随着我国综合国力的提升,面临的国际形势越发严峻,网络威胁日益严重,给关键信息基础设施保护工作带来了更大的挑战。国内关键信息基础设施安全作为网络安全保护的重中之重,需要结合当下的时代背景、网络空间特点从多个角度综合考虑。一是明确目前保护工作所处的阶段,综合考虑关基的动态变化带来的威胁和安全挑战,了解安全保护的难点;二是梳理当前国内关基安全保护相关要求,明确常态化保护和特殊时期保护的重点;三是从政府机构、保护工作部门、关基运营者、检测机构等多角度提出建议要点,以更好地保护国家关键基础设施网络安全。
保护工作面临的现实挑战
保护阶段初级化
2017年6月1日《网络安全法》的正式实施,标志着我国关键信息基础设施网络安全进入了一个新的发展阶段。但相比欧美等关键基础设施保护起步最早的国家,并结合我国网络安全客观现状而言,实际上目前我国正处于关键信息基础设施保护新发展阶段中的初级阶段。主要表现为:
国家针对关基保护配套的《关键信息基础设施安全保护条例》陆续出台,在边界识别、保护要求、控制措施、保障指标、应急体系、检查评估、测试评价,以及供应链安全、数据安全、信息共享、监测预警等方面开展了标准研制工作,标志着在关基保护法律法规层面日趋成熟,但实质性的关基保护体系建设工作尚未全面铺开,运营者针对法律、标准中提到的安全技术、安全管理要求尚未落实到位,安全防护措施层面距离“重中之重”的安全要求和防护级别仍有较大的差距。运营者针对如何准确识别关基方面仍面临一定的困惑,尤其是自身的基础设施识别、边界的认定、重要数据识别等仍处于初级阶段。部分的工控企业,涉及到业务生产连续性的考虑,短期内无法更新迭代现有安全防护措施为法律标准要求的内容。部分重要行业虽有一定的应对网络威胁的能力,但应对网络战级别的实战能力仍显著不足,面对APT、零日漏洞的发现能力弱,整体联防联控、网络对抗反制能力仍处于初级阶段。
现实威胁常态化
关键信息基础设施作为网络安全保护的重中之重,势必会受到敌对国家、黑客组织的高度关注。近年来各国关基受到破坏的现实案例屡见不鲜,影响巨大。2020年美国SolarWinds 遭遇国家级 APT 团伙高度复杂的供应链攻击,超过 18000 家客户全部受到影响,可任由攻击者完全操控。2021年美国主要燃油、燃气管道运营商科洛尼尔管道运输公司(Colonial Pipeline)的 IT 网络遭遇勒索软件攻击,使整个美国东南部出现汽油短缺现象等现实案例都对我国的关键信息基础设施保护带来了极大的启示和预警作用。
我国的关键信息基础设施面临的现实威胁也不容乐观,敌对国家已将我国作为网络空间最主要的战略对手,有国家背景的势力、组织对我关键信息基础设施、重要网络和大数据平台大肆进行攻击、窃密。通过国家相关部门监测发现,国内大量重要行业部门、研究机构等长期被攻击和入侵,军工和高科技单位工作人员邮箱被攻击导致重要数据泄露,针对关基的勒索病毒事件频发,突显了我国关键信息基础设施正面临常态化的持续的现实网络威胁。未来随着我国综合国力的不断提升,国际地缘政治形势紧张、新冠疫情的持续发展,敌对国家对我国的贸易战、科技战、舆论战等常态化发展,都是威胁我国关键信息基础设施领域网络安全的重要因素,对关基工作的安全防护有着极大的挑战。
技术发展动态化
国家关键信息基础设施的运作高度依赖信息技术系统,这些系统具有高度复杂性和动态性,技术多样且位置分散,这种复杂性增加了识别、管理和保护关键信息基础设施的难度。云计算、大数据的广泛应用带来了数据的集中,同时基于这些数据衍生的价值数据变成了保护的重点,增加了安全风险,对安全保护能力提出了更高的要求。IPV6的规模部署和5G的应用,为物联网、车联网、智能设备带来了新的未知风险。行业层面以国家电力关键信息基础设施为例,以火电、水电为主的发电为主的电力时代已经发展到侧重新能源风光发电的新型电力系统时代,在新的技术体系下,发电、输电、变电、配电、用电等环节都改变了原有的技术架构和应用环境,面临的内外部威胁也发生了巨大变化。
此外,在当下工业互联网时代,关键基础设施使用的系统和网络也经常与包括互联网在内的其他内部和外部系统及网络相互关联,这也加剧了安全风险。基础平台的更迭、漏洞的频发、攻击技术的突飞猛进等都为关键信息基础设施保护带来了挑战。安全需要与技术发展齐头并进,安全要为发展做支撑,就势必要适应技术发展的动态,不断衍生新的保护手段和措施。
