2021年9月1日,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》正式施行,這標(biāo)志著我國網(wǎng)絡(luò)安全法律法規(guī)建設(shè)和安全保障工作進入到了一個新階段?!稐l例》頒布一年以來,各相關(guān)部門和有關(guān)機構(gòu)積極推進關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,并取得顯著成效。明天正值《條例》實施一周年,值得注意的是,當(dāng)前我國關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全形勢依然嚴(yán)峻,網(wǎng)絡(luò)攻擊威脅事件頻發(fā)。持續(xù)做好關(guān)鍵信息基礎(chǔ)設(shè)施安全保護,不斷推動條例落地實施意義重大。
關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)乎國計民生 關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的核心樞紐,承載核心系統(tǒng),提供核心服務(wù)。當(dāng)前,關(guān)鍵信息基礎(chǔ)設(shè)施正是網(wǎng)絡(luò)黑客、APT組織、勒索病毒的重點攻擊目標(biāo),所以保護關(guān)鍵信息基礎(chǔ)設(shè)施,就是保衛(wèi)國計民生,就是捍衛(wèi)網(wǎng)絡(luò)國防。 關(guān)基挑戰(zhàn): 場景復(fù)雜性與網(wǎng)絡(luò)威脅持續(xù)存在 站在需求的角度,關(guān)基運營者從技術(shù)方面,主要面臨三方面挑戰(zhàn): 一、場景更加復(fù)雜。在全面數(shù)字化轉(zhuǎn)型的背景下,新技術(shù)領(lǐng)域和關(guān)鍵信息基礎(chǔ)設(shè)施正在融合耦合,網(wǎng)絡(luò)資產(chǎn)、工作場景大量增加,安全風(fēng)險與日俱增。 二、威脅持續(xù)演進。網(wǎng)絡(luò)攻擊愈演愈烈,造成的影響越來越大。2015年烏克蘭斷電事件和2019年委內(nèi)瑞拉斷電事件攻擊者仍未溯源。2021年5月,美國東海岸科洛尼爾管道運輸公司遭受勒索軟件攻擊,嚴(yán)重影響17個州和首都華盛頓特區(qū)的燃油供應(yīng)。 三、安全需求日益提高。在保證數(shù)據(jù)安全的同時,還需要增加業(yè)務(wù)系統(tǒng)的彈性韌性,實現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施高可用、抗毀傷,在受到攻擊時依然能夠提供基本的服務(wù)。 另外,關(guān)基運營者也面臨更嚴(yán)格的法規(guī)遵從。從2017年的《網(wǎng)絡(luò)安全法》,到2021年的《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》都是必須遵從的法律法規(guī)要求。這是安全防護的基線,也是底線。 應(yīng)對方式: 一大核心、四大支撐及六大能力 為應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施的各種挑戰(zhàn),中國信息安全領(lǐng)軍企業(yè)北信源將“三化六防”實戰(zhàn)理念融入關(guān)保建設(shè)當(dāng)中,以風(fēng)險為核心構(gòu)建“關(guān)?!憋L(fēng)險治理體系。通過平臺大數(shù)據(jù)技術(shù)服務(wù)及四大體系全面賦能業(yè)務(wù)安全,從而支撐各行業(yè)部門關(guān)鍵信息基礎(chǔ)設(shè)施的分析識別、安全防護、檢測評估、監(jiān)測預(yù)警、技術(shù)對抗及事件處置的全環(huán)節(jié)建設(shè),最終形成六大完全能力。 一大核心:以“風(fēng)險”為核心 北信源認(rèn)為,關(guān)鍵信息基礎(chǔ)設(shè)施的防護要以“風(fēng)險”為核心,這是指所有的安全舉措(風(fēng)險評估和治理等)都要圍繞“風(fēng)險”這個核心定量指標(biāo)進行。“風(fēng)險”通過分解成“責(zé)任-資產(chǎn)-脆弱性-威脅”四個步驟,將相關(guān)的人、物和事串聯(lián)在一起,將安全措施貫徹在完整的體系中,再通過風(fēng)險值的改變反映出來。風(fēng)險的評估和治理以“風(fēng)險治理平臺”為依托。 四大支撐:人員服務(wù)體系、技術(shù)產(chǎn)品體系、安全運維體系、應(yīng)急響應(yīng)體系 人員服務(wù)體系,指關(guān)保涉及的所有的“人”的集合。人員服務(wù)體系不僅包括所有的安全技術(shù)人員和業(yè)務(wù)的責(zé)任人的信息,還包括人員組織形式、規(guī)章制度,所有人員的培訓(xùn)、演練和工作記錄等。 技術(shù)產(chǎn)品體系,指關(guān)保涉及的所有“物”的集合。技術(shù)產(chǎn)品體系不僅包括等保2.0要求的“一個中心,三重防護”所涉及的安全產(chǎn)品,還涉及所有業(yè)務(wù)相關(guān)“信息資產(chǎn)”的供應(yīng)鏈安全評估和管理工具等。 安全運維體系,指關(guān)保脆弱性驅(qū)動的所有“事”的集合。