习近平总书记指出,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”我国政府部门越来越依赖信息系统和网络开展业务,海量业务数据、机密数据、公民数据在政府信息系统和网络之间传输、交换、存储,因此,国家党政部门的网络对国外情报部门和网络空间中的恶意行动者有着很强的吸引力,所面临的网络安全风险远远高于其他部门。
政府信息网络安全工作具有复杂性、系统性、动态变化性、专业性等特点,保护政府网络安全是一项复杂、专业、系统的工作。政府信息系统和网络高度复杂,种类繁多,技术多样,在地理上是分散的,专业技术人员水平参差不齐,这增加了识别、管理和保护网络和信息安全的难度。此外,政府信息系统和网络通常与其他内外部系统和网络(包括互联网)相互连接,会受到多渠道的网络攻击。
我国政府面临的网络安全风险究竟有多大,政府网络安全保护是否有效,政府网络安全高风险领域是哪些等问题都需要独立第三方,从系统、专业的层面进行客观评估和判断。审计作为党和国家监督体系中的重要组成部分,应系统、综合、专业地评估我国政府网络安全工作,在防范我国政府网络安全风险、保障我国国家安全和经济平稳运行中发挥应有作用。
一、目前我国政府机构网络安全保护现状及存在问题
2017年6月1日,我国网络安全领域的基础性法律《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施,为我国有效应对网络安全威胁和风险、全方位保障网络安全提供了上位法依据,这表明我国网络安全保护工作取得了丰硕的成果。但我国政府网络安全保护在落地实施过程中,仍存在一些问题。
(一)《网络安全法》明确了我国网络安全监管职责和分工的总体原则,但并未明确政府网络安全的具体管理机制。
《网络安全法》明确了我国网络安全监管职责和分工的总体原则。此外,还有一些行政法规、部门规章和通知等规定了政府网络安全保护的要求。
《网络安全法》明确了网络安全监管的原则,但是具体的政府网络安全管理机制还需要在《网络安全法》的配套法律法规中予以明确,如建立政府网络安全风险报告与评估监测机制、建立审计署对政府网络安全保护工作的监督机制等。
《网络安全法》规定,国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。目前,我国国家互联网应急中心负责收集网络攻击事件和安全威胁信息,关注的是外部的网络攻击事件,尚未收集网络攻击损失信息。政府网络安全内部风险的收集、报告、监测和评估机制仍需完善,监管机构存在无法及时发现政府网络安全保护工作的问题及难点的现象。2018年6月27日,公安部会同有关部门起草了《网络安全等级保护条例(征求意见稿)》,在三十三条中明确了行政主管部门对网络安全等级保护的审计审核要求,未明确审计署的外部监督职责。
(二)网络安全等级保护、关键信息基础设施重点保护落地实施相关的法律法规和标准体系亟待完善。
等级保护制度筑起了我国网络和信息安全的重要防线。《网络安全法》确立了网络安全等级保护制度(等保2.0),这表明《信息安全等级保护管理办法》及《信息系统安全等级保护定级指南》确定的“信息安全等级保护”(等保1.0)已全面升级。
从国家标准化管理委员会工作来看,网络安全等级保护落地相关的规定和标准尚处于征求意见或起草阶段,这表明完善的网络安全等级保护实施的制度化体系尚未建立。《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。关键信息基础设施网络安全落地实施的规定和标准尚处于征求意见阶段或起草阶段,这表明完善的关键信息基础设施网络安全保护实施的制度化体系尚未建立。
(三)政府网络安全保护能力参差不齐。
