随着各行业数字化高速发展,网络空间威胁日趋上升,特别是金融□□□、能源□□□、电力□□□□、通信等重要领域,面临着较大的网络安全风险隐患。为此,国务院出台条例,旨在保护关键信息基础设施免受攻击□□□、侵入或破坏,将危害关键信息基础设施安全的行为提高到法律层面,要求关键信息基础设施运营者承担起相应的法律责任。基于《关键信息基础设施安全保护条例》,应提出✅一种安全体系构建方法,充分分析法律等规范要求,从风险管理维度□□□、安全技防维度□□□□、应急响应维度□□、安全教育维度构建“四维”的全面安全体系。
当前国际地缘安全形势下,通过网络攻击窃取情报□□□、破坏核心信息系统,甚至瘫痪交通□□、能源□□、金融等关键行业运行的网络战日益普遍。近年来,我国关键信息基础设施发展迅速,但同时我国也成为全球遭受网络安全威胁最严重的国家之一。关键信息基础设施承载着包括但不限于金融□□□、能源□□□、通信等关键核心业务,一旦遭到破坏将产生严重的不良后果,对民生□□、社会稳定甚至国家安全造成不利影响。互联网带来的便利性促使大量企业全力投入到数字化转型建设中,但是网络安全能力建设并没有同步进行,从而埋下了各类隐患,较为突出的问题聚焦在以下几个方面:
一是缺乏信息系统脆弱性风险管理,单纯从业务功能正常运行的角度去运维一个系统而不考虑网络安全,会导致资产组件清单缺失□□□□、非必要的服务暴露□□、使用带有漏洞的基础软件版本以及为便于维护而暴露非必要敏感信息,严重影响信息系统整体健壮性。二是缺乏成熟的安全技防能力,虽然具备了基础的安全设施,但基本是孤岛型各自为战,没有形成整体的网络威胁态势感知能力且缺乏定期的安全能力验证,无法应对高烈度攻防。三是缺乏实战训练,应急响应预案和机制还停留在“纸上谈兵”阶段,在遭受真实网络攻击时,无法组织各单位有效采取遏制措施,特别是与合作单位无法有效协作配合开展应急处置。四是缺乏全面的安全教育,仅覆盖IT技术人员,导致业务人员的安✅全意识薄弱,极易遭受社会工程学等攻击成为突破口。
以习同志为核心的党中央高度重视关键信息基础设施安全保护工作,在中央网络安全和信息化领导小组第一次会议上,习指出:“要抓紧制定立法规划,完善互联网信息内容管理□□□、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益。”2021年9月1日,《关键信息基础设施安全保护条例》正式施行,将我国关键信息基础设施安全保护工作提升到了法律层面,迈上了新台阶。关键信息基础设施运营者如何落实好主体责任,遵守《关键信息基础设施安全保护条例》的法治要求,成为当下亟待解决的关键问题。
《关键信息基础设施安全保护条例》以网络安全法为依据,把党中央□□□□、国务院关于关键信息基础设㊣施安全保护一系列重大要求□□□、决策部署和多年来的最佳实践经验,转化为法律条文保障,将关键信息基础设施安全保护的细化制度措施㊣与现行法律□□□、行政法规有机衔接。
一是明确法律责任。如果关键信息基础设施运营者未能履行安全保护主体责任,将面临责令改正□□□、罚款□□□□、暂停业务甚至追究刑事责任等处罚。二是明确关键信息基础设施的具体范围和认定程序,将在遭受可用性□□□□、数据窃取等破坏攻击后,可能严重危害国家安全□□□□、社会稳定运行□□□、公共利益的重要信息系统等列为关键信息基础设施。三是明确关键信息基础设施运营者的主体责任,列示了关键信息基础设施运营者的义务及职责,覆盖资源投入□□□□、设立专用安全机构□□、开展风险评估□□□、重大事件报告机制以及产品和服务的采购等方面的要求。四是明确了一系列保障和促进措施,对建立情报共享机制□□□□、常态化监测预警□□、安全事件应急处置等要求。
中国电子技术标准化研究院组织于2022年发布了《信息安全技术 关键信息基础设施安全保护要求》(GB/T39204-2022)国家标准,并于2023年5月1日正式实施。该标准根据网络安全法和《关键信息基础设施安全保护条例》的要求制定,旨在为关键信息基础设施运营者提供一套可操作的安全保护要求。标准提出了整体防控□□、动态防护以及协同联防的关键信息基础设施安全保护3项基本原则。从分析识别□□□、安全防护□□、检测评估□□□□、监测预警□□□□、主动防御□□□□、事件处置等6个方面提出了111条安全要求,为关键信息基础设施保护工作提供了强有力的标准✅保障。
