关键信息基础设施保护要求实施的若干障碍分析——以美国提升关键基础设施网络安全框架核心要素为参照
《网络安全法》(网安法)第31条规定了由国务院制定“关键信息基础设施(CII)的具体范围和安全保护办法”,公开信息显示目前相关办法、标准等作为网安法的配套制度正在密集研讨和制定中
。无独有偶,美国NIST于2014年制定的《提升关键基础设施网络安全框架》(Framework for Improving Critical Infrastructure Cybersecurity:CSF)也在2017年初迎来首次修订。CSF作为各国众多组织机构已经上手应用的标准框架,无疑具有相当的可用性和普适性,例如意大利2016年《网络安全年度报告》(2016 Italian Cybersecurity Report)就以CSF作为工作底版。我国相关制度建设应借鉴包括CSF在内的各国网络安全治理(风险管理)的优秀成果和经验,但同时应考虑CSF制定和实施的美国场景,避免成为CSF的中文版。
本文以CSF框架的核心要素为参照,从企业(对应于ISO/IEC标准术语的“组织”)视角列举了CII保护功能要素在具体实施中面临的一些典型障碍,以期在我国配套制度制定和本地化改造中予以关注和因应。需要注意的是,这些问题有些是共性的,有些则具有本国特性。
一、概念层面的差异探讨
CSF框架的核心功能要素为Identify、Protect、Detect、Respond、Recover,如以此对照,我国CII保护基本要求为识别、防护、检测、响应和恢复。本文认为尽管网安法已经提出了倾向性的术语定义,但对概念的中英对应仍非常必要。例如从字面上看,Respond是对应为响应还是预警就值得研究,从网安法的条文结构看,翻译为预警的可能性较大。但比较而言响应似偏重事后,消减网络安全事件的后果,和处置关系紧密;预警则强调“动态感知”,体现预判和警示,避免网络安全事件的发生。对应不同,组织需要投入的资源和过程关注就非常悬殊。
再如,Recover对应为恢复还是处置,处置更侧重事件,恢复则更关注业务。似恢复的功能性较处置更为完善,不仅限于对网络安全事件(本文称网络安全事件为包括危害网络安全的行为在内的广义概念)的处置,词义上更包括了对CII功能和业务的恢复与持续。本文建议,在正式实施时应考虑相关要素、要求的准确表达,因为这些基础要素一旦展开,可能包含的风险管理的具体内容、控制规范上的差异就会明显放大。
二、典型要求实施的障碍回应
考虑到典型网络类型和结构的差异性,参照2015年版本《电信业务分类目录》,本文从成本、技术、运营、市场和法律、政策角度,按照识别、防护、检测、响应和恢复的时序,对CSF框架下CII保护功能要素的实施提出可能需要回应的以下典型障碍:
(1)对于CII识别要求的资产管理方面,主要障碍在于如何基于组织的规模(CII运营者的规模并非整齐划一)和业务的实际与预期需求确定CII保护投入的成本和费用,这些投入在初期可能是指数级的增长,例如指南建议“县级(含)以上党政机关网站”作为网站类CII,目前全国范围内两千多县已经架设网站,对其全部CII化,不仅目前投入难以估量,而且显然CII运营者对此并无充分准备。本文认为既然CII的具体形态可能是一个网络、一个系统,也可能是系统、网络的组合,因此识别要素应按照这一思路进一步阐述和明晰系统、网络的“边界”和“联结”关系,既要周全延伸,又要适度收敛。
实施CII保护并未提供特定的技术(从技术中立性,也不应限制或优先设定某一技术),而随着技术发展将进一步导致技术应用问题的复杂化。在复杂的威胁环境中获得和辨别信息的可靠与否、可靠程度极具挑战。同时,现有的如何确定网络安全投资回报的支持数据和分析方法较少,因此无法精确风险管理的控制程度(即实际确定哪些风险需要通过措施降低、哪些需要规避、哪些需要接受——此即所谓的风险敞口)。因此应在最为实际、可行的基础上全面评估组织的(包括运营环境在内,从宏观和微观层面)安全风险,作为风险管理的出发点。
此外,澄清和准确适用政策和法律无疑是CII保护的基本前提。从网络市场来看,目前界定和区别分类、分(密)级信息的政策和法律比较困难,等级保护制度正在实现从信息安全到网络安全跨越的修订和提升法律位阶的紧张阶段,《电信业务经营许可管理办法》则放出修订征求意见稿,网安法的其他配套制度亦在紧锣密鼓的起草制定,彼此之间结构关系一旦考虑不周则容易产生冲突,而涉及公安、网信、工信等多个部门、机构的政策与法律协同则更需清理规范。
(2)防护要求方面,和等保制度不同,CII的保护要求可能是强制性的,进而现有系统需要大量投资部署(例如网安法特别关注的访问控制、数据保护相关技术措施和管理策略),因此明确组织的定位和愿景尤为重要。广泛可用的技术和解决方案有时反而成为复杂性的障碍。特别是网安法对CII“运营者采购网络产品和服务”,所有网络运营者采购“网络关键设备和网络安全专用产品”提出了强制性标准、保密乃至国家安全审查的要求,加剧了复杂性障碍问题。CII运营者应思考如何甄别关键、专用,实现“安全可控”,以及如何通过部署通用技术解决特定系统、网络(CII)威胁的方法。
