环顾全球,网络安全风险不断向政治、经济、文化、社会、生态、国防等领域传导渗透,网络安全风险态势一直处于高位运行状态。而金融、能源、电力、通信、交通等领域关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。“十四五”期间,国家正在加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局,每年有政治、经济、文化、国防等重大活动,加之适逢春节、国庆等重要节假日,国内外黑客组织活动频繁,给各关键信息基础设施运营者的网络安全保障带来新的挑战。
一、美国二十五年来关键基础设施保护政策演进
1996年美国总统克林顿签署第13010号行政令《关键基础设施保护》,拉开了以美国关键基础设施保护为重点的网络安全工作历史大幕。在这二十五年间,美国历经5任总统,围绕关键基础设施保护先后发布一系列战略、法律、规划、行政令、总统令。通过对二十五年来发布的相关政策文件的研究,可以将美国关键基础设施保护分为四个阶段,即定目标、划范围、建体系、强执行。
二、公路水路关键信息基础设施运营者保护工作的转变
(一)保护难度转变,需提供网络战持续应对能力
结合美国关键信息基础设施保护的理念与经验,公路水路关键信息基础设施是国家网络安全的重要组成部分,也是网络战的重点攻击目标,需要对关键信息基础设施进行全天候、全方位的保护,以应对悄无声息的网络战。
(二)保护原则转变,需以“三化六防”做为新理念
与等级保护注重“一中心、三重防护”的整体安全保护体系不同,公路水路关键信息基础设施保护应立足于应对大规模网络攻击威胁,加强安全保卫、保护和保障,按照实战化、体系化、常态化要求,落实动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控措施,强化技术保护和管理措施。
(三)保护要求转变,需构建网络安全综合防御体系
与等级保护规定的从第一级到第四级等级保护对象的安全通用要求和安全扩展要求不同,公路水路关键信息基础设施保护应在等级保护基础上从分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置等环节,进一步提出关键信息基础设施保护要求,需采取一切必要措施保护关键信息基础设施安全稳定运行和维护数据的完整性、保密性、可用性。
三、公路水路关键信息基础设施运营者保护工作的重点
结合美国关键信息基础设施保护的理念与经验,谁主管谁负责、属地管理的原则,公路水路关键信息基础设施运营者履行安全保护管理的主体责任,在组织制度、安全规划、安全建设、安全运行等方面落实防护措施、加强全生命周期管理。
(一)加强组织与制度保障
《关键信息基础设施安全保护条例》明确规定关键信息基础设施保护工作是一把手负责制,要强化主动担当意识,真正把担子担起来。同时,组织保障和制度保障还要求运营者建立专门的安全管理机构,负责落实具体的安全保护工作,制定网络安全规划和实施计划,构建全局统一的网络安全体系,推动跨区域、跨部门、跨行业的合作。
(二)安全规划为运营者提供体系化保护框架
长期以来,关键信息基础设施保护等网络安全顶层设计缺少统一指导和规范,存在质量参差不齐、形式繁杂多样、规划和建设内容不一致、落地效果较差等诸多问题。因此,要以全景视角,采取企业架构(如TOGAF)的思路方法进行关键信息基础设施保护安全架构的设计,科学、合理地规划、实施关键信息基础设施保护相关工程项目。在设计公路水路关键信息基础设施保护安全规划时,应结合运营者的组织结构、业务服务、IT基础设施等实际情况,采取科学的设计原则,区分轻重缓急、合理配置资源,从业务发展和网络安全相互促进的战略全局出发,制定个性化的公路水路关键信息基础设施保护实施路径和工作框架。
(三)安全建设为运营者提供常态化保护措施
分析识别:从攻击预测角度,运营者开展公路水路关键信息基础设施资产发现,梳理基础资产信息、基础设备开放端口信息、基础设备部署应用类型等,掌握IT基础设施资产运行情况,充分利用漏洞情报,第一时间确认资产漏洞并进行修复。
