2023年5月1日起,《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关基保护要求》)正式实施,这是关键信息基础设施安全保护相关的首个国家标准。相对于2021年9月1日起实施的《关键信息基础设施安全保护条例》,《关基保护要求》更加具体而详尽、方法更具实操性、安全保护标准更严格,对于“关基”企业提出了更高要求。
《关基保护要求》的正式实施是企业安全的全面升级,特别是提出了以风险管理为导向的动态防护、以信息共享为基础的协同联防等两个升级的安全保护基本原则,以及包括分析识别、监测预警、主动防御等6大方面111条安全要求,对于“关基”企业来说是全方面的要求、对于首席网络安全官则是全方位的挑战。
2023年6月13日,由IDC、《中国信息安全》杂志社、CIO 时代、新基建创新研究院、腾讯安全、腾讯研究院等多家权威机构共同发起的“数字安全免疫力研讨论坛”上,IDC与腾讯联合发布了《加强数字安全免疫力,促进数字化时代下的韧性发展》白皮书暨数字安全免疫力模型,或能为“关基”企业的安全建设提供系统化的通关攻略。
关基安全刻不容缓
根据《关键信息基础设施确定指南(试行)》,关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响行业正常运行,对经济、社会、环境等造成严重损失。关键信息基础设施包括了网站类、平台类、生产业务类等三大类,特别是生产业务类中包括规模超过1500个标准机架的数据中心等。
关键信息基础设施是两化融合和数实融合大趋势下出现的“新基建”:一方面是传统的能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的关键基础设施数字化转型的成果,也就是数字化的传统关键基础设施;另一方面是公共通信和信息服务、具有重大影响力的网站、电子商务和交易等数字平台、大型数据中心、云计算平台、工业控制系统等新型数字基础设施。
近年来频发的关键信息基础设施安全问题,已经对社会生产生活产生了巨大影响,例如:美国佛罗里达州公共卫生系统遭受大规模数据泄露、超过130万人受到影响;沃达丰葡萄牙公司遭受恶意网络攻击,4G和5G网络被摧毁,固话、电视、短信、语音等服务瘫痪……
网络安全带来的损失也日益严重:勒索攻击损失从早期几百美元升级到如今百万美元级别,平均数据泄露成本飙升高达440万美元,网络犯罪预计在2023年将给全世界造成8万亿美元的损失……2023年是Wannacry六周年,腾讯安全、腾讯标准专家团队参编的《勒索软件防护发展报告》却发现,六年间勒索病毒不减反增。
在另一方面,国家对于关键信息基础设施的安全要求不断升级。《网络安全法》、《关键信息基础设施安全保护条例》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》《数据安全法》等法律法规和政策文件相继出台,而《信息安全技术 关键信息基础设施安全保护要求》是关键信息基础设施安全保护标准体系中7个核心标准之一,也是首个实施的标准。
对“关基”企业来说,在日益健全的法规框架下,监管将更加严格,安全责任也更加重大,而在出现安全事件后,面临的潜在处罚将更加严厉。
关基安全面临前所未有的挑战
关键信息基础设施是关键基础设施数字化转型的产物,也是两化融合、数实融合的成果,面对日新月异的数字化转型、两化融合、数字融合等进程,以及业务数字化和产业数字化的不断进展,传统安全范式正在失效,关基安全面临着前所未有的挑战。
传统行业采用物联网设备进行数字化转型,通常无法直接升级或者更新组件,这意味着任何已知的漏洞可能会一直存在,并得不到修复,很容易成为攻击的目标。而工业物联网设备往往没有用户交互界面,多个供应商的组件共存,不仅很难对设备进行现场维护,每个供应商都可能在供应链中存在漏洞或者问题,从而放大了被攻击的概率。
