背景
2017年是我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure,CII)保護(hù)工作取得顯著進(jìn)展的一年。《網(wǎng)絡(luò)安全法》、《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》等提出建立關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度;中央網(wǎng)信辦發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》,明確了關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍,并提出進(jìn)一步的安全保護(hù)要求。
2017年以來(lái),我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)體系開(kāi)始布局。為確保標(biāo)準(zhǔn)體系建設(shè)的合理性、科學(xué)性,全國(guó)信安標(biāo)委組織多次專家研討會(huì),厘清了關(guān)鍵信息基礎(chǔ)設(shè)施安全各標(biāo)準(zhǔn)之間的關(guān)系與定位,已立項(xiàng)的標(biāo)準(zhǔn)包括:
1.《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》。該標(biāo)準(zhǔn)規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架,說(shuō)明構(gòu)成框架的基本要素及其關(guān)系,定義基本、通用的術(shù)語(yǔ)。
2.《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》。該標(biāo)準(zhǔn)規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)在識(shí)別認(rèn)定、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、應(yīng)急處置等環(huán)節(jié)的基本要求。
3.《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》。該標(biāo)準(zhǔn)作為《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》的配套標(biāo)準(zhǔn),根據(jù)要求提出相應(yīng)控制措施,運(yùn)營(yíng)者開(kāi)展網(wǎng)絡(luò)安全保護(hù)工作時(shí)可在該標(biāo)準(zhǔn)中選取適用的控制措施。
4.《關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》。該標(biāo)準(zhǔn)主要依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》的相關(guān)要求,明確關(guān)鍵信息基礎(chǔ)設(shè)施檢查評(píng)估的目的、流程、內(nèi)容和結(jié)果。
5.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》。該標(biāo)準(zhǔn)規(guī)范了用于評(píng)價(jià)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障水平的指標(biāo),并給出釋義,基于檢查評(píng)估結(jié)果、日常安全監(jiān)測(cè)等情況給出評(píng)價(jià)結(jié)果。
2019年12月初,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處在北京組織召開(kāi)了國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》(報(bào)批稿)(以下簡(jiǎn)稱《要求》)試點(diǎn)工作啟動(dòng)會(huì)。
預(yù)計(jì)《要求》將在2020年內(nèi)正式實(shí)施。(在此之前,《要求》經(jīng)歷了征求意見(jiàn)稿,當(dāng)前是報(bào)批稿)
范圍
我們先來(lái)看看《要求》正文內(nèi)容。首先是范圍,主要是有關(guān)CII的識(shí)別認(rèn)定、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警和事件處置等幾個(gè)環(huán)節(jié)。也就是說(shuō),涉及:
關(guān)保認(rèn)定(包括等級(jí)保護(hù)工作在內(nèi))相關(guān)工作
基于等保2.0,高于等保的安全防護(hù)能力
年度測(cè)評(píng)和國(guó)家安全檢查工作
安全事件的監(jiān)測(cè)預(yù)警工作
應(yīng)急響應(yīng)工作(應(yīng)急團(tuán)隊(duì)、技術(shù)工具、演練和護(hù)網(wǎng)等)
這些工作將貫穿整個(gè)CII的聲明周期:規(guī)劃設(shè)計(jì)、開(kāi)發(fā)建設(shè)、運(yùn)行維護(hù)、退役廢棄等階段。
從標(biāo)準(zhǔn)中所應(yīng)用的文件來(lái)看,主要還是基于《GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》和《GB/T22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,也就是說(shuō)基于等保但高于等保的要求。說(shuō)直白寫(xiě),等保三級(jí)的要求是基準(zhǔn),必須做到,但不代表你就合格了,此外還要符合關(guān)保中的部分額外要求,這樣才算合格合規(guī)。
《要求》中對(duì)CII的定義如下:公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的信息設(shè)施。
可見(jiàn),基本涵蓋所有重要行業(yè)和有關(guān)民生的系統(tǒng)。
原則
還記得等保中提出的“三同步”么?即同步規(guī)劃、同步建設(shè)、同步運(yùn)行。我們來(lái)看下,關(guān)保所要求的保護(hù)原則是什么?
