NIST關鍵基礎設施網絡安全改進框架介紹

謝宗曉（南開大學商學院）

董坤祥（山東財經大學管理科學與工程學院）

張菡（中國鐵路總公司運輸局）

本刊特約

NIST關鍵基礎設施網絡安全改進框架介紹

謝宗曉（南開大學商學院）

董坤祥（山東財經大學管理科學與工程學院）

張菡（中國鐵路總公司運輸局）

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文55篇，出版專著12本。

信息安全管理系列之二十八

基于美國總統令EO 13636，NIST于2014年發布了《關鍵基礎設施網絡安全改進框架》，這個報告不但給出了網絡空間安全管理的框架，而且與ISO/IEC 27001：2013等標準中具體的安全控制建立了映射關系。由于目前國內尚沒有相應的指導文件，因此下文中對其進行了簡要的介紹。

謝宗曉（特約編輯）

《關鍵基礎設施網絡安全改進框架》以風險管理為基礎，建立了一個基于識別、保護、檢測、響應和恢復為主要步驟的網絡空間安全管理的框架。論文對該報告從應用的角度進行了解讀。

網絡安全 網絡空間安全 信息安全 關鍵基礎設施

1 概述

《關鍵基礎設施網絡安全改進框架》（Framework for Improving Critical Infrastructure Cybersecurity）1）全文下載地址：http://www.nist.gov/cyberframework/。由NIST2）美國國家標準與技術研究院（National Institute of Standards and Technology，NIST），https://www.nist.gov/。發布于2014年2月12日，主要是為了響應2013年2月12日奧巴馬總統簽署的總統令（Executive Order，EO）13636，標題為：Improving Critical Infrastructure Cybersecurity。

《關鍵基礎設施網絡安全改進框架》提出了一個基于風險的網絡空間安全管理的框架，其中包括識別（Identity）、保護（Protect）、檢測（Detect）、響應（Respond）和恢復（Recover）。但是并沒有重新設計具體的安全控制，而是直接與已有的標準/報告進行了映射，如表1所示。

表1 《關鍵基礎設施網絡安全改進框架》引用控制措施的標準/報告

2 框架

《關鍵基礎設施網絡安全改進框架》提供了實現特定網絡空間安全結果的行動集合，以及指導實現這些結果的參考案例。如上文所述，核心框架不是執行清單，而是代表了行業內的關鍵網絡空間安全結果，以幫助管理網絡空間安全風險。

核心框架包括四個要素：功能、分類、子分類和參考信息，要素的作用描述如下：

1）功能，即網絡空間安全基礎活動的最高等級。這些功能包括識別、保護、檢測、響應和恢復。其幫助組織以組織信息、風險管理決策、處理威脅和先前活動的干中學等方式，表述組織的網絡空間安全風險管理。這些功能也可與現有的方法論結合用戶事件管理，以及呈現網絡空間安全投資的影響。例如，投資計劃、及時響應性演習、恢復活動和減少服務傳遞中結果的影響。

2）分類，即將功能的細分與功能需求和特定活動相關的網絡空間安全結果聚簇。例如，分類包括資產管理、訪問控制和檢測流程等。

3）子分類，即將分類進一步細分為技術或管理活動的特定結果。子分類提供并不詳盡的結果集，以幫助實現每個分類的結果。例如，子分類包括外部信息系統的分類、靜態數據的保護和檢測系統通報結果調查等。

4）參考信息，即標準、指南和通用實踐的特定條款或活動。核心框架的參考信息是跨部門實踐指南中那些最為常用的標準、指南或通用實踐。因此，核心框架的參考信息不是詳盡描述而是舉例說明。

功能、分類、子分類和參考信息，具體如表2所示，限于篇幅，子分類和參考信息請參考文后的參考文獻[1]。

表2 網絡安全技術

3 應用

《關鍵基礎設施網絡安全改進框架》概要是功能、分類和子分類與企業要求、風險容限和組織資源一一對應的要求性文件。概要促使組織在考慮組織和部門目標、法律/法規要求、企業最佳實踐和風險管理優先次序的基礎上，建立減少網絡空間安全風險的路線圖。考慮到許多組織的復雜性，組織可以選擇多個概要文件，并與特定實踐相結合，以實現組織的個性化需求。

框架概要可用于描述特定網絡空間安全活動的當前狀態或期望目標。當前概要文件描述了目前已經實現的網絡安全結果。目標概要文件描述了網絡安全的結果要達到的期望網絡空間安全風險管理的目標。概要支持業務/任務的要求，并支持組織內和組織間的風險溝通。框架概要文件并沒有特定的模板，其允許在實施過程中根據需要靈活形成。

通過比較不同的概要（如當前概要和目標概要），可以明確為了滿足網絡安全風險管理目標還存在的差距。組織可以使用路線圖來制定相應的行動計劃，以縮小這些差距。其中，縮小這些差距的優先次序是由組織的業務需求和風險管理流程決定的。這種基于風險的方法可以保證組織根據已有資源（如員工、資金等），在成本效益和優先級的基礎上，達到組織要求的網絡空間安全目標。

圖1描述了組織在戰略層、業務層和職能層三個不同層次的信息和決策過程。戰略層決定了任務的優先級、可獲得的資源和業務層的風險容限。業務層將相關信息輸入風險管理過程，然后與職能層共同決定業務要求并形成概要文件。職能層向業務層傳達概要的實施情況，并根據實施情況形成評估報告。職能層向戰略層報告影響結果，以及組織的整個風險管理流程，并向業務層報告對業務的影響。

圖1 組織內信息和決策流程圖

4 小結

《關鍵基礎設施網絡安全改進框架》中建立了一個“識別、保護、檢測、響應和恢復”的管理閉環，印證了ITU-T X.1205中對“信息安全”和“網絡安全（cybersecurity）”之間異同的分析[2][3]，即網絡空間安全中CIA（confidentiality, integrity and availability）的排列順序為“可用性（A）”“完整性（I）”和“機密性（C）”，而信息安全中排列的順序為“機密性（C）”“完整性（I）”和“可用性（A）”。

[1]謝宗曉，甄杰，董坤祥，等. 網絡空間安全管理[M]. 北京：中國質檢出版社/中國標準出版社，2016.

[2]謝宗曉. 信息安全、網絡安全及賽博安全相關詞匯辨析[J]. 中國標準導報，2015（12）：30-32.

[3]謝宗曉. 關于網絡空間(cyberspace)及其相關詞匯的再解析[J]. 中國標準導報, 2016（02）：26-28.

Introduction of NIST Framework for Improving Critical Infrastructure Cybersecurity

Xie Zongxiao ( Business School, Nankai University )
Dong Kunxiang ( School of Management Science and Engineering, Shandong University of Finance and Economics )
Zhang Han ( Transportation Bureau of China Railway )

Based on risk management, Framework for Improving Critical Infrastructure Cybersecurity established a cyberspace security management framework, including Identity, Protect, Detect, Respond and Recover. This paper explains the report from the perspective of implementation.

cybersecurity, cyberspace security, information security, critical infrastructure