《关键信息基础设施安全保护条例》颁布以来,引发产学研各界广泛关注。本刊对工业控制线系统信息安全技术国家工程实验室、网络安全企业、高校、研究院所专家进行了系列采访,就共同关心的问题开展解读。
本期受访者:
绿盟科技运营战略规划经理 吴昊
关键信息基础设施保护与等级保护有何关联与区别?
01
等级保护是指对网络信息系统和数据实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。主要内容是对信息系统的分等级保护、对网络安全产品的分等级管理、对安全事件的分等级响应处置。
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。《关保条例》第六条指明关基保护应“在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。”在《网络安全法》的第三十一条中同样明确要求:“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”因此我们说等级保护是关基保护的基础,关键信息基础设施是等级保护制度中重点保护的对象。关基系统也需要实施等级保护并且至少应达到等保三级要求。
另外关基保护是区分行业的,是在关键网络空间内的增强性安全保护要求。而等级保护是面向全行业的,是以企业为单位的普适性安全保护要求。关基保护从关基产业链出发,首先需要开展行业级的关基认定,关基对象也可能是跨企业、跨地域、跨网络的业务系统集合。
条例中为何指出国家要采取措施,优先保障能源、电信等关键信息基础设施安全运行?
02
能源、电信行业是更为基础的关键信息基础设施行业,能源、电信行业关键信息系统一旦遭到破坏、丧失功能,例如大范围停电、中断通信等,将影响其他关基行业和领域的关键信息基础设施安全运行,因此可以说能源、电信等行业的关键信息基础设施更为关键,应优先保障。
目前已经被列入关键信息基础设施的网络设施会不会随着数字化转型而动态调整?
03
会。
网络安全技术是一种特殊的伴生技术,它为其所服务的底层应用而开发。近几年来,我们见证了云计算、边缘计算、物联网(IoT)、人工智能(AI)、工业4.0、大数据以及区块链技术等新兴领域的尖端计算和信息技术的不断普及。关键信息基础设施的数字化进程是追求生产力提升过程中的客观事实,我们作为科技强国,关键信息基础设施因升级的变更将普遍存在。
例如4G到5G,面对这类场景《条例》第十一条已由明确规定“关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。”
如何做到关键信息基础设施的供应链安全?关键信息基础设施认定对信创产业发展有何影响?
04
通过供应链对关基行业发起的入侵是攻击者在关键信息系统上线前投放的一剂“有毒的药丸”。例如通过感染和控制系统研制人员的电脑,在系统开发阶段、或关基设备邮寄中途,植入病毒程序,获得高危系统漏洞。在管理上需要对供应链各环节加强管理,对关键岗位人员进行安全背景审查。在技术上,尽量采用安全的系统架构设计,例如可信3.0架构、拟态安全架构、零信任架构等,同时在代码开发过程减少因不谨慎产生的漏洞,例如采用SDL、DevSecOps等安全的过程框架保障,最大限度地减少供应链安全风险。
关键信息基础系统信息技术应用创新不仅能解决核心技术“卡脖子”、“受制于人”等问题,更是从供应链的源头保障关基安全。在关基认定中优先推荐关基企业采用信创产品是一个重要趋势,对信创产业发展应有供需协同拉动的作用。
条例明确禁止未经授权或批准的个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等活动,那么对关键基础设施潜在漏洞的挖掘将采用何种方式或手段?
05
未经授权禁止对关基实施漏洞探测和渗透性测试等活动,是《网络安全法》第26条规定的延展。关键信息基础设施涉及到的业务系统相互绑定,牵一发而动全身,出现个别系统宕机可能会导致整个生产线中断,应尽量减少在线上系统开展实战性的漏洞探测或渗透测试。那么通过构建所属产业生态的关键信息基础设施靶场环境,在虚拟现实的模拟场景中开展漏洞的发掘、产品系统上线前的安全测试、面向攻防实践的应急演练等,是一种比较有效的解决方案。
《条例》的颁布为网安企业带来了哪些机遇与挑战?
06
《条例》的颁布,明确了关键信息基础设施需要更高的安全保障,为网安企业的发展带来了难得的机遇,主要是政策机遇、高质量发展机遇和内需市场持续升级等机遇;同时也带来了不可回避的挑战,主要是对手的改变,敢于对关键信息基础设施发起攻击的一定是超越黑产的、有雄厚资本、并非追求经济利益的非法团体,其背后可能是海外情报机构、网军、极端组织等。
在此大背景下,作为网安企业更要成功抓住历史机遇、不惧挑战,关键是苦练内功,大力推进技术创新、产品创新、服务创新和管理方式创新,培养优秀实战型人才梯队,大力推进企业正能量文化,不断提高企业的技术实力与核心竞争力。
—END—
记者:范赫男
排版:韦肖葳
ITNS 信息技术与网络安全