網絡安全 | 安全合規踐行者之路

01  安全事件頻發，為網絡防護敲響警鐘

近期，美國最大的成品油管道運營商Colonial

Pipeline 受到勒索軟件攻擊的網絡安全事件成為焦點，黑客通過非法軟件控制其電腦系統和數據，使得Colonial

Pipeline被迫關閉其位于美國東部沿海各州供油的關鍵燃油網絡，該事件的發生導致美國宣布進入國家緊急狀態，并迅速引起美國政府以及各界的高度關注。路透社報道稱“美國政府全力幫助受到黑客攻擊的燃油管道運營商Colonial恢復”，作為有報告的最具破壞性的數字勒索事件之一，促使美國立法者要求加強對美國關鍵能源基礎設施的保護，以防止遭受黑客攻擊。這是典型的針對關鍵信息基礎設施進行攻擊的網絡安全事件，產生的影響不言而喻，也為我們國家監管部門及關鍵信息基礎設施運營單位的網絡安全保護工作敲響了警鐘。

02  等級保護是防御風險的必要手段

2017年6月1日，《網絡安全法》正式施行，標示著我國將網絡安全提升至國家戰略新高度，相關要求也具備法律效力。其中第二十一條中規定“國家實行網絡安全等級保護制度”、第三十一條規定“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”對于網絡運營者來說，開展等級保護工作不再是一項可有可無的工作，而是成為網絡安全工作中必須履行的安全保護義務。當下網絡攻擊事件愈演愈烈，從謀取個人利益的攻擊行為轉變到國與國之間的較量，網絡空間逐步變為新的戰場，一旦網絡空間中承載著金融、能源、交通、水利、醫療衛生等關系國計民生的信息通信基礎設施受到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生和公共利益。所以關鍵信息基礎設施運營者，有義務識別網絡中潛在的安全風險，并不斷提高網絡安全防護能力、識別高危風險能力、監測預警能力、應急處置能力及備份恢復能力，即使發生重大安全事件也能采取妥當應對措施。關鍵信息基礎設施行業與領域作為國家關鍵業務的重中之重，其運營者更應責無旁貸擔負起本行業與領域關鍵信息基礎設施網絡安全的保護責任，無論從法律中的要求，還是經驗來講，等級保護無疑是防御風險的一項必要手段。

03  安全形勢日益嚴峻，“等保2.0”體系應運而生

網絡安全等級保護制度是國家網絡安全保障工作的基本制度，其不是新事物，是計算機信息系統安全等級保護制度的升級版。1994年，《中華人民共和國計算機信息系統安全保護條例》明確規定“計算機信息系統實行安全等級保護”。2003年-2007年期間，國家連續出臺了多項開展信息安全等級保護工作的指導性文件與要求。2008年到2012年之間，若干國家等級保護安全標準陸續出臺，推動了安全等級保護制度的建設，即我們網絡安全工作過程中所稱之

“等保1.0”體系。簡單來說，“等保1.0“體系以信息系統為對象，確立了五級安全保護等級，并從信息系統安全等級保護的定級方法、基本要求、實施過程、測評工作等方面入手，形成了一套相對完整的、有明確標準的，且涵蓋了制度與技術要求的等級保護規范體系。然而，隨著網絡安全形勢日益嚴峻，“等保1.0”體系逐漸難以持續應對不容樂觀的網絡安全新時代，于是“等保2.0”體系應運而生。

2017年，《網絡安全法》首次提出“網絡安全等級保護制度”的概念，并明確相關具體要求。2018年，《網絡安全等級保護條例（征求意見稿）》（以下簡稱“《等級保護條例》”）提出“國家實行網絡安全等級保護制度，對網絡實施分等級保護、分等級監管”，并闡述了相關工作原則、網絡等級、技術要求等內容。《等級保護條例》更新了由《信息安全等級保護管理辦法》建立的信息安全等級保護制度，標志著國家對信息安全技術與網絡安全保護邁入2.0時代。隨后，2019年，若干國家標準陸續出臺，推動了安全等級保護制度的建設。可以說，2017年以來，以《網絡安全法》生效為標志，圍繞《等級保護條例》為核心的一系列法律法規及國家標準，共同組成并開啟了“等保2.0”體系。

04  構建安全防護架構，強化網絡防御體系

開展網絡安全等級保護工作是保護我們信息化發展、維護網絡安全的根本保障，是網絡安全保障工作中國家意志的體現。根據網絡安全保護對象在國家安全、經濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網絡安全保護對象分為五個安全保護等級。在此過程中我們根據保護對象所對應的安全保護等級，依照法律、行政法規的規定和國家標準的強制性要求，通過安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心五個方面基本技術措施和安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理五個方面基本管理措施的有效落地與實施，進一步建成“一中心、三防護”的基礎網絡安全防護架構，為我們的網絡與業務系統提供立體、縱深的安全保障防御體系，同時強化了我們日常網絡安全工作的安全管理體系與運維體系，實現了管理制度的標準化、規范化和流程化及安全事件的全程全周期管理，可切實保護網絡與信息系統安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。

