2022年9月1日,我國《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)已正式施行一周年,關于《條例》推出并施行的價值和意義,我們不再做過多的贅述,需要指出的是,盡管在2017年6月1日施行的《網絡安全法》中規定了關鍵信息基礎設施提供者的相關義務和規則,對關鍵信息基礎設施的網絡運營者的責任與義務也做出了特別規定,但總體而言,《網絡安全法》的規定較為原則,缺乏細化的措施。
相比之下,《關鍵信息基礎設施安全保護條例》規定的條款內容則更加詳盡、方法更具操行性、安全保護標準更嚴格,而且對《網絡安全法》中規定安全檢測評估機制等進行了創新,能夠更大程度實現互聯網領域中關鍵基礎設施的安全穩定運行。
那么現在我們回過頭來看《條例》自2021年9月1日以來這一年,相關行業、企業都發生了哪些積極的變化呢?而在具體落實方面又著重體現在哪里呢?圍繞著這些話題,我們特別邀請到了專注于工業互聯網安全的企業——長揚科技的營銷咨詢部總經理李莊來分享他們所觀察到的一些細節。
《條例》促進國家整體 網絡安全戰略的深化落地
李莊表示,通過《條例》的細則能夠明顯看到國家、行業監管部門、關基運營者、安全支撐企業等多方力量對關基網絡安全的重視程度不斷提升,具體來看則主要體現在以下3點:
1、突出了重點保護對象。從等保到關保,保護對象從“全行業”重點突出了能源、交通、水利、公共通信和信息服務、金融、公共服務、電子政務、國防科技工業等行業;尤其是明確了以上企業的工業控制系統,作為影響國計民生的核心生產運行系統,都被定義為關鍵信息基礎設施(critical information infrastructure,CII)進行重點保護。
2、明確了關基保護流程。在網絡安全等級保護制度基礎上,著眼分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置6大環節,圍繞網絡安全風險全過程閉環管理,建立網絡安全整體框架和規定動作。
3、加強了主動防御體系。基于等保2.0主張的“一個中心、三重防護”的縱深防御思想,增加了“主動防御、監測預警、事件處置”等要求,加強對于各類安全攻擊行為的監測、分析、處置、溯源、協同、共享、通報、整改等指導要求,實現了對關基安全的立體化安全保障能力,實現了安全管理的閉環。
從上述幾點可以看出,這對于各行業的關基運營者在實際落地《條例》的過程中起到了指導、明確、強化的作用,同時也促進了國家整體網絡安全戰略的深化落地。
關基運營者加強監管與安全能力建設 國產化安全產品需求提升
《條例》的施行,首先影響到的就是那些被劃定為關基單位的運營者們,同時也是網絡安全行業的甲方用戶群體,在通過《條例》明確了自身的責任和義務之后,結合其給出的關基保護重點建設方向,那么相比此前,他們在行動上有著怎樣的變化呢?
首先是在管理方面,《條例》施行后,集團型客戶明顯加強了對下屬生產企業的集中監管。
在《條例》的第十二條明確“安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用”這一要求,對于集團型客戶而言,在頂層規劃方面就進行工控網絡安全總體設計,從而指導集團和下屬企業按照“統一規劃、統一標準、統一投資、統一建設、統一管理、統一運維(運營)”的模式,著手進行工控網絡安全企業標準的設計編寫,并通過構建集團測工控安全態勢感知平臺,做到“摸清家底、認清風險、找出漏洞、及時通報、持續整改”。
其次是在建設方面,關基運營者開始普遍關注和加強對內部組織、人員網絡安全能力。
根據《條例》第十五條“按照國家及行業網絡安全事件應急預案,制定本單位應急預案,定期開展應急演練,處置網絡安全事件”、“組織網絡安全教育、培訓”;第二十五條“保護工作部門應當按照國家網絡安全事件應急預案的要求,建立健全本行業、本領域的網絡安全事件應急預案,定期組織應急演練;指導運營者做好網絡安全事件應對處置,并根據需要組織提供技術支持與協助”。
因此,關基運營者除了相關管理制度的進一步完善和加強的基礎上,還特別注重強化自身的網絡安全能力提升工作,以適應和滿足《條例》所提出的要求,并以實戰化的角度出發,無論是自己獨立完成還是通過以采購專業第三方服務的方式來完成包括制定應急預案、開展應急演練等工作,提升“以攻促防”以盡可能地保證在遭受網絡攻擊后,能夠快速且有效地處置及響應,保障關基設施的正常運轉。
最后是在采購方面,用戶對于國產化的工控安全產品需求日益提升。
根據《條例》第十九條提到的“運營者應當優先采購安全可信的網絡產品和服務;采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查”要求,結合今年2月份新版《網絡安全審查辦法》的正式施行,共同確保了關鍵信息基礎設施供應鏈安全、網絡安全和數據安全,從而更好地維護國家安全。從行業角度看,國家能源局、水利部、國鐵集團等行業主管部門也在行業相關規劃中提出要進行“安全自主可控”國產化替代要求。由于我國工業控制系統基礎弱,大部分控制系統被國外壟斷,在國內外日益嚴峻的大背景下,工控行業需要逐漸改變過分依賴國外芯片、操作系統的現狀,避免出現因為“卡脖子”而影響關基企業運行安全的事件。
