2020年9月2日,由公安部网络安全保卫局指导,公安部第三研究所、公安部第一研究所主办的“网络安全等级保护和关键信息基础设施安全保护工作宣贯会”在京召开。公安部网络安全保卫局一级巡视员、副局长兼总工程师郭启全就7月22日公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020]1960号),围绕指导思想、基本原则和工作目标等重点问题进行了解读。
从汇总的郭副局长讲话中,发现了一些新的关于网络安全等级保护等保和关键信息基础设施安全保护制度的新信息。其中有关总体思想、工作目标和“一带一路”及网络安全保险方面就不做分析了,这里重点会谈谈其中网络安全等级保护和关键信息基础设施安全保护制度相关的一些信号。
(注:本文分析和解读只代表个人观点,仅供参考)
指导思想、基本原则和工作目标
(一)指导思想
以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础
以保护关键信息基础设施、重要网络和数据安全为重点,切实加强保卫、保护和保障
全面加强网络安全防范管理、监测预警、应急处置、侦查打击等各项措施,及时监测、处置网络安全风险和威胁
依法惩治网络违法犯罪活动,切实提高网络安全保护能力
积极构建国家网络安全综合防控体系,切实维护国家网络空间主权、国家安全和社会公共利益
保护人民群众的合法权益,保障和促进经济社会信息化健康发展。
(二)基本原则
坚持分等级保护、突出重点。重点保障关键信息基础设施、第三级以上网络、重要数据安全。
坚持积极防御、综合防护。充分利用人工智能、大数据分析等技术,强化安全监测、态势感知、通报预警和应急处置等重点工作。
坚持依法保护,形成合力。公安机关依法履行保卫和监管职责,行业主管部门履行本行业主管、监管责任,落实网络运营者主体防护责任。
(三)工作目标
网络安全等级保护制度深入贯彻实施。网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作深入推进。网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实,网络安全保护良好生态基本建立。
关键信息基础设施安全保护制度建立实施。关键信息基础设施底数清晰,安全保护机构健全、职责明确、保障有力。在贯彻落实网络安全等级保护制度的基础上,关键岗位人员管理、供应链安全、数据安全、应急处置等重点安全保护措施得到有效落实,关键信息基础设施安全防护能力明显增强。
网络安全监测预警和应急处置能力显著提升。跨行业、跨部门、跨地区的立体化网络安全监测体系和网络安全保护平台基本建成,网络安全态势感知、通报预警和事件发现处置能力明显提高。网络安全预案科学齐备,应急处置机制完善,应急演练常态化开展,网络安全重大事件得到有效防范、遏制和处置。
网络安全综合防控体系基本形成。网络安全保护工作机制健全完善,党委统筹领导、各部门分工负责、社会力量多方参与的工作格局进一步完善。网络安全责任制得到有效落实,网络安全管理防范、监督指导和侦查打击等能力显著提升,“打防管控”一体化的网络安全综合防控体系基本形成。
(四)落实“四新”要求
新目标:构建国家网络安全综合防控体系
新理念:实战化、体系化、常态化
新举措:动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控
新高度:国家网络安全综合防御能力和水平上升一个新高度
深入贯彻实施国家网络安全等级保护制度
按照国家网络安全等级保护制度要求,各单位、各部门在公安机关指导监督下,认真组织、深入开展网络安全等级保护工作,建立良好的网络安全保护生态,切实履行主体责任,全面提升网络安全保护能力。
(一)深化网络定级备案工作
全面梳理本单位各类网络,特别是云计算、物联网、新型互联网、大数据、智能制造等新技术应用的基本情况。
科学确定网络的安全保护等级。
对第二级以上网络依法向公安机关备案,并向行业主管部门报备。
对新建网络,应在规划设计阶段确定安全保护等级。
公安机关进行备案审核。
这里格外强调了等保2.0中扩展要求的部分,包括大物移云智。这里将大数据和智能制造(人工智能、工业互联网等)也列为主要方向(由于等保2.0标准中大数据还是作为附录形式,而且没有涉及AI技术),纳入定级备案工作范围。强调了科学确定保护等级。因为之前多数网络为自主定级,等保2.0之后开始实行专家评审定级,但是目前依然存在一定主观因素,定级不够准确,想必可能是从等保2.0实施半年以来的实际案例中,还是存在这方面的问题,因此会格外强调科学定级。
