《网络安全审查办法》引发的深度思考
7月2日,网络安全审查办公室按照《网络安全审查办法》(简称:《办法》) ,对“滴滴出行”实施网络安全审查。 经查“滴滴出行”因严重违法违规,被责令下架。 7月5日,网络安全审查办公室再次发文,对”运满满”、“货车帮”、“BOSS直聘”启动网络安全审查。 国家网信办密集对企业进行 公开网络安全审查,引起业界极大关注。
《办法》是由国家互联网信息办公室、发展改革委、工业和信息化部等十二部门联合发布,并 于2020年6月1日起实施 ,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。
关键信息基础设施运营者作为《办法》重点审查对象,该如何理解《办法》?面对《办法》近期针对企业开展网络安全审查又有哪些应对之道?笔者对此进行了深度思考:
实际上网络安全审查的制度不是首次提出,早在2014年我国就推出过网络安全相关的审查制度。随着2016年《中华人民共和国网络安全法》(简称:网络安全法)的正式施行,这才进一步明确了网络安全审查制度化、法制化的上位制度地位。在《中华人民共和国网络安全法》中第三十五条、第三十六条,就有明确规定:
《网络安全法》属于上位法律法规,所以它需要更细化的指导性文件或指导性办法来将网络安全审计制度落地,这也是《网络安全审查办法》的主要目的之一。
从内容上看,《网络安全审查办法》与《网络安全法》是相辅相成的关系,两者在部分条款上,相互呼应。对于《网络安全审查办法》的理解,笔者认为可以从2个明确和2个特性这四个方面来理解:
两个明确
核心思想明确
该《办法》共计22条,内容简明扼要,核心思想非常明确,在第一条办法中就指明该办法是为了确保关键信息基础设施供应链安全。
供应链安全在工业领域尤为突出,供应链安全问题也是我国工业企业面临的主要风险之一。举个能源行业的例子,2019年6月CNCERT发布的《水电行业工控网络安全研究报告》,调查发现,水电信息系统使用了大量的第三方应用,例如ApacheStruts2、JEECMS、ApacheTomcat、Jboss、phpMyAdmin、FCKeditor等应用存在默认页面泄漏、版本漏洞等,证明水电信息系统使用的第三方应用欠缺安全管理,可利用公开的应用信息或漏洞进行攻击,获取敏感数据等。另一方面,电力监控系统SCADA、电力厂站现地设备大量使用国外产品的情况普遍存在。2018年,西门子发布官方公告称其产品存在两个高危漏洞(CVE-2018-11453和CVE-2018-11454)。该漏洞将对基于西门子产品的工业控制系统环境造成重大风险,该类设备在我国电力行业中就有大量的使用。
这样的例子比比皆是,在过去几年中,供应链安全已经成为网络安全战场的不可忽视的一面,所以针对网络安全审查的工作是非常重要的。
面向对象明确
在《办法》中的第二条,明确指明了其所面对的对象主体,即关键信息基础设施运营者。而在以往对于网络产品的安全性要求更多的是需要网络产品和服务提供者自己对提供的网络产品安全性负责,而此次将责任主体明确,要求关键信息基础设施的运营者对于采购的网络产品进行安全性要求约束。采购的网络产品,尤其是网络安全产品,运营者更需要对其安全性进行严格审查,并需要网络安全产品提供商出具相关的证明文件,证明其提供的产品具备安全性,健壮性,不存在高危安全漏洞或隐蔽后门。
如何定义国家关键基础设施?在《信息安全技术 关键信息基础设施网络安全保护基本要求》中对关键基础设施有明确的定义,“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。”
涉及具体哪些行业单位需要进行网络安全审查的申报,即电信、广播电视、能源、金融、交通、水利、国防科技等行业领域的重要网络和信息系统运营者在采购网络安全产品和服务时(即与产品和服务提供方正式签订合同前),就需要按照《办法》来进行审查的申报工作。
两个特性
时间特性-符合当下网络安全发展趋势
当前全球正处于新一轮科技革命和产业变革的历史交汇期,以大数据、云计算、人工智能为代表的新一代信息技术与实体经济深度融合,工业经济加速由数字化向网络化、智能化拓展。2020年,我国提出新基建,这又是一个全新的领域。工业互联网就是新基建七大领域之一,工业互联网建设中最重要的一环就是工业网络安全,可以说网络安全是做好新基建的一个必不可少的前提条件。
而我国工业网络安全的基础是相对薄弱的,是急需改善的。2018年,国家工业信息安全发展研究中心收集研判工业控制系统、智能设备、物联网等领域的安全漏洞共计432个,主要分布于关键制造、能源、水务化学化工等领域。其中,高危漏洞276个,中危漏洞151个,中高危漏洞占比高达99%。到2019年安全漏洞的总数达到了567个,同比增长11.5%,其中高危漏洞79个,中危漏洞43个,中高危漏洞占比高达98%。
