隨著我國綜合國力的提升,面臨的國際形勢越發嚴峻,網絡威脅日益嚴重,給關鍵信息基礎設施保護工作帶來了更大的挑戰。國內關鍵信息基礎設施安全作為網絡安全保護的重中之重,需要結合當下的時代背景、網絡空間特點從多個角度綜合考慮。一是明確目前保護工作所處的階段,綜合考慮關基的動態變化帶來的威脅和安全挑戰,了解安全保護的難點;二是梳理當前國內關基安全保護相關要求,明確常態化保護和特殊時期保護的重點;三是從政府機構、保護工作部門、關基運營者、檢測機構等多角度提出建議要點,以更好地保護國家關鍵基礎設施網絡安全。
保護工作面臨的現實挑戰
保護階段初級化
2017年6月1日《網絡安全法》的正式實施,標志著我國關鍵信息基礎設施網絡安全進入了一個新的發展階段。但相比歐美等關鍵基礎設施保護起步最早的國家,并結合我國網絡安全客觀現狀而言,實際上目前我國正處于關鍵信息基礎設施保護新發展階段中的初級階段。主要表現為:
國家針對關基保護配套的《關鍵信息基礎設施安全保護條例》陸續出臺,在邊界識別、保護要求、控制措施、保障指標、應急體系、檢查評估、測試評價,以及供應鏈安全、數據安全、信息共享、監測預警等方面開展了標準研制工作,標志著在關基保護法律法規層面日趨成熟,但實質性的關基保護體系建設工作尚未全面鋪開,運營者針對法律、標準中提到的安全技術、安全管理要求尚未落實到位,安全防護措施層面距離“重中之重”的安全要求和防護級別仍有較大的差距。運營者針對如何準確識別關基方面仍面臨一定的困惑,尤其是自身的基礎設施識別、邊界的認定、重要數據識別等仍處于初級階段。部分的工控企業,涉及到業務生產連續性的考慮,短期內無法更新迭代現有安全防護措施為法律標準要求的內容。部分重要行業雖有一定的應對網絡威脅的能力,但應對網絡戰級別的實戰能力仍顯著不足,面對APT、零日漏洞的發現能力弱,整體聯防聯控、網絡對抗反制能力仍處于初級階段。
現實威脅常態化
關鍵信息基礎設施作為網絡安全保護的重中之重,勢必會受到敵對國家、黑客組織的高度關注。近年來各國關基受到破壞的現實案例屢見不鮮,影響巨大。2020年美國SolarWinds 遭遇國家級 APT 團伙高度復雜的供應鏈攻擊,超過 18000 家客戶全部受到影響,可任由攻擊者完全操控。2021年美國主要燃油、燃氣管道運營商科洛尼爾管道運輸公司(Colonial Pipeline)的 IT 網絡遭遇勒索軟件攻擊,使整個美國東南部出現汽油短缺現象等現實案例都對我國的關鍵信息基礎設施保護帶來了極大的啟示和預警作用。
我國的關鍵信息基礎設施面臨的現實威脅也不容樂觀,敵對國家已將我國作為網絡空間最主要的戰略對手,有國家背景的勢力、組織對我關鍵信息基礎設施、重要網絡和大數據平臺大肆進行攻擊、竊密。通過國家相關部門監測發現,國內大量重要行業部門、研究機構等長期被攻擊和入侵,軍工和高科技單位工作人員郵箱被攻擊導致重要數據泄露,針對關基的勒索病毒事件頻發,突顯了我國關鍵信息基礎設施正面臨常態化的持續的現實網絡威脅。未來隨著我國綜合國力的不斷提升,國際地緣政治形勢緊張、新冠疫情的持續發展,敵對國家對我國的貿易戰、科技戰、輿論戰等常態化發展,都是威脅我國關鍵信息基礎設施領域網絡安全的重要因素,對關基工作的安全防護有著極大的挑戰。
技術發展動態化
國家關鍵信息基礎設施的運作高度依賴信息技術系統,這些系統具有高度復雜性和動態性,技術多樣且位置分散,這種復雜性增加了識別、管理和保護關鍵信息基礎設施的難度。云計算、大數據的廣泛應用帶來了數據的集中,同時基于這些數據衍生的價值數據變成了保護的重點,增加了安全風險,對安全保護能力提出了更高的要求。IPV6的規模部署和5G的應用,為物聯網、車聯網、智能設備帶來了新的未知風險。行業層面以國家電力關鍵信息基礎設施為例,以火電、水電為主的發電為主的電力時代已經發展到側重新能源風光發電的新型電力系統時代,在新的技術體系下,發電、輸電、變電、配電、用電等環節都改變了原有的技術架構和應用環境,面臨的內外部威脅也發生了巨大變化。
此外,在當下工業互聯網時代,關鍵基礎設施使用的系統和網絡也經常與包括互聯網在內的其他內部和外部系統及網絡相互關聯,這也加劇了安全風險。基礎平臺的更迭、漏洞的頻發、攻擊技術的突飛猛進等都為關鍵信息基礎設施保護帶來了挑戰。安全需要與技術發展齊頭并進,安全要為發展做支撐,就勢必要適應技術發展的動態,不斷衍生新的保護手段和措施。
新發展階段下的保護重點
