为了提高我国关键信息基础设施网络安全保护水平,以美国相关标准规范为对象,研究了美国《关键基础设施网络安全改进框架》的组织结构和实际应用,以美国《能源行业网络安全框架实施指南》为例阐述了关键信息基础设施网络安全改进框架在美国能源行业的实施步骤及方法。从目标、实施、映射三个方面对美国关键信息基础设施保护规范进行了综合分析。针对我国关键信息基础设施保护现状,结合美国关键信息基础设施保护经验提出5点启示建议。
内容目录:
1 美国关键信息基础设施网络安全保护发展与实施历程
1.1 发展历程
1.2 实施应用
2 美国《关键基础设施网络安全改进框架》结构与实施步骤
2.1 框架结构
2.2 实施步骤
3 美国网络安全框架与C2M2实践的结合——以《能源行业网络安全框架实施指南》为例
4 启示建议
5 结 语
0 引 言
当今信息社会,国家安全、经济安全、社会安全以及人民福祉严重依赖关键信息基础设施这一复杂动态巨系统。我国关键信息基础设施正面临全球有组织、有目的、高强度地持续攻击和安全挑战。为提高我国关键信息基础设施网络安全保护水平,研究了美国《关键基础设施网络安全改进框架》的内容与组织结构,以及在能源行业的实施步骤,结合我国现状提出了启示建议。
1 美国关键信息基础设施网络安全保护发展与实施历程
为了提高我国关键信息基础设施网络安全保护水平,以美国相关标准规范为对象,研究了美国关键基础设施网络安全保护法律法规的发展历程和实施应用中法律规范的关系。
1.1 发展历程
1996年7月,美国政府通过发布第13010号行政令成立关键基础设施保护总统委员会,这是第一个针对关键信息基础设施的行政令。2000年1月,美国政府颁布了第一个针对关键信息基础设施的保护计划——《信息系统保护国家计划1.0》。2001年,在颁布的《爱国者法案》中首次对关键基础设施进行定义。2002年,美国国土安全部成为“9·11”事件后成立的第一个负责国内安全及反恐活动的行政机构。2006年6月,美国国土安全部颁布《国家关键基础设施保护计划》,为各级政府和私营部门管理关键基础设施提供参考架构。《网络安全增强法案(2014)》是美国制定促进持续自愿的公私合作关系、增强网络安全研究、提升公共安全意识的法案。2014年2月12日,美国国家标准技术研究院(National Institute of Standards and Technology,NIST)发布了《关键基础设施网络安全改进框架》(framework for Improving Critical Infrastructure Cybersecurity)V1.0 版本,以下简称网络安全框架。2018年4月,NIST发布新的《关键基础设施网络安全改进框架》V1.1版本,新增了自我评估,扩展了供应链安全,细化了认证授权、身份证明、漏洞披露生命周期管理等方面,目的在于为相关组织机构提供更细粒度的指导,实现个体组织价值的最大化。
以网络安全框架作为指导框架,2015年1月,美国能源部颁布《能源行业网络安全框架实施指南(2015 版)》。根据美国能源行业的实际网络安全环境,逐步实现网络安全框架指导目标。
1.2 实施应用
根据网络安全框架,美国能源部联合国土安全部在 2014 年和 2019 年分别颁布了网络安全成熟度模型(Cybersecurity Capability Maturity Model,C2M2)V1.1和V2.0。C2M2模型 建立了一套定量评估网络安全风险等级的体系化方法,可广泛应用于各类组织及网络安全管理机构,从而提升网络安全能力,并与其他网络安全标准、网络安全管理机构的实际工作相结合。C2M2模型作为一套描述性的网络安全实践指南,有助于网络安全框架落地实施。《网络安全增强法案》、网络安全框架与网络安全能力成熟度模型,以及在相关行业实施的关系如图1所示。
图1 美国NIST网络安全框架与C2M2实施关系
由图1可知,美国通过网络安全增强法案规范约束网络安全框架,并且通过网络安全框架指导网络安全能力成熟度模型落地实施,而能力成熟度模型又可以用来指导不同行业的应用。
基于网络安全框架和C2M2模型,研究人员开发了基于经验范式的网络安全脆弱性缓解框架;采用多目标决策分析(Multi-Criteria Decision Analysis,MCDA)技术与加权依赖结构,吸收网络安全框架的核心关键要素,通过对一个关键基础设施中的工业控制系统网络进行安全评估,展示了网络安全框架和能力成熟度模型的融合应用,不仅进行网络安全漏洞分析,而且进行网络安全漏洞缓解的优先级分析。
2 美国《关键基础设施网络安全改进框架》结构与实施步骤
分析美国网络安全框架的主要结构与实施步骤,明确各个实施步骤之间的逻辑关系。
2.1 框架结构
