一、美国商务部NIST发布《提升关键基础设施网络安全的框架》
在第13636号行政令的第7章,明确要求商务部部长应带领国家标准和技术研究院(简称NIST)院长制定《减少关键基础设施网络风险的框架》。在该行政令中明确指出,网络安全框架应包括一系列与标准、方法、程序和过程相匹配的解决网络风险的政策、业务和技术方法。网络安全框架应尽可能包括自愿性标准和行业最佳实践。当国际标准能够推动本行政令的目标时,网络安全框架应与自愿性国际标准一致,这样具体的要求,不但指定了NIST作为该文件的主要起草者,并明确了文件具体内容,使得这份待开发的安全框架与相关标准密切相关。
第13636号行政命令要求“在本行政令发布的240天内,NIST应发布一个初级版本的网络安全框架。在本行政令发布1年内,通过与部长协调,NIST应发布满足第8章规定(一项自愿性关键基础设施网络安全计划)的最终版的网络安全框架。因此,我们看到在第13636号行政命令发布后240天内,即2013年12月,NIST发布了初级版本的网络安全框架并公开征求意见,2014年2月12日,第13636号行政命令发布后整一年后,美国国家标准技术研究院(NIST)正式发布了《提升关键基础设施网络安全的框架》第1.0版本。
有关部门严格按照行政命令有序完成了网络安全框架的开发任务,同时要求在该框架下与国土安全部共同制定“自愿性关键基础设施网络安全计划”,推进为一揽子的行动实施计划。
二、《提升关键基础设施网络安全的框架》主要内容
2.1 概述
《提升关键基础设施网络安全的框架》的基本思想,是一套着眼于安全风险,应用于关键基础设施广阔领域的安全风险管控的流程。按照美国联邦政府相关行政指令,要求该文件的开发应基于一系列的工业标准和最佳实践来帮助组织管理网络安全风险。这个框架通过政府和私营部门的合作进行创建,并基于业务需要、以低成本方式、使用通用语言来处理和管理网络安全风险。
基于此目的,该文件的开发目的是形成一套适用于各类工业技术领域的安全风险管控的“通用语言”,同时为确保可扩展性与开展技术创新,此框架力求做到“技术中性化”,即:第一依赖于现有的各种标准、指南和实践,使关键基础设施供应商获得弹性能力。第二依赖于全球标准、指南和实践(行业开发、管理、更新实践),实现框架效果的工具和方法将适用于跨国界,承认网络安全风险的全球性,并随着技术发展和业务需求而进一步发展框架。因此,从某种角度上来观察,该文件就是一份“用于关键基础设施安全风险管控的标准化实施指南。”
2.2 框架概览
该框架由三部分组成:框架核心,框架轮廓和框架实现层级。每个框架部件都会强化业务驱动因素和网络安全活动间的联系。
框架核心是一系列的网络安全活动、目标效果和关键基础设施部门通用的应用参考。核心提供了行业标准、指南和实践的方式,允许执行级到实施/运行级网络安全活动及效果跨组织间传递。该框架核心由五个并发的和连续的功能组成——识别、保护、检测、响应、恢复。综合考虑,这些功能从一个组织网络安全风险管理的整个生命周期角度,提出了一个高层次,战略性的观点。然后,框架核心识别每个功能的基础主分类和子类,并使他们与实例参考文献(如每个子类的现有标准、指南和实践)相符合。
框架实现层级(Tiers)考虑网络安全风险以及使用何种流程来管理风险。实现层级描述了组织网络安全风险管理实践中表现出的框架中定义的特征(如,风险和威胁感知,可重复和可适应)。这些实现层级表征了一定范围(从局部1级到自适应的4级)的组织实践,反映了从非正式、无响应的到敏捷的,风险警告的发展进程。在实现层级选择过程中,组织应该考虑其目前的风险管理实践、威胁环境、法律和监管规定,业务目标和组织约束。
框架轮廓(Profile)表示组织从框架分类和子类中选择出的业务需求为基础的输出。轮廓可以被定性为框架核心在特定实现场景下,标准、指南和实践的结合。通过当前轮廓(原样状态)与目标轮廓(将来状态)相比较,轮廓可用来确定是否改善网络安全态势。为开发一个轮廓,组织可以查看所有的分类和子类,并在业务驱动因素和风险评估的基础上,确定哪些是最重要的;它们将按需加入到分类和子类中,用以处理组织的风险。当前轮廓(Current Profile)可用于达到目标轮廓(Target Profile)的优先选择和进度衡量,同时考虑其他业务要求因素(如成本效益和创新)。轮廓可用于进行自评估以及组织内部或者组织间的沟通。
2.3 框架核心功能
框架核心是一系列实现特定网络安全功能,并参考指南实例实现特定功能的活动。框架核心不是要执行的操作清单,而是提出了由行业认可的在管理网络安全风险中有益的保障措施。核心包括四个要素:功能,分类,子类,和参考性文献。
