今日頭條
官方微信
官方抖音
資訊頻道【編者按】關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會穩(wěn)定運行的重要基礎(chǔ),是國家安全的重要基石。近期,我國發(fā)布了對關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查、評估、保護相關(guān)條例及制度,揭開了中國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的新篇章。本文從識別認(rèn)定、概念內(nèi)涵、體系化保護和統(tǒng)籌發(fā)展等角度,提出了對關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查、評估、保護工作的認(rèn)識和思考。(國防科技大學(xué)信息通信學(xué)院 鄭理)
對關(guān)鍵信息基礎(chǔ)設(shè)施安全
檢查、評估、保護工作的認(rèn)識和思考
通過學(xué)習(xí)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(征求意見稿)、國家標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南》(征求意見稿)、國家標(biāo)準(zhǔn)《信息安全技術(shù)?關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》(征求意見稿)等文獻(下文分別簡稱“條例”、“指南”、“指標(biāo)體系”),以及研究美國關(guān)鍵基礎(chǔ)設(shè)施保護的實踐,本文提出對關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure,CII)安全檢查、評估、保護工作的四點思考。
一、識別認(rèn)定:從關(guān)鍵業(yè)務(wù)到CII,力避“關(guān)鍵”與“非關(guān)鍵”混為一談 首先,要將CII從普遍的、一般的信息基礎(chǔ)設(shè)施中區(qū)分出來。在“指南”的檢查評估流程中明確了CII的范圍:調(diào)研和梳理檢查評估對象的關(guān)鍵業(yè)務(wù),確定支撐關(guān)鍵業(yè)務(wù)運行的基礎(chǔ)設(shè)施。這樣的基礎(chǔ)設(shè)施就是CII。同樣,相關(guān)學(xué)者在《關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別刻不容緩》一文中提出的依關(guān)鍵業(yè)務(wù)來判斷CII,以及依業(yè)務(wù)鏈(信息流)來將相互聯(lián)系的CII“順藤摸瓜”排查出來,這都體現(xiàn)了從關(guān)鍵業(yè)務(wù)到CII的思想方法。而關(guān)鍵業(yè)務(wù)的確定,可從關(guān)鍵信息基礎(chǔ)設(shè)施運營機構(gòu)的戰(zhàn)略任務(wù)、目標(biāo)使命中導(dǎo)出,這應(yīng)該是比較明確的。將關(guān)鍵業(yè)務(wù)從一般化的業(yè)務(wù)中剝離出來了,就能將CII從普通的信息基礎(chǔ)設(shè)施或基礎(chǔ)設(shè)施中分離出來,避免了“關(guān)鍵”與“非關(guān)鍵”混為一談。 二、區(qū)分重點:“網(wǎng)絡(luò)設(shè)施”與“信息系統(tǒng)”要有所側(cè)重 根據(jù)“條例”中明確的“關(guān)鍵信息基礎(chǔ)設(shè)施范圍”,CII可區(qū)分為“網(wǎng)絡(luò)設(shè)施”與“信息系統(tǒng)”。筆者認(rèn)為二者并不平等,要區(qū)別對待,有所側(cè)重。網(wǎng)絡(luò)設(shè)施偏物理資產(chǎn),信息系統(tǒng)偏軟件、數(shù)據(jù)等無形資產(chǎn)或虛擬資產(chǎn)。在此引用美國關(guān)鍵基礎(chǔ)設(shè)施(CI)保護中的提法,他們將CI分為Physical aspect(物理層面)和Cyber/Virtual aspect(網(wǎng)絡(luò)/虛擬層面),這與上述“網(wǎng)絡(luò)設(shè)施”和“信息系統(tǒng)”的分法有一定對應(yīng)關(guān)系。