本文来自微信公众号“权说安全”,作者/猛禽实验室。
01
《关基要求》是个啥?
《关基要求》是《信息安全技术关键信息基础设施安全保护要求》的简称,是我国国家信息安全领域的一项重要技术规范,这里引用一下官方公告:“为深入贯彻习近平总书记关于维护网络安全、强化关键信息基础设施保护的系列重要指示精神,落实《网络安全法》《关键信息基础设施保护条例》关于保护关键信息基础设施运行安全的要求,做好国家标准的落地实施,不断提升关键信息基础设施安全保护能力,2022年10月12日,国家标准化管理委员会发布公告,正式批准发布GB/T 39204—2022《信息安全技术关键信息基础设施安全保护要求》(简称《关基保护要求》),并于2023年5月1日实施。”
02
《关基要求》的内容和作用是?
《关基要求》的内容可以概括为三大基本原则和六大安全维度。三大基本原则是以关键业务为核心的整体防控、以风险管理为导向的动态防护,和以信息共享为基础的协同联防。六大安全维度包括分析识别、安全防护、检测评估、监测预警、主动防御和事件处置。
从规范的内容我们可以看出,本次发布的《关基要求》不仅仅是针对安全防护的要求,同时强调了安全管理、安全技术、安全评估和安全监测等方面的要求:
1)安全管理方面:要求关键信息基础设施的管理者必须建立完善的安全管理制度,包括管理制度、管理机构、管理人员等,也包括风险评估、策略制定、安全培训、应急预案等;
2)安全技术方面:要求关键信息基础设施必须具备安全可控的技术手段,包括收敛暴露面、访问控制、身份认证、加密传输、攻击发现和阻断等;
3)安全评估方面:要求必须能够识别关键信息资产,并定期进行安全评估和测试,以发现安全隐患并加以修复。
4)安全监测方面:要求关键信息基础设施必须具备安全监测与应急响应机制,变被动防御为主动防御,及时发现和处置安全事件。
从规范的要求可以看出,《关基》旨在保障关键信息基础设施的安全性、可靠性和稳定性。其执行可以帮助目标单位提高安全保护水平、减少安全风险、增强市场竞争力以及免于违规责任。
03
《关基要求》是强制的吗?
《关基要求》是我国国家信息安全领域的一项重要技术规范,是具有强制性质的。这意味着,所有被认定为关键信息基础设施的单位,必须按照该规范的要求进行安全保护,否则将可能面临处罚。
我国已经出台了多项法律法规和政策文件对关键信息基础设施的安全保护作出了明确的规定和要求,包括《网络安全法》、《网络安全等级保护制度》、《关键信息基础设施安全保护条例》等。各行各业的监管部门也会对关键信息基础设施的安全保护进行监督和检查,确保规范执行。因此,关键信息基础设施的单位必须认真履行《关基要求》,并加强安全保护措施,确保系统的安全性、可靠性和稳定性。
04
《关基要求》和零信任是什么关系?
《关基要求》是一份技术规范,零信任是一种安全架构的理念,它们是两个不同的概念,但它们可以相互补充,共同提高系统的安全性。
《关基要求》提出了非常严格的安全保护要求,事实上要求企业在构建关键信息基础设施时必须遵循零信任的原则。例如:对每个用户和设备进行认证和授权的要求,可通过零信任IAM系统统一管控;对资产识别的要求,可通过零信任架构统一管理全部终端、网元和应用,并基于零信任的应用发现功能识别组织的全部应用;对收敛暴露面的要求,可通过零信任敲门技术实现应用的百分百收敛;对远程访问进行验证并加密传输的要求,可通过零信任SDP建立安全的访问通道,并对访问行为进行细粒度的权限管控;对于主动防护的要求,可通过零信任自适应动态策略第一时间识别各类入侵并作出对应的反制动作;对于整体技术方案的要求,更是可以通过零信任体系拉通各类产品形成统一的安全管理平台。
对比美国国防部的《国防部零信任战略》、美国国家安全局(NSA)的《拥抱零信任安全模型》、美国政府的《美国联邦政府零信任战略》和我国的《信息安全技术关键信息基础设施安全保护要求》,会发现他们都普遍关注攻击面暴露、用户数据泄露、远程利用、内部威胁、供应链受损等信息安全问题,也都会强调多重认证、高级加密、端点安全、分析工具、稳健审计和主动防御等安全能力。虽然《关基要求》没有明确指明要使用零信任,但是其对安全技术的要求和美国军方安全标准高度重合,这也从侧面佐证了零信任是满足《关基要求》的首选方案。
因此,可以预见,该规范将推动零信任在企业和组织中的广泛应用和发展。
05
《关基要求》用零信任方案能满足吗?
虽然零信任是一种高效的网络安全架构,但是单独采用的零信任方案不一定能够满足《关基要求》的全部要求。
《关基要求》是一份相对全面的技术规范,涵盖了关键信息基础设施的安全管理、技术、防护、监测和评估等方面的要求。因此,需要采用零信任的一种或几种技术手段,再结合其他安全保护措施和管理制度,才能够全面满足要求。比如规范中的“关键信息基础设施应当实施网络分割、安全域隔离、数据加密、访问控制等措施,并且要定期进行风险评估和漏洞扫描。”这些要求需要采用多种技术手段和管理制度来实现,零信任只是其中的一种技术手段之一。
然而,零信任可以作为关键信息基础设施安全保护方案的一个重要组成部分。使用零信任方案可以帮助防范攻击,包括通过授权、访问控制和验证等手段来保护关键信息基础设施免受未经授权的访问和攻击。零信任的方案也可以提高系统的安全性、可靠性和稳定性,减少安全风险。
因此,采用一套零信任方案作为关键信息基础设施安全保护方案的重要组成部分是可行的,但仍需要结合其他安全保护措施和管理制度来全面满足《信息安全技术关键信息基础设施安全保护要求》的要求。
06
《关基要求》对网安厂商有什么影响?
《关基要求》的发布,对网络安全厂家具有重要的影响。一方面,这份规范明确了关键信息基础设施的安全保护要求,这将推动网络安全厂家不断提升产品和服务的质量和水平。另一方面,该规范也明确了安全产品设计和实施方面的具体要求,这将使得更多安全产品零信任化,以满足规范的要求和实际应用场景。此外,该规范还要求网络安全厂家开展安全产品评估和认证工作,这将促使安全厂商在提供产品的同时提供更多的安全服务内容。
综上所述,《关基要求》的发布将使得越来越多的企业和组织了解并采用零信任架构来保护关键信息基础设施的安全,同时网络安全厂商也会加强对零信任的研究和开发,提供更加完善的综合性解决方案和全面的安全服务。