《網絡安全審查辦法》引發的深度思考
7月2日,網絡安全審查辦公室按照《網絡安全審查辦法》(簡稱:《辦法》) ,對“滴滴出行”實施網絡安全審查。 經查“滴滴出行”因嚴重違法違規,被責令下架。 7月5日,網絡安全審查辦公室再次發文,對”運滿滿”、“貨車幫”、“BOSS直聘”啟動網絡安全審查。 國家網信辦密集對企業進行 公開網絡安全審查,引起業界極大關注。
《辦法》是由國家互聯網信息辦公室、發展改革委、工業和信息化部等十二部門聯合發布,并 于2020年6月1日起實施 ,目的是通過網絡安全審查這一舉措,及早發現并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害,保障關鍵信息基礎設施供應鏈安全,維護國家安全。
關鍵信息基礎設施運營者作為《辦法》重點審查對象,該如何理解《辦法》?面對《辦法》近期針對企業開展網絡安全審查又有哪些應對之道?筆者對此進行了深度思考:
實際上網絡安全審查的制度不是首次提出,早在2014年我國就推出過網絡安全相關的審查制度。隨著2016年《中華人民共和國網絡安全法》(簡稱:網絡安全法)的正式施行,這才進一步明確了網絡安全審查制度化、法制化的上位制度地位。在《中華人民共和國網絡安全法》中第三十五條、第三十六條,就有明確規定:
《網絡安全法》屬于上位法律法規,所以它需要更細化的指導性文件或指導性辦法來將網絡安全審計制度落地,這也是《網絡安全審查辦法》的主要目的之一。
從內容上看,《網絡安全審查辦法》與《網絡安全法》是相輔相成的關系,兩者在部分條款上,相互呼應。對于《網絡安全審查辦法》的理解,筆者認為可以從2個明確和2個特性這四個方面來理解:
兩個明確
核心思想明確
該《辦法》共計22條,內容簡明扼要,核心思想非常明確,在第一條辦法中就指明該辦法是為了確保關鍵信息基礎設施供應鏈安全。
供應鏈安全在工業領域尤為突出,供應鏈安全問題也是我國工業企業面臨的主要風險之一。舉個能源行業的例子,2019年6月CNCERT發布的《水電行業工控網絡安全研究報告》,調查發現,水電信息系統使用了大量的第三方應用,例如ApacheStruts2、JEECMS、ApacheTomcat、Jboss、phpMyAdmin、FCKeditor等應用存在默認頁面泄漏、版本漏洞等,證明水電信息系統使用的第三方應用欠缺安全管理,可利用公開的應用信息或漏洞進行攻擊,獲取敏感數據等。另一方面,電力監控系統SCADA、電力廠站現地設備大量使用國外產品的情況普遍存在。2018年,西門子發布官方公告稱其產品存在兩個高危漏洞(CVE-2018-11453和CVE-2018-11454)。該漏洞將對基于西門子產品的工業控制系統環境造成重大風險,該類設備在我國電力行業中就有大量的使用。
這樣的例子比比皆是,在過去幾年中,供應鏈安全已經成為網絡安全戰場的不可忽視的一面,所以針對網絡安全審查的工作是非常重要的。
面向對象明確
在《辦法》中的第二條,明確指明了其所面對的對象主體,即關鍵信息基礎設施運營者。而在以往對于網絡產品的安全性要求更多的是需要網絡產品和服務提供者自己對提供的網絡產品安全性負責,而此次將責任主體明確,要求關鍵信息基礎設施的運營者對于采購的網絡產品進行安全性要求約束。采購的網絡產品,尤其是網絡安全產品,運營者更需要對其安全性進行嚴格審查,并需要網絡安全產品提供商出具相關的證明文件,證明其提供的產品具備安全性,健壯性,不存在高危安全漏洞或隱蔽后門。
如何定義國家關鍵基礎設施?在《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》中對關鍵基礎設施有明確的定義,“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的信息設施。”
涉及具體哪些行業單位需要進行網絡安全審查的申報,即電信、廣播電視、能源、金融、交通、水利、國防科技等行業領域的重要網絡和信息系統運營者在采購網絡安全產品和服務時(即與產品和服務提供方正式簽訂合同前),就需要按照《辦法》來進行審查的申報工作。
兩個特性
時間特性-符合當下網絡安全發展趨勢
當前全球正處于新一輪科技革命和產業變革的歷史交匯期,以大數據、云計算、人工智能為代表的新一代信息技術與實體經濟深度融合,工業經濟加速由數字化向網絡化、智能化拓展。2020年,我國提出新基建,這又是一個全新的領域。工業互聯網就是新基建七大領域之一,工業互聯網建設中最重要的一環就是工業網絡安全,可以說網絡安全是做好新基建的一個必不可少的前提條件。
而我國工業網絡安全的基礎是相對薄弱的,是急需改善的。2018年,國家工業信息安全發展研究中心收集研判工業控制系統、智能設備、物聯網等領域的安全漏洞共計432個,主要分布于關鍵制造、能源、水務化學化工等領域。其中,高危漏洞276個,中危漏洞151個,中高危漏洞占比高達99%。到2019年安全漏洞的總數達到了567個,同比增長11.5%,其中高危漏洞79個,中危漏洞43個,中高危漏洞占比高達98%。