在CII保护的持续性方面,现有标准和指南(包括CSF中列举的COBIT 5、ISA、ISO/IEC 27001、CCS、NIST SP 800-53,在我国的标准实践中也多有对应或借鉴)不能确保其作为组织业务模式的有机组成部分,因此如何协调并与组织的运营保持一致,是能否得到贯彻的关键。例如组织应考虑针对行业、业务特点增加适用HIPAA、CSA等相关规则。
此外,在复杂威胁环境中,由于难以实施和衡量人员安全意识和培训的有效性,因此人员安全和人员引入的网络安全与合规风险仍将是CII运营者面临的主要风险。例如如果基于网安法第34条第1、2项要求做出对人员增加资质、认证的解读,就会引入行政许可和“放管服”改革的争议。
整体而言,实践中如何监测和评判安全措施的防护效果具有相当难度。因此组织应考虑哪些是需要优先考虑的安全措施。
(3)如何确定网络安全事件影响的实时性仍然是检验检测要求的一大难题,也正因此“全天候全方位感知网络安全态势”的提法和实现显得极具价值。组织应尽可能保持CII保护与业务流(数据流、资金流或类似提法)的一致性。
采购SIEM/IPS/IDS(指安全信息和事件管理、入侵防御、入侵检测)技术和系统将需要额外的资本投入(包括战略性和持续性投资的考虑)。而分配、雇用、培训负责SIEM/IPS/IDS技术和系统的员工将需要有额外的运维成本。同样,对全体人员行为的实时、全时“监控”具有相当难度,换言之,即是需要增加额外的投资。因此组织应考虑哪些是需要优先考虑的安全措施。
(4)对CII的响应要求而言,首要问题是用于采购业务连续性和灾难恢复等技术和系统以及培训人员以恢复系统和数据,并确保业务恢复需要额外的资金和运维成本的投入。而且毫无疑问,预警要高于响应的资源要求。
从立法角度,正所谓能力越大,责任越大,CII运营者由于顾忌法律责任,可能会限制自愿的信息共享,这将削弱网安法第39条和第5章建立的(基于信息共享的)“监测预警和信息通报制度”,由于网信部门要求“按照规定统一发布网络安全监测预警信息”,如果没有共享威胁和事件信息,信息发布就变成无米之炊。美国利用反复提案《网络情报与共享法案》(CISPA)和已经通过的替代法案2015年《网络安全信息共享法案》(CISA)和其他提案的责任保护和自我审核的责任限制试图减轻这一障碍,这也是我国在制定CII配套制度时需要考虑的问题——从配套制度出台次序预判,基于共享的“监测预警和信息通报制度”和制度下的平台建设需要加速整合和推动。作为参照的美国案例,由于大量的虚假警报、缺乏专门人员(可用性)、缺少预算可能影响组织保持和更新响应策略的能力,其新近通过《波特曼—墨菲反宣传法案》的专门机制以应对政治宣传和谣言,并为此建立和提升了专门的全球作战中心(GEC)。
从电子数据证据角度,缺乏网络安全调查/安全分析/取证/事件响应等技术领域的专业知识将限制和阻碍对侵入、攻击、违规等威胁的有效反应。两高一部的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》无疑可以视为网安法的配套制度,其对CII运营者和其他网络空间利益相关者的参考价值也不局限于刑事案件和取证领域。
总之,黑客等攻击者社区具有发动攻击、创新方法和技术的无限动力与可能。组织将会在预测黑客的下一步行动和攻击点上耗费大量时间和金钱。换言之,CII运营者与黑客等攻击者的对抗将是持续、长期和艰难的过程。
(5)恢复要求的障碍主要在于采购数据恢复技术和异地服务(如存储备份,而异地服务需同时考虑网安法第37条跨境数据评估的要求——因《个人信息和重要数据出境安全评估办法》征求意见稿扩大了适用范围,对国企境外投资构成类似“母国监管”的一个方面)将会有额外的资金成本。分配、雇用、培训员工负责业务连续性和灾难恢复则会增加运维成本。而如果缺少业务连续性和灾难恢复计划将阻碍从攻击、违规或数据丢失事件中有效恢复。
另外一个老大难问题就是某些员工、高管、股东或董事可能禁止或限制对相关信息新闻的内容和发布,即使是确认的“官方”通知和“事后”迟延发布。考虑对组织运营的影响当然是重要的一方面,但在已知案例中,很大程度上是出于对其自身利益的考虑——例如雅虎事件。在我国如何发布、何时发布显然更需要高明的组织策略和网信部门的指导、统筹、协调。
三、CII配套制度的制定和实施应充分考虑现存的障碍,应在调研、征求意见等基础上,从问题导向出发,对这些障碍做出回应
网安法无论如何争议已通过和即将施行了,但配套制度的建设仍需严谨、审慎论证,否则如何落地会持续成为业界的困惑。
作为回应的通盘方案,本文认为,从组织角度应:①按照识别、防护、检测、响应和恢复的CII安全“生命周期”次序,基于行业、业务类型,适用或排除对CII网络安全监管的适用;②围绕核心业务及其持续性,以成本效益为基本分析方法,不等不靠,进行一次网络安全差距的自查家底;③方法论上,CSF已经提供了可行的标准方法,这些方法已经证明具有支持评估的效用,可以先行先试;但在部署自动化评估工具时,应参考网安法第23条对其安全性先行评估。
从监管角度,既然网安法第38条已经规定,CII运营者“应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估”,故应通过部署和总结公安部网络安全执法检查和网信办关键信息基础设施网络安全检查工作的底稿和发现,适时启动首期年度的首次网络安全风险评估工作,以赛带练,逐步实现第39条措施的常态化、专业化。