2022年10月,美国网络安全和基础设施安全局(CISA)和美国国家标准与技术研究院(NIST)联合制定发布了《跨部门网络安全绩效目标》(以下简称《目标》),旨在落实拜登总统2021年签署的改善关键基础设施控制系统网络安全备忘录,促进NIST网络安全框架(CSF 1.1)(以下简称“NIST框架”)更好实施。《目标》建立了一套广泛适用于美国关键基础设施的网络安全基线目标,覆盖账户安全、设备安全、数据安全、管理和培训、漏洞管理、供应链安全、响应和恢复等8个方面共37项安全实践,帮助运营者,特别是中小企业提升网络安全能力。

一、相关背景

根据CISA的评估分析,美国关键基础设施主要面临两方面挑战。一是部分运营者尚未采取基本的安全防护措施,特别是中小企业受资源限制,无法确定应优先采取的安全实践。二是各关键基础设施部门之间缺乏一致的标准和网络成熟度。为应对这些挑战,CISA与NIST联合建立所有关键基础设施部门一致的、自愿的、最低基线的网络安全目标。总体上看,《目标》旨在通过一系列明确且易实施的网络安全保护措施,解决最常见和最具影响的安全风险,以实现NIST框架的核心基线目标。因此,《目标》可以看作是NIST框架的“快速入门指南”,以期帮助运营者平衡其专业知识、资源或能力方面的差距,识别最重要的网络安全实践,并进行实施、投入等层面的优先排序以确保有足够的资源来降低风险。

二、相关内容

《目标》共分为三部分,一是网络安全能力建设目标清单,主要介绍了帐户安全、设备安全、数据安全、管理和培训、漏洞管理、供应链安全、响应和恢复以及其他等八方面安全能力建设目标,并列举了37项可定义的、可实现的具体安全实践。二是网络安全能力评估模板,帮助运营者确定组织实施的优先级,并跟踪实施情况。三是安全实践映射关系表,介绍了《目标》与现有NIST框架、NIST SP 800系列指南等的映射情况。

(一)网络安全能力建设目标清单

目标清单分为帐户安全、设备安全、数据安全、管理和培训、漏洞管理、供应链安全、响应和恢复以及其他等8个方面,详细介绍了8个目标下37项细化安全实践,目标一览表如表1所示。

表1 目标一览表

每项目标包括多个可定义的、可操作的安全实践,并对每个安全实践的预期结果、适用范围,以及识别出的攻击战术、技术和程序(TTP)进行了详细说明,给出综合风险评判和建议行动。

以“1.账户安全”目标下的“1.1检测不成功的(自动)登录尝试”为例,相关内容如图1所示。

图1 安全实践(示例)

(二)网络安全能力评估模板

《目标》同时提供了与目标清单配套使用的网络安全能力评估模板,帮助运营者确定网络安全投入的优先级,并跟踪实施情况,有关示例如图2所示。

图 2 网络安全能力评估模板(示例)

安全实践映射关系表

《目标》是实现NIST框架的核心基线目标,因此《目标》详细列出了每项安全实践与NIST框架相应子类别的映射关系。为了便于理解,《目标》同时给了每项实践与NIST SP800、ISA 62443、ISO/IEC 27001等系列标准之间的映射关系,如表2所示。

表2 安全实践映射关系表(示例)

资料来源

[1] CROSS-SECTOR CYBERSECURITY PERFORMANCE GOALS.https://www.cisa.gov/cpg

[2]  National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems. https://www.whitehouse.gov/briefing-room/presidential-actions/2021/07/28/national-security-memorandum-on-improving-cybersecurity-for-critical-infrastructure-control-systems/

[3] CYBERSECURITY FRAMEWORK. https://www.nist.gov/cyberframework

声明:本文来自网络安全卓越验证示范中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。