2022年9月1日,我國(guó)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱《條例》)已正式施行一周年,關(guān)于《條例》推出并施行的價(jià)值和意義,我們不再做過(guò)多的贅述,需要指出的是,盡管在2017年6月1日施行的《網(wǎng)絡(luò)安全法》中規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施提供者的相關(guān)義務(wù)和規(guī)則,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)營(yíng)者的責(zé)任與義務(wù)也做出了特別規(guī)定,但總體而言,《網(wǎng)絡(luò)安全法》的規(guī)定較為原則,缺乏細(xì)化的措施。
相比之下,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定的條款內(nèi)容則更加詳盡、方法更具操行性、安全保護(hù)標(biāo)準(zhǔn)更嚴(yán)格,而且對(duì)《網(wǎng)絡(luò)安全法》中規(guī)定安全檢測(cè)評(píng)估機(jī)制等進(jìn)行了創(chuàng)新,能夠更大程度實(shí)現(xiàn)互聯(lián)網(wǎng)領(lǐng)域中關(guān)鍵基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行。
那么現(xiàn)在我們回過(guò)頭來(lái)看《條例》自2021年9月1日以來(lái)這一年,相關(guān)行業(yè)、企業(yè)都發(fā)生了哪些積極的變化呢?而在具體落實(shí)方面又著重體現(xiàn)在哪里呢?圍繞著這些話題,我們特別邀請(qǐng)到了專(zhuān)注于工業(yè)互聯(lián)網(wǎng)安全的企業(yè)——長(zhǎng)揚(yáng)科技的營(yíng)銷(xiāo)咨詢部總經(jīng)理李莊來(lái)分享他們所觀察到的一些細(xì)節(jié)。
《條例》促進(jìn)國(guó)家整體網(wǎng)絡(luò)安全戰(zhàn)略的深化落地
李莊表示,通過(guò)《條例》的細(xì)則能夠明顯看到國(guó)家、行業(yè)監(jiān)管部門(mén)、關(guān)基運(yùn)營(yíng)者、安全支撐企業(yè)等多方力量對(duì)關(guān)基網(wǎng)絡(luò)安全的重視程度不斷提升,具體來(lái)看則主要體現(xiàn)在以下3點(diǎn):
1、突出了重點(diǎn)保護(hù)對(duì)象。從等保到關(guān)保,保護(hù)對(duì)象從“全行業(yè)”重點(diǎn)突出了能源、交通、水利、公共通信和信息服務(wù)、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等行業(yè);尤其是明確了以上企業(yè)的工業(yè)控制系統(tǒng),作為影響國(guó)計(jì)民生的核心生產(chǎn)運(yùn)行系統(tǒng),都被定義為關(guān)鍵信息基礎(chǔ)設(shè)施(critical information infrastructure,CII)進(jìn)行重點(diǎn)保護(hù)。
2、明確了關(guān)基保護(hù)流程。在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)上,著眼分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置6大環(huán)節(jié),圍繞網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全過(guò)程閉環(huán)管理,建立網(wǎng)絡(luò)安全整體框架和規(guī)定動(dòng)作。
3、加強(qiáng)了主動(dòng)防御體系。基于等保2.0主張的“一個(gè)中心、三重防護(hù)”的縱深防御思想,增加了“主動(dòng)防御、監(jiān)測(cè)預(yù)警、事件處置”等要求,加強(qiáng)對(duì)于各類(lèi)安全攻擊行為的監(jiān)測(cè)、分析、處置、溯源、協(xié)同、共享、通報(bào)、整改等指導(dǎo)要求,實(shí)現(xiàn)了對(duì)關(guān)基安全的立體化安全保障能力,實(shí)現(xiàn)了安全管理的閉環(huán)。
從上述幾點(diǎn)可以看出,這對(duì)于各行業(yè)的關(guān)基運(yùn)營(yíng)者在實(shí)際落地《條例》的過(guò)程中起到了指導(dǎo)、明確、強(qiáng)化的作用,同時(shí)也促進(jìn)了國(guó)家整體網(wǎng)絡(luò)安全戰(zhàn)略的深化落地。
關(guān)基運(yùn)營(yíng)者加強(qiáng)監(jiān)管與安全能力建設(shè)國(guó)產(chǎn)化安全產(chǎn)品需求提升
《條例》的施行,首先影響到的就是那些被劃定為關(guān)基單位的運(yùn)營(yíng)者們,同時(shí)也是網(wǎng)絡(luò)安全行業(yè)的甲方用戶群體,在通過(guò)《條例》明確了自身的責(zé)任和義務(wù)之后,結(jié)合其給出的關(guān)基保護(hù)重點(diǎn)建設(shè)方向,那么相比此前,他們?cè)谛袆?dòng)上有著怎樣的變化呢?
