【編者按】

《關鍵信息基礎設施安全保護條例》頒布以來，引發(fā)產(chǎn)學研各界廣泛關注。本刊對工業(yè)控制線系統(tǒng)信息安全技術國家工程實驗室、網(wǎng)絡安全企業(yè)、高校、研究院所專家進行了系列采訪，就共同關心的問題開展解讀。

本期受訪者：

長亭科技資深安全咨詢專家 李凌飛

Q1:關鍵信息基礎設施保護與等級保護有何關聯(lián)與區(qū)別？

從范圍上看，關?；诘缺?，又高于等保的要求；從原則上看，關保離不開等保，但等保并不是萬能的；從主要環(huán)節(jié)上看，關?；诘缺嵤┎糠止ぷ鳎瑫r還需要部署更多方案。

1)   范圍

來看看《關基條例》正文內(nèi)容。首先是范圍，主要是有關關鍵信息基礎設施(Critical Information Infrastructure，CII)的識別認定、安全防護、檢測評估、監(jiān)測預警和事件處置等幾個環(huán)節(jié)。也就是說，涉及：

·       關保認定(包括等級保護工作在內(nèi))相關工作

·       基于等保2.0，高于等保的安全防護能力

·       年度測評和國家安全檢查工作

·       安全事件的監(jiān)測預警工作

·       應急響應工作(應急團隊、技術工具、演練和護網(wǎng)等)

這些工作將貫穿整個CII的聲明周期：規(guī)劃設計、開發(fā)建設、運行維護、退役廢棄等階段。

從標準中所應用的文件來看，主要還是基于《GB/T 20984 信息安全技術 信息安全風險評估規(guī)范》和《GB/T22239-2019 信息安全技術 網(wǎng)絡安全等級保護基本要求》，也就是說基于等保但高于等保的要求。說直白了，等保三級的要求是基準，必須做到，但不代表你就合格了，此外還要符合關保中的部分額外要求，這樣才算合格合規(guī)。

《關基條例》中對CII的定義如下：“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的信息設施。”可見，基本涵蓋所有重要行業(yè)和有關民生的系統(tǒng)。

2)  原則

等保中提出了“三同步”原則，即同步規(guī)劃、同步建設、同步運行。而關保所要求的保護原則是以下四點：

·       重點保護是指關鍵信息基礎設施網(wǎng)絡安全保護應首先符合網(wǎng)絡安全等級保護政策及 GB/T 22239-2019等標準相關要求，在此基礎上加強關鍵信息基礎設施關鍵業(yè)務的安全保護。

·       整體防護是指基于關鍵信息基礎設施承載的業(yè)務，對業(yè)務所涉及的多個網(wǎng)絡和信息系統(tǒng)(含工業(yè)控制系統(tǒng))等進行全面防護。

·       動態(tài)風控是指以風險管理為指導思想，根據(jù)關鍵信息基礎設施所面臨的安全風險對其安全控制措施進行調(diào)整，以及時有效的防范應對安全風險。

·       協(xié)同參與是指關鍵信息基礎設施安全保護所涉及的利益相關方，共同參與關鍵信息基礎設施的安全保護工作。

個人來看，重點防護主要還是基于業(yè)務的，而且離不開等保2.0，這是網(wǎng)絡安全工作的基線。關保不同于等保，對象是CII，而非信息系統(tǒng)。這就可能存在著一個CII上承載著多個信息系統(tǒng)，安全防護的方位就要覆蓋每一個系統(tǒng)，可能會優(yōu)先保障關鍵業(yè)務系統(tǒng)，但同時也要做好其他系統(tǒng)的防護工作，尤其是安全隔離。尤其是各系統(tǒng)之間可以互相訪問的情況，那就要像對于關鍵業(yè)務系統(tǒng)一樣，對其他系統(tǒng)一視同仁，采用同樣的防護等級。

原則中對于CII還提出了動態(tài)風控的要求，這里主要強調(diào)的是業(yè)務風險，不過我想展開說明的是風險評估。風評本身就是一個類似PDCA的循環(huán)周期，旨在不斷發(fā)現(xiàn)問題，修復問題，調(diào)整策略。我們開展風評不是為了應付監(jiān)管或是為了績效走個過場。相關方應根據(jù)自家業(yè)務和系統(tǒng)的特性，制定自己的風評檢查用例，不要總是拿著等保那一套東西，堅持原則，100年不動搖，這在安全領域是不可行的。雖說等保2.0剛剛頒布不久，就目來看，標準要求還可以，但不代表3年后這些用例仍然適合你的系統(tǒng)，要知道，國家標準不會在短期內(nèi)進行更新的，等保1.0和等保2.0之間相距了11年。

