文│ 国家信息技术安全研究中心总师组专家 李京春
从 2021 年公开发布的网络安全发展趋势预测报告中可以看出,最新出台的政策法规对网络安全治理的影响意义深远。我国近年来密集出台若干政策法规,标志着我国依法治网、依法管网、依法护网、依法用网等网络安全治理工作进入到了法治化的新时代。
《网络安全法》《密码法》《数据安全法》《网络安全审查办法》和最新出台的《关键信息基础设施安全保护条例》(以下简称《条例》)等均成为业界关注的重点。这些政策法规对数据安全保护、关键信息基础设施保护产生积极影响,对推动我国信息化建设、数字化转型、网络安全治理、产业生态健康有序发展将发挥重要作用。
一、国际态势复杂,我国必须做好应对准备
当今世界正经历一场百年未有之大变局,新时期我国正面临许多重大风险和挑战。美国及其西方盟友不愿意看到中国发展壮大,把我国国家制度和治理体系视为对西方制度模式的重大挑战,把中国发展视为对美国霸权地位的挑战,变本加厉地遏制中国发展。
一方面,美国用霸道的美国法律、国家力量、长臂管辖限制中国企业发展,企图阻止中国科技领域的崛起。另一方面,网络意识形态领域的斗争更是错综复杂,西方国家鼓吹西方价值观,利用互联网搞“颜色革命”。再一方面,今年 8 月,美国又组织超大规模海上军演,矛头直指中国,用军事威慑和军事行动恐吓中国。
显然,西方国家的“新冷战”意图已经十分明显,中美在贸易、科技、外交、军事、政治等领域的斗争已经呈现公开化、常态化的特点,早已在无硝烟的战场上拉开了序幕。我们必须审慎对待、提高警惕,在做好各项应急准备的同时,重点加强关键信息基础设施的保护。
二、关键信息基础设施亟须按照《条例》要求,体系化、系统性、创新性地实施保护
我国关键信息基础设施面对的风险主要是境外情报机构的侦查窃密,互联网黑客和互联网有组织的网络攻击,不法分子的违法犯罪,自然灾害,以及网络安全和信息安全治理方面的安全威胁或问题。近年来,我国又面临国家间有组织、高烈度的网络对抗,面临在极端情况下的网络战、军事行动的威胁。我国关键信息基础设施一旦遭受打击、破坏,将会丧失社会功能,使多种安全风险相互叠加,将严重影响国家安全、经济发展、社会稳定和国计民生。现有的传统安全防护措施和保护理念,已难以应对国家间大规模网络攻击,亟待依法依规、创新保护技术、改进保护策略、实施重点保护和强保护。
1. 提高网络安全认识,落实“一把手”领导责任
做好网络安全工作首先要提高网络安全意识和认识,不能“说起来重要,做起来次要,忙起来不要”“或走走形式,做做表面文章”。今天的网络安全工作要动真格的,要对关键信息基础设施实施重点保护,对那些一刻都不能停的信息系统和基础设施施行重点保护,这是形势发展的要求,更是网络强国的要求。以往,网络安全主管领导大都是一个单位的副职或信息中心的领导,有的单位网络安全协调难度很大,很难上升到党委的议事日程,在党管保密、党管密码、党管网信的今天,单位的一把手或主要负责人应对关键信息基础设施安全负总责。打通“一把手”协调工作上的堵点,解决网络安全难点,已经成为普遍的共识。当然,也要防止“一把手”的“不作为”和“乱作为”的问题,让“一把手”和班子成员真正成为了解网络安全知识、懂策略、施策略的行家,成为关键信息基础设施保护的“专家”,成为信息化助力实体经济发展的“大咖”。
2. “三同步”落实是关键,建章立制设机制,夯实责任
很多部门、地方领导和专家反映,网络安全建设最大的问题是安全保护措施与关键信息基础设施等信息化建设,没有真正落实同步规划、同步建设、同步使用。至少在安全防护建设中不是体系化、系统性设计,只是按照安全方案模板,简单堆叠一些安全产品,没有采取动态防御、主动防御、精准防御、联防联控、纵深防御和整体防范,使安全防护效果大打折扣。《条例》第十二条进一步强调“三同步”要求,说明这项要求不是一个简单要求,而是要从单位体制机制上改进,改变信息化建设管理部门与网络安全部门“两张皮”的问题,真正实现网络安全建设和关键信息基础设施建设融为一体,一体化设计、一体化建设、一体化运行,充分体现双轮驱动作用,发挥网络安全保护、保障、保卫的作用。
3. 加强关键岗位人员管控,建立人员审查和“双岗制”机制
