【編者按】

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》頒布以來(lái)，引發(fā)產(chǎn)學(xué)研各界廣泛關(guān)注,。本刊對(duì)工業(yè)控制線系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室,、網(wǎng)絡(luò)安全企業(yè),、高校,、研究院所專家進(jìn)行了系列采訪，就共同關(guān)心的問(wèn)題開(kāi)展解讀,。

本期受訪者：

長(zhǎng)亭科技資深安全咨詢專家 李凌飛

Q1:關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)與等級(jí)保護(hù)有何關(guān)聯(lián)與區(qū)別,？

從范圍上看，關(guān)?；诘缺?，又高于等保的要求；從原則上看,，關(guān)保離不開(kāi)等保,，但等保并不是萬(wàn)能的；從主要環(huán)節(jié)上看，關(guān)?；诘缺?shí)施部分工作,，同時(shí)還需要部署更多方案。

1)   范圍

來(lái)看看《關(guān)基條例》正文內(nèi)容,。首先是范圍,，主要是有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure，CII)的識(shí)別認(rèn)定,、安全防護(hù),、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警和事件處置等幾個(gè)環(huán)節(jié),。也就是說(shuō),，涉及：

·       關(guān)保認(rèn)定(包括等級(jí)保護(hù)工作在內(nèi))相關(guān)工作

·       基于等保2.0，高于等保的安全防護(hù)能力

·       年度測(cè)評(píng)和國(guó)家安全檢查工作

·       安全事件的監(jiān)測(cè)預(yù)警工作

·       應(yīng)急響應(yīng)工作(應(yīng)急團(tuán)隊(duì),、技術(shù)工具,、演練和護(hù)網(wǎng)等)

這些工作將貫穿整個(gè)CII的聲明周期：規(guī)劃設(shè)計(jì)、開(kāi)發(fā)建設(shè),、運(yùn)行維護(hù),、退役廢棄等階段。

從標(biāo)準(zhǔn)中所應(yīng)用的文件來(lái)看,，主要還是基于《GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》和《GB/T22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,，也就是說(shuō)基于等保但高于等保的要求。說(shuō)直白了,，等保三級(jí)的要求是基準(zhǔn),，必須做到，但不代表你就合格了,，此外還要符合關(guān)保中的部分額外要求,，這樣才算合格合規(guī)。

《關(guān)基條例》中對(duì)CII的定義如下：“公共通信和信息服務(wù),、能源,、交通、水利,、金融,、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,，以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全,、國(guó)計(jì)民生,、公共利益的信息設(shè)施。”可見(jiàn),，基本涵蓋所有重要行業(yè)和有關(guān)民生的系統(tǒng),。

2)  原則

等保中提出了“三同步”原則，即同步規(guī)劃,、同步建設(shè),、同步運(yùn)行。而關(guān)保所要求的保護(hù)原則是以下四點(diǎn)：

·       重點(diǎn)保護(hù)是指關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)應(yīng)首先符合網(wǎng)絡(luò)安全等級(jí)保護(hù)政策及 GB/T 22239-2019等標(biāo)準(zhǔn)相關(guān)要求,，在此基礎(chǔ)上加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)的安全保護(hù),。

·       整體防護(hù)是指基于關(guān)鍵信息基礎(chǔ)設(shè)施承載的業(yè)務(wù)，對(duì)業(yè)務(wù)所涉及的多個(gè)網(wǎng)絡(luò)和信息系統(tǒng)(含工業(yè)控制系統(tǒng))等進(jìn)行全面防護(hù),。

·       動(dòng)態(tài)風(fēng)控是指以風(fēng)險(xiǎn)管理為指導(dǎo)思想,，根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全風(fēng)險(xiǎn)對(duì)其安全控制措施進(jìn)行調(diào)整，以及時(shí)有效的防范應(yīng)對(duì)安全風(fēng)險(xiǎn),。

·       協(xié)同參與是指關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)所涉及的利益相關(guān)方,，共同參與關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)工作。

