国家关键信息基础设施保护指南优化方案

近年来,随着印度通信技术的发展和信息共享系统的进步,关键基础设施逐渐依赖于起到信息管理、通信和控制功能的信息基础设施或者基础设施部门。这些关键信息基础设施相互关联,相互依存,并分布于不同的地理位置,涉及国防、金融、电力、交通、通信和供水等领域。这些关键信息基础设施的运作出现任何延误、扭曲或中断都极易导致政治、经济、社会乃至整个国家的不稳定。因此,保护CI和CII成为政府关注的焦点。

印度《国家关键信息基础设施保护指南》详细讨论了CII的总体组织结构和面临的网络安全威胁,介绍了制定、发展和执行计划、政策和方案所需的机构设置,重点提出了四十条保护CII的控制措施和指导原则。这些控制措施和指导原则采取与全体利益相关方积极协商的方式帮助关键部门绘制CIIP路线图,保护国家重要信息资产。

(一)关键信息基础设施(CII)的识别

信息基础设施通常是用于描述互联计算机和网络的总体以及流经设施的基本信息的术语。信息基础设施的某些部分尤其关键,对于经济繁荣、民族统一和国家领土完整至关重要。这些政府和社会重点管控的重要数据网络包括通信、银行、铁路、国防和空中交通等。随着IT产业发展速度的加快,这些关键系统难以与外界隔绝,因此首先应该解决CII的识别问题。依据识别是否具有关键性因素,主要可分为两种:一是可以单独地对其他可能严重破坏政治或社会基础设施的节点施加影响;二是构成节点集合的组成部分,可以故障或者严重中断等方式受到影响或攻击。国家关键信息基础设施保护中心(The National Critical Information Infrastructure Protection Centre,NCIIPC)委托保护CII的代理机构列举了识别CII的一些参数,例如系统/信息基础设施的功能,涉及工作和劳动力、国家与其他信息基础设施的互补性、社会、政治或战略价值观和时间/持续时间等。

(二)CII面临的威胁

由于新的社会风险和脆弱性与新技术的开发和利用存在直接或间接关系,对CII的保护需要综合考虑系统、参与者、威胁、脆弱性和后果等方方面面。首先,漏洞是攻击者可以用来控制系统、访问和窃取信息或降低系统功能的缺陷。不同的部门存在Web应用程序、服务器、SCADA系统等许多漏洞。其次,VPN服务、SCADA服务、电子邮件服务、Web服务、客户端服务、Wi-Fi服务、DMZ服务、网络服务和VoIP服务等任何关键信息基础设施都包含各种子服务,这些服务受到自发或有组织的恶意攻击者的持续威胁,如网络应用攻击、客户端攻击、网络攻击、恶意软件和APT(高级持续威胁)攻击、拒绝服务/分布式拒绝服务攻击(DOS/DDOS)、社会工程、强力攻击、战争潜水攻击、中间人(MITM)和拦截攻击、路由攻击、供应链污染攻击、DNS攻击以及通过绕过周界保护设备的有针对性的攻击等。分析最近对网络基础设施的攻击可以发现,攻击者更多地针对Web应用程序、SCADA系统和服务器发动攻击。

(三)国家关键信息基础设施保护中心的政策与战略

国家关键信息基础设施保护中心的使命是“采取一切必要措施,保护关键信息基础设施免遭未经授权的访问、修改、使用、披露、失能或破坏,通过协调一致提高所有利益相关方的信息安全意识”,并以“促进国家关键部门建立安全、可靠和有弹性的信息基础设施”为愿景。国家关键信息基础设施保护中心实现其愿景和使命的指导原则如下:

(1)发展促进CII的识别机制,通过风险管理保护CII,确保CII遵守国家关键信息基础设施保护中心的政策、指南、建议/警报等;

(2)协调关键信息基础设施国家计划和政策;

(3)建立国家和国际间保护CII(包括R&D)的联系/举措;(www.xing528.com)

(4)促进关键信息基础设施保护的研究与发展(R&D),包括复杂CII的建模和模拟,CIIP工具和威胁情景的开发;

(5)开展机制促进CII利益相关者以及国家关键信息基础设施保护中心之间有关信息安全漏洞、事件、网络攻击和间谍等信息的共享;

(6)通过PPP促进专题研讨会和培训计划的开展,提高信息安全意识;

(7)通过聘请类似印度科学院(IISc)、国家理工学院(NITs)等专业院校以及从事CIIP工作的私人或非政府合作伙伴,帮助高素质人才进行能力建设;

(8)开发实时预警系统,促进与CII共享新出现的威胁、网络攻击、漏洞等信息。

这些指导原则有助于国家关键信息基础设施保护中心制定CIIP保护路线,以实现国家安全、可靠和有弹性的CII。

(四)最佳实践、控制和指导

国家关键信息基础设施保护指南将所有保护CII的最佳方法整合起来,还建议每个组织必须制定自己的定制指南,以保护其各自的CII。该指南还咨询了关键部门的管理层和首席信息安全主任,在协商中了解保护CII所需日益增长的需求和满足具有挑战性的基础设施、人力、技能和准则。国家关键信息基础设施保护中心通过反馈、培训、研讨会、讨论和定期互动,与所有利益相关者进行磋商和协作,并且咨询了域名专家和全球公认的专业机构组织。

四十个控制措施是国家关键信息基础设施保护中心的最小控制数量,由国家关键信息基础设施保护中心定期更新,以保持与新协议、新技术的一致性。该指南在“最佳实践、控制和指引”部分重点描述的四十个控制措施,分别是:①CII的识别;②横向和纵向的相互依赖关系;③信息安全部门;④信息安全政策;⑤升级训练与技能;⑥数据丢失防御;⑦控制策略准入;⑧管理权限;⑨周边防护;⑩事件响应;⑪风险评估管理;⑫物理安全;⑬身份识别和认证;⑭维护计划;⑮维护监测和分析日志;⑯渗透测试;⑰数据存储-哈希和加密;⑱反馈机制;⑲安全认证;⑳资产和清单管理;应急计划;灾难恢复站点可预测的故障预防;信息/数据泄露保护;拒绝服务/分布式拒绝服务(DoS/DDoS)保护 Wi-Fi安全;数据备份计划;安全架构部署 Web应用程序安全性;硬件和软件的测试与评估;硬件和软件的硬化期间审计;安全建议的遵守情况检查和平衡疏忽; APT保护网络设备保护;云安全外包和供应商安全;关键信息处置和转让内联网安全。

在重点描述的四十项控制措施中,首先将关键部门作为国家风险评估的一部分,根据临界度量表、互补程度、政治、经济、社会和战略价值、依赖程度、敏感度等进行识别,强调功能性、互补性等对CII识别的重要性。接下来,该指南介绍了CII之间纵向和横向的相互依赖关系,为营造CII的安全环境提供了绝对必要条件,明确保护CII的机构设置,设置信息安全部主要用来研究威胁、风险、漏洞及其解决方案,提供安全通报、确保分类信息以及与信息安全相关的教学和执法活动。此外,对信息安全部门的责任义务及结构进行了明确具体的规定。首先,指南强调了制定信息安全政策的重要性,指出政策必须涵盖保密、诚信和可用性三方面。其次,为惩教署、管理员等相关组织机构的职能职责、数据的丢失与预防、CII周边区域的保护、事件响应与风险评估和监管防护等内容进行了详细规定,为印度的关键信息基础设施保护提供了具体架构与准则指引。由此可见,该指南是印度保护国家重要信息资产的重要里程碑。