李克强总理于2021年7月30日签署了中华人民共和国第745号国务院令,公布《关键信息基础设施安全保护条例》已于2021年4月27日国务院第133次常务会议通过,自2021年9月1日起施行。监管部门如何指导和监督关键信息基础的安全保护,保护工作部门如何识别、认定关键信息基础设施,运营者如何实施关键信息基础设施保护,现已成为信息部门密切关注的热点问题。本文将结合笔者混迹网络安全圈多年的经验,基于《关键信息基础设施安全保护条例》提出一些思考。

一、什么是条例?

根据《行政法规制定程序条例》第五条,行政法规的名称一般称“条例”,也可以称“规定”、“办法”等。行政法规是国务院为领导和管理国家各项行政工作,根据宪法和法律,并且按照《行政法规制定程序条例》的规定而制定的政治、经济、教育、科技、文化、外事等各类法规的总称。《中华人民共和国立法法》第七十条规定行政法规由总理签署国务院令公布,所以,《关键信息基础设施安全保护条例》的公布是由李克强总理签署的。

二、为什么要为关键信息基础设施“立法”?

(一)这是由关键信息基础设施具有“特殊性”和“重要性”决定的。《中华人民共和国网络安全法》指出国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏。对于危害关键信息基础设施安全的网络违法犯罪活动,有关主管部门将依照《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等有关规定依法惩治。

(二)全球网络安全态势依旧严峻,高级威胁攻击多是针对关键信息基础设施。2010年7月,伊朗核设施受到了军用级网络攻击武器“震网(Stuxnet)”的袭击,核设施中1/5的铀浓缩设备被破坏掉,直接摧毁了伊朗的核计划。2019年7月22日委内瑞拉再次发生大范围停电,委内瑞拉官方表示,停电最主要的原因是古里水电站遭到电磁攻击。2019年,我国部分政府部门和医院等公立机构遭遇到国外黑客攻击,此次攻击中,黑客组织利用勒索病毒对上述机构展开邮件攻击。2021年5月7日,美国最大的燃料油管道运营商Colonial Pipeline(科洛尼尔)遭到黑客使用的勒索软件攻击,被迫关闭了其全长5500英里(约等于8800公里)的燃料油运输管道。根据《2020全球高级持续性威胁APT研究报告》(三六零)、《全球高级持续性威胁(APT)2021年中报告》(奇安信)、《2021年上半年全球主要APT攻击活动报告》(天际友盟)显示,地缘政治有关的国家和地区依然是APT组织攻击活动的热点地区,主要攻击的行业依然集中在政府、军工等行业,利用钓鱼邮件、0day及高危漏洞依然是APT组织青睐的主要手段。

三、中美两国关键信息基础设施对照分析

(一)立法的时间

2021年7月30日李克强总理签署了中华人民共和国第745号国务院令,《关键信息基础设施安全保护条例》自2021年9月1日起施行。这是我国首部明确关键信息基础设施安全保护要求的行政法规,其中对关键信息基础设施的定义、关键信息基础设施的识别、关键信息基础设施的管理、关键信息基础设施的安全防护要求、运营者的责任义务、相关法律责任等内容,作了具体的规定。目前,我国关键信息基础设施安全保护的相关配套文件正在紧锣密鼓的制定中,包括《关键信息基础设施网络安全框架》、《关键信息基础设施网络安全保护基本要求》、《关键信息基础设施安全保障指标体系》、《关键信息基础设施安全控制措施》、《关键信息基础设施网络安全应急体系框架》、《关键信息基础设施安全防护能力评价方法》、《关键信息基础设施安全检查评估指南》等。

2013年2月12日奥巴马政府签署了总统政策指令PPD-21《关键基础设施安全和恢复能力》,旨在集合全国的力量,加强和维护关键基础设施安全,确保其正常运营和有效恢复。美国国家标准与技术研究所在2014年2月19日发布了《改善关键基础设施网络安全的框架》,并于2018年4月16日发布了《改善关键基础设施网络安全的框架1.1版》(该框架广泛应用在全球网络安全防护业务中,IPDRR模型即为该框架的核心)。

