美國關鍵信息基礎設施網(wǎng)絡安全改進框架及實施研究*

陳紅松，黃海峰，李蔚欣

（1.北京科技大學，北京 100083；2.太極計算機股份有限公司，北京 100102；3.北京郵電大學，北京 100876）

0 引 言

當今信息社會，國家安全、經(jīng)濟安全、社會安全以及人民福祉嚴重依賴關鍵信息基礎設施這一復雜動態(tài)巨系統(tǒng)。我國關鍵信息基礎設施正面臨全球有組織、有目的、高強度地持續(xù)攻擊和安全挑戰(zhàn)。為提高我國關鍵信息基礎設施網(wǎng)絡安全保護水平，研究了美國《關鍵基礎設施網(wǎng)絡安全改進框架》的內(nèi)容與組織結(jié)構(gòu)，以及在能源行業(yè)的實施步驟，結(jié)合我國現(xiàn)狀提出了啟示建議。

1 美國關鍵信息基礎設施網(wǎng)絡安全保護發(fā)展與實施歷程

為了提高我國關鍵信息基礎設施網(wǎng)絡安全保護水平，以美國相關標準規(guī)范為對象，研究了美國關鍵基礎設施網(wǎng)絡安全保護法律法規(guī)的發(fā)展歷程和實施應用中法律規(guī)范的關系。

1.1 發(fā)展歷程

1996 年7 月，美國政府通過發(fā)布第13010號行政令成立關鍵基礎設施保護總統(tǒng)委員會，這是第一個針對關鍵信息基礎設施的行政令。2000 年1 月，美國政府頒布了第一個針對關鍵信息基礎設施的保護計劃——《信息系統(tǒng)保護國家計劃1.0》。2001 年，在頒布的《愛國者法案》中首次對關鍵基礎設施進行定義。2002年，美國國土安全部成為“9·11”事件后成立的第一個負責國內(nèi)安全及反恐活動的行政機構(gòu)。2006 年6 月，美國國土安全部頒布《國家關鍵基礎設施保護計劃》，為各級政府和私營部門管理關鍵基礎設施提供參考架構(gòu)[1]。《網(wǎng)絡安全增強法案（2014）》是美國制定促進持續(xù)自愿的公私合作關系、增強網(wǎng)絡安全研究、提升公共安全意識的法案。2014 年2 月12 日，美國國家標準技術研究院（National Institute of Standards and Technology，NIST）發(fā)布了《關鍵基礎設施網(wǎng)絡安全改進框架》（Framework for Improving Critical Infrastructure Cybersecurity）V1.0 版本[2]，以下簡稱網(wǎng)絡安全框架。2018 年4 月，NIST 發(fā)布新的《關鍵基礎設施網(wǎng)絡安全改進框架》V1.1版本，新增了自我評估，擴展了供應鏈安全，細化了認證授權(quán)、身份證明、漏洞披露生命周期管理等方面，目的在于為相關組織機構(gòu)提供更細粒度的指導，實現(xiàn)個體組織價值的最大化。

以網(wǎng)絡安全框架作為指導框架，2015 年1 月，美國能源部頒布《能源行業(yè)網(wǎng)絡安全框架實施指南（2015 版）》[3]。根據(jù)美國能源行業(yè)的實際網(wǎng)絡安全環(huán)境，逐步實現(xiàn)網(wǎng)絡安全框架指導目標。

1.2 實施應用

根據(jù)網(wǎng)絡安全框架，美國能源部聯(lián)合國土安全部在2014 年和2019 年分別頒布了網(wǎng)絡安全成熟度模型（Cybersecurity Capability Maturity Model，C2M2）V1.1 和V2.0[4]。C2M2 模 型 建 立了一套定量評估網(wǎng)絡安全風險等級的體系化方法，可廣泛應用于各類組織及網(wǎng)絡安全管理機構(gòu)，從而提升網(wǎng)絡安全能力，并與其他網(wǎng)絡安全標準、網(wǎng)絡安全管理機構(gòu)的實際工作相結(jié)合[5]。C2M2模型作為一套描述性的網(wǎng)絡安全實踐指南，有助于網(wǎng)絡安全框架落地實施。《網(wǎng)絡安全增強法案》、網(wǎng)絡安全框架與網(wǎng)絡安全能力成熟度模型，以及在相關行業(yè)實施的關系如圖1 所示。