協(xié)同參與，有點類似云平臺的責任共擔原則。對于CII的安全保護，除了運營者(是的，無論如何，最終責任人終歸是運營方)之外，包括安全廠商、供應商、監(jiān)管機構都有一定連帶責任。以往，企業(yè)把這套系統(tǒng)遷移到云上，買了安全服務，那么有關安全的所有問題和責任都有云服務商和安全廠商來承擔，這種做法對于CII并不適用。能夠承建CII的企業(yè)，想必應該都是大中型企業(yè)，我相信如果想做都是能做好的。

3)  主要環(huán)節(jié)

關鍵信息基礎設施運營者負責關鍵信息基礎設施的運行、管理，對關鍵信息基礎設施安全負主體責任，履行網(wǎng)絡安全保護義務，接受政府和社會監(jiān)督，承擔社會責任。

圖源：長亭科技

(1) 識別認定：運營者配合保護工作部門，按照相關規(guī)定開展關鍵信息基礎設施識別和認定活動，圍繞關鍵信息基礎設施承載的關鍵業(yè)務，開展業(yè)務依賴性識別、風險識別等活動。

本環(huán)節(jié)是開展安全防護、檢測評估、監(jiān)測預警、事件處置等環(huán)節(jié)工作的基礎。這一環(huán)節(jié)有點類似于等保定級外加風險評估工作，因為涉及到業(yè)務、資產(chǎn)、風險等的識別活動。

(2) 安全防護：運營者根據(jù)已識別的安全風險，實施安全管理制度、安全管理機構、安全管理人員、安全通信網(wǎng)絡、安全計算環(huán)境、安全建設管理、安全運維管理等方面的安全控制措施，確保關鍵信息基礎設施的運行安全。本環(huán)節(jié)在識別關鍵信息基礎設施安全風險的基礎上制定安全防護措施。

這塊就回到了基于等保實施防護工作，由于目前CII相關配套標準和要求不夠完善，外加等保2.0作為國家網(wǎng)絡安全對于企業(yè)的基線要求，在未來一段時期內(nèi)，仍會通過等保標準來開展部分關保工作。

(3) 檢測評估：為檢驗安全防護措施的有效性，發(fā)現(xiàn)網(wǎng)絡安全風險隱患，運營者制定相應的檢測評估制度，確定檢測評估的流程及內(nèi)容等要素，并分析潛在安全風險可能引起的安全事件。

企業(yè)安全自查和風險評估(包括風控在內(nèi))的工作，雖說監(jiān)管方面要求一年至少一次，但大家還是根據(jù)實際情況來決定。比如今年風評做完后，對于不可接受風險進行了修復，沒過多久系統(tǒng)又被黑了，這就需要再次對企業(yè)的系統(tǒng)進行更細致的評估。

(4) 監(jiān)測預警：運營者制定并實施網(wǎng)絡安全監(jiān)測預警和信息通報制度，針對即將發(fā)生或正在發(fā)生的網(wǎng)絡安全事件或威脅，提前或及時發(fā)出安全警示。

安全監(jiān)控平臺或者SOC一類的平臺，畢竟目前不是每家企業(yè)都有阿里那種安全團隊和響應能力的，如今的態(tài)勢感知平臺和AI還不夠成熟，所以，還是小心為上，嚴管權限，最小安裝，將暴露面盡可能減小。經(jīng)常梳理和監(jiān)控企業(yè)IT資產(chǎn)，不需要聯(lián)網(wǎng)的就不要聯(lián)，沒有業(yè)務相關的資產(chǎn)盡量邏輯隔離，做好安全域劃分。時常開展安全意識培訓和技能培訓，有獎有罰。

(5) 事件處置：對網(wǎng)絡安全事件進行處置，并根據(jù)檢測評估、監(jiān)測預警環(huán)節(jié)發(fā)現(xiàn)的問題，運營者制定并實施適當?shù)膽獙Υ胧謴陀捎诰W(wǎng)絡安全事件而受損的功能或服務。

這里要求的是兩個方面，一是對于事件的發(fā)現(xiàn)和上報流程，二是對于事件的處置和恢復生產(chǎn)能力。結合等保2.0要求，除了業(yè)務連續(xù)性方面的應急預案外，還要準備數(shù)據(jù)泄露方面的應急預案。

