您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
《網(wǎng)絡(luò)安全審查辦法》引發(fā)的深度思考
2020年4月13日 國家互聯(lián)網(wǎng)信息辦公室、發(fā)展改革委、工業(yè)和信息化部等十二部門聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》(簡稱:辦法),將于2020年6月1日起實施。
實際上網(wǎng)絡(luò)安全審查的制度不是首次提出,早在2014年我國就推出過網(wǎng)絡(luò)安全相關(guān)的審查制度。隨著2016年《中華人民共和國網(wǎng)絡(luò)安全法》(簡稱:網(wǎng)絡(luò)安全法)的正式施行,這才進一步明確了網(wǎng)絡(luò)安全審查制度化、法制化的上位制度地位。在《中華人民共和國網(wǎng)絡(luò)安全法》中第三十五條、第三十六條,就有明確規(guī)定: 《網(wǎng)絡(luò)安全法》屬于上位法律法規(guī),所以它需要更細化的指導(dǎo)性文件或指導(dǎo)性辦法來將網(wǎng)絡(luò)安全審計制度落地,這就是2020年4月13日,國家互聯(lián)網(wǎng)信息辦公室、發(fā)展改革委、工業(yè)和信息化部等十二部門聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》的主要目的。
從內(nèi)容上看,《網(wǎng)絡(luò)安全審查辦法》與《網(wǎng)絡(luò)安全法》是相輔相成的關(guān)系,兩者在部分條款上,相互呼應(yīng)。對于《網(wǎng)絡(luò)安全審查辦法》的理解,作者認為可以從2個明確和2個特性這四個方面來理解:
兩個明確
1. 核心思想明確
該《辦法》共計22條,內(nèi)容簡明扼要,核心思想非常明確,在第一條辦法中就指明該辦法是為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。
供應(yīng)鏈安全在工業(yè)領(lǐng)域尤為突出,供應(yīng)鏈安全問題也是我國工業(yè)企業(yè)面臨的主要風(fēng)險之一。舉個能源行業(yè)的例子,2019年6月CNCERT發(fā)布的《水電行業(yè)工控網(wǎng)絡(luò)安全研究報告》,調(diào)查發(fā)現(xiàn),水電信息系統(tǒng)使用了大量的第三方應(yīng)用,例如ApacheStruts2、JEECMS、ApacheTomcat、Jboss、phpMyAdmin、FCKeditor等應(yīng)用存在默認頁面泄漏、版本漏洞等,證明水電信息系統(tǒng)使用的第三方應(yīng)用欠缺安全管理,可利用公開的應(yīng)用信息或漏洞進行攻擊,獲取敏感數(shù)據(jù)等。另一方面,電力監(jiān)控系統(tǒng)SCADA、電力廠站現(xiàn)地設(shè)備大量使用國外產(chǎn)品的情況普遍存在。2018年,西門子發(fā)布官方公告稱其產(chǎn)品存在兩個高危漏洞(CVE-2018-11453和CVE-2018-11454)。該漏洞將對基于西門子產(chǎn)品的工業(yè)控制系統(tǒng)環(huán)境造成重大風(fēng)險,該類設(shè)備在我國電力行業(yè)中就有大量的使用。
這樣的例子比比皆是,在過去幾年中,供應(yīng)鏈安全已經(jīng)成為網(wǎng)絡(luò)安全戰(zhàn)場的不可忽視的一面,所以針對網(wǎng)絡(luò)安全審查的工作是非常重要的。
2. 面向?qū)ο竺鞔_