圖1 美國NIST 網(wǎng)絡安全框架與C2M2 實施關系

由圖1 可知，美國通過網(wǎng)絡安全增強法案規(guī)范約束網(wǎng)絡安全框架，并且通過網(wǎng)絡安全框架指導網(wǎng)絡安全能力成熟度模型落地實施，而能力成熟度模型又可以用來指導不同行業(yè)的應用。

基于網(wǎng)絡安全框架和C2M2 模型，研究人員開發(fā)了基于經(jīng)驗范式的網(wǎng)絡安全脆弱性緩解框架[6]；采用多目標決策分析（Multi-Criteria Decision Analysis，MCDA）技術與加權(quán)依賴結(jié)構(gòu)[7]，吸收網(wǎng)絡安全框架的核心關鍵要素，通過對一個關鍵基礎設施中的工業(yè)控制系統(tǒng)網(wǎng)絡進行安全評估，展示了網(wǎng)絡安全框架和能力成熟度模型的融合應用，不僅進行網(wǎng)絡安全漏洞分析，而且進行網(wǎng)絡安全漏洞緩解的優(yōu)先級分析。

2 美國《關鍵基礎設施網(wǎng)絡安全改進框架》結(jié)構(gòu)與實施步驟

分析美國網(wǎng)絡安全框架的主要結(jié)構(gòu)與實施步驟，明確各個實施步驟之間的邏輯關系。

2.1 框架結(jié)構(gòu)

美國國家標準和技術研究院（NIST）制定的網(wǎng)絡安全框架是一套基于網(wǎng)絡安全與管理風險、針對關鍵基礎設施安全風險管理的框架[8]。框架由框架核心、框架層級、框架輪廓三個部分組成。

框架核心：提出了由業(yè)界認可、并且在網(wǎng)絡安全風險管理中有價值的保護措施。包括功能、主分類、子類、參考文獻四個方面的要素。其中，功能由識別、保護、檢測、響應、恢復五個部分組成。

框架層級：框架包括四個不同的層級，（1級）局部實施；（2 級）風險告知；（3 級）可重復性；（4 級）自適應能力。

框架輪廓：框架輪廓被定義為在特定應用中標準、指南和實踐的最優(yōu)組合，從而通過自我評估進行溝通。通過當前輪廓（Current Profile）與目標輪廓（Target Profile）的綜合比較，確定當前措施是否改善了網(wǎng)絡安全風險態(tài)勢。在業(yè)務驅(qū)動和安全風險評估基礎上，比對所有的主分類和子類，確定哪些風險優(yōu)先級最高，從而處理特定的高風險類別。

2.2 實施步驟

網(wǎng)絡安全框架提出了基本的網(wǎng)絡安全實施流程，包括完備的七個步驟：

第一步：優(yōu)化并確定目標范圍。

第二步：定向。確定相關系統(tǒng)和資產(chǎn)，進而識別系統(tǒng)和資產(chǎn)的網(wǎng)絡安全威脅與安全漏洞。

第三步：創(chuàng)建當前系統(tǒng)輪廓。通過選擇框架核心的主分類和子類，開發(fā)系統(tǒng)當前的目標輪廓。

第四步：對系統(tǒng)進行風險評估。

第五步：創(chuàng)建目標系統(tǒng)輪廓。創(chuàng)建目標系統(tǒng)輪廓，描述組織目標系統(tǒng)網(wǎng)絡安全的主分類和子類評估方法。

第六步：確定、分析并且優(yōu)化輪廓差異。

第七步：根據(jù)輪廓差異組織實施行動。

3 美國網(wǎng)絡安全框架與C2M2 實踐的結(jié)合——以《能源行業(yè)網(wǎng)絡安全框架實施指南》為例

2015 年1 月，美國能源部以網(wǎng)絡安全框架為參考依據(jù)，結(jié)合能源行業(yè)網(wǎng)絡安全現(xiàn)狀制定了《能源行業(yè)網(wǎng)絡安全框架實施指南》，以幫助美國能源行業(yè)建立并調(diào)整現(xiàn)有網(wǎng)絡安全風險管理規(guī)劃，實現(xiàn)網(wǎng)絡安全風險管理目標。《能源行業(yè)網(wǎng)絡安全框架實施指南》詳細闡述了C2M2如何映射到網(wǎng)絡安全框架，主要包括步驟映射、框架層級映射、框架核心子類別映射。

