关键信息基础设施保护工作直接关系到国家安全、国计民生和公共利益,习近平总书记在“4·19讲话”中要求加快构建关键信息基础设施安全保障体系。《网络安全法》第五条明确规定国家应采取措施对关键基础设施进行保护,第三十四条规定了关键信息基础设施运营者的安全保护义务,第三十八条要求运营者每年至少进行一次检测评估。《关键信息基础设施安全保护条例(征求意见稿)》进一步明确了运营者的安全防护责任。
关键信息基础设施保护体系的建立健全依赖于运营者网络安全防护能力的提升。对于运营者安全防护能力的评估则是促进能力提升的基础。美国、德国等西方国家在评估运营者安全防护能力方面有着丰富的经验。2014年,美国家标准技术研究所发布了《改善关键基础设施网络安全的框架》,指导组织或机构管理网络安全风险。同年,美能源部和国土安全部针对关键信息基础设施开发了网络安全能力成熟度模型(以下简称“C2M2模型”),指导运营者实现美国关键基础设施网络安全框架的落地执行。
C2M2模型提供了网络安全防护能力评估的一种通用方法,适用于运营者对其信息系统、工控系统等资产的安全水平进行评估。模型从风险管理、配置管理、信息共享与交流、供应链和外部依赖管理等10个安全域进行评价。每个安全域由一系列安全实践组成。C2M2模型总结了安全实践的实施原则,提供了运营者安全能力的基线,模型的使用不具备强制性。不同行业的运营者可以从模型中自行选择所需的安全域和安全实践,评估其安全能力,识别差距和不足,强化关键信息基础设施的安全保护能力。C2M2模型提供了网络安全能力建设的统一参考,方便不同类型的机构交流经验。
我国在关键信息基础设施安全保障体系建设方面起步较晚,急需建立关键信息基础设施安全防护能力评估体系:一是制定科学合理、扩展性强的关键信息基础设施网络安全能力评估标准。我国在关键信息基础设施安全防护能力的评估建设方面,应深入分析不同行业关键信息基础设施保护的实践经验,充分考虑不同领域可能存在迥异安全需求和扩展性要求,以适用于不同类型的关键信息基础设施安全能力的评估。
二是应充分考虑我国国情,与已有网络安全能力评估框架标准的有效衔接。我国在关键信息基础设施保护领域正在制定包括《关键信息基础设施网络安全框架》、《关键信息基础设施安全保障指标体系》、《关键信息基础设施检查评估指南》、《关键信息基础设施网络安全保护基本要求》、《关键信息基础设施安全控制措施》等在内的一系列标准,关键信息基础设施网络安全能力评估应与现行标准形成配套,充分考虑我国国情实际,突出威胁信息共享、监测预警、应急处置等横向协同的安全域内容,在国家网络安全标准的统一框架要求基础上不断完善。
作者 中国电子技术标准化研究院 孙彦 姚相振
声明:本文来自光明网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。