當(dāng)今社會,隨著信息網(wǎng)絡(luò)技術(shù)向傳統(tǒng)工業(yè)領(lǐng)域、金融領(lǐng)域等滲透和應(yīng)用,關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的重要性日益凸顯,網(wǎng)絡(luò)安全的形勢明顯比傳統(tǒng)物理安全嚴(yán)峻,關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全成為了一種新的影響國家安全的威脅隱患。因此,美國所講的CI保護和我國提出的CII保護更多的是對CI/CII網(wǎng)絡(luò)安全方面的保護,而非物理安全。物理安全并非不重要,而是因為來自網(wǎng)絡(luò)空間對CI/CII的攻擊具有級聯(lián)性、隱蔽性,追根溯源難,其后果和治理難度遠(yuǎn)高于傳統(tǒng)的物理威脅。 事實上,從美國官方發(fā)布的大量文件看,幾乎全部側(cè)重于CI的網(wǎng)絡(luò)安全保護,時間越靠后越如此。通過全文學(xué)習(xí)“條例”不難發(fā)現(xiàn),不僅明確提出“關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上,實行重點保護”,通篇談?wù)摰亩际荂II的網(wǎng)絡(luò)安全保護問題,而不是突出其物理安全保護。包括在開展CII安全檢測評估時也是委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)進行技術(shù)檢測。從“指南”和“指標(biāo)體系”這兩部國標(biāo)的“規(guī)范性引用文件”來看,幾乎引用的都是信息安全方面的國家標(biāo)準(zhǔn),如《信息安全技術(shù)信息安全等級保護基本要求》(GB/T 22239-2015)、《信息安全技術(shù)信息安全保障指標(biāo)體系及評價方法》(GB/T 31495.2-2015)等。這印證了網(wǎng)絡(luò)安全(信息安全)是我國開展CII安全保護的重點,因此,在CII具體的保護對象上,應(yīng)側(cè)重“信息系統(tǒng)”。 三、體系化保護:供應(yīng)鏈安全與產(chǎn)業(yè)鏈安全 供應(yīng)鏈?zhǔn)侵笍墓?yīng)商到制造商,再到分銷商、零售商直至最終用戶的一個完整鏈條,體現(xiàn)了從原材料采購到制造再到生產(chǎn)、銷售的完整周期。眾所周知,在信息技術(shù)、計算機技術(shù)領(lǐng)域我國面臨“缺芯少魂”的局面(中國工程院倪光南院士反復(fù)強調(diào))。“芯”即芯片,“魂”即操作系統(tǒng),以及工業(yè)基礎(chǔ)軟件和工業(yè)設(shè)計仿真軟件。這就決定了我國的CII面臨較大的供應(yīng)鏈風(fēng)險,后門、漏洞、特洛伊木馬嚴(yán)重威脅CII安全。正因為此,“條例”單設(shè)“產(chǎn)品與服務(wù)安全”章,針對采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及外包開發(fā)的系統(tǒng)、軟件等制定了相關(guān)制度,解決的就是供應(yīng)鏈安全問題。如“運營者應(yīng)當(dāng)對外包開發(fā)的系統(tǒng)、軟件,接受捐贈的網(wǎng)絡(luò)產(chǎn)品,在其上線應(yīng)用前進行安全檢測”。不僅如此,“指南”提出要收集產(chǎn)品、服務(wù)供應(yīng)商的信息和產(chǎn)品服務(wù)供應(yīng)商相關(guān)人員的信息,包括組織架構(gòu)、崗位設(shè)置、人員姓名、手機、郵箱等。這些突破CII運營商的大門,沿著供應(yīng)鏈延伸的管理觸角,看似“管的寬”,實則告訴我們“供應(yīng)鏈就是風(fēng)險鏈”,管不好供應(yīng)鏈的安全是不完善的安全。 所謂“產(chǎn)業(yè)鏈安全”是從CII運營商在整個產(chǎn)業(yè)鏈或行業(yè)中扮演的角色,以及不同行業(yè)間相互依賴關(guān)系的角度來反觀對自身CII安全的需求。說白了,就是自己出了問題會對外界有哪些影響。例如CII領(lǐng)域中的化工業(yè),一般化工業(yè)分為化學(xué)品原材料生產(chǎn)、加工的上游行業(yè),和化學(xué)品深加工以及經(jīng)銷、零售的下游行業(yè)。很顯然,一旦上游行業(yè)出問題必將影響下游行業(yè)。又如,從不同行業(yè)相互依賴的角度看。化工業(yè)為污水凈化提供化學(xué)物質(zhì)消毒、為能源業(yè)和運輸業(yè)提供化石燃料、為信息技術(shù)產(chǎn)業(yè)提供芯片和集成電路制造的原材料等。站在相互聯(lián)系的角度把這些問題分析清楚了就明白確保自身和整個行業(yè)CII安全的高度重要性,從而制定針對性的保護措施。 