《提升關鍵基礎設施網路安全框架》介紹

《提升關鍵基礎設施網路安全框架》介紹

文 | 李鵬飛

為有效保護美國關鍵基礎設施網路安全，美國總統奧巴馬於2013年2月12日簽署名為「提高關鍵基礎設施網路安全」的13636號行政命令，擴大聯邦政府與私營企業的合作深度與廣度，以加強「關鍵基礎設施」部門的網路安全管理與風險應對能力，提出由美國商務部牽頭、國土安全部配合，指導美國國家標準技術研究院（NIST，直屬美國商務部）開發降低關鍵基礎設施信息與網路安全風險的框架，此框架應包括一套標準、方法、程序、政策以及安全威脅定位的業務流程和技術方法。

2014年2月12日，美國白宮宣布發布由NIST經過多番修訂形成的《提升關鍵基礎設施網路安全框架》第一版（以下簡稱《框架》）。本文對《框架》發布的作用和意義進行了闡釋，對其主要內容和應用方法進行了重點分析和說明。

一、《框架》概述

《提升關鍵基礎設施網路安全的框架》的基本思想，是一套著眼於安全風險，應用於關鍵基礎設施廣闊領域的安全風險管控的流程。按照美國聯邦政府相關行政指令，要求該文件的開發應基於一系列的工業標準和最佳實踐來幫助組織管理網路安全風險。這個框架通過政府和私營部門的合作進行創建，並基於業務需要、以低成本方式、使用通用語言來處理和管理網路安全風險。

基於此目的，該文件的開發目的是形成一套適用於各類工業技術領域的安全風險管控的「通用語言」，同時為確保可擴展性與開展技術創新，此框架力求做到「技術中性化」，即：第一依賴於現有的各種標準、指南和實踐，使關鍵基礎設施供應商獲得彈性能力。第二依賴於全球標準、指南和實踐（行業開發、管理、更新實踐），實現框架效果的工具和方法將適用於跨國界，承認網路安全風險的全球性，並隨著技術發展和業務需求而進一步發展框架。因此，從某種角度上來觀察，該文件就是一份「用於關鍵基礎設施安全風險管控的標準化實施指南。」

二、《框架》核心Framework Core

框架核心提供一系列為實現特定網路安全目標而進行的活動及指導示例作為參考。它並非行動列表，而是展示了業界確認的、可促進網路安全風險管理的關鍵網路安全成果。框架核心包含四個元素：功能、類別、子類別及參考資料。

2.1 功能處於最高級別，用於組織基本的網路安全活動。具體來說，功能包括識別、防護、檢測、響應與恢復。組織可利用這些功能管理網路安全風險，包括組織信息、啟動風險管理決策、解決威脅問題以及根據之前活動經驗進行優化。功能在根據現有方法調整後可用於事件管理，展示網路安全投資的效果，例如，規劃與演練方面的投資可促進及時響應與恢復，降低對服務交付的影響。

2.2 類別是將功能細分為網路安全結果組，與計劃需求和實際活動密切相關，比如，「資產管理」、「訪問控制」和「檢測流程」類別。

2.3 類別可進一步細分為子類別，描述具體的技術及/或管理活動結果。子類別列舉了部分可輔助實現各類別目標的結果，「已編目外部信息系統」、「已保護休眠數據」及「已調查檢測系統的通知」均為子類別。

2.4 參考資料列舉了關鍵基礎設施部門常用的標準、指南及實踐中的具體章節，描述了達到子類別要求的具體方法。本框架核心並未列舉所有的參考資料，僅列舉部分作說明之用。這些參考資料均為框架制訂過程中最常引用的跨部門指導手冊。

三、《框架》核心功能

3.1 識別：針對系統、資產、數據和能力相關的網路安全風險，組織內部形成共識。

識別功能涉及的活動是有效利用框架的基礎。組織須了解業務環境、關鍵功能的輔助資源及相關網路安全風險，這樣才能根據風險管理策略及業務需求確定事情的輕重緩急，重點突破。本功能涉及的結果類別包括資產管理、業務環境、治理、風險評估及風險管理策略。

