前言
网络安全的重要性和紧迫性已经不言而喻。随着一系列法律法规的颁布,依法治网的钟声越来越响亮了。近些年来,全球范围内网络安全事件频发,现实的挑战日益严峻,未来也更加纷繁复杂。网络安全作为国家安全的重要组成部分,已经受到党和国家以及社会各界的高度重视。2017年6月1日起《中华人民共和国网络安全法》(以下简称《网络安全法》)施行,网络安全正式上升到法治高度。2017年8月,中共中央批准《党委(党组)网络安全工作责任制实施办法》,明确提出: 班子主要负责人是网络安全的第一负责人,承担主要领导责任;主管网络安全的领导班子成员是直接负责人,承担重要领导责任。2019年4月,国务院国资委在《中央企业负责人经营业绩考核办法》中首次将网络安全事件与生产安全责任事故并重调查和考核。2020年1月1日起《中华人民共和国密码法》施行。2021年9月1日起《中华人民共和国数据安全法》《关键信息基础设施网络安全保护条例》施行。2021年11月1日起《中华人民共和国个人信息保护法》施行。“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”习近平总书记的指示已经深入人心。
网络安全责任重大、任务艰巨,各单位上下和所有从业者已经无法规避,必须迎难而上。无论是政府部门还是企事业各单位,一把手作为网络安全第一负责人如何担负好主要领导责任;分管领导作为网络安全直接负责人应肩负起重要领导责任;网络安全的部门负责人应自信地担负起本单位网络安全工作的管理责任,切实协助一把手和分管领导把网络安全工作全面谋划好、统筹部署好、有效落实好,“让领导放心,让自己安心”;单位内部网络安全专业技术人员应履行好网络安全规划建设、日常运维和安全保障的具体责任,面对日新月异的新技术应用和新安全挑战,持续有效地学习和提升网络安全技能,把网络安全工作做得更轻松、更从容;单位内部的所有IT系统用户,在不断深化和创新应用数字化技术的同时,应该认识到自己其实是网络安全防护的直接主体,应尽到“谁建设谁负责、谁使用谁负责”的网络安全防护责任和义务,而不是网络安全的旁观者和“意见领袖”;作为各单位网络安全建设的参与者,数字化产品和网络安全产品的研发者、供应商和服务商应履行好自身网络安全建设的法定责任和义务;为各单位提供网络安全咨询和技术服务的专业机构应站在国家安全、社会安全、企业安全和人民利益安全的高度,充分发挥自身专业技术优势,与各单位一起积极有效地协同作战,共同履行好保障网络安全的法定义务和社会责任。总之,网络安全生态中的所有参与方和从业者都必须肩负起自身维护网络安全的法律责任,正视并善于应对挑战,共同为数字化驱动的高质量发展保驾护航。
网络安全评估实战前言0000从“止于合规”到“持续守住打赢”,从被动接受检查和等级测评到主动开展自查和同行评估,是网络安全运营者实施主动防御的必然要求。不少单位的领导和从业者当前对网络安全工作目标的认识还基本处于“止于合规”的状态,满足于“上级检查能过,等级测评合格”。然而,随着网络安全外部威胁的加剧和内部数字化依赖度的增加,“合规”仅仅是网络安全工作的基线,能够针对各类威胁攻击“持续守住打赢”才是网络安全工作的真正目标。从“止于合规”到经受住实战考验,从实战演习“过关”到常态化实战防护“不出问题”,甚至能够主动溯源和有效反制,已经变得越来越重要和必要。上级检查是基于合规要求,按照法律法规、行业规范和标准导则等要求,自上而下进行检查,有针对性地发现问题并提出整改要求,是一种强制性的检查活动。等级测评是由符合条件的测评机构作为执行主体,按照等级保护基本要求周期性强制执行的一种针对已定级系统的测评活动,按照是否满足业务要求进行判定,服务于行业主管部门、网络安全监管部门以及使用和运营单位。这两种监督管理方式,对于网络安全运营者来说,是一种被动式、应付式的局部“体检”,难以深入、全面、及时地发现网络安全短板、弱项和风险隐患。本书借鉴国际核能领域开展同行评估的理念、体系、方法和最佳实践,在网络安全领域引入和建立同行评估体系,与网络安全等级测评和监督检查等方式有机结合,期望形成互补优势,更主动、更全面地支撑和促进各网络安全责任主体发自内心地愿意请同行“挑刺”、与同行分享,提高“评估发现、风险识别、轻重缓急、有序整改、持续提升”的闭环执行质量。本书认为,网络安全同行评估是网络安全管理方式和社会化服务体系的一种创新探索和有益实践。
