解析美《提高关键基础设施网络安全框架》

为有效保护美国关键基础设施网络安全，美国总统奥巴马于2013年2月12日签署名为“提高关键基础设施网络安全”的13636号行政命令，扩大联邦政府与私营企业的合作深度与广度，以加强“关键基础设施”部门的网络安全管理与风险应对能力，提出由美国商务部牵头、国土安全部配合，指导美国国家标准技术研究院（NIST，直属美国商务部）开发降低关键基础设施信息与网络安全风险的框架，此框架应包括一套标准、方法、程序、政策以及安全威胁定位的业务流程和技术方法。2014年2月12日，美国白宫宣布发布由NIST经过多番修订形成的《提高关键基础设施网络安全框架》第一版（以下简称《框架》）。本文对《框架》发布的作用和意义进行了阐释，对其主要内容和应用方法进行了重点分析和说明。

一、《框架》简介及主要作用

        《框架》重点运用业务驱动因素指导国家网络安全工作，并将网络安全风险看作是组织风险管理流程中的一部分。《框架》包含三部分：框架核心策略（Framework Core）、框架简表（Framework Profile）、框架实施层级（Framework Implementation），每一个组件都加强了业务驱动和网络安全活动间的联系。其中，框架核心策略是一系列网络安全活动和预期效果，以及在关键基础设施领域常见的网络安全准则的集合，可为每个组织制订与自身相匹配的安全框架提供详细指导。通过对框架简表的使用，组织可根据自身特征及不同的实施场景从核心策略中选择一系列控制措施。框架实施层则帮助企业了解自身安全水平，反思自身管理网络安全风险所采取的措施。

        该框架适用于各种类型、规模的组织，并提供了最新的多种网络安全策略，总结了当今业内行之有效的标准、指南和最佳实践等。由于参考了这些全球通用的标准、规范、指南和实践，本框架同样可以为美国境外的企业提供指导和帮助，并为跨国公司在加强关键基础设施网络安全方面提供借鉴。

二、《框架》主要内容及应用方法分析

        1．主要内容

        （1）框架核心策略（Framework Core）。这是一组在关键基础设施部门通用的网络安全活动、预期结果和可用于实践的参考指引的集合。核心策略包含五个并发、连续的功能：识别、防护、检测、响应、恢复。这些功能提供了一个贯穿组织网络安全管理周期的顶层战略视角。核心策略为每个功能确定了潜在的关键类别和子类别，对每个子类别，将其与现有的标准、指南和实践等参考指引相对应，框架的核心结构为功能、类别、子类别、参考信息。

        功能从最高层级上将基本网络安全活动组织起来。上述五个功能通过组织信息、风险管理决策、应对威胁、从以往活动中获得改进经验等方式帮助组织表示其网络安全风险管理。类别是一个对应一组网络安全结果的功能细分，它与纲领性需求和特定的活动紧密关联。类别的例子包括：资产管理、访问控制、检测过程。子类别进一步将类别划分为产生特定结果的技术和管理活动。他们提供了一组结果集合，这些集合不是穷举的，有助于在各类别中支持实现结果。子类别的例子包括：外部信息系统是被登记分类的、静态数据是被保护的、检测系统的预警是被审查的。参考信息是应用于关键基础设施部门的通用标准、指南和实践的特定部分，这些内容表明可以在每个子类别下达到预期结果的措施。框架核心策略中的参考信息是列举性的不是穷举性的。这些参考信息基于在框架开发过程中被多个部门频繁参照的指引。五个框架核心功能如下。

        识别：为管理网络安全风险，组织深入了解系统、资产、数据和性能。识别功能的活动对框架的有效利用起基础性作用。组织可通过以下措施关注和优化他们的业务活动：理解业务环境、支撑关键功能的资源和相关的网络安全风险。组织也可通过上述措施促使风险管理策略和业务需求一致。类别结果实例包括：资产管理、业务环境、治理、风险评估和风险管理策略。

