《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 淺析關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系建設(shè)

淺析關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系建設(shè)

2022-11-06
來源:安全419

  前言

  自中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上,,習(xí)近平總書記指出“要抓緊制定立法規(guī)范,,完善互聯(lián)網(wǎng)信息內(nèi)容管理,、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等法律法規(guī)”以來;國家陸續(xù)出臺《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》,、《網(wǎng)絡(luò)安全審查辦法》等,,引領(lǐng)我國網(wǎng)絡(luò)空間安全治理邁入依法治網(wǎng)、依法管網(wǎng),、依法護(hù)網(wǎng),、依法用網(wǎng)的法制化時代。

  《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱《條例》)的正式實施,,標(biāo)志著我國網(wǎng)絡(luò)安全保護(hù)邁進(jìn)了以關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)為重點的新階段,,對保障國家安全、經(jīng)濟(jì)發(fā)展和社會穩(wěn)定,,以及推進(jìn)信息化建設(shè)具有十分重要的意義,。

  01 網(wǎng)絡(luò)空間安全形勢嚴(yán)峻

  關(guān)基設(shè)施安全受到威脅

  導(dǎo)致關(guān)鍵服務(wù)運行中斷:2015年12月,烏克蘭配電公司約60座變電站遭到網(wǎng)絡(luò)攻擊,,其首都基輔和烏克蘭西部的140萬名居民遭遇數(shù)小時停電,;

  導(dǎo)致通信基礎(chǔ)設(shè)施癱瘓:2016年10月,美國域名服務(wù)器管理機(jī)構(gòu)Dyn遭到Mirai病毒攻擊,,眾多網(wǎng)站無法訪問,,美國大半個互聯(lián)網(wǎng)癱瘓;

  導(dǎo)致大規(guī)模供應(yīng)鏈中斷:2021年5月,,美國最大成品油運輸管道運營商Colonial Pipeline公司工控系統(tǒng)遭勒索病毒攻擊導(dǎo)致停機(jī),,造成近100GB數(shù)據(jù)竊取及成品油運輸管道運營中斷。

  全球多起基礎(chǔ)設(shè)施和重要信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊事件頻發(fā),,引發(fā)了全球各國對加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的思考,。

  02 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)

  作為各國網(wǎng)絡(luò)安全戰(zhàn)略重要一環(huán)

  美國自1998年頒布《克林頓政府對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)政策》以來,先后實行了《關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)法》《增強關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(CSF)》《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》等20余項保護(hù)政策,,就關(guān)鍵信息基礎(chǔ)設(shè)施安全的識別、安全保護(hù)框架,、安全評估要求及規(guī)范等諸多方面進(jìn)行標(biāo)準(zhǔn)化布局,,推動建立了防護(hù)完善的安全保護(hù)體系。

  歐盟自2004年“歐盟關(guān)鍵基礎(chǔ)設(shè)施保護(hù)規(guī)劃”啟動以來,,陸續(xù)出臺《網(wǎng)絡(luò)與信息安全指令》《識別關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)和資產(chǎn)的方法論》《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》等多項政策,,全面強調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要性,實行以風(fēng)險管理為基礎(chǔ)的安全治理策略,。

  我國伴隨著《條例》的出臺,,也加快了關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系的建設(shè)工作,包括《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》《關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南》《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》《關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》等相關(guān)標(biāo)準(zhǔn),,就關(guān)基設(shè)施安全保護(hù)的基本要求,、檢測評估的流程指南、應(yīng)急演練協(xié)同機(jī)制等內(nèi)容為運營者提供了重要技術(shù)基礎(chǔ)。

  關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)能力的提升不僅要依靠資金投入,、技術(shù)提升等,,更離不開政府的高度重視和政策支持,通過對法律法規(guī)等制度體系的健全完善來牽引整體保護(hù)能力的不斷提升,,已成為國際社會普遍共識,。