美国国家标准和技术研究院(NIST)制定的网络安全框架是一套基于网络安全与管理风险、针对关键基础设施安全风险管理的框架。框架由框架核心、框架层级、框架轮廓三个部分组成。
框架核心:提出了由业界认可、并且在网络安全风险管理中有价值的保护措施。包括功能、主分类、子类、参考文献四个方面的要素。其中,功能由识别、保护、检测、响应、恢复五个部分组成。
框架层级:框架包括四个不同的层级,(1 级)局部实施;(2 级)风险告知;(3 级)可重复性;(4 级)自适应能力。
框架轮廓:框架轮廓被定义为在特定应用中标准、指南和实践的最优组合,从而通过自我评估进行沟通。通过当前轮廓(Current Profile)与目标轮廓(Target Profile)的综合比较,确定当前措施是否改善了网络安全风险态势。在业务驱动和安全风险评估基础上,比对所有的主分类和子类,确定哪些风险优先级最高,从而处理特定的高风险类别。
2.2 实施步骤
网络安全框架提出了基本的网络安全实施流程,包括完备的七个步骤:
第一步:优化并确定目标范围。
第二步:定向。确定相关系统和资产,进而识别系统和资产的网络安全威胁与安全漏洞。
第三步:创建当前系统轮廓。通过选择框架核心的主分类和子类,开发系统当前的目标轮廓。
第四步:对系统进行风险评估。
第五步:创建目标系统轮廓。创建目标系统轮廓,描述组织目标系统网络安全的主分类和子类评估方法。
第六步:确定、分析并且优化轮廓差异。
第七步:根据轮廓差异组织实施行动。
3 美国网络安全框架与C2M2实践的结合——以《能源行业网络安全框架实施指南》为例
2015年1月,美国能源部以网络安全框架为参考依据,结合能源行业网络安全现状制定了《能源行业网络安全框架实施指南》,以帮助美国能源行业建立并调整现有网络安全风险管理规划,实现网络安全风险管理目标。《能源行业网络安全框架实施指南》详细阐述了C2M2如何映射到网络安全框架,主要包括步骤映射、框架层级映射、框架核心子类别映射。
本文分七个步骤展示美国能源行业C2M2如何映射到网络安全框架(以下简称框架),具体映射步骤如表1至表7所示。
第一步,确定优先级和范围。美国能源行业C2M2实施步骤一到框架的映射如表1所示:
如表1所示,映射主要包括输入、活动、输出三部分。在C2M2实施中,要评估的每个子集都称为功能。能源行业网络安全能力成熟度模型(Electricity Subsector Cybersecurity Capability Maturity Model,ES-C2M2)具有一些预定义的能源行业特定的功能和作用域。
第二步,定向。美国能源行业 C2M2 实施步骤二到框架的映射如表2所示:
如表2所示,以步骤一的框架使用范围和功能清单作为步骤二的输入,做出范围界定决定后,确定范围所涵盖的信息、技术、人员和设施,适用的法规要求以及所使用的网络安全和风险管理标准、工具、方法和技术指南。
第三步,创建当前轮廓。美国能源行业C2M2实施步骤三到框架的映射如表3所示:
如表3所示,以步骤二的输出作为步骤三的输入。通常会通过一个研讨会进行此步,该研讨会包括代表所有范围内资产和职能的关键人员。C2M2自我评估研讨会会生成一份评分报告,该报告可以用作最新资料。
第四步,进行风险评估。美国能源行业C2M2实施步骤四到框架的映射如表4所示:
如表4所示,将前三个步骤的部分关键信息作为步骤四的输入。C2M2建议组织将此模型用作包括风险评估的连续企业风险管理流程的一部分。C2M2 和框架都将风险评估视为重要实践。
第五步:创建目标轮廓。美国能源行业C2M2实施步骤五到框架的映射如表5所示:
如表5所示,将前四个步骤的部分关键信息作为步骤五的输入。C2M2评估评分报告可以通过提示成熟度指示等级MIL为实现目标轮廓提供帮助。可以将风险评估与C2M2评估报告一起使用,以识别目标所要求的实践和等级。通过这两种评估方法,组织可以使用C2M2实践到框架核心子类别的映射及C2M2实践到层级特征的映射来比较目标轮廓与框架,还可以对目标轮廓进行适当调整。
第六步:分析差距并确定优先级。美国能源行业C2M2实施步骤六到框架的映射如表6所示:
如表6所示,将前五个步骤的关键信息作为步骤六的输入。C2M2自我评估评分报告使组织能够识别当前轮廓和目标轮廓之间的差距。对差距进行排序时,应考虑差距如何影响组织目标以及目标的重要性、实施成本以及实施所需的资源。
第七步,实施行动计划。美国能源行业C2M2实施步骤七到框架的映射如表7所示:
如表7所示,将步骤六的优选实施计划作为步骤七的输入,经过活动环节,输出相应的目标信息。
由以上七个步骤映射关系可知,各个步骤之间的输入输出存在依赖关系,并且各个步骤环环相扣,逐步帮助组织建立可控的网络安全风险管理流程规范。各行业可根据领域需求特点,实施C2M2到框架的映射,并定期重复执行上述步骤,从而逐步实现网络安全当前轮廓与目标轮廓的逐步统一。