对于新建网络(其实包括系统和应用)规定在设计阶段优先确定保护等级,一方面是强化三同步工作,另一方面也是深化等级保护的落实工作,后边有与之对应的要求,后文会进行说明。也就是说,企业新建系统,在最开始设计时候就要组织专家进行评审,预估系统安全保护等级,预先规划定级备案工作。
(二)定期开展网络安全等级测评
依据《网络安全等级保护测评要求》等有关标准,对网络进行检测评估,查找可能存在的网络安全问题和隐患。
第三级以上网络运营者应委托等级测评机构,每年开展一次网络安全等级测评。
新建第三级以上网络应在通过等级测评后投入运行。
公安机关加强对等级测评机构的监督管理。
这里明确了不同等级系统每年开展测评的次数,以前是要求第二级系统2年1次,三级系统1年1次,四级系统半年1次;现在统一为每年开展1次,文中所说第三级以上是包含第三级系统的意思,并非从第四级开始(第二级系统可参照标准1年1次来测评)。
新规定:三级及以上系统要通过等级测评后才可投入运行,即上线。这与前边的在设计阶段就要确定系统等级是相对应的,也就说以后企业在做顶层设计之初,就要将定级备案工作作为项目的一个关键任务来计划,否则系统未经等级测评即上线属于违规操作。
(三)科学开展安全建设整改
落实“同步规划、同步建设、同步使用”三同步要求。
依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准,按照“一个中心、三重防护”要求,应用可信计算等新技术开展安全建设和整改加固,提高内生安全、主动免疫、主动防御能力。
可将网络系统迁移上云,或将网络安全服务外包,利用云服务商和网络安全服务商提升保护能力和水平。
完善人员管理、教育培训、系统建设和运维等管理制度。
近年来我国高度重视国产化工作,商密、可信计算等安全技术已逐渐进入规划实施阶段。虽然部分安全技术在部署实施过程中仍存在困难,但是可以考虑防护目标相近的替代方案,比如零信任框架(后边会提到密码应用安全测评)、准入系统等,可以起到一定作用,这方面一直是鼓励和提倡,目前还未到强制要求的阶段。
对于中小微企业(包括安全预算有限的企业) ,组建内部专业的安全团队/机构打造独立安全防护能力的确存在难度,《指导意见》建议可从第三方面服务入手。一方面可以解决安全技术能力和经验不足问题,另一方面为云供应商和安全服务厂商提供相关需求,促进安全市场供给双侧稳步发展。同时也应注意供应链安全和服务商资质评审等问题(下文会提到)。
(四)强化安全责任落实
行业主管部门、网络运营者应依据《网络安全法》等法律法规和中央关于网络安全工作责任制要求,建立网络安全等级保护工作责任制,落实责任追究制度,做到“守土有责、守土尽责”。
网络运营者要定期组织专门力量开展网络安全自查和检测评估,行业主管部门要组织风险评估,及时发现网络安全隐患和薄弱环节并予以整改。
再次强调网络安全责任落实问题,要求企业明确网络安全组织机构、工作职责、责任人情况等,能够保证出现问题,可以追究相关责任。
重申网络运营者定期组织专门力量开展自查和评估,上级行业监管部门要组织风险评估,其实也就是企业自身要进行而风险评估自查和整改,上报给监管部门。这方面可以聘请安全服务机构来协助开展,上面已经提过相关建议。
(五)加强供应链安全管理
应加强网络关键人员的安全管理,第三级以上网络运营者应对为其提供设计、建设、运维、技术服务的机构和人员加强管理,评估风险,并采取相应的管控措施。
应加强网络运维管理,因业务需要确需通过互联网远程运维的,应进行评估论证,并采取相应的管控措施。
应采购、使用符合国家法律法规和有关标准要求的网络产品及服务,积极应用安全可信的网络产品及服务。
在等保2.0中服务供应商选择首次提出服务供应链网络安全义务,但是没有明确展开来讲,结合这次宣贯会郭局的解读,可以确定一些相关安全要求。具体如上,已经比较清晰了,不再做进一步分析。
(六)落实密码安全防护要求
应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。
第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