(二)关键信息基础设施范围认定

我国将“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”认定为关键信息基础设施的范畴。美国是将“对美国至关重要,一旦丧失能力或受到破坏,将对国家安全、国家经济安全、国家公共卫生安全或其任何组合产生削弱作用的通讯设施、网络设施、信息设施等”认定为关键信息基础设施。《现代汉语词典》对危害和削弱两个词语的解释分别是,危害:使受破坏,损害;削弱:力量、势力变弱。从字面意思上理解,危害涉及的破坏程度更大。

目前,我国有8个行业明确了其作为关键信息基础设施的重要性,分别是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业,其中公共通信和信息服务、能源须采用优先保障措施。除了上述行业以外,其他重要行业和领域中也存在关键信息基础设施。保护工作部门需根据关键信息基础设施认定规则对本行业、本领域的关键信息基础设施进行认定,认定结果及时通知运营者,并通报国务院公安部门。由此可以说明,关键信息基础设施认定的方法和等级保护的定级的方法是不同的:等级保护以“自主定级”为主,定级单位为运营者自己,公安机关负责备案登记;关键信息基础设施认定工作是由保护工作部门承担。

美国有16个行业被认定为关键信息基础设施行业,分别是:通信部门、能源部门、运输系统部门、水坝部门、供水和废水系统部门、金融服务部门、紧急服务部门、商业设施部门、医疗保健和公共卫生部门、政府设施部门、国防工业基地部门、核反应堆/材料/废料部门、化工部门、关键制造业、食品和农业部门和信息技术部门。

就两国关键信息基础设施认定的行业细粒度而言,美国部分主管部门对其所辖的关键信息基础设施已进行了行业细分,如:水坝部门,提供关键的保水和控制服务,包括水力发电、市政和工业供水、农业灌溉、沉积物和洪水控制、内陆散货航运的河流导航、工业废物管理等。我国现阶段正处于关键信息基础设施认定规则制订和部分设施初期认定阶段,因此行业细分还需要一定的时间。

中国

美国

公共通信和信息服务★

(优先保障)

通信部门

能源★

(优先保障)

能源部门(电力、石油、天然气)

交通

运输系统部门

水利

水坝部门(提供关键的保水和控制服务,包括水力发电、市政和工业供水、农业灌溉、沉积物和洪水控制、内陆散货航运的河流导航、工业废物管理等)、供水和废水系统部门

金融

金融服务部门

公共服务

紧急服务部门、商业设施部门(游戏、住宿、户外活动、公共集会、房地产、零售、体育联盟)(指的是实施以上活动的场所)、医疗保健和公共卫生部门

电子政务

政府设施部门

国防科技工业

国防工业基地部门、核反应堆/材料/废料部门

其他重要行业和领域

化工部门、关键制造业(初级金属制造、机械制造、电气设备/电器和部件制造、运输设备制造)、食品和农业部门、政府设施部门、信息技术部门、核反应堆/材料/废料部门

中美两国关键信息基础设施行业对照表

(三)关键信息基础设施责任机构及职责

目前,我国所涉及的关键信息基础设施责任单位分为两类,一类是主管及监管部门,二类是运营者。主管及监管部门包括国家网信部门、国务院公安部门、国务院电信主管部门及有关职能部门、省级人民政府有关部门、保护工作部门,主要为关键信息基础设施在安全防护方面提供统筹协调、指导监督、违法犯罪打击、技术支持等职能保障。运营者是指关键基础的所有者、管理者和设施服务提供者。

为有效的保护关键信息基础设施,美国设立了专门的管理机构:网络安全和基础设施安全局,PPD-21对关键信息基础设施的责任角色进行了定义,主要分为4类。国土安全部长是关键信息基础设施安全保护和恢复的最高指挥官,提供战略指导和统筹协调等职能。美国根据16个行业的行业特点,为每个行业设立了一个特定的部门机构,称为部门风险管理机构。其他相关机构为关键信息基础设施的安全保护和恢复提供促进、监督和支持(合作、交流、情报、后勤保障、学术、技术)等服务。由于美国有一些关键信息基础设施属于私营企业,因此将关键信息基础的所有者和运营者进行了区分。

中国

美国

责任主体:关键信息基础设施运营者

责任主体:关键信息基础设施所有者与关键信息基础设施运营者

1、主管及监管部门:

  • 国家网信部门:统筹协调有关部门对关键信息基础设施实施安全保护。

  • 国务院公安部门:指导监督关键信息基础设施安全保护工作。

  • 国务院电信主管部门、有关职能部门:在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

  • 省级人民政府有关部门:依据各自职责对关键信息基础设施实施安全保护和监督管理。

  • 公安机关、国家安全机关:依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。

  • 保护工作部门(重要行业和领域的主管部门、监督管理部门):制定关键信息基础设施认定规则;及时将认定结果通知运营者,并通报国务院公安部门;信息共享机制建设;领域制度完善;行业关键信息基础设施安全态势监控;行业应急预案制定和组织应急演练;定期开展关键信息基础设施网络安全检查检测。

2、技术支持和协助部门

国家网信部门和国务院电信主管部门、国务院公安部门等(技术支持和协助)、保护工作部门(应急演练指导、改善指导)、公安机关/国家安全(背景审查)、网络安全服务机构(技术支持)。

1、国土安全部长:提供战略指导,统筹协调有关部门对关键信息基础设施实施安全保护和恢复等。

2、特定部门机构(部门风险管理机构)(基于行业特点):

  • 农业部、卫生和公共服务部:食品和农业部门

  • 国防部:国防工业基地部门

  • 能源部:能源部门

  • 卫生和公共服务部:医疗保健和公共卫生部门

  • 财政部:金融服务部门

  • 环境保护署:供水和废水系统部门

  • 美国国土安全部:化工部门、通信部门、商业设施部门、关键制造业、水坝部门、紧急服务部门、信息技术部门、核反应堆/材料/废料部门

  • 国土安全部、总务管理局:政府设施部门

  • 国土安全部、交通部:运输系统部门

(3)其他责任机构

  • 国务院:建立和维护对关键信息基础设施安全和恢复能力至关重要的国际伙伴关系。

  • 国防部:保障关键信息基础设施安全、威胁情报采集、故障恢复、安全事件调查和追溯等。

  • 司法部:关键信息基础设施反恐和反情报采集、威胁情报采集、安全事件调查和追溯等、其他关键信息基础设施主管部门合作等。

  • 内政部:确定、优先考虑和协调国家纪念碑和标志的安全和恢复力工作。

  • 商务部:与关键信息基础设施相关机构合作,结合私营部门、研究机构、学术机构和政府的力量,提高与网络系统相关的技术和工具的安全性。

  • 国家情报局:酌情提供关键信息基础设施威胁的情报评估,关键信息基础设施相关情报协调。

  • 总务管理局:协同其他主管部门提供政府范围内的关键信息基础设施合同,并对合同涉及的关键信息基础设施设施进行安全性和恢复能力审查。

  • 核监管委员会:核能安全监管和防护。

  • 联邦通信委员会:通信关键信息基础设施确定并定级、通信行业漏洞发现和解决、通过对外合作提高通信关键信息基础设施的安全性和恢复能力、促进制定关键信息基础设施安全防护的最佳实践。

  • 联邦和州监管机构:事件响应和恢复期间促进关键信息基础设施所有者与关键信息基础设施运营者的信息交流;鼓励关键信息基础设施所有者和关键信息基础设施运营者进行公私合作;通过决策和监督过程确保行业恢复力。

  • 基于州和地区的董事会、委员会、当局、理事会和其他实体。

  • 学术和研究中心。

中美两国关键信息基础设施责任机构及职责对照表

四、关键基础设施安全防护应采用的必要措施

(一)正确识别关键信息基础设施

保护工作部门需结合行业和领域的实际情况,制定行业、领域内的关键信息基础设施认定规则,报国务院公安部门备案。保护工作部门需使用其制定的关键信息基础设施认定规则对行业、领域内的关键信息基础设施进行识别和认定。认定结果须及时通知运营者,并通报国务院公安部门备案。关键信息基础设施认定规则需根据行业和领域的实际情况进行及时更新,做好版本控制。

(二)健全运营者的安全管理责任

运营者需设置专门的关键信息基础设施安全管理机构负责关键信息基础设施的安全保护,并拟订关键信息基础设施安全保护计划。为有效防范来自内部人员的安全风险,运营者须借助公安机关、国家安全机关的力量,对机构负责人及关键岗位人员进行背景审查。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。关键信息基础设施的安全保护建设应采用“三同步原则”,即:安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。运营者内部需制定与关键信息基础设施安全保护相关的奖惩制度,对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰;对侵入、干扰和破坏关键信息基础设施安全的违法犯罪活动,应及时上报保护工作部门。

