北信源以“一大核心、四大支撑和六大能力” 落实《关键信息基础设施安全保护条例》

2021 年 9 月 1 日,《关键信息基础设施安全保护条例》正式施行, 这标志着我国网络安全法律法规建设和安全保障工作进入到了一个新阶段。《条例》颁布一年以来, 各相关部门和有关机构积极推进关键信息基础设施安全保护工作, 并取得显著成效。但值得注意的是, 当前我国关键信息基础设施面临的安全形势依然严峻, 网络攻击威胁事件频发。持续做好关键信息基础设施安全保护、不断推动条例落地实施意义重大。

关键信息基础设施关乎国计民生

关键信息基础设施是经济社会运行的核心枢纽, 承载核心系统, 提供核心服务。当前, 关键信息基础设施正是网络黑客、APT 组织、勒索病毒的重点攻击目标。所以保护关键信息基础设施, 就是保卫国计民生, 就是捍卫网络国防。

关基挑战: 场景复杂性与网络威胁持续存在

站在需求的角度, 关基运营者从技术方面, 主要面临三方面挑战:

一、场景更加复杂。在全面数字化转型的背景下, 新技术领域和关键信息基础设施正在融合耦合, 网络资产、工作场景大量增加, 安全风险与日俱增。

二、威胁持续演进。网络攻击愈演愈烈, 造成的影响越来越大。2015 年乌克兰断电事件和 2019 年委内瑞拉断电事件攻击者仍未溯源。2021 年 5 月, 美国东海岸科洛尼尔管道运输公司遭受勒索软件攻击, 严重影响 17 个州和首都华盛顿特区的燃油供应。

三、安全需求日益提高。在保证数据安全的同时, 还需要增加业务系统的弹性韧性, 实现关键信息基础设施高可用、抗毁伤, 在受到攻击时依然能够提供基本的服务。

另外, 关基运营者也面临更严格的法规遵从。从 2017 年的《网络安全法》, 到 2021 年的《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》都是必须遵从的法律法规要求。这是安全防护的基线, 也是底线。

应对方式: 一大核心、四大支撑和六大能力

为应对关键信息基础设施的各种挑战, 中国信息安全领军企业北信源将"三化六防"实战理念融入关保建设当中来, 以风险为核心构建"关保"风险治理体系。通过平台大数据技术服务及四大体系来全面赋能业务安全, 从而支撑各行业部门关键信息基础设施的分析识别、安全防护、检测评估、监测预警、技术对抗及事件处置的全环节建设, 最终形成六大完全能力。

一大核心: 以"风险"为核心

北信源认为, 关键信息基础设施的防护要以"风险"为核心, 这是指所有的安全举措 (风险评估和治理等) 都要围绕"风险"这个核心定量指标进行。"风险"通过分解成为"责任-资产-脆弱性-威胁"四个步骤, 将相关的人、物和事串联在一起, 将安全措施贯彻在完整的体系中, 再通过风险值的改变反映出来。风险的评估和治理以"风险治理平台"为依托。

四大支撑: 人员服务体系、技术产品体系、安全运维体系、应急响应体系

人员服务体系, 指关保涉及的所有的"人"的集合。人员服务体系不仅包括所有的安全技术人员和业务的责任人的信息, 还包括人员组织形式、规章制度, 所有人员的培训、演练和工作记录等。

技术产品体系, 指关保涉及的所有"物"的集合。技术产品体系不仅包括等保 2.0 要求的"一个中心, 三重防护"所涉及的安全产品, 还涉及所有业务相关"信息资产"的供应链安全评估和管理工具等。

安全运维体系, 指关保脆弱性驱动的所有"事"的集合。安全运维体系包括安全体系建设、运行维护相关的支撑手段。

应急响应体系, 指关保威胁驱动的所有的"事"的集合。应急响应体系包括应急响应指挥、处置、对抗、沟通协调和演练相关的支撑手段。

六大能力: 围绕风险治理形成的六大安全能力

六大能力, 是由以风险治理为目标, 在长期的安全建设、运维和应急响应过程中, 由人和物形成的综合针对关键信息基础设施的安全能力。包括: 分析识别能力、检测评估能力、技术防护能力、监测预警能力、应急处置能力和技术对抗能力。

北信源"关保"风险治理体系满足新时代需求

北信源风险治理体系能够全面覆盖网络空间安全的各个层面, 以定量数值方式评估风险和改进程度, 并通过有效性评估形成闭环管理, 承担网络空间安全全面持续性改进。该体系也充分满足了新时代、新形势下风险治理的需求, 由以下几点特性就可窥见一斑:

【规范性】体系建设依据是经过科学论证和实践检验的国家的信息安全标准和规范, 具有科学性和权威性。

【目的性】体系建设有明确的目标导向。在当前发展阶段, 以数据安全作为重要的网络空间安全目标。随着安全技术和形式的发展, 能够调整目标以适应环境。

【开放性】体系建设具有开放性特点, 不仅不限定指定的技术、设备和厂商, 而且鼓励兼容多种技术、设备和厂商形成良性竞争, 促进体系进步。

【客观性】体系的量化评分依据以技术指标为主, 具有客观性, 减低了主观打分的影响, 这样才具备不同主体和同一主体改进前后的数量对比的基础。

【实时性】体系的量化评分能实时反映当前安全状态。当前网络安全事件突发性很强, 体系必须具备实时性, 即发现问题后立即改进问题的能力。

【主动性】体系的量化评分能够驱动责任主体单位主动、持续进行安全防护能力的提升并且对责任主体的改进进行定量评估

北信源"关保"风险治理体系相较于态势感知平台的区别 (优势):

一、将关键业务责任作为"根"

北信源以具体问题具体分析的方式, 运用关基思维分析, 抓住关键信息基础设施的特点, 认清关基安全本质, 把业务作为安全风险的"根", 以保护关键业务为目的, 对业务涉及的一个或多个网络和信息系统进行体系化安全设计, 从而解决了关基安全的根本问题, 在此基础上构建整体安全保障体系。

二、"被动"转"主动", 化解"常态化"问题

在北信源"关保"风险治理体系下, 首先树立核心业务和业务负责人, 再将相关资产归拢在核心业务下面。这样责任跟随资产, 自然的归属在业务负责人和团队, 也能够解决业务和安全的冲突问题; 而所有的改进都把降低风险量为改进的方向和尺度, 这样也解决了非安全技术人员无法对安全改进定量掌控的问题。

三、以风险管理为导向的动态防护

根据关基面临的威胁态势进行持续监测和安全控制措施的动态调整, 形成动态的安全防护机制, 及时有效的防范应对安全风险。

关键信息基础设施是国家网络安全战略的核心, 作为国家规划布局内的重点软件企业、国家关键信息基础设施安全保护核心承担单位之一, 北信源受邀入驻国家等级保护 2.0 与可信计算 3.0 攻关示范基地。未来, 北信源将持续面向重要信息系统运营者提供更加优质的安全服务, 全面落实关键信息基础设施安全保护工作, 实现网络安全各类事件和风险的多层级、多维度处理, 不断探索、持续创新, 为加强国家网络安全保障体系和能力建设作出更大贡献。