個(gè)人來(lái)看,，重點(diǎn)防護(hù)主要還是基于業(yè)務(wù)的,，而且離不開(kāi)等保2.0，這是網(wǎng)絡(luò)安全工作的基線,。關(guān)保不同于等保,，對(duì)象是CII，而非信息系統(tǒng),。這就可能存在著一個(gè)CII上承載著多個(gè)信息系統(tǒng),，安全防護(hù)的方位就要覆蓋每一個(gè)系統(tǒng)，可能會(huì)優(yōu)先保障關(guān)鍵業(yè)務(wù)系統(tǒng),，但同時(shí)也要做好其他系統(tǒng)的防護(hù)工作,，尤其是安全隔離。尤其是各系統(tǒng)之間可以互相訪問(wèn)的情況,，那就要像對(duì)于關(guān)鍵業(yè)務(wù)系統(tǒng)一樣,，對(duì)其他系統(tǒng)一視同仁，采用同樣的防護(hù)等級(jí),。

原則中對(duì)于CII還提出了動(dòng)態(tài)風(fēng)控的要求,，這里主要強(qiáng)調(diào)的是業(yè)務(wù)風(fēng)險(xiǎn)，不過(guò)我想展開(kāi)說(shuō)明的是風(fēng)險(xiǎn)評(píng)估,。風(fēng)評(píng)本身就是一個(gè)類似PDCA的循環(huán)周期，旨在不斷發(fā)現(xiàn)問(wèn)題,，修復(fù)問(wèn)題,，調(diào)整策略。我們開(kāi)展風(fēng)評(píng)不是為了應(yīng)付監(jiān)管或是為了績(jī)效走個(gè)過(guò)場(chǎng)。相關(guān)方應(yīng)根據(jù)自家業(yè)務(wù)和系統(tǒng)的特性,，制定自己的風(fēng)評(píng)檢查用例,，不要總是拿著等保那一套東西，堅(jiān)持原則,，100年不動(dòng)搖,，這在安全領(lǐng)域是不可行的。雖說(shuō)等保2.0剛剛頒布不久,，就目來(lái)看,，標(biāo)準(zhǔn)要求還可以，但不代表3年后這些用例仍然適合你的系統(tǒng),，要知道,，國(guó)家標(biāo)準(zhǔn)不會(huì)在短期內(nèi)進(jìn)行更新的，等保1.0和等保2.0之間相距了11年,。

協(xié)同參與,，有點(diǎn)類似云平臺(tái)的責(zé)任共擔(dān)原則。對(duì)于CII的安全保護(hù),，除了運(yùn)營(yíng)者(是的,，無(wú)論如何，最終責(zé)任人終歸是運(yùn)營(yíng)方)之外,，包括安全廠商,、供應(yīng)商、監(jiān)管機(jī)構(gòu)都有一定連帶責(zé)任,。以往,，企業(yè)把這套系統(tǒng)遷移到云上，買了安全服務(wù),，那么有關(guān)安全的所有問(wèn)題和責(zé)任都有云服務(wù)商和安全廠商來(lái)承擔(dān),，這種做法對(duì)于CII并不適用。能夠承建CII的企業(yè),，想必應(yīng)該都是大中型企業(yè),，我相信如果想做都是能做好的。

3)  主要環(huán)節(jié)

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行,、管理,，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全負(fù)主體責(zé)任，履行網(wǎng)絡(luò)安全保護(hù)義務(wù),，接受政府和社會(huì)監(jiān)督,，承擔(dān)社會(huì)責(zé)任。

圖源：長(zhǎng)亭科技

(1) 識(shí)別認(rèn)定：運(yùn)營(yíng)者配合保護(hù)工作部門,，按照相關(guān)規(guī)定開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別和認(rèn)定活動(dòng),，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù),，開(kāi)展業(yè)務(wù)依賴性識(shí)別、風(fēng)險(xiǎn)識(shí)別等活動(dòng),。

本環(huán)節(jié)是開(kāi)展安全防護(hù),、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警,、事件處置等環(huán)節(jié)工作的基礎(chǔ),。這一環(huán)節(jié)有點(diǎn)類似于等保定級(jí)外加風(fēng)險(xiǎn)評(píng)估工作，因?yàn)樯婕暗綐I(yè)務(wù),、資產(chǎn),、風(fēng)險(xiǎn)等的識(shí)別活動(dòng)。

(2) 安全防護(hù)：運(yùn)營(yíng)者根據(jù)已識(shí)別的安全風(fēng)險(xiǎn),，實(shí)施安全管理制度,、安全管理機(jī)構(gòu)、安全管理人員,、安全通信網(wǎng)絡(luò),、安全計(jì)算環(huán)境、安全建設(shè)管理,、安全運(yùn)維管理等方面的安全控制措施,，確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。本環(huán)節(jié)在識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)的基礎(chǔ)上制定安全防護(hù)措施,。