明确密码管理相关要求,因为现在已经有《密码法》,因此相关工作都要符合法律要求。8月20日公布的《商用密码管理条例(修订草案征求意见稿)》第三十八条要求非涉密的关键信息基础设施、网络安全等级保护第三级以上网络(含第三级)、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、 同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估(如《GM/T 0054-2018信息系统密码应用基本要求》)。
此外,在部分场景下对于商密产品、技术和服务的采购应注意相应产品、技术和服务是否经检测合格或列入密码技术指导目录,以及关键信息基础设施的运营者在采购过程中,对于可能影响国家安全的应同时考虑网络安全第三级以上网络(含第三级)应尽可能使用国产密码技术(国密算法)和设备(加密机、VPN 等)。在采购产品和技术时应先通过审查(《网络安全管理审查办法》)。
这里可以确定一点,就是并非所有安全相关采购都要走审查,而是某些情况下才要进入审查流程。比如第四级系统或CII就需要走审查程序,或者评估后采购产品或服务可能会影响国家安全的系统也要走审查程序。
密码应用安全性评估做为等保测评的一个重要环节,目前来看关基和第四级网络运营者应该是必须要做的,而普通三级及以下网络没有表示是否为强制性,可以关注后续等保测评、密评和关保相关要求。
建立并实施关键信息基础设施安全保护制度
公安机关指导监督关键信息基础设施安全保护工作。各单位、各部门应加强关键信息基础设施安全的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系建设,建立并实施关键信息基础设施安全保护制度,在落实网络安全等级保护制度基础上,强化保护措施,切实维护关键信息基础设施安全。
(一)组织认定关键信息基础设施
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定关键信息基础设施认定规则,并报公安部备案。
保护工作部门根据认定规则负责组织认定关键信息基础设施,及时将认定结果通知运营者,并报公安部。
这里确定了哪些行业属于关键信息基础设施(CII)认定的相关行业(举例,并非只是这些行业才能认定),目前认定规则还在制定中,预计不久后将会出台。被认定为CII后,除了满足等保2.0相关标准外,还要符合关键信息基础设施安全保护(关保)相关标准和指南的要求,目前在编制中的标准包括《关键信息基础设施网络安全保护基本要求》《关键信息基础设施安全检查评估指南》,预计很快也将出台并实施。被认定为CII的,会和等保一样在公安部门备案,认定结果也会对CII运营企业通报。
(二)明确关键信息基础设施安全保护工作职能分工
公安部指导监督关键信息基础设施安全保护工作、会同相关部门加强顶层设计和规划部署,健全完善关保制度体系。
保护工作部门负责本行业关保工作的组织领导,制定并实施关保总体规划和安全防护策略,落实指导监督责任。
关基运营者负责设置专门安全管理机构,组织开展关保工作,主要负责人对本单位关保工作负总责。
CII运营企业必须设立专门安全管理机构(不可以由其他部门兼职管理,但是可能允许该机构同时管理等保对象和CII,因为两者很难独立分开),明确总负责人和相关岗位人员及职责,自主开展关保工作,包括等保测评、密码应用安全评估、风险评估、关保测评等。
(三)落实关键信息基础设施重点防护措施和实战措施
关基运营者应依据等级保护标准开展安全建设并进行等级测评,发现问题和风险隐患要及时整改
依据关键信息基础设施安全保护标准,加强安全保护和保障,并进行安全检测评估
要梳理网络资产,建立资产档案,强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施
利用新技术开展网络安全保护,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全技术保护体系。
有条件的运营者应组建自己的安全服务机构,承担关键信息基础设施安全保护任务
也可通过迁移上云或购买安全服务等方式,提高网络安全专业化、集约化保障能力。
落实实战措施:
收敛互联网暴露面,加强攻击点管控
梳理网络资产,开展重点防护和加固
在关键节点架设监测设备,发现未知威胁
布设第二代密罐、沙箱,诱捕网络攻击
网络架构合理分区分域,加强纵深防御
建立威胁情报共享机制,加强主动防御
开展实战演习,提升攻防对抗能力
这里提到了很多新的安全防护技术,说说以前做的不太好的几个问题。
