美国《改善关键基础设施网络安全的框架》研究_上官晓丽.pdf
蜗牛文库
-高品质阅读,高比例分成-
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
改善关键基础设施网络安全的框架
美国
改善
关键
基础设施
网络安全
框架
研究
上官
2022 年 10 月|保密科学技术|59域外观察美国改善关键基础设施网络安全的框架研究 上官晓丽 王惠莅 /中国电子技术标准化研究院1 引言自“91 1”事 件 以 后,美 国 关 键 基础 设 施 面 临 的 网 络 威 胁 持 续 加 大,联 邦 政府 将 关 键 基 础 设 施 的 安 全 提 升 到 国 家 安 全的 高 度,并 先 后 发 布 近3 0项 相 关 法 令、战略、报 告 等,重 视 程 度 可 谓 前 所 未 有。其中,2 0 1 3年 发 布 的 第1 3 6 3 6号 行 政 令 增强 关 键 基 础 设 施 网 络 安 全 1影 响 深 远。第1 3 6 3 6号 行 政 令 的 第7章,明 确 要 求 商 务部 指 导 国 家 标 准 技 术 研 究 院(N I S T)制 定控 制 关 键 基 础 设 施 网 络 风 险 的 网 络 安 全 框架(以 下 简 称 框 架)。该 行 政 令 指 出,框架 应 包 括 一 系 列 与 标 准、方 法、程 序 和 过程 相 匹 配 的 可 降 低 网 络 风 险 的 政 策、业 务和 技 术 方 法,尽 可 能 包 括 自 愿 性 标 准 和 行业 最 佳 实 践。当 国 际 标 准 能 够 推 动 实 现 本行 政 令 的 目 标 时,网 络 安 全 框 架 也 可 采 用国 际 标 准 有 关 内 容。该 指 令 不 仅 指 定N I S T作 为 框 架 的 主 要 起 草 者,还 明 确 了 框 架 应当 包 括 的 内 容。第1 3 6 3 6号 行 政 令 要 求,“在 本 行 政令 发 布 后2 4 0天 内,N I S T应 发 布 一 个 网络 安 全 框 架 初 稿。在 本 行 政 令 发 布 后1年内,N I S T应 发 布 满 足 第8章 规 定 要 求(一项 自 愿 性 关 键 基 础 设 施 网 络 安 全 计 划)的 网 络 安 全 框 架 最 终 版。因 此,2 0 1 3年1 2月,N I S T发 布 了 网 络 安 全 框 架 初 稿 并公 开 征 求 意 见;2 0 1 4年2月,N I S T正 式发 布 了 改 善 关 键 基 础 设 施 网 络 安 全 的 框架 (1.0版)。2 0 1 7年1 2月,N I S T公 布框 架 更 新 版(1.1版),并 在 网 站 上 广 泛 征求 意 见。2 0 1 8年4月,N I S T正 式 发 布 框 架1.1版2。与1.0版 本 相 比,新 版 增 加 了 自【摘 要】本文对美国改善关键基础设施网络安全的框架的主要内容及实施情况进行了分析,并结合我国关键信息基础设施安全工作和国家标准情况,提出了我国关键信息基础设施安全国家标准化工作相关建议。【关键词】网络安全框架 关键基础设施 关键信息基础设施【中图分类号】D771.2 【文献标识码】A60|保密科学技术|2022 年 10 月域外观察评 估 和 网 络 供 应 链 风 险 管 理 相 关 内 容,对认 证、授 权 和 标 识 等 进 行 了 改 进,解 释 实施 层 和 轮 廓 之 间 的 关 系,以 及 协 调 披 露 网络 漏 洞 信 息 等。2 0 2 2年2月,N I S T再 次 启动 框 架 修 订 工 作(2.0版),目 前 尚 未 正 式发 布。本 文 主 要 围 绕 框 架V1.1版 展 开 内 容分 析,该 版 本 包 括 了5个 环 节,23个 分 类,108个子类。2 框架主要内容框 架 是 一 套 着 眼 于 安 全 风 险,应 用 于关 键 基 础 设 施 领 域 的 安 全 风 险 管 控 的 流程。