关基保护要求下大型企业工控安全建设的思考 《关键信息基础设施安全保护条例》(以下简称《条例》)正式施行(2021.09.01)一年多来,在国家、行业监管部门、关基运营者、安全支撑企业等多方力量的共同努力下,国家关键信息基础设施安全保护工作初显成效。关键信息基础设施是国家重要的战略资源,关基覆盖的能源、交通、水利和国防科技工业等领域都与工业系统密切相关,其工控系统安全是这些领域关基正常运行的关键,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益,造成重大损失。随着云、大、物、移、智、5G等新型ICT技术与工业场景的深度融合,新技术架构下的工控安全已成为相关关基领域安全保障的关键。近日作为《条例》的配套技术标准《信息安全技术关键信息基础设施安全保护要求》也已由国家标准化管理委员会正式公布,2023年5月1日正式实施。如何助力做好关基保护要求下工控安全防护,奇安信在持续思考和实践,大家建议: (一) 以《条例》及其配套技术标准为依据,建立以合规为基线的安全管理体系。运营者承担关基保护的主体责任,要依据《条例》及其配套技术标准,结合本行业、本单位生产业务场景工控系统的特点,在等保2.0基础上,围绕“分析识别、安全保护、检测评估、监测预警、主动防御和事件处置”六大工作流程,建立适合于自身情况的安全管理体系。最近国务院国资委也印发《中央企业合规管理办法》指出,中央企业应当结合实际设立首席合规官,通过建立机制、打造体系、梳理流程、规范审批程序等一系列有效措施,加强合规管理、防范安全风险。 (二) 以《条例》及其配套技术标准为依据,建立各个关基行业可落地、可操作、可实行的技术标准。《条例》中明确指出重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。保护工作部门结合本行业、本领域实际,制定关键信息基础设施安全保护技术标准。目前能源、交通等重要行业领域积极履行职责要求,组织业内专家进行行业关键信息基础设施技术标准编写,同时组织行业内头部示范试点企业进行征求意见收集,稳步推进行业技术标准编写工作。 (三) 健全基于业务场景的安全威胁监测。《条例》第五条要求:“采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁”;第二十四条“建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势”。运营者应当根据自身业务场景的特点,采取适当的技术措施,实现对工控协议攻击指令识别、安全威胁的预警监视,满足关基对境内外的安全风险和威胁的全过程管理要求,提高关键信息基础设施主动防御能力。 (四) 实施常态化安全检查评估。《条例》第二十六条要求:“应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,引导监督运营者及时整改安全隐患、完善安全措施”。当前关基保护工作开展时间相对较短,常态化安全检查评估本身就是一个结合实际宣传贯彻《条例》及其技术标准规范的过程,能检验安全防护措施的有效性,发现网络安全风险隐患,提高运营者自身的安全意识认知、人员技术能力、安全分析水平、事件处置能力,是保障关保要求下工控安全的有效手段。 (五) 提升实战化的安全能力。目前,我国关基重要行业以及头部安全产商都组建了基于数字孪生、网络攻防、漏洞研究等方面的工业靶场实验室,开展了相关业务安全的深度研究。根据《条例》第十五条:“组织网络安全教育、培训”、第三十五条“鼓励网络安全专门人才从事关键信息基础设施安全保护工作”等要求,运营商可以借助工业安全靶场,赋能企业技术和管理人员深度掌握工控网络安全常识、安全攻防实战技能、安全技术研究,满足关基保护对于人员能力提升和人才建设相关要求。 (六) 强化安全应急体系建设。《条例》第二十五条要求:“定期组织应急演练;引导运营者做好网络安全事件应对处置,并根据需要组织提供技术支撑与协助。”运营商应防患于未然,做好网络安全应急预案、应急演练、应急响应等保障措施,畅通与保障部门及安全产商的沟通渠道,建立完整的网络安全应急管理体系。 (七) 突出做好数据安全保护措施。关基中承载的数据作为关键要素是关基保护的重中之重,保护措施要覆盖本单位数据收集、存储、使用、加工、传输、提供、公开全生命周期。特别注意对数据量大、多源、跨平台流动的数据的安全风险监测,在业务建设初期同步考虑数据安全。全面了解国内外针对数据的网络攻击和窃密技术,有效应对智能化、专业化的数据窃取攻击。 当前关保要求下的工控安全形势十分严峻,网络安全事件频发。作为网络安全行业的国家队,奇安信立足自身优势,持续强化核心技术研发攻关,将安全能力融入用户的业务场景,提升用户在关基领域的网络安全保障能力,为提升我国关键信息基础设施安全防护水平不断努力。
|