安全防护:从基础工作入手,遵照网络安全等级保护要求、信息系统密码应用保护要求等,运营者以等级保护测评、商用密码应用与安全评估、网络安全检查等方式识别可能存在的安全差距和风险,采取有效的技术措施,保障IT基础设施的网络安全、数据安全等,做到网络安全合规基线与公路水路关键信息基础设施安全保护的衔接。
检测评估:运营者开展对公路水路关键信息基础设施的IT基础设施的网络安全基线评估,发现并加固存在的安全风险和防护短板,降低安全风险,强化动态访问控制,杜绝越权访问造成的安全威胁。
监测预警:运营者设立专门的网络事件应急响应小组,统筹协调内部资源,建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制;制定完善的应急响应预案如网络事件分级制度,规定网络安全事件的级别,发现、报告、评估和响应安全事件流程;加强核心技术支撑能力,包括搭建安全运营团队、构建应急响应中心等。
技术对抗:公路水路关键信息基础设施面临的是一个网络攻击活动日益猖獗的网络环境,也是国家级网络攻击的重要目标,从发现高级网络攻击角度,运营者充分协同监管单位、保护单位、安全厂商等外部力量,以专业的安全技术保障和服务团队对安全事件进行分析研判、溯源取证,降低MTTD(平均检测时间)与MTTR(平均响应时间),不断提高攻击者的攻击成本。
事件处置:运营者增强应急响应和事件处置能力,抑制威胁扩散、清除安全漏洞、恢复业务运行,形成处置报告;定期通报安全事件,传达预警信息,提供安全建议;重点时期开展攻防演练,检验网络安全体系的健壮性。
(四)安全运行为运营者提供实战化保护机制
1.落实安全风险专职管理
《关键信息基础设施安全保护条例》要求关键信息基础设施每年至少进行一次网络安全检测和风险评估。安全风险管理目标是通过建立有效的风险管控机制,实现安全风险的识别、计量、监测和控制,保障公路水路关键信息基础设施持续、安全、稳定运行。为实现这一目标,运营者需要建立安全风险专职管理的“三道防线”,实现业务部门、网络安全部门、网络安全监管部门的齐抓共管:业务部门在网络安全部门的指导和协同下,制定安全风险的具体管控措施;网络安全部门负责检查业务部门管控措施是否落实到位,通过监督、建议、指导、分析风险管理相关的事项,确保实施合适的风险管理和控制措施;网络安全监管部门定期进行专项或者全面检查,发现安全漏洞以及潜在的风险,形成风险管控闭环。
2.加强攻防技术人员培养
公路水路关键信息基础设施安全防护的本质在人与人的对抗,对抗的本质在攻防两端能力的较量。运营者面临的一个突出问题就是安全保障人员实战经验欠缺,对于突发事件的快速响应能力偏弱。因此,运营者应进一步加强专业攻防技术人员的培养。通过开发网络安全课程、参加网络安全竞赛、组织红蓝实战对抗、搭建攻防实训实验室、推动校企合作等举措,健全人才发现、培养、选拔机制。
3.实战化攻防演练检验保护工作
通过实战化攻防演练行动,可以强化网络安全风险意识,发现和整改日常工作中没有暴露的深层次问题和隐患,切实提升公路水路关键信息基础设施安全保护能力和应急处置水平。运营者可通过实战化攻防演练推动工作思路创新,例如相对于传统情况下将安全服务商定位于防守方的角色,可以转变为将安全服务商分为防守方和攻击方两类角色,防守方协助开展安全值守、研判分析、风险排查、应急响应等工作,攻击方针对核心业务系统、重点集权系统、外网暴露设备开展有序的网络攻击。以攻击方作为矛,防守方的作为盾的演练,更加贴近实战,真正将攻防演练做到实战化和常态化,以检验关键信息基础设施保护工作效果。
四、结语
公路水路关键信息基础设施是“交通强国”战略的重要支撑,是实现交通运输高质量发展的重要保障。结合美国二十五年来关键基础设施保护政策,深信服、路云天网络安全研究院一起梳理和思考了公路水路关键信息基础设施运营者安全保护的工作转变和工作重点,为运营者安全保护实践提供借鉴和参考。(作者:黄亮喨、王少杰、魏彬)
来源:光明日报
,