同行评估提倡“追求卓越、聚焦管理、自律自愿、持续改进”,是贯彻依法治网、依标强网和落实“三化六防”措施的有效方式。当前,网络安全领导力不足、网络安全管理体系不完善、技术体系和措施执行不到位、重技术轻管理、重投产后修补加固轻本体安全源头设计、重当前头痛医头轻持续能力提升、重数字化建设轻网络安全建设和监测运营等,已经成为“持续守住打赢”目标下的共性顽症。在国际核能领域,领域业绩目标与评估准则是同行评估的核心标准,凝聚了该领域所追求的管理绩效目标和最佳管理实践。因此,网络安全同行评估的关键要素就是设计一套符合国家法律法规、安全标准和最佳实践的网络安全业绩目标与评估准则。本书以等级保护2.0核心标准《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)为主体框架,充分融合近些年来电力、金融、电信、交通、水利、石油石化、电子政务和公共服务等领域的网络安全优秀实践,提出网络安全领导力、网络安全分级业绩目标与责任制、从“止于合规”到“持续守住打赢”的网络安全工作目标以及实战化驱动的网络安全能力评估等新理念、新方法和新措施,将领导者、管理者、技术从业者、用户、产品研发和技术支持专业机构的责任与能力全面衔接协同,着力构建有实效的网络安全协同防御能力。本书体现了网络安全“三同步”原则、“三化六防”措施、基于可信免疫和信创体系的本体安全、基于“聚焦管理改进”和“打造网络安全文化”的本质安全等理念和要求,设计构建了网络安全业绩目标和评估准则,包括9大领域和71个子领域,其目的是使负责网络安全工作的领导和管理者以及所有网络安全从业者能够系统、全面和常态化地评估发现网络安全事实偏差,并以追求卓越的理念持续改进,始终保有“与威胁自适应和能对抗”的网络安全综合防护能力。为便于读者理解,下图展示了本书的内容框架。
实战化驱动的网络安全同行评估是有效查找短板、优化整改行动计划、促进本体和本质安全能力持续提升的有力措施。网络安全的本质在对抗,对抗的本质在攻防两端的能力较量。上述共性顽症其实是一系列老生常谈的问题,一个个简单朴素的道理,反复讲,反复强调,但实践证明确实是“讲百遍不如打一遍”。通过实网实战,以实际运行的网络与信息系统为目标,通过有组织、有监督的攻防对抗或攻击检测,尽可能模拟真实的网络攻击,全面检验网络与信息系统的实际安全性以及运维保障和应急处置的实际有效性,已经成为新形势下同行们普遍认同的促进网络安全综合防护能力提升的有效方式。实战化驱动的网络安全同行评估的基本目的就是把实网实战演练与网络安全同行评估的各自优势有效地衔接互补。先授权实施场外实战化评估,尽可能发现受评方网络本体实际存在的事实漏洞、短板和人因缺陷,揭示“什么被打穿”“如何被打穿”以及“为什么被打穿”;然后开展现场同行评估,协助受评方进行沙盘推演,分析这些问题对受评方业务连续性、核心竞争力、品牌影响力甚至对社会安全和国家安全可能产生的影响或后果,从而更加集中、快速和有针对性地查找网络本体的短板、人因缺陷及其产生这些问题的根本原因,支持受评方开展网络安全震撼教育,透过现象看本质,聚焦问题共分享,基于事实找原因,着眼打赢谈整改,为网络安全运营者提供更高质量和更富实效的同行评估服务,既着力当下快速整改的短板,有效防范现实的网络安全威胁,又放眼未来强化本体和本质安全能力,打造常态化、实战化的网络安全综合防御体系。
00不忘初心,牢记使命,未雨绸缪,直面挑战,有效协作,共享众创,持续提升网络安全能力,持续打赢网络安全保卫战。作为长期奋战在企业网络安全和数字化建设第一线的管理者和实践者,我与业界同行一样,一直经受着网络安全问题的严峻挑战和专业责任的拷问,因此也一直在努力探索和深入实践,并试图系统地提炼总结。网络安全属于典型的非传统安全领域,但传统安全领域提出的安全管理四要素(人的不安全行为、设备的不安全状态、环境的不安全因素及管理缺陷)对于网络安全管理同样完全适用。作为非IT专业出身的从业者,上述四要素模型一直是我关于网络安全治理和管理的思考框架。从2006年开始,我策划并构建了基于ISO 27001的信息安全管理体系,并持续至今坚持推动该体系的有效运转。从2010年开始,我引进国家级专业机构进行年度专项渗透检测并推动问题整改落实,逐步建立并不断完善网络安全攻防体系。从2016年开始,我策划和建立了核能行业网络安全同行评估标准体系,尝试开展了核电企业网络安全同行评估。从2019年开始,我参加了国家实网实战演练,同步探索构建和执行完善常态化、实战化的网络安全综合防御体系,按照“行动而非口头、本质而非形式、日常而非突击”的工作原则,形成了一套将等级保护2.0系列标准和“三化六防”措施落到实处的体系和方法。本书提出的网络安全评估实战指引就是这些年来的探索思考和实践总结。作为大家的同行,我发自内心地期望本书的探索、实践和总结能够为政府和各行业、各企业的网络安全与数字化转型工作领导者、管理者和网络安全技术从业者,为各行业协会、学会、咨询公司和专业机构网络安全规划、咨询、测评、评估等相关领域的从业者,为高等院校网络空间安全专业的教师、研究生和本专科学生,以及为其他涉及或关注网络安全工作的所有人,提供一套更系统地认识、更有效地评估和更从容地应对网络安全挑战的思维方式、业绩目标、评估准则和实战指引。限于作者水平,书中有不完善之处,恳请各位同行积极反馈您的实战经验和宝贵意见,以便本书再版时充实和修正,更持续有效地服务于各界同行。
同行相助,不畏艰辛,任重道远,携手奋进!
邹来龙2022年9月于上海
