◎國(guó)防科技大學(xué)信息通信學(xué)院 鄭理
關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)貫徹辯證唯物的網(wǎng)絡(luò)安全觀,文章從管理對(duì)象、管理措施、融合與配合等方面論述抓好關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全工作的思考。
為抓好關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全,應(yīng)貫徹辯證唯物的網(wǎng)絡(luò)安全觀。一要認(rèn)識(shí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重點(diǎn)管理對(duì)象是什么,有什么特點(diǎn);二要分析管理對(duì)象矛盾的特殊性,采取針對(duì)性措施;三要用聯(lián)系的眼光,將網(wǎng)絡(luò)安全要求與業(yè)務(wù)穩(wěn)定運(yùn)行有機(jī)融合、網(wǎng)絡(luò)安全的各方力量協(xié)調(diào)配合起來(lái),最大限度維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。
“人”簡(jiǎn)單的理解就是關(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員,“物”即關(guān)鍵信息基礎(chǔ)設(shè)施。中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施(征求意見(jiàn)稿)》(下文簡(jiǎn)稱“國(guó)標(biāo)”)對(duì)從業(yè)人員的解釋不局限于網(wǎng)絡(luò)安全崗位上的專業(yè)人員,還包括行業(yè)內(nèi)部與關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)相關(guān)的人員,如管理人員、操作人員、使用人員、服務(wù)人員等。這樣的擴(kuò)充不無(wú)道理,因?yàn)殛P(guān)鍵信息基礎(chǔ)設(shè)施或因承載業(yè)務(wù)的連續(xù)性、承載數(shù)據(jù)的機(jī)密性、承載系統(tǒng)的完整性而存在,因此無(wú)論是業(yè)務(wù)的運(yùn)維人員、數(shù)據(jù)的管理人員,還是系統(tǒng)的操作人員都與關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全緊密相關(guān),理應(yīng)納入管理對(duì)象中,開(kāi)展安全教育,提高安全意識(shí)。國(guó)家網(wǎng)信辦發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》(下文簡(jiǎn)稱“條例”)提出關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要社會(huì)各方積極參與,鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)“體系”。前面講的是關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)內(nèi)的人員,這里所謂的體系不僅包括內(nèi)部人員,還應(yīng)包括關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)外的人員:網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者、科研機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、行業(yè)組織等。只有站在這樣的角度全面理解“人”才能確保安全管理的制度設(shè)計(jì)不缺項(xiàng)、不漏項(xiàng),沒(méi)有空檔,因?yàn)椤叭恕笔顷P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的主體力量,但同時(shí)具有思想的復(fù)雜性、行為的難以預(yù)見(jiàn)性,是管理的重點(diǎn)和難點(diǎn)。要落實(shí)好網(wǎng)絡(luò)安全要求,首先就要落實(shí)好對(duì)人的管理要求。
“物”是支撐關(guān)鍵業(yè)務(wù)運(yùn)行、承載重要涉密信息的物理實(shí)體,由網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)及存儲(chǔ)于其中的數(shù)據(jù)所構(gòu)成。因?yàn)槠渲侮P(guān)鍵業(yè)務(wù)運(yùn)行,所以一旦損毀將影響相應(yīng)領(lǐng)域的工作開(kāi)展及業(yè)務(wù)運(yùn)轉(zhuǎn);因?yàn)槠涑休d重要涉密信息,所以一旦被竊取或泄露將影響關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的安全穩(wěn)定乃至國(guó)家安全。物的特點(diǎn)是脆弱性和易失性,其漏洞容易被人所利用和攻擊,其存儲(chǔ)的信息容易被獲取或篡改,是網(wǎng)絡(luò)威脅的攻擊對(duì)象,是網(wǎng)絡(luò)安全的重點(diǎn)管理對(duì)象。
