北信源关键信息基础设施安全保护(以下简称“关保”)风险治理框架的核心思想是所有的网络安全工作围绕1个核心即“风险”的发现和治理展开。因为“风险=业务责任 ∑ {资产x脆弱性x威胁}”,所以所谓风险治理问题,就成为如何识别关键业务相关的所有的资产并对所有的资产存在的脆弱性和面临的威胁进行动态的评估,以及在“事前、事中和事后”如何最大限度的降低风险指标。北信源认为,围绕风险治理这1个核心指标,根据关保相关要求,需要提供4大支撑体系,最终形成6大安全能力。
一、建设背景
习近平总书记4·19重要讲话精神
2016年4月19日,习近平在京主持召开网络安全和信息化工作座谈会并发表重要讲话并强调:我们要加强信息基础设施建设,强化信息资源深度整合,打通经济社会发展的信息“大动脉”,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。”从世界范围来看,各个国家网络安全立法的核心就是保护关键信息基础设施。加强关键信息基础设施安全保护,既是我国网络安全严峻形势的迫切需要,也是切实贯彻国家安全的必然要求。
全球关键信息基础设施安全形势日趋严峻
近年来,针对关键信息基础设施的攻击事件屡有发生,从2015年乌克兰电网瘫痪到2016年美国互联网瘫痪、2017年永恒之蓝勒索病毒全球爆发以及最近一次今年在美国最大燃油管道运营商遭受网络攻击,数据网络被加密,黑客勒索赎金等等,针对关基攻击强度和范围仍在不断扩大,这将是全世界各国需要共同面对的安全挑战。因此,美国、英国、俄罗斯等大国都相继出台关保相关政策法规,将关键信息基础设施安全保护视为国家网络安全的重要工作。
我国不断完善的政策法规与标准体系
在网络安全威胁无处不在的大环境下,我国不断完善网络安全相关政策法规和标准体系,包括但不仅限于《保密法》(2014年3月1日起施行)、《国家安全法》(2015年7月1日起施行)、国家网络空间安全战略(2016年12月27日发布)、《网络安全法》(2017年6月1日起施行)、网络安全等级保护2.0国标(2019年12月1日实施)、《密码法》(2020年1月1日起施行)、网络安全审查办法(2020年6月1日起实施)、《数据安全法》(2021年9月1日起施行)、网络产品安全漏洞管理规定(2021年9月1日起施行)、《个人信息保护法》(2021年11月1日起施行)以及近日出台的《关键信息基础设施安全保护条例》(2021年9月1日起施行)等。
综上所述,一系列相关政策法规相继出台,为关键信息基础设施安全保护提供了法律基础、具体要求和实施依据。《关键信息基础设施安全保护条例》的发布,为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。
关键信息基础设施安全保护框架体系面向“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业”等重要行业领域的信息安全防护场景,将“三化六防”实战理念融入关保建设当中来,结合关保四大原则,以风险为核心构建一个紧耦合风险治理平台,包括从责任主体确认到对应管辖资产,再到摸清资产脆弱性及针对资产脆弱性和网络状况进行专业威胁评估,形成一个闭环。通过平台大数据技术服务及四大体系来全面赋能业务安全,从而支撑各行业部门关键信息基础设施的分析识别、安全防护、检测评估、监测预警、技术对抗及事件处置的全环节建设,最终形成六大安全能力。
通过风险治理框架平台实施后,可以有效解决“三化”落地问题,助力行业用户构建先进的实战化、体系化、常态化安全运营管理模型
(1)关保实战化
关键信息基础设施安全保护风险治理体系建设,一切从实战出发,应用攻防思维,最直接的体现就是关基安全风险会直观数据化,与风险相关的责任主体、资产、脆弱性和威胁等相关信息机器变化一目了然,全局化数据感知尽收眼底,还可以进一步实现协调联动、应急指挥等。
同时,明确并加强数据资产的重要性,加大数据资产安全在整个责任KPI评分权重。
(2)关保体系化
关键信息基础设施安全保护风险治理框架,相当于建立了一个“责任-资产-脆弱性-威胁”的定量评估体系。通过对于各个环节的风险最小化获得整个体系安全水平的提升,将具体的安全措施量化,同时也将安全措施的实施获得的收益作体现为风险量化评分的降低,因而形成有效性的闭环评估,连续性得到保障,可验证投资投入效果。
(3)关保常态化
值得一提的是,“关保”风险治理平台能够直接将被动防御转变为主动防御状态,将业务与安全责任融为一体,采用安全KPI量化责任的方法和评比的手段,驱动责任主体主动完善和落实网络空间安全工作。安全事件暴露的是现有安全架构中对于细节(如未知的脆弱性、未知的威胁等)的失控,需要增强改善环节而非仅仅改善具体的技术措施;采购之前需要评估对于风险降低的量化指标,采购之后小评估对于风险降低的实际效果的量化指标;核查在整个体系指导下的安全进度。
