◎国防科技大学信息通信学院 郑理
关键信息基础设施网络安全应贯彻辩证唯物的网络安全观,文章从管理对象、管理措施、融合与配合等方面论述抓好关键信息基础设施网络安全工作的思考。
为抓好关键信息基础设施的网络安全,应贯彻辩证唯物的网络安全观。一要认识关键信息基础设施保护的重点管理对象是什么,有什么特点;二要分析管理对象矛盾的特殊性,采取针对性措施;三要用联系的眼光,将网络安全要求与业务稳定运行有机融合、网络安全的各方力量协调配合起来,最大限度维护关键信息基础设施网络安全。
“人”简单的理解就是关键信息基础设施从业人员,“物”即关键信息基础设施。中华人民共和国国家标准《信息安全技术 关键信息基础设施安全控制措施(征求意见稿)》(下文简称“国标”)对从业人员的解释不局限于网络安全岗位上的专业人员,还包括行业内部与关键信息基础设施运营相关的人员,如管理人员、操作人员、使用人员、服务人员等。这样的扩充不无道理,因为关键信息基础设施或因承载业务的连续性、承载数据的机密性、承载系统的完整性而存在,因此无论是业务的运维人员、数据的管理人员,还是系统的操作人员都与关键信息基础设施的网络安全紧密相关,理应纳入管理对象中,开展安全教育,提高安全意识。国家网信办发布的《关键信息基础设施安全保护条例(征求意见稿)》(下文简称“条例”)提出关键信息基础设施安全保护要社会各方积极参与,鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护“体系”。前面讲的是关键信息基础设施行业内的人员,这里所谓的体系不仅包括内部人员,还应包括关键信息基础设施行业外的人员:网络产品和服务提供者、科研机构、网络安全服务机构、行业组织等。只有站在这样的角度全面理解“人”才能确保安全管理的制度设计不缺项、不漏项,没有空档,因为“人”是关键信息基础设施保护的主体力量,但同时具有思想的复杂性、行为的难以预见性,是管理的重点和难点。要落实好网络安全要求,首先就要落实好对人的管理要求。
“物”是支撑关键业务运行、承载重要涉密信息的物理实体,由网络设施和信息系统及存储于其中的数据所构成。因为其支撑关键业务运行,所以一旦损毁将影响相应领域的工作开展及业务运转;因为其承载重要涉密信息,所以一旦被窃取或泄露将影响关键信息基础设施行业的安全稳定乃至国家安全。物的特点是脆弱性和易失性,其漏洞容易被人所利用和攻击,其存储的信息容易被获取或篡改,是网络威胁的攻击对象,是网络安全的重点管理对象。
安全管理要把握管理对象发展变化的关键环节和重点阶段,关注不同类型管理对象的个性与共性,因地制宜,采取针对性措施。对于关键信息基础设施从业人员,要把握好入职、筛选、调动、离职四个环节。在入职时要进行安全背景审查,开展入职培训;筛选时要结合人员的实际情况合理分配权限,并签订保密协议、岗位责任协议,实行网络安全关键岗位专业技术人员执证上岗制度;调动时要修改人员原有的访问权限以符合新的岗位要求;离职时要对人员工作中分配的信息系统访问权限进行收回,并进行离职面谈,明确离职后的保密义务。对于行业外的人员或称第三方人员(网络产品和服务提供者、科研机构、网络安全服务机构、行业组织,以及合同商、信息系统开发商、维护人员)主要是以共同协商或订立协议的方式建立安全要求,采取针对性管理措施。如对于网络产品和服务供应商,首先要进行安全评估,评估其保密资质、服务水平和管理情况,做到保密有资质、服务有水平、管理运转透明,其次要优选能对下级的供应商负责,能对外包服务的开发商和开发人员负责的供应商。对于存在信息共享关系的科研机构、行业组织,主要是签订好保密协议,避免共享信息的泄露和二次扩散。对于关键信息基础设施的外部维护人员,要进行授权管理,在授权的情况下才可对关键信息基础设施进行维护,未授权的人员要实施有人监督的陪同维护。从共性方面来讲,无论是关键信息基础设施从业人员,还是第三方人员,都要开展网络安全意识教育与安全技能培训,既要全员覆盖又要区分层次。