本文分七個步驟展示美國能源行業(yè)C2M2 如何映射到網(wǎng)絡安全框架（以下簡稱框架），具體映射步驟如表1 至表7 所示。

第一步，確定優(yōu)先級和范圍。美國能源行業(yè)C2M2 實施步驟一到框架的映射如表1 所示：

表1 能源行業(yè)C2M2 實施步驟一到框架的映射

如表1 所示，映射主要包括輸入、活動、輸出三部分。在C2M2 實施中，要評估的每個子集都稱為功能。能源行業(yè)網(wǎng)絡安全能力成熟度模型（Electricity Subsector Cybersecurity Capability Maturity Model，ES-C2M2）具有一些預定義的能源行業(yè)特定的功能和作用域。

第二步，定向。美國能源行業(yè)C2M2 實施步驟二到框架的映射如表2 所示：

表2 能源行業(yè)C2M2 實施步驟二到框架的映射

如表2 所示，以步驟一的框架使用范圍和功能清單作為步驟二的輸入，做出范圍界定決定后，確定范圍所涵蓋的信息、技術、人員和設施，適用的法規(guī)要求以及所使用的網(wǎng)絡安全和風險管理標準、工具、方法和技術指南。

第三步，創(chuàng)建當前輪廓。美國能源行業(yè)C2M2 實施步驟三到框架的映射如表3 所示：

表3 能源行業(yè)C2M2 實施步驟三到框架的映射

如表3 所示，以步驟二的輸出作為步驟三的輸入。通常會通過一個研討會進行此步，該研討會包括代表所有范圍內(nèi)資產(chǎn)和職能的關鍵人員。C2M2 自我評估研討會會生成一份評分報告，該報告可以用作最新資料。

第四步，進行風險評估。美國能源行業(yè)C 2 M 2 實施步驟四到框架的映射如表4所示：

表4 能源行業(yè)C2M2 實施步驟四到框架的映射

如表4 所示，將前三個步驟的部分關鍵信息作為步驟四的輸入。C2M2 建議組織將此模型用作包括風險評估的連續(xù)企業(yè)風險管理流程的一部分。C2M2和框架都將風險評估視為重要實踐。

第五步：創(chuàng)建目標輪廓。美國能源行業(yè)C2M2 實施步驟五到框架的映射如表5 所示：

表5 能源行業(yè)C2M2 實施步驟五到框架的映射

如表5 所示，將前四個步驟的部分關鍵信息作為步驟五的輸入。C2M2 評估評分報告可以通過提示成熟度指示等級MIL 為實現(xiàn)目標輪廓提供幫助。可以將風險評估與C2M2 評估報告一起使用，以識別目標所要求的實踐和等級。通過這兩種評估方法，組織可以使用C2M2 實踐到框架核心子類別的映射及C2M2 實踐到層級特征的映射來比較目標輪廓與框架，還可以對目標輪廓進行適當調(diào)整。

第六步：分析差距并確定優(yōu)先級。美國能源行業(yè)C2M2 實施步驟六到框架的映射如表6所示：

表6 能源行業(yè)C2M2 實施步驟六到框架的映射

如表6 所示，將前五個步驟的關鍵信息作為步驟六的輸入。C2M2 自我評估評分報告使組織能夠識別當前輪廓和目標輪廓之間的差距。對差距進行排序時，應考慮差距如何影響組織目標以及目標的重要性、實施成本以及實施所需的資源。