重點(diǎn)保護(hù)是指關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)應(yīng)首先符合網(wǎng)絡(luò)安全等級(jí)保護(hù)政策及 GB/T 22239-2019等標(biāo)準(zhǔn)相關(guān)要求,在此基礎(chǔ)上加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)的安全保護(hù)。
整體防護(hù)是指基于關(guān)鍵信息基礎(chǔ)設(shè)施承載的業(yè)務(wù),對(duì)業(yè)務(wù)所涉及的多個(gè)網(wǎng)絡(luò)和信息系統(tǒng)(含工業(yè)控制系統(tǒng))等進(jìn)行全面防護(hù)。
動(dòng)態(tài)風(fēng)控是指以風(fēng)險(xiǎn)管理為指導(dǎo)思想,根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全風(fēng)險(xiǎn)對(duì)其安全控制措施進(jìn)行調(diào)整,以及時(shí)有效的防范應(yīng)對(duì)安全風(fēng)險(xiǎn)。
協(xié)同參與是指關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)所涉及的利益相關(guān)方,共同參與關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)工作。
怎么來(lái)看呢,從個(gè)人的理解來(lái)說(shuō)是這樣的,重點(diǎn)防護(hù)主要還是基于業(yè)務(wù)的,而且離不開(kāi)等保2.0,這是網(wǎng)絡(luò)安全工作的基線。
關(guān)保不同于等保,對(duì)象是CII,而非信息系統(tǒng)。這就可能存在著一個(gè)CII上承載著多個(gè)信息系統(tǒng),安全防護(hù)的方位就要覆蓋每一個(gè)系統(tǒng),可能會(huì)優(yōu)先保障關(guān)鍵業(yè)務(wù)系統(tǒng),但同時(shí)也要做好其他系統(tǒng)的防護(hù)工作,尤其是安全隔離。尤其是各系統(tǒng)之間可以互相訪問(wèn)的情況,那就要像對(duì)于關(guān)鍵業(yè)務(wù)系統(tǒng)一樣,對(duì)其他系統(tǒng)一視同仁,采用同樣的防護(hù)等級(jí)。
對(duì)于CII提出了動(dòng)態(tài)風(fēng)控的要求,這里主要強(qiáng)調(diào)的是業(yè)務(wù)風(fēng)險(xiǎn),這部分不是我們的強(qiáng)項(xiàng),也就不胡說(shuō)八道了。但是有關(guān)風(fēng)險(xiǎn)評(píng)估,要提一下。風(fēng)評(píng)本身就是一個(gè)類似PDCA的循環(huán)周期,旨在不斷發(fā)現(xiàn)問(wèn)題,修復(fù)問(wèn)題,調(diào)整策略。我們開(kāi)展風(fēng)評(píng)不是為了應(yīng)付監(jiān)管或是為了績(jī)效走個(gè)過(guò)場(chǎng)。相關(guān)方應(yīng)根據(jù)自家業(yè)務(wù)和系統(tǒng)的特性,制定自己的風(fēng)評(píng)檢查用例,不要總是拿著等保那一套東西,堅(jiān)持原則,100年不動(dòng)搖。這在安全領(lǐng)域是不可行的。雖說(shuō)等保2.0剛剛頒布不久,就目來(lái)看,標(biāo)準(zhǔn)要求還可以,但不代表3年后這些用例仍然適合你的系統(tǒng),要知道,國(guó)家標(biāo)準(zhǔn)不會(huì)在短期內(nèi)進(jìn)行更新的,等保1.0和等保2.0之間相距了11年。
協(xié)同參與,有點(diǎn)類似云平臺(tái)的責(zé)任共擔(dān)原則。對(duì)于CII的安全保護(hù),除了運(yùn)營(yíng)者(是的,無(wú)論如何,最終責(zé)任人終歸是運(yùn)營(yíng)方)之外,包括安全廠商、供應(yīng)商、監(jiān)管機(jī)構(gòu)都有一定連帶責(zé)任。以往,企業(yè)把這套系統(tǒng)遷移到云上,買了安全服務(wù),那么有關(guān)安全的所有問(wèn)題和責(zé)任都有云服務(wù)商和安全廠商來(lái)承擔(dān),這種做法對(duì)于CII并不適用。能夠承建CII的企業(yè),想必應(yīng)該都是大中型企業(yè),我相信如果想做都是能做好的。
主要環(huán)節(jié)
關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行、管理,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全負(fù)主體責(zé)任,履行網(wǎng)絡(luò)安全保護(hù)義務(wù),接受政府和社會(huì)監(jiān)督,承擔(dān)社會(huì)責(zé)任。
