當前位置：安全 → 行業動態 → 正文

關鍵信息基礎設施保護必須以等級保護制度為基礎

責任編輯：editor006 作者：李政葳陳暢 |來源：企業網D1Net 2017-06-21 17:04:33 本文摘自：光明網

近年來，有關網絡安全的話題從未停歇。隨著“棱鏡門”事件的曝光，國家間的信息安全對抗日益公開化，網際空間的安全威脅正呈國際化、復雜化、組織化趨勢發展。

如今，以云計算、大數據、物聯網、工業互聯網為代表的新技術得以迅速應用，更多的傳統能源、電力、交通基礎設施聯入網絡，成為關鍵信息基礎設施有機組成部分。

“關鍵信息基礎設施”一詞看似抽象，卻是網絡安全的重中之重。在最近的一年里，中國互聯網絡信息中心（CNNIC）安全管理部副主任張新躍一直在做網絡安全基礎設施的標準制定工作。在他看來，與2014年的征求意見稿相比，今年6月1日實施的《網絡安全法》最主要變化是加入了對關鍵信息基礎設施和信息保護的明確定義，在安全設施、安全產業方面有更詳細的描述，且提升到了國家網絡安全戰略的高度。

　　（圖片來源于網絡）

兩者相輔相成、不容分割

作為落實國家總體安全觀的重要舉措，《網絡安全法》勾勒出了國家網絡安全頂層設計的框架和藍圖，也突出了關鍵信息基礎設施保護的要求。在《網絡安全法》第三章第二節中，大篇幅重點闡述了“關鍵信息基礎設施的運行安全”的相關話題。

作為支撐能源、交通、金融、通信、電子政務等重要領域運行的神經中樞，關鍵信息基礎設施與國計民生息息相關。然而，我國的關鍵信息基礎設施保護面臨著建設起步較晚、專業技術落后、安全威脅嚴峻等形勢，實施起來任重道遠。

“國家關鍵信息基礎設施首先落實等級保護制度，要將等級保護制度打造成新時期國家網絡安全的基本制度，逐漸構建新的法律政策體系、標準體系、人才技術支撐體系、人才隊伍體系、教育訓練體系和新的保障體系。”在日前舉辦的第五屆中國網絡安全大會（NSC2017）上，公安部網絡安全保衛局總工程師郭啟全坦言，互聯網發展首先要保護網絡基礎設施安全，這也是等級保護制度的核心內容。

“正確理解、處理等級保護制度與關鍵信息基礎設施保護的關系。”郭啟全表示，網絡安全等級保護制度是關鍵信息基礎設施保護的基礎，關鍵信息基礎設施是等級制度保護的重點，二者相輔相成，不能分割；網絡安全等級保護制度是普適性的制度，關鍵信息基礎設施是重點保護的核心點，兩者是面和點之間的關系。

在郭啟全看來，關鍵信息網絡基礎設施須按照等級保護制度要求，開展定級備案、等級測評、安全建設整改、安全檢查等強制性、規定性工作。

“等級保護2.0”與云上安全

隨著云計算、大數據、移動互聯網、物聯網等新興IT技術的發展與落地，傳統信息安全的邊界越來越模糊，新的攻擊形態層出不窮。“等級保護制度進入2.0時代，網絡安全也進入2.0時代。”談及當前形勢下等級保護制度的特點，郭啟全認為，一是涉及全新的國家網絡安全基本制度體系；二是以保護國家關鍵信息基礎設施為重點；三是保護策略發生變化。

也就是說，傳統的等級保護即1.0時代，其對象就是信息系統：數據采集生成、處理加工、傳輸和數據的存儲；而等級保護的2.0時代則新增加了對云計算安全、移動互聯安全、物聯網安全以及大數據安全等相關要求。

“縱向上延伸了信息系統的概念，把云計算、工控、物聯網都納入進來，與這些相關的都是等級保護對象的試用范圍。”公安部信息安全等級保護評估中心測評部副主任張振峰說。

在業界人士看來，等級保護從由1.0到2.0是被動防御變成主動防御的變化。也就是說，以前被動防御，要求防火墻、殺病毒、IDS（入侵檢測系統），要上升到了主動防護，做到整體防御、分區隔離；積極防護、內外兼防；縱深防御、技管并重。