(三)坚持网络安全等级保护制度

《中华人民共和国网络安全法》规定,国家实行网络安全等级保护制度,关键基础设施在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施信息基础设施在安全防护建设方面须符合等保2.0建设要求。同时,对于一些关键的网络、系统、应用等应采取优先和加强的保护措施。等保2.0中提到的“一个中心,三重防护”的网络安全技术总体设计思路,也应该在关键信息基础设施信息基础设施安全防护技术方案中有所体现。

(四)加强对关键信息基础设施实施安全风险管控

运营者应梳理关键信息基础设施涉及的信息资产,编制资产登记册,绘制资产拓扑,识别关键信息基础设施存在的安全风险。运营者可通过已建设的态势感知平台对本单位的关键信息基础设施运行状况、安全态势进行实时监测,对网络安全威胁和隐患进行预警、响应和处置,重大网络安全风险应及时上报保护工作部门。

运营者应每年进行一次安全风险自评估,并对存在的安全风险进行验证和确认。安全风险自评估之前,须查阅历史风险评估报告,明确风险处置情况。重点关注未处置的中、高级安全风险。安全风险评估完成后,应同历史安全评估报告进行对比,并进行书面总结。安全风险评估报告应由专人进行归档管理。安全风险应根据业务需求、安全风险预警、风险评估报告、渗透测试报告等内容对安全策略进行优化和完善。应对网络安全风险评估和风险结果验证过程中发现的残余风险进行记录,采取相应的应对措施。残余风险记录表应由专人进行管理,并根据安全技术的优化和安全策略的调整进行同步更新。

(五)加快推进安全能力体系及评价体系建设

保护工作部门应基于行业、领域特点,构建“行业、领域网络安全能力成熟度模型”,用于指导关键信息基础安全保护能力体系建设。不同属性的关键基础设施,应基于其业务需求和特点,采取“差异化”的安全防护措施。网络安全能力成熟度模型不仅能对关键信息基础设施安全能力建设提供指导,还可以作为指导监管单位、保护工作部门和运营者对关键信息基础设施安全能力评价考核的依据。攻击和防御是评判网络安全能力最直接的方法,因此,安全性验证将贯穿于整个安全防护体系。

(六)提高网络安全事件的恢复能力

为有效保障关键信息基础设施的高可用性,确保关键信息基础设施在遭受到侵入、干扰和破坏后,全部功能或部分重要的功能能够及时恢复,运营者应根据业务的重要性,配置相应的业务恢复能力。所有业务系统应实现数据级备份恢复,关键业务系统应完成应用级灾备建设。运营者应按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件。

(七)持续进行网络安全教育和培训,实现网络安全相关岗位人员持证上岗

运营者应为本单位员工、第三方服务人员,每年至少提供一次网络安全意识培训,培训结果应进行记录,并由专人进行保存。新入职员工和第三方服务人员须在上岗前进行专门的安全意识培训。为保障网络安全人才的职业发展延续性,运营者应根据岗位职责为员工提供相应的技能培训。网络安全相关岗位人员须持证上岗,证书涉及的工作领域至少应覆盖所在岗位的业务要求。应每年对网络安全相关岗位的人员进行能力评测,对不符合岗位要求的人员进行岗位调整或培训合格后再上岗,能力评测内容至少包括安全意识、基础理论、岗位工作实践、新兴技术学习等方面。

(八)严控个人信息使用,提高数据安全防护能力

运营者应根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等要求,建立健全个人信息和数据安全保护制度,履行个人信息和数据安全保护责任。在个人信息保护方面,应仅采集和保存业务必需的用户个人信息,用户个人信息应存储于中国境内,如需出境应遵循国家相关规定。在数据安全方面,应对关键业务进行业务流程梳理,绘制业务流程图,并对数据进行识别。数据应根据数据业务属性、重要程度、用途等原则对数据进行分类、分级(有行业指导规范的单位,应按照行业指导规范进行数据分类分级)。关键数据应采用经国家密码管理局认证核准的加密算法进行加密存储。含有存储介质的设备带出工作环境时应采用经国家密码管理局认证核准的加密算法对其中重要数据进行加密。应对重要数据(鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据、个人敏感信息等)进行脱敏使用。重要数据应采取本地和异地备份措施,应对数据备份措施的有效性进行验证。