C2M2与网络安全框架的结合及其映射关系,可以为能源行业所有者和运营商带来以下收益:
(1)共同目标。框架和C2M2的目的是帮助关键基础架构组织评估并潜在地改善其网络安全状况。
(2)有助于网络安全框架的实施。C2M2作为框架的描述性指南,在抽象层次上提供了描述性指南。
(3)全面涵盖框架实践。将C2M2实践映射到子类别和层级包含的映射表明 C2M2 充分解决了框架的所有目标。
(4)渐进的成熟度级别。C2M2使用成熟度指标级别,并通过到框架层级的映射,可以帮助组织跟踪网络安全实践能力成熟度等级。
(5)自我评估工具箱。C2M2工具箱可实现逐步的自我评估,并具有基于宏的评分和结果报告。这些资源有助于定期重新评估和根据目标轮廓衡量进度。
4 启示建议
我国关键信息基础设施保护现状:已经构建了包括《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》、网络安全等级保护系列标准、关键信息基础设施网络安全保护系列标准、重点行业关键信息基础设施网络安全保护标准的保护体系。
但是,目前我国《关键信息基础设施安全保护条例》自2017年征求意见稿以来仍未正式发布、关键信息基础设施安全系列标准的制定与发布周期较长,期间可能存在安全保护的空档期;政府职能部门、科研机构、教育机构、骨干企业、测评机构之间在关键信息基础设施保护体系的协调配合不够流畅,可能对安全事件的响应不够精准及时。关键信息基础设施保护需要人、技术、管理的全方位保障与协调,我国关键信息基础设施保护仍然存在重技术、轻人员和管理的问题,与人和管理相关的安全事件占比仍然较高。
针对我国关键信息基础设施保护现状,结合美国关键信息基础设施保护经验提出以下启示建议:
(1)借鉴美国关键信息基础设施网络安全保护体系规范,自顶向下、逐层细化。
(2)广泛征求行业骨干企业、重要学术机构、著名教育机构、政府职能部门、权威测评机构等的综合意见,激励各方积极参与、形成标准体系,提高关键信息基础设施保护的影响力和权威性。
(3)选取电力、能源等重点行业进行关键信息基础设施网络安全保护实施案例分析,带动其他行业进行网络安全系统防护。
(4)通过网络安全测评、动态演练、逐步优化,提升关键信息基础设施动态防护水平。
(5)加强网络安全人才教育与培训考核,提升关键信息基础设施人才技术与管理能力。
5 结 语
为了加强我国关键信息基础设施保护,本文研究了美国网络安全框架以及C2M2模型的组织结构与实施步骤。按自顶向下方法,从网络安全框架到其扩展的C2M2评估模型,再到电力行业实施进行了分析。最后从目标、实施、映射三个方面对采用网络安全框架和C2M2模型保护关键信息基础设施,总结如下:
(1)目标
网络安全框架的目标是构建适用于各领域网络安全风险管控治理的通用描述方法,确保可扩展性与技术创新,希望各行业在实际应用中自愿采纳的技术标准和参考规范。
C2M2模型的目标则是帮助所在部门和组织评估并改进其网络安全规划,增强其网络安全运营弹性。重点在于信息技术、运营技术以及运行环境相关的网络安全实践风险管理。
(2)实施
网络安全框架是一个指导性参考架构,在具体实施过程中,不同组织完全可根据自身需求来确定网络安全防护措施,根据自身特定的网络安全需求,从关键信息基础设施保护现状、软硬件综合配置、安全防护成本等综合考虑,根据相关法律法规采用适合的网络安全防护强度,并依据法律法规承担相应的主体责任。
C2M2提供的是描述性而非指导性的指导。模型内容以较高的抽象级别呈现,因此可以由各种类型、结构、规模和行业的组织机构使用。每个行业均可广泛使用该模型对该行业网络安全能力进行基准测试。
针对我国关键信息基础设施保护现状,应依据我国《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》规定,加强网络安全等级和关键信息基础设施双重保护。
(3)映射
《能源行业网络安全框架实施指南》详细论述了C2M2如何映射到网络安全框架,包括七个步骤的映射关系。C2M2推荐的实施步骤映射到网络安全框架的七个实施步骤,有助于各种类型和规模的组织通过C2M2模型来实施网络安全框架,评估并改进行业自身的网络安全状况。
针对我国能源和电力等关键信息基础设施行业现状,应通过《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》、关键信息基础设施网络安全保护系列标准、重点行业关键信息基础设施网络安全保护标准等构建自上而下、逐级映射的关键信息基础设施安全保障体系,维护国家网络空间安全与主权。