  03 關(guān)鍵信息基礎(chǔ)設(shè)施

  安全保護(hù)體系的構(gòu)建

  1.關(guān)鍵信息基礎(chǔ)設(shè)施的界定

  關(guān)鍵信息基礎(chǔ)設(shè)施(又稱CII),《條例》第二條就關(guān)鍵信息基礎(chǔ)設(shè)施的范圍進(jìn)行了定義,,同時在第二章“關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定”中明確指出保護(hù)工作部門結(jié)合本行業(yè),、本領(lǐng)域?qū)嶋H,制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則,,并報國務(wù)院公安部門備案,。

  目前相關(guān)的認(rèn)定標(biāo)準(zhǔn)如《CII要素識別指南》、《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》等已經(jīng)在制定中,。根據(jù)法規(guī)文件及專家解讀,,關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則主要考慮下列因素:

  ● (1)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對于本行業(yè),、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度,;

  ● (2)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度,;

  ● (3)對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。保護(hù)工作部門根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè),、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施,,及時將認(rèn)定結(jié)果通知運營者,并通報國務(wù)院公安部門,。

  2.各方職責(zé)的明確

  對于關(guān)鍵信息基礎(chǔ)設(shè)施的監(jiān)管體系《條例》提出了分類分層的監(jiān)管模式:國家層面由國家網(wǎng)信部門(國家工業(yè)和信息化部)負(fù)責(zé)統(tǒng)籌協(xié)調(diào),,協(xié)調(diào)網(wǎng)絡(luò)安全信息的共享以及各部門對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全檢查檢測工作;國務(wù)院公安部門(公安部)負(fù)責(zé)指導(dǎo)監(jiān)督工作,,從保證國家安全角度出發(fā),,包括負(fù)責(zé)規(guī)則備案、匯總基礎(chǔ)設(shè)施名單,、收集重大網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)安全威脅信息,、對基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)安全檢查檢測等工作;國務(wù)院電信主管部門(國家工業(yè)和信息化部)負(fù)責(zé)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作(如匯集基礎(chǔ)電信網(wǎng)絡(luò)實施漏洞探測,、滲透性測試等活動情況),。

  地方層面則由省級人民政府有關(guān)部門進(jìn)行保護(hù)監(jiān)督管理工作。

  3.重點保護(hù)方法論

  參照《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求(報批稿)》等標(biāo)準(zhǔn),,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度應(yīng)建立在網(wǎng)絡(luò)安全等級保護(hù)體系基礎(chǔ)上,,著眼分析識別,、安全防護(hù)、檢測評估,、監(jiān)測預(yù)警,、主動防御、事件處置等重點活動的建設(shè),,并圍繞關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險識別到處置進(jìn)行閉環(huán)管理,,其體系框架如圖1所示。

  微信圖片_20221106164518.png

  圖1 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系框架

 ?。?)分析識別:圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的業(yè)務(wù),,開展業(yè)務(wù)識別、資產(chǎn)識別,、風(fēng)險識別等活動,,為后續(xù)環(huán)節(jié)開展工作打下基礎(chǔ);

 ?。?)安全防護(hù):根據(jù)已識別的相關(guān)信息從安全管理制度,、安全管理機(jī)構(gòu)、安全管理人員,、安全建設(shè)管理,、安全通信網(wǎng)絡(luò)、安全計算環(huán)境,、安全運維管理,、供應(yīng)鏈安全保護(hù)、數(shù)據(jù)安全防護(hù)等方面進(jìn)行安全能力的建設(shè)加固,;

 ?。?)檢測評估:對安全防護(hù)環(huán)節(jié)的安全措施有效性進(jìn)行驗證,定期開展相關(guān)活動,;

 ?。?)監(jiān)測預(yù)警:制定實施網(wǎng)絡(luò)安全監(jiān)測預(yù)警制度,及時對安全事件做出響應(yīng),;

 ?。?)主動防御:在減少暴露面的同時,采取誘捕,、溯源、干擾和阻斷等措施主動發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件,;

