freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

浅谈运营者应如何对关键信息基础设施实行重点保护
2021-08-27 21:30:38

前言

笔者在《浅谈如何拟订关键信息基础设施安全保护计划》一文中提到了专门安全管理机构、安全管理制度以及安全保护实施细则,因为篇幅有限,未能展开详细阐述如何组建专门安全管理机构,制修订安全管理制度以及安全保护实施细则应覆盖哪些网络安全活动。笔者计划在接下来的文章中就以上三方面的内容分别进行说明。

笔者认为,为了能更好的方便读者理解,只有先明白如何对关键信息基础设施实行重点保护,才能对如何组建专门安全管理机构,制修订安全管理制度以及安全保护实施细则应覆盖哪些网络安全活动有一个深刻的认识。所以笔者根据我国现阶段关键信息基础设施保护的相关政策、法律法规、正在推进的相关标准规范以及当前一些关键信息基础设施运营者(以下简称运营者)的安全实践,来谈一谈运营者应如何对关键信息基础设施实行重点保护。

一、关键信息基础设施的定义

根据《关键信息基础设施安全保护条例》第二条的规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等

二、重点保护的背景和依据

关键信息基础设施关系国家安全、国计民生和公共利益,再怎么强调其重要性都不为过。美国、欧盟等国家和地区都强调对关键信息基础设施加强保护,我国也提出要对关键信息基础设施实行重点保护。其中:

2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过的《中华人民共和国网络安全法》第三十一条明确提出:关键信息基础设施,在网络安全等级保护制度基础上,实行重点保护

2016年12月27日,国家互联网信息办公室发布的《国家网络空间安全战略》也提出:着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度

2021年9月1日施行的《关键信息基础设施安全保护条例》第五条和第六条规定:国家对关键信息基础设施实行重点保护,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。

无独有偶,美国NIST在2014年发布的《提升关键基础设施网络安全框架》(最新版为2018年4月16日的V1.1版本)中提出:关键基础设施,围绕识别、防护、检测、响应、恢复环节,建立网络安全框架,管理网络安全风险

1630070685_6128e79d2ed43bbc8b1df.png!small?1630070685511

三、重点保护的方法论

对比美国NIST《提升关键基础设施网络安全框架》和中国《网络空间安全战略》,不难发现,美国强调围绕识别、防护、检测、响应、恢复五个环节,管理网络安全风险;中国则强调着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度。中美保护关键信息基础设施安全的基本方法论如下:

1630322988_612cc12c57aa1c698d0ed.png!small?1630322988577

另外,我国也强调关键信息基础设施实行重点保护的基础是网络安全等级保护制度。也因此,我国关键信息基础设施实行重点保护的基本方法论表述为:关键信息基础设施,在网络安全等级保护基础上,围绕识别、防护、检测、预警、响应、处置等环节,实行重点保护。如下所示:

1630070114_6128e562bf07b01afb57c.png!small?1630070114960

根据我国最近几年在关键信息基础设施保护方面的探索,我国已于近期形成国家标准《信息安全技术 关键信息基础设施安全保护要求》(送审稿),即将报批。根据最新研究与实践,关键信息基础设施实行重点保护的方法论已经有所变化,最新表述为:在网络安全等级保护制度基础上,着眼分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置,围绕网络安全风险管理,建立网络安全框架。我国关键信息基础设施保护的基本方法论变化如下所示:

1630070143_6128e57f6da953b5f1468.png!small?1630070143619

考虑到我国部分运营者还需遵循ISO27001等国际标准,因此,笔者在本文中,将关键信息基础设施实行重点保护的方法论表述为:在网络安全合规体系基础上,着眼分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置等环节,围绕网络安全风险管理,建立网络安全框架。如下所示:

1630070177_6128e5a19aff989e056e7.png!small?1630070177826

四、网络安全框架与合规体系的关系

笔者曾在《浅谈如何规范有序地开展网络安全需求分析》一文中指出:“安全合规是指企业开展网络安全保护工作要符合国家或行业出台的相关网络安全政策、规划、法律法规、推荐性或强制性的标准规范等。如涉及国际化经营或海外上市等,还应符合所在国家或者地区的相关网络安全政策、法律法规、推荐性或强制性标准规范,网络安全的国际化标准规范等”。因此,常见的网络安全等级保护系列标准、ISO27001等都属于网络安全合规体系。

网络安全框架是根据我国关键信息基础设施保护的政策、法律法规要求,国外保护关键信息基础设施的通行做法,结合我国国情而提出的“对关键信息基础设施实行重点保护”的主要方法,是对网络安全合规体系的补充,而非替换。网络安全框架与网络安全合规体系的关系是互为补充,相得益彰。

事实上,网络安全框架向运营者提供了一个对网络安全进行持续、动态的风险管理方法,帮助运营者从分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置等环节加强对网络安全风险的持续监控,认知网络安全风险,进行风险管理决策,以应对动态的网络安全风险 。

另外一方面,我国网络安全框架还强调加强关键信息基础设施的抗攻击能力、可恢复能力以及和国家网信部门、国务院公安部以及保护工作部门建立以信息共享为基础的协同联控机制

使用本框架的最终目标是降低网络安全风险,对关键信息基础设施防护进行更有效的管理,及时有效的防范应对安全风险,将网络安全风险控制在可接受的范围,确保关键信息基础设施业务稳定、持续运行