        防护：开发和实施合适的防护措施保障关键基础设施服务。防护功能支持降低潜在网络安全事件影响的能力。类别结果实例包括：访问控制、意识和教育、数据安全、信息保护处理和流程、运行维护和防护技术。

        检测：开发和实施合适的活动识别网络安全事件的发生。检测功能可以及时发现网络安全事件。类别结果实例包括：异常和事件、持续性安全监控、检测流程。

        响应：开发和实施合适的活动以采取行动应对检测到的网络安全事件。响应功能支持控制潜在网络安全事件的影响。类别结果实例包括：应急预案、通讯、分析、缓解和改进。

        恢复：开发和实施合适的活动，执行应急和恢复预案保持恢复力，恢复网络安全事件对任何服务能力和服务水平造成的危害。类别结果实例包括：恢复预案、改进和通讯。

        这些功能并不形成一个连续的路径或者达到一个静态的预期终点状态，是可以被同时和连续执行的。通过功能的执行可形成一个强调动态网络安全风险的操作习惯和文化。附录A（核心策略详述）是完整框架核心策略列表，其中，包含识别功能的5个类别、20个子类别和185条参考信息（实施指引）；防护功能的6个类别、35个子类别和434条参考信息（实施指引）；检测功能的3个类别、18个子类别和137条参考信息（实施指引）；响应功能的5个类别、11个子类别和99条参考信息（实施指引）；恢复功能的3个类别、6个子类别和20条参考信息（实施指引）。

        目前，参考信息中所列各子类别主要的参考标准（指引）项主要包括以下标准：CCS CSC（美国网络安全委员会关键安全控制点）、COBIT（信息和相关技术控制目标）、ISO62443（国际标准化组织发布的工控信息安全标准）、ISO／IEC27001：2013（国际标准化组织发布的信息安全管理体系标准）、NIST800一53Rev4（NIST发布的“联邦政府信息系统和组织安全控制措施”）。

        （2）框架实施层级。这一层描述了一个组织网络安全风险管理实践的程度。一是严格性和复杂程度不断增强。二是业务驱动网络安全管理、网络安全风险管理整合到组织整体安全风险管理的实践程度不断加强。这部分描述了组织的安全实践特征，包括初始（部分）级、风险预警级、可重复级和自适应级。这四个层次从风险管理过程、整体风险管理程序、外部参与三个方面反映了从非正式、被动反映到灵活的和风险预警的推进过程。在层次选择过程中，一个组织应该考虑其现在的风险管理实践、威胁环境、法律和制度的遵从性需求、业务目标和组织约束。

        限于篇幅，以下仅以第四层级为例阐述框架描述。第四层，自适应级。风险管理过程：组织的风险管理实践可以基于以往和现在网络安全活动的经验和预测性指标做出适应性调整。结合先进网络安全技术和持续改进过程，组织可积极适应变化的网络安全形势，及时应对不断复杂的安全威胁。整体风险管理程序：具有组织层面管理网络安全风险的方法，该方法运用风险提示策略、流程和规程设法发现潜在网络安全事件。网络安全管理是组织文化的一部分，这种文化随着员工以往活动的信息安全意识、其他资源共享的信息以及组织内系统和网络上持续的意识教育活动不断完善。外部参与：组织实现安全风险可控，主动与相关各方共享信息，保证在网络安全事件发生前发布有助于改进网络安全的最新准确信息。

        （3）框架简表。阐述了组织基于业务需求从框架的类别和子类别中选择控制措施后的结果，可被定义为特定实施场景下，落实框架策略，参照标准、指南和实践的具体实施。框架简表以功能、类别、子类别为纲，结合业务需求、风险容忍度和组织资源提出。一个简表可使得组织建立降低网络安全风险以及与组织和部门目标一致的路线图。一个简表还要考虑合规性需求和行业最佳实践并反映风险管理的优先级。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文