在《辦法》中的第二條,明確指明了其所面對的對象主體,即關(guān)鍵信息基礎(chǔ)設(shè)施運營者。而在以往對于網(wǎng)絡(luò)產(chǎn)品的安全性要求更多的是需要網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者自己對提供的網(wǎng)絡(luò)產(chǎn)品安全性負責(zé),而此次將責(zé)任主體明確,要求關(guān)鍵信息基礎(chǔ)設(shè)施的運營者對于采購的網(wǎng)絡(luò)產(chǎn)品進行安全性要求約束。采購的網(wǎng)絡(luò)產(chǎn)品,尤其是網(wǎng)絡(luò)安全產(chǎn)品,運營者更需要對其安全性進行嚴格審查,并需要網(wǎng)絡(luò)安全產(chǎn)品提供商出具相關(guān)的證明文件,證明其提供的產(chǎn)品具備安全性,健壯性,不存在高危安全漏洞或隱蔽后門。
如何定義國家關(guān)鍵基礎(chǔ)設(shè)施?在《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》報批稿中對關(guān)鍵基礎(chǔ)設(shè)施有明確的定義,“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的信息設(shè)施?!?/span>
涉及具體哪些行業(yè)單位需要進行網(wǎng)絡(luò)安全審查的申報,即電信、廣播電視、能源、金融、交通、水利、國防科技等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運營者在采購網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)時(即與產(chǎn)品和服務(wù)提供方正式簽訂合同前),就需要按照《辦法》來進行審查的申報工作。
兩個特性
1. 時間特性-符合當(dāng)下網(wǎng)絡(luò)安全發(fā)展趨勢
當(dāng)前全球正處于新一輪科技革命和產(chǎn)業(yè)變革的歷史交匯期,以大數(shù)據(jù)、云計算、人工智能為代表的新一代信息技術(shù)與實體經(jīng)濟深度融合,工業(yè)經(jīng)濟加速由數(shù)字化向網(wǎng)絡(luò)化、智能化拓展。2020年,我國提出新基建,這又是一個全新的領(lǐng)域。工業(yè)互聯(lián)網(wǎng)就是新基建七大領(lǐng)域之一,工業(yè)互聯(lián)網(wǎng)建設(shè)中最重要的一環(huán)就是工業(yè)網(wǎng)絡(luò)安全,可以說網(wǎng)絡(luò)安全是做好新基建的一個必不可少的前提條件。
而我國工業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)是相對薄弱的,是急需改善的。2018年,國家工業(yè)信息安全發(fā)展研究中心收集研判工業(yè)控制系統(tǒng)、智能設(shè)備、物聯(lián)網(wǎng)等領(lǐng)域的安全漏洞共計432個,主要分布于關(guān)鍵制造、能源、水務(wù)化學(xué)化工等領(lǐng)域。其中,高危漏洞276個,中危漏洞151個,中高危漏洞占比高達99%。到2019年安全漏洞的總數(shù)達到了567個,同比增長11.5%,其中高危漏洞79個,中危漏洞43個,中高危漏洞占比高達98%。
綜上所述,面對日益嚴峻的網(wǎng)絡(luò)安全形勢,對產(chǎn)品和服務(wù)開展嚴格的安全審查,防堵安全漏洞和隱患,所以在現(xiàn)在這個階段下,施行《網(wǎng)絡(luò)安全審查辦法》是非常有必要的。也是符合我國當(dāng)下網(wǎng)絡(luò)安全發(fā)展的階段性需求。
2. 通用特性-符合我國公開、透明的原則
《辦法》在編制時,具有濃厚的中國特色,即公開性、公平性。在《辦法》中,對國內(nèi)供應(yīng)商、國外供應(yīng)商采取一視同仁的態(tài)度,反觀國外出現(xiàn)多次“非歧視性”采購原則,典型的案例就是2018年華為5G事件,多政府以評估電信網(wǎng)絡(luò)等設(shè)備是否對國家安全造成風(fēng)險為由,禁止采購華為5G設(shè)備。而在我國的《辦法》中,只要符合網(wǎng)絡(luò)安全基線的產(chǎn)品或服務(wù),都可以在關(guān)鍵信息基礎(chǔ)設(shè)施中使用,這也充分體現(xiàn)了我國的公開、公平的原則。