《关键信息基础设施安全保护条例》和《信息安全技术关键信息基础设施安全保护要求》的陆续出台,对关键信息基础设施运营者提出了挑战,各运营者应当从管理□□□□、技术两个角度关注对应法律和标准的贯彻和落实。在管理方面,出于既有的网络安全要求,关键信息基础设施运营者都会任命首席信息安全官负责整体安全战略和决策并设立专门的网络安全保护部门,应组织该部门根据法律和标准的要求修订□□□、优化以及完善现有网络安全政策□□□、程序以及标准,同步增添相应的网络安全责任,明确各界✅别□□、各部门的安全职责。
相较于管理,技术上的挑战更为复杂和严峻,首先要厘清内部安全技防体系的现状,对照法律和标准中的技术内容开展差距分析。其次将差距分析结果作为输入,建设一套既符合法律标准要求,又适合运营者内部实际情况的安全防护体系。最后将该体系落地并通过实战不断检验和优化。如何构建有效和完备的安全防护体系是贯彻落实《关键信息基础设施安全保护条例》和《信息安全技术关键信息基础设施安全保护要求》的重要长期任务。
基于《关键信息基础设施安全保护条例》与《信息㊣安全技术关键信息基础设施安全保护要求》,关键信息基础设施运营者应构建全面的安全体系,否则一旦关键信息基础设施遭受外部攻击并产生较大影响,关键信息基础设施运营者将承担相应的法律责任。本文提出由风险管理维度□□□□、安全技防维度□□、应急响应维度□□□、安全教育维度组成的“四维”安全体系,从人员□□□、管理□□□、技术等方面提升关键信息基础设施的整体安全性。
通过有效的风险管理,可以提前消除各类安全隐患,减少攻击面,提高攻击门槛。风险管理维度对应了《信息安全技术关键信息基础设施安全保护要求》中的“分析识别”。发起网络攻击的第一步都是寻找边界的突破口,暴露在互联网中存在漏洞的信息系统□□□、在互联网公共平台泄露的源码和凭证□□□、安全能力较差的供应链企业都是外部攻击者的首选目标。分析识别出边界上的薄弱点并做针对性加固,方能筑起高墙将攻击者阻挡在外。风险管理的具体举措㊣如下:
一是梳理资产,特别是互联网资产;排查互联网域名解析情况,确保域名指向正确的系统;移除不必要和已失效的链接。检查前端页面源代码,避免留㊣存或备注可被利用的配置□□、开发者或者内网信息等。将在互联网中暴露的有效信息降至最少,攻击者就无法得到足够的有效信息来支撑其具体的攻击行动,对目标了解得越少,就需要付✅出更长的时间□□□、更大的代价进行攻击尝试。
二是收敛暴露面,严格禁止将管理和监控功能的页面或接口暴露给互联网和外部合作方,包括但不限于FTP□□□□、SSH□□□□、Telnet□□□□、RDP以及Web中间件控制台页面□□□、应用系统的后台管理和监控页面等;严格确保对外服务的Web目录中仅保留服务必需的文件,确保未遗留应用备份□□□、版本管理等敏感文件。一些高危端口□□□、服务或后台管理页面具备强大的功能,其中不乏远程控制□□□□、命令执行□□□□、重要配置修改等,为IT运维人员带来了极大的便利性。但是从安全角度出发,一旦攻击者通过互联网获取相关权限,所带来的危害也是灾难性的。因此,严格收敛攻击面就相当于把弱点都保护起来,让攻击者无机可乘。
三是加固攻击面,做好关键信息基础设施的基础软件□□□、应用软件的安全版本升级□□□□、补丁更新以及配置加固。对发现的高危及以上漏洞予以全部修复或采取规避措施。版本更新迭代会不断产生漏洞,因业务需㊣要暴露在互联网中的低版本存在已知漏洞的基础软件□□□□、应用软件极易遭受攻击。周期性对攻击面开展加固,及时修复漏洞能够解决软件脆弱性风险,防范外部的漏洞利用攻击。