政府机构在网络安全威胁理解、网络安全意识、网络安全需求、网络安全资金预算、网络安全风险管理实践经验、网络安全人才队伍等方面存在差异,因而政府网络安全保护能力参差不齐。比如有的政府机构电子政务采用了分布式架构的云平台,有的政府机构电子政务采用了传统中心服务器的方式,这两种方式面临不同的网络安全威胁,对网络安全保护能力要求也是不同的,采用云平台的网络安全保护能力要求更高。
(四)缺乏政府网络安全风险管理流程的标准和指南。
由于政府网络安全保护能力参差不齐,迫切需要国家制定标准化的政府网络安全风险管理流程标准,应用风险管理的原则和最佳实践来提高政府关键基础设施和网络的安全性和恢复能力。我国在关键信息基础设施和网络的安全保障体系建设方面起步较晚,还未制定政府网络安全的风险生命周期管理(识别风险、管理风险、降低风险)流程和标准,缺乏对政府网络安全保护工作落地实施的指导。
(五)政府网络安全人才短缺,网络安全管理组织结构还需完善。
网络安全的竞争,归根结底是人才竞争。政府网络安全人才短缺现象严重。中国信息安全测评中心等单位发布的《2018网络安全人才发展白皮书》显示,事业单位和政府机构/非盈利机构的网络安全人才仅占网络安全从业人数的4.75%。
《信息安全技术 政府部门信息安全管理基本要求》(GB/T 29245-2012)要求建立信息安全责任制和工作机制,政府部门需要明确一名主管领导、建立一个机构,各内设机构应指定一名专职或兼职信息安全员,但并未对设置信息技术领导提出要求。由于网络安全管理既是业务职能又是IT职能,如果政府机构没有设置信息技术领导,从技术上保证政府机构落实网络安全保护要求存在一定的风险。
二、当前政府机构加强网络安全工作应着力的五个方面
基于我国政府网络安全保护目前存在的问题,结合美国联邦政府网络安全保护的经验,我国政府机构可以从以下五个方面着手加强网络安全工作。
(一)加快完善网络安全等级保护落地实施相关的法律法规和标准体系。
虽然《网络安全法》明确了网络安全等级保护制度,但是网络安全等级保护落地实施相关的法律法规和标准体系亟待完善。
从信息安全等级保护升级到网络安全等级保护,安全保护对象和要求进行了扩展和升级。等级保护的对象、方法、流程都有所不同,亟需加快完善网络安全等级保护落地实施相关的法律法规和标准体系。信息安全等级保护的对象为信息和信息系统,网络安全等级保护扩展到基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。信息安全等级保护偏重于防护信息系统,而网络安全等级保护则要适应当前网络安全形势的发展,对于持续监测、威胁情报、快速响应提出了具体的落地措施。
(二)加快制定政府网络安全风险管理流程的标准和指南。
从美国联邦机构网络安全保护来看,美国国家标准与技术研究院发布的《关键基础设施网络安全框架》(以下简称NIST网络安全框架)起到了核心作用,既为联邦机构网络安全提供了实施指南,又为联邦机构网络安全评价提供了逻辑框架,保证了联邦机构网络安全工作之间的衔接和一致性。联邦机构网络安全评估监测指标FISMA首席信息官指标和FISMA监察长指标都是按照NIST网络安全框架来组织的。NIST网络安全框架、FISMA首席信息官指标、FISMA监察长指标系统性地回答了网络安全保护怎么做、做了哪些、做得怎么样这三个问题。
我国政府机构的网络安全保护能力参差不齐,亟需加快制定我国政府网络风险管理流程的标准和指南,搭建包含识别、保护、检测、响应和恢复五个功能的政府网络安全框架,为我国政府网络安全保护工作落地实施提供指导。
(三)完善我国政府网络安全风险报告、监测和评估机制。
美国从2014年开始构建了一套完整的联邦机构网络安全工作监测和评估指标,即FISMA首席风险官指标和FISMA监察长指标,随后每年根据政府网络安全工作目标的变化修订这套指标。联邦机构网络安全风险监测和评估指标有利于监管机构评估联邦机构单个网络安全风险和整体网络安全风险,从而及时确定网络安全新技术需求和政府网络安全工作需要改进的地方。