安全運維體系包括安全體系建設(shè)、運行維護相關(guān)的支撐手段。 應(yīng)急響應(yīng)體系,指關(guān)保威脅驅(qū)動的所有的“事”的集合。應(yīng)急響應(yīng)體系包括應(yīng)急響應(yīng)指揮、處置、對抗、溝通協(xié)調(diào)和演練相關(guān)的支撐手段。 六大能力:圍繞風(fēng)險治理形成的六大安全能力 六大能力,是以風(fēng)險治理為目標(biāo),在長期的安全建設(shè)、運維和應(yīng)急響應(yīng)過程中,由人和物形成的綜合針對關(guān)鍵信息基礎(chǔ)設(shè)施的安全能力。包括:分析識別能力、檢測評估能力、技術(shù)防護能力、監(jiān)測預(yù)警能力、應(yīng)急處置能力和技術(shù)對抗能力。 北信源“關(guān)?!憋L(fēng)險治理體系契合新時代需求 北信源風(fēng)險治理體系能夠全面覆蓋網(wǎng)絡(luò)空間安全的各個層面,以定量數(shù)值方式評估風(fēng)險和改進程度,并通過有效性評估形成閉環(huán)管理,承擔(dān)網(wǎng)絡(luò)空間安全全面持續(xù)性改進。該體系也充分滿足了新時代、新形勢下“關(guān)基”單位風(fēng)險治理的需求,從以下幾點特性就不難看出其適配性: 【規(guī)范性】體系建設(shè)依據(jù)是經(jīng)過科學(xué)論證和實踐檢驗的國家的信息安全標(biāo)準(zhǔn)和規(guī)范,具有科學(xué)性和權(quán)威性。 【目的性】體系建設(shè)有明確的目標(biāo)導(dǎo)向。在當(dāng)前發(fā)展階段,以數(shù)據(jù)安全作為重要的網(wǎng)絡(luò)空間安全目標(biāo)。隨著安全技術(shù)和形勢的發(fā)展,能夠及時調(diào)整目標(biāo)以適應(yīng)環(huán)境。 【開放性】體系建設(shè)具有開放性特點,不僅不限定指定的技術(shù)、設(shè)備和廠商,而且鼓勵兼容多種技術(shù)、設(shè)備和廠商形成良性競爭,促進體系進步。 【客觀性】體系的量化評分依據(jù)以技術(shù)指標(biāo)為主,具有客觀性,減低了主觀打分的影響,這樣才具備不同主體和同一主體改進前后的數(shù)量對比的基礎(chǔ)。 【實時性】體系的量化評分能實時反映當(dāng)前安全狀態(tài)。當(dāng)前網(wǎng)絡(luò)安全事件突發(fā)性很強,體系必須具備實時性,即發(fā)現(xiàn)問題后立即改進問題的能力。 【主動性】體系的量化評分能夠驅(qū)動責(zé)任主體單位主動、持續(xù)進行安全防護能力的提升,并且對責(zé)任主體的改進進行定量評估。 北信源“關(guān)保”風(fēng)險治理體系 相較于態(tài)勢感知平臺的優(yōu)勢 一、將關(guān)鍵業(yè)務(wù)責(zé)任作為“根” 北信源以具體問題具體分析的方式,運用關(guān)基思維分析,抓住關(guān)鍵信息基礎(chǔ)設(shè)施的特點,認(rèn)清關(guān)基安全本質(zhì),把業(yè)務(wù)作為安全風(fēng)險的“根”,以保護關(guān)鍵業(yè)務(wù)為目的,對業(yè)務(wù)涉及的一個或多個網(wǎng)絡(luò)和信息系統(tǒng)進行體系化安全設(shè)計,從而解決了關(guān)基安全的根本問題,在此基礎(chǔ)上構(gòu)建整體安全保障體系。 二、“被動”轉(zhuǎn)“主動” 化解“常態(tài)化”問題 在北信源風(fēng)險治理體系下,首先樹立核心業(yè)務(wù)和業(yè)務(wù)負(fù)責(zé)人,再將相關(guān)資產(chǎn)歸攏在核心業(yè)務(wù)下面。這樣責(zé)任跟隨資產(chǎn),自然的歸屬在業(yè)務(wù)負(fù)責(zé)人和團隊,也能夠解決業(yè)務(wù)和安全的沖突問題;而所有的改進都把降低風(fēng)險量作為改進的方向和尺度,這樣也解決了非安全技術(shù)人員無法對安全改進定量掌控的問題。 三、以風(fēng)險管理為導(dǎo)向的動態(tài)防護 北信源風(fēng)險治理體系根據(jù)關(guān)基面臨的威脅態(tài)勢,進行持續(xù)監(jiān)測和安全控制措施的動態(tài)調(diào)整,形成動態(tài)的安全防護機制,及時有效的防范應(yīng)對安全風(fēng)險。 關(guān)鍵信息基礎(chǔ)設(shè)施是國家網(wǎng)絡(luò)安全戰(zhàn)略的核心,作為國家規(guī)劃布局內(nèi)的重點軟件企業(yè)、國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護核心承擔(dān)單位之一,北信源受邀入駐國家等級保護2.0與可信計算3.0攻關(guān)示范基地。未來,北信源將持續(xù)面向重要信息系統(tǒng)運營者提供更加優(yōu)質(zhì)的安全服務(wù),全面落實關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作,實現(xiàn)網(wǎng)絡(luò)安全各類事件和風(fēng)險的多層級、多維度處理,不斷探索、持續(xù)創(chuàng)新,為加強國家網(wǎng)絡(luò)安全保障體系和能力建設(shè)作出更大貢獻(xiàn)。