3.2 防護：制訂實施恰當的防護措施，確保關鍵基礎設施服務的交付。

防護功能對於限制或遏制潛在網路安全事件的影響起支撐作用。本功能涉及的結果類別包括訪問控制、安全意識與培訓、數據安全、信息防護流程及工序、維護和防護技術。

3.3 檢測：規劃並實施恰當的活動，識別網路安全事件。

檢測功能可及時發現網路安全事件。本功能涉及的結果類別包括異常與事件、安全持續監控和檢測流程。

3.4 響應：規劃並實施恰當的活動，在檢測到網路安全事件時採取相應措施。

響應功能對於遏制潛在網路安全事件的影響起支撐作用。本功能涉及的結果類別包括響應規劃、溝通、分析、緩解和優化。

3.5 恢復：規劃並實施恰當的活動來維護網路彈性計劃，恢復網路安全事件中受損的功能或服務。

恢復功能可及時恢復正常運行，降低網路安全事件的影響。本功能涉及的結果類別包括恢復規劃、優化和溝通。

四、《框架》執行層級

框架執行層級（簡稱「層級」）為組織提供了評估網路安全風險的背景以及針對此種風險的現有管理流程。框架執行層級從低到高分為四級，1 級為「局部」，4 級為「自適應」，描述了網路安全風險管理實踐的嚴格與程度，以及網路風險管理受業務需求的影響程度及其與組織的總體風險管理實踐的結合度。風險管理考慮的因素包括網路安全的各個方面，如隱私和公民自由與組織的網路安全風險管理的結合度、對於潛在風險的響應。

在選擇層級時，組織應考慮現有的風險管理實踐、威脅環境、法規要求、業務/任務目標及組織局限性。組織應確定目標層級，保證所選擇的層級符合組織目標，具有可行性，並能將關鍵資產與資源的網路安全風險降低至可接受級別。組織在確定目標層級時，應考慮從聯邦政府部門與機構、信息共享與分析中心、現有的成熟模型或其他來源獲取外部指導。

鼓勵 1 級（局部）組織向 2 級或更高層級努力，但層級本身並不代表成熟度。若此等晉級可降低網路安全風險及成本，則予以鼓勵。框架是否成功執行取決於目標對齊結果中描述的結果是否達成，而非所定的級別。

1 級：局部（Partial）

風險管理流程：組織的網路安全風險管理實踐並未固化，風險管理更像是即興所為，有時甚至是被動反應。網路安全活動的優先順序與組織風險目標、威脅環境或業務/任務需求並無直接聯繫。

綜合風險管理計劃：組織層面的網路安全風險意識有限，沒有建立組織範圍內的網路安全風險管理方法。因經驗或從外部獲取的信息不同，組織的網路安全風險管理沒有規律，總是就事論事。組織缺少流程，無法保證網路安全信息在內部共享。

外部參與：組織缺少現成的流程，無法與其他單位配合協作。

2 級：具有風險意識（Risk Informed）

風險管理流程：管理層允許進行風險管理活動，但是並未確立為組織策略。網路安全活動的優先順序與組織風險目標、威脅環境或業務/任務需求有直接聯繫。

綜合風險管理計劃：組織層面有網路安全風險意識，但沒有建立適用於整個組織的網路安全風險管理方法。慮及風險的流程與工序獲得管理層批准並實施，員工有充分資源履行自己的網路安全職責。網路安全信息在組織內部非正式地共享。

外部參與：組織明了自己在更大範圍的生態系統中的角色，但是沒有將能力固化與外部互動及共享信息。

3 級：可復用（Repeatable）

風險管理流程：組織的風險管理活動獲得正式批准，固化為策略。組織的網路安全實踐根據風險管理流程在業務/任務需求更改中的應用程度和不斷改變的威脅與技術環境而定期更新。

綜合風險管理計劃：具有適用於整個組織的網路安全風險管理方法，定義了基於風險的策略、流程與工序，並按計劃實施及評審，有統一方法有效應對風險變化，員工具有履行指定角色與職責的知識與技能。

