文│中国电子技术标准化研究院 上官晓丽 王惠莅
2021 年 9 月 1 日,《关键信息基础设施安全保护条例》(以下简称“《条例》”)正式实施。《条例》明确了关键信息基础设施的范围、职责分工以及保障关键信息基础设施安全的技术和管理要求,推动了我国关键信息基础设施安全保障体系的建设。同时,《条例》也明确要求国家制定和完善关键信息基础设施安全标准,指导、规范关键信息基础设施安全保护工作。
自 2015 年起,全国信息安全标准化技术委员会(TC260)组织研究关键信息基础设施安全标准体系,推动研制《信息安全技术 关键信息基础设施安全保护要求》等 8 项重点急需标准,为各行业各领域关键信息基础设施的识别认定、安全防护能力建设、安全检查评估和应急体系建设等工作提供有效技术输入,为保障关键信息基础设施全生命周期安全提供标准化支撑。
一、关键信息基础设施安全国家标准制定情况
依据《网络安全法》和《条例》,关键信息基础设施安全保护工作应在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施安全保护需要在完善各类基础性安全工作的基础上开展重点防护。我国已经发布的和在研的网络安全国家标准,包括网络安全等级保护标准、工业控制安全标准、密码标准、数据安全标准等均可用于支撑关键信息基础设施的安全保护工作。各行业可在国家标准基础上,根据行业需求制定相应行业标准。
目前,我国尚未正式发布关键信息基础设施安全国家标准,在研国家标准共 8 项,如表 1 所示。围绕核心标准《信息安全技术 关键信息基础设施安全保护要求》,涵盖了总体要求、识别认定、安全防护、检测评估、监测预警和事件处置等方面,主要用于指导运营者、网络安全服务机构等相关单位共同构建关键信息基础设施安全保障体系。
表 1 关键信息基础设施安全国家标准研制情况
在研 8 项国家标准主要内容如下。
《信息安全技术 关键信息基础设施安全保护要求》规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。该标准目前已经报批待发布。
《信息安全技术 关键信息基础设施安全控制措施》规定了关键信息基础设施运营者为满足识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面安全要求应采取的控制措施。该标准是《信息安全技术 关键信息基础设施安全保护要求》的配套标准,目前为送审稿阶段。
《信息安全技术 关键信息基础设施边界确定指南》提出了识别关键信息基础设施边界的方法,适用于关键信息基础设施运营者、关键信息基础设施保护部门和网络安全服务机构识别关键信息基础设施边界,作为明确保护对象,确定保护范围的工作指导。该标准可用于指导《信息安全技术 关键信息基础设施安全保护要求》中的识别分析方面的工作,目前为征求意见稿阶段。
《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》规定了关键信息基础设施信息技术产品供应方和需求方的供应链安全要求,适用于关键信息基础设施、政务信息系统加强信息技术产品供应链安全,也可为其他信息系统保障供应链安全提供参考。该标准可用于指导《信息安全技术 关键信息基础设施安全保护要求》中的安全防护方面的工作,目前为报批稿阶段。
《信息安全技术 关键信息基础设施安全检查评估指南》给出了关键信息基础设施安全检查工作的方法、流程和内容,适用于各级网信部门和关键信息基础设施保护工作部门开展关键信息基础设施安全检查。该标准可用于指导《信息安全技术 关键信息基础设施安全保护要求》中检测评估方面的工作,目前为报批稿阶段。
《信息安全技术 关键信息基础设施安全保障指标体系》给出了关键信息基础设施安全保障指标体系、指标释义和测量方法,适用于关键信息基础设施保护工作部门开展关键信息基础设施安全保障评价工作。该标准提出的安全保障指标涵盖了《信息安全技术 关键信息基础设施安全保护要求》中的相关要求,目前为报批稿阶段。
《信息安全技术 关键信息基础设施安全防护能力评价方法》描述了关键信息基础设施安全防护能力评价模型,提出了能力评价方法,适用于关键信息基础设施运营者对关键信息基础设施安全防护能力进行评价,也可适用于网络安全服务机构对关键信息基础设施安全防护能力进行评价,并可供关键信息基础设施保护工作部门和关键信息基础设施安全保护的其他参与者参考。该标准以《信息安全技术 关键信息基础设施安全保护要求》为基础提出安全防护能力等级及评价方法,目前为送审稿阶段。
