文│国家互联网应急中心 杨鹏
《关键信息基础设施安全保护条例》(以下简称《条例》)的实施,明确了关键信息基础设施(以下简称“关基”)保护的要求,界定了关基保护内涵,标志着我国关基安全保护进入一个新阶段。本文从行业实践的角度,提出对关键信息基础设施安全管理体系建设的思考。
一、管理体系框架
关基的安全管理应当把握整体性,应当以《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规要求为基础,以《关键信息基础设施安全保障指标体系》(报批稿)《关键信息基础设施安全保护要求》(报批稿)《关键信息基础设施安全控制措施》(送审稿)等国家标准为参考,结合行业特点,建立体系化的管理框架,围绕规划设计、开发建设、运行维护、退役废弃等生命周期各阶段进行全过程管理如图所示。
二、安全管理制度体系
安全管理制度体系是指导和监督关基安全工作的行动指南。安全管理制度体系的设计要明确管理架构,细化工作要求,规范操作流程。
一是要完善关基安全保护的组织架构。应当设立专门安全管理机构,设置专业岗位,明确机构职责和岗位要求,做到关基安全管理权责对等。二是要建立和完善关基安全保护行为规范。明确安全目标和安全策略,编制安全管理规范和实施细则,加强人、财、物等资源保障,有效组织网络安全人员、技术等要素的协同。三是要规范关基网络安全考核,激励相关单位自觉承担安全责任,履行安全义务,形成管理-反馈-优化的闭环。
三、网络安全工作机制
网络安全工作机制是保障关基安全要素高效协作的运行方式。关基网络安全工作机制主要包括关基日常安全保障、漏洞监测与修复、信息共享通报、安全事件预警研判、应急响应与恢复、重要活动保障、网络攻防对抗等方面。通过网络安全工作机制的协同,将关基打造成为一个安全防护的整体,提升网络安全隐患发现、监测防护、处置对抗和应急恢复的能力。
四、网络安全控制措施
网络安全控制措施是落实关基保护要求的具体着力点。基于风险管控的思想,可以将网络安全控制措施划分为三层。
第一层是安全的能力域。能力域聚焦关基安全防护的各个方面。关基的安全保障来自五个方面的能力,即分析识别、安全防护、监督检查、监测预警和事件处置。第二层为控制项,每个能力域用若干个控制项进行细化,通过能力域的细化,将安全能力进行分解,最终落实到每一项防护工作中。第三层是控制指标。控制指标是控制项的量化说明。每一个控制项的实现程度用控制指标来度量。通过以上三层网络安全控制措施,实现关基安全能力的可见、可度量,更好的指导关键信息基础设施保护工作。
五、网络安全评估体系
网络安全评估体系是关基安全管理体系中构建管理闭环的重要支撑。网络安全评估体系实现对关基安全管理制度、安全控制措施、安全工作机制运行有效性的评估,其评估结果是完善和提升关基安全管理体系的基础依据。按照网络安全评估结果可以将关基安全能力水平划分为 3 个等级。
能力等级 1(一般保护)。具备基础的防护手段,安全管理制度和控制措施能够基本覆盖关基安全管理全过程。保护对象能够清晰识别认定,防护手段成体系,能够开展检测评估活动,具备监测预警能力;能够按规定接受和报送相关信息;在突发事件发生后随机应对,并在一段时间内恢复。
能力等级 2(强化保护)。能清晰识别保护对象和相关风险,防护措施有效,能够检测评估出主要安全风险,主动监测预警和态势感知,事件响应较为及时,业务能够及时恢复。强化保护在一般保护的基础上,聚焦能力提升,围绕指挥决策、态势感知、安全赋能等形成体系化防护能力,技术工具自动化能力高。
能力等级 3(协同保护)。识别认定完整清晰,防护措施体系化、自动化程度高,能够及时检测评估出主要安全风险,具备覆盖全面、任务流程自动编排的监测预警和态势感知体系,信息共享和协同程度高,事件响应及时有效,业务可近实时恢复,遭到攻击后具备反击能力。协同保护在强化保护的基础上,具备协同一体化的网络安全防御能力。
高能力等级向下覆盖所有低等级要求。按照能力等级的基本定义,采用合规检查、技术检测等方法,对每一项安全控制措施的控制指标进行评分,进而可以计算得出关基安全防护能力等级。
一般来说,满足某一级别所有能力域全部控制措施要求的可以判定为达到这一级别安全防护能力。特殊情况下,如个别能力域控制措施没有达到这一级别能力要求,但其他能力域达到更高级别能力水平,且经评估后认定能补足未达标能力域不足的,也可认为整体达到这一级别能力要求。例如,某关基“安全防护”能力等级没有达到等级 1,但是其“监测预警”和“事件处置”能力达到等级 2 或 3,能够尽快发现并快速应对安全事件,使得关基可以有效防控风险,业务连续性不受影响,可认为该关基整体安全能力达到等级 1。
《条例》的出台是新时代环境下对网络安全工作提出的新要求。本文提出的与条例相适应的关基安全管理体系落地实践,可为关基行业开展安全保护工作提供指导,也可以为其他行业提供参考。
—-数据来源:中国信息安全 微信公众号