四是清查历史隐患,对各资产的入侵痕迹开展排查和清除,避免因早期系统入侵或渗透测试所留存后门或黑客工具被二次攻击利用,清扫留存的木马□□□□、Webshell□□□□、挖矿程序□□□□、黑客工具等恶意程序,确保资产中不存在非预期的账号□□□□、自启动项□□□、进程和网络连接。由于早期不规范的网络安全评估工作,可能在渗透测试等实施过程中遗留后门等恶意程序,定期地排摸和清除这类“定时炸弹”能提升信息系统的整体健㊣壮性。
五是防止敏感信息泄露,定期检查是否有将内部IP□□□、源码□□、账号密码□□□、邮箱地址□□□□、通讯录□□□、运行管理数据以及其他重要数据上传到代码托管平台□□、IT技术交流平台□□□□、文档分享平台□□、云笔记等互联网公共渠道的情况,并及时清除信息,完成外泄信息影响评估和防范,避免泄漏的信息被外部攻击者利用。攻击者通过收集泄露的敏感信息,能够发起更具针对性的攻击。例如,对泄露的源码开展代码审计,更易于挖掘出未知的漏洞;使用泄露的账号密码发起密码喷洒□□□□、暴露等攻击,能够提高成功率。因此,管控各类敏感信息的泄露将提高攻击门槛,不给攻击者可乘之机。
六是关注供应链管理,要求供应链企业对关键信息基础设施运营者相关的合作数据进行定期排查清理并加强自身安全防护,确保不私自留存各类敏感信息,避免因供应链遭受攻击而导致关键信息基础设施运营者重要数据泄露。由于部分行业的安全防护能力相对较高,攻击者会将目标转移到安全能力水平较低的供应链企业上,通过迂回攻击供应链企业达到获取敏感数据□□□、向关键信息基础设施运营者通过供应链通道投毒等目的。通过定期对供应链企业开展安全专项审查,提高其安全防护水平,防止因供应链失陷导致的网络安全风险。
通过部署安全设施□□□、建设纵深防御□□、配备安全运营以及开展定期外部测评等,能够有效抵御大部分外部攻击。安全技防维度对应了《信息安全技术 关键信㊣息基础设施安全保护要求》中的“安全防护”“检测评估”“监测预警”“主动防御”。攻防是一个动态变㊣化的过程,在开展风险管理的基础上,还需要具备对外部攻击的检测能力。通过检测最新的攻击方法□□、模式,优化调整安全技防设施,才能保证持续的安全,具体举措如下:
一是落实国家网络安全等级保护制度,国家网络安全等级保护制度在网络安全法及《关键信息基础设施安全保护条例》中均有明确要求,目前我国最新发布版本为网络安全等级保护2.0,自2019年12月1日开始实施。国家网络安全等级保护制度对于企业的安全能力提出了最基本的要求,并明确了信息系统安全保护的五个等级。根据不同等级的信息系统,实施相应的安全防护措施,保障信息系统的安全稳定运行。落实等级保护制度,有助于建立统一□□□□、规范的安全技㊣防体系。
二是部署纵深防御安全设施,包括但不限于防火墙□□、邮件安全网关□□、入侵检测系统□□□、WAF□□、特权账号管理系统等,这些网络安全设施共同构成了一个多层次□□、互补的纵深防御体系,能够提高关键信息基础设施运营者抵御网络攻击的能力;定期开展安全设施有效性检查,确保所有安全设备特征库持续更新□□□□、防护策略起效。极端情况下,即使零日漏洞攻击能够逃避大部分安全设施的检测,但是只要有异常行为触发了纵深防御体系中某个安全设施中的告警,就能警示安全技术人员关注相关攻击和异常。
三是定期开展内外部检测评估,评估内容包括但不限于国家网络安全等级保护测评□□□□、漏洞扫描□□、渗透测试以及安全能力验证等。对于评估发现的问题,根据危害程度制定整改计划,并定期检查整改计划的落实情况。业务和数字化的动态发展,导致往期开展的检测评估结果不再适用,制定周期性的检测评估计划有助于掌握最新的问题或可优化项,使得安全能力跟上业务发展,做到动态匹配。
四是构建信息共享及多源威胁情报机制,关键信息基础设施运营者可与监管单位□□、同业单位等建立信息共享机制,及时共享网络安全方面的信息。融合多源威胁情报,实现快速的漏洞预警,提前预防各类威胁活动。攻击者运用人工智能□□、深度学习等技术挖掘漏洞已成为未来的趋势,势必会导致零日漏洞的发生率指数级增长。针对零日漏洞,除了基于行为的安全检测技术,通过信息共享第一时间获取漏洞情报也是比较有效的防范方式之一。将漏洞情报中的特征□□□□、IOC等纳入安全技防检测体系,辅以实时拦截,能将零日攻击的窗口缩小到最短。