对于“物”而言,主要抓好信息系统建设、改造、使用、废弃和重要数据收集、存储、使用、传输、披露这几个重要阶段的管理,落实相关制度。在信息系统的建设阶段,建设前分析安全需求、定义安全要求、设计安全体系、验收安全效果,建好后重点是依照对关键业务的支撑度识别重要数据和重要系统,建立资产(系统和数据的总和)清单、保留基线(最低)配置,分析系统的脆性和可能面临的网络威胁,实施漏洞管理,开展风险分析,制定针对性防范措施。在改造阶段,要更新资产(含组件)清单,重新评估网络安全风险,根据新的安全风险升级安全设施,实施变更管理,并确保在升级转化的过程中业务的平稳过渡、安全设施的连续运行。在信息系统使用阶段,重点开展网络安全定级,落实等级保护要求,部署网络安全策略,实施分区分域管理,及重要系统和数据的容灾备份。在系统废弃阶段,要保护废弃的设施中存储信息的安全,消除涉密敏感信息,并保留处置记录。在重要数据的管理阶段中,重点是落实个人信息保护制度,个人信息和重要数据的境内存储,及出境安全评估制度,防止重要涉密信息的泄露、篡改、损毁和丢失。
“融合”,即将网络安全融入到关键信息基础设施的业务中,将网络安全机制细化于关键信息基础设施的具体实现中。在融合的过程中要把握关键信息基础设施的业务运行是主体、中心,网络安全管理围绕业务的稳定持续运行而展开,并纳入其中同步运行,包括同步规划、同步建设、同步使用。对于这一点,在“国标”中得到了印证,它明确提出:“确保漏洞补丁经过测试后才可使用;确保漏洞管理过程不影响业务连续性”、“确保安全人员规模不能少于信息化人员的20%”、“在发生安全事件时,确保应急响应计划的实施能够维持信息系统的基本业务功能,并能最终完全恢复信息系统且不减弱原来的安全措施”,这三点分别体现了网络安全与关键信息基础设施业务在风险管理、人力资源建设和应急处置中的融合,即“将网络安全连续性纳入业务连续性管理之中 ”。
“配合”是指关键信息基础设施安全保护的内部力量与外部力量相适、合作。内部力量是关键信息基础设施行业的网络安全组织,是关键信息基础设施保护的主体力量,外部力量有如行业外的网络产品和服务提供者、科研机构、网络安全服务机构、应急响应机构、信息通报机构以及其它社会力量。众所周知,关键信息基础设施保护不是一家单位、一个部门的事,它需要将内部力量与外部力量联系起来,实现协调配合、优势互补,整体作用大于局部作用之和的效果。具体体现:在信息共享活动中,内部安全组织要与外部的应急响应、信息通报和研究机构共享网络威胁信息,交流威胁处置经验,共同研判网络威胁态势和应对措施;在网络安全应急演练中,要邀请网络安全服务机构参加,磨合协调一致的默契,必要时与之建立直接的合作关系,获得第一时间的协助;在事件处置中,要充分发挥产品和服务供应商熟知设备原理、通晓设备脆性的优势,在保护好商业秘密、维护好企业利益的前提下,积极获取帮助与支持,共享有关信息,等等。上述所讲的各类外部组织是关键信息基础设施网络安全的重要合作伙伴,发挥着政府部门、关键信息基础设施运营部门不可替代的作用,是“条例”所讲的“关键信息基础设施保护体系”的重要参与方,从本质上体现了信息时代网络安全工作的多参与方特点,必须予以高度重视,而不能将这些组织放在外围、摆尾的地位上。在这个问题上,生产资料高度私有化的美国,在20世纪90年代开展关键基础设施保护的时候就高度重视政府与企业的合作,即所谓的“政企合作”或“公私合作”(Public-Private Partnership)保护模式。有人认为这是由美国的关键基础设施大部分归私企所有而决定的,但是网络空间的威胁不因关键基础设施或关键信息基础设施归谁所有而存在,它具有传播的快速性、影响的分布性及源头的隐蔽性,相应决定了预警信息如不迅速发布将导致更多的受损方、网络威胁分析如不采用综合集成的方法将难以判明攻击方的意图、情报信息如不高效流通将难以对威胁溯源。要解决这些问题就需要政府与政府之间、企业与企业之间,以及政府与企业之间,就网络威胁情报、设备设施脆性、攻击预防措施以及预警信息研判等开展沟通合作与信息共享。只有这样才能应对瞬息万变的网络空间威胁。因此,网络安全保护力量之间的合作是一个与社会性质无关的话题,它是信息时代网络安全工作多参与方特点的本质要求,即关键信息基础设施的网络安全需要多方配合、发挥合力才能管好。
美国高度重视关键信息基础设施网络安全的“政企合作”