2021年9月1日,《關鍵信息基礎設施安全保護條例》正式施行���,這標志著我國網絡安全法律法規(guī)建設和安全保障工作進入到了一個新階段�?���!稐l例》頒布一年以來,各相關部門和有關機構積極推進關鍵信息基礎設施安全保護工作����,并取得顯著成效���。明天正值《條例》實施一周年,值得注意的是����,當前我國關鍵信息基礎設施面臨的安全形勢依然嚴峻,網絡攻擊威脅事件頻發(fā)��。持續(xù)做好關鍵信息基礎設施安全保護����,不斷推動條例落地實施意義重大�。
關鍵信息基礎設施是經濟社會運行的核心樞紐,承載核心系統(tǒng)��,提供核心服務�。當前,關鍵信息基礎設施正是網絡黑客��、APT組織����、勒索病毒的重點攻擊目標,所以保護關鍵信息基礎設施���,就是保衛(wèi)國計民生��,就是捍衛(wèi)網絡國防����。
關基挑戰(zhàn):
場景復雜性與網絡威脅持續(xù)存在
站在需求的角度,關基運營者從技術方面���,主要面臨三方面挑戰(zhàn):
一����、場景更加復雜�����。在全面數字化轉型的背景下�����,新技術領域和關鍵信息基礎設施正在融合耦合����,網絡資產、工作場景大量增加,安全風險與日俱增�。
二、威脅持續(xù)演進�����。網絡攻擊愈演愈烈�,造成的影響越來越大。2015年烏克蘭斷電事件和2019年委內瑞拉斷電事件攻擊者仍未溯源�。2021年5月,美國東海岸科洛尼爾管道運輸公司遭受勒索軟件攻擊����,嚴重影響17個州和首都華盛頓特區(qū)的燃油供應。
三��、安全需求日益提高�����。在保證數據安全的同時�,還需要增加業(yè)務系統(tǒng)的彈性韌性�����,實現關鍵信息基礎設施高可用���、抗毀傷��,在受到攻擊時依然能夠提供基本的服務�。
另外,關基運營者也面臨更嚴格的法規(guī)遵從�����。從2017年的《網絡安全法》�����,到2021年的《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》都是必須遵從的法律法規(guī)要求���。這是安全防護的基線����,也是底線�����。
為應對關鍵信息基礎設施的各種挑戰(zhàn),中國信息安全領軍企業(yè)北信源將“三化六防”實戰(zhàn)理念融入關保建設當中,以風險為核心構建“關?!憋L險治理體系。通過平臺大數據技術服務及四大體系全面賦能業(yè)務安全�����,從而支撐各行業(yè)部門關鍵信息基礎設施的分析識別���、安全防護�、檢測評估���、監(jiān)測預警�、技術對抗及事件處置的全環(huán)節(jié)建設���,最終形成六大完全能力�。
一大核心:以“風險”為核心
北信源認為�����,關鍵信息基礎設施的防護要以“風險”為核心��,這是指所有的安全舉措(風險評估和治理等)都要圍繞“風險”這個核心定量指標進行�。“風險”通過分解成“責任-資產-脆弱性-威脅”四個步驟�����,將相關的人�����、物和事串聯在一起���,將安全措施貫徹在完整的體系中��,再通過風險值的改變反映出來�。風險的評估和治理以“風險治理平臺”為依托�����。
四大支撐:人員服務體系�����、技術產品體系����、安全運維體系�����、應急響應體系
人員服務體系�����,指關保涉及的所有的“人”的集合�����。人員服務體系不僅包括所有的安全技術人員和業(yè)務的責任人的信息�����,還包括人員組織形式�、規(guī)章制度����,所有人員的培訓、演練和工作記錄等�。
技術產品體系,指關保涉及的所有“物”的集合��。技術產品體系不僅包括等保2.0要求的“一個中心��,三重防護”所涉及的安全產品�����,還涉及所有業(yè)務相關“信息資產”的供應鏈安全評估和管理工具等�����。
安全運維體系�����,指關保脆弱性驅動的所有“事”的集合�����。安全運維體系包括安全體系建設�����、運行維護相關的支撐手段��。