历史经验告诉我们,“堡垒最容易从内部攻破”。一种很普遍的现象是,大部分单位(企业)的系统管理员具有超级权限,并由于编制的原因出现一人兼多职的情况。单位对信息系统大量投入,按照国家标准层层防护,似乎固若金汤。但潜在的“对手”表示,“只要用很少的资金就可以收买一个系统管理员”,单位精心构筑的防线就可能出现因“蚁穴”而“堤毁”的结果。这种内部人员泄露大量数据信息和制造安全事件的案例时有发生,是网络安全人员管理上的一大漏洞。《条例》规定,关键信息基础设施运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助,可见这种审查可不是一般“走过场”的审查,而是非常严格的审查。同时,在人员审查的基础上,要建立“双岗制”工作制度,工作中关键人员相互认证、相互监督、相互检查。需要服务机构人员支撑时,还要开展服务机构人员的延伸审查,从制度上杜绝人员超权限的行为。
4. 明确关键信息基础设施定义,准确认定保护对象
业界在网络安全保障中早就建立了国家关键信息基础设施保护的概念,特别是开展“8+2”(电力、银行、税务、保险、证券、铁路、民航、海关,以及电信和广电)信息系统风险评估和安全检查后,对关键信息基础设施保护、保障的理解更加深刻。对比国外,我国关键基础设施保护、关键信息基础设施保护的研究材料也非常丰富,但对关键信息基础设施的识别认定始终成为主管部门和专家学者讨论和关注的焦点。有人会问,“8+2”内的信息系统出现问题都会影响国家安全吗?“8+2”之外的,如国防工业和互联网信息服务企业就不会影响国家安全吗?《条例》第二条进一步明确了关键信息基础设施的定义,将公共通信和信息服务以及国防科技工业等纳入其中。《条例》用第二章的整章内容,专门说明了如何进行关键信息基础设施认定,使保护对象更加聚焦,认定更加科学规范,过程更具有可操作性。
5. 减少安全检测频度和多部门重复检测,重心放到问题整改的有效性上
以往各部门、各地区网络安全的主要抓手放在“开展安全检测、安全检查、风险评估、安全抽查”等工作上,基层单位经常会感到频繁被检查的疲惫。有的检查采用专门渗透和众测等方式,发现的系统漏洞、管理漏洞、结构漏洞等有价值漏洞不给被测单位提供,让被测单位十分茫然,无法整改。有的地方出现今天这个部门来测试,明天那个机构来检查,增加了运营者的负担。这些重复检查等问题已经引起中央的关注,“众测”也有漏洞难以管理的风险。《条例》第五条强调任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。第二十六条明确要求,保护工作部门应当定期开展本行业、本领域的安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。今后的检查,应该把检查的重点放到漏洞修复和整改的有效性上,不能只是为了找漏洞而找漏洞,关键信息基础设施的漏洞是国家资源,需要按照保密要求严格管理。
6. 安全事件应急响应见实效,各地区各部门应启动“蓝色、橙色、红色”预警
我国在 2003 年就强调要建立应急响应机制,制定应急预案,开展应急演练,对发现的安全事件进行事件预警和通报。许多地方政府、行业保护工作部门也对此开展了相应的应急响应工作,建立灾备中心、建立系统和数据备份措施。但有一件工作不够规范,那就是安全事件预警。很多地方和部门出现安全事件不会预警、不敢预警,不知道如何处理,很多动作不符合国家应急预案要求,没有向本地区和中央网信等有关部门报告,发生比较大的安全事件也未发出蓝色、橙色等程度预警。国家网络安全应急预案亟待普及,加强应急响应和事件预警的规范性培训。否则一旦出现影响国家安全的大事件,保护部门可能会手忙脚乱。所以应急响应是关键信息基础设施保护运营者必须掌握的一项关键技能。《条例》二十五条强调保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
7. 电信是 CIIP 的基础,需要联防联控优先保障
在产业融合的今天,关键信息基础设施行业、领域的业务和网络也越来越多的关联起来,互联网等公共网络与信息服务等,特别是对电力、电信和公共通信等的依赖性越来越强。可以说,关键信息基础设施保护最需要强调的是联防联控,防止电信、电力等关键基础功能的丧失而造成其他社会功能的丧失,也要防止多米诺骨牌效应的发生,防止出现连锁反应。《条例》第三十二条特别强调国家采取措施,优先保障能源、电信等关键基础设施的安全运行。能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。
8. 在威胁情报共享方面,国家、企业、社会组织有责任开展共享交换