 ?。?)事件處置:對網(wǎng)絡(luò)安全事件進(jìn)行報告和處置并采取相應(yīng)的應(yīng)對措施。

  04 關(guān)鍵信息基礎(chǔ)設(shè)施

  安全保護(hù)工作的思考

  《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(報批稿)是基于《網(wǎng)絡(luò)安全法》和《條例》,,在網(wǎng)絡(luò)安全等級保護(hù)制度基礎(chǔ)上,,結(jié)合我過現(xiàn)有網(wǎng)絡(luò)安全保障體系成果,從分析識別、安全防護(hù),、檢測評估,、監(jiān)測預(yù)警、主動防御,、事件處置等環(huán)節(jié),,提出可落地的安全保護(hù)要求。

  01 以“三同步”為核心,,建章立制夯實責(zé)任

  《條例》在第十二條中明確提出 “安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃,、同步建設(shè)、同步使用”,,奠定了“三同步”作為關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全合規(guī)建設(shè)的原則和前提要求,,在實踐中我們建議通過安全規(guī)劃前置、安全建設(shè)同步和持續(xù)的安全運營來真正落實“三同步”原則,。

  02 以風(fēng)險管理為導(dǎo)向,,建設(shè)動態(tài)防御機(jī)制

  不同環(huán)境場景下關(guān)鍵信息基礎(chǔ)設(shè)施所面對的安全威脅呈現(xiàn)動態(tài)變化,需要根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)特點,、網(wǎng)絡(luò)特征及面臨的安全威脅,,構(gòu)建動態(tài)的風(fēng)險監(jiān)測和安全防護(hù)措施,形成動態(tài)的安全防護(hù)機(jī)制,,根據(jù)面對的安全風(fēng)險進(jìn)行動態(tài)調(diào)整,,以及時有效的應(yīng)對安全風(fēng)險。

  首先,,運營者應(yīng)自行或委托第三方機(jī)構(gòu)進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估,,評估工作每年至少進(jìn)行一次,并對發(fā)現(xiàn)的問題及時整改,。其次,,運營者應(yīng)建立常態(tài)、快速的監(jiān)測與響應(yīng)能力,,并與內(nèi)外部組織和人員積極聯(lián)動情報,、預(yù)警及處置措施。同時,,運營者應(yīng)重點加強在實戰(zhàn)方面的建設(shè),,包括落地攻擊捕獲、干擾,、阻斷,、封控等技術(shù)手段,定期開展攻防演練,。

  03 以信息共享為基礎(chǔ),,健全聯(lián)防聯(lián)動體系

  情報信息作為安全決策的基礎(chǔ),,在現(xiàn)在的網(wǎng)絡(luò)空間安全防御體系中占據(jù)著重要位置?!稐l例》第二十三條強調(diào)“國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡(luò)安全信息共享機(jī)制,,及時匯總、研判,、共享,、發(fā)布網(wǎng)絡(luò)安全威脅、漏洞,、事件等信息,,促進(jìn)有關(guān)部門、保護(hù)工作部門,、運營者以及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”,。需要打通不同安全設(shè)備間的信息壁壘,建立以威脅情報驅(qū)動的安全能力,,實現(xiàn)整體網(wǎng)絡(luò)的聯(lián)防聯(lián)動,,提升面對大規(guī)模網(wǎng)絡(luò)攻擊的防范能力。

  04 關(guān)注潛在安全風(fēng)險,,加強特殊場景安全

  《條例》中提到:“運營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),;采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”,,“履行個人信息和數(shù)據(jù)安全保護(hù)責(zé)任,,建立健全個人信息和數(shù)據(jù)安全保護(hù)制度”。為維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)的安全可靠,,應(yīng)加強其在供應(yīng)鏈安全,、數(shù)據(jù)安全兩方面的安全建設(shè)。

  05 小結(jié)

  關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系作為網(wǎng)絡(luò)安全體系中的一部分,,隨著后續(xù)其配套制度和標(biāo)準(zhǔn)逐步發(fā)布,,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)勢必成為企業(yè)不可或缺的安全合規(guī)內(nèi)容。而如何做好完善的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系,,積極配合相關(guān)部門開展關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定和保護(hù)一直都是業(yè)內(nèi)關(guān)注探討的問題,。希望本文能夠給各關(guān)鍵信息基礎(chǔ)設(shè)施運營者在相關(guān)安全工作建設(shè)提供借鑒和思考。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。