保护势必成为企业不可或缺的安全合规内容。而如何做好完善的关键信息基础设施保护体系,积极配合相关部门开展关键信息基础设施的认定和保护一直都是业内关注探讨的问题。希望本文能够给各关键信息基础设施运营者在相关安全工作建设提供借鉴和思考。