在這個問題上,美國國家標(biāo)準(zhǔn)技術(shù)研究院NIST為關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全制定的“網(wǎng)絡(luò)安全框架”(Cybersecurity Framework)也體現(xiàn)了對供應(yīng)鏈、產(chǎn)業(yè)鏈進行整體管理的思想。“框架”將與關(guān)鍵基礎(chǔ)設(shè)施企業(yè)有關(guān)的供應(yīng)商、大客戶和企業(yè)的合作伙伴并稱為“stakeholders”——利益相關(guān)者,即將三者作為一個整體。例如“框架”就規(guī)定了“風(fēng)險管理流程被建立、管理以及被企業(yè)的利益相關(guān)者同意”,“外部服務(wù)提供商的活動被監(jiān)控以檢測潛在的網(wǎng)絡(luò)安全事件”,以及“企業(yè)在關(guān)鍵基礎(chǔ)設(shè)施和它的工業(yè)領(lǐng)域中的地位被辨識和理解”。這些規(guī)定都體現(xiàn)了“內(nèi)”和“外”的協(xié)調(diào)一致,即一個企業(yè)的網(wǎng)絡(luò)安全問題既要考慮自身的需求,也要考慮外部(供應(yīng)鏈、產(chǎn)業(yè)鏈、行業(yè)領(lǐng)域)的需求,將二者統(tǒng)籌兼顧,并取得協(xié)調(diào)一致,它體現(xiàn)了圍繞供應(yīng)鏈安全和產(chǎn)業(yè)鏈安全的體系化保護思想。 此外,在制度設(shè)計方面,“指南”提出安全管理制度要成體系化建設(shè),這個“體系”包含:日常工作規(guī)范、安全配置標(biāo)準(zhǔn)、業(yè)務(wù)連續(xù)性計劃、應(yīng)急預(yù)案等。這也是體系化保護思想的體現(xiàn)。 四、統(tǒng)籌兼顧:硬安全與軟安全、外防與內(nèi)防 所謂“硬安全”是指具有可測指標(biāo)或有承載實體的對象安全,“軟安全”是指人員思想意識、規(guī)章制度的建立與落實等看不見、難以測度的安全事宜。國標(biāo)“指標(biāo)體系”中有多個可測的指標(biāo),如安全漏洞數(shù)量、有害程序事件數(shù)、網(wǎng)絡(luò)攻擊事件數(shù)、信息破壞事件數(shù)等10余項,還有安全管理人才隊伍情況(通過統(tǒng)計從業(yè)人員網(wǎng)絡(luò)安全培訓(xùn)規(guī)模、通過網(wǎng)絡(luò)安全資質(zhì)測試的從業(yè)人員數(shù)量來計算)、攻擊破壞防護能力情況(通過統(tǒng)計通過系統(tǒng)安全測評和建立了網(wǎng)絡(luò)信任體系的信息系統(tǒng)數(shù)來計算)、安全監(jiān)測能力(通過統(tǒng)計建立安全監(jiān)測預(yù)警體系和開展風(fēng)險評估的系統(tǒng)數(shù)量來計算)等。這些安全指標(biāo)都是客觀、量化、可測的,有看得見的數(shù)量、摸得著的系統(tǒng),能操作的軟件,屬于硬安全指標(biāo)。然而,影響CII安全的因素不止這些,還有人員的安全意識、安全責(zé)任落實情況、安全標(biāo)準(zhǔn)執(zhí)行情況、安全發(fā)展規(guī)劃制定情況以及關(guān)鍵崗位人員背景審查情況等,這些都是偏主觀、見于思想和難以量化的。對這些指標(biāo)的檢查需要檢查方、安全管理負(fù)責(zé)人深入研究、長期觀察,及采用問卷調(diào)查、談心談話等方法。如“指南”提出的“安全意識測試”采用發(fā)放安全意識調(diào)查問卷、測試安全常識掌握情況,和向相關(guān)人員發(fā)送無害的釣魚郵件、釣魚短信等方式檢測其安全意識。此外,在CII安全保護中還應(yīng)注意外防與內(nèi)防相結(jié)合。外防即我們經(jīng)常講的防御來自外部網(wǎng)絡(luò)或從外界侵入的惡意攻擊、病毒植入、拒絕服務(wù)攻擊等。內(nèi)防則是對單位內(nèi)部的從業(yè)人員利用職務(wù)和所掌握的資源優(yōu)勢從事有害CII安全的行為的防范。“條例”、“指南”、“指標(biāo)體系”均提出“要對關(guān)鍵崗位人員進行安全背景審查”的要求。此外還應(yīng)采用授權(quán)管理、訪問控制的技術(shù)措施,貫徹權(quán)限最低、職責(zé)分離的原則,以及建立健全機房出入記錄、網(wǎng)絡(luò)安全日志留存、人員離職審查等制度,加強對人員行為的監(jiān)管。 來源:網(wǎng)信軍民融合
北京市公安局海淀分局備案號:11010802023656號