新发展阶段下的保护重点
扎实推进基础防护关键信息基础设施保护仍处于新发展阶段中的初级阶段,安全保护体系尚未有效建立,信息资产类型呈多样化,载体分布广、数据源众多,关基识别存在困难,进而影响保护工作的有效开展。初级阶段是一个长期的过程,是需要划分为不同阶段的过程。要做好现阶段下的关基保护工作,必须扎实推进基础防护,筑牢关基保护工作的安全底座。一方面国家层面要充分借鉴发达国家在关基保护工作方面的做法,结合我国国情进一步完善现有关基保护政策法规体系及标准,完善关基保护在时间层级、法律层级、体系层级的顶层设计,夯实基础防护的法治基础和理论基础,加大国家级、行业级网络安全信息共享、完善监测预警制度、应急处置、定期检查与整改机制,使得运营者的日常保护工作“有法可依、有规可循”。另一方面是关键信息基础设施运营者应结合自身业务,调整安全建设重点方向,做到底数清晰,健全安全保护机构、职责明确、保障有力,在贯彻落实网络安全等级保护制度的基础上,有效落实本单位关键信息基础设施涉及的关键岗位人员、供应链安全、数据安全、应急处事等重点安全保护措施,同时也要充分利用原有的安全体系建设成果,合理改造合理利用。纵观历史发生的各类网络安全事件或安全问题,绝大多数是因为基础安全配置不当、基础漏洞未修复、基本访问控制策略不严谨、基本应急体系不完善等众多基础问题组合导致的,所以关基保护应借鉴和继承网络安全等级保护在国内信息系统基础防护方面发挥的巨大作用和先进经验,促进运营者形成有基础、有效力的防护体系,将基础安全工作落到实处。
重点突出数据保护
关基安全是网络安全保护的重中之重,那么数据安全可以说现阶段下是关基保护的重中之重。关基中承载的数据作为关键要素和重要战略资源,在国家经济发展和社会进步中发挥着基础性和全局性作用,一旦遭到泄露或破坏直接关乎危害国家安全、国计民生、公共利益的严重程度。近期滴滴事件给国内关基运营者的数据安全保护工作带了极大的震撼。一是处罚力度空前,近乎现有法律制度下的顶格处罚;二是违法违规持续时间长而不自知;三是数据违规出境逃避监管审查,其最主要的影响还是数据主权安全以及对国家安全、公共利益安全带来了极其严重的后果。
所以在现阶段下,随着《网络安全法》《数据安全法》《个人信息保护法》的对数据安全的明确规定,要做好数据安全重点保护须把握
(一)履行合规义务,运营者直接负责的主管人员(如党委书记、董事长、总裁等)和其他直接责任人员,都应该明确法律对数据安全保护的要求,明确可能承担的民事责任和刑事责任。高度重视保护个人信息、数据安全和网络安全,尽快并持续开展合规检查工作,避免触碰监管红线。
(二)摸清本单位的数据家底,不仅包括收集的数据,还应包括数据共享、交换、加工后的价值数据,判断其重要性,评估其面临的风险如有隐患,须立即停止、尽快整改。对于数据出境情况、拟赴国境外外上市的,除需做好全方位合规工作外,还应提前做好主动向网络安全审查办公室申报网络安全审查的准备。
(三)做好数据安全保护配套措施,覆盖本单位数据收集、存储、使用、加工、传输、提供、公开等数据处理活动。尤其是加强对数据量大、多源、跨平台流动的数据,增加数据流动性的安全风险监测,增加专职数据安全管理人员,在业务建设初期同步考虑数据安全。全面了解国内外针对数据的网络攻击和窃密技术,有效应对智能化、专业化的数据窃取攻击。
逐步实现综合防控关基保护工作不是单兵作战,单打独斗能够取胜的。要坚持“综合协调、分工负责、依法保护”的原则,做到共同保护的要求。从现实角度讲,关基保护需要一个区别于以往的综合防控体系。从综合协作角度,要形成国内关键信息基础设施保护的良好生态,形成跨行业、跨部门、跨地区的立体化网络安全监测预警体系,加强网络安全态势感知、通报预警和事件发现处置能力,加强威胁情报共享和保护经验分享。要突出融合,加强产业界网络安全基础设施和资源整合利用,坚持促进发展与依法管理相统一,共同维护国家关键信息基础设施网络安全。各地区、各部门应该有清醒的认识,看清关基保护工作的隐匿性、复杂性,高效落实中央的决策部署,明确构建国家网络安全综合防控系统的新目标,采取“实战化、体系化、常态化”的新理念,落实“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的新举措,实现国家网络安全综合防御能力和水平上升一个新高度。
未来亟需落地的保护建议
自上而下高效贯通
