文│ 中国电子技术标准化研究院 姚相振 王惠莅

2021 年 8 月 17 日,《关键信息基础设施安全保护条例》正式发布。标准是开展关键信息基础设施安全保护工作的坚实基础,国内外都在加紧开展相关标准建设工作。

一、国内标准化工作

(一)国内标准化工作背景

2016 年,《网络安全法》发布,第三章第二节提出“关键信息基础设施运行安全”,同年发布的《关于加强国家网络安全标准化工作的若干意见》也明确提出加快开展关键信息基础设施保护急需重点标准研制。为充分发挥标准化工作对国家网络安全保障体系建设的支撑作用,全国信息安全标准化技术委员会组织开展了相关工作,一是组织开展了关键信息基础设施安全标准体系研究,提出关键信息基础设施安全标准体系框架和标准明细表;二是按照“急用先行”的原则开展了重点标准的研制。

(二)关键信息基础设施安全标准体系研究

在标准体系研制上,需要贯彻落实《网络安全法》和《关键信息基础设施安全保护条例》要求,结合我国关键信息基础设施安全保护现状和发展需求,研究建立科学合理、持续优化的关键信息基础设施安全标准体系,为编制关键信息基础设施安全国家标准研制计划提供依据,为各行业领域开展关键信息基础设施保护、检查等工作提供标准参考,为完善关键信息基础设施安全保护提供标准支撑,充分发挥网络安全标准对关键信息基础设施安全保护工作的指导性、规范性和引领性作用。

目前,我国已经发布网络安全国家标准 323 项,在研国家标准 100 项,这些标准都是国家开展关键信息基础设施安全保护工作的坚实基础。通过对《关键信息基础设施安全保护条例》进行标准化需求分析,围绕关键信息基础设施安全保障体系建设各维度,在已有国家网络安全标准的基础上,从边界识别、保护要求、控制措施、保障指标、应急体系、检查评估,以及供应链安全、数据安全、信息共享、监测预警等方面系统推进标准研制工作,共同构建科学性、系统性、实用性的标准体系框架,用标准筑牢关键信息基础设施安全保障体系建设的基础。

(三)关键信息基础设施重要标准研制

目前,全国信息安全标准化技术委员会在研关键信息基础设施安全标准 9 项。其中,《信息安全技术 关键信息基础设施安全保护要求》(报批稿)提出了关键信息基础设施运营者安全保护工作开展的基础安全要求,为运营者落实安全主体责任提供依据;《信息安全技术 关键信息基础设施安全检查评估指南》(报批稿)提出了关键信息基础设施安全检查评估工作的流程和指标,也为统筹协调和指导监督部门安全检查评估工作提供技术支撑;《信息安全技术 关键信息基础设施安全控制措施》(报批稿)提出了关键信息基础设施运营者满足安全保护要求的实施指南;《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》(报批稿)对关键信息基础设施运营者加强供应链安全管理提出了要求;《信息安全技术 关键信息基础设施安全防护能力评价方法》(送审稿)和《信息安全技术 关键信息基础设施安全保障指标》(报批稿)等标准为运营者有效开展自身安全能力建设、提高安全防护水平提供了标准化指导,同时也为保护工作部门掌握本行业本领域关键信息基础设施安全保护态势提供参考。此外,《信息安全技术 网络安全态势感知通用技术要求》(征求意见稿)、《信息安全技术 网络安全预警指南》(GB/T 32924—2016)、《信息安全技术 网络安全信息共享指南》(征求意见稿)、信息安全技术 网络安全事件应急演练指南》(GB/T 38645—2020)等关键信息基础设施支撑标准为建立各行业间监测预警、信息共享和应急演练协同机制提供重要技术基础。

二、国外标准化情况

(一)美国

美国国家标准与技术研究院(NIST)于 2014 年发布了《改善关键基础设施网络安全的框架》,该框架定义了一套着眼于安全风险,应用于关键基础设施的安全风险管控流程。框架并没有提出新的安全要求,但是引用了 NIST 的特别出版物、国际标准、行业标准、团体标准等相关条款,同时还进一步考虑对《框架》的完善和对标准体系的扩充。2018 年,NIST 对《框架》进行了修订,并强调文档不仅仅适用于关键基础设施,还适用于其他组织。

2017 年 12 月 5 日,NIST 发布了《提供关键信息基础设施网络安全路线图 V1.1(草案)》。基于路线图,提出了在关键基础设施框架下一步工作中考虑的开发和协调一致的 12 个领域,包括网络攻击生命周期、网络安全人员、网络供应链风险管理、一致性评估、身份管理、隐私工程等。

为支撑框架的落地执行,美国能源部和国土安全部开发了 C2M2 模型,定义了 4 个能力成熟度级别该模型适用于各种类型的机构对其信息系统、工控系统等资产进行安全评估。模型定义了 10 个安全域,每个安全域分别从组织内网络安全实践的实现情况(方法层面)和安全实践的制度化程度(管理层面)对组织安全能力进行评估。

(二)欧盟

在关键信息基础设施方面,欧洲信息安全局(ENISA)相继发布了多份研究报告和白皮书,用以指导欧盟层面关键信息基础设施安全保护工作。其中,2014 年 12 月发布的《识别关键信息基础设施服务和资产的方法论》,提出识别关键信息基础设施中的服务和资产的步骤和方法;2016 年 12 月发布的《数字服务提供商实施最低安全控制措施技术指南》,提出了 27个安全目标、控制措施及对目前已有标准的映射。2020年和 2021 年发布了在 5G、电力方面的安全指导文件。此外,ENISA 还在互联网基础设施、ICS SCADA、智能电网、金融、健康、船舶等方面发布了相关规定。

三、标准化工作思考

关键信息基础设施的安全保护是维护国家网络安全的重中之重。在安全标准化方面,应坚持以总体国家安全观为指引,立足新发展阶段,不断适应新兴技术发展趋势,以支撑国家关键信息基础设施安全保护工作为目标,为全面构建关键信息基础设施安全保障体系提供标准化支撑。

一是持续增强标准化顶层设计。关键信息基础设施安全标准化工作应充分结合行业和领域需求,重点围绕《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规要求的落地实施,以整体提高关键信息基础设施运营者安全保护能力为主要目标,充分借鉴国际先进标准研制成果,加快推动供应链安全、监测预警、态势感知、信息共享等重点领域标准研制,积极探索从业人员能力、网络安全服务机构管理等缺失标准,建设完善关键信息基础设施安全标准体系。

二是提高标准可应用性可操作性。在标准研制过程中组织产、学、研、用等单位共同参与,并选择金融、能源、电信、交通、水利、卫生健康、国防军工等重要行业和领域开展关键信息基础设施的标准试点工作,边研究边编制,边编制边试用,边试用边改进,促进标准研制与行业实施紧密互动,全链条提升标准应用价值与实施效果。

三是多层次、多维度开展标准落地和使用。标准的生命力在于使用,衡量一个标准的价值关键是看其是否被广泛应用,要在标准试用的基础上,多层次、多维度强化关键信息基础设施安全标准的实施落地和宣贯培训。采取论坛演讲、专门标准宣贯、专题研讨等多种形式,加大标准宣贯培训力度,提高标准在行业的普及落地和应用,支撑各行业各领域关键信息基础设施安全保障工作。

(本文刊登于《中国信息安全》杂志2021年第9期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。