在产业数字化和数字产业化发展的今天,数据赋能作用越来越大,很多单位、企业都在进行数字化转型,把数据当成宝贝,让数据成为推动GDP 的动力。因此,数据共享交换需要确权,需要规则,需要利益分享,这是可以理解的。然而,网络威胁情报数据应该成为国家资源,不应成为谋取利益的资源,需要大家站在国家利益高度看待威胁情报共享问题。《条例》第二十三条强调国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
9. 重视供应链安全,发挥网络审查作用
当前,供应链安全问题已经成为制约我国信息化发展的重要问题。一方面,美国企图在供应链上制裁中国企业,限制使用关键技术产品;另一方面,却在供应链和相关产品中设置后门,企图方便控制我国的网络系统。随着数据安全保障力度的加大,数据安全问题也进入到网络安全审查范围,这是一种技术和非技术的安全措施,应引起足够的重视,并加强研究,让该项制度在关键信息基础设施保护中发挥关键作用。《条例》第十九条强调运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
三、加大关键信息基础设施保护技术体系研究,自力更生自主创新
在这次新冠肺炎疫情防控中,我国总结出很多好的经验和方法,所采取的主要措施一是“内防”,打疫苗,提高人体免疫力;二是“外防”,采取戴口罩、隔离疫情、减少聚集、封闭园区、防范外部输入等隔离措施;三是采用“攻防”措施,对病毒区域进行消杀;四是采取“协防”措施,联防联控,扫行程码、健康码,大数据分析人员流动情况。这些措施组合起来使用,对打赢疫情防控保卫战发挥了重要作用。这种“四防模型”是否带有普遍性规律?网络安全防护从中也可以借鉴。
关键信息基础设施面临互联网的、技术的、社工的、人为的和故障等各种各样的威胁,系统和设施存在多种脆弱性和漏洞,网络安全问题复杂多样。因此,关键基础设施的保护必须体系化防控。以往专家、学者参考国外资料,提出许多信息安全保护框架,有的在技术标准中加以规范。借鉴疫情防控的“四防”,关键信息基础设施保护也可以采取“四防”模型,如下图所示。
图 1 四防模型图
一般安全防控框架(模型)的主要内容是:“内防”指内生安全,“外防”是外防输入,“攻防”指环境治理,“协防”是过程管理。中间是保护对象。很多业内专家都在积极探索和创新安全技术,特别是在信息系统和网络的内生安全方面,如可信计算、密码技术、动态防护等,体现了原生保护的理念。我国信息安全企业在防火墙、网闸、入侵检测、入侵保护等方面提供了很多成熟安全技术、产品和服务,体现了外围技术防护的理念。在网络攻防方面,近年来国家组织了多次网络安全保护专项行动,大大提高了信息系统运行者的安全意识,以及主动保护、主动保障、主动保卫的积极性;有关部门还组织了网络安全审查,提高了供应链产品的安全性和可控性;多部门组织了 App 治理行动,打击了网络犯罪活动,体现了保卫理念。在协防方面,通过广泛的安全检测、过程管理、协同管理,体现管理保障的理念。
关键信息基础设施保护有很多关键要点值得关注。其中要关注六个重要环节和六种防御,如下图所示。
图 2 关键信息基础设施网络安全保护模型
六个重要环节包括:识别认定、安全保护、检测评估、监测预警、技术对抗和应急处置。六种防御为:动态防御(内生安全)、主动防御(外防输入)、精准防御(环境治理)、联防联控(过程管理)、纵深防御(南北向)、整体防御(东西向)。同时,条(垂直系统)和块(各省系统)要加强管理制度和防护能力建设。这个模型与 P2DR 动态安全模型有相似之处,只是结合我国实际情况增加了攻防(技术对抗),体现了相关主管部门的保卫职能。这个模型可以顺时针循环往复,不断技术迭代,使关键信息基础设施防护能力不断提升。
关键信息基础设施需要加强体系化设计、系统化部署,不断完善法律法规、政策规范、技术标准、安全保护、安全保卫、安全保障等 6 大制度体系。其中很重要的策略是在关键信息基础设施保护中要立足自力更生,自主创新,防止“卡脖子”。按照《条例》要求,国家要支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关,在创新中培养人,在实践中锻炼人。相信在党中央的集中统一领导下,依据国家不断完善的法规政策,网信部门统筹协调,公安机关和各保护部门协同监管和指导,以及社会安全服务机构的大力支持,关键信息基础设施运营者主体责任的落实,国家关键信息基础设施保护能力一定会提升到一个新的高度,达到一个新的水平。