【编者按】美国“网络安全框架”的提出是为了增强关键基础设施的网络安全,其构建运用了风险管理理念。本文运用风险管理的方法流程于企业网络安全管理,提出了企业在风险环境下应该采取的基本网络安全策略。

美国网络安全框架构建问题研究

——风险管理理念的运用

国防科技大学信息通信学院 张翔 郑理

美国商务部下属的国家标准与技术研究所于2014年发布了《网络安全框架(1.0版)》,后升级至1.1版。框架的提出是为了增强关键基础设施的网络安全,适应高风险对关键基础设施的挑战和要求,是政府面向企业的公共产品。

风险管理理念产生于西方资本主义国家,首先运用于经济管理领域,后推广至网络安全领域。美国官方指出:网络安全框架运用了风险管理理念,具体体现在5大功能域的“预期结果”(desired outcomes)中(见图1)。“预期结果”是对框架功能域的逐步分解,是满足网络安全状态的策略的集合,是网络安全目标从抽象到具体的实现过程。本文通过建立风险管理的基本概念,提出并运用风险管理的方法流程(风险环境分析、环境脆性分析及应对策略)于企业网络安全管理,得出了企业在风险环境下应该采取的基本网络安全策略。上述分析过程有助于理解框架的构建过程,加深对框架的认识。

图1 网络安全框架基本结构

一、风险管理的基本概念

风险,即可能发生的危险。从信息安全的角度来讲,风险是指:威胁源采用恰当的威胁方式利用计算机系统硬件、软件、协议的漏洞(也称脆弱性、脆性)造成的不良后果,而漏洞是计算机系统在一定环境中存在的缺陷。因此认为,风险就是威胁源在特定环境中造成的影响。风险管理就是针对威胁源及其在特定环境中造成的影响的限制和管束。

风险管理不能简单理解为对风险进行管理,而应充分考虑环境因素(即风险环境),通过对环境的脆性和漏洞进行分析,预判威胁源可能造成的不良影响,从而提出针对性策略。

二、风险管理方法流程在企业网络安全管理中的运用

运用风险管理理念要突出3个要素:风险环境分析、环境脆性分析及应对策略,这三者是递进的(见图2),其中,风险环境分析是基础。

图2 风险管理方法流程在企业网络安全管理中的运用(构建过程)

(一)风险环境分析

风险环境分析的本质是对风险环境的构成进行分析,通过了解风险环境的构成要素及其脆性,才能制定针对性策略。

在美国,关键基础设施的所有者大部为私营企业,因此政府给出的网络安全框架主要面向企业。当对一个企业进行风险环境构成分析时,需将企业的整个环境(包括内、外环境)站在网络安全的角度转换为“风险环境”,对其构成进行剖析。

一个企业的环境从一般意义上来讲包括:企业战略环境、企业泛在资产环境和企业外在商业环境。

1、战略环境

在战略环境分析中要明确一个企业存在的战略意义,即商业核心使命,为完成使命要达到的目标和支撑目标实现的具体行动,这是观念层面的。当考虑网络安全时,要进一步剖析支撑企业战略实现的基础是什么,即一个企业所具有的关键功能和对外提供的关键服务,这是企业的硬实力。从软实力上来讲,就包括信息安全策略、市场营销策略等。

2、泛在资产环境

资产很好理解,一般将其划分为硬资产和软资产。硬资产包括企业内的物理设备、系统、移动介质、软件平台和应用程序,企业外部与企业的网络相连的信息系统。软资产包括信息和人力资源两个方面。信息主要是指企业的整体信息行为和日常产生的数据流;人力资源既要关注全体人员,也要关注重点人群,如具有网络特权的用户,高级管理员,物理和信息安全人员,以及企业的利益攸关方(供应商、大客户和合作伙伴)。

