2014年2月12日,美国国家标准技术研究院(NIST)正式发布了《提升关键基础设施网络安全的框架》第1.0版本。《提升关键基础设施网络安全的框架》的基本思想,是一套着眼于安全风险,应用于关键基础设施广阔领域的安全风险管控的流程。

该文件是奥巴马总统颁布的第13636号行政命令的产物,其开发目的是形成一套适用于各类工业技术领域的安全风险管控的“通用语言”,同时为确保可扩展性与开展技术创新,此框架力求做到“技术中性化”,即:第一依赖于现有的各种标准、指南和实践,使关键基础设施供应商获得弹性能力。第二依赖于全球标准、指南和实践(行业开发、管理、更新实践),实现框架效果的工具和方法将适用于跨国界,承认网络安全风险的全球性,并随着技术发展和业务需求而进一步发展框架。

因此,从某种角度上来观察,该文件就是一份“用于关键基础设施安全风险管控的标准化实施指南”,以帮助那些负责提供国家金融、能源、医疗保健和其他关键系统的组织更好地保护其信息和资产安全,抵御网络攻击。

如今,在初始版本发布4年后,美国国家标准与技术研究院(NIST)再次发布了《提升关键基础设施网络安全的框架》1.1版本。

与初始版本一样,框架1.1版本也是基于公众意见征询收集到的反馈、团队成员收到的问题,以及多次研讨会做出的修改所产生的公私合作成果。可以说,新版本是对1.0版本的提炼、阐明和改进。1.1版本仍具有灵活性,可满足组织机构的业务或任务需求,并适用于各种技术环境,例如信息技术、工业控制系统和物联网。

据悉,框架1.1版本中更新的内容包括:

  • 身份验证和身份;

  • 自我评估网络安全风险;

  • 供应链中的网络安全风险管理;

  • 漏洞披露;

新版本的变化之处

首先,1.1版本已经将“访问控制”类别更新为“身份管理和访问控制”,以便更好地考虑身份验证以及授权等内容。

此外,新版本中还增加了一个名为“第4.0节:使用框架自我评估网络安全风险”的新内容,解释了组织如何使用该框架来理解和评估其网络安全风险,包括测量标准的使用等。

该文件指出,网络安全性能标准的发展正在发生巨变,组织应该周到、富有创造性,并且谨慎地使用测量方法来优化使用,力求在改善网络安全风险管理方面取得进展。判断网络风险需要准则指导,且这些准则必须定期评估和更新,以适应不断变化的时代需求。

在供应链方面,扩展的第3.3节可以帮助用户更好地理解这一领域的风险管理,而新增的部分(3.4节)则侧重于购买决策,以及使用框架来理解与“商用货架产品”(Commercial-off-the-shelf,简称COTS,指可以采购到的具有开放式标准定义的接口的软件或硬件产品)相关的风险。

该框架强调了“网络供应链风险管理在解决关键基础设施和更广泛的数字经济中的网络安全风险所起到的关键作用”。该框架的“实施层”为组织机构提供了机制,供其了解网络安全风险管理方法的特征,并提供网络安全风险审视方法和管理风险的流程,以帮助组织机构确定优先级并实现网络安全目标。

“实施层”指的是组织机构安全风险管理实践的程度,衡量标准包括风险与威胁意识、可重复和自适应等要素。实施层通过四个层级范围描述组织机构的实践程度,各层级(从部分的层级1到自适应的层级4)反映了从非正式、被动响应到自适应的表现。该框架指出,在确定实施层级的过程中,组织机构应考虑当前的风险管理实践、威胁环境、法律法规要求、业务/任务目标和限制条件。

其他更新内容还包括对实施层和配置文件之间关系的更好解释;考虑到组织机构使用框架的具体方式非常多样,所以围绕“合规性”这一术语增加了更多细化解释;并增加了与漏洞披露生命周期相关的子类别。

关于新框架的讨论和后续考虑

该框架的执行摘要写道:

虽然本文件旨在改进关键基础架构中的网络安全风险管理,但该框架可供任何部门或社区的组织使用。该框架使组织(无论规模、网络安全风险程度或网络安全复杂程度)能够将风险管理的原则和最佳实践应用于提高安全性和恢复能力等方面。

因此,其目标是保持足够的灵活性,以便所有行业部门的大小企业和组织,以及联邦、州和地方政府都能够自愿采用。此外,值得注意的是,该框架不仅仅只是涉及技术和流程,而是全面涵盖了人员、流程和技术。

到目前为止,该框架的采用率已经相当可观。根据Gartner提供的数据显示,2015年只有30%的美国组织使用该框架,但到2020年这一数字预计将增加到50%。

与几乎所有数据安全标准一样,NIST网络安全框架是非强制性的。虽然网络专业人员经常需要采用这些标准和框架文档作为工具来并帮助构建所需的保护性架构,但是专业人员通常会根据自身情况(如企业规模、具体网络环境等)选择适用的工具。

然而,特朗普签署的名为“增强联邦政府网络和关键基础设施网络安全”的行政命令,从联邦政府网络、关键基础设施和国家整体安全三个层面提出增强网络安全措施。此举可以理解为,要求联邦机构遵守NIST网络安全框架。因为该行政命令要求机构负责人向OMB(行政管理和预算局 )提交风险管理报告,并描述其实施该框架的具体计划。

鉴于目前的指令,所有主要政府承包商也可能会面临类似的要求。

针对同一个问题,公共政策讲师兼哈佛大学Belfer科学与国际事务中心联合主任Eric Rosenbach在一份书面陈词中告诉参议员:国会应该要求所有关键基础设施提供商采用该框架。

Rosenbach引用了最近针对亚特兰大市和波音公司的勒索软件攻击事件,强调了关键基础设施领域存在明显的威胁需要解决。

网络风险影响着我们经济和社会的各个方面。这是一个全国性的威胁。只有通过全国的共同努力才能成功解决这个问题。当然,在此过程中,政府必须发挥主导作用。但是最终,私营企业和非政府组织的行动才是决定我们成功与否的关键所在。

今年晚些时候,NIST计划发布更新的配套文件——《改进关键基础设施网络安全路线图》,该文件描述了开发、协调和协作的关键领域。

正如网络安全框架项目经理Matt Barrett所说:

网络安全框架需要随着威胁、技术和行业的发展而发展。通过此次更新,我们已经证明,我们有一个良好的流程来将利益相关者聚集在一起,以确保该框架仍然是管理网络风险的一个很好的工具。

《提升关键基础设施网络安全的框架》1.1版本原文:

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。