一是资产梳理,企业可能存在影子IT、未被统计的IT资产,增加企业暴露面,而且还是在IT部门不知情的情况下,这是很严重的问题。宣贯会上明确强调企业自身要梳理资产,强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施。
二是,开始提倡AI和大数据分析等新技术的应用,未来场景下以传统人工方式来处理网络响应或是安全问题都是不太可能的,因此自动化流程和分析必不可少。从SOAR到RPA、SOC,利用AI和高级分析处理日常工作已成为趋势,作为CII运营者应该重视这些技术的应用,能够将其转化为自身优势,但也要合理发展,不能盲目跟风。
三是,多次提到迁移上云或购买安全服务,建议企业考虑与专业机构/企业合作,弥补技术和技能缺口,可以没有自己的安全团队,但不能没有安全团队(虽然这是一种优化成本的方法,但作为CII运营者并不建议以来外包组件安全团队)。
四是,明确第二代蜜罐、沙箱技术(即主动防御、欺骗防御),有被动防御转向主动防御;至于会不会作为一项强制要求还不确定,不过就目前HW的经验来看,如果企业有能力部署,那么还是建议布设。
五是,明确加强纵深防御,以往网络的南北向防护比较成熟,但东西向隔离普遍不到位,很难实现微隔离安全(部分大厂除外),本次宣贯会要求不光是南北向,东西向也要做好,做到位。
六是,首次提到实战演习,这和我们以前等保中所提到的攻防演练不太一样,因为演练包括多种形式(汇报式、桌面演练、模拟演练等),但很多企业担心业务受影响,不敢进行实战演练。近几年HW行动效果显著,能确实发现企业存在的问题,提高企业安全防护能力,可能也是出于这种考虑,开始提倡实战演练,预测以后可能CII运营者每年要开展一次实战攻防演练(如红蓝对抗),但是HW算不算,业务保障方面如何权衡,也许都是需要讨论的问题。
(四)加强重要数据和个人信息保护
运营者应建立并落实重要数据和个人信息安全保护制度,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。
研究新技术,架桥、加密、建模、应用,实现:数据不出门、可用不可见;不被我所有但为我所用。
个人信息和重要数据应当在境内存储,确需向境外提供的,应当遵守有关规定并进行安全评估。
开始格外重视数据安全和隐私保护问题,一方面是数据安全问题日益凸显,另一方面是受国际形势影响,国家也应注意数据出入境相关问题。目前《数安法(草案)》正在审议修改中,以后将作为主要的上位法来支撑相关配套标准和规范,其他还有《个人信息保护法》正在制定中,近期修改的《中国禁止出口限制出口技术目录》调整了数据、技术等的出口限制。
这里重要数据和个人信息是彼此独立的数据,应分别进行保护和管理。关于数据生命周期安全可以参考《DSMM 数据安全能力成熟度模型》。
新提出的要求:数据不出门(考虑到最近欧美等过对我国技术和数据管制)、可用不可见(运营者可以调用使用数据,但数据是一种透明的方式,对操作人员和一般系统接口不可见);不被我所有但为我所用(以云提供商为例,租户数据均在云平台上,数据所有者是租户,但云提供商可以使用这些数据为租户提供服务;再者,以微信为例,所有C端信息归使用者所有,微信只是利用用户数据实现某些功能,比如路况信息、公共场所人员密集情况、疫情控制调度等)。
对于个人信息和重要数据明确要求在境内存储,需要出境的应进行安全评估,符合规定后方可出境。这块主要是参考《数安法》相关规定和政策,目前还在讨论中,后续会出台明确要求,具体争议焦点问题这里不做讨论。
(五)强化核心岗位人员和产品服务的安全管理
要对专门安全管理机构的负责人和关键岗位人员进行安全审查,加强管理。
要对设计、建设、运行、维护等服务实施安全管理,采购安全可信的网络产品和服务,确保供应链安全。
当采购产品和服务可能影响国家安全的,应按照国家有关规定通过安全审查。
公安机关加强对关键信息基础设施安全服务机构的安全管理,为运营者开展安全保护工作提供支持。
最后这部分,主要是与《网络安全管理审查办法》(现已实施)相关,处产品、服务采购需要事先审查,这里再一次强调确保供应链安全。还指出要对安全管理机构和关键岗位人员进行安全审查,加强管理。主要是出于现在人员的流动性,避免主要人员过快的更换,同时确保不会将一些关键信息泄露或带到其他组织。
附:《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