“伴隨新應用、新技術普及，基礎通信網絡、基礎平臺、大數據技術相關的系統，可能只具備個別的系統功能或特點，按照原來的定義沒辦法劃到等級保護范圍之內。”張振峰認為，等級保護體系的大升級，首先就是標準體系的擴充，整合原來1.0時代的核心標準體系，把不同領域、自身特色的內容單獨對待；另外，隨著領域的擴展，類似當前火熱的AI（人工智能）領域，或許可以提出等級保護的新要求。

在等級保護2.0時代下，云上用戶安全不容忽視。“對于云上租戶或云平臺來說，不僅要提供基礎設施服務，還能給租戶提供安全的服務或解決方案，這樣租戶在平臺上用起來會更加得心應手。”公安部第三研究所云計算安全測評實驗室負責人陳妍說。

做好認定，才能做好保護

從各國的實施情況看，關鍵信息基礎設施具體標準相當復雜，需要在實踐中不斷完善、不斷調整。目前，國家互聯網信息辦公室正會同有關部門按照《網絡安全法》的要求，指導相關行業領域明確關鍵信息基礎設施的具體范圍。

張新躍也表示，與關鍵信息基礎設施相關的網絡安全框架、網絡安全保護要求、安全控制要求、安全保障指標體系、安全檢查評估指南等標準正在制定。

加強關鍵信息基礎設施保護，國家網信辦網絡安全協調局有關負責人表示，要重點做好以下幾方面工作：一是要加強關鍵信息基礎設施保護工作的統籌，強化頂層設計和整體防護，避免多頭分散、各自為政的情況發生。二是要建立完善責任制，政府主要是加強指導監管，關鍵信息基礎設施運營者要承擔起保護的主體責任。三是要加強對從業人員的網絡安全教育、技術培訓和技能考核，切實提高網絡安全意識和水平。四是要做好網絡安全信息共享、應急處置等基礎性工作，提升關鍵信息基礎設施保護能力。五是要加強關鍵信息基礎設施保護中的國際合作。

“做好關鍵基礎設施的識別和認定，才能做好關鍵基礎設施的保護。”張新躍認為，各行業會做細分要求，承載的對象和內容也會有區別。比如，平臺類會對注冊用戶、活躍用戶、訪問量等進行特別要求。

綜合防御體系應針對最強對手設計

如何確定國家關鍵信息基礎設施？郭啟全認為，應該把國家核心、關鍵的基礎設施和重要信息系統作為重中之重，要以國家級、有組織的網絡攻擊能力作為標尺，要以網絡安全等級保護為抓手，以信息通報為平臺、以情報偵察為突破、以偵查打擊為支撐，構建“偵攻防管控”一體化的大數據安全綜合防控體系。

“關鍵基礎設施綜合防御能力、水平和技術要針對最強大的對手，進行設計、提升和創新。”郭啟全說，全面提升網上行動能力不是單靠一家、某一個組織、某一個群體，而是需要共同努力，做到“加強協同保護，形成保護合力”。

“發現某些問題時，可能不是我擅長的，需要安全公司協助分析樣本。”張新躍說，打造一體化的風險識別、防護和應急響應，實現資源共享和聯動防御，安全威脅與情報共享，進行快速的威脅響應。比如，前段時間發生勒索軟件病毒事件時，恰恰需要協同，需要共同發力。

大型互聯網企業雖然不是等級測評的主要實施者，但是是重要的參與者。“在新技術背景下，大型互聯網企業應該關注云安全產品合規，重點落在保障業務數據安全和用戶數據隱私保護。”張振峰認為，大型互聯網企業，無論是自測，還是在測評中給第三方測評機構展示安全能力，都需要重點關注。

“希望未來依托等級保護國家工程實驗室，建立全國云上的等保合規平臺，囊括云上等級保護的相關參與方，降低用戶的合規成本……”張振峰說。

關鍵字：關鍵信息保護體系