識(shí)別認(rèn)定:運(yùn)營(yíng)者配合保護(hù)工作部門(mén),按照相關(guān)規(guī)定開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別和認(rèn)定活動(dòng),圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù),開(kāi)展業(yè)務(wù)依賴性識(shí)別、風(fēng)險(xiǎn)識(shí)別等活動(dòng)。
本環(huán)節(jié)是開(kāi)展安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、事件處置等環(huán)節(jié)工作的基礎(chǔ)。
有點(diǎn)類似于等保定級(jí)外加風(fēng)險(xiǎn)評(píng)估工作。因?yàn)樯婕暗綐I(yè)務(wù)、資產(chǎn)、風(fēng)險(xiǎn)等的識(shí)別活動(dòng)。
安全防護(hù):運(yùn)營(yíng)者根據(jù)已識(shí)別的安全風(fēng)險(xiǎn),實(shí)施安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全建設(shè)管理、安全運(yùn)維管理等方面的安全控制措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。本環(huán)節(jié)在識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)的基礎(chǔ)上制定安全防護(hù)措施。
這塊就回到了基于等保實(shí)施防護(hù)工作,由于目前CII相關(guān)配套標(biāo)準(zhǔn)和要求不夠完善,外加等保2.0作為國(guó)家網(wǎng)絡(luò)安全對(duì)于企業(yè)的基線要求,在未來(lái)一段時(shí)期內(nèi),仍會(huì)通過(guò)等保標(biāo)準(zhǔn)來(lái)開(kāi)展部分關(guān)保工作。
檢測(cè)評(píng)估:為檢驗(yàn)安全防護(hù)措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患,運(yùn)營(yíng)者制定相應(yīng)的檢測(cè)評(píng)估制度,確定檢測(cè)評(píng)估的流程及內(nèi)容等要素,并分析潛在安全風(fēng)險(xiǎn)可能引起的安全事件。
企業(yè)安全自查和風(fēng)險(xiǎn)評(píng)估(包括風(fēng)控在內(nèi))的工作,雖說(shuō)監(jiān)管方面要求一年至少一次,但大家還是根據(jù)實(shí)際情況來(lái)決定。比如今年風(fēng)評(píng)做完后,對(duì)于不可接受風(fēng)險(xiǎn)進(jìn)行了修復(fù),沒(méi)過(guò)多久系統(tǒng)又被黑了,這就需要再次對(duì)企業(yè)的系統(tǒng)進(jìn)行更細(xì)致的評(píng)估。
監(jiān)測(cè)預(yù)警:運(yùn)營(yíng)者制定并實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,針對(duì)即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅,提前或及時(shí)發(fā)出安全警示。
安全監(jiān)控平臺(tái)或者SOC一類的平臺(tái),畢竟目前不是每家企業(yè)都有阿里那種安全團(tuán)隊(duì)和響應(yīng)能力的,如今的態(tài)勢(shì)感知平臺(tái)和AI還不夠成熟,所以,還是小心為上,嚴(yán)管權(quán)限,最小安裝,將暴露面盡可能減小。經(jīng)常梳理和監(jiān)控企業(yè)IT資產(chǎn),不需要聯(lián)網(wǎng)的就不要聯(lián),沒(méi)有業(yè)務(wù)相關(guān)的資產(chǎn)盡量邏輯隔離,做好安全域劃分。時(shí)常開(kāi)展安全意識(shí)培訓(xùn)和技能培訓(xùn),有獎(jiǎng)有罰。
事件處置:對(duì)網(wǎng)絡(luò)安全事件進(jìn)行處置,并根據(jù)檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警環(huán)節(jié)發(fā)現(xiàn)的問(wèn)題,運(yùn)營(yíng)者制定并實(shí)施適當(dāng)?shù)膽?yīng)對(duì)措施,恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。
這里講求的是兩個(gè)方面,一是對(duì)于事件的發(fā)現(xiàn)和上報(bào)流程,二是對(duì)于事件的處置和恢復(fù)生產(chǎn)能力。此外,結(jié)合等保2.0要求,除了業(yè)務(wù)連續(xù)性方面的應(yīng)急預(yù)案外,還要準(zhǔn)備數(shù)據(jù)泄露方面的應(yīng)急預(yù)案。