我国可从内部风险、外部风险两个方面完善政府网络安全风险报告、监测和评估机制。一方面从外部风险来看,网络安全工作的系统性特点需要建立国家层面的网络攻击历史数据库,从公开渠道和监管机构尽可能多地收集和积累更加详细、一致、完整的有关网络攻击的报道和数据,特别是网络攻击的类型、频率和损失的数据,数据的精确性和完整性会对网络安全风险评估产生重要影响;另一方面从内部风险来看,需要完善内部风险的收集、报告、监测、评估机制以及监测评估指标
(四)完善我国政府网络安全保护审计监督机制。
美国通过双层外部监督机制来推进联邦政府网络安全保护,从而保证网络安全评估的客观性和有效性。联邦政府派驻各机构的监察长每年负责聘请外部评估机构来评估机构网络安全。美国审计署作为外部监督机构,定期系统评估联邦政府信息和网络安全保护工作的绩效。
为了保证网络安全评估的客观性、有效性,需要推动《审计法》的修订,将审计政府网络安全职责纳入审计署的职责范围。《网络安全法》还会相继出台一系列配套法律法规和规范性文件,应在这些法律法规中(关键信息基础设施安全保护条例、网络安全等级保护条例等)加入审计署政府网络安全审计职责。
(五)加强政府网络安全人才队伍建设,完善政府网络安全组织结构。
政府信息网络安全工作具有复杂性、系统性、动态变化性、专业性等特点,确保政府机构拥有充足的、具备相应技能的网络安全专业人员,并确保其全体员工了解信息安全责任,这是政府网络安全面临的一大挑战。目前,我国已将网络安全作为一级学科,大力培养网络安全相关专业人才。政府机构需要进一步研究如何加强网络安全人才引进、培养等管理工作。网络安全管理既是一项业务职能又是一项IT职能,需要考虑推动政府机构设置信息技术领导,专职负责确保政府机构落实有关信息和网络安全管理要求和技术要求。
三、基于风险管理的政府网络安全审计方法
(一)政府网络安全审计要从关注信息安全向关注信息安全和网络安全并重转变。
从信息系统与网络的定义来看,《网络安全法》第76条参考《计算机信息系统安全保护条例》第2条关于“计算机信息系统”的定义,将“网络”界定为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。二者的定义基本如出一辙。但是网络定义增加了与计算机同等地位的其他信息终端,强调的是系统之间的互联性。本报告对网络安全的定义遵从我国《网络安全法》的定义
1.网络安全审计是信息安全审计发展的高级阶段。
从信息安全演变历史角度来看,信息安全早于网络安全,信息安全最初研究的是信息系统的安全,主要关注技术以及物理方面的安全。随着互联网、大数据、云计算的发展,将相对分散的网络融合成为深度关联的整体,网络攻击传播速度更快、影响范围更广、产生的损失更大,这对信息安全提出了更高的要求,可以认为网络安全是信息安全发展的高级阶段。一方面,网络安全拓展了传统信息安全的内涵,不仅仅关注信息系统的安全,还要关注网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等系统或平台;另一方面,等级保护法律法规和标准需要升级为网络安全等级保护。
网络安全审计作为信息安全审计发展的高级阶段,呈现出系统性、专业性的要求。从网络安全风险管理角度来看,政府网络安全审计方法整体继承信息安全审计的思想、原则、标准,并对原有的审计方法提出了新的需求,比如如何评价政府机构网络安全态势感知能力、网络安全事件检测及时性、网络安全事件响应和恢复能力等。从网络安全风险评估角度来看,政府网络安全审计方法进一步扩展了传统信息安全审计方法,特别是系统评估网络安全风险更需要创新和发展审计方法。
2.政府网络安全审计对象及审计内容。
