【编者按】关键信息基础设施是经济社会稳定运行的重要基础,是国家安全的重要基石。近期,我国发布了对关键信息基础设施安全检查、评估、保护相关条例及制度,揭开了中国关键信息基础设施安全保护工作的新篇章。本文从识别认定、概念内涵、体系化保护和统筹发展等角度,提出了对关键信息基础设施安全检查、评估、保护工作的认识和思考。

对关键信息基础设施安全检查、评估、保护工作的认识和思考

国防科技大学信息通信学院 郑理

通过学习《关键信息基础设施安全保护条例》(征求意见稿)、国家标准《信息安全技术 关键信息基础设施安全检查评估指南》(征求意见稿)、国家标准《信息安全技术 关键信息基础设施安全保障指标体系》(征求意见稿)等文献(下文分别简称“条例”、“指南”、“指标体系”),以及研究美国关键基础设施保护的实践,本文提出对关键信息基础设施(Critical Information Infrastructure,CII)安全检查、评估、保护工作的四点思考。

一、识别认定:从关键业务到CII,力避“关键”与“非关键”混为一谈

首先,要将CII从普遍的、一般的信息基础设施中区分出来。在“指南”的检查评估流程中明确了CII的范围:调研和梳理检查评估对象的关键业务,确定支撑关键业务运行的基础设施。这样的基础设施就是CII。同样,相关学者在《关键信息基础设施边界识别刻不容缓》一文中提出的依关键业务来判断CII,以及依业务链(信息流)来将相互联系的CII“顺藤摸瓜”排查出来,这都体现了从关键业务到CII的思想方法。而关键业务的确定,可从关键信息基础设施运营机构的战略任务、目标使命中导出,这应该是比较明确的。将关键业务从一般化的业务中剥离出来了,就能将CII从普通的信息基础设施或基础设施中分离出来,避免了“关键”与“非关键”混为一谈。

二、区分重点:“网络设施”与“信息系统”要有所侧重

根据“条例”中明确的“关键信息基础设施范围”,CII可区分为“网络设施”与“信息系统”。笔者认为二者并不平等,要区别对待,有所侧重。网络设施偏物理资产,信息系统偏软件、数据等无形资产或虚拟资产。在此引用美国关键基础设施(CI)保护中的提法,他们将CI分为Physical aspect(物理层面)和Cyber/Virtual aspect(网络/虚拟层面),这与上述“网络设施”和“信息系统”的分法有一定对应关系。当今社会,随着信息网络技术向传统工业领域、金融领域等渗透和应用,关键基础设施网络安全的重要性日益凸显,网络安全的形势明显比传统物理安全严峻,关键基础设施的网络安全成为了一种新的影响国家安全的威胁隐患。因此,美国所讲的CI保护和我国提出的CII保护更多的是对CI/CII网络安全方面的保护,而非物理安全。物理安全并非不重要,而是因为来自网络空间对CI/CII的攻击具有级联性、隐蔽性,追根溯源难,其后果和治理难度远高于传统的物理威胁。

事实上,从美国官方发布的大量文件看,几乎全部侧重于CI的网络安全保护,时间越靠后越如此。通过全文学习“条例”不难发现,不仅明确提出“关键信息基础设施在网络安全等级保护制度基础上,实行重点保护”,通篇谈论的都是CII的网络安全保护问题,而不是突出其物理安全保护。包括在开展CII安全检测评估时也是委托网络安全服务机构进行技术检测。从“指南”和“指标体系”这两部国标的“规范性引用文件”来看,几乎引用的都是信息安全方面的国家标准,如《信息安全技术信息安全等级保护基本要求》(GB/T 22239-2015)、《信息安全技术信息安全保障指标体系及评价方法》(GB/T 31495.2-2015)等。这印证了网络安全(信息安全)是我国开展CII安全保护的重点,因此,在CII具体的保护对象上,应侧重“信息系统”。

三、体系化保护:供应链安全与产业链安全

供应链是指从供应商到制造商,再到分销商、零售商直至最终用户的一个完整链条,体现了从原材料采购到制造再到生产、销售的完整周期。众所周知,在信息技术、计算机技术领域我国面临“缺芯少魂”的局面(中国工程院倪光南院士反复强调)。“芯”即芯片,“魂”即操作系统,以及工业基础软件和工业设计仿真软件。这就决定了我国的CII面临较大的供应链风险,后门、漏洞、特洛伊木马严重威胁CII安全。正因为此,“条例”单设“产品与服务安全”章,针对采购的网络产品和服务以及外包开发的系统、软件等制定了相关制度,解决的就是供应链安全问题。如“运营者应当对外包开发的系统、软件,接受捐赠的网络产品,在其上线应用前进行安全检测”。不仅如此,“指南”提出要收集产品、服务供应商的信息和产品服务供应商相关人员的信息,包括组织架构、岗位设置、人员姓名、手机、邮箱等。这些突破CII运营商的大门,沿着供应链延伸的管理触角,看似“管的宽”,实则告诉我们“供应链就是风险链”,管不好供应链的安全是不完善的安全。