這塊就回到了基于等保實(shí)施防護(hù)工作,，由于目前CII相關(guān)配套標(biāo)準(zhǔn)和要求不夠完善，外加等保2.0作為國(guó)家網(wǎng)絡(luò)安全對(duì)于企業(yè)的基線要求,，在未來(lái)一段時(shí)期內(nèi),，仍會(huì)通過(guò)等保標(biāo)準(zhǔn)來(lái)開(kāi)展部分關(guān)保工作。

(3) 檢測(cè)評(píng)估：為檢驗(yàn)安全防護(hù)措施的有效性,，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患,，運(yùn)營(yíng)者制定相應(yīng)的檢測(cè)評(píng)估制度，確定檢測(cè)評(píng)估的流程及內(nèi)容等要素,，并分析潛在安全風(fēng)險(xiǎn)可能引起的安全事件,。

企業(yè)安全自查和風(fēng)險(xiǎn)評(píng)估(包括風(fēng)控在內(nèi))的工作，雖說(shuō)監(jiān)管方面要求一年至少一次,，但大家還是根據(jù)實(shí)際情況來(lái)決定,。比如今年風(fēng)評(píng)做完后，對(duì)于不可接受風(fēng)險(xiǎn)進(jìn)行了修復(fù),，沒(méi)過(guò)多久系統(tǒng)又被黑了,，這就需要再次對(duì)企業(yè)的系統(tǒng)進(jìn)行更細(xì)致的評(píng)估。

(4) 監(jiān)測(cè)預(yù)警：運(yùn)營(yíng)者制定并實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,，針對(duì)即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅,，提前或及時(shí)發(fā)出安全警示,。

安全監(jiān)控平臺(tái)或者SOC一類的平臺(tái),，畢竟目前不是每家企業(yè)都有阿里那種安全團(tuán)隊(duì)和響應(yīng)能力的,，如今的態(tài)勢(shì)感知平臺(tái)和AI還不夠成熟，所以,，還是小心為上,，嚴(yán)管權(quán)限，最小安裝,，將暴露面盡可能減小,。經(jīng)常梳理和監(jiān)控企業(yè)IT資產(chǎn)，不需要聯(lián)網(wǎng)的就不要聯(lián),，沒(méi)有業(yè)務(wù)相關(guān)的資產(chǎn)盡量邏輯隔離,，做好安全域劃分。時(shí)常開(kāi)展安全意識(shí)培訓(xùn)和技能培訓(xùn),，有獎(jiǎng)有罰,。

(5) 事件處置：對(duì)網(wǎng)絡(luò)安全事件進(jìn)行處置，并根據(jù)檢測(cè)評(píng)估,、監(jiān)測(cè)預(yù)警環(huán)節(jié)發(fā)現(xiàn)的問(wèn)題,，運(yùn)營(yíng)者制定并實(shí)施適當(dāng)?shù)膽?yīng)對(duì)措施，恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù),。

這里要求的是兩個(gè)方面,，一是對(duì)于事件的發(fā)現(xiàn)和上報(bào)流程，二是對(duì)于事件的處置和恢復(fù)生產(chǎn)能力,。結(jié)合等保2.0要求,，除了業(yè)務(wù)連續(xù)性方面的應(yīng)急預(yù)案外，還要準(zhǔn)備數(shù)據(jù)泄露方面的應(yīng)急預(yù)案,。

Q2:條例中為何指出國(guó)家要采取措施,，優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行,？

為了保障國(guó)家安全,、國(guó)計(jì)民生和公共利益安全。

《關(guān)基條例》將安全的關(guān)注的角度由“信息保密完整可用”提升到“國(guó)家安全,、國(guó)計(jì)民生和公共利益安全”,。基礎(chǔ)電信網(wǎng)絡(luò),、重要互聯(lián)網(wǎng)基礎(chǔ)設(shè)施等電信行業(yè)網(wǎng)絡(luò)設(shè)施,，本身既是關(guān)鍵信息基礎(chǔ)設(shè)施，同時(shí)又為其他行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施提供網(wǎng)絡(luò)通信和信息服務(wù),，一旦遭到網(wǎng)絡(luò)攻擊和破壞,，將會(huì)帶來(lái)危害國(guó)家安全,、國(guó)計(jì)民生和公共利益的風(fēng)險(xiǎn)發(fā)生，從這個(gè)角度考慮,，優(yōu)先保障能源,、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行。