本报告研究的网络安全审计对象是政府机构,包括作为网络安全保护实施主体的政府机构和政府网络安全的监管协调机构。
政府网络安全审计本质是对政府机构网络安全风险的审计,评估政府网络安全保护措施能否有效应对政府网络安全风险,并提出提升政府网络安全保障能力的审计建议。因此,政府网络安全审计内容可分为两个部分:评估政府机构面临的网络安全风险,评估政府网络安全保护措施能否有效应对政府网络安全风险。在评估政府机构面临的网络安全风险时,审计内容为结合政府机构内外部相关资料及专家建议,定性或定量评估宏观和微观的政府网络安全风险。在评估政府网络安全保护措施能否有效应对政府网络安全风险时,根据《网络安全法》中网络安全的定义,审计内容可包括两个方面:对保障政府网络安全运行措施合法性、有效性的审计;对保障网络数据完整性、保密性、可用性措施合法性、有效性的审计。
(二)基于风险管理的政府网络安全审计方法。
我国政府网络安全工作正处于发展完善阶段,网络安全等级保护法律和标准、政府网络安全风险管理流程的标准和指南、政府网络安全风险报告监测和评估机制等都在制定或者完善当中,政府网络安全审计所能获取技术基础、信息、数据比较少,基于风险管理原理研究政府网络安全审计的渐进性发展路径更具有可行性。
本报告研究的政府网络安全审计方法,是基于风险管理原理,从整体、管理和技术层面评估我国政府网络安全,评估政府机构面临的系统性网络安全风险,评估政府网络安全保护措施能否有效应对政府网络安全风险,评估政府信息系统和网络在规划设计、开发建设、运行维护、退出废弃等生命周期阶段风险评估准备、战略识别、业务识别、资产识别、战略业务和资产分析、威胁识别、脆弱性识别、已有安全措施识别、风险分析、风险评估文档记录、风险处理等工作的有效性,重点评价网络安全等级保护工作和关键信息基础设施重点保护工作的绩效。网络安全等级保护审计从定级、备案、建设整改、等级测评、监督检查、风险评估、安全检测、通报预警、事件调查等方面检查评价网络安全等级保护工作的有效性。关键信息基础设施重点保护审计针对公共服务和信息服务、能源、金融、交通、水利、公共服务和电子政务等重要行业和领域的关键信息基础设施评价识别认定、安全防护、检测评估、监测预警到应急处置等流程的有效性。
1.从整体层面评估政府网络安全。
一方面,从宏观层面评估政府网络安全法律法规、标准体系、管理机制存在的风险,提出相关审计建议;另一方面,从微观层面审查政府机构网络安全保护制度实施是否纳入信息化工作总体规划,是否明确了网络安全战略方针、战略目标、战略部署,评估政府机构网络安全的人、财、物配置是否合理,提出相关审计建议。
(1)系统梳理网络安全法律法规、标准体系,特别需要关注网络安全等级保护审计。
网络安全法律法规、标准体系是政府网络安全审计的工作依据和技术依据,政府网络安全审计首先需要组织专业人员分类梳理出政府网络安全管理的要求和重点关注点,制定网络安全审计指引和标准,制作网络安全审计实施流程单,制定评价网络安全保障流程和能力的绩效指标,为政府网络安全审计的开展提供技术指导和审计依据。
由于网络安全等级保护实施的制度化体系还需完善,政府网络安全审计现阶段首先需要整理信息安全等级保护相关标准,从定级、备案、建设整改、等级测评、监督检查五个方面检查评价信息安全等级保护工作的有效性。
未来随着网络安全等级保护标准及实施办法的正式实施,政府网络安全审计需要分析信息安全等级保护与网络安全等级保护两者之间的联系和区别,根据网络安全等级保护的变化确定审计工作重点和审计工作方案。首先,政府网络安全审计的审计内容需要扩展,从信息系统等级保护扩展到基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等平台系统。其次,政府网络安全审计从定级、备案、建设整改、等级测评、监督检查、风险评估、安全检测、通报预警、事件调查等方面检查评价网络安全等级保护工作的有效性。再次,政府网络安全审计的依据除了安全通用要求之外还有云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。这些扩展要求向政府网络安全审计提出了新技术审计的需求。
