《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)構建了以關鍵信息基礎設施運營者(以下簡稱“運營者”)為主體的綜合治理體系,并將網絡安全檢測和風險評估作為一項重要責任義務。落實好網絡安全檢測評估工作,是保護好關鍵信息基礎設施的關鍵環節。
一、關鍵信息基礎設施檢測評估概述
(一)充分認識檢測評估的工作職責
檢測評估工作是運營者開展關鍵信息基礎設施安全保護的一項法定職責。《條例》第十五條規定,運營者設置的專門安全管理機構應當履行“組織推動網絡安全防護能力建設,開展網絡安全監測、檢測和風險評估”的工作職責。運營者必須按照《條例》第十七條的相關要求,開展檢測評估工作。一是工作頻度方面的要求,運營者每年應至少進行一次網絡安全檢測和風險評估;二是工作形式方面的要求,有能力的運營者可以自行開展檢測評估,能力不足的運營者可以委托專業的第三方網絡安全服務機構開展檢測評估;三是結果使用方面的要求,一方面,要及時整改發現的安全問題,另一方面,要按保護工作部門的要求報送檢測評估、安全整改等方面的情況,便于主管監管部門及時掌握風險現狀。
(二)準確理解檢測評估的重要作用
1. 從標準體系理解檢測評估工作
當前,關鍵信息基礎設施的安全標準體系的基本框架已經初步建立,對運營者應履行的具體職責做出了更細致的規定。在《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》《信息安全技術關鍵信息基礎設施安全防護能力評價方法》等報批稿或公開征求意見稿的標準中,將關鍵信息基礎設施保護工作劃分為五個環節:識別認定、安全防護、檢測評估、監測預警、事件處置。從中可以看出,檢測評估工作不是孤立的,而是關鍵信息基礎設施安全標準體系中一個重要的有機組成部分。檢測評估不能代替監測預警和事件處置,然而卻可以通過定期的深入評估,使得運營者對關鍵信息基礎設施的保護制度運行情況、識別認定的科學性和準確性、安全防護措施的全面性和有效性做到及時掌握,以應對潛在風險和隱患事件。
2. 區分檢測評估與等級保護測評的關系
準確理解檢測評估的另一個重要方面,是區分檢測評估與等級保護測評的關系。首先,從工作目標上來說,等級保護測評的目標是合規,檢測評估的目標是基于合規提出更高的能力要求。等級保護測評的本質是符合性測評,運營者只要完成規定的動作和措施即可。檢測評估在滿足等級保護合規要求的基礎之上,還會提出具有關鍵信息基礎設施保護特色的合規要求,如專門安全管理機構設置、人員經費配套情況等;另外,檢測評估不僅僅停留在合規要求上,還會對運營者的技術防護提出更高要求,如檢驗防護措施的有效性、發現網絡安全隱患、分析潛在可能引起的安全事件等。
其次,從安全責任上看,等級保護測評的效果是合規,運營者需要按照等級保護工作框架,嚴格落實標準規范所要求的規定動作,盡可能避免發生安全事故。關鍵信息基礎設施作為經濟社會運行的神經中樞,其運營者肩負重大的保護責任,等級保護測評的合規理念,難以有效督促運營者發揮安全保護作用。關鍵信息基礎設施檢測評估工作則不僅僅著眼于合規,運營者在完成合規動作之外,還應在標準規范的指導下,通過檢測評估檢驗安全防護措施的有效性,全面識別脆弱性和安全威脅,分析潛在風險事件,提出整改措施。若因應發現而未發現的風險,造成了可避免而未避免的重大網絡安全事件,《條例》第四十七條對運營者或其他有關部門因失職、瀆職造成重大和特別重大網絡安全事件的責任追究保留了依據,合規動作不能成為重大責任事故的免責借口,有效地彌補了等級保護測評的不足。