《信息安全技术 关键信息基础设施网络安全应急框架》给出了关键信息基础设施网络安全应急体系框架,包括角色、职责以及应急要素等,适用于指导运营者建设关键信息基础设施网络安全应急体系。该标准可用于指导《信息安全技术 关键信息基础设施安全保护要求》中的事件处置方面的工作,目前为征求意见稿阶段。
二、关键信息基础设施安全国家标准研究情况
在组织制定国家标准的同时,信安标委组织成员单位对关键信息基础设施的特点、信息共享、服务机构管理等多方面进行了研究探索,为后续国家标准的研制奠定了坚实理论基础。目前,已开展的关键信息基础设施安全国家标准研究项目共 6 项,见表 2。
表 2 关键信息基础设施安全国家标准研究项目情况
在研 6 项国家标准研究项目主要内容如下。
《国家关键信息基础设施信息共享规范》研究关键信息基础设施运营者在关键信息基础设施保护工作中面临的信息共享原则、信息共享模式、信息共享机制、信息共享参与方、信息共享内容、信息共享格式等问题,促进关键信息基础设施网络安全信息共享标准化、规范化。该研究项目成果已作为技术输入纳入在研国家标准项目《信息安全技术 网络安全信息共享指南》。
《关键信息基础设施服务机构通用安全要求》针对关键信息基础设施服务组织,提出服务组织提供关键信息基础服务的安全要求,为关键信息基础设施服务需求方、第三方评价机构和监管部门的服务采购与管理及评价工作提供依据。该研究项目成果已作为技术输入纳入在研国家标准项目《信息安全技术 网络安全服务能力要求》。
《关键基础设施网络安全等级保护技术框架》研究了关键信息基础设施安全等级保护的技术框架,指导关键信息基础设施运营者选择网络安全控制措施,评价网络安全保护状况。
《关键信息基础设施安全控制评估方法》研究评估关键信息基础设施安全控制的原则、原理、实施流程,提出了对于关键信息基础设施中 5 类安全控制族的具体评估方法,以及关键信息基础设施安全控制的综合评估方法。
《关键信息基础设施漏洞管理体系指南》研究关键基础设施漏洞管理体系,包括漏洞消控管理、脆弱性资产管理、人员管理等,评估漏洞带来的风险,实现漏洞安全风险有效管控。
《关键信息基础设施网络安全保护框架》针对我国关键信息基础设施面临的主要网络安全风险,研究我国关键信息基础设施网络安全框架模型和要素。该研究项目的成果已作为技术输入纳入在研国家标准项目《信息安全技术 关键信息基础设施安全保护要求》。
三、关键信息基础设施安全国家标准化下一步工作考虑
当今国际格局复杂多变,针对关键信息基础设施的高级可持续威胁、数据窃取、网络勒索等安全事件频发,强化关键信息基础设施安全保护是维护国家网络安全、网络空间主权和国家安全的必然要求。网络安全标准是《网络安全法》《条例》等落地实施的重要抓手,为运营者开展关键信息基础设施的安全保护工作提供规范和引领,为筑牢关键信息基础设施安全屏障提供方法和手段,为维护国家网络安全提供支撑和保障。
建议关键信息基础设施安全的标准化工作,应从以下三个方面不断加强。
一是持续完善关键信息基础设施安全标准体系,加强标准化的顶层设计。关键信息基础设施安全国家标准体系是由关键信息基础设施领域具有内在联系的标准组成的科学有机整体,是一幅现有、应有和计划制定的关键信息基础设施安全国家标准蓝图。随着关键信息基础设施安全保护工作的开展和网络安全技术的更新迭代,应当持续完善关键信息基础设施安全国家标准体系,为国家关键信息基础设施安全保护工作提供有力标准支撑。
二是紧密结合国家关键信息基础设施安全保护工作,推进重点亟需标准的研制。落实《网络安全法》和《条例》要求,基于风险管理思想,聚焦关键信息基础设施安全保护工作重点难点领域,综合评估面临的安全风险,根据风险动态调整安全防护手段,在有效衔接等级保护相关制度和标准基础上,以识别认定、监测预警、态势感知、信息共享、应急管理等为关键点推动急需标准的研制,为运营者有效开展自身安全能力建设、提高安全防护水平提供全方位、系统化、层次化的标准化指导。
三是聚焦标准应用,加大标准试点和推广宣贯力度。《信息安全技术 关键信息基础设施安全保护要求》等多项关键信息基础设施安全标准在研制过程选取了金融、能源、电信、交通等重要行业和领域开展标准试点工作,以试促改,以试促用。目前,《信息安全技术 关键信息基础设施安全保护要求》国家标准发布在即,拟在标准试用的基础上,通过标准发布会、标准宣贯会、标准推广应用等方式,多层次、多维度强化关键信息基础设施安全标准的实施落地和宣贯培训,提高标准在行业的普及落地和应用,支撑各行业各领域关键信息基础设施安全保障工作。
(本文刊登于《中国信息安全》杂志2022年第9期)