05  關鍵信息基礎設施保護是重中之重

2014年2月27日，中央網絡安全和信息化領導小組召開第一次會議，正式提出“關鍵信息基礎設施”這個概念，習近平總書記指示，“要抓緊制定互聯網信息內容管理、國家關鍵信息基礎設施保護等方面的專項法規，解決工作急需”，隨后下發的文件中提到，建設網絡強國，要有良好的信息基礎設施；形成實力雄厚的信息經濟，要完善關鍵信息基礎設施保護等法律法規等。

關鍵信息基礎設施關系國家重大利益、人民生命財產安全和社會生產生活秩序，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網絡設施、信息系統和數據資源。關鍵信息基礎設施是網絡安全等級保護的重點，網絡安全等級保護制度涵蓋關鍵信息基礎設施保護。目前國家關鍵信息基礎設施已納入網絡安全等級保護制度進行管理，在網絡安全等級保護相關要求的基礎上，提出更高的要求。目前關鍵信息基礎設施保護標準體系，如：關鍵信息基礎設施保護條例，關鍵信息基礎設施安全保護要求、關鍵信息基礎設施安全控制要求、關鍵信息基礎設施安全控制評估方法等正在起草制定中。

06  國內關基保護中存在的問題

當前我國高度重視對關鍵信息基礎設施的保護，但作為從業者我們發現國內關鍵信息基礎設施的保護仍存在亟需解決的問題，面臨嚴峻的挑戰，具體為：

（1）保護范圍劃分不明晰

為了保護關鍵信息基礎設施，我國在2016年出臺了《網絡安全法》。不過其中只說明了關鍵保護范圍，卻沒有清晰劃分公共服務、重要行業的具體范圍以及判定標準。此外，指導文件大多為知識方向上的禁止與指導，缺少明確的要求，有必要不斷完善和落實細則措施。

（2）元件多需進口，創新能力仍待提升

對于國家的網絡安全保護工作來說，穩定的設備物資供應鏈意義重大。當前我國網絡安全所用基礎設施和產品大多依賴進口，不少信息系統的服務商也是使用國外技術標準的外企。我國在核心元件的控制能力以及技術創新水平上還需迎頭趕上。以長足發展的角度來看，唯有不斷提高我國產品的自主開發能力、創新能力，才能夠掌握主動權，減少外界威脅，規避安全隱患。

（3）缺乏完善的評估機制與恢復系統

當前業界缺少統一的評估安全問題標準以及脆弱性的評估機制，且遇到問題后難以及時恢復安全。重點工作環節的缺失，將帶來安全風險與隱患，難以有效保障評估制度的落實和制定。

（4）風險監測預警能力較弱

各個機構的配合力和協調能力相對薄弱，有關部門與行業機構對于關鍵信息基礎設施保護能力有待加強。在網絡快速發展的今天，網絡惡意攻擊和入侵事件已不是偶然和個例，由此可見建立預警系統、應急體系十分重要。雖然我國目前高度重視關鍵信息基礎設施保護，但仍欠缺應對大型攻擊的能力，預警監測系統還需進一步完善。

07  新形勢下提升關基保護能力是當務之急

關鍵信息基礎設施行業與領域在新形勢下要重點關注整體防御、主動防御，加強行業與領域的綜合保障能力，提升關鍵信息基礎設施應對安全風險的能力。強化關鍵信息基礎設施保護力度，運營者應落實以下要求:

一是關注行業與領域的關鍵業務鏈安全，依據相關標準，對關鍵信息基礎設施的檢測評估應先梳理行業的關鍵業務。如數據業務是移動運營商的關鍵業務之一，主要為手機上網用戶提供2G/3G/4G/5G的上網業務，從數據產生到傳輸再到接收的完整業務鏈中可能會涉及到的所有系統及設備間的級聯風險，如數據業務會涉及本地分組域、全國分組域、國際分組域系統，以及計費系統等。關基運營者應根據其業務特點，分析業務鏈中涉及的系統或設備自身存在的安全隱患會造成何種影響，同時分析關鍵節點及邊界安全防護存在的不足，可能波及的影響范圍和程度，如計費系統自身存在風險是否會波及到分組域系統的正常運營，一旦發生安全事件是否會對國家安全、社會穩定和民眾利益造成影響。通過對業務鏈的梳理和各個環節安全隱患的分析評估，綜合研判關鍵信息基礎設施面臨的風險影響范圍和程度。

二是提升關鍵信息基礎設施的安全保障能力，通過對關鍵信息基礎設施安全防護、識別高風險、監控預警、應急處置、災備和恢復等能力的評估，提升關鍵信息基礎設施的整體安全保障能力，具體要求包括如下幾點：