按 照 美 国 联 邦 政 府 相 关 行 政 指 令 要求,框 架 的 制 定 应 基 于 一 系 列 的 业 界 标准 和 最 佳 实 践 来 帮 助 组 织 管 理 网 络 安 全 风险。政 府 和 私 营 部 门 共 同 合 作 创 建 了 框架,并 基 于 业 务 需 要,以 低 成 本 方 式 及 通用 语 言 来 处 理 和 管 理 网 络 安 全 风 险。基 于 此 目 的,框 架 形 成 了 一 套 适 用 于 各类工业技术领域网络安全风险管控的“通用语 言”。同 时,为 确 保 可 扩 展 性 与 技 术 创新,框架要力求做到“技术中性化”,需满足以下要求。第一,使用现有的各种标准、指南和实践,使关键基础设施网络具备一定的弹性。第二,使用全球标准、指南和实践(行业开发、管理、更新实践),这样实现框架效果的工具和方法可在世界各地适用,并能随着技术发展和业务需求进一步完善框架。因此,从某种角度上来说,该框架就是一份“用于关键基础设施安全风险管控的标准化实施指南”。2.1 框架概览框 架 由3个 部 分 组 成:框 架 核 心,框 架轮 廓 和 框 架 实 现 层 级。框 架 每 个 部 分 都 要求 强 化 业 务 驱 动 因 素 和 网 络 安 全 活 动 间 的联 系。(1)框 架 核 心框 架 核 心 是 关 键 基 础 设 施 部 门 通 用 的一 系 列 的 网 络 安 全 活 动、目 标 效 果 和 参 考性 文 献。该 框 架 核 心 由5个 功 能 组 成识别、保 护、检 测、响 应、恢 复。这 些 功 能从 网 络 安 全 风 险 管 理 生 命 周 期 的 角 度,提出 了 一 个 高 层 次、战 略 性 的 观 点。框 架 核心 识 别 每 个 功 能 的 基 础 分 类 和 子 类,并 给出 了 具 体 实 施 时 可 使 用 的 参 考 性 文 献(如每 个 子 类 的 现 有 标 准、指 南 和 实 践)。(2)框 架 实 现 层 级框 架 实 现 层 级(T i e r s)考 虑 网 络 安全 风 险 及 使 用 何 种 流 程 来 管 理 风 险。实 现层 级 描 述 了 网 络 安 全 风 险 管 理 实 践 中 表 现出 的 框 架 中 定 义 的 特 征(如 风 险 和 威 胁 感知,可 重 复 和 可 适 应)。这 些 实 现 层 级 表征 了 一 定 范 围(从 局 部1级 到 自 适 应 的4级)的 组 织 实 践,反 映 了 从 非 正 式、无 响应 的 到 敏 捷 的、风 险 警 告 的 发 展 进 程。在实 现 层 级 选 择 过 程 中,组 织 应 该 考 虑 其 目前 的 风 险 管 理 实 践、威 胁 环 境、法 律 和 监管 规 定、业 务 目 标 和 组 织 约 束 等。(3)框 架 轮 廓框 架 轮 廓(P r o f i l e)表 示 组 织 以 业务 需 求 为 基 础,从 框 架 中 选 择 符 合 业 务 需求 的 分 类 和 子 类。轮 廓 可 以 被 定 性 为 框 架核 心 在 特 定 实 现 场 景 下 所 使 用 的 标 准、指南 和 实 践 的 集 合。通 过 当 前 轮 廓(当 前 状态)与 目 标 轮 廓(将 来 状 态)相 比 较,轮廓 可 用 来 确 定 是 否 改 善 了 网 络 安 全 态 势。在 制 定 轮 廓 时,组 织 可 以 查 看 框 架 所 有 的分 类 和 子 类,并 在 业 务 驱 动 因 素 和 风 险 评估 的 基 础 上,确 定 哪 些 是 最 重 要 的,将 其按 需 加 入 到 分 类 和 子 类 中,用 以 处 理 组 织的 风 险。当 前 轮 廓(C u r r e n t P r o f i l e)可 用 于 衡 量 达 到 目 标 轮 廓(T a r g e t P r o f i l e)的 程 度,在 衡 量 时 也 需 要 同 时 考虑 其 他 业 务 因 素(如 成 本 效 益 和 创 新)。