五、当前关键信息基础设施在安全保护建设方面遇到的难点

(一)网络安全信息共享机制建设困难

目前我国尚未制定完整的数据、漏洞、情报信息、事件等共享标准,就现状而言,有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享相对比较困难。因此,需要加强网络安全信息共享机制的开发与建设。共享机制的内容包括但不限于情报数据共享的格式和标准、软硬件设备日志数据输出标准、数据采集和共享内容、信息和数据的共享方式等。

(二)网络安全专门人才缺口

网络安全人才缺口不仅仅是人才短缺问题,还包括优秀人才的流失问题。如何通过良好的职业的晋升和发展途径、收入保障等方式,吸引和留住优秀的网络安全人才,是大多数关键信息基础设施运营者亟需且必须解决的问题。举个例子,某企业员工在参加完“某活动”的磨练过后,技术能力得到了极大地提升,由于收入和晋升问题,该员工在活动结束后的第三月离职。因此,很多单位形成了网络安全人才培养的“恶性循环”。

(三)现有的态势感知能力缺少业务元素

行业、领域网络态势监管是关键信息基础设施保护工作部门的工作职责,如何利用现有的网络安全态势感知系统/平台,结合行业、领域业务特点,定制业务运用场景,是态势感知开发团队亟需协同关键信息基础设施运营者共同研究和完善的内容。

(四)抗攻击能力测试和评估机制缺失

为降低运营者采购网络产品和服务可能带来的国家安全风险,由国家互联网信息办公室、国家发展改革委、工业和信息化部、公安部等12个部门联合发布的《网络安全审查办法》。安全的动态性导致组成关键信息基础设施的软硬件系统随时都在产生脆弱性,为及时发现关键信息基础设施存在的安全隐患,须在关键信息基础设施全生命周期中持续实施“抗攻击能力测试和评估”。目前,仅有极少数运营者真正具备抗攻击能力测试和评估技术;因此,需网络安全审查相关部门牵头,共建抗攻击能力测试和评估机制,支撑运营者的“自审查”能力。该机制内容不限于:测试工具、测试场景、技术支持、数据赋能、场景模型构建、恢复建议等。

六、《关键信息基础设施安全保护条例》可能带来的商机与发展

《关键信息基础设施安全保护条例》的有效实施,除了指导监管单位、保护工作部门和运营者的遵循以外,还离不开关键信息基础设施以外的网络运营者自愿参与和网络安全服务机构的技术支撑,因此,《关键信息基础设施安全保护条例》也带来了一些商机,如:

(1)协助主管部门共建网络安全信息共享机制(漏洞库、情报库、情报标准等)。

(2)关键信息基础设施网络安全人才培养,将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。

(3)协助运营者建设和完善行业、领域关键信息基础设施安全态势监测业务。

(4)协助主管部门共建抗攻击能力测试和评估机制(工具、技术、数据、模型等)。

(5)现有关键信息基础设施安全防护体系建设和完善。

(6)关键信息基础设施安全防护技术创新和攻关。

参考材料:

(1)《中华人民共和国立法法》

(2)《行政法规制定程序条例》

(3)《中华人民共和国网络安全法》

(4)《关键信息基础设施安全保护条例》

(5)《中华人民共和国数据安全法》

(6)《中华人民共和国个人信息保护法》

(7)《网络安全审查办法》

(8)网络安全等级保护制度

(9)2013年国家基础设施保护计划(NIPP)(National Infrastructure ProtectionPlan (NIPP) 2013: Partnering for Critical Infrastructure)

(10)总统政策指令PPD-21:关键基础设施安全和恢复能力(Presidential Policy Directive -- Critical Infrastructure Securityand Resilience)

(11)网络安全和基础设施安全局官网:https://www.cisa.gov/

(12)《改善关键基础设施网络安全的框架》(NTST)(Framework for Improving CriticalInfrastructure Cybersecurity Version 1.1)

写在最后:为什么要写这篇文章?这篇文章的基础内容源自于“工作输出”,上周五的“自省”。今天是8月29日(周日),9月1日就是下周三。这篇文章,我写了三天,就当作对《关键信息基础设施保护条例》实施的献礼吧。文章有一部分内容来自于“安全能力成熟度模型”的评价指标,如人才培养、数据安全等部分。

KKutstar.Wu

2021.08.29

交流微信:kktustar

声明:本文来自网络安全游魂,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。