五是持续开展网络安全态势感知,2016年4月19日,习在网络安全和信息化工作座谈会上发表讲话,提出“全天候全方位感知网络安全态势”要求。通过建立专门化的安全运营中心,配备标准化的运营流程和指标,实现7*24全天候的安全运营和全面的态势感知能力。建设态势感知平台,及时更新关键信息基础设施运营者内㊣部网络架构□□、资产清单□□□□、日志源以及监测规则等,确保重要日志源均采集和有㊣效;监测规则已覆盖各类攻击场景并优化,以减少误报和漏报。在日常安全运营过程中综合运用态势感知平台中的各类资源,基于告警日志□□、行为基线和业务特性,制定不同场景的安全用例组成的态势感知能力,能够有效减少人工成本,将安全运营能力逐步转入自动化和智㊣能化。
通过制定应急预案□□、定期开展应急演练等,方能在安全事件真实发生时,做到有序处置□□□、沉着应对,将事件的损失控制到最小。应急响应维度对应了《信息安全技术关键信息基础设施安全保护要求》中的“事件处置”。纵使开展了完备的风险管理工作□□、配备了完整的安全技防设施,仍然无法保证零安全事件。因此,需要假㊣定安全事件发生时,如何快速遏制并消除安全事件带来的各类影响,具体举措如下:
一是开展安全事件的分类分级,包括但不限于网络攻击□□□、邮件攻击□□、恶意程序□□、社会工程学等。根据不同的事件类型,梳理相关风险和事件处置所需的有关部门人员□□□□、资源等。这样做的好处是㊣一旦发生安全事件,在判定类型和㊣等级后,能够按照既有的响应规则配备最恰当的人力物力资源,既保证响应质量,又不产生非必要的投入。
二是根据不同安全事件制定对应的应急预案,预案中要明确对上级监管单位的报告通道□□、内部应急响应工作组及通讯录□□、应急响应详细步骤。通过提供标准化的流程,提高事件应对的效率和效果,从而减少安全事件带来的风险和损失。对于关键信息基础设施运营者,应急预案更是有助于在突发的安全事件中维持社会秩序稳定以及核心服务的连续性。
三是向所有合作单位严申安全责任,明确要求全体合作单位的服务人员要遵守安全管理要求,并在发生紧急情况时及时配合开展应急处置等工作。只有提前打通第三方合作单㊣位的协作渠道,才能在安全事件发生时做到联合响应基础设施保密技防。例如,遭遇合作单位系统发起的攻击时是否能紧急切断□□□□、发生安全事件时的通报机制等都应在合作协议及合同中提前商议和明确。
四是定期基于应急预案开展应急演练,检验应急预案的有效性,发现预案的遗漏和不足㊣从而进行优化改进。同时,应急演练还能让✅相关人员提前熟悉应急响应各项流程和承担的职责,减少在安全事件实际发生时的混乱,提高应急响应整体应对效率。单一的“纸面演练”只能证明应急预案的可行性和可操作性,通过定期“练兵”,方能使领导□□、应急人员熟悉整体的应急程序和在其中承担的重要作用半导体。高效率的应急响应可以有效缩短攻击者的活动时间,及时止损避免产生更加严重的影响。
五是在应急响应结束后对安全事件发生的原因进行溯源追踪和原因分析,找出现有风险管理□□□、安全技防的问题和漏洞,查漏补缺,以避免类似的事件再次发生导致的损失和影响。安全事件的发生,必然是攻击者找到了安全防护体系的漏洞,应急响应的㊣核心不仅是消除单次事件的风险,更重要的是要保证同类型的事件在往后不会再次发生。此外,还应该从发生的安全事件中举一反三,以攻促防,不断完善和提升安全能力。
从外部攻击者角度,如果从正面无法突破关键信息基础设施运营者的防护边界,就会从员工入手,通过诱骗等手段获取员工所掌握的设施权限(例如集权系统□□□□、运维服务器甚至办公终端等)并实施进一步攻击,我们通常把这种攻击方式称为“社会工程学”。如果只关注外部威胁,忽略内部人员的安全意识教育,将会功亏一篑。有效提升关键信息基础设㊣施运营者员工的信息安全意识举措如下:
一是加强关键信息基础设施运营者辖内员工的安全意识宣贯,学会甄别各类社会工程学攻击(如邮件钓鱼□□、微信钓鱼□□□□、电话钓鱼□□□、客服钓鱼□□、Wifi钓鱼□□□□、U盘钓鱼),对联系人需要仔细核实身份和工作事项,避免因员工安全意识不到位而导致的工作信息泄露和外部入侵。类似于电信诈骗,社会工程学往往利用人性的弱点,以IT基础知识薄弱的业务人员为目标,从而达到植入木马□□□、获取账密凭据等目的,进而突破边界。
二是做好各类终端和移动存储管理,禁止未经授权使用关键信息基础设施运营者内部的业务□□、办公□□□□、测试终端㊣和其他特殊设备,严格禁止使用来源不明的移动存储。近源攻击指的是攻击者仿冒合作单位人员进入目标办公区域,通过物理接触等㊣方式,直接接触目标系统或网络,进行攻击的一种方式。由于该攻击能够更轻松地绕过传统网络安全措施,关键信息基础设施运营者应加强物理安全,严格控制各类接入权限,防范近源攻击。
三是对机构□□、员工□□□□、外协□□、内部系统使用的各类账号开展排查,确保未使用弱密码□□□□、未明文存储和传输密码等情况。据统计,有超过80%的攻击行为都利用了被盗密码或弱密码。通过技术手段限制配置弱密码□□□□、限制明文密码存储和传输,能够有效抵御对应的攻击行为,以减少账密类安全事件的发生。
四是保持安全教育的方法多样□□□、寓教于乐和持之以恒。采用安全意识动画□□、海报□□□、屏保□□□、电子刊物等形式把枯燥的知识有趣化□□、把无聊的说教幽默化。业务工作的繁忙导致业务人员对传统安全教育的知识转化率很低,但业务人员又是遭受社会工程学攻击的首选目标。通过丰富的形式加强业务人员的安全意识,能够减少社会工程学安全事件的发生率。
五是经常性开展社会工程学演练攻击,通过发送钓鱼邮件等以实战化的方式检验员工的安全意识。针对演练中招人员,要重复㊣进行安全意识教育,并列入下次社会工程学演练名单中。切身体验并直面社会工程学攻击,方能留下深刻的印象,在遭受真正攻击时才能保持警惕。
由于网络空间威胁的动态变化和攻击手段的持续升级,关键信息基础设施保护也是一个长期的过程,它将伴随着技术的迭代□□、社会对安全和可靠性需求的不断提升。这一过程需要法律□□□、标准□□、技术和管理等多方面的协同进步。在未来,关键信息基础设施保护技术的展望将是多元化的。
随着人工智能□□、量子计算等新技术的应用,关键信息基础设施保护将更加依赖于先进的技术手段。比如量子计算的发展正不断推进量子密码学的应用,为关键信息基础设施的数据安全□□□□、传输安全提供更高级别的保护;基于人工智能的态势感知和情报分析,能够提前发现潜在的安全威胁,从而采取主动防御措施。
由于近年来关键信息基础设施运营者均具有了一定的安全防护能力,正面突破的难度和成本越来越高,外部攻击者通过先攻下供应链再进行迂回攻击已成为新兴攻击手段之一。因此,未来做好供应链安全防护也十分重要,关键信息基础设施运营者应全面梳理供应链清单,做好日常的风险管理,包括安全评估□□、审计等。此外,预计未来将会有更多针对供应链安全的法律法规和标准出台,指导关键信息基础设施运营者如何有效做好供应链安全防护。
在网络空间安全领域,各运营者也将会进一步扩大协同和信息共享范围,形成行业级甚至国家级的安全协同能力。推进成熟的合作机制□□□、信息共享平台的落地,有助于关键信息基础设施运营者建立合纵连横的防御措施,提高对新型攻击的响应速度。
2023年2月21日,习在中央政治局第三次集体学习时强调:“要打好科技仪器设备□□、操作系统和基础软件国产化攻㊣坚战。”通过自主研发,未来关键信息基础设施相关的软硬件领域将实现全面自主可控,有效规避外部技术的制裁和风险。
在当前国际形势下,针对关键信息基础设施发起网络攻击将成为国家信息战最常用的手段之一。关键信息基础设施运营者应严格遵守《关键信息基础设施安全保护条例》和《信息安全技术关键信息基础设施安全保护要求》中的各项要求,切实履行法律责任和社会义务,建设全面完备的安全体系,坚决维护网络空间安全和国家安全。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。