从疫情防控的“中国经验”看关基保护
星期五, 三月 20, 2020
作者:安数网络
随着疫情在全球的蔓延,外媒不断聚焦中国防控疫情的成功经验,认为中国政府采取“最勇敢、最灵活和最积极的”严格防控措施,有效遏制了疫情的蔓延,为世界公共卫生事业作出重要贡献。世卫组织特别赞扬中国战“疫”的速度、决心和力度,呼吁各国以中国为榜样,学习“中国经验”。
疫情期间的你我,都能切身感受到“中国经验”带来的快速、高效。 “中国经验”可以用一张图总结:
摸清底数,全面排查
发现威胁,阻断传播
检测清零,精准隔离
严控风险,重点监测
感知态势,可防可控
隔离病毒,不隔离爱
……
你以为我要说疫情防控?
不,其实我要说关键信息基础设施安全保护(简称关基保护)。
仔细思考,疫情防控的经验有不少可以借鉴到关基保护工作中,下面来细说。
我国的关基保护工作从2014年提出,2017年开始布局,目前进展到最新的节点:
2019年12月3日,全国信息安全标准化技术委员会召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)(以下简称《基本要求》)试点工作启动会。
《基本要求》从2018年发布征求意见稿,到现在进入报批稿阶段,预计将在2020年内正式实施。
《基本要求》定义关键信息基础设施是公共通信和信息服务、能源、交通、水利、金融、公共服务和电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。
该标准规定关键信息基础设施网络安全保护在识别认定、安全防护、检测评估、监测预警、应急处置等五个环节的基本要求。对关键信息基础设施网络安全保护提出了重点保护、整体防护、动态风控、协同参与四个基本原则。在业界看来,对关键信息基础设施运营者提出了基于等保2.0,高于等保的安全防护要求。
《基本要求》规定的“五个环节”和“四个基本原则”具体是什么? 我们比照疫情防控的“中国经验”来解读一下:
识别认定——运营者配合保护工作部门,按照相关规定开展关键信息基础设施识别和认定活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础。
首先是认定关键信息基础设施,识别风险,摸清辖区资产。这就像我国在疫情防控初期,就分析出新冠病毒的基因序列,分离了首株新冠病毒的毒株,同时动员全国上下深入到社区彻底排查感染风险较高的武汉返乡人员、武汉接触史人员,不漏一户不落一人。
这里可以借鉴的经验是摸清底数、全面排查,关基保护工作中要摸清资产、识别风险要做到科学有序、深入细致,确保排查不留死角。
安全防护——运营者根据已识别的安全风险,实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。
安全防护可以对应到我国疫情防控中的风险管理的种种措施,如封城封路;要求在公共场合必须佩戴口罩;防止人员聚集;叫停餐饮业旅游业;学校延迟开学;小区出入管理制度;企业复工复产防疫方案等。
这里可以借鉴的经验是发现威胁、阻断传播,在关基保护工作中要及时发现薄弱环节和威胁,以严格有力的制度、措施阻断威胁或计算机病毒播。
检测评估——为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。
行之有效的检测手段是保障安全的关键,我国在疫情防控早期就研制出核酸检测试剂盒,并大量投产,随后提出“日结清零”等要求,要求提升检测能力,临床确诊、疑似、密接、发热患者的核酸检测要全面清零,有效赢得了救治时间。
这里可以借鉴的经验是检测清零、精准隔离,在关基保护工作中应建立例行安全检测流程,确保无遗漏无死角,当检测发现安全风险时,应立即采取隔离措施阻止风险蔓延。
监测预警——运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。
