长扬科技依托于自身沉淀多年的行业标准解读和实践落地经验,从关键信息基础设施运营者的角度,对本次《要求》发布的内容做出以下深度解读。
1《要求》保护框架总体分析
《要求》共计11章节,111条的内容,明确了关键信息基础设施安全保护工作的六个主要内容及活动,具体包括分析识别、安全防护、检测评估、监测预警、主动防御和事件处置,从而指导运营者对关键信息基础设施进行全生命周期的安全保护工作。其框架如下图所示:
图 1 关键信息基础设施网络安全保护要求框架
根据近年对《要求》的关注、探索和分析,长扬科技发现,“关键信息基础设施网络安全保护工作指导框架”经历了三个阶段的调整,最终明确形成了六个主要活动。六个主要活动覆盖了关键信息基础设施安全保护的全生命周期,帮助运营者从关基的识别认定、强化安全防护,到对运营可能存在的网络安全风险进行检测评估、并实行常态化监测预警,同时以监测发现的攻击行为为基础,进行攻防演练,提升主动防御能力和事件闭环处置能力,确保了关键信息基础设施关键业务稳定和持续运行。
近年关键信息基础设施网络安全保护各环节版本变化情况如下图所示:
图 2 近年关键信息基础设施网络安全保护各环节版本变化情况
2《要求》三大保护原则分析
“三大保护原则”标志着我国网络安全工作正式迈进体系化建设新阶段。我国的关键信息基础设施安全保护工作以“关键业务为核心的整体防控、风险管理为导向的动态防护、信息共享为基础的协同联防”作为三大基本原则。在等级保护制度的基础上,施行重点保护,构建关键信息基础设施安全防护体系。重点保护主要体现在两方面,第一是明确重点行业和领域(8大行业:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业);第二是明确重点保护对象(增加了关键业务、关键业务链、数据安全、供应链安全等对象)。
以下是对三大保护原则的解读:
整体防控:将六大活动实现统一的整合和闭环管理,形成整体安全防控体系,加强关键业务运行所涉及的各类信息的整体安全态势分析,包括业务所涉及系统的相关联的资产、脆弱性、威胁等内容,形成整体防控能力。
动态防护:根据关键信息基础设施所面临的安全威胁态势进行持续监测 和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。通过引入自动化技术和工具,实现实时监测、通报预警、事件处置、指挥调度,形成立体化网络安全动态监测能力。
协同联防:以信息共享为基础,积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。与国家有关平台对接,实现协同联动和数据共享,能够做到统一指挥、快速调度,实现关基安全保护跨部门、跨行业、跨地域的整体防控和联防联控。
3《要求》六个活动详细解读
3.1 分析识别
《要求》中对分析识别的定义如下:分析识别活动指围绕关键信息基础设施(CII)承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。同时,在对本方面的业务识别、资产识别、风险识别和重大变更的具体安全要求中可以发现,识别关键业务和关键业务链是开展关基保护工作的前提。针对于本项内容,长扬的理解为以下四点:
3.1.1 关键信息基础设施和关键业务链
关键信息基础设施(简称CII):是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业筹重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全国计民生、公共利益的重要网络设施、信息系统等。
关键业务链(Critical Business Chain简称CBC):组织的一个或多个相互关联的业务构成的关键业务流程。
3.1.2 关于分析识别中CII要素识别梳理的要点
关键信息基础设施(CII)要素识别是指将关键业务持续、稳定运行不可或缺的资产(一般由软硬件设备、组件、信息资源等组成的,能够按照一定规则独立处理信息的功能单元)从CII运营者的所有资产中识别出来,以便重点保护。(CII)要素识别包括四个部分:(1)关键业务基础情况梳理,(2)关键业务信息化情况梳理,(3)关键业务信息(CBI)梳理,(4)CII要素确定。
(1)关键业务基础情况梳理包括基本架构梳理、管理模式梳理、运行框架梳理、业务特征梳理、基础情况描述。
(2)关键业务信息化情况梳理包括业务模块信息化梳理、功能模块信息化梳理、基础运行环境信息化梳理、信息化范围描述。
(3)关键业务信息梳理包括类别梳理、功能梳理、生存周期梳理、关键业务信息描述。
(4)关键信息基础设施要素确定包括要素梳理、要素归集、要素重要性评估、要素清单、业务关系确定、网络位置确定、物理位置确定、管理关系确定、信息记录。基本流程图如下所示:
图 3 CII要素识别流程图
3.1.3 关于分析识别中进行风险评估和风险识别的要点
《要求》中提出风险识别应参照GB/T 20984等标准,对关键业务链开展安全风险分析,识别关键环节的威胁、脆弱性,并形成安全风险报告。GB/T 20984,即2022年4月15日新发布的《信息安全技术 信息安全风险评估方法》GB/T 20984-2022,并替代原《信息安全技术 信息安全风险评估规范》GB/T 20984-2007成为新的信息安全风险评估工作实施指导标准。
新标准中,风险评估的要素包括资产、脆弱性、威胁和安全措施四大要素,各要素关系如下图4所示。实施流程包括评估准备、风险识别、风险分析、风险评价、沟通与协调和风险评估文档记录六个方面。GB/T 20984风险评估实施流程图如下图5所示:
图 4 风险要素及其关系
图 5 GB/T 20984风险评估实施流程图
3.2 安全防护
《要求》中对安全防护的定义为:根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。
值得注意的是,《关键信息基础设施安全保护条例》第六条提出:在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件。因此关键信息基础设施的业务是要先落实国家网络安全等级保护制度相关要求,开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作。
3.2.1 关保和等保关于安全防护的内容变化分析
从总体区别上来看,等级保护2.0重点是围绕“一个中心,三重防护”为核心,从技术+管理的角度来指导各单位如何开展安全保护工作;关保则是在等保的基础之上,从运营者关键业务及其相关关键信息基础设施的全生命周期角度描述如何开展安全保护工作。
3.2.2 关保和等保关于安全防护的要求重点分析
图 6 关保和等保关于安全防护要求区别分析
3.2.3 新增供应链安全保护
2022年2月15日施行的《网络安全审查办法》中第一条写到:为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全等,制定本办法。关基和《网络安全审查办法》一一对应,《网络安全审查办法》主要讲的就是基于对关键信息基础设施的供应链安全进行安全防护。
《要求》中对于供应链安全保护,主要是对供应链安全管理的策略和制度、采购国家检测认证的设备和产品、同时在相关责任和义务方面明确相关承诺和要求。以下是部分内容摘录:
采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和产品。
要求提供者声明不非法获取用户数据、控制和操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。
应建立和维护合格供应方目录。应选择有保障的供应方,防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。
应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方 提供第三方网络安全服务机构出具的代码安全检测报告。
长扬科技解读
由于我国关键基础设施行业例如电力、石油化工、燃气水务等行业,其核心工业控制系统大部分被国外垄断,在国内外日益严峻的大背景下,为了避免出现因为“卡脖子”而影响关基企业运行安全的事件,供应链安全的重要性日益凸显。本次《要求》新增供应链安全,对于国家关键信息基础设施运营者在未来的采购、建设、运行、升级、管理等方面,都提供了有力的要求。
3.2.4 新增数据安全防护
2021年9月1日施行的《中华人民共和国数据安全法》中,第三十一条提到:对关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据进行管理。
《要求》中对于数据安全防护,应建立数据安全管理责任和评价考核制度,包括数据安全保护计划、数据安全风险评估、数据安全事件应急预案,组织数字安全教育等。同时对数据分类分级、保护个人数据的重要性、数据备份等方面做出要求。另外还首次对废弃数据处理作出要求,要求按照数据安全保护策略对储存的数据进行处理。
长扬科技解读
中央在2020年提出数据已经成为除土地、劳动力、资本、技术之外的第五个要素。《要求》的发布是继《数据安全法》发布后,再一次把数据安全作为纲领性要求进行了独立阐述,也诠释了数据作为关键信息基础设施安全保护的重要性。运营者应加强对数据分类分级管理,以及对数据的使用、加工、传输、提供和公开等环节进行全生命周期保护。
3.3 检测评估
《要求》中对检测评估的定义为:为检验安全防护措施的有效性,发现网络安全风险隐患,应建立相应的检测评估制度,确定检测评估流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。
长扬科技解读
对比等保2.0要求可以发现,“商用密码应用安全性评估情况、数据安全防护情况、供应链安全保护情况、攻防演练”等内容,首次作为检测评估项被明确提出,由此可见,在未来的关保检查工作当中,运营者需要重点关注在以上方面自身的能力建设,弥补相关短板。
3.3.1 检测评估工作流程
检测评估工作开展前,应明确关键信息基础设施检查评估活动的背景、目标、原则、依据,充分调研检测评估对象所属行业的相关标准及政策文件的要求,确定检测评估工作任务。具体工作流程如下图所示:
图7 关基检测评估工作流程图
3.3.2 检测评估主要内容
(1)与等保相比,关保对开展检测评估间隔时间做出了明确规定,相较等保更为严格。等保仅要求三级(含)以上网络应当每年至少进行一次等级测评。关基则要求关键信息基础设施运营者每年至少一次自行或委托网络安全服务机构开展安全性和风险性的检测评估工作,并及时整改。
(2)关保涉及多运营者情况。区别于等保,关保涉及多运营者的情况时,需定期组织或参加跨运营者的安全检测评估,并及时整改发现的问题。
