一、背景
《关键信息基础设施安全保护条例》(以下简称“条例“)自2021年9月1日实施以来,已经走过了一个完整的年度,过去的一年在条例的指引下,相关行业主管部门、监管管理部门已经将相关的要求融入到了监管要求工作中,并且有一些明确的要求或者指南出台,各运营者也在相关要求下逐步开展关键信息基础设施的安全保护工作。消费金融属于金融行业下的一个细分领域,与银行机构一样受到监管机构的强监管,但是也存在其特殊性。在业务类型上其与银行机构就有很大的不同,比如消金不接受客户的存款,而是在满足监管的条件下向客户贷款;在信息安全及信息科技方面,过去通常也没有看到比较明确的监管要求,而监管单位是参考商业银行的监管方式在对消金进行监管,但是从近两年来监管单位相关的发文来看,已经明确提出或者提到消费金融公司,这表明监管单位在消金业务方面加强监管的同时,也对信息科技建设、信息安全建设加强了监管,并提出了更高的管理要求。笔者因为在工作中涉及到了相关的领域,虽然参加了相关的管理、建设、监管报送的工作,但是在这个过程中却发现对关键信息基础设施保护还是一头雾水,因此特意去翻阅了相关的材料,作了一些总结,说一说自己浅陋的看法。
二、关键信息基础设施涉及的几类主体
在该条例的背景下,涉及如下几类主体:
1、 国家网信部门:负责统筹协调;
2、 国务院公安部:指导监督关键信息基础设施安全保护工作;
3、 保护工作部门:即行业和领域的主管部门、监督管理部门,依照条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作,制定关键信息基础设施认定规则,并报公安部进行备案;
4、运营者:即网络、信息系统的运营机构,负责本机构关键信息基础设施的保护工作。
三、关键信息基础设施如何定义
在条例中第二条明确了“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。“在这段话中实际上提到了三个关键内容,一是保护的领域,即公共通信和信息服务、能源、交通等重要行业和领域;二是造成损害的对象,即国家安全、国计民生以及公共利益;三是危害程度,即严重危害。在第九条中也规定了制定认定关键信息基础设施时应当主要考虑的因素,即网络设施、信息系统对关键核心业务的重要程度,其遭到破坏后可能带来的危害程度以及对其他行业和领域的关联性影响。
在实际工作中,目前笔者所了解到的文件是银监办发[2016]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》,该文件指出银行业网络和重要信息系统是国家关键信息基础设施。因此我们需要厘清银行业的重要信息系统包括哪些,通过查阅相关的文件可知银行业重要信息系统类别主要包括综合业务类、渠道管理类、客户管理类、产品管理类、财务管理类、决策支持类、共享支持类,当然每一类还包括一些具体的系统。对于消金而言,可以参考相关的标准,将核心信贷、总账系统、大数据、风控等相关的系统纳入重要信息系统进行管理,并且向监管完成申报。
另外,根据网上流传的《关键信息基础设施确定指南(试行)》(出处及时间均不详),关键信息基础设施包括网站类、平台类以及生产业务类,每一类都有特定的认定为关键信息基础设施的条件,参考该指南消金的进件渠道系统,包括APP、H5等移动端以及与第三流量机构互联的信息系统,由于其处理大量的个人信息,可能会达到认定关键信息基础设施的条件。
四、 一般性保护
在条例第六条中指出“运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。“可以看到对于关键信息基础设施的保护分为两个层次,一个是须满足相关法律法规以及标准要求,开展网络安全等级保护测评,可作为一般性保护;另外一个是在等级保护的基础之上进行的增加性保护。这是说一下笔者对等级保护的级别和关基的关系,从系统等保测评定级的规则以及上述关基的认定规则来看,笔者认为作为关键信息基础设施,其至少为第三级保护系统。
一般性保护基于第三级信息系统安全保护要求,管理制度方面:
1、应制订完善的信息安全管理制度。制度需要进行体系化的建设,形成方针策略、二级管理制度以及相关配套的实施细则、指南、基线、记录表单等。制度应当进行正式发布,并且每年进行评审修订。信息安全管理制度应当覆盖物理环境、介质管理、基础设施、主机终端、网络、系统、数据库、应用、数据分类分级与生命周期管理、个人信息保护、补丁漏洞管理、病毒防护、日志监控、项目管理、资产生命周期管理、信息安全事件、应急预案与演练、外包信息安全、供应链安全管理等各个环节。
2、制定合理的信息安全管理组织架构。组织架构应当合理,明确汇报层级,需要有高级管理层人员的参加,并且单位的主要负责人应当作为信息安全的主要负责人,分管信息科技或者信息安全的高级管理人员应当作为信息安全的直接负责人。相关高级管理成员需要进行信息科技或者信息安全的履职,如参考相关的会议、评审讨论相关的提案。另外需要设立信息安全工作的执行机构,设立相关的岗位以及专职人员。
3、人员的岗位生命周期管理。人员入职前、在岗期间以及离职时均需要进行相关的过程管理,如背景调查、签定保密协议、信息安全意识培训、技能培训等。
4、账号与权限管理方面:账号与权限管理方面需要遵循知其所须、最小授权的原则,并且建立用户建立、授权的管理机制,定期对僵尸用户、测试账号进行清理,关注人员入职、岗位调整、人员离职等几个环节。这里比较麻烦的是谁负责进行用户权限管理、谁来进行业务系统的超级管理员管理,是业务部门还是信息科技部门,这部分内容主要偏向管理,需要与各部门达成一致,然后建立统一的管理流程。
