关键信息基础设施的概念在2014年2月27日召开的中央网络安全和信息化领导小组第一次会议正式提出。2017年6月1日《网络安全法》正式实施,其中第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
等保2.0是普适的标准,对诸如能源、交通、水利等行业的关键信息基础设施而言,等保是基础,但重点略显不突出。面对当前错综复杂、对抗升级的网络安全形势,关键信息基础设施的安全防护需要更聚焦、更强化的标准。
尽管“关保”当前正处于报批稿阶段,但笔者还是想就其中一些内容(对比等保2.0)做一分析,以飨读者。
关键信息基础设施在《网络安全法》中有相关定义:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。”以工业控制系统为例,定义中说明的能源、交通、水利等领域的工控系统及关联系统都属于关键信息基础设施的范畴。定义中也明确指出:关键信息基础设施的保护,关系到国计民生、公共利益,甚至国家安全。显而易见,对这些信息设施的保护予以重点强调毫不为过,也势在必行。在等保2.0中,关键信息基础设施保护也是等级保护制度的重点保护部分。
在“关保”报批稿中指出:关键信息基础设施的安全保护应遵循重点保护、整体防护、动态风控、协同参与的基本原则,建立网络安全综合防御体系。
重点保护是指关键信息基础设施网络安全保护应首先符合网络安全等级保护政策及GB/T 22239-2019等标准相关要求,在此基础上加强关键信息基础设施关键业务的安全保护。
整体防护是指基于关键信息基础设施承载的业务,对业务所涉及的多个网络和信息系统(含工业控制系统)等进行全面防护。
动态风控是指以风险管理为指导思想,根据关键信息基础设施所面临的安全风险对其安全控制措施进行调整,以及时有效的防范应对安全风险。
协同参与是指关键信息基础设施安全保护所涉及的利益相关方,共同参与关键信息基础设施的安全保护工作。
流程升级,“关保”更全面
等保2.0明确了定级→备案→建设、整改→测评→监督检查的流程。
“关保”主要包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节。“关保”的“安全防护”环节要求关键信息基础设施的运营者开展等保定级备案、安全建设、整改、测评及自查工作,在等保的基础上,加强关键信息基础设施关键业务的安全保护,“关保”的实施流程包含“等保”的同时增加更多动态风控的内容,比“等保”更加严格且全面。
技术升级,“关保”更强化
“关保”在安全防护技术方面的要求更具体,也进一步强化。以网络审计为例,“等保”要求日志留存不少于六个月,“关保”对审计日志数据留存时间要求为12个月。以监测预警为例,“关保”对监测措施做出了明确规定,强调对系统的实时安全监测、建立通信流量或事态模型,并采取自动化机制对监测信息整合分析安全态势,要求各运营者建立关键信息基础设施的网络安全态势感知平台。同时“关保”也对“预警措施做出了明确规定,突出内外部监测预警分析能力,实现自动化的报警和应对措施联动,并强调内外部预警信息的通报和传递。以入侵检测为例,对新型网络攻击行为(如APT)的入侵防范也明确提出。
管理升级,“关保”更明确