總結(jié)下《網(wǎng)絡(luò)安全審查辦法》,簡單說就是要求關(guān)鍵信息基礎(chǔ)設(shè)施的運營者對企業(yè)網(wǎng)絡(luò)產(chǎn)品及服務(wù)的供應(yīng)鏈安全負責(zé),這是責(zé)任,也是挑戰(zhàn)。對于企業(yè)運營者來說,如何解決網(wǎng)絡(luò)產(chǎn)品及服務(wù)的供應(yīng)鏈安全,如何應(yīng)對采購的網(wǎng)絡(luò)產(chǎn)品安全漏洞和隱蔽通道后門等問題,這無疑是對企業(yè)運營者提出的巨大挑戰(zhàn)。
應(yīng)對之道
1. 自主可控,國產(chǎn)化替代
“網(wǎng)絡(luò)大國”想要成為“網(wǎng)絡(luò)強國”是我國社會發(fā)展和大時代下自然而然的訴求。然而,要建立網(wǎng)絡(luò)強國,無疑需要政策、規(guī)劃、人才、管理等各個方面的支持,特別是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和自由創(chuàng)新能力方面。網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)的國產(chǎn)化就成為了基本要求。但是,目前整個行業(yè)仍缺乏細顆粒度、能夠落地的、有效的國產(chǎn)化標準,網(wǎng)絡(luò)安全國產(chǎn)化生態(tài)圈也尚未完善,這些都大大減緩了我國實現(xiàn)網(wǎng)絡(luò)安全國產(chǎn)化的腳步。
在企業(yè)用戶方面,國外品牌的產(chǎn)品仍然占主流。從服務(wù)的角度,因為企業(yè)用戶使用國外的產(chǎn)品,運維人員需要長期去學(xué)習(xí),研究如何使用國外產(chǎn)品,自我形成了一定的使用習(xí)慣和根深蒂固的思維,再加上國產(chǎn)化產(chǎn)品不太完善的情況,導(dǎo)致企業(yè)用戶不太容易接受國產(chǎn)化安全產(chǎn)品或者在接受國產(chǎn)化產(chǎn)品時存在一定顧慮,所以國產(chǎn)化替代仍然有很長的路要走。
2. 做好采購前的產(chǎn)品網(wǎng)絡(luò)安全健壯性篩查工作
加強采購前網(wǎng)絡(luò)產(chǎn)品的安全健壯性篩查工作是比較能夠落地的應(yīng)對之道。通過安全漏洞檢查工具對網(wǎng)絡(luò)產(chǎn)品進行相關(guān)入網(wǎng)前的安全健壯性檢測,建立健全網(wǎng)絡(luò)設(shè)備安全檢測、市場準入認證體系,輔助《網(wǎng)絡(luò)安全審查辦法》落地,為形成網(wǎng)絡(luò)安全審查體系提供強有力的技術(shù)保障。目前安全健壯性檢查認證以及漏洞檢查工具在當(dāng)下已有相對成熟的基礎(chǔ):
技術(shù)方面,已有較為成熟的漏洞掃描技術(shù)和漏洞挖掘技術(shù)等漏洞檢測技術(shù);
漏洞挖掘技術(shù):通過模糊測試(Fuzz Testing)的方法,構(gòu)造一系列無規(guī)則的“壞”數(shù)據(jù)“插入”工業(yè)控制設(shè)備,觀察其運行狀態(tài),以發(fā)現(xiàn)潛在的bug。如果此Bug可被重復(fù)利用并能導(dǎo)致控制設(shè)備的宕機、拒絕服務(wù)等異?,F(xiàn)象,則推斷這是一個漏洞,也就是我們常常聞之色變的0-Day漏洞。
漏洞掃描是漏洞挖掘“最親密的好兄弟”,它負責(zé)把已經(jīng)公開的漏洞通過已知確定的方法展現(xiàn)出來。
資質(zhì)認證方面,目前也有了不錯的積累。
從這兩種應(yīng)對之道目前的情況看,加強采購前的產(chǎn)品網(wǎng)絡(luò)安全健壯性篩查工作更適用于當(dāng)下時代的發(fā)展。