安全管理要把握管理對(duì)象發(fā)展變化的關(guān)鍵環(huán)節(jié)和重點(diǎn)階段,關(guān)注不同類型管理對(duì)象的個(gè)性與共性,因地制宜,采取針對(duì)性措施。對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員,要把握好入職、篩選、調(diào)動(dòng)、離職四個(gè)環(huán)節(jié)。在入職時(shí)要進(jìn)行安全背景審查,開(kāi)展入職培訓(xùn);篩選時(shí)要結(jié)合人員的實(shí)際情況合理分配權(quán)限,并簽訂保密協(xié)議、崗位責(zé)任協(xié)議,實(shí)行網(wǎng)絡(luò)安全關(guān)鍵崗位專業(yè)技術(shù)人員執(zhí)證上崗制度;調(diào)動(dòng)時(shí)要修改人員原有的訪問(wèn)權(quán)限以符合新的崗位要求;離職時(shí)要對(duì)人員工作中分配的信息系統(tǒng)訪問(wèn)權(quán)限進(jìn)行收回,并進(jìn)行離職面談,明確離職后的保密義務(wù)。對(duì)于行業(yè)外的人員或稱第三方人員(網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者、科研機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、行業(yè)組織,以及合同商、信息系統(tǒng)開(kāi)發(fā)商、維護(hù)人員)主要是以共同協(xié)商或訂立協(xié)議的方式建立安全要求,采取針對(duì)性管理措施。如對(duì)于網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)商,首先要進(jìn)行安全評(píng)估,評(píng)估其保密資質(zhì)、服務(wù)水平和管理情況,做到保密有資質(zhì)、服務(wù)有水平、管理運(yùn)轉(zhuǎn)透明,其次要優(yōu)選能對(duì)下級(jí)的供應(yīng)商負(fù)責(zé),能對(duì)外包服務(wù)的開(kāi)發(fā)商和開(kāi)發(fā)人員負(fù)責(zé)的供應(yīng)商。對(duì)于存在信息共享關(guān)系的科研機(jī)構(gòu)、行業(yè)組織,主要是簽訂好保密協(xié)議,避免共享信息的泄露和二次擴(kuò)散。對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的外部維護(hù)人員,要進(jìn)行授權(quán)管理,在授權(quán)的情況下才可對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行維護(hù),未授權(quán)的人員要實(shí)施有人監(jiān)督的陪同維護(hù)。從共性方面來(lái)講,無(wú)論是關(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員,還是第三方人員,都要開(kāi)展網(wǎng)絡(luò)安全意識(shí)教育與安全技能培訓(xùn),既要全員覆蓋又要區(qū)分層次。
對(duì)于“物”而言,主要抓好信息系統(tǒng)建設(shè)、改造、使用、廢棄和重要數(shù)據(jù)收集、存儲(chǔ)、使用、傳輸、披露這幾個(gè)重要階段的管理,落實(shí)相關(guān)制度。在信息系統(tǒng)的建設(shè)階段,建設(shè)前分析安全需求、定義安全要求、設(shè)計(jì)安全體系、驗(yàn)收安全效果,建好后重點(diǎn)是依照對(duì)關(guān)鍵業(yè)務(wù)的支撐度識(shí)別重要數(shù)據(jù)和重要系統(tǒng),建立資產(chǎn)(系統(tǒng)和數(shù)據(jù)的總和)清單、保留基線(最低)配置,分析系統(tǒng)的脆性和可能面臨的網(wǎng)絡(luò)威脅,實(shí)施漏洞管理,開(kāi)展風(fēng)險(xiǎn)分析,制定針對(duì)性防范措施。在改造階段,要更新資產(chǎn)(含組件)清單,重新評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn),根據(jù)新的安全風(fēng)險(xiǎn)升級(jí)安全設(shè)施,實(shí)施變更管理,并確保在升級(jí)轉(zhuǎn)化的過(guò)程中業(yè)務(wù)的平穩(wěn)過(guò)渡、安全設(shè)施的連續(xù)運(yùn)行。在信息系統(tǒng)使用階段,重點(diǎn)開(kāi)展網(wǎng)絡(luò)安全定級(jí),落實(shí)等級(jí)保護(hù)要求,部署網(wǎng)絡(luò)安全策略,實(shí)施分區(qū)分域管理,及重要系統(tǒng)和數(shù)據(jù)的容災(zāi)備份。在系統(tǒng)廢棄階段,要保護(hù)廢棄的設(shè)施中存儲(chǔ)信息的安全,消除涉密敏感信息,并保留處置記錄。在重要數(shù)據(jù)的管理階段中,重點(diǎn)是落實(shí)個(gè)人信息保護(hù)制度,個(gè)人信息和重要數(shù)據(jù)的境內(nèi)存儲(chǔ),及出境安全評(píng)估制度,防止重要涉密信息的泄露、篡改、損毀和丟失。
“融合”,即將網(wǎng)絡(luò)安全融入到關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)中,將網(wǎng)絡(luò)安全機(jī)制細(xì)化于關(guān)鍵信息基礎(chǔ)設(shè)施的具體實(shí)現(xiàn)中。在融合的過(guò)程中要把握關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)運(yùn)行是主體、中心,網(wǎng)絡(luò)安全管理圍繞業(yè)務(wù)的穩(wěn)定持續(xù)運(yùn)行而展開(kāi),并納入其中同步運(yùn)行,包括同步規(guī)劃、同步建設(shè)、同步使用。對(duì)于這一點(diǎn),在“國(guó)標(biāo)”中得到了印證,它明確提出:“確保漏洞補(bǔ)丁經(jīng)過(guò)測(cè)試后才可使用;確保漏洞管理過(guò)程不影響業(yè)務(wù)連續(xù)性”、“確保安全人員規(guī)模不能少于信息化人員的20%”、“在發(fā)生安全事件時(shí),確保應(yīng)急響應(yīng)計(jì)劃的實(shí)施能夠維持信息系統(tǒng)的基本業(yè)務(wù)功能,并能最終完全恢復(fù)信息系統(tǒng)且不減弱原來(lái)的安全措施”,這三點(diǎn)分別體現(xiàn)了網(wǎng)絡(luò)安全與關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)在風(fēng)險(xiǎn)管理、人力資源建設(shè)和應(yīng)急處置中的融合,即“將網(wǎng)絡(luò)安全連續(xù)性納入業(yè)務(wù)連續(xù)性管理之中 ”。