图1 网络安全框架的核心结构
这五个框架核心功能定义如下:
识别(Identify)——帮助组织了解进而管理系统、资产、数据和能力的网络安全相关风险。
识别功能活动是有效使用框架的基础。理解业务内容、支持关键功能的资源以及相关的网络安全风险,使组织能够关注和优先考虑它的工作,使其与风险管理策略和业务需求保持一致。这个功能细化的例子包括:资产管理;商业环境;治理;风险评估;风险管理策略。
保护(Protect)——制定和实施适当的保证措施,确保能够提供关键基础设施服务。
保护功能支持限制或阻止潜在网络安全事件影响的能力。此功能细化的例子包括:访问控制,意识和培训,数据安全,信息保护流程和规程;维护和保护技术。
检测(Detect)——制定并实施适当的活动来识别网络安全事件的发生。
检测功能能够及时发现网络安全事件。此功能细化的例子包括:异常和事件;安全连续监测以及检测过程。
响应(Respond)——制定并实施适当的活动,用以对检测的网络安全事件采取行动。
响应功能支持控制一个潜在的网络安全事件的影响的能力。此功能细化的例子包括:响应规划;通信;分析;缓解和改进。
恢复(Recover)——制定并实施适当的活动,以保持计划的弹性,并恢复由于网络安全事件而受损的任何功能或服务。
该恢复功能支持及时恢复到正常的操作,以减轻网络安全事件的影响。此功能细化的例子包括:恢复规划;改进和通信。
2.4 框架实现层级
从关键基础设施风险管控需求出发,选择不同强度风险管控流程来管理风险,由此构成四层级的框架实现层级。四个层级分别为(1级)局部;(2级)风险通知;(3级)可重复;(4级)自适应,描述了网络安全风险管理实践中,严谨度和复杂度逐渐增加,根据业务需求其网络安全风险管理的告知程度,以及集合到组织的整个风险管理实践的集成度。
层级选择过程考虑组织当前风险管理实践,威胁环境,法律和监管规定,业务目标和组织约束。组织应该确定目标级,确保选择的级别满足组织的目标,且是落实可行的,同时以组织可接受的水平降低关键资产和资源的网络安全风险。
2.5 框架轮廓
该文件附录B给对框架轮廓给出的定义是:特定系统或组织从框架分类和子类中选择出的代表性效果。可见轮廓是与业务要求,风险承受力和组织资源相对应的功能、分类、和子类的集合。是某组织降低网络安全风险的一个路线图,鉴于组织的复杂性,组织可以选择多个轮廓,来与他们的特定组件和个体需求保持一致。
框架轮廓可以用来描述特定的网络安全活动的当前状态或目标状态。当前轮廓表明目前正在取得的网络安全效果。目标轮廓表明网络安全风险管理目标所需要实现的效果。轮廓支持业务需求,并有助于组织内部和组织之间风险的沟通。
但是,出于网络实施的灵活性的考虑,此框架文件没有规定轮廓模板。相信在该文件的后续版本中,也许会为某特定基础设施领域内制定和实施网络安全策略时提供某些框架轮廓的示范,而不会像通用准则(CC)那样在标准中明确定义出一个保护轮廓(PP)的基本机构或模板。
2.6 框架的实施
该文件用一张示意图,描述了网络安全框架可能的实施过程中,信息流和决策流的基本路线。在实现过程中,决策层执行风险管理,实施层执行网络安全框架轮廓,二者为关键基础设施的具体业务提供风险管理策略和网络安全保护策略。这也反映出关键基础设施的广泛性、多样性和复杂性现实下,在风险管理框架内实现相应的网络安全框架轮廓,具体的实施步骤则在已有的标准、规范、战略、策略中选择,而框架本身技术中立。
图2:信息流和决策流
基于此,创建一个新的网络安全方案或改进现有的方案,可能采取的比较完备的7步骤包括:
第1步:优先级和范围。该组织确定其业务目标和高层组织优先事项。
第2步:确定方向。一旦网络安全方案的范围已根据业务线或过程确定,组织就确定了相关系统和资产,监管要求和整体风险方法。然后,组织识别这些系统和资产的威胁及其漏洞。
第3步:创建一个当前轮廓。该组织通过指示需要实现的框架核心的分类和子类效果,开发一个当前轮廓。
第4步:进行风险评估。
第5步:创建目标轮廓。该组织创建目标轮廓,侧重于框架描述组织目标网络安全效果的分类和子类的评估。组织也根据组织的独特风险,开发自己的附加分类和子类。
第6步:确定,分析和优先顺序差距。
第7步 :实施行动计划。
来源: 中国电子技术标准化研究院
声明:本文来自中国网信网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
