本文3195字 阅读约需 9分钟
2023年5月1日,《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关基保护要求》)正式实施。该标准作为《关键信息基础设施安全保护条例》(以下简称《关保条例》)发布后首个正式发布的关键信息基础设施安全保护标准,在操作层面,为开展关键信息基础设施安全保护工作提供了更好的、更具体的工作指引,进而推动和指导关基保护进一步落地。
随着IT基础设施、信息系统的不断发展,以及外部网络攻击形势的日益严峻,目前关键信息基础设施的安全防护究竟存在怎样的问题,《关基保护要求》正式实施后网络安全体系该如何建设,已经成了关注的焦点。
三项基本原则提供方向指引
《关基安全保护要求》提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护三项基本原则。奇安信认为,这些基本原则相较于其他类似的标准(如《等保基本要求》),理念更加先进,具体表现在以下几个方面。
第一条原则是以关键业务为核心的整体防控,它强调了业务风险与网络安全风险融合理念。其中最具代表性的一条是在第六章“分析识别”的第一项活动中,首次提出了关键业务链的概念,把安全防控的范畴延申到以业务流、数据流为核心的业务边界,从而打破了传统认知的物理边界或网络边界,这样才能真正的保证关键信息基础设施的安全,也充分切合我国“互联网+”行动和数据化转型的信息化发展大趋势。
第二条原则是以风险为导向的动态防护,它强调了关基保护要采用风险导向、要实现动态防护。网络安全是持续的对抗、是人与人的较量,静态的防御措施无法抵挡中、高强度的攻击,《关基保护要求》是以等级保护为基础,对关键信息基础设施提出的强化保障要求,重点就是落实风险导向和动态防护。
更进一步,《关基保护要求》对“分析识别”活动做出了具体要求,它特别强调了风险识别与重大变更,因为重大变更也会带来新的风险,这代表《关基保护要求》融入了业界主流的以风险为导向的安全保护思想。
第三条原则是以信息共享为基础的协同联防,宗旨是在主管单位的指导下,建设“群防群控”的关基监测指挥保护体系。这里需要从两个维度来分析,一是落实《关基保护条例》,对相关监管机构和关键信息基础设施运营单位的职责有明确分工,需要共同构建起关基保护监测指挥保护体系;二是一个关键业务可能由多个运营者的多个关键信息基础设施承载,这些运营者间也要形成信息共享、协同联动的共同防护机制。
毫无疑问,这三项基本原则,为关基保护提供了清晰的方向指引和依据,便于实际操作的落地。
六大维度推动关基保护体系落地
为了提升关键信息基础设施防护水平,落实《关基保护条例》当中的要求,5月1日起正式实施的《关基保护要求》从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六大安全维度,指导关基网络安全防护进一步落地。其中以下几个亮点值得关注:
首先是更加明确了关基保护的相关权责体系,包括首次引入首席网络安全官的概念。
《关基保护条例》明确了运营单位主要负责人是本单位关基安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实。相比之下在《关基保护要求》中,分别在安全管理制度、安全管理机构、安全管理人员方面做了更具象的要求,例如在安全管理机构上,不但明确了成立网络安全工作委员会或领导小组,还首次在国标里引入了首席网络安全官的概念,明确了领导班子成员作为首席网络安全官,专职管理或分管关基安全保护工作。
其次是细化了IT资产管理要求,提出动态识别资产变化的能力。
众所周知,以IT资产为核心的风险管理是安全运营的基础工作,也是重中之重。随着云计算、虚拟化、物联网等新技术、新场景的不断应用,资产管理已经成为了大多数企业的难题。因为不能实时、持续、动态管控资产,网络中存在无法掌控的影子、僵尸、无主、幽灵、沉默等资产而导致的网络安全事件时有发生。