(2)开展网络安全预算资金绩效审计。
结合中央和地方预算单位预算执行审计,重点分析网络安全预算资金(网络安全预算通常包含在信息技术预算中)的使用及变化趋势,横向对比分析各政府机构的网络安全预算执行情况,按照网络安全预算费用高低分成高、中、低三组,从三组中随机抽取3—5家政府机构进行访谈,结合机构行业特点了解网络安全预算资金是否能满足网络安全需求,从而形成对政府网络安全预算资金是否充足的判断。
未来条件进一步成熟后,从网络安全预算资金投入与产出角度评价网络安全预算资金绩效。网络安全预算资金产出效果如何衡量,如果以网络安全保护能力为衡量标准,那么网络安全保护能力如何评价,这些都是政府网络安全审计需要进一步研究的问题。
2.从管理和技术层面评估政府网络安全。
从管理和技术层面来看,评估政府网络安全保护措施能否有效应对政府网络安全风险,即根据管理安全要求和技术安全要求,基于风险识别、风险管理、风险降低的风险生命周期管理流程,围绕识别、保护、检测、响应和恢复五个核心网络安全功能,评价政府网络安全风险管理和评估流程的有效性,找到存在的问题,提出审计建议。
(1)评估政府网络安全风险。
网络安全风险被定义为网络安全事件造成的后果和网络安全事件可能性的组合,其中网络安全事件可能性又由威胁可能性和脆弱性被利用的可能性决定,网络安全事件造成的后果由脆弱性影响程度和业务资产的价值决定,即:网络安全风险=f(网络安全事件可能性,网络安全事件后果)。
评估政府网络安全风险也就是评估政府面临的网络威胁、政府网络和信息系统的脆弱性、网络安全事件造成的损失。
①评估政府面临的网络威胁
评估政府机构面临的网络安全威胁,结合政府机构内外部相关资料及专家建议,定性或定量评估宏观和微观的政府网络安全威胁。
评估政府机构个体网络安全威胁,主要识别政府机构各类关键业务及信息资产所面临的威胁及可能性,威胁分为人为因素和环境因素,包括网络攻击、恶意代码、支撑系统故障、软硬件故障、云平台导致网络流量不可控、云平台导致数据残留、云平台导致数据和业务司法管辖关系发生改变、业务系统过度依赖服务商、物理环境影响、管理不到位、越权或滥用、事件管控能力不足、人员安全失控等。
系统性评估网络安全威胁基于全局和整体的视角,一是评估政府面临的网络安全态势,基于国家互联网应急中心提供的网络攻击事件和安全威胁信息,分析恶意程序、安全漏洞、拒绝服务攻击、网站安全等方面的变化,把握我国总体网络安全态势;另二是评估政府网络安全态势感知能力,评价国家互联网应急中心是否提高了政府网络安全态势感知能力;三是汇总分析政府机构个体网络安全威胁。
网络安全跟一般信息安全不同的地方在于,网络安全威胁的识别难度更大,网络攻击量大,网络攻击来源和技术不断变化,网络安全技术要求更高,而我国政府这方面的专业人才缺乏。Verizon《2018年数据泄露调查报告》称网络犯罪分子通常只需几分钟甚至几秒钟就可以破坏一个系统,但是一个组织发现这一漏洞可能需要更长的时间。因此政府网络安全审计重点需要评价政府机构识别网络安全威胁能力,从入侵检测技术、网络安全专业人才队伍、政府信息共享机制等方面提出提升识别网络安全威胁能力的审计建议。
②评估政府网络和信息系统的脆弱性
脆弱性本身不会造成损害,只有被某个威胁利用时才会造成损害。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及IT环境的物理层、网络层、系统层、应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。脆弱性评估重点关注政府信息系统和网络在规划设计、开发建设、运行维护、退出废弃等生命周期阶段风险评估准备、战略识别、业务识别、资产识别、战略业务和资产分析、威胁识别、脆弱性识别、已有安全措施识别、风险分析、风险评估文档记录、风险处理等工作。