應急響應體系���,指關保威脅驅動的所有的“事”的集合����。應急響應體系包括應急響應指揮、處置���、對抗����、溝通協調和演練相關的支撐手段���。
六大能力:圍繞風險治理形成的六大安全能力
六大能力��,是以風險治理為目標��,在長期的安全建設����、運維和應急響應過程中��,由人和物形成的綜合針對關鍵信息基礎設施的安全能力����。包括:分析識別能力、檢測評估能力����、技術防護能力�、監(jiān)測預警能力��、應急處置能力和技術對抗能力����。
北信源風險治理體系能夠全面覆蓋網絡空間安全的各個層面,以定量數值方式評估風險和改進程度��,并通過有效性評估形成閉環(huán)管理����,承擔網絡空間安全全面持續(xù)性改進。該體系也充分滿足了新時代�、新形勢下“關基”單位風險治理的需求,從以下幾點特性就不難看出其適配性:
【規(guī)范性】體系建設依據是經過科學論證和實踐檢驗的國家的信息安全標準和規(guī)范���,具有科學性和權威性��。
【目的性】體系建設有明確的目標導向�����。在當前發(fā)展階段����,以數據安全作為重要的網絡空間安全目標。隨著安全技術和形勢的發(fā)展��,能夠及時調整目標以適應環(huán)境����。
【開放性】體系建設具有開放性特點,不僅不限定指定的技術���、設備和廠商�,而且鼓勵兼容多種技術�、設備和廠商形成良性競爭,促進體系進步���。
【客觀性】體系的量化評分依據以技術指標為主��,具有客觀性�,減低了主觀打分的影響,這樣才具備不同主體和同一主體改進前后的數量對比的基礎�。
【實時性】體系的量化評分能實時反映當前安全狀態(tài)。當前網絡安全事件突發(fā)性很強����,體系必須具備實時性,即發(fā)現問題后立即改進問題的能力��。
【主動性】體系的量化評分能夠驅動責任主體單位主動��、持續(xù)進行安全防護能力的提升��,并且對責任主體的改進進行定量評估�。
北信源“關?!憋L險治理體系
相較于態(tài)勢感知平臺的優(yōu)勢
一、將關鍵業(yè)務責任作為“根”
北信源以具體問題具體分析的方式�,運用關基思維分析,抓住關鍵信息基礎設施的特點��,認清關基安全本質�����,把業(yè)務作為安全風險的“根”��,以保護關鍵業(yè)務為目的,對業(yè)務涉及的一個或多個網絡和信息系統(tǒng)進行體系化安全設計�,從而解決了關基安全的根本問題,在此基礎上構建整體安全保障體系��。
二�、“被動”轉“主動” 化解“常態(tài)化”問題
在北信源風險治理體系下,首先樹立核心業(yè)務和業(yè)務負責人��,再將相關資產歸攏在核心業(yè)務下面����。這樣責任跟隨資產,自然的歸屬在業(yè)務負責人和團隊��,也能夠解決業(yè)務和安全的沖突問題�����;而所有的改進都把降低風險量作為改進的方向和尺度����,這樣也解決了非安全技術人員無法對安全改進定量掌控的問題。
三���、以風險管理為導向的動態(tài)防護
北信源風險治理體系根據關基面臨的威脅態(tài)勢����,進行持續(xù)監(jiān)測和安全控制措施的動態(tài)調整,形成動態(tài)的安全防護機制���,及時有效的防范應對安全風險��。
關鍵信息基礎設施是國家網絡安全戰(zhàn)略的核心����,作為國家規(guī)劃布局內的重點軟件企業(yè)����、國家關鍵信息基礎設施安全保護核心承擔單位之一�,北信源受邀入駐國家等級保護2.0與可信計算3.0攻關示范基地。未來����,北信源將持續(xù)面向重要信息系統(tǒng)運營者提供更加優(yōu)質的安全服務,全面落實關鍵信息基礎設施安全保護工作����,實現網絡安全各類事件和風險的多層級、多維度處理����,不斷探索��、持續(xù)創(chuàng)新�,為加強國家網絡安全保障體系和能力建設作出更大貢獻�。
