今日頭條
官方微信
官方抖音
資訊頻道【編者按】關鍵信息基礎設施是經(jīng)濟社會穩(wěn)定運行的重要基礎,是國家安全的重要基石。近期,我國發(fā)布了對關鍵信息基礎設施安全檢查、評估、保護相關條例及制度,揭開了中國關鍵信息基礎設施安全保護工作的新篇章。本文從識別認定、概念內(nèi)涵、體系化保護和統(tǒng)籌發(fā)展等角度,提出了對關鍵信息基礎設施安全檢查、評估、保護工作的認識和思考。(國防科技大學信息通信學院 鄭理)
對關鍵信息基礎設施安全
檢查、評估、保護工作的認識和思考
通過學習《關鍵信息基礎設施安全保護條例》(征求意見稿)、國家標準《信息安全技術 關鍵信息基礎設施安全檢查評估指南》(征求意見稿)、國家標準《信息安全技術?關鍵信息基礎設施安全保障指標體系》(征求意見稿)等文獻(下文分別簡稱“條例”、“指南”、“指標體系”),以及研究美國關鍵基礎設施保護的實踐,本文提出對關鍵信息基礎設施(Critical Information Infrastructure,CII)安全檢查、評估、保護工作的四點思考。
一、識別認定:從關鍵業(yè)務到CII,力避“關鍵”與“非關鍵”混為一談 首先,要將CII從普遍的、一般的信息基礎設施中區(qū)分出來。在“指南”的檢查評估流程中明確了CII的范圍:調(diào)研和梳理檢查評估對象的關鍵業(yè)務,確定支撐關鍵業(yè)務運行的基礎設施。這樣的基礎設施就是CII。同樣,相關學者在《關鍵信息基礎設施邊界識別刻不容緩》一文中提出的依關鍵業(yè)務來判斷CII,以及依業(yè)務鏈(信息流)來將相互聯(lián)系的CII“順藤摸瓜”排查出來,這都體現(xiàn)了從關鍵業(yè)務到CII的思想方法。而關鍵業(yè)務的確定,可從關鍵信息基礎設施運營機構的戰(zhàn)略任務、目標使命中導出,這應該是比較明確的。將關鍵業(yè)務從一般化的業(yè)務中剝離出來了,就能將CII從普通的信息基礎設施或基礎設施中分離出來,避免了“關鍵”與“非關鍵”混為一談。 二、區(qū)分重點:“網(wǎng)絡設施”與“信息系統(tǒng)”要有所側重 根據(jù)“條例”中明確的“關鍵信息基礎設施范圍”,CII可區(qū)分為“網(wǎng)絡設施”與“信息系統(tǒng)”。筆者認為二者并不平等,要區(qū)別對待,有所側重。網(wǎng)絡設施偏物理資產(chǎn),信息系統(tǒng)偏軟件、數(shù)據(jù)等無形資產(chǎn)或虛擬資產(chǎn)。在此引用美國關鍵基礎設施(CI)保護中的提法,他們將CI分為Physical aspect(物理層面)和Cyber/Virtual aspect(網(wǎng)絡/虛擬層面),這與上述“網(wǎng)絡設施”和“信息系統(tǒng)”的分法有一定對應關系。當今社會,隨著信息網(wǎng)絡技術向傳統(tǒng)工業(yè)領域、金融領域等滲透和應用,關鍵基礎設施網(wǎng)絡安全的重要性日益凸顯,網(wǎng)絡安全的形勢明顯比傳統(tǒng)物理安全嚴峻,關鍵基礎設施的網(wǎng)絡安全成為了一種新的影響國家安全的威脅隱患。因此,美國所講的CI保護和我國提出的CII保護更多的是對CI/CII網(wǎng)絡安全方面的保護,而非物理安全。物理安全并非不重要,而是因為來自網(wǎng)絡空間對CI/CII的攻擊具有級聯(lián)性、隱蔽性,追根溯源難,其后果和治理難度遠高于傳統(tǒng)的物理威脅。 