(3)检测评估具体包括如下内容。网络安全制度(国家和行业的法律法规及自定的制度)落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护制度落实情况、商用密码应用安全性评估情况、技术防护情况、数据安全防护情况、供应链安全保护情况、云计算服务安全评估情况(适用时)、风险评估情况、应急演练情况、攻防演练情况等,尤其关注关基跨系统、跨区域间的信息流动,及其资产的安全防护情况。
3.4. 监测预警
《要求》中对监测预警的定义为:建立并实施网络安全监测预警和信息通报制度,针对发生的网络安全事件或发现的网络安全威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高主动发现攻击的能力。
3.4.1 相比等保在制度方面的加强
关保要求关注国内外及行业关键信息基础设施安全事件、安全漏洞、解决方法和发展趋势,并进行研判分析,必要时发出预警;明确不同级别预警报告和响应处置;建立通报预警及写作处置机制;建立与外部组织之间、运营者内部人员的沟通合作机制,共同研判、处置网络安全问题;建立网络安全信息共享机制,建立与相关方的沟通合作机制。共享漏洞信息、威胁信息、最佳实践、前沿技术等内容。
3.4.2 相比等保在监测方面的加强
关保要求对关键业务所涉及的系统进行监测;分析系统通信流量或事态的模式、建立相关模型,使用模型调整监测工具参数,减少误报和漏报;全面收集网络安全日志,构建违规操作模型,强化监测预警能力;采用自动化机制,对监测信息进行整合分析,分析关基的网络安全态势,对关键信息基础设施跨组织、跨领域建设、构建统一指挥、多面监测、多级联动的动态感知和分析能力。
3.4.3 相比等保在预警方面的加强
关保要求监测工具设置自动模式,发现危害关键业务时自动报警,自动采取措施;网络安全共享信息和监测报警等信息综合分析,生成内部预警信息;对预警信息进行分析、研判损害程度,采取应对措施;采取措施对预警进行响应;隐患得以控制或消除,执行预警流程。
长扬科技解读
根据对《要求》监测预警章节理解,将监测预警立体化示意图梳理如下图所示:
图8 监测预警立体化示意图
3.5 主动防御
《要求》中对主动防御的定义为:以应对攻击行为的监测发现为基础,主动采取收敛暴露面、诱捕、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。
长扬通过对《要求》和征求意见稿对比发现,该部分在征求意见稿中是“技术对抗”,最终发布为“主动防御”。而从技术对抗到主动防御的演变,要求运营者构建精准、全面、弹性的主动防御体系。重点包括以下三个方面:
1.应识别和收敛暴露面,减少在互联网侧暴露的IP、端口、应用服务、组织架构、邮箱账号、通信录、技术文档(拓扑图、源代码、IP规划、账号密码等)等相关信息。
2.分析攻击方法、路线、技术手段、目标等,采用相关技术措施快速处置网络攻击,并针对网络安全事件进行开展溯源,完善防护策略和措施。
3.开展攻防演练及建立威胁情报共享机制,增强主动防御能力。
3.6 事件处置
《要求》对事件处置的定义为:为运营者对网络安全事件进行报告和处置,并采取适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
结合《要求》中的具体要求,可总结为以下四点:
3.6.1 制度方面
应建立网络安全事件管理制度,明确不同网络安全事件的分类分级、不同类别和级别事件处置的流程等,制定应急预案等网络安全事件管理文档。
3.6.2 应急预案和演练方面
根据相关要求制定预案,应急预案中包括相关事件发生、恢复的时间点,包括多个运营者的应急事件的处理,内外部的相关计划,非常规时期、遭受大规模攻击的流程;每年至少开展一次本组织的应急演练,定期修订预案。
3.6.3 响应和处置方面
根据已发生的安全事件及时报告,研判后形成事件报告,及时向相关方通报安全事件;按照迟滞流程、进行事件处理,对事件进行取证分析,形成事件报告;业务恢复后的再评估,采取措施免受再次破坏;将事件纳入规程培训、考试等,并进行相应变更;按照相关要求将事件及时上报给相关方。
长扬科技解读
下图是根据长扬科技在某关基行业总结的网络安全事件处置流程图:
图 9 某关基运营者网络安全事件处置流程图
3.6.4 重新识别方面
对发现的安全隐患和安全事件再次开展评估工作,根据需要重新识别认定、风险评估,并更新安全策略。
该环节引入了PDCA戴明环持续改进的管理思想,实现了六个活动持续优化的闭环衔接,通过检测评估推动整体安全保护工作不断深化。
长扬科技解读
事件处置相关管理制度的建立包括制度总体文件设计、流程角色梳理、岗位职责设定、事件分类、事件分级、事件处理时限(SLA)设计、事件管理工具/平台建设、常见网络安全事件应急预案库设计、针对典型事件的应急演练和人员培训、事件沉淀知识库、事件分析溯源、事件结果通报、与监管单位的协同上报联动等具体工作内容。
4 总结
《要求》的发布,为国家各行业关键基础设施运营者对自身关键信息基础设施的全生存周期安全保护提供了明确要求,也可供关键信息基础设施安全保护的其他相关方参考使用。从保护工作部门(即相关监管部门)角度来看:可以更方便快捷地了解到下属、分管的单位的关键信息基础设施的情况,从而进行全面把控和有力的监管;从关基运营者角度来看:对照保护要求可以明确知晓本单位自身在关基安全保护方面的短板和不足,在技术、管理、运营、人员等方面做出自评和差距分析,形成后续的建设整改计划,从而进一步保证本单位关键信息基础设施的安全稳定运行;从安全服务机构角度来看:严格按照《要求》,不断加强企业产品技术研发和服务能力创新,提供符合要求的产品和服务,为国家关键信息基础设施的安全保驾护航。