對于由政策帶動的市場需求變化,國內的安全企業也在積極應對,在溝通中我們了解到,目前長揚工控安全防護產品已經與業內眾多生態伙伴實現產品兼容性互認證,包括麒麟軟件、統信軟件;飛騰、龍芯、申威、海光、兆芯等CPU廠商;長城、曙光、寶德 、聯想、浪潮等整機廠商。隨著時間的不斷推移,我們有理由相信,無論是從國家的政策要求角度還是從實際的安全角度,在技術上自主可控的國產化安全產品市場在未來必將迎來一個快速發展的時期。
《條例》落地過程中仍存在的 四大現實問題與挑戰
基于上述內容我們可以看出,《條例》施行一年以來,對行業的促進作用已經顯現,也推動了關鍵信息基礎設施相關安全建設水平的提升,但同時,我們也應看到這期間仍然存在的一些問題。針對這一話題,李莊表示,關鍵信息基礎設施是國家重要的戰略資源,關系國家安全、國計民生和公共利益,具有基礎性、支撐性、全局性作用,保護關鍵信息基礎設施安全是國家網絡安全工作的重中之重。在具體落地工作中,仍存在以下現實問題和挑戰:
1、關鍵信息基礎設施安全保護法律仍需完善。關基保護要求基于等保高于等保,對于關基運營者來說兩者要求都要滿足,但《條例》細則中的《CII安全保護要求》和《CII安全檢查評估指南》仍未發布,運營者進行關基保護落地缺少細化依據;
2、關基涉及的行業范圍廣,業務眾多,復雜度高。關鍵信息基礎設施涵蓋各行業的業務系統眾多且復雜度高。目前在各行業關基業務識別認定方面,缺少統一的行業認定標準和規范指引;
3、關基保護工作開展時間相對較短,運營者自身各方意識有待加強。關基保護涉及到從“縱深防御”到“動態防御、主動防御、聯防聯控”的轉變,運營者自身的安全意識認知、人員技術能力、主動監測能力、安全分析水平、事件處置等軟能力方面仍需要進一步加強。
4、安全方案和產品“實戰”能力不強。關基運營者選用的安全方案和產品缺少在“以攻促防”場景下的實戰檢驗能力,沒有發揮真正的防護作用,這一點主要體現在我國一年一度的大型攻防演練活動中,依然會有大量的相關企業被攻陷,暴露出嚴重的安全隱患。
在我們看來,上述這些問題和挑戰也并非是通過一個制度在短時間內就能完全扭轉的,隨著相關法律法規制度的不斷完善和細化,以及我國整體網絡安全能力的逐步提升,這些問題和挑戰都將會一一化解。
滿足《條例》要求需重點關注六方面
從關鍵信息基礎設施安全保護執行落地的六個階段具體要求來看,“分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置”是基于等保2.0“安全技術+安全管理”的增強要求。
那么如何既滿足等保合規要求,又符合關基保護要求呢?李莊在這里也為關基行業的運營者(企業)提出自己的建議——需重點關注以下6個方面:
1、分析識別:運營者按照相關規定開展關鍵信息基礎設施分析和識別活動,圍繞關鍵信息基礎設施承載的關鍵業務,開展業務依賴性識別、關鍵資產識別、風險識別等活動。本環節是開展安全防護、檢測評估、監測預警、主動防御、事件處置環節工作的基礎。
2、安全防護:運營者根據已識別的關鍵業務和資產、安全風險,實施安全管理制度、安全管理機構、安全管理人員、安全通信網絡、安全計算環境、安全建設管理、安全運維管理等方面的安全控制措施,確保關鍵信息基礎設施的運行安全。本環節在識別關鍵信息基礎設施安全風險的基礎上制定安全防護措施。
3、檢測評估:為檢驗安全防護措施的有效性,發現網絡安全風險隱患,運營者制定相應的檢測評估制度,確定檢測評估的流程及內容等要素,并分析潛在安全風險可能引起的安全事件。
4、 監測預警:運營者制定并實施網絡安全監測預警和信息通報制度,針對即將發生或正在發生的網絡安全事件或威脅,提前或及時發出安全警示。建立威脅情報和信息共享機制,落實相關措施,提高關鍵信息基礎設施主動防御能力。
5、主動防御:運營者以對安全行為的監測發現為基礎,主動采取誘捕、溯源、干擾和阻斷等措施,及時精準預警,實時構建彈性防御體系,避免、轉移、降低關鍵信息基礎設施面臨的風險的安全措施。提升對網絡威脅與攻擊行為的認知和應對能力。
6、事件處置:對網絡安全事件進行報告和處置,并根據檢測評估、監測預警環節發現的問題,運營者制定并實施適當的應對措施,恢復由于網絡安全事件而受損的功能或服務。
基于上述內容,運營者需要構建一套持續、動態的風險管理方法,實現從關基認定識別、主動防御、到安全風險全過程監測、分析、處置、改進的運營管理平臺和保障體系建設,以應對動態的網絡安全威脅,將網絡安全風險控制在可接受的范圍,確保企業自身關鍵信息基礎設施業務穩定、持續運行。