扎實推進基礎防護
關鍵信息基礎設施保護仍處于新發展階段中的初級階段,安全保護體系尚未有效建立,信息資產類型呈多樣化,載體分布廣、數據源眾多,關基識別存在困難,進而影響保護工作的有效開展。初級階段是一個長期的過程,是需要劃分為不同階段的過程。要做好現階段下的關基保護工作,必須扎實推進基礎防護,筑牢關基保護工作的安全底座。
一方面國家層面要充分借鑒發達國家在關基保護工作方面的做法,結合我國國情進一步完善現有關基保護政策法規體系及標準,完善關基保護在時間層級、法律層級、體系層級的頂層設計,夯實基礎防護的法治基礎和理論基礎,加大國家級、行業級網絡安全信息共享、完善監測預警制度、應急處置、定期檢查與整改機制,使得運營者的日常保護工作“有法可依、有規可循”。
另一方面是關鍵信息基礎設施運營者應結合自身業務,調整安全建設重點方向,做到底數清晰,健全安全保護機構、職責明確、保障有力,在貫徹落實網絡安全等級保護制度的基礎上,有效落實本單位關鍵信息基礎設施涉及的關鍵崗位人員、供應鏈安全、數據安全、應急處事等重點安全保護措施,同時也要充分利用原有的安全體系建設成果,合理改造合理利用。
縱觀歷史發生的各類網絡安全事件或安全問題,絕大多數是因為基礎安全配置不當、基礎漏洞未修復、基本訪問控制策略不嚴謹、基本應急體系不完善等眾多基礎問題組合導致的,所以關基保護應借鑒和繼承網絡安全等級保護在國內信息系統基礎防護方面發揮的巨大作用和先進經驗,促進運營者形成有基礎、有效力的防護體系,將基礎安全工作落到實處。
重點突出數據保護
關基安全是網絡安全保護的重中之重,那么數據安全可以說現階段下是關基保護的重中之重。關基中承載的數據作為關鍵要素和重要戰略資源,在國家經濟發展和社會進步中發揮著基礎性和全局性作用,一旦遭到泄露或破壞直接關乎危害國家安全、國計民生、公共利益的嚴重程度。近期滴滴事件給國內關基運營者的數據安全保護工作帶了極大的震撼。一是處罰力度空前,近乎現有法律制度下的頂格處罰;二是違法違規持續時間長而不自知;三是數據違規出境逃避監管審查,其最主要的影響還是數據主權安全以及對國家安全、公共利益安全帶來了極其嚴重的后果。
所以在現階段下,隨著《網絡安全法》《數據安全法》《個人信息保護法》的對數據安全的明確規定,要做好數據安全重點保護須把握
(一)履行合規義務,運營者直接負責的主管人員(如黨委書記、董事長、總裁等)和其他直接責任人員,都應該明確法律對數據安全保護的要求,明確可能承擔的民事責任和刑事責任。高度重視保護個人信息、數據安全和網絡安全,盡快并持續開展合規檢查工作,避免觸碰監管紅線。
(二)摸清本單位的數據家底,不僅包括收集的數據,還應包括數據共享、交換、加工后的價值數據,判斷其重要性,評估其面臨的風險如有隱患,須立即停止、盡快整改。對于數據出境情況、擬赴國境外外上市的,除需做好全方位合規工作外,還應提前做好主動向網絡安全審查辦公室申報網絡安全審查的準備。
(三)做好數據安全保護配套措施,覆蓋本單位數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動。尤其是加強對數據量大、多源、跨平臺流動的數據,增加數據流動性的安全風險監測,增加專職數據安全管理人員,在業務建設初期同步考慮數據安全。全面了解國內外針對數據的網絡攻擊和竊密技術,有效應對智能化、專業化的數據竊取攻擊。
逐步實現綜合防控
關基保護工作不是單兵作戰,單打獨斗能夠取勝的。要堅持“綜合協調、分工負責、依法保護”的原則,做到共同保護的要求。從現實角度講,關基保護需要一個區別于以往的綜合防控體系。從綜合協作角度,要形成國內關鍵信息基礎設施保護的良好生態,形成跨行業、跨部門、跨地區的立體化網絡安全監測預警體系,加強網絡安全態勢感知、通報預警和事件發現處置能力,加強威脅情報共享和保護經驗分享。要突出融合,加強產業界網絡安全基礎設施和資源整合利用,堅持促進發展與依法管理相統一,共同維護國家關鍵信息基礎設施網絡安全。各地區、各部門應該有清醒的認識,看清關基保護工作的隱匿性、復雜性,高效落實中央的決策部署,明確構建國家網絡安全綜合防控系統的新目標,采取“實戰化、體系化、常態化”的新理念,落實“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的新舉措,實現國家網絡安全綜合防御能力和水平上升一個新高度。
