《关基保护要求》正式宣贯 明确“分析识别”是基础
2022年11月7日,市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》(后文简称《关基保护要求》)国家标准发布会。
《关基保护要求》是由全国信息安全标准化技术委员会提出并归口,将于2023年5月1日实施的推荐性国家标准。该标准针对关键信息基础设施(后文简称关基设施)安全保护工作,为关基设施运营者和相关方提供了详细指引和指导依据。
落地与细化
谈到“关基保护”,无法绕过此前被视为“网络安全里程碑”的《关键信息基础设施安全保护条例》,该文件是基于监管视角制定的制度条例,充分明确了关基单位与责任人的定义,并罗列了运营者的法律责任等。
《关基保护要求》则是对《网络安全法》、《关键信息基础设施安全保护条例》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等关于保护关键信息基础设施运行安全要求的落实。与之前的多份标准文件相比,《关基保护要求》在分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面提出了更为具体的保护要求。
以人员责任内容为例,《关键信息基础设施安全保护条例》规定“运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。”而在《关基保护要求》中则明确了关键岗位专人负责,且2人以上共同管理,此外还有每人每年教育培训时长不得少于30个学时等细致规定。
基础:分析识别
在本次发布的《关基保护要求》中最值得关注的是频繁被提及的“资产安全”,这是近年随着网络空间资产测绘技术成熟而被高度关注的细分领域,更是关基保护的重点核心之一。《关基保护要求》的综述部分将包含了“资产识别”的“分析识别”部分解释为:“是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础”。
在《关基保护要求》关于“资产识别”部分的条款中,不仅要求建立全量资产清单,同时也要求基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级,同时在基础设施发生改建、扩建等变化时重新进行识别工作。
可以说在《关基保护要求》里,已经非常明确地点出了需要开展资产测绘与资产安全管理,通过多维度的资产与业务梳理为后续安全防护奠定基础。
在《关基保护要求》“资产识别”部分还单独提出了通过技术手段进行资产测绘的内容:
“应采用主动或被动资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新。”
这充分体现出资产测绘在关基保护中的重要价值,也通过“要求”引导关基单位从人工进行资产统计清单的方式,转为采用更加快速全面的资产测绘技术手段,从而节约人力,更好地为下一步安全防护工作打好基础。
主动防御:攻击面收敛
如果说“分析识别”部分强调了资产测绘作为关基保护的基础价值,那么《关基保护要求》中所提出的“主动防御-攻击面收敛”则是从更高层级推动相关单位展开深入的关基安全防护工作,而资产测绘技术是该要求的主要实现方式。
这部分内容规定了关基单位应在资产暴露、防社工、技术文档存储三个方面减少暴露面,以此来降低遭到网络攻击的概率。
“应识别和减少互联网、内网资产的网络协议(IP)地址、端口、应用服务等暴露面,压缩互联网出口数量。”
面对数量庞大且跟随业务变化的海量资产,通过人工手段进行统计管理明显效率低下且容易疏漏,而现实中的网络安全攻击常常是以这些网络系统中的暴露资产作为薄弱点实施突破。因此需要通过技术手段进行全量资产测绘,进一步完成攻击面收敛,让可能作为突破口的资产、端口、应用降到最低,再有针对性的保护这些必须保留互联网出口的重要资产。
除以上两处重点提及外,在《关基保护要求》的监测预警、事件处置、检测评估等部分也同样多次提出从“资产安全”维度开展漏洞处置、攻击测试等网络安全相关工作。
关键信息基础设施的网络安全关乎国家安全、国计民生、公共利益,是当前全国网络安全工作的重中之重,在等级保护的基础上再次颁发《关键信息基础设施安全保护条例》《信息安全技术 关键信息基础设施安全保护要求》等文件,对提升关键信息基础设施安全防护的可实施性和可管理性,具有重要而紧迫的意义。《关基保护要求》将相关规定要求进一步落实到了可见可查的“资产安全”维度,为关基设施运营者和相关方提供了细化落地的法律法规与实践指导。