綜上所述,面對日益嚴峻的網絡安全形勢,對產品和服務開展嚴格的安全審查,防堵安全漏洞和隱患,所以在現在這個階段下,施行《網絡安全審查辦法》是非常有必要的。也是符合我國當下網絡安全發展的階段性需求。
通用特性-符合我國公開、透明的原則
《辦法》在編制時,具有濃厚的中國特色,即公開性、公平性。在《辦法》中,對國內供應商、國外供應商采取一視同仁的態度,反觀國外出現多次“非歧視性”采購原則,典型的案例就是2018年華為5G事件,多政府以評估電信網絡等設備是否對國家安全造成風險為由,禁止采購華為5G設備。而在我國的《辦法》中,只要符合網絡安全基線的產品或服務,都可以在關鍵信息基礎設施中使用,這也充分體現了我國的公開、公平的原則。
總結下《網絡安全審查辦法》,簡單說就是要求關鍵信息基礎設施的運營者對企業網絡產品及服務的供應鏈安全負責,這是責任,也是挑戰。對于企業運營者來說,如何解決網絡產品及服務的供應鏈安全,如何應對采購的網絡產品安全漏洞和隱蔽通道后門等問題,這無疑是對企業運營者提出的巨大挑戰。
應對之道
自主可控,國產化替代
“網絡大國”想要成為“網絡強國”是我國社會發展和大時代下自然而然的訴求。然而,要建立網絡強國,無疑需要政策、規劃、人才、管理等各個方面的支持,特別是網絡基礎設施和自由創新能力方面。網絡安全設備和系統的國產化就成為了基本要求。但是,目前整個行業仍缺乏細顆粒度、能夠落地的、有效的國產化標準,網絡安全國產化生態圈也尚未完善,這些都大大減緩了我國實現網絡安全國產化的腳步。
在企業用戶方面,國外品牌的產品仍然占主流。從服務的角度,因為企業用戶使用國外的產品,運維人員需要長期去學習,研究如何使用國外產品,自我形成了一定的使用習慣和根深蒂固的思維,再加上國產化產品不太完善的情況,導致企業用戶不太容易接受國產化安全產品或者在接受國產化產品時存在一定顧慮,所以國產化替代仍然有很長的路要走。
做好采購前的產品網絡安全健壯性篩查工作
加強采購前網絡產品的安全健壯性篩查工作是比較能夠落地的應對之道。通過安全漏洞檢查工具對網絡產品進行相關入網前的安全健壯性檢測,建立健全網絡設備安全檢測、市場準入認證體系,輔助《網絡安全審查辦法》落地,為形成網絡安全審查體系提供強有力的技術保障。目前安全健壯性檢查認證以及漏洞檢查工具在當下已有相對成熟的基礎:
◇ 技術方面,已有較為成熟的漏洞掃描技術和漏洞挖掘技術等漏洞檢測技術;
漏洞挖掘技術:通過模糊測試(Fuzz Testing)的方法,構造一系列無規則的“壞”數據“插入”工業控制設備,觀察其運行狀態,以發現潛在的bug。如果此Bug可被重復利用并能導致控制設備的宕機、拒絕服務等異常現象,則推斷這是一個漏洞,也就是我們常常聞之色變的0-Day漏洞。
漏洞掃描是漏洞挖掘“最親密的好兄弟”,它負責把已經公開的漏洞通過已知確定的方法展現出來。
◇ 認證方面,目前也已有了不錯的積累,以工業領域為例,目前工業控制領域最具權威的安全認證是ISASecure 認證,該認證由ISCI (The ISA Security Compliance Institute)開發,是基于 IEC62443 標準的合規認證,其中包括:
EDSA(Embedded Device Security Assurance Certification)認證:側重設備級別的安全性保障,認證對象是獨立的工控設備,比如PLC等。
SSA(System Security Assurance Certification)認證:側重系統級別的安全性保障,認證對象是工控系統,比如DCS、SCADA、SIS等。
SDLA(Security Development Lifecycle Assurance Certification)認證:側重安全開發生命周期的安全保障,認證對象是研發團隊。
EDSA認證是第一個 ISASecure 認證項目,提供一套通用的業界公認的嵌入設備安全性及過程規范,從設備開發、生產、采購等各階段保障嵌入式設備安全。2018年10月發布EDSA 3.0版本,當前已經廣泛開展起來,目前有大約34款產品獲得EDSA的認證。這些設備廠商主要是:Honeywell、Schneider、Yokogawa、TOSHIBA、RTP、Hitachi、HIMA、ABB、Azbil 、Beijing Consen。
從這兩種應對之道目前的情況看,加強采購前的產品網絡安全健壯性篩查工作更適用于當下時代的發展。
網絡設備、安全設備入網前的準入技術保障體系建設,也是威努特一直努力的方向,威努特工控漏洞挖掘平臺VHunter IVM目前已在國家工業信息安全發展研究中心、工業控制系統信息安全技術國家工程實驗室、國家互聯網應急響應中心、國網電科院、南網電科院、山西電科院、上海電科院、上海信息安全測評中心、山東省電子質檢院、華中科技大學、某兵器研究院、湖南質檢院等多家監管單位及科研部門得到廣泛應用,被工信部評為2018年“電信和互聯網行業網絡安全試點示范項目”,VHunter IVM已逐漸成為中國工控設備安全檢測認證的標準化測試工具。