未來亟需落地的保護建議
自上而下高效貫通
要全面加快推動自上而下高效貫通安全保護機制建設,結合行業重要業務特點和安全保護需求,對關基進行準確識別,明確各行業,尤其是關鍵信息基礎設施所涉及行業的“關鍵、信息、基礎”特性。
此外要從關基運營者、保護工作部門、政府機構等多角度需采取措施以更好地保護國家基礎設施網絡安全,包括政府部門需要完善關鍵信息基礎設施重點保護的政策制定與解讀,以更好地引導關鍵基礎設施所有者和運營者體系化開展保護工作。完善網絡安全責任制、網絡安全監督指導和監測預警機制,建立網絡安全保護生態,形成一體化的網絡安全綜合防控體系。
行業主管部門應牽頭建立行業安全標準,在充分借鑒現有標準基礎之上,聚焦國家關鍵信息基礎設施重要行業、重點領域,在關鍵環節、關鍵業務場景、關鍵網絡產品和服務等方面,進一步細化規范和推進關鍵信息基礎設施安全政策和法律法規落地,指導并支持關鍵基礎設施的所有者和運營者常態化開展具體保護工作的落實。
運營者層面形成本單位黨委統籌領導、各部門分工負責、社會力量多方參與的網絡安全工作格局,安全措施落實有效有序,守好安全底線,同時為國家跨部門、跨地區和行業的立體化網絡安全監測體系和預警平臺,提供數據支撐,應急演練常態化開展,使得網絡安全重大事件得到有效防范、遏制和處置。
統籌兼顧突出重點
關鍵信息基礎設施保護工作需要統籌兼顧、全面推進;針對一個運營者來說,要實現國家要求和行業要求的統籌,實現具體措施和安全實際的統籌,實現安全投入和安全產出的統籌。從保護角度而言安全無小事,在實際工作中有可能就是因為一個關鍵設備的補丁沒打、開啟了一個多余服務、一個不合理的網絡暴露面,就可能被惡意利用而導致網絡整體失陷,所以在某種程度上保護工作確實需要面面俱到,尤其是基礎防護工作。但同時也要分清主次、重點突出。要明確保護邊界、現階段保護重點,不能過保護或做無效的保護。
關于關基保護應該重點突出的具體做法,目前除了《關鍵信息基礎設施保護條例》外,可重點參考《關鍵信息基礎設施安全保護要求》。保護要求主要是在國家網絡安全等級保護制度基礎上,借鑒我國相關部門在重要行業和領域開展網絡安全保護工作的成熟經驗,吸納國內外在關鍵信息基礎設施安全保護方面的舉措,結合我國現有網絡安全保障體系等成果,從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等方面,提出關鍵信息基礎設施安全保護要求,采取必要措施保護關鍵信息基礎設施業務連續運行,及其重要數據不受破壞,切實加強關鍵信息基礎設施安全保護。
在日常實踐中,要注意以下幾點:
第一,要立足本單位網絡安全實際,分清輕重緩急。根據各項保護工作所處的客觀地位來決定和評估哪項工作在現實中確實能夠牽動全局,哪項工作必要性緊迫性最高,以此來投入建設,果斷應對。
第二,正確處理全局和重點的關系。例如在抓好數據安全重點工作的同時,不可忽視數據支撐環境的安全工作,明確數據安全管理作為整體網絡安全管理的一個重要組成,明確加強數據安全建設的同時也是對整體網絡安全的加強。要根據保護工作重點目標與其他工作的內在聯系,把各項保護工作一起搞上去,使主次配合,統籌兼顧,而不要顧此失彼、搞單打一。
風險評估持續保障
網絡安全的威脅來源和攻擊手段不斷變化,依靠裝幾個安全設備和安全軟件就想永保安全的想法已不合時宜,需要樹立動態、綜合的防護理念。關基的動態特性,使得它很難用固定標準或方法去保護,未來亟需通過風險評估不斷找出威脅源,不斷迭代安全措施,并檢驗安全措施有效性。
具體來講一是需要通過風險評估促進關鍵信息基礎設施運營者開展保護體系建設和重點保護措施的落實,做到分重點保護,明確保護對象范圍,厘清保護責任和保護主體;二是需要通過風險評估找出可能導致關基業務停擺、生產事故、重要數據失竊、泄露、破壞的安全隱患,降低關鍵基礎設施一旦遭受攻擊后可能帶來的惡劣影響,尤其是涉及到國家政治安全、經濟安全、以及民生安全的關鍵業務、重要數據和個人信息,一旦被惡意利用將直接影響國家安全;三是需要通過風險評估促進關鍵信息基礎設施安全防御體系的改進提升,檢驗當前的安全防護措施是否有效,防護體系是否可以滿足當下的網絡安全形勢,最終達到“以評促建”,提升整體安全防御體系的目的。風險評估作為動態發現關基風險的有效手段,需要一以貫之的在關基建設的全生命周期持續發揮作用。
更多信息可以來這里獲取==>>電子技術應用-AET<<