二、檢測評估的主要內容
掌握科學、有效、全面的檢測評估方法對于運營者來說至關重要。當前,正在制定完善中的關鍵信息基礎設施安全標準體系提出了一套檢測評估方法,可作為《條例》施行后、標準正式發布前,運營者開展檢測評估的工作參考。
(一)建立檢測評估制度
運營者應建立健全關鍵信息基礎設施安全檢測評估制度,包括但不限于檢測評估流程、方式方法、周期、人員組織、資金保障等。
(二)合規檢查
運營者在關鍵信息基礎設施安全保護工作框架內,應滿足基本的工作要求和職責。一是評估關鍵信息基礎設施認定情況,檢查是否已將支撐關鍵業務的網絡設備和信息系統均納入了認定范圍,確保沒有存在漏報、誤報、瞞報的情況。二是評估法律法規、政策文件和標準規范梳理情況,確保運營者沒有遺漏重要的工作依據工作。三是網絡安全等級保護落實情況,確保基本的等級保護合規工作落實到位。四是個人隱私數據保護情況,評估是否按照相關法律法規開展個人信息保護。五是安全管理機構設置和人員安全管理情況,確保專門安全管理機構設置、安全背景審查、安全教育、技術培訓考核等工作落實到位。六是安全保障措施落實情況,如安全管理制度、安全建設、安全運維、日常監測、備份與恢復、應急響應與處置等工作落實情況。
(三)技術檢查
運營者在合規檢查的基礎上,應開展技術檢查。一是安全檢測。以人員現場操作為主要手段,包括信息收集、漏洞掃描、漏洞驗證、業務安全測試、社會工程學測試、無線安全測試、內網安全測試、安全域測試、入侵檢測、安全意識測試、安全整改情況復查等共 11 項內容。二是安全監測。以部署軟硬件設備的方式為主要手段,在信息嗅探行為、漏洞利用攻擊、間諜軟件、病毒蠕蟲攻擊、木馬后門攻擊、惡意郵件攻擊、應用攻擊和漏洞、惡意域名、異常流量、敏感信息泄露等共 10 個方面開展監測。
三、下一步思考
隨著技術應用的不斷發展和國內外網絡空間安全態勢的演變,需要不斷完善關鍵信息基礎設施檢測評估的重點內容,以應對關鍵信息基礎設施安全保護工作面臨的一系列新問題新挑戰。
一是將技術對抗納入關鍵信息基礎設施網絡安全保護基本要求和檢測評估的內容。技術對抗指的是在現有的關鍵信息基礎設施保護基本要求五大環節的監測預警的基礎之上,以態勢感知和追蹤溯源技術為支撐,實現對攻擊行為的自動化阻斷,對攻擊者的身份溯源。技術對抗不僅是一種保護手段,也是一種積極防御和潛在反制手段,將對攻擊者形成威懾,促使其從“不能攻”轉變為“不敢攻”從而實現更好的防御。
二是加強關鍵信息基礎設施供應鏈安全的檢測評估手段。近年來,全球分工體系深刻變化,國際貿易、地緣政治等因素持續沖擊全球供應鏈結構,新冠肺炎疫情更是加劇全球供應鏈動蕩,威脅我國關鍵信息基礎設施安全。然而,由于產業結構的復雜性、供應鏈關系的隱蔽性、風險傳導的滯后性、事件爆發的突發性等因素,供應鏈風險的感知、評估、預警能力非常不足,成為關鍵信息基礎設施安全保護的重大短板。“十四五”規劃提出,“建立重要資源和產品全球供應鏈風險預警系統”,對我國關鍵信息基礎設施安全保護工作提出了新要求。
三是加強關鍵信息基礎設施的數據安全和個人信息保護檢測評估能力。隨著大數據時代的到來,數據安全和個人信息保護在關鍵信息基礎設施安全保護中的分量越來越重。隨著《數據安全法》和《個人信息保護法》的出臺生效,關鍵信息基礎設施安全標準體系中關于數據安全和個人信息保護的工作要求已不能滿足上位法的相關要求,需要進一步補充完善。