所谓“产业链安全”是从CII运营商在整个产业链或行业中扮演的角色,以及不同行业间相互依赖关系的角度来反观对自身CII安全的需求。说白了,就是自己出了问题会对外界有哪些影响。例如CII领域中的化工业,一般化工业分为化学品原材料生产、加工的上游行业,和化学品深加工以及经销、零售的下游行业。很显然,一旦上游行业出问题必将影响下游行业。又如,从不同行业相互依赖的角度看。化工业为污水净化提供化学物质消毒、为能源业和运输业提供化石燃料、为信息技术产业提供芯片和集成电路制造的原材料等。站在相互联系的角度把这些问题分析清楚了就明白确保自身和整个行业CII安全的高度重要性,从而制定针对性的保护措施。

在这个问题上,美国国家标准技术研究院NIST为关键基础设施的网络安全制定的“网络安全框架”(Cybersecurity Framework)也体现了对供应链、产业链进行整体管理的思想。“框架”将与关键基础设施企业有关的供应商、大客户和企业的合作伙伴并称为“stakeholders”——利益相关者,即将三者作为一个整体。例如“框架”就规定了“风险管理流程被建立、管理以及被企业的利益相关者同意”,“外部服务提供商的活动被监控以检测潜在的网络安全事件”,以及“企业在关键基础设施和它的工业领域中的地位被辨识和理解”。这些规定都体现了“内”和“外”的协调一致,即一个企业的网络安全问题既要考虑自身的需求,也要考虑外部(供应链、产业链、行业领域)的需求,将二者统筹兼顾,并取得协调一致,它体现了围绕供应链安全和产业链安全的体系化保护思想。

此外,在制度设计方面,“指南”提出安全管理制度要成体系化建设,这个“体系”包含:日常工作规范、安全配置标准、业务连续性计划、应急预案等。这也是体系化保护思想的体现。

四、统筹兼顾:硬安全与软安全、外防与内防

所谓“硬安全”是指具有可测指标或有承载实体的对象安全,“软安全”是指人员思想意识、规章制度的建立与落实等看不见、难以测度的安全事宜。国标“指标体系”中有多个可测的指标,如安全漏洞数量、有害程序事件数、网络攻击事件数、信息破坏事件数等10余项,还有安全管理人才队伍情况(通过统计从业人员网络安全培训规模、通过网络安全资质测试的从业人员数量来计算)、攻击破坏防护能力情况(通过统计通过系统安全测评和建立了网络信任体系的信息系统数来计算)、安全监测能力(通过统计建立安全监测预警体系和开展风险评估的系统数量来计算)等。这些安全指标都是客观、量化、可测的,有看得见的数量、摸得着的系统,能操作的软件,属于硬安全指标。然而,影响CII安全的因素不止这些,还有人员的安全意识、安全责任落实情况、安全标准执行情况、安全发展规划制定情况以及关键岗位人员背景审查情况等,这些都是偏主观、见于思想和难以量化的。对这些指标的检查需要检查方、安全管理负责人深入研究、长期观察,及采用问卷调查、谈心谈话等方法。如“指南”提出的“安全意识测试”采用发放安全意识调查问卷、测试安全常识掌握情况,和向相关人员发送无害的钓鱼邮件、钓鱼短信等方式检测其安全意识。此外,在CII安全保护中还应注意外防与内防相结合。外防即我们经常讲的防御来自外部网络或从外界侵入的恶意攻击、病毒植入、拒绝服务攻击等。内防则是对单位内部的从业人员利用职务和所掌握的资源优势从事有害CII安全的行为的防范。“条例”、“指南”、“指标体系”均提出“要对关键岗位人员进行安全背景审查”的要求。此外还应采用授权管理、访问控制的技术措施,贯彻权限最低、职责分离的原则,以及建立健全机房出入记录、网络安全日志留存、人员离职审查等制度,加强对人员行为的监管。

本文刊登于《网信军民融合》杂志2020年2月刊

声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。