2022 年 10 月|保密科学技术|61域外观察轮 廓 可 用 于 进 行 自 评 估 以 及 组 织 内 部 或 者组 织 间 的 沟 通。2.2 框架核心功能框 架 核 心 是 一 系 列 实 现 特 定 网 络 安 全功 能,并 参 考 指 南 参 考 性 文 献 实 现 特 定 功能 的 活 动。框 架 核 心 不 是 要 执 行 的 操 作 清单,而 是 提 出 了 由 行 业 认 可 的 在 管 理 网 络安 全 风 险 中 有 益 的 保 障 措 施。核 心 包 括4个要 素:功 能、分 类、子 类 和 参 考 性 文 献,如 图1所 示。每 个 功 能 又 包 括 若 干 个 分 类,如 表1所 示。框 架 核 心 的5个 功 能 定 义 如 下。识 别(Identity)帮 助 组 织 了 解 进而 管 理 系 统、资 产、数 据 和 能 力 的 网 络 安全 相 关 风 险。识 别 功 能 活 动 是 有 效 使 用 框架 的 基 础。理 解 业 务 内 容、支 持 关 键 功 能的 资 源 及 相 关 的 网 络 安 全 风 险,使 组 织 能够 予 以 关 注 和 优 先 考 虑,使 其 与 风 险 管 理策 略 和 业 务 需 求 保 持 一 致。这 个 功 能 的 分类 包 括 资 产 管 理、业 务 环 境、治 理、风 险评 估、风 险 管 理 策 略、供 应 链 风 险 管 理。保 护(P r o t e c t)制 定 和 实 施 适 当的 保 护 措 施,确 保 能 够 提 供 关 键 基 础 设 施服 务。保 护 功 能 活 动 支 持 限 制 或 阻 止 潜 在网 络 安 全 事 件 影 响 的 能 力。此 功 能 的 分 类包 括 访 问 控 制、意 识 和 培 训、数 据 安 全、信 息 保 护 流 程 和 规 程、维 护、保 护 技 术。检 测(D e t e c t)制 定 并 实 施 适 当的 活 动 来 识 别 网 络 安 全 事 件 的 发 生。检 测功 能 活 动 能 够 及 时 发 现 网 络 安 全 事 件。此功 能 的 分 类 包 括 异 常 和 事 件、安 全 持 续 监测 以 及 检 测 过 程。响 应(R e s p o n d)制 定 并 实 施 适当 的 活 动,用 以 对 检 测 的 网 络 安 全 事 件 采取 行 动。响 应 功 能 活 动 支 持 控 制 潜 在 网 络安 全 事 件 影 响 的 能 力。此 功 能 的 分 类 包 括响 应 计 划、通 信、分 析、缓 解 和 改 进。恢 复(Recover)制 定 并 实 施 适 当的 活 动,以 保 持 网 络 的 弹 性,恢 复 因 网 络安 全 事 件 而 受 损 的 任 何 功 能 或 服 务。恢 复功 能 活 动 支 持 及 时 恢 复 到 正 常 的 操 作,以减 轻 网 络 安 全 事 件 的 影 响。此 功 能 的 分 类包 括 恢 复 计 划、改 进 和 通 信。2.3 框架实现层级为 帮 助 各 类 组 织 机 构 从 关 键 基 础 设 施风 险 管 控 需 求 出 发,选 择 不 同 强 度 的 风 险管 控 流 程 来 管 理 风 险,框 架 的 实 现 分 为4个 层 级,分 别 为:局 部(1级)、风 险 通知(2级)、可 重 复(3级)、自 适 应(4级),这4个 层 级 的 网 络 安 全 风 险 管 理 实践 严 谨 度 和 复 杂 度 逐 渐 增 加。通 过 这 些 层级,可 以 明 确 根 据 业 务 需 求 进 行 网 络 安 全风 险 管 理 的 程 度,以 及 集 合 到 组 织 的 整 个风 险 管 理 实 践 的 集 成 度。在 选 择 层 级 时,组 织 需 考 虑 当 前 风 险管 理 实 践、威 胁 环 境、法 律 和 监 管 规 定、业 务 目 标 和 组 织 约 束。组 织 应 该 确 定 目 标级,确 保 选 择 的 层 级 满 足 组 织 的 目 标,且是 切 实 可 行 的,同 时 可 将 关 键 资 产 和 资源