我国疫情防控取得积极成效在很大程度上得益于信息的公开透明,各省市区每日通报新增病患、疫情动态,公布确诊、疑似病患的行动轨迹,给予及时预警,既减少了公众恐慌情绪又为精准预防提供了依据,让公众对科学防控做到心中有数。
这里可以借鉴的经验是信息互通、威胁预警,关基的运营者、监管部门应建立日常监测机制,严格执行漏洞威胁信息上报/通报,做到不瞒报、不漏报,为提前预警预留充足空间。
事件处置——对网络安全事件进行处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
发生网络安全事件需要应急处置,放到我国疫情防控工作中,就是发现病患及时、全面、定点收治。为了扩大收治能力,以举国之力在短期内建成火神山、雷神山、方舱医院,确保未收治患者清零。对出院患者也采取康复隔离和医学观察,并进行定期复查,防止复阳的可能。
这里可以借鉴的经验是迅速收治、风险复查,对关基保护建立应急响应流程,当发生网络安全事件时,确保秒级响应,迅速修复故障,将事件损失降至最低,同时在事后安排风险复查,检测确认安全问题的修复情况。
重点保护——关键信息基础设施网络安全保护应首先符合网络安全等级保护政策及GB/T 22239-2019等标准相关要求,在此基础上加强关键信息基础设施关键业务的安全保护。
这个原则就好比我国在疫情防控举措中,对高风险高隐患区域实施的重点保护和重点监测。普通人在公共场所佩戴口罩即可,而在定点收治医院,医务人员采取的防护措施除了口罩还包括防护服、护目镜等,同时医疗废弃物和病房垃圾也采取严格的垃圾分类、销毁措施。
这里可以借鉴的经验是重点监测、可防可控,在关基保护工作中,在符合等保2.0要求的基础上,对关键业务有针对性地采取重点监测、重点保护。
整体防护——基于关键信息基础设施承载的业务,对业务所涉及的多个网络和信息系统(含工业控制系统)等进行全面防护。
关键信息基础设施承载业务的各个网络是环环相扣的,一荣俱荣一损俱损。这就像我国疫情防控中强调的,每个人都是防控病毒的责任主体,必须如实上报健康状况。健康码的推行运用大数据统筹实现了行程可追溯、流向可追溯,实现了分区分级差异化管控。
这里可借鉴的经验是严防风险、可追可溯,网络入侵者可通过僵尸程序感染大量主机,蔓延行为非常隐蔽,关基保护工作要确保每个网络和信息系统都有防护关卡,可溯源可取证。
动态风控——以风险管理为指导思想,根据关键信息基础设施所面临的安全风险对其安全控制措施进行调整,以及时有效的防范应对安全风险。
对风险的评估是一个动态的过程,我国的疫情防控措施就十分灵活适度。当出现日本、韩国输入型病例隐患时,我国及时采取了日韩入境者须集中隔离14天的措施。当全球疫情面临“大流行”趋势时,我国及时成立了防范境外疫情输入风险应急中心,统筹做好抗击疫情涉外工作,集中力量防范境外疫情输入风险。
这里面可借鉴的经验是感知态势、动态评估,关基保护工作也应依托大数据,基于环境,动态地、整体地洞悉安全风险,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力。
协同参与——指关键信息基础设施安全保护所涉及的利益相关方,共同参与关键信息基础设施的安全保护工作。
倾巢之下,安有完卵。只有集结所有人的决心和力量,才能打赢抗疫硬仗。我国在疫情防控工作中,动员全民抗疫,统一调度全国医疗力量,集中调配紧缺医疗物资,保证紧缺物资不涨价,有效抑制了恐慌哄抢现象;对瞒报谎报疫情,隐瞒行程等行为追究刑事责任,真正落实了抗击疫情人人有责。
这里可借鉴的经验是协同作战、统一调度,在关基保护工作中,除了运营者之外,安全厂商、供应商、监管机构都有一定的连带责任,一旦发生安全事件,没有人能置身事外。应建立统一调度机制和高效的协作流程,让利益相关方共同参与到安全保护和应急响应工作中。
抗击疫情,守护安全
让我们一起用“中国经验”为关键信息基础设施保驾护航。