Q3:目前已經(jīng)被列入關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)設(shè)施會(huì)不會(huì)隨著數(shù)字化進(jìn)程而動(dòng)態(tài)調(diào)整,？

支撐智慧農(nóng)業(yè),，智慧工業(yè)、智慧教育的基礎(chǔ)設(shè)施在未來(lái)可能會(huì)被納入關(guān)基,。

5G,、人工智能、物聯(lián)網(wǎng)等數(shù)據(jù)技術(shù)的發(fā)展,，必將帶來(lái)國(guó)內(nèi)各行業(yè)在信息化方面的建設(shè),，提升信息基礎(chǔ)設(shè)施在國(guó)民經(jīng)濟(jì)中的比重，進(jìn)而提升國(guó)民生產(chǎn)生活對(duì)信息化的依賴度,，數(shù)字化技術(shù)的應(yīng)用,。因此個(gè)人看來(lái)，支撐智慧農(nóng)業(yè),，智慧工業(yè),、智慧教育的基礎(chǔ)設(shè)施在未來(lái)可能會(huì)被調(diào)整為關(guān)基。

Q4：如何做到關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全,？關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定對(duì)信創(chuàng)產(chǎn)業(yè)發(fā)展有何影響,？

依據(jù)《網(wǎng)絡(luò)安全審查辦法》建立網(wǎng)絡(luò)安全審查制度，是保障關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全的基礎(chǔ)手段,。另外,，條例中的相關(guān)規(guī)定也明確表達(dá)了對(duì)信創(chuàng)產(chǎn)業(yè)的支持。

針對(duì)第一個(gè)問(wèn)題,，《網(wǎng)絡(luò)安全審查辦法》要求,， 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國(guó)家安全的,，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查,。網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備、高性能計(jì)算機(jī)和服務(wù)器,、大容量存儲(chǔ)設(shè)備,、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備,、云計(jì)算服務(wù),，以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn),，主要考慮以下因素：

a)   產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制,、遭受干擾或破壞,，以及重要數(shù)據(jù)被竊取、泄露,、毀損的風(fēng)險(xiǎn),；

b)   產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；

c)   產(chǎn)品和服務(wù)的安全性,、開(kāi)放性,、透明性,、來(lái)源的多樣性,，供應(yīng)渠道的可靠性以及因?yàn)檎巍⑼饨?、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn),；

d)   產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī),、部門規(guī)章情況,；

e)   其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國(guó)家安全的因素。

依據(jù)《網(wǎng)絡(luò)安全審查辦法》建立網(wǎng)絡(luò)安全審查制度,，是保障關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全的基礎(chǔ)手段,。

第二個(gè)問(wèn)題，《條例》明確規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者“應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”,，對(duì)信創(chuàng)產(chǎn)業(yè)也表達(dá)了明確支持,。

Q6：《條例》的頒布為網(wǎng)安企業(yè)帶來(lái)了哪些機(jī)遇與挑戰(zhàn)？

對(duì)于網(wǎng)絡(luò)安全企業(yè)而言,，《條例》的頒布是重大利好,，特別是對(duì)于一些安全技術(shù)創(chuàng)新廠商，以及網(wǎng)絡(luò)安全檢測(cè)和評(píng)估機(jī)構(gòu),。在這一輪更高規(guī)格和要求的合規(guī)升級(jí)中,，它們能夠享受到政策紅利，獲得更多機(jī)會(huì),，在推動(dòng)我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)的自主創(chuàng)新,，以及網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展方面又進(jìn)一步提供了新的動(dòng)力。

《條例》的正式發(fā)布不管是對(duì)于關(guān)基行業(yè)還是網(wǎng)絡(luò)安全等行業(yè),，其帶來(lái)的影響都是非常深遠(yuǎn)的,。對(duì)于網(wǎng)絡(luò)安全企業(yè)而言，《條例》的頒布是重大利好,。

《條例》中對(duì)關(guān)基的運(yùn)營(yíng)者要求“應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估”,。這對(duì)于安全廠商，特別是安全技術(shù)創(chuàng)新廠商,，以及網(wǎng)絡(luò)安全檢測(cè)和評(píng)估機(jī)構(gòu),，都是利好政策,，在這一輪更高規(guī)格和要求的合規(guī)升級(jí)中，享受到政策紅利和獲得更多機(jī)會(huì),，在推動(dòng)我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)的自主創(chuàng)新,，以及網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展方面又進(jìn)一步提供了新的動(dòng)力。