政府网络安全审计首先可以评价政府机构的信息安全组织管理、信息安全防护管理、信息系统防护管理、门户网站防护管理、电子邮件防护管理、终端计算机防护管理、存储介质防护管理等七个方面管理措施是否符合《信息安全技术 政府部门信息安全管理基本要求》,特别是网络安全管理(网络安全管理活动、网络安全角色和责任、网络监测和网络安全评估)、技术漏洞管理、识别和验证、网络审计日志记录和监测、入侵检测、恶意代码防护、密码加密服务和业务连续性管理等8个方面网络安全控制措施是否有效。
评估政府机构是否按照规定采取了网络安全等级保护措施,目前可根据信息系统安全等级保护相关标准评价信息系统方面的安全等级保护措施。根据《信息安全技术 政府部门信息安全管理基本要求》,评价政府机构是否按照GB/T 20984-2007的要求,定期对信息系统面临的安全风险和威胁、薄弱环节以及防护措施的有效性等进行分析评估;评价政府机构是否综合考虑信息系统的重要性、涉密程度和面临的信息安全风险等因素,按照国家信息安全等级保护相关政策和技术标准规范,对信息系统实施相应等级的安全管理;评价政府机构是否按照GB/T 22240-2008的要求,确定信息系统安全保护等级;评价政府机构是否按照GB/T 22239-2008的要求,对信息系统实施相应等级的安全建设和整改;评价政府机构是否按照信息系统安全等级保护测评相关要求,对信息系统进行等级测试。
评价关键信息基础设施是否在等级保护的基础上实现了重点保护,评价关键信息基础设施识别认定、安全防护、检测评估、监测预警、应急处置等流程的有效性,是否增强了关键信息基础设施抗冲击能力,是否制定了网络安全风险应急预案,是否与其他机构合作发展评估网络安全的能力。
③评估网络安全事件造成的损失。
评估政府机构个体网络安全事件损失,根据信息资产价值及脆弱性严重程度,计算安全事件一旦发生后的损失。部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不一样的。
从国家总体层面系统性评估网络安全事件损失,首先需要从国家层面建立收集网络攻击损失数据的历史数据库,建议国家互联网应急中心在收集网络攻击类型、频率数据时要补充收集网络攻击损失数据;其次尽可能量化评估我国政府机构遭受网络攻击可能造成的损失,量化评估的难点在于数据缺失以及如何模拟网络攻击、量化网络攻击造成的损失。IMF金融机构网络风险量化评估框架采取了化繁为简、逐步推演的方式保证了评估方法的可行性,尽管存在一些与实际情况不完全相符的理想情景假设,但仍可作为量化评估网络风险的储备方法之一。
(2)评估政府网络安全保护措施能否有效应对政府网络安全风险。
评估政府网络安全保护措施是否真正抵御了威胁,降低了网络和系统的脆弱性。政府网络安全保障能力绩效指标可以参考信息安全保障指标体系来评价,根据该指标体系分析政府网络安全保护能力与政府网络安全风险之间存在的差距,提出审计建议。信息安全保障指标体系可为政府管理部门的信息安全态势判断和宏观决策提供支持;为基础信息网络和重要信息系统的管理部门及运营单位的信息安全管理工作提供支持。未来随着网络安全能力评估框架标准的发布,可根据该框架的保障指标体系评估政府网络安全保障能力。由于网络安全的整体性和系统性,网络安全审计未来重点应关注威胁信息共享、监测预警、应急处置等横向协同存在的问题,提出改进的审计建议。
此外,也可考虑结合国际电联(ITU)的网络安全指数,从法律、技术、组织、能力建设和合作五个层面研究中国网络安全需要进一步改进的地方。