《网络安全法》实施系列观察——基础设施篇
光明网记者 李政葳 陈畅
近年来,有关网络安全的话题从未停歇。随着“棱镜门”事件的曝光,国家间的信息安全对抗日益公开化,网际空间的安全威胁正呈国际化、复杂化、组织化趋势发展。
如今,以云计算、大数据、物联网、工业互联网为代表的新技术得以迅速应用,更多的传统能源、电力、交通基础设施联入网络,成为关键信息基础设施有机组成部分。
“关键信息基础设施”一词看似抽象,却是网络安全的重中之重。在最近的一年里,中国互联网络信息中心(CNNIC)安全管理部副主任张新跃一直在做网络安全基础设施的标准制定工作。在他看来,与2014年的征求意见稿相比,今年6月1日实施的《网络安全法》最主要变化是加入了对关键信息基础设施和信息保护的明确定义,在安全设施、安全产业方面有更详细的描述,且提升到了国家网络安全战略的高度。
关键信息基础设施保护必须以等级保护制度为基础
(图片来源于网络)
两者相辅相成、不容分割
作为落实国家总体安全观的重要举措,《网络安全法》勾勒出了国家网络安全顶层设计的框架和蓝图,也突出了关键信息基础设施保护的要求。在《网络安全法》第三章第二节中,大篇幅重点阐述了“关键信息基础设施的运行安全”的相关话题。
作为支撑能源、交通、金融、通信、电子政务等重要领域运行的神经中枢,关键信息基础设施与国计民生息息相关。然而,我国的关键信息基础设施保护面临着建设起步较晚、专业技术落后、安全威胁严峻等形势,实施起来任重道远。
“国家关键信息基础设施首先落实等级保护制度,要将等级保护制度打造成新时期国家网络安全的基本制度,逐渐构建新的法律政策体系、标准体系、人才技术支撑体系、人才队伍体系、教育训练体系和新的保障体系。”在日前举办的第五届中国网络安全大会(NSC2017)上,公安部网络安全保卫局总工程师郭启全坦言,互联网发展首先要保护网络基础设施安全,这也是等级保护制度的核心内容。
“正确理解、处理等级保护制度与关键信息基础设施保护的关系。”郭启全表示,网络安全等级保护制度是关键信息基础设施保护的基础,关键信息基础设施是等级制度保护的重点,二者相辅相成,不能分割;网络安全等级保护制度是普适性的制度,关键信息基础设施是重点保护的核心点,两者是面和点之间的关系。
在郭启全看来,关键信息网络基础设施须按照等级保护制度要求,开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。
“等级保护2.0”与云上安全
随着云计算、大数据、移动互联网、物联网等新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷。“等级保护制度进入2.0时代,网络安全也进入2.0时代。”谈及当前形势下等级保护制度的特点,郭启全认为,一是涉及全新的国家网络安全基本制度体系;二是以保护国家关键信息基础设施为重点;三是保护策略发生变化。
也就是说,传统的等级保护即1.0时代,其对象就是信息系统:数据采集生成、处理加工、传输和数据的存储;而等级保护的2.0时代则新增加了对云计算安全、移动互联安全、物联网安全以及大数据安全等相关要求。
“纵向上延伸了信息系统的概念,把云计算、工控、物联网都纳入进来,与这些相关的都是等级保护对象的试用范围。”公安部信息安全等级保护评估中心测评部副主任张振峰说。
在业界人士看来,等级保护从由1.0到2.0是被动防御变成主动防御的变化。也就是说,以前被动防御,要求防火墙、杀病毒、IDS(入侵检测系统),要上升到了主动防护,做到整体防御、分区隔离;积极防护、内外兼防;纵深防御、技管并重。
“伴随新应用、新技术普及,基础通信网络、基础平台、大数据技术相关的系统,可能只具备个别的系统功能或特点,按照原来的定义没办法划到等级保护范围之内。”张振峰认为,等级保护体系的大升级,首先就是标准体系的扩充,整合原来1.0时代的核心标准体系,把不同领域、自身特色的内容单独对待;另外,随着领域的扩展,类似当前火热的AI(人工智能)领域,或许可以提出等级保护的新要求。
在等级保护2.0时代下,云上用户安全不容忽视。“对于云上租户或云平台来说,不仅要提供基础设施服务,还能给租户提供安全的服务或解决方案,这样租户在平台上用起来会更加得心应手。”公安部第三研究所云计算安全测评实验室负责人陈妍说。
做好认定,才能做好保护
从各国的实施情况看,关键信息基础设施具体标准相当复杂,需要在实践中不断完善、不断调整。目前,国家互联网信息办公室正会同有关部门按照《网络安全法》的要求,指导相关行业领域明确关键信息基础设施的具体范围。
张新跃也表示,与关键信息基础设施相关的网络安全框架、网络安全保护要求、安全控制要求、安全保障指标体系、安全检查评估指南等标准正在制定。
加强关键信息基础设施保护,国家网信办网络安全协调局有关负责人表示,要重点做好以下几方面工作:一是要加强关键信息基础设施保护工作的统筹,强化顶层设计和整体防护,避免多头分散、各自为政的情况发生。二是要建立完善责任制,政府主要是加强指导监管,关键信息基础设施运营者要承担起保护的主体责任。三是要加强对从业人员的网络安全教育、技术培训和技能考核,切实提高网络安全意识和水平。四是要做好网络安全信息共享、应急处置等基础性工作,提升关键信息基础设施保护能力。五是要加强关键信息基础设施保护中的国际合作。
“做好关键基础设施的识别和认定,才能做好关键基础设施的保护。”张新跃认为,各行业会做细分要求,承载的对象和内容也会有区别。比如,平台类会对注册用户、活跃用户、访问量等进行特别要求。
综合防御体系应针对最强对手设计
如何确定国家关键信息基础设施?郭启全认为,应该把国家核心、关键的基础设施和重要信息系统作为重中之重,要以国家级、有组织的网络攻击能力作为标尺,要以网络安全等级保护为抓手,以信息通报为平台、以情报侦察为突破、以侦查打击为支撑,构建“侦攻防管控”一体化的大数据安全综合防控体系。
“关键基础设施综合防御能力、水平和技术要针对最强大的对手,进行设计、提升和创新。”郭启全说,全面提升网上行动能力不是单靠一家、某一个组织、某一个群体,而是需要共同努力,做到“加强协同保护,形成保护合力”。
“发现某些问题时,可能不是我擅长的,需要安全公司协助分析样本。”张新跃说,打造一体化的风险识别、防护和应急响应,实现资源共享和联动防御,安全威胁与情报共享,进行快速的威胁响应。比如,前段时间发生勒索软件病毒事件时,恰恰需要协同,需要共同发力。
大型互联网企业虽然不是等级测评的主要实施者,但是是重要的参与者。“在新技术背景下,大型互联网企业应该关注云安全产品合规,重点落在保障业务数据安全和用户数据隐私保护。”张振峰认为,大型互联网企业,无论是自测,还是在测评中给第三方测评机构展示安全能力,都需要重点关注。
“希望未来依托等级保护国家工程实验室,建立全国云上的等保合规平台,囊括云上等级保护的相关参与方,降低用户的合规成本……”张振峰说。