2020年9月2日,由公安部网络安全保卫局指导,公安部第三研究所、公安部第一研究所主办的“网络安全等级保护和关键信息基础设施安全保护工作宣贯会”在京召开。公安部网络安全保卫局一级巡视员、副局长兼总工程师郭启全就7月22日公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020]1960号),围绕指导思想、基本原则和工作目标等重点问题进行了解读。
从汇总的郭副局长讲话中,发现了一些新的关于网络安全等级保护等保和关键信息基础设施安全保护制度的新信息。其中有关总体思想、工作目标和“一带一路”及网络安全保险方面就不做分析了,这里重点会谈谈其中网络安全等级保护和关键信息基础设施安全保护制度相关的一些信号。
(注:本文分析和解读只代表个人观点,仅供参考)
指导思想、基本原则和工作目标
(一)指导思想
以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础
以保护关键信息基础设施、重要网络和数据安全为重点,切实加强保卫、保护和保障
全面加强网络安全防范管理、监测预警、应急处置、侦查打击等各项措施,及时监测、处置网络安全风险和威胁
依法惩治网络违法犯罪活动,切实提高网络安全保护能力
积极构建国家网络安全综合防控体系,切实维护国家网络空间主权、国家安全和社会公共利益
保护人民群众的合法权益,保障和促进经济社会信息化健康发展。
(二)基本原则
坚持分等级保护、突出重点。重点保障关键信息基础设施、第三级以上网络、重要数据安全。
坚持积极防御、综合防护。充分利用人工智能、大数据分析等技术,强化安全监测、态势感知、通报预警和应急处置等重点工作。
坚持依法保护,形成合力。公安机关依法履行保卫和监管职责,行业主管部门履行本行业主管、监管责任,落实网络运营者主体防护责任。
(三)工作目标
网络安全等级保护制度深入贯彻实施。网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作深入推进。网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实,网络安全保护良好生态基本建立。
关键信息基础设施安全保护制度建立实施。关键信息基础设施底数清晰,安全保护机构健全、职责明确、保障有力。在贯彻落实网络安全等级保护制度的基础上,关键岗位人员管理、供应链安全、数据安全、应急处置等重点安全保护措施得到有效落实,关键信息基础设施安全防护能力明显增强。
网络安全监测预警和应急处置能力显著提升。跨行业、跨部门、跨地区的立体化网络安全监测体系和网络安全保护平台基本建成,网络安全态势感知、通报预警和事件发现处置能力明显提高。网络安全预案科学齐备,应急处置机制完善,应急演练常态化开展,网络安全重大事件得到有效防范、遏制和处置。
网络安全综合防控体系基本形成。网络安全保护工作机制健全完善,党委统筹领导、各部门分工负责、社会力量多方参与的工作格局进一步完善。网络安全责任制得到有效落实,网络安全管理防范、监督指导和侦查打击等能力显著提升,“打防管控”一体化的网络安全综合防控体系基本形成。
(四)落实“四新”要求
新目标:构建国家网络安全综合防控体系
新理念:实战化、体系化、常态化
新举措:动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控
新高度:国家网络安全综合防御能力和水平上升一个新高度
深入贯彻实施国家网络安全等级保护制度
按照国家网络安全等级保护制度要求,各单位、各部门在公安机关指导监督下,认真组织、深入开展网络安全等级保护工作,建立良好的网络安全保护生态,切实履行主体责任,全面提升网络安全保护能力。
(一)深化网络定级备案工作
全面梳理本单位各类网络,特别是云计算、物联网、新型互联网、大数据、智能制造等新技术应用的基本情况。
科学确定网络的安全保护等级。
对第二级以上网络依法向公安机关备案,并向行业主管部门报备。
对新建网络,应在规划设计阶段确定安全保护等级。
公安机关进行备案审核。
这里格外强调了等保2.0中扩展要求的部分,包括大物移云智。这里将大数据和智能制造(人工智能、工业互联网等)也列为主要方向(由于等保2.0标准中大数据还是作为附录形式,而且没有涉及AI技术),纳入定级备案工作范围。强调了科学确定保护等级。因为之前多数网络为自主定级,等保2.0之后开始实行专家评审定级,但是目前依然存在一定主观因素,定级不够准确,想必可能是从等保2.0实施半年以来的实际案例中,还是存在这方面的问题,因此会格外强调科学定级。
