10年前,一部反应反恐行动的美剧中有这样一个情节:恐怖分子劫持了一名CIP Devic硬件工程师,胁迫其复制一套该控制设备,将该设备接入互联网就可以绕过工业防火墙远程控制美国境内的几乎所有工控系统。其中具有较高威胁的设施包括核电设施、化工厂、民航及高铁系统。如果其恐怖分子手段得逞,则有可能造成巨额的人员及财产损失。这样的情节在各行业高度依赖信息化的今天,则不完全为虚构剧情。事实上,剧情中描述的CIP协议在现实中确实存在,其全称为Common Industrial Protocol(通用工业协议),也确实负责不同工业系统间的通信与控制。这个虚构情节与传统的网络安全攻击有两个不同点。第一攻击者攻击目标并不是获取目标系统的关键信息或者使目标系统瘫痪,而是直接剥夺系统控制权,其可能造成的危害则更为严重。第二攻击者一旦袭击成功,则可能对国计民生造成巨大的人员及经济损失,其破坏能力远超传统信息安全攻击。正因如此,对国家重要的基础设施信息系统的保护要求才愈发必要。
图1 被CIP Device控制险些相撞的两架飞机
2021年8月,依据国务院总理李克强签署国务院令,国务院正式发布了《关键信息基础设施安全保护条例》,该条例自2021年9月1日起正式施行。该条例保护的对象是“关键基础设施信息系统”,是关系到国计民生最重要的信息系统集合。该条例的发布,填补了继等级保护、分级保护、密码测评、军队评级之后的安全管理空白,完成了“官方”最后一块信息保护拼图。通过下图可见,“关机保”实际上覆盖了等级保护及分级保护中部分重要的信息系统。通过有效的监管与“预警——通报”机制,“关机保”可在宏观层面把握关键基础设施的安全情况并对可能存在的安全隐患进行快速反应。
图2 各保护条例的关系
一、保护目标
“第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。
【要点】
该条例保护对象为等级保护或分级保护对象的子集;
这里保护目标不受侵害的范围包括“破坏、丧失功能、数据泄露”三种,与传统安全强调数据安全不同的是,这里也提到了信息系统的可用性。其“安全使用权”也是需要重点保护的目标之一。就如上文所举的CIP袭击例子一样,恐怖分子不仅使真正的CIP系统失效,还篡夺了系统的控制权,这种威胁则更为致命。
二、谁负责监管?
“第三条 在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。”
【要点】
统筹方:国家网信办;
指导方:国务院公安部门(注意地方公安机关不具备此职责);
监管方:国务院电信主管部门和其他有关部门、省级人民政府有关部门。
三、如何认定关键信息基础设施?
“第八条 本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。”
“第九条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。”
“第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。”
“第十一条 关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。”
【要点】
认定规则制定部门:重要行业和领域的主管部门、监督管理部门;
认定规则备案部门:国务院公安部门;
认证部门:重要行业和领域的主管部门、监督管理部门;
认证备案部门:国务院公安部门;
变更反馈部门:运营者。
认证依据:系统/系统破坏对本单位及社会的影响力/危害程度(与等保分级认证规则类似)。
四、运营者义务
引用略。
【要点】
安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。“安全保护措施”被提到了极高的地位,要求系统建设方在规划、建设、使用阶段都应具备完整的安全规划、建设方案及安全运营规则。目前“等保”、“分保”及“密评”规范都提出了具体的安全保护措施“三同步”要求。
运营者安全责任人制度;
关键岗位人员需做背景调查;
制定应急预案,定期开展应急演练,处置网络安全事件;
开展网络安全监测、检测和风险评估;
对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
五、保障和促进
第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
第二十六条 保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。
【要点】
国家网信部门负责统筹协调及共享数据,负责统一汇总、研判数据并统一指挥;
保护工作部门应准备本行业及领域的关键基础设施监测预警制度;
保护工作部门负责本行业关键基础设施运行情况、安全态势等数据的态势感知与数据监测;
保护工作部门制定紧急事件安全预案,定期组织演练;
保护工作部门有定时对运营者进行安全检测的职责。
六、支持与奖励
第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
第三十五条 国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。
第三十六条 国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。
【要点】
提出对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人的表彰机制;
鼓励网络安全专门人才从事关键信息基础设施安全保护工作;
支持安全防护新技术的攻关与创新。
关键信息基础设施保护解决方案的业务粘性
上文提到,国家支持关键信息基础设施安全防护技术创新和产业发展,这为众多的信息安全公司提供了更多的市场空间。但是,就信息安全而言,很难独立于业务单独存在。在具体的业务安全解决方案中,信息安全可能作为主导部分,也可能承担业务支撑的辅助角色。这就要求信息安全公司在指定相应解决方案的同时,不能仅关心信息安全本体,而应该更多的将信息安全技术运用到安全业务场景中,结合其他行业规范、产品或技术综合提供贴合业务需求的解决方案。
总结
随着网络安全法、个人信息保护法等各种法规频繁颁布,信息系统安全真正进入有法可依,有章可循的新阶段;
关机保保护对象具有功能关键、性质特殊的特点。关机保的运行由国家网信办统一协调、统一把控,行业主管部门负责具体认定和检查工作,公安机关负责相关案件的侦办;
关机保的运行应充分调动各信息安全厂商与院校科技力量,利用先进技术及理念,在合规的框架下提出更多更可行的解决方案。