外部參與：組織了解附屬機構與合作夥伴，並從這些合作夥伴獲取信息，以進行協作並在事件發生後作出內部風險管理決策。

4 級：自適應（Adaptive）

風險管理流程：組織根據之前與當前網路安全活動中獲得的實踐經驗與預測指標調整其網路安全實踐。組織通過合入先進的網路安全技術與實踐進行持續優化，積極調整以適應不斷變化的網路安全環境，及時應對不斷演進、日益複雜的安全威脅。

綜合風險管理計劃：具有適用於整個組織的網路安全管理方法，這個方法使用基於風險的策略、流程與工序處理潛在的網路安全事件。網路安全風險管理作為組織文化的一部分，由了解歷史活動開始，發展到從其他來源獲取信息，再持續監控其系統與網路中的活動。

外部參與：組織管理風險，積極與合作夥伴共享信息，確保所分發及使用的信息準確、實時，以便提高網路安全，防止網路安全事件的發生。

五、《框架》對齊結果

對齊結果將功能、類別和子類別與組織的業務需求、風險承受能力和資源情況相匹配。

組織可利用對齊結果製作一份路線圖來降低網路安全風險。該路線圖需與組織和部門的目標一致，符合法律和監管要求和行業最佳實踐，並反映出風險管理優先順序。鑒於自身的複雜性，很多組織可能會選用多個對齊結果，與組織的某些部門相匹配，並識別其個性化需求。

框架對齊結果可顯示特定網路安全活動的當前狀態或所期望的狀態。當前對齊結果呈現當前的網路安全結果。Target Profile 顯示期望達到的網路安全風險管理目標。這些對齊結果支持業務/任務需求，並協助實現組織內部或組織間的風險溝通。考慮到實現上的靈活性，該框架文檔不規定使用某些對齊結果模板。

通過對比對齊結果（例如當前對齊結果和目標對齊結果），組織可了解其當前網路安全結果與網路安全風險管理目標之間的差距。制定能夠消除這些差距的行動計劃，有助於實現上述路線圖。可根據組織的業務需求和風險管理流程，確定差距縮小的優先順序。採用這種基於風險的方法，組織可衡量資源評估情況（例如人員配備和融資），並按照優先順序，以經濟有效的方式實現網路安全目標。

六、《框架》實施

管理層與業務/流程層就任務優先順序、可用資源、以及總體風險承受能力進行溝通。業務/流程層將溝通結果作為風險管理流程的輸入，然後與實現/運營層溝通業務需求並創建對齊結果。之後，實現/運營層就對齊結果實現進度與業務/流程層進行溝通。業務/流程層基於這些信息進行影響評估。隨後，業務/流程層管理人員將影響評估結果上報管理層，從而將組織內的整體風險管理流程傳達給實現/運營層，讓其了解風險對業務的影響。

基於此，創建一個新的網路安全方案或改進現有的方案，可能採取的比較完備的7步驟包括：

第1步：優先順序和範圍。該組織確定其業務目標和高層組織優先事項。

第2步：確定方向。一旦網路安全方案的範圍已根據業務線或過程確定，組織就確定了相關係統和資產，監管要求和整體風險方法。然後，組織識別這些系統和資產的威脅及其漏洞。

第3步：創建一個當前輪廓。該組織通過指示需要實現的框架核心的分類和子類效果，開發一個當前輪廓。

第4步：進行風險評估。

第5步：創建目標輪廓。該組織創建目標輪廓，側重於框架描述組織目標網路安全效果的分類和子類的評估。組織也根據組織的獨特風險，開發自己的附加分類和子類。

第6步：確定，分析和優先順序差距。

第7步 ：實施行動計劃。

附1：框架功能和類別標識

如果覺得內容不錯，歡迎關注微信公共號（ID：WeYanXPJ）獲得後續更新；如需閱讀以前文章，請在公共號後台查看歷史消息。

推薦閱讀：