Q2:條例中為何指出國家要采取措施，優(yōu)先保障能源、電信等關鍵信息基礎設施安全運行？

為了保障國家安全、國計民生和公共利益安全。

《關基條例》將安全的關注的角度由“信息保密完整可用”提升到“國家安全、國計民生和公共利益安全”?；A電信網(wǎng)絡、重要互聯(lián)網(wǎng)基礎設施等電信行業(yè)網(wǎng)絡設施，本身既是關鍵信息基礎設施，同時又為其他行業(yè)的關鍵信息基礎設施提供網(wǎng)絡通信和信息服務，一旦遭到網(wǎng)絡攻擊和破壞，將會帶來危害國家安全、國計民生和公共利益的風險發(fā)生，從這個角度考慮，優(yōu)先保障能源、電信等關鍵信息基礎設施安全運行。

Q3:目前已經(jīng)被列入關鍵信息基礎設施的網(wǎng)絡設施會不會隨著數(shù)字化進程而動態(tài)調(diào)整？

支撐智慧農(nóng)業(yè)，智慧工業(yè)、智慧教育的基礎設施在未來可能會被納入關基。

5G、人工智能、物聯(lián)網(wǎng)等數(shù)據(jù)技術的發(fā)展，必將帶來國內(nèi)各行業(yè)在信息化方面的建設，提升信息基礎設施在國民經(jīng)濟中的比重，進而提升國民生產(chǎn)生活對信息化的依賴度，數(shù)字化技術的應用。因此個人看來，支撐智慧農(nóng)業(yè)，智慧工業(yè)、智慧教育的基礎設施在未來可能會被調(diào)整為關基。

Q4：如何做到關鍵信息基礎設施的供應鏈安全？關鍵信息基礎設施認定對信創(chuàng)產(chǎn)業(yè)發(fā)展有何影響？

依據(jù)《網(wǎng)絡安全審查辦法》建立網(wǎng)絡安全審查制度，是保障關鍵信息基礎設施的供應鏈安全的基礎手段。另外，條例中的相關規(guī)定也明確表達了對信創(chuàng)產(chǎn)業(yè)的支持。

針對第一個問題，《網(wǎng)絡安全審查辦法》要求， 關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務，影響或可能影響國家安全的，應當按照本辦法進行網(wǎng)絡安全審查。網(wǎng)絡產(chǎn)品和服務主要指核心網(wǎng)絡設備、高性能計算機和服務器、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網(wǎng)絡產(chǎn)品和服務。

網(wǎng)絡安全審查重點評估采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險，主要考慮以下因素：

a)   產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風險；

b)   產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害；

c)   產(chǎn)品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險；

d)   產(chǎn)品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況；

e)   其他可能危害關鍵信息基礎設施安全和國家安全的因素。

依據(jù)《網(wǎng)絡安全審查辦法》建立網(wǎng)絡安全審查制度，是保障關鍵信息基礎設施的供應鏈安全的基礎手段。

第二個問題，《條例》明確規(guī)定關鍵信息基礎設施運營者“應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務”，對信創(chuàng)產(chǎn)業(yè)也表達了明確支持。

Q6：《條例》的頒布為網(wǎng)安企業(yè)帶來了哪些機遇與挑戰(zhàn)？

對于網(wǎng)絡安全企業(yè)而言，《條例》的頒布是重大利好，特別是對于一些安全技術創(chuàng)新廠商，以及網(wǎng)絡安全檢測和評估機構。在這一輪更高規(guī)格和要求的合規(guī)升級中，它們能夠享受到政策紅利，獲得更多機會，在推動我國網(wǎng)絡安全產(chǎn)業(yè)的自主創(chuàng)新，以及網(wǎng)絡安全產(chǎn)業(yè)發(fā)展方面又進一步提供了新的動力。

《條例》的正式發(fā)布不管是對于關基行業(yè)還是網(wǎng)絡安全等行業(yè)，其帶來的影響都是非常深遠的。對于網(wǎng)絡安全企業(yè)而言，《條例》的頒布是重大利好。

《條例》中對關基的運營者要求“應當自行或者委托網(wǎng)絡安全服務機構對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估”。這對于安全廠商，特別是安全技術創(chuàng)新廠商，以及網(wǎng)絡安全檢測和評估機構，都是利好政策，在這一輪更高規(guī)格和要求的合規(guī)升級中，享受到政策紅利和獲得更多機會，在推動我國網(wǎng)絡安全產(chǎn)業(yè)的自主創(chuàng)新，以及網(wǎng)絡安全產(chǎn)業(yè)發(fā)展方面又進一步提供了新的動力。