提升安全防護能力。安全防護能力主要體現在安全設施保障層面、技術層面和管理層面。一是在安全設施保障層面需加強如防攻擊、防病毒、防入侵等安全設備的準確投入。二是技術層面上需健全關鍵信息基礎設施的身份鑒別機制，遵守安全配置規范，、合理配置設施安全策略，強化系統或補丁升級的及時性。三是在管理層面應建立和執行安全管理制度，提升人才培養和人才鼓勵制度的完善性，改善人員的安全技能和安全教育效果，保障信息化和網絡安全的發展的均衡性。通過安全設施、技術、管理等各層面的保障來提升行業的整體保護能力。

提升高風險識別能力。由于關鍵信息基礎設施行業與領域承載著國家金融、能源、交通、水利、醫療衛生等關系國計民生的關鍵信息通信基礎設施，直接威脅到國家安全、社會穩定和民眾利益，所以基于合規性的檢測方法基礎上，關鍵信息基礎設施同時應以行業關鍵業務為基礎，重點識別可導致數據泄露或篡改、系統被控、跨域/跨行業/跨單位的攻擊等能對關鍵業務造成嚴重影響的風險隱患。

提升監控預警能力。建立全面檢測、快速響應機制，提升獲取情報、精準預警的能力。建立態勢感知中心，對監控設備的安全性進行評估，評估監測預警設備在數據采集、傳輸、分析和銷毀的周期過程中是否存在信息泄露的風險；對通信行業關鍵信息基礎設施運行狀態、網絡流量、人員操作、物理環境等方面的監控策略及策略運行效果進行評估，識別監測預警過程中潛在的安全風險。

提升應急處置聯動能力。應急響應需支持關鍵信息基礎設施企業級、行業級、國家級應急響應的公共聯動，建立應急聯動體系、應急處置的同時盡量減少對關鍵業務運行產生影響，整治應急組成員調度、軟硬件設施調度、技術支撐力、以及其他應急處置的薄弱環節量，提升行業級、國家級應急聯動能力。

提升災備和恢復能力。制定災備計劃和建設恢復程序、備份和冗余，并對人員災備恢復應急技能、恢復演練效果等方面進行檢查評估，分析災備冗余能力滿足關鍵業務需求的程度，以及重要系統和數據庫備份策略的合理性，提升企業在規定的恢復時間（RTO）和恢復點（RPO）范圍內災難恢復能力。

08  貫徹安全保護制度，構建安全防控體系

為深入貫徹黨中央有關文件精神和《網絡安全法》，實現網絡安全等級保護制度和關鍵信息基礎設施安全保護制度在重點行業、部門的全面落實，我認為關基運營者應做到以下幾點：

一是需進一步深入貫徹實施國家網絡安全等級保護制度，深化網絡定級備案工作。工作過程中需全面梳理包括云計算、物聯網、新型互聯網、大數據、智能制造等新技術應用情況，科學確定安全保護等級，并定期開展網絡安全等級測評，依據測評結果科學開展安全建設整改。尤其在網絡建設和運營過程中需同步規劃、同步建設、同步使用網絡安全保護措施。強化安全責任落實。按照“誰主管誰負責、誰運營誰負責”的原則，厘清我們網絡安全保護邊界，建立網絡安全等級保護工作責任制。加強供應鏈安全管理。加強網絡關鍵人員的安全管理，采購、使用符合國家法律法規和有關標準規范要求的網絡產品及服務。

二是實施關鍵信息基礎設施安全保護制度。尤其針對國家公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的關鍵信息基礎設施需進一步明確認定規則和組織認定，并對符合的相關對象納入關鍵信息基礎設施保護。在此過程中針對關鍵信息基礎設施運營者需開展安全建設和安全評估，梳理網絡資產，建立資產檔案，強化核心崗位人員管理、整體防護、監測預警、應急處置、數據保護等重點保護措施，積極利用新技術開展網絡安全保護。同時建立網絡安全立體化監測體系，實現關鍵信息基礎設施、重要網絡的實時監測。健全完善網絡安全考核評價制度，將網絡安全工作納入考核評價體系。

三是關鍵信息基礎設施關系著國計民生，一旦遭受攻擊，破壞力將通過關聯的行業、領域逐漸傳遞，可造成不可預期的后果。因此作為關鍵信息基礎設施運營者需針對當前網絡安全態勢及面臨的威脅挑戰，要深入貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度，安全保護對象實現新技術、新應用安全保護對象和安全保護領域的全覆蓋；安全防護策略突出技術思維和立體防范，注重全方位主動防御、動態防御、整體防護和精準防護；安全防護能力以問題導向、實戰引領、體系化作戰，全力提升網絡對抗能力。