五、网络安全框架的构成

网络安全框架基于网络安全风险管理的思想,对关键信息基础设施的网络安全风险实施管理,使运营者了解并优先处理网络安全问题,通过识别关键保护对象及其风险,选择安全控制措施,建立网络安全基线,通过满足这些要求将网络安全风险控制在可接受的范围。

网络安全框架包括分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置六个环节。当开展关键信息基础设施安全保护时,环节之间的关系根据实际情况会有所变动。

1630070348_6128e64c0720786cbc8f6.png!small?1630070348193

5.1    分析识别

运营者按照相关规定开展关键信息基础设施分析和识别活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础

5.2    安全防护

运营者根据已识别的关键业务和资产、安全风险,实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。

5.3    检测评估

为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。

5.4    监测预警

运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高关键信息基础设施主动防御能力。

5.5    技术对抗

运营者以对攻击行为的监测发现为基础,主动采取诱捕、溯源、干扰和阻断等措施,提升对网络威胁与攻击行为的认知和攻防对抗能力。

5.6    事件处置

对网络安全事件进行报告和处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。

六、网络安全框架的运行

上述六个环节可帮助运营者认知网络安全风险,进行风险管理决策。这六个环节是不可或缺和相辅相成的,以解决动态网络安全风险。

运营者可利用网络安全框架提供的风险管理流程制定网络安全相关的决策并确定其优先级,确定期望达到的风险控制目标,例如:

——运营者可根据分析识别以及检测评估、监测预警发现的安全问题,结合关键业务重要性和风险严重程度,并根据自身风险承受能力来确定可接受的风险级别和风险处置的优先级,并据此选择和制定网络安全风险管理计划。

运营者可根据对关键业务的潜在影响选择不同的方法来处理风险,包括缓解风险、转移风险、避免风险和接受风险。

网络安全风险管理计划包括风险对象、类型/级别、描述、优先级、风险处理方式、保护措施、风险处置时间等内容。

序号

风险对象

风险级别

风险描述

优先级

风险处理方式

保护措施

1







2







3

























风险分析的方法可参照GB/T 20984 《信息安全技术 信息安全风险评估规范》,风险管理可参照GB/T 24364《信息安全技术 信息安全风险管理指南》。

上述六个环节并不需要一步步顺序执行,各个环节的关系也不是固定的,当关键信息基础设施运行时,根据实际情况环节之间的关系有所变动,也不会促使实现最终的静态目标。事实上,网络安全也是一个持续的、动态的风险管理过程。网络安全框架的六个环节可以同时持续进行,形成有效的机制以应对动态的网络安全风险。

在通用实践中,网络安全框架会大量使用到在网络安全合规体系建设时形成的技术支撑手段、工具或平台以及相应配套的安全管理制度、操作规程和记录表单等文件,同时,根据分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置六个环节的技术和管理要求,增强或补充建设一些技术支撑手段、工具或平台以及相应配套的安全管理制度、操作规程和记录表单等文件

对于各种规模的运营者、不同程度的网络安全风险以及风险承受级别的不同,运营者可结合本单位实际情况,采用不同的技术和管理的具体实现措施来实施本文提供的网络安全框架。

七、关键信息基础设施不同阶段的安全保护重点

风险管理应贯穿于关键信息基础设施生命周期的各阶段中 。关键信息基础设施的生命周期涵盖规划设计、开发建设、运行维护、停用废弃等阶段。每个阶段实施风险管理应根据该阶段的特点有所侧重地进行。有条件时,应采用风险评估工具开展风险评估活动。

在规划设计阶段,重点确定关键信息基础设施可能涉及到的法律法规要求、运行环境要求、安全目标、识别关键保护对象和网络安全风险、评估产品和服务供应链风险。

在开发建设阶段,根据安全需求和运行环境对系统开发、实施过程进行风险识别,并对建成后的安全功能进行验证。根据规划设计阶段分析的威胁和制定的安全措施,在实施及验收时进行质量控制, 确定被评估对象的安全目标达成与否。

在运行维护阶段,通过保护技术、检测技术、监测技术、对抗技术等增强对关键信息基础设施的可控性,不断地实施风险管理以识别被评估对象面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得以实现。

在退役废弃阶段,通过识别关键信息基础设施停运带来的数据丢失、转移等风险,确保数据信息的完整性,重点针对废弃资产对运营者的影响进行分析,并根据不同的影响制定不同的处理方式。感兴趣的读者可参见《浅谈信息系统终止时如何确保信息资产的安全》

小结

由于国家标准《信息安全技术 关键信息基础设施安全保护要求》尚未正式发布,且本文篇幅有限,笔者不再针对关键信息基础设施的若干安全保护要求做解读。仅通过本文,让读者了解我国现阶段关键信息基础设施该如何实行重点保护。在此基础上,笔者将来接下来的文章中,结合实践,与读者分享运营者的安全管理机构的组建、安全管理制度的制修订以及需要开展的若干网络安全活动等主题。

本文难免挂一漏万,若存在不足的地方,敬请指正。

# 网络安全技术 # 网络安全框架(CSF) # 关键信息基础设施安全保护条例 # 重点保护
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录