要全面加快推动自上而下高效贯通安全保护机制建设,结合行业重要业务特点和安全保护需求,对关基进行准确识别,明确各行业,尤其是关键信息基础设施所涉及行业的“关键、信息、基础”特性。
此外要从关基运营者、保护工作部门、政府机构等多角度需采取措施以更好地保护国家基础设施网络安全,包括政府部门需要完善关键信息基础设施重点保护的政策制定与解读,以更好地引导关键基础设施所有者和运营者体系化开展保护工作。完善网络安全责任制、网络安全监督指导和监测预警机制,建立网络安全保护生态,形成一体化的网络安全综合防控体系。
行业主管部门应牵头建立行业安全标准,在充分借鉴现有标准基础之上,聚焦国家关键信息基础设施重要行业、重点领域,在关键环节、关键业务场景、关键网络产品和服务等方面,进一步细化规范和推进关键信息基础设施安全政策和法律法规落地,指导并支持关键基础设施的所有者和运营者常态化开展具体保护工作的落实。
运营者层面形成本单位党委统筹领导、各部门分工负责、社会力量多方参与的网络安全工作格局,安全措施落实有效有序,守好安全底线,同时为国家跨部门、跨地区和行业的立体化网络安全监测体系和预警平台,提供数据支撑,应急演练常态化开展,使得网络安全重大事件得到有效防范、遏制和处置。
统筹兼顾突出重点关键信息基础设施保护工作需要统筹兼顾、全面推进;针对一个运营者来说,要实现国家要求和行业要求的统筹,实现具体措施和安全实际的统筹,实现安全投入和安全产出的统筹。从保护角度而言安全无小事,在实际工作中有可能就是因为一个关键设备的补丁没打、开启了一个多余服务、一个不合理的网络暴露面,就可能被恶意利用而导致网络整体失陷,所以在某种程度上保护工作确实需要面面俱到,尤其是基础防护工作。但同时也要分清主次、重点突出。要明确保护边界、现阶段保护重点,不能过保护或做无效的保护。关于关基保护应该重点突出的具体做法,目前除了《关键信息基础设施保护条例》外,可重点参考《关键信息基础设施安全保护要求》。保护要求主要是在国家网络安全等级保护制度基础上,借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,吸纳国内外在关键信息基础设施安全保护方面的举措,结合我国现有网络安全保障体系等成果,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面,提出关键信息基础设施安全保护要求,采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。在日常实践中,要注意以下几点:第一,要立足本单位网络安全实际,分清轻重缓急。根据各项保护工作所处的客观地位来决定和评估哪项工作在现实中确实能够牵动全局,哪项工作必要性紧迫性最高,以此来投入建设,果断应对。第二,正确处理全局和重点的关系。例如在抓好数据安全重点工作的同时,不可忽视数据支撑环境的安全工作,明确数据安全管理作为整体网络安全管理的一个重要组成,明确加强数据安全建设的同时也是对整体网络安全的加强。要根据保护工作重点目标与其他工作的内在联系,把各项保护工作一起搞上去,使主次配合,统筹兼顾,而不要顾此失彼、搞单打一。
风险评估持续保障网络安全的威胁来源和攻击手段不断变化,依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。关基的动态特性,使得它很难用固定标准或方法去保护,未来亟需通过风险评估不断找出威胁源,不断迭代安全措施,并检验安全措施有效性。具体来讲一是需要通过风险评估促进关键信息基础设施运营者开展保护体系建设和重点保护措施的落实,做到分重点保护,明确保护对象范围,厘清保护责任和保护主体;二是需要通过风险评估找出可能导致关基业务停摆、生产事故、重要数据失窃、泄露、破坏的安全隐患,降低关键基础设施一旦遭受攻击后可能带来的恶劣影响,尤其是涉及到国家政治安全、经济安全、以及民生安全的关键业务、重要数据和个人信息,一旦被恶意利用将直接影响国家安全;三是需要通过风险评估促进关键信息基础设施安全防御体系的改进提升,检验当前的安全防护措施是否有效,防护体系是否可以满足当下的网络安全形势,最终达到“以评促建”,提升整体安全防御体系的目的。风险评估作为动态发现关基风险的有效手段,需要一以贯之的在关基建设的全生命周期持续发挥作用。文章来源: 关键信息基础设施安全保护联盟筹