首先是在管理方面,《條例》施行后,集團(tuán)型客戶明顯加強(qiáng)了對(duì)下屬生產(chǎn)企業(yè)的集中監(jiān)管。
在《條例》的第十二條明確“安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用”這一要求,對(duì)于集團(tuán)型客戶而言,在頂層規(guī)劃方面就進(jìn)行工控網(wǎng)絡(luò)安全總體設(shè)計(jì),從而指導(dǎo)集團(tuán)和下屬企業(yè)按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一投資、統(tǒng)一建設(shè)、統(tǒng)一管理、統(tǒng)一運(yùn)維(運(yùn)營(yíng))”的模式,著手進(jìn)行工控網(wǎng)絡(luò)安全企業(yè)標(biāo)準(zhǔn)的設(shè)計(jì)編寫(xiě),并通過(guò)構(gòu)建集團(tuán)測(cè)工控安全態(tài)勢(shì)感知平臺(tái),做到“摸清家底、認(rèn)清風(fēng)險(xiǎn)、找出漏洞、及時(shí)通報(bào)、持續(xù)整改”。
其次是在建設(shè)方面,關(guān)基運(yùn)營(yíng)者開(kāi)始普遍關(guān)注和加強(qiáng)對(duì)內(nèi)部組織、人員網(wǎng)絡(luò)安全能力。
根據(jù)《條例》第十五條“按照國(guó)家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,制定本單位應(yīng)急預(yù)案,定期開(kāi)展應(yīng)急演練,處置網(wǎng)絡(luò)安全事件”、“組織網(wǎng)絡(luò)安全教育、培訓(xùn)”;第二十五條“保護(hù)工作部門(mén)應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求,建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,定期組織應(yīng)急演練;指導(dǎo)運(yùn)營(yíng)者做好網(wǎng)絡(luò)安全事件應(yīng)對(duì)處置,并根據(jù)需要組織提供技術(shù)支持與協(xié)助”。
因此,關(guān)基運(yùn)營(yíng)者除了相關(guān)管理制度的進(jìn)一步完善和加強(qiáng)的基礎(chǔ)上,還特別注重強(qiáng)化自身的網(wǎng)絡(luò)安全能力提升工作,以適應(yīng)和滿足《條例》所提出的要求,并以實(shí)戰(zhàn)化的角度出發(fā),無(wú)論是自己獨(dú)立完成還是通過(guò)以采購(gòu)專(zhuān)業(yè)第三方服務(wù)的方式來(lái)完成包括制定應(yīng)急預(yù)案、開(kāi)展應(yīng)急演練等工作,提升“以攻促防”以盡可能地保證在遭受網(wǎng)絡(luò)攻擊后,能夠快速且有效地處置及響應(yīng),保障關(guān)基設(shè)施的正常運(yùn)轉(zhuǎn)。
最后是在采購(gòu)方面,用戶對(duì)于國(guó)產(chǎn)化的工控安全產(chǎn)品需求日益提升。
根據(jù)《條例》第十九條提到的“運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù);采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的,應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過(guò)安全審查”要求,結(jié)合今年2月份新版《網(wǎng)絡(luò)安全審查辦法》的正式施行,共同確保了關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全,從而更好地維護(hù)國(guó)家安全。從行業(yè)角度看,國(guó)家能源局、水利部、國(guó)鐵集團(tuán)等行業(yè)主管部門(mén)也在行業(yè)相關(guān)規(guī)劃中提出要進(jìn)行“安全自主可控”國(guó)產(chǎn)化替代要求。由于我國(guó)工業(yè)控制系統(tǒng)基礎(chǔ)弱,大部分控制系統(tǒng)被國(guó)外壟斷,在國(guó)內(nèi)外日益嚴(yán)峻的大背景下,工控行業(yè)需要逐漸改變過(guò)分依賴國(guó)外芯片、操作系統(tǒng)的現(xiàn)狀,避免出現(xiàn)因?yàn)?ldquo;卡脖子”而影響關(guān)基企業(yè)運(yùn)行安全的事件。
對(duì)于由政策帶動(dòng)的市場(chǎng)需求變化,國(guó)內(nèi)的安全企業(yè)也在積極應(yīng)對(duì),在溝通中我們了解到,目前長(zhǎng)揚(yáng)工控安全防護(hù)產(chǎn)品已經(jīng)與業(yè)內(nèi)眾多生態(tài)伙伴實(shí)現(xiàn)產(chǎn)品兼容性互認(rèn)證,包括麒麟軟件、統(tǒng)信軟件;飛騰、龍芯、申威、海光、兆芯等CPU廠商;長(zhǎng)城、曙光、寶德 、聯(lián)想、浪潮等整機(jī)廠商。隨著時(shí)間的不斷推移,我們有理由相信,無(wú)論是從國(guó)家的政策要求角度還是從實(shí)際的安全角度,在技術(shù)上自主可控的國(guó)產(chǎn)化安全產(chǎn)品市場(chǎng)在未來(lái)必將迎來(lái)一個(gè)快速發(fā)展的時(shí)期。