“配合”是指關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的內(nèi)部力量與外部力量相適、合作。內(nèi)部力量是關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的網(wǎng)絡(luò)安全組織,是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的主體力量,外部力量有如行業(yè)外的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者、科研機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、應(yīng)急響應(yīng)機(jī)構(gòu)、信息通報(bào)機(jī)構(gòu)以及其它社會(huì)力量。眾所周知,關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)不是一家單位、一個(gè)部門的事,它需要將內(nèi)部力量與外部力量聯(lián)系起來(lái),實(shí)現(xiàn)協(xié)調(diào)配合、優(yōu)勢(shì)互補(bǔ),整體作用大于局部作用之和的效果。具體體現(xiàn):在信息共享活動(dòng)中,內(nèi)部安全組織要與外部的應(yīng)急響應(yīng)、信息通報(bào)和研究機(jī)構(gòu)共享網(wǎng)絡(luò)威脅信息,交流威脅處置經(jīng)驗(yàn),共同研判網(wǎng)絡(luò)威脅態(tài)勢(shì)和應(yīng)對(duì)措施;在網(wǎng)絡(luò)安全應(yīng)急演練中,要邀請(qǐng)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)參加,磨合協(xié)調(diào)一致的默契,必要時(shí)與之建立直接的合作關(guān)系,獲得第一時(shí)間的協(xié)助;在事件處置中,要充分發(fā)揮產(chǎn)品和服務(wù)供應(yīng)商熟知設(shè)備原理、通曉設(shè)備脆性的優(yōu)勢(shì),在保護(hù)好商業(yè)秘密、維護(hù)好企業(yè)利益的前提下,積極獲取幫助與支持,共享有關(guān)信息,等等。上述所講的各類外部組織是關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的重要合作伙伴,發(fā)揮著政府部門、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)部門不可替代的作用,是“條例”所講的“關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系”的重要參與方,從本質(zhì)上體現(xiàn)了信息時(shí)代網(wǎng)絡(luò)安全工作的多參與方特點(diǎn),必須予以高度重視,而不能將這些組織放在外圍、擺尾的地位上。在這個(gè)問(wèn)題上,生產(chǎn)資料高度私有化的美國(guó),在20世紀(jì)90年代開(kāi)展關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的時(shí)候就高度重視政府與企業(yè)的合作,即所謂的“政企合作”或“公私合作”(Public-Private Partnership)保護(hù)模式。有人認(rèn)為這是由美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施大部分歸私企所有而決定的,但是網(wǎng)絡(luò)空間的威脅不因關(guān)鍵基礎(chǔ)設(shè)施或關(guān)鍵信息基礎(chǔ)設(shè)施歸誰(shuí)所有而存在,它具有傳播的快速性、影響的分布性及源頭的隱蔽性,相應(yīng)決定了預(yù)警信息如不迅速發(fā)布將導(dǎo)致更多的受損方、網(wǎng)絡(luò)威脅分析如不采用綜合集成的方法將難以判明攻擊方的意圖、情報(bào)信息如不高效流通將難以對(duì)威脅溯源。要解決這些問(wèn)題就需要政府與政府之間、企業(yè)與企業(yè)之間,以及政府與企業(yè)之間,就網(wǎng)絡(luò)威脅情報(bào)、設(shè)備設(shè)施脆性、攻擊預(yù)防措施以及預(yù)警信息研判等開(kāi)展溝通合作與信息共享。只有這樣才能應(yīng)對(duì)瞬息萬(wàn)變的網(wǎng)絡(luò)空間威脅。因此,網(wǎng)絡(luò)安全保護(hù)力量之間的合作是一個(gè)與社會(huì)性質(zhì)無(wú)關(guān)的話題,它是信息時(shí)代網(wǎng)絡(luò)安全工作多參與方特點(diǎn)的本質(zhì)要求,即關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全需要多方配合、發(fā)揮合力才能管好。
美國(guó)高度重視關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的“政企合作”