關(guān)鍵信息基礎(chǔ)設(shè)施保護必須以等級保護制度為基礎(chǔ) |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2017-06-25 瀏覽次數(shù): |
信息來源:光明網(wǎng)
近年來,有關(guān)網(wǎng)絡(luò)安全的話題從未停歇。隨著“棱鏡門”事件的曝光,國家間的信息安全對抗日益公開化,網(wǎng)際空間的安全威脅正呈國際化、復(fù)雜化、組織化趨勢發(fā)展。 如今,以云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)為代表的新技術(shù)得以迅速應(yīng)用,更多的傳統(tǒng)能源、電力、交通基礎(chǔ)設(shè)施聯(lián)入網(wǎng)絡(luò),成為關(guān)鍵信息基礎(chǔ)設(shè)施有機組成部分。 “關(guān)鍵信息基礎(chǔ)設(shè)施”一詞看似抽象,卻是網(wǎng)絡(luò)安全的重中之重。在最近的一年里,中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)安全管理部副主任張新躍一直在做網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)制定工作。在他看來,與2014年的征求意見稿相比,今年6月1日實施的《網(wǎng)絡(luò)安全法》最主要變化是加入了對關(guān)鍵信息基礎(chǔ)設(shè)施和信息保護的明確定義,在安全設(shè)施、安全產(chǎn)業(yè)方面有更詳細(xì)的描述,且提升到了國家網(wǎng)絡(luò)安全戰(zhàn)略的高度。
(圖片來源于網(wǎng)絡(luò)) 兩者相輔相成、不容分割 作為落實國家總體安全觀的重要舉措,《網(wǎng)絡(luò)安全法》勾勒出了國家網(wǎng)絡(luò)安全頂層設(shè)計的框架和藍圖,也突出了關(guān)鍵信息基礎(chǔ)設(shè)施保護的要求。在《網(wǎng)絡(luò)安全法》第三章第二節(jié)中,大篇幅重點闡述了“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”的相關(guān)話題。 作為支撐能源、交通、金融、通信、電子政務(wù)等重要領(lǐng)域運行的神經(jīng)中樞,關(guān)鍵信息基礎(chǔ)設(shè)施與國計民生息息相關(guān)。然而,我國的關(guān)鍵信息基礎(chǔ)設(shè)施保護面臨著建設(shè)起步較晚、專業(yè)技術(shù)落后、安全威脅嚴(yán)峻等形勢,實施起來任重道遠(yuǎn)。 “國家關(guān)鍵信息基礎(chǔ)設(shè)施首先落實等級保護制度,要將等級保護制度打造成新時期國家網(wǎng)絡(luò)安全的基本制度,逐漸構(gòu)建新的法律政策體系、標(biāo)準(zhǔn)體系、人才技術(shù)支撐體系、人才隊伍體系、教育訓(xùn)練體系和新的保障體系?!痹谌涨芭e辦的第五屆中國網(wǎng)絡(luò)安全大會(NSC2017)上,公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全坦言,互聯(lián)網(wǎng)發(fā)展首先要保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全,這也是等級保護制度的核心內(nèi)容。 “正確理解、處理等級保護制度與關(guān)鍵信息基礎(chǔ)設(shè)施保護的關(guān)系?!惫鶈⑷硎荆W(wǎng)絡(luò)安全等級保護制度是關(guān)鍵信息基礎(chǔ)設(shè)施保護的基礎(chǔ),關(guān)鍵信息基礎(chǔ)設(shè)施是等級制度保護的重點,二者相輔相成,不能分割;網(wǎng)絡(luò)安全等級保護制度是普適性的制度,關(guān)鍵信息基礎(chǔ)設(shè)施是重點保護的核心點,兩者是面和點之間的關(guān)系。 在郭啟全看來,關(guān)鍵信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施須按照等級保護制度要求,開展定級備案、等級測評、安全建設(shè)整改、安全檢查等強制性、規(guī)定性工作。 “等級保護2.0”與云上安全 隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興IT技術(shù)的發(fā)展與落地,傳統(tǒng)信息安全的邊界越來越模糊,新的攻擊形態(tài)層出不窮?!暗燃壉Wo制度進入2.0時代,網(wǎng)絡(luò)安全也進入2.0時代。”談及當(dāng)前形勢下等級保護制度的特點,郭啟全認(rèn)為,一是涉及全新的國家網(wǎng)絡(luò)安全基本制度體系;二是以保護國家關(guān)鍵信息基礎(chǔ)設(shè)施為重點;三是保護策略發(fā)生變化。 也就是說,傳統(tǒng)的等級保護即1.0時代,其對象就是信息系統(tǒng):數(shù)據(jù)采集生成、處理加工、傳輸和數(shù)據(jù)的存儲;而等級保護的2.0時代則新增加了對云計算安全、移動互聯(lián)安全、物聯(lián)網(wǎng)安全以及大數(shù)據(jù)安全等相關(guān)要求。 “縱向上延伸了信息系統(tǒng)的概念,把云計算、工控、物聯(lián)網(wǎng)都納入進來,與這些相關(guān)的都是等級保護對象的試用范圍。”公安部信息安全等級保護評估中心測評部副主任張振峰說。 在業(yè)界人士看來,等級保護從由1.0到2.0是被動防御變成主動防御的變化。也就是說,以前被動防御,要求防火墻、殺病毒、IDS(入侵檢測系統(tǒng)),要上升到了主動防護,做到整體防御、分區(qū)隔離;積極防護、內(nèi)外兼防;縱深防御、技管并重。 “伴隨新應(yīng)用、新技術(shù)普及,基礎(chǔ)通信網(wǎng)絡(luò)、基礎(chǔ)平臺、大數(shù)據(jù)技術(shù)相關(guān)的系統(tǒng),可能只具備個別的系統(tǒng)功能或特點,按照原來的定義沒辦法劃到等級保護范圍之內(nèi)?!睆堈穹逭J(rèn)為,等級保護體系的大升級,首先就是標(biāo)準(zhǔn)體系的擴充,整合原來1.0時代的核心標(biāo)準(zhǔn)體系,把不同領(lǐng)域、自身特色的內(nèi)容單獨對待;另外,隨著領(lǐng)域的擴展,類似當(dāng)前火熱的AI(人工智能)領(lǐng)域,或許可以提出等級保護的新要求。 在等級保護2.0時代下,云上用戶安全不容忽視?!皩τ谠粕献鈶艋蛟破脚_來說,不僅要提供基礎(chǔ)設(shè)施服務(wù),還能給租戶提供安全的服務(wù)或解決方案,這樣租戶在平臺上用起來會更加得心應(yīng)手。”公安部第三研究所云計算安全測評實驗室負(fù)責(zé)人陳妍說。 做好認(rèn)定,才能做好保護 從各國的實施情況看,關(guān)鍵信息基礎(chǔ)設(shè)施具體標(biāo)準(zhǔn)相當(dāng)復(fù)雜,需要在實踐中不斷完善、不斷調(diào)整。目前,國家互聯(lián)網(wǎng)信息辦公室正會同有關(guān)部門按照《網(wǎng)絡(luò)安全法》的要求,指導(dǎo)相關(guān)行業(yè)領(lǐng)域明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。 張新躍也表示,與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的網(wǎng)絡(luò)安全框架、網(wǎng)絡(luò)安全保護要求、安全控制要求、安全保障指標(biāo)體系、安全檢查評估指南等標(biāo)準(zhǔn)正在制定。 加強關(guān)鍵信息基礎(chǔ)設(shè)施保護,國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局有關(guān)負(fù)責(zé)人表示,要重點做好以下幾方面工作:一是要加強關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的統(tǒng)籌,強化頂層設(shè)計和整體防護,避免多頭分散、各自為政的情況發(fā)生。二是要建立完善責(zé)任制,政府主要是加強指導(dǎo)監(jiān)管,關(guān)鍵信息基礎(chǔ)設(shè)施運營者要承擔(dān)起保護的主體責(zé)任。三是要加強對從業(yè)人員的網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核,切實提高網(wǎng)絡(luò)安全意識和水平。四是要做好網(wǎng)絡(luò)安全信息共享、應(yīng)急處置等基礎(chǔ)性工作,提升關(guān)鍵信息基礎(chǔ)設(shè)施保護能力。五是要加強關(guān)鍵信息基礎(chǔ)設(shè)施保護中的國際合作。 “做好關(guān)鍵基礎(chǔ)設(shè)施的識別和認(rèn)定,才能做好關(guān)鍵基礎(chǔ)設(shè)施的保護。”張新躍認(rèn)為,各行業(yè)會做細(xì)分要求,承載的對象和內(nèi)容也會有區(qū)別。比如,平臺類會對注冊用戶、活躍用戶、訪問量等進行特別要求。 綜合防御體系應(yīng)針對最強對手設(shè)計 如何確定國家關(guān)鍵信息基礎(chǔ)設(shè)施?郭啟全認(rèn)為,應(yīng)該把國家核心、關(guān)鍵的基礎(chǔ)設(shè)施和重要信息系統(tǒng)作為重中之重,要以國家級、有組織的網(wǎng)絡(luò)攻擊能力作為標(biāo)尺,要以網(wǎng)絡(luò)安全等級保護為抓手,以信息通報為平臺、以情報偵察為突破、以偵查打擊為支撐,構(gòu)建“偵攻防管控”一體化的大數(shù)據(jù)安全綜合防控體系。 “關(guān)鍵基礎(chǔ)設(shè)施綜合防御能力、水平和技術(shù)要針對最強大的對手,進行設(shè)計、提升和創(chuàng)新。”郭啟全說,全面提升網(wǎng)上行動能力不是單靠一家、某一個組織、某一個群體,而是需要共同努力,做到“加強協(xié)同保護,形成保護合力”。 “發(fā)現(xiàn)某些問題時,可能不是我擅長的,需要安全公司協(xié)助分析樣本?!睆埿萝S說,打造一體化的風(fēng)險識別、防護和應(yīng)急響應(yīng),實現(xiàn)資源共享和聯(lián)動防御,安全威脅與情報共享,進行快速的威脅響應(yīng)。比如,前段時間發(fā)生勒索軟件病毒事件時,恰恰需要協(xié)同,需要共同發(fā)力。 大型互聯(lián)網(wǎng)企業(yè)雖然不是等級測評的主要實施者,但是是重要的參與者?!霸谛录夹g(shù)背景下,大型互聯(lián)網(wǎng)企業(yè)應(yīng)該關(guān)注云安全產(chǎn)品合規(guī),重點落在保障業(yè)務(wù)數(shù)據(jù)安全和用戶數(shù)據(jù)隱私保護?!睆堈穹逭J(rèn)為,大型互聯(lián)網(wǎng)企業(yè),無論是自測,還是在測評中給第三方測評機構(gòu)展示安全能力,都需要重點關(guān)注。 “希望未來依托等級保護國家工程實驗室,建立全國云上的等保合規(guī)平臺,囊括云上等級保護的相關(guān)參與方,降低用戶的合規(guī)成本……”張振峰說。 相關(guān)新聞: 1、《網(wǎng)絡(luò)安全法》實施系列觀察——個信篇《生物特征識別或許最不安全 專家建議個人信息匿名化處置》 |