为此,《关基保护要求》对资产管理提出了动态识别资产变化,利用自动化工具做好资产的配置、漏洞、补丁管理,收敛资产暴露面等要求,将大幅降低因资产管控不到位而导致被攻陷的风险。
第三是明确建设实战化的关基安全防护体系。
《关基保护要求》提出在监测预警活动中,要建立事态模型,提前或及时发出安全警示,提高主动发现攻击能力,主动进行攻击捕获、分析、溯源等,同时开展攻防演习等。上述要求充分表明关基需要建设面向实战的安全防护体系。
需要注意的是,《关基保护要求》从分析识别、安全防护、检测评估、监测预警、主动防御、事件处理六个方面,提出了111条安全要求,但在落地实施方面,不能简单粗暴的拿来主义、逐条落实,需要采用系统化的思维进行安全体系的审视和设计,与关基业务相结合,形成科学、完整、有效的安全保障体系,并持续通过安全运营保障安全体系的有效运转。
做好关基安全防护需落实五项工作
从“关保条例”到“关保要求”,无论是对关基单位,还是网络安全企业都提出了更高的要求,奇安信结合大量的关基安全保护实践经验,总结出以下五项工作建议:
一是责任先行。前文已经提到,《关基保护要求》已经非常明确的给出了主导责任,并在主导责任的基础上,全面落实各领域、岗位的安全责任,建立责任矩阵,实现责任到岗、责任到人。
二是规划优先。“打补丁”的建设思路已经行不通,需要先以业务为核心梳理系统范围,通过风险评估对关基做个全面的诊断,然后制定关基保护规划,合理规划建设顺序、并逐步落实。
三是能力导向。政企机构应通过风险管控,将多源、动态、零散的需求映射到统一标准的安全能力体系中,形成体系化作战模式;在能力构建上,将安全能力组件化,分布融入数字化业务各方面,实现信息化系统及基础设施本质安全,避免“两张皮”。
四是建设实战化安全运营体系。构建关基全方位无死角的监测预警与处置能力。需要注意的是,能力并非措施,它是由制度、流程、SOP、技术措施加上各个岗位合适的人员而体现出来的实战化运营能力。对于关基保护而言,其防护对象是基于业务梳理的架构,需要采用纵深防御的思路研究边界的定义与各业务单元的定义,并在此基础上,结合安全风险,设置安全防护控制点与安全监测点,避免出现攻击看不见、事件不能及时处置的情况。
五是构建政企防御+国家网空对抗协同的“双体系”。实现国家网络空间防御能力是一个复杂的系统工程,需要在统一的框架下,在充分考虑国家级网络空间防御能力与企业级的网络空间防御能力的同时,还需要充分考虑之间的相互关联。要用系统工程的方法进行设计,并通过体系化的工程建设来实现国家网络空间安全防御能力。
依托冬奥“零事故”积累,奇安信提供全方位能力支撑
尽管近些年来,关键信息基础设施的网络安全防护水平已经取得了长足的进步,实战化、常态化水平也有显著提高,但我国信息化建设仍存在资源投入不足,以及体系化建设、常态化运营、实战化攻防能力缺失等问题。为此,奇安信在国家关键信息基础设施保护的大背景下,紧跟国家网络安全策略,结合多年的网络安全实战经验与冬奥“零事故”积累,为各关基单位的网络安全建设与运营提供全方位的规划设计、解决方案、产品体系与运营服务。
其中包括:通过安全咨询规划,为关基单位提供体系化的安全规划;通过纵深防御方案、零信任方案、数据安全方案、云安全方案、应用安全方案、端点安全方案、安全运营方案等各类专项解决方案,提供标本兼治的专项治理办法,系统化落实局部难题;通过奇安信完整的网络安全产品体系与技术能力,为用户提供全面、有效的技术支撑;并通过强大的实战攻防能力,在攻防演习、风险评估、安全运营和应急响应中提供专业的服务保障。
关于作者
顾鑫,军团CBG北京总体部负责人,近20年网络安全从业经验,带领团队为200余个部委、央企、金融等头部用户提供“实战化”安全设计、建设与运营服务。曾担任北京冬奥保障团队一线技术团队负责人,带领团队共同完成北京冬奥会、冬残奥会网络安全建设与保障任务,实现冬奥“零事故”的目标。
END