事實上,從美國官方發(fā)布的大量文件看,幾乎全部側重于CI的網(wǎng)絡安全保護,時間越靠后越如此。通過全文學習“條例”不難發(fā)現(xiàn),不僅明確提出“關鍵信息基礎設施在網(wǎng)絡安全等級保護制度基礎上,實行重點保護”,通篇談論的都是CII的網(wǎng)絡安全保護問題,而不是突出其物理安全保護。包括在開展CII安全檢測評估時也是委托網(wǎng)絡安全服務機構進行技術檢測。從“指南”和“指標體系”這兩部國標的“規(guī)范性引用文件”來看,幾乎引用的都是信息安全方面的國家標準,如《信息安全技術信息安全等級保護基本要求》(GB/T 22239-2015)、《信息安全技術信息安全保障指標體系及評價方法》(GB/T 31495.2-2015)等。這印證了網(wǎng)絡安全(信息安全)是我國開展CII安全保護的重點,因此,在CII具體的保護對象上,應側重“信息系統(tǒng)”。 三、體系化保護:供應鏈安全與產(chǎn)業(yè)鏈安全 供應鏈是指從供應商到制造商,再到分銷商、零售商直至最終用戶的一個完整鏈條,體現(xiàn)了從原材料采購到制造再到生產(chǎn)、銷售的完整周期。眾所周知,在信息技術、計算機技術領域我國面臨“缺芯少魂”的局面(中國工程院倪光南院士反復強調(diào))。“芯”即芯片,“魂”即操作系統(tǒng),以及工業(yè)基礎軟件和工業(yè)設計仿真軟件。這就決定了我國的CII面臨較大的供應鏈風險,后門、漏洞、特洛伊木馬嚴重威脅CII安全。正因為此,“條例”單設“產(chǎn)品與服務安全”章,針對采購的網(wǎng)絡產(chǎn)品和服務以及外包開發(fā)的系統(tǒng)、軟件等制定了相關制度,解決的就是供應鏈安全問題。如“運營者應當對外包開發(fā)的系統(tǒng)、軟件,接受捐贈的網(wǎng)絡產(chǎn)品,在其上線應用前進行安全檢測”。不僅如此,“指南”提出要收集產(chǎn)品、服務供應商的信息和產(chǎn)品服務供應商相關人員的信息,包括組織架構、崗位設置、人員姓名、手機、郵箱等。這些突破CII運營商的大門,沿著供應鏈延伸的管理觸角,看似“管的寬”,實則告訴我們“供應鏈就是風險鏈”,管不好供應鏈的安全是不完善的安全。 所謂“產(chǎn)業(yè)鏈安全”是從CII運營商在整個產(chǎn)業(yè)鏈或行業(yè)中扮演的角色,以及不同行業(yè)間相互依賴關系的角度來反觀對自身CII安全的需求。說白了,就是自己出了問題會對外界有哪些影響。例如CII領域中的化工業(yè),一般化工業(yè)分為化學品原材料生產(chǎn)、加工的上游行業(yè),和化學品深加工以及經(jīng)銷、零售的下游行業(yè)。很顯然,一旦上游行業(yè)出問題必將影響下游行業(yè)。又如,從不同行業(yè)相互依賴的角度看。化工業(yè)為污水凈化提供化學物質(zhì)消毒、為能源業(yè)和運輸業(yè)提供化石燃料、為信息技術產(chǎn)業(yè)提供芯片和集成電路制造的原材料等。站在相互聯(lián)系的角度把這些問題分析清楚了就明白確保自身和整個行業(yè)CII安全的高度重要性,從而制定針對性的保護措施。 在這個問題上,美國國家標準技術研究院NIST為關鍵基礎設施的網(wǎng)絡安全制定的“網(wǎng)絡安全框架”(Cybersecurity Framework)也體現(xiàn)了對供應鏈、產(chǎn)業(yè)鏈進行整體管理的思想。