对于新建网络(其实包括系统和应用)规定在设计阶段优先确定保护等级,一方面是强化三同步工作,另一方面也是深化等级保护的落实工作,后边有与之对应的要求,后文会进行说明。也就是说,企业新建系统,在最开始设计时候就要组织专家进行评审,预估系统安全保护等级,预先规划定级备案工作。
(二)定期开展网络安全等级测评
依据《网络安全等级保护测评要求》等有关标准,对网络进行检测评估,查找可能存在的网络安全问题和隐患。
第三级以上网络运营者应委托等级测评机构,每年开展一次网络安全等级测评。
新建第三级以上网络应在通过等级测评后投入运行。
公安机关加强对等级测评机构的监督管理。
这里明确了不同等级系统每年开展测评的次数,以前是要求第二级系统2年1次,三级系统1年1次,四级系统半年1次;现在统一为每年开展1次,文中所说第三级以上是包含第三级系统的意思,并非从第四级开始(第二级系统可参照标准1年1次来测评)。
新规定:三级及以上系统要通过等级测评后才可投入运行,即上线。这与前边的在设计阶段就要确定系统等级是相对应的,也就说以后企业在做顶层设计之初,就要将定级备案工作作为项目的一个关键任务来计划,否则系统未经等级测评即上线属于违规操作。
(三)科学开展安全建设整改
落实“同步规划、同步建设、同步使用”三同步要求。
依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准,按照“一个中心、三重防护”要求,应用可信计算等新技术开展安全建设和整改加固,提高内生安全、主动免疫、主动防御能力。
可将网络系统迁移上云,或将网络安全服务外包,利用云服务商和网络安全服务商提升保护能力和水平。
完善人员管理、教育培训、系统建设和运维等管理制度。
近年来我国高度重视国产化工作,商密、可信计算等安全技术已逐渐进入规划实施阶段。虽然部分安全技术在部署实施过程中仍存在困难,但是可以考虑防护目标相近的替代方案,比如零信任框架(后边会提到密码应用安全测评)、准入系统等,可以起到一定作用,这方面一直是鼓励和提倡,目前还未到强制要求的阶段。
对于中小微企业(包括安全预算有限的企业) ,组建内部专业的安全团队/机构打造独立安全防护能力的确存在难度,《指导意见》建议可从第三方面服务入手。一方面可以解决安全技术能力和经验不足问题,另一方面为云供应商和安全服务厂商提供相关需求,促进安全市场供给双侧稳步发展。同时也应注意供应链安全和服务商资质评审等问题(下文会提到)。
(四)强化安全责任落实
行业主管部门、网络运营者应依据《网络安全法》等法律法规和中央关于网络安全工作责任制要求,建立网络安全等级保护工作责任制,落实责任追究制度,做到“守土有责、守土尽责”。
网络运营者要定期组织专门力量开展网络安全自查和检测评估,行业主管部门要组织风险评估,及时发现网络安全隐患和薄弱环节并予以整改。
再次强调网络安全责任落实问题,要求企业明确网络安全组织机构、工作职责、责任人情况等,能够保证出现问题,可以追究相关责任。
重申网络运营者定期组织专门力量开展自查和评估,上级行业监管部门要组织风险评估,其实也就是企业自身要进行而风险评估自查和整改,上报给监管部门。这方面可以聘请安全服务机构来协助开展,上面已经提过相关建议。
(五)加强供应链安全管理
应加强网络关键人员的安全管理,第三级以上网络运营者应对为其提供设计、建设、运维、技术服务的机构和人员加强管理,评估风险,并采取相应的管控措施。
应加强网络运维管理,因业务需要确需通过互联网远程运维的,应进行评估论证,并采取相应的管控措施。
应采购、使用符合国家法律法规和有关标准要求的网络产品及服务,积极应用安全可信的网络产品及服务。
在等保2.0中服务供应商选择首次提出服务供应链网络安全义务,但是没有明确展开来讲,结合这次宣贯会郭局的解读,可以确定一些相关安全要求。具体如上,已经比较清晰了,不再做进一步分析。
(六)落实密码安全防护要求
应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。
第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