《條例》落地過(guò)程中仍存在的四大現(xiàn)實(shí)問(wèn)題與挑戰(zhàn)
基于上述內(nèi)容我們可以看出,《條例》施行一年以來(lái),對(duì)行業(yè)的促進(jìn)作用已經(jīng)顯現(xiàn),也推動(dòng)了關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)安全建設(shè)水平的提升,但同時(shí),我們也應(yīng)看到這期間仍然存在的一些問(wèn)題。針對(duì)這一話題,李莊表示,關(guān)鍵信息基礎(chǔ)設(shè)施是國(guó)家重要的戰(zhàn)略資源,關(guān)系國(guó)家安全、國(guó)計(jì)民生和公共利益,具有基礎(chǔ)性、支撐性、全局性作用,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全是國(guó)家網(wǎng)絡(luò)安全工作的重中之重。在具體落地工作中,仍存在以下現(xiàn)實(shí)問(wèn)題和挑戰(zhàn):
1、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)法律仍需完善。關(guān)基保護(hù)要求基于等保高于等保,對(duì)于關(guān)基運(yùn)營(yíng)者來(lái)說(shuō)兩者要求都要滿足,但《條例》細(xì)則中的《CII安全保護(hù)要求》和《CII安全檢查評(píng)估指南》仍未發(fā)布,運(yùn)營(yíng)者進(jìn)行關(guān)基保護(hù)落地缺少細(xì)化依據(jù);
2、關(guān)基涉及的行業(yè)范圍廣,業(yè)務(wù)眾多,復(fù)雜度高。關(guān)鍵信息基礎(chǔ)設(shè)施涵蓋各行業(yè)的業(yè)務(wù)系統(tǒng)眾多且復(fù)雜度高。目前在各行業(yè)關(guān)基業(yè)務(wù)識(shí)別認(rèn)定方面,缺少統(tǒng)一的行業(yè)認(rèn)定標(biāo)準(zhǔn)和規(guī)范指引;
3、關(guān)基保護(hù)工作開(kāi)展時(shí)間相對(duì)較短,運(yùn)營(yíng)者自身各方意識(shí)有待加強(qiáng)。關(guān)基保護(hù)涉及到從“縱深防御”到“動(dòng)態(tài)防御、主動(dòng)防御、聯(lián)防聯(lián)控”的轉(zhuǎn)變,運(yùn)營(yíng)者自身的安全意識(shí)認(rèn)知、人員技術(shù)能力、主動(dòng)監(jiān)測(cè)能力、安全分析水平、事件處置等軟能力方面仍需要進(jìn)一步加強(qiáng)。
4、安全方案和產(chǎn)品“實(shí)戰(zhàn)”能力不強(qiáng)。關(guān)基運(yùn)營(yíng)者選用的安全方案和產(chǎn)品缺少在“以攻促防”場(chǎng)景下的實(shí)戰(zhàn)檢驗(yàn)?zāi)芰,沒(méi)有發(fā)揮真正的防護(hù)作用,這一點(diǎn)主要體現(xiàn)在我國(guó)一年一度的大型攻防演練活動(dòng)中,依然會(huì)有大量的相關(guān)企業(yè)被攻陷,暴露出嚴(yán)重的安全隱患。
在我們看來(lái),上述這些問(wèn)題和挑戰(zhàn)也并非是通過(guò)一個(gè)制度在短時(shí)間內(nèi)就能完全扭轉(zhuǎn)的,隨著相關(guān)法律法規(guī)制度的不斷完善和細(xì)化,以及我國(guó)整體網(wǎng)絡(luò)安全能力的逐步提升,這些問(wèn)題和挑戰(zhàn)都將會(huì)一一化解。
滿足《條例》要求需重點(diǎn)關(guān)注六方面
從關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)執(zhí)行落地的六個(gè)階段具體要求來(lái)看,“分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置”是基于等保2.0“安全技術(shù)+安全管理”的增強(qiáng)要求。
那么如何既滿足等保合規(guī)要求,又符合關(guān)基保護(hù)要求呢?李莊在這里也為關(guān)基行業(yè)的運(yùn)營(yíng)者(企業(yè))提出自己的建議——需重點(diǎn)關(guān)注以下6個(gè)方面:
1、分析識(shí)別:運(yùn)營(yíng)者按照相關(guān)規(guī)定開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施分析和識(shí)別活動(dòng),圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù),開(kāi)展業(yè)務(wù)依賴性識(shí)別、關(guān)鍵資產(chǎn)識(shí)別、風(fēng)險(xiǎn)識(shí)別等活動(dòng)。本環(huán)節(jié)是開(kāi)展安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置環(huán)節(jié)工作的基礎(chǔ)。
2、安全防護(hù):運(yùn)營(yíng)者根據(jù)已識(shí)別的關(guān)鍵業(yè)務(wù)和資產(chǎn)、安全風(fēng)險(xiǎn),實(shí)施安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全建設(shè)管理、安全運(yùn)維管理等方面的安全控制措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。本環(huán)節(jié)在識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)的基礎(chǔ)上制定安全防護(hù)措施。
3、檢測(cè)評(píng)估:為檢驗(yàn)安全防護(hù)措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患,運(yùn)營(yíng)者制定相應(yīng)的檢測(cè)評(píng)估制度,確定檢測(cè)評(píng)估的流程及內(nèi)容等要素,并分析潛在安全風(fēng)險(xiǎn)可能引起的安全事件。
4、 監(jiān)測(cè)預(yù)警:運(yùn)營(yíng)者制定并實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,針對(duì)即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅,提前或及時(shí)發(fā)出安全警示。建立威脅情報(bào)和信息共享機(jī)制,落實(shí)相關(guān)措施,提高關(guān)鍵信息基礎(chǔ)設(shè)施主動(dòng)防御能力。
5、主動(dòng)防御:運(yùn)營(yíng)者以對(duì)安全行為的監(jiān)測(cè)發(fā)現(xiàn)為基礎(chǔ),主動(dòng)采取誘捕、溯源、干擾和阻斷等措施,及時(shí)精準(zhǔn)預(yù)警,實(shí)時(shí)構(gòu)建彈性防御體系,避免、轉(zhuǎn)移、降低關(guān)鍵信息基礎(chǔ)設(shè)施面臨的風(fēng)險(xiǎn)的安全措施。提升對(duì)網(wǎng)絡(luò)威脅與攻擊行為的認(rèn)知和應(yīng)對(duì)能力。
6、事件處置:對(duì)網(wǎng)絡(luò)安全事件進(jìn)行報(bào)告和處置,并根據(jù)檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警環(huán)節(jié)發(fā)現(xiàn)的問(wèn)題,運(yùn)營(yíng)者制定并實(shí)施適當(dāng)?shù)膽?yīng)對(duì)措施,恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。
基于上述內(nèi)容,運(yùn)營(yíng)者需要構(gòu)建一套持續(xù)、動(dòng)態(tài)的風(fēng)險(xiǎn)管理方法,實(shí)現(xiàn)從關(guān)基認(rèn)定識(shí)別、主動(dòng)防御、到安全風(fēng)險(xiǎn)全過(guò)程監(jiān)測(cè)、分析、處置、改進(jìn)的運(yùn)營(yíng)管理平臺(tái)和保障體系建設(shè),以應(yīng)對(duì)動(dòng)態(tài)的網(wǎng)絡(luò)安全威脅,將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制在可接受的范圍,確保企業(yè)自身關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行。
(文章轉(zhuǎn)自安全419)
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
2024年的Adobe MAX 2024發(fā)布會(huì)上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開(kāi)“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來(lái)實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價(jià)比很高,簡(jiǎn)直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會(huì)——工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析專(zhuān)題論壇在沈陽(yáng)成功舉辦。