文│ 国家计算机网络应急技术处理协调中心 林星辰
《关键信息基础设施安全保护条例》(以下简称《条例》)构建了以关键信息基础设施运营者(以下简称“运营者”)为主体的综合治理体系,并将网络安全检测和风险评估作为一项重要责任义务。落实好网络安全检测评估工作,是保护好关键信息基础设施的关键环节。
一、关键信息基础设施检测评估概述
(一)充分认识检测评估的工作职责
检测评估工作是运营者开展关键信息基础设施安全保护的一项法定职责。《条例》第十五条规定,运营者设置的专门安全管理机构应当履行“组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估”的工作职责。运营者必须按照《条例》第十七条的相关要求,开展检测评估工作。一是工作频度方面的要求,运营者每年应至少进行一次网络安全检测和风险评估;二是工作形式方面的要求,有能力的运营者可以自行开展检测评估,能力不足的运营者可以委托专业的第三方网络安全服务机构开展检测评估;三是结果使用方面的要求,一方面,要及时整改发现的安全问题,另一方面,要按保护工作部门的要求报送检测评估、安全整改等方面的情况,便于主管监管部门及时掌握风险现状。
(二)准确理解检测评估的重要作用
1. 从标准体系理解检测评估工作
当前,关键信息基础设施的安全标准体系的基本框架已经初步建立,对运营者应履行的具体职责做出了更细致的规定。在《信息安全技术 关键信息基础设施网络安全保护基本要求》《信息安全技术关键信息基础设施安全防护能力评价方法》等报批稿或公开征求意见稿的标准中,将关键信息基础设施保护工作划分为五个环节:识别认定、安全防护、检测评估、监测预警、事件处置。从中可以看出,检测评估工作不是孤立的,而是关键信息基础设施安全标准体系中一个重要的有机组成部分。检测评估不能代替监测预警和事件处置,然而却可以通过定期的深入评估,使得运营者对关键信息基础设施的保护制度运行情况、识别认定的科学性和准确性、安全防护措施的全面性和有效性做到及时掌握,以应对潜在风险和隐患事件。
2. 区分检测评估与等级保护测评的关系
准确理解检测评估的另一个重要方面,是区分检测评估与等级保护测评的关系。首先,从工作目标上来说,等级保护测评的目标是合规,检测评估的目标是基于合规提出更高的能力要求。等级保护测评的本质是符合性测评,运营者只要完成规定的动作和措施即可。检测评估在满足等级保护合规要求的基础之上,还会提出具有关键信息基础设施保护特色的合规要求,如专门安全管理机构设置、人员经费配套情况等;另外,检测评估不仅仅停留在合规要求上,还会对运营者的技术防护提出更高要求,如检验防护措施的有效性、发现网络安全隐患、分析潜在可能引起的安全事件等。
其次,从安全责任上看,等级保护测评的效果是合规,运营者需要按照等级保护工作框架,严格落实标准规范所要求的规定动作,尽可能避免发生安全事故。关键信息基础设施作为经济社会运行的神经中枢,其运营者肩负重大的保护责任,等级保护测评的合规理念,难以有效督促运营者发挥安全保护作用。关键信息基础设施检测评估工作则不仅仅着眼于合规,运营者在完成合规动作之外,还应在标准规范的指导下,通过检测评估检验安全防护措施的有效性,全面识别脆弱性和安全威胁,分析潜在风险事件,提出整改措施。若因应发现而未发现的风险,造成了可避免而未避免的重大网络安全事件,《条例》第四十七条对运营者或其他有关部门因失职、渎职造成重大和特别重大网络安全事件的责任追究保留了依据,合规动作不能成为重大责任事故的免责借口,有效地弥补了等级保护测评的不足。
二、检测评估的主要内容
掌握科学、有效、全面的检测评估方法对于运营者来说至关重要。当前,正在制定完善中的关键信息基础设施安全标准体系提出了一套检测评估方法,可作为《条例》施行后、标准正式发布前,运营者开展检测评估的工作参考。
(一)建立检测评估制度
运营者应建立健全关键信息基础设施安全检测评估制度,包括但不限于检测评估流程、方式方法、周期、人员组织、资金保障等。
(二)合规检查
运营者在关键信息基础设施安全保护工作框架内,应满足基本的工作要求和职责。一是评估关键信息基础设施认定情况,检查是否已将支撑关键业务的网络设备和信息系统均纳入了认定范围,确保没有存在漏报、误报、瞒报的情况。二是评估法律法规、政策文件和标准规范梳理情况,确保运营者没有遗漏重要的工作依据工作。三是网络安全等级保护落实情况,确保基本的等级保护合规工作落实到位。四是个人隐私数据保护情况,评估是否按照相关法律法规开展个人信息保护。五是安全管理机构设置和人员安全管理情况,确保专门安全管理机构设置、安全背景审查、安全教育、技术培训考核等工作落实到位。六是安全保障措施落实情况,如安全管理制度、安全建设、安全运维、日常监测、备份与恢复、应急响应与处置等工作落实情况。
(三)技术检查
运营者在合规检查的基础上,应开展技术检查。一是安全检测。以人员现场操作为主要手段,包括信息收集、漏洞扫描、漏洞验证、业务安全测试、社会工程学测试、无线安全测试、内网安全测试、安全域测试、入侵检测、安全意识测试、安全整改情况复查等共 11 项内容。二是安全监测。以部署软硬件设备的方式为主要手段,在信息嗅探行为、漏洞利用攻击、间谍软件、病毒蠕虫攻击、木马后门攻击、恶意邮件攻击、应用攻击和漏洞、恶意域名、异常流量、敏感信息泄露等共 10 个方面开展监测。
三、下一步思考
随着技术应用的不断发展和国内外网络空间安全态势的演变,需要不断完善关键信息基础设施检测评估的重点内容,以应对关键信息基础设施安全保护工作面临的一系列新问题新挑战。
一是将技术对抗纳入关键信息基础设施网络安全保护基本要求和检测评估的内容。技术对抗指的是在现有的关键信息基础设施保护基本要求五大环节的监测预警的基础之上,以态势感知和追踪溯源技术为支撑,实现对攻击行为的自动化阻断,对攻击者的身份溯源。技术对抗不仅是一种保护手段,也是一种积极防御和潜在反制手段,将对攻击者形成威慑,促使其从“不能攻”转变为“不敢攻”从而实现更好的防御。
二是加强关键信息基础设施供应链安全的检测评估手段。近年来,全球分工体系深刻变化,国际贸易、地缘政治等因素持续冲击全球供应链结构,新冠肺炎疫情更是加剧全球供应链动荡,威胁我国关键信息基础设施安全。然而,由于产业结构的复杂性、供应链关系的隐蔽性、风险传导的滞后性、事件爆发的突发性等因素,供应链风险的感知、评估、预警能力非常不足,成为关键信息基础设施安全保护的重大短板。“十四五”规划提出,“建立重要资源和产品全球供应链风险预警系统”,对我国关键信息基础设施安全保护工作提出了新要求。
三是加强关键信息基础设施的数据安全和个人信息保护检测评估能力。随着大数据时代的到来,数据安全和个人信息保护在关键信息基础设施安全保护中的分量越来越重。随着《数据安全法》和《个人信息保护法》的出台生效,关键信息基础设施安全标准体系中关于数据安全和个人信息保护的工作要求已不能满足上位法的相关要求,需要进一步补充完善。
(本文刊登于《中国信息安全》杂志2021年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。