明确密码管理相关要求,因为现在已经有《密码法》,因此相关工作都要符合法律要求。8月20日公布的《商用密码管理条例(修订草案征求意见稿)》第三十八条要求非涉密的关键信息基础设施、网络安全等级保护第三级以上网络(含第三级)、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、 同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估(如《GM/T 0054-2018信息系统密码应用基本要求》)。
此外,在部分场景下对于商密产品、技术和服务的采购应注意相应产品、技术和服务是否经检测合格或列入密码技术指导目录,以及关键信息基础设施的运营者在采购过程中,对于可能影响国家安全的应同时考虑网络安全第三级以上网络(含第三级)应尽可能使用国产密码技术(国密算法)和设备(加密机、VPN 等)。在采购产品和技术时应先通过审查(《网络安全管理审查办法》)。
这里可以确定一点,就是并非所有安全相关采购都要走审查,而是某些情况下才要进入审查流程。比如第四级系统或CII就需要走审查程序,或者评估后采购产品或服务可能会影响国家安全的系统也要走审查程序。
密码应用安全性评估做为等保测评的一个重要环节,目前来看关基和第四级网络运营者应该是必须要做的,而普通三级及以下网络没有表示是否为强制性,可以关注后续等保测评、密评和关保相关要求。
建立并实施关键信息基础设施安全保护制度
公安机关指导监督关键信息基础设施安全保护工作。各单位、各部门应加强关键信息基础设施安全的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系建设,建立并实施关键信息基础设施安全保护制度,在落实网络安全等级保护制度基础上,强化保护措施,切实维护关键信息基础设施安全。
(一)组织认定关键信息基础设施
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定关键信息基础设施认定规则,并报公安部备案。
保护工作部门根据认定规则负责组织认定关键信息基础设施,及时将认定结果通知运营者,并报公安部。
这里确定了哪些行业属于关键信息基础设施(CII)认定的相关行业(举例,并非只是这些行业才能认定),目前认定规则还在制定中,预计不久后将会出台。被认定为CII后,除了满足等保2.0相关标准外,还要符合关键信息基础设施安全保护(关保)相关标准和指南的要求,目前在编制中的标准包括《关键信息基础设施网络安全保护基本要求》《关键信息基础设施安全检查评估指南》,预计很快也将出台并实施。被认定为CII的,会和等保一样在公安部门备案,认定结果也会对CII运营企业通报。
(二)明确关键信息基础设施安全保护工作职能分工
公安部指导监督关键信息基础设施安全保护工作、会同相关部门加强顶层设计和规划部署,健全完善关保制度体系。
保护工作部门负责本行业关保工作的组织领导,制定并实施关保总体规划和安全防护策略,落实指导监督责任。
关基运营者负责设置专门安全管理机构,组织开展关保工作,主要负责人对本单位关保工作负总责。
CII运营企业必须设立专门安全管理机构(不可以由其他部门兼职管理,但是可能允许该机构同时管理等保对象和CII,因为两者很难独立分开),明确总负责人和相关岗位人员及职责,自主开展关保工作,包括等保测评、密码应用安全评估、风险评估、关保测评等。
(三)落实关键信息基础设施重点防护措施和实战措施
关基运营者应依据等级保护标准开展安全建设并进行等级测评,发现问题和风险隐患要及时整改
依据关键信息基础设施安全保护标准,加强安全保护和保障,并进行安全检测评估
要梳理网络资产,建立资产档案,强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施
利用新技术开展网络安全保护,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全技术保护体系。
有条件的运营者应组建自己的安全服务机构,承担关键信息基础设施安全保护任务
也可通过迁移上云或购买安全服务等方式,提高网络安全专业化、集约化保障能力。
落实实战措施:
收敛互联网暴露面,加强攻击点管控
梳理网络资产,开展重点防护和加固
在关键节点架设监测设备,发现未知威胁
布设第二代密罐、沙箱,诱捕网络攻击
网络架构合理分区分域,加强纵深防御
建立威胁情报共享机制,加强主动防御
开展实战演习,提升攻防对抗能力
这里提到了很多新的安全防护技术,说说以前做的不太好的几个问题。