3、外在商业环境

需考虑的外在商业环境主要指企业在供应链(或产业链)中所处位置,企业在关键基础设施域及工业域中发挥的作用,外界的信息共享论坛,以及与新闻媒体界的互动等。

(二)环境脆性分析及应对策略

有了风险环境构成分析的基础,就能针对各个组成成分和构成要素进行详细的脆性分析,并提出应对策略,形成有效的网络安全预期。

1、战略环境脆性及应对策略

从战略环境的角度来讲,当发生网络威胁时,支撑企业战略实现的关键功能和对外提供的关键服务会受到影响,因此,应该通过企业任务、目标的明确,来确定发生网络威胁时行动的优先级,制定企业的信息安全策略,建立关键服务和关键功能的恢复需求。信息安全策略应包含:响应计划(事件响应和商业连续性计划)、恢复计划(事件恢复和灾难恢复)、脆性(漏洞)管理方案、安全事件管理方案(包含安全事件的分类和事件告警的阈值等),并利用从网络事件中吸取的经验教训升级完善有关方案。这是宏观方面的。微观上,依赖于对具体的资产等造成的影响,有区别地制定策略。

2、泛在资产环境脆性及应对策略

硬资产方面。企业内的物理设备、系统、移动介质、软件平台和应用程序等资产可能被窃取、破坏、修改,甚至在维修维护的过程中被设置后门。对此,要建立资产登记清单,按照资产的类型、重要性和商业价值对资产实施分类管理;要建立资产的授权访问策略,拒绝恶意访问;要对资产的访问行为建档立志,以便审计;要对资产的配置、转移、销毁的全过程实施管理,克服管理空档;要对移动介质实施管理,避免引入外部威胁;在资产维修和维护的过程中,要采用可信的、经认证的和受控的手段,同时要管理好远程维护的过程。与企业的网络相连的信息系统是引入外部威胁的重要渠道,要详细的了解此类外部信息系统的具体情况,摸清底数,实施针对性管理,必要时,进行网络隔离和访问控制。同时,要监测外部网络的安全态势,检测潜在的网络安全事件,必要时进行调查取证和分析判断。

软资产方面。企业的整体信息行为和日常产生的数据流有可能被篡改、窃取、截获和泄露,因此要建立企业的日常信息和数据流“映射”,定期备份重要数据;要实施信息的访问控制策略,如身份认证和凭证管理;要对许可的用户进行管控,采取最低优先、职责分离和最小功能的原则;要对远程访问进行控制,防止网络窃密;要对数据和网络进行完整性检验,防止数据和重要配置被篡改;要保护传输中的数据和存储的数据(静态数据),防止数据泄露。人力资源方面,企业内的所有人员均有可能成为内部安全隐患,因此要进行人员意识管控,明确全体人员在网络安全方面应履行的职责,进行网络安全教育和安全防护技能培训,并对人员在入职和离职两个关口上进行筛查。对于网络特权用户和高级管理员,要建立明晰的职责权限范围;对于负责物理和信息安全的人员,要建立规范的网络安全职责,并被全体员工理解和知晓;对于企业的利益攸关方,要明确与企业在信息交互过程中的网络安全职责,共同维护企业网络安全。

此外,要使用信息和行为监测的技术手段,对信息流通、员工行为进行监测和监控,及时探明网络、物理环境、恶意代码、非授权连接等的潜在威胁。

3、外在商业环境脆性及应对策略

由于企业在供应链(或产业链)和关键基础设施域、工业域中发挥相应的作用,担负一定的功能,因此,当企业自身的关键功能和对外提供的关键服务被影响、破坏或降级后,将对供应链、关键基础设施域等产生间接影响。因此,对内,企业要明确自身在外界商业环境中的地位、作用及扮演的角色;对外,要将企业的网络安全策略与外界沟通,达成一致的理解;当企业发生网络事件时,要及时对外发布威胁预警信息,共享网络安全保护的策略;同时,企业要从外部多渠道获取网络威胁信息,对多源信息进行关联分析,建立更加丰富的态势感知;要根据企业在关键基础设施和工业领域中的角色和发生网络事件后可能造成的商业影响,评估企业的最大风险容忍度。对于新闻媒体界,要加强公共关系管理,发生对企业造成不良影响的网络事件后,要及时恢复声誉、消除影响、发布公告。

上述所有的网络安全管理策略均应受到法律的支持和保障,如网络安全、信息安全相关法规,隐私保护与言论自由相关的规定等。

通过风险环境分析、环境脆性分析及应对策略的提出,完成了风险管理方法流程在企业网络安全管理中的构建过程。反观美国网络安全框架中5大功能域的“预期结果”,即子类(Subcategories)的具体条目就能获得对框架的整体性和内部逻辑的新认知,有助于开展后续框架在具体关键基础设施域中的运用问题研究。

本文刊登于《网信军民融合》杂志2019年7月刊

声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。