其次,传统企业在数字化进程中,从专有网络转向SaaS产业互联网,导致被攻击面增大。传统“关基”企业往往是大规模的复合组织,包含众多成员单位,甚至包括了全产业链企业,因此各种数字化门类产品非常多,包含了经营管理类的所有业务系统、日常生产等信息系统。而传统经营管理和业务系统,往往都是分阶段、分时间、分批建设,每阶段、每批建设的供应商都各不相同,导致传统网络安全以专有网络相互隔离为主。
在传统“关基”企业数字化转型的过程中,一方面是内部管理和生产运营的数字化,另一方面通过数字平台开拓新的产业互联网业务,这要求传统“关基”企业要打通内外部网络,向外界开放内部业务流程,甚至还要打开企业边界、跨界引入其它行业的业务,从而打开第二增长曲线。而在这个过程中,从专有网络向互联网的大范围过渡,就不可避免。
特别是随着云原生技术和DevOps等的大范围采用,传统“关基”企业的生产网、办公网两网隔离,处理网络安全问题时断开网络、系统下线等措施,都不能适应云原生和DevOps的要求。因此,传统“关基”企业向产业互联网转型,一方面造成被攻击面加大,另一方面传统的隔离管理也无法适应敏捷迭代开发的要求。
关基安全工作复杂、多变、动态,传统安全范式失效,必须寻找新的安全范式。
数字安全免疫力:关基安全通关攻略
随着云计算、大数据、AI、物联网、区块链等技术的飞速进步,“关基”企业数字化体系的边界在不断拓展,创新活动成为常态。尽管很多“关基”企业已经开展安全建设,但面对来自数据、业务等维度的新挑战,“关基”企业的安全应对能力仍显疲态。
《加强数字安全免疫力,促进数字化时代下的韧性发展》白皮书(以下简称:白皮书)认为,企业应从传统的基于攻防和事件的被动安全模式,转变为面向未来部署和企业长远发展的安全模式,构建起全面的、基于风险与合规的安全体系,建立前瞻性的安全理念,从治已病发展为治未病,并在面临多维威胁时,可以更加及时地启动体系化的抵抗和防御机制,有效应对基础设施、网络、数据、业务以及管理领域的组合攻击行为。
(腾讯安全&IDC《数字安全免疫力白皮书》)
所谓数字安全免疫力,包括了先天性免疫力和适应性免疫力两大部分。对于企业而言,安全文化和意识构成了先天性数字免疫力,包括领导层对企业安全以及相关法规的了解和重视、员工对用户信息/网络安全的意识,以及包括企业的IT 发展状态和数字化进度和企业安全组织架构、战略和资源情况在内的安全能力整体状态。良好的先天性数字安全免疫力可以帮助企业规避诸多风险,全面稳定持续地守卫企业的健康。
适应性免疫力则通过更具针对性的主动防御,建立起更深度的保护机制。适应性数字安全免疫力是针对高度具体的攻击所形成的防线,在企业在先天免疫系统的基础上,通过对安全威胁开展针对性地分析、洞察和应对,形成面向不同威胁要素的、组合式的防御能力。
IDC认为,与传统的安全理念不同,数字安全免疫力更加强调前置投入,将安全要素融入至企业的战略、管理、运营流程中,打通平台、技术、能力等层面的壁垒,强调动态、轻量、实时的反应能力,可以一定程度上实现自主性地容错、纠错和升级,最终实现三大目标:全面提升抗风险能力,构筑企业数字化韧性;保障业务运营和创新,提升企业商业竞争力;赋能生态发展,提升企业行业领导力。
【全文总结】《关基保护要求》的正式实施是整个网络安全产业的全面升级,也是关键信息基础设施企业安全保护的战略升级。关键信息基础设施安全从此进入了一个全新的时代,即以风险管理为导向、以信息共享为基础、以关键业务为核心的数字安全免疫力体系。数字安全免疫力及其模型可作为关键信息基础设施企业的安全体系建设通关攻略,帮助首席网络安全官们更加自信地应对百年未有之大挑战,实现企业的可持续健康和高质量发展。(文/宁川)