“框架”將與關鍵基礎設施企業(yè)有關的供應商、大客戶和企業(yè)的合作伙伴并稱為“stakeholders”——利益相關者,即將三者作為一個整體。例如“框架”就規(guī)定了“風險管理流程被建立、管理以及被企業(yè)的利益相關者同意”,“外部服務提供商的活動被監(jiān)控以檢測潛在的網(wǎng)絡安全事件”,以及“企業(yè)在關鍵基礎設施和它的工業(yè)領域中的地位被辨識和理解”。這些規(guī)定都體現(xiàn)了“內(nèi)”和“外”的協(xié)調(diào)一致,即一個企業(yè)的網(wǎng)絡安全問題既要考慮自身的需求,也要考慮外部(供應鏈、產(chǎn)業(yè)鏈、行業(yè)領域)的需求,將二者統(tǒng)籌兼顧,并取得協(xié)調(diào)一致,它體現(xiàn)了圍繞供應鏈安全和產(chǎn)業(yè)鏈安全的體系化保護思想。 此外,在制度設計方面,“指南”提出安全管理制度要成體系化建設,這個“體系”包含:日常工作規(guī)范、安全配置標準、業(yè)務連續(xù)性計劃、應急預案等。這也是體系化保護思想的體現(xiàn)。 四、統(tǒng)籌兼顧:硬安全與軟安全、外防與內(nèi)防 所謂“硬安全”是指具有可測指標或有承載實體的對象安全,“軟安全”是指人員思想意識、規(guī)章制度的建立與落實等看不見、難以測度的安全事宜。國標“指標體系”中有多個可測的指標,如安全漏洞數(shù)量、有害程序事件數(shù)、網(wǎng)絡攻擊事件數(shù)、信息破壞事件數(shù)等10余項,還有安全管理人才隊伍情況(通過統(tǒng)計從業(yè)人員網(wǎng)絡安全培訓規(guī)模、通過網(wǎng)絡安全資質(zhì)測試的從業(yè)人員數(shù)量來計算)、攻擊破壞防護能力情況(通過統(tǒng)計通過系統(tǒng)安全測評和建立了網(wǎng)絡信任體系的信息系統(tǒng)數(shù)來計算)、安全監(jiān)測能力(通過統(tǒng)計建立安全監(jiān)測預警體系和開展風險評估的系統(tǒng)數(shù)量來計算)等。這些安全指標都是客觀、量化、可測的,有看得見的數(shù)量、摸得著的系統(tǒng),能操作的軟件,屬于硬安全指標。然而,影響CII安全的因素不止這些,還有人員的安全意識、安全責任落實情況、安全標準執(zhí)行情況、安全發(fā)展規(guī)劃制定情況以及關鍵崗位人員背景審查情況等,這些都是偏主觀、見于思想和難以量化的。對這些指標的檢查需要檢查方、安全管理負責人深入研究、長期觀察,及采用問卷調(diào)查、談心談話等方法。如“指南”提出的“安全意識測試”采用發(fā)放安全意識調(diào)查問卷、測試安全常識掌握情況,和向相關人員發(fā)送無害的釣魚郵件、釣魚短信等方式檢測其安全意識。此外,在CII安全保護中還應注意外防與內(nèi)防相結合。外防即我們經(jīng)常講的防御來自外部網(wǎng)絡或從外界侵入的惡意攻擊、病毒植入、拒絕服務攻擊等。內(nèi)防則是對單位內(nèi)部的從業(yè)人員利用職務和所掌握的資源優(yōu)勢從事有害CII安全的行為的防范。“條例”、“指南”、“指標體系”均提出“要對關鍵崗位人員進行安全背景審查”的要求。此外還應采用授權管理、訪問控制的技術措施,貫徹權限最低、職責分離的原則,以及建立健全機房出入記錄、網(wǎng)絡安全日志留存、人員離職審查等制度,加強對人員行為的監(jiān)管。 來源:網(wǎng)信軍民融合
北京市公安局海淀分局備案號:11010802023656號