综上所述,面对日益严峻的网络安全形势,对产品和服务开展严格的安全审查,防堵安全漏洞和隐患,所以在现在这个阶段下,施行《网络安全审查办法》是非常有必要的。也是符合我国当下网络安全发展的阶段性需求。
通用特性-符合我国公开、透明的原则
《办法》在编制时,具有浓厚的中国特色,即公开性、公平性。在《办法》中,对国内供应商、国外供应商采取一视同仁的态度,反观国外出现多次“非歧视性”采购原则,典型的案例就是2018年华为5G事件,多政府以评估电信网络等设备是否对国家安全造成风险为由,禁止采购华为5G设备。而在我国的《办法》中,只要符合网络安全基线的产品或服务,都可以在关键信息基础设施中使用,这也充分体现了我国的公开、公平的原则。
总结下《网络安全审查办法》,简单说就是要求关键信息基础设施的运营者对企业网络产品及服务的供应链安全负责,这是责任,也是挑战。对于企业运营者来说,如何解决网络产品及服务的供应链安全,如何应对采购的网络产品安全漏洞和隐蔽通道后门等问题,这无疑是对企业运营者提出的巨大挑战。
应对之道
自主可控,国产化替代
“网络大国”想要成为“网络强国”是我国社会发展和大时代下自然而然的诉求。然而,要建立网络强国,无疑需要政策、规划、人才、管理等各个方面的支持,特别是网络基础设施和自由创新能力方面。网络安全设备和系统的国产化就成为了基本要求。但是,目前整个行业仍缺乏细颗粒度、能够落地的、有效的国产化标准,网络安全国产化生态圈也尚未完善,这些都大大减缓了我国实现网络安全国产化的脚步。
在企业用户方面,国外品牌的产品仍然占主流。从服务的角度,因为企业用户使用国外的产品,运维人员需要长期去学习,研究如何使用国外产品,自我形成了一定的使用习惯和根深蒂固的思维,再加上国产化产品不太完善的情况,导致企业用户不太容易接受国产化安全产品或者在接受国产化产品时存在一定顾虑,所以国产化替代仍然有很长的路要走。
做好采购前的产品网络安全健壮性筛查工作
加强采购前网络产品的安全健壮性筛查工作是比较能够落地的应对之道。通过安全漏洞检查工具对网络产品进行相关入网前的安全健壮性检测,建立健全网络设备安全检测、市场准入认证体系,辅助《网络安全审查办法》落地,为形成网络安全审查体系提供强有力的技术保障。目前安全健壮性检查认证以及漏洞检查工具在当下已有相对成熟的基础:
◇ 技术方面,已有较为成熟的漏洞扫描技术和漏洞挖掘技术等漏洞检测技术;
漏洞挖掘技术:通过模糊测试(Fuzz Testing)的方法,构造一系列无规则的“坏”数据“插入”工业控制设备,观察其运行状态,以发现潜在的bug。如果此Bug可被重复利用并能导致控制设备的宕机、拒绝服务等异常现象,则推断这是一个漏洞,也就是我们常常闻之色变的0-Day漏洞。
漏洞扫描是漏洞挖掘“最亲密的好兄弟”,它负责把已经公开的漏洞通过已知确定的方法展现出来。
◇ 认证方面,目前也已有了不错的积累,以工业领域为例,目前工业控制领域最具权威的安全认证是ISASecure 认证,该认证由ISCI (The ISA Security Compliance Institute)开发,是基于 IEC62443 标准的合规认证,其中包括:
EDSA(Embedded Device Security Assurance Certification)认证:侧重设备级别的安全性保障,认证对象是独立的工控设备,比如PLC等。
SSA(System Security Assurance Certification)认证:侧重系统级别的安全性保障,认证对象是工控系统,比如DCS、SCADA、SIS等。
SDLA(Security Development Lifecycle Assurance Certification)认证:侧重安全开发生命周期的安全保障,认证对象是研发团队。
EDSA认证是第一个 ISASecure 认证项目,提供一套通用的业界公认的嵌入设备安全性及过程规范,从设备开发、生产、采购等各阶段保障嵌入式设备安全。2018年10月发布EDSA 3.0版本,当前已经广泛开展起来,目前有大约34款产品获得EDSA的认证。这些设备厂商主要是:Honeywell、Schneider、Yokogawa、TOSHIBA、RTP、Hitachi、HIMA、ABB、Azbil 、Beijing Consen。
从这两种应对之道目前的情况看,加强采购前的产品网络安全健壮性筛查工作更适用于当下时代的发展。
网络设备、安全设备入网前的准入技术保障体系建设,也是威努特一直努力的方向,威努特工控漏洞挖掘平台VHunter IVM目前已在国家工业信息安全发展研究中心、工业控制系统信息安全技术国家工程实验室、国家互联网应急响应中心、国网电科院、南网电科院、山西电科院、上海电科院、上海信息安全测评中心、山东省电子质检院、华中科技大学、某兵器研究院、湖南质检院等多家监管单位及科研部门得到广泛应用,被工信部评为2018年“电信和互联网行业网络安全试点示范项目”,VHunter IVM已逐渐成为中国工控设备安全检测认证的标准化测试工具。