一是资产梳理,企业可能存在影子IT、未被统计的IT资产,增加企业暴露面,而且还是在IT部门不知情的情况下,这是很严重的问题。宣贯会上明确强调企业自身要梳理资产,强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施。
二是,开始提倡AI和大数据分析等新技术的应用,未来场景下以传统人工方式来处理网络响应或是安全问题都是不太可能的,因此自动化流程和分析必不可少。从SOAR到RPA、SOC,利用AI和高级分析处理日常工作已成为趋势,作为CII运营者应该重视这些技术的应用,能够将其转化为自身优势,但也要合理发展,不能盲目跟风。
三是,多次提到迁移上云或购买安全服务,建议企业考虑与专业机构/企业合作,弥补技术和技能缺口,可以没有自己的安全团队,但不能没有安全团队(虽然这是一种优化成本的方法,但作为CII运营者并不建议以来外包组件安全团队)。
四是,明确第二代蜜罐、沙箱技术(即主动防御、欺骗防御),有被动防御转向主动防御;至于会不会作为一项强制要求还不确定,不过就目前HW的经验来看,如果企业有能力部署,那么还是建议布设。
五是,明确加强纵深防御,以往网络的南北向防护比较成熟,但东西向隔离普遍不到位,很难实现微隔离安全(部分大厂除外),本次宣贯会要求不光是南北向,东西向也要做好,做到位。
六是,首次提到实战演习,这和我们以前等保中所提到的攻防演练不太一样,因为演练包括多种形式(汇报式、桌面演练、模拟演练等),但很多企业担心业务受影响,不敢进行实战演练。近几年HW行动效果显著,能确实发现企业存在的问题,提高企业安全防护能力,可能也是出于这种考虑,开始提倡实战演练,预测以后可能CII运营者每年要开展一次实战攻防演练(如红蓝对抗),但是HW算不算,业务保障方面如何权衡,也许都是需要讨论的问题。
(四)加强重要数据和个人信息保护
运营者应建立并落实重要数据和个人信息安全保护制度,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。
研究新技术,架桥、加密、建模、应用,实现:数据不出门、可用不可见;不被我所有但为我所用。
个人信息和重要数据应当在境内存储,确需向境外提供的,应当遵守有关规定并进行安全评估。
开始格外重视数据安全和隐私保护问题,一方面是数据安全问题日益凸显,另一方面是受国际形势影响,国家也应注意数据出入境相关问题。目前《数安法(草案)》正在审议修改中,以后将作为主要的上位法来支撑相关配套标准和规范,其他还有《个人信息保护法》正在制定中,近期修改的《中国禁止出口限制出口技术目录》调整了数据、技术等的出口限制。
这里重要数据和个人信息是彼此独立的数据,应分别进行保护和管理。关于数据生命周期安全可以参考《DSMM 数据安全能力成熟度模型》。
新提出的要求:数据不出门(考虑到最近欧美等过对我国技术和数据管制)、可用不可见(运营者可以调用使用数据,但数据是一种透明的方式,对操作人员和一般系统接口不可见);不被我所有但为我所用(以云提供商为例,租户数据均在云平台上,数据所有者是租户,但云提供商可以使用这些数据为租户提供服务;再者,以微信为例,所有C端信息归使用者所有,微信只是利用用户数据实现某些功能,比如路况信息、公共场所人员密集情况、疫情控制调度等)。
对于个人信息和重要数据明确要求在境内存储,需要出境的应进行安全评估,符合规定后方可出境。这块主要是参考《数安法》相关规定和政策,目前还在讨论中,后续会出台明确要求,具体争议焦点问题这里不做讨论。
(五)强化核心岗位人员和产品服务的安全管理
要对专门安全管理机构的负责人和关键岗位人员进行安全审查,加强管理。
要对设计、建设、运行、维护等服务实施安全管理,采购安全可信的网络产品和服务,确保供应链安全。
当采购产品和服务可能影响国家安全的,应按照国家有关规定通过安全审查。
公安机关加强对关键信息基础设施安全服务机构的安全管理,为运营者开展安全保护工作提供支持。
最后这部分,主要是与《网络安全管理审查办法》(现已实施)相关,处产品、服务采购需要事先审查,这里再一次强调确保供应链安全。还指出要对安全管理机构和关键岗位人员进行安全审查,加强管理。主要是出于现在人员的流动性,避免主要人员过快的更换,同时确保不会将一些关键信息泄露或带到其他组织。
附:《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
- 上一篇:等保2.0安全管理中心要求解读
- 下一篇:浅谈等级保护