技术防护方面,打造“一个中心,三重防护“技术体系:
1、物理安全:场地选择、动环监控、防雷、防火、防水、防潮、防静电以及电力供应。
2、网络架构方面:建立纵深防御体系的网络架构,合理划分安全区域,严禁将重要的信息系统部署在边界,基于最小授权原则配置细粒度的安全策略,关键设备冗余,充分考虑资产的机密性、完整性、可用性,充分考虑互联网络、办公网络、开发测试网络、生产网络之间的安全隔离,控制无线网络终端的安全准入等。
3、通信传输方面:使用互联网公共传输的务必进行HTTPS或者采用VPN通道加密传输技术,对安全保密要求比较高的业务可考虑使用专线传输。
4、入侵防范方面:部署防火墙、WAF、IPS、IDS等安全设备对网络中的攻击行为进行检测、限制、告警,部署网页防篡改系统防止网站恶意篡改;部署网络防病毒AV、主机防病毒软件,垃圾邮件防范对网络中的病毒、恶意代码进行防护。
5、安全运维方面:部署堡垒机、跳板机等设备进行集中的运维管理,对高风险操作进行限制;对系统日志、设备日志、应用日志、人员操作日志等进行集中记录并避免被篡改,同时确保日志保留时长符合相关的要求。
6、安全审计方面:审计主要从网络流量方面、运维操作方面、用户行为管控方面、数据库操作方面进行审计,从技术落地上讲主要包括流量分析设备、堡垒机、日志审计系统、上网行为管理设备、数据库审计设备等。
7、数据安全方面:主要包括敏感数据的识别、数据的脱敏、数据的访问控制、数据的防泄露等,另外还包括数据的备份与恢复验证等。
8、密码安全方面:根据《密码法》等相关法律法规要求,落实相关的规范标准,采取有效的密码技术保护网络安全,使用符合相关要求的密码产品和服务。
9、安全风险控制方面:主要包括高风险资产暴露面收敛、漏洞扫描、补丁安装、渗透测试、安全评估、风险评估,开展等级保护测评工作并同步开展密码应用安全性评估工作。
五、增强性保护
为了体现关键信息基础设备的保护的特殊性以及重要性,在运营者履行了上述的一般性保护外,还应当强化对关键信息基础设施的保护。笔者总结的增强性保护措施如下:
1、明确关键信息基础设施的资产清单。针对关键信息基础设施建立明确的资产清单,包括硬件、软件、IP、应用、服务、端口、重要数据清单、组件版本清单,基于资产清单梳理风险暴露面、明确已知漏洞情况等。
2、强化对重要数据安全管理。根据梳理的重要数据清单制定重要数据保护目录,梳理重要数据的分布地图、数据在业务场景中的流转、数据安全保护的薄弱环节、重要数据的生命周期管理等。
3、强化核心岗位人员管理。建立关键岗位清单,岗位不相容清单,对关键岗位人员开展背调、进行技能培训等。
4、开展威胁建模,提升内生安全。将安全风险纳入产品、系统的生命周期管理,从需求阶段开展安全需求分析、威胁建模,加强安全测试,代码扫描,网络、系统上线前完成安全评估、风险评估,将安全作为一个产品不可或缺的属性,从而提升产品、网络、系统的安全性。
5、引入威胁情报、态势感知,加强主动防御。基于前述对资产的梳理,通过威胁情报第一时间了解高危漏洞爆发对信息系统的影响范围,影响程度,及时评估对网络、信息系统的影响性,快速感知网络的安全风险,在单位机构整体的视图下,快速识别薄弱环节,具有针对性的加强保护。
6、加强未知威胁、高级持续威胁的监测识别。个人认为这是属于比较高阶的主动防御,可以与安全服务提供商进行沟通,明确具体的需求,通过相应的安全产品、安全服务、安全运营共同完成。
7、通过蜜罐、沙箱等技术诱捕网络攻击行为。此类技术还是目前比较常规或者常见的主动防御技术,能够将此类设备部署在网络中的机构单位应该是对信息安全有一个比较高层次认识的单位。划分合理的安全域,在安全域中部署蜜罐、沙箱等设备,分配一定的伪资源,吸引非法入侵的注意,通过告警及时发现网络安全入侵。
8、加强供应链的安全管理。梳理供应链清单,建立供应商机构目录,将供应商机构自身的信息安全管理能力、项目管理能力、人员能力、技术服务能力纳入考察项,加强对供应商的信息安全调研,将前述考察项作为作为供应商选择的依据,将金融行业相关的监管要求传递到供应商。
9、制订应急预案,开展应急演练工作。制订应急预案,明确事件报告机制,充分考虑各种风险场景,定期通过桌面演练、模拟演练、真实演练等各种手段相结合检验应急预案的可行性,强化信息安全事件的应急处置能力。
10、通过实战演练,增强攻防对抗能力。实践是检验真理的唯一标准,同样实战演练是检验信息安全保护能力的唯一手段。通过技术对抗全面检验前述管理、技术措施的有效性,从而针对性的补齐短板。
六、总结
公安机关将持续不断的全面推动网络安全“实战化、体系化、常态化“和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施落地,切实加强信息安全保卫、保护和保障工作。在这个过程中,我们也在关基保护工作部门的监管、引导下不断的去探索与自身业务相匹配的信息安全保护、保障机制。上述为笔者查阅相关资料后进行的总结,其中有一些个人思考,难免有错误或者遗漏,虽说是从消金行业开始聊起,但是笔者认为相关的思路亦可以应用在其他的行业机构。在实际工作中首先应当明确哪些属于关键信息基础设施,在开展一般性保护基础上再进行增强保护。信息安全建设不是一蹴而就的,需要分不同的阶段进行分期投入,首先是满足基础的信息安全防护,随着业务的发展再考虑更高层次的信息安全建设,在业务与信息安全之间求得平衡。对资产进行全面梳理,对数据、信息系统进行分类分级保护,确保有限的资源用在重点保护的资产上。