第七步，實施行動計劃。美國能源行業(yè)C2M2 實施步驟七到框架的映射如表7 所示：

表7 能源行業(yè)C2M2 實施步驟七到框架的映射

如表7 所示，將步驟六的優(yōu)選實施計劃作為步驟七的輸入，經(jīng)過活動環(huán)節(jié)，輸出相應的目標信息。

由以上七個步驟映射關系可知，各個步驟之間的輸入輸出存在依賴關系，并且各個步驟環(huán)環(huán)相扣，逐步幫助組織建立可控的網(wǎng)絡安全風險管理流程規(guī)范。各行業(yè)可根據(jù)領域需求特點，實施C2M2 到框架的映射，并定期重復執(zhí)行上述步驟，從而逐步實現(xiàn)網(wǎng)絡安全當前輪廓與目標輪廓的逐步統(tǒng)一。

C2M2與網(wǎng)絡安全框架的結(jié)合及其映射關系，可以為能源行業(yè)所有者和運營商帶來以下收益：

（1）共同目標。框架和C2M2 的目的是幫助關鍵基礎架構(gòu)組織評估并潛在地改善其網(wǎng)絡安全狀況。

（2）有助于網(wǎng)絡安全框架的實施。C2M2作為框架的描述性指南，在抽象層次上提供了描述性指南。

（3）全面涵蓋框架實踐。將C2M2 實踐映射到子類別和層級包含的映射表明C2M2 充分解決了框架的所有目標。

（4）漸進的成熟度級別。C2M2 使用成熟度指標級別，并通過到框架層級的映射，可以幫助組織跟蹤網(wǎng)絡安全實踐能力成熟度等級。

（5）自我評估工具箱。C2M2 工具箱可實現(xiàn)逐步的自我評估，并具有基于宏的評分和結(jié)果報告。這些資源有助于定期重新評估和根據(jù)目標輪廓衡量進度。

4 啟示建議

我國關鍵信息基礎設施保護現(xiàn)狀：已經(jīng)構(gòu)建了包括《中華人民共和國網(wǎng)絡安全法》《關鍵信息基礎設施安全保護條例》、網(wǎng)絡安全等級保護系列標準、關鍵信息基礎設施網(wǎng)絡安全保護系列標準、重點行業(yè)關鍵信息基礎設施網(wǎng)絡安全保護標準的保護體系。

但是，目前我國《關鍵信息基礎設施安全保護條例》自2017 年征求意見稿以來仍未正式發(fā)布、關鍵信息基礎設施安全系列標準的制定與發(fā)布周期較長，期間可能存在安全保護的空檔期；政府職能部門、科研機構(gòu)、教育機構(gòu)、骨干企業(yè)、測評機構(gòu)之間在關鍵信息基礎設施保護體系的協(xié)調(diào)配合不夠流暢，可能對安全事件的響應不夠精準及時。關鍵信息基礎設施保護需要人、技術、管理的全方位保障與協(xié)調(diào)，我國關鍵信息基礎設施保護仍然存在重技術、輕人員和管理的問題，與人和管理相關的安全事件占比仍然較高。

針對我國關鍵信息基礎設施保護現(xiàn)狀，結(jié)合美國關鍵信息基礎設施保護經(jīng)驗提出以下啟示建議：

（1）借鑒美國關鍵信息基礎設施網(wǎng)絡安全保護體系規(guī)范，自頂向下、逐層細化。

（2）廣泛征求行業(yè)骨干企業(yè)、重要學術機構(gòu)、著名教育機構(gòu)、政府職能部門、權(quán)威測評機構(gòu)等的綜合意見，激勵各方積極參與、形成標準體系，提高關鍵信息基礎設施保護的影響力和權(quán)威性。

（3）選取電力、能源等重點行業(yè)進行關鍵信息基礎設施網(wǎng)絡安全保護實施案例分析，帶動其他行業(yè)進行網(wǎng)絡安全系統(tǒng)防護。

（4）通過網(wǎng)絡安全測評、動態(tài)演練、逐步優(yōu)化，提升關鍵信息基礎設施動態(tài)防護水平。

（5）加強網(wǎng)絡安全人才教育與培訓考核，提升關鍵信息基礎設施人才技術與管理能力。

5 結(jié) 語

為了加強我國關鍵信息基礎設施保護，本文研究了美國網(wǎng)絡安全框架以及C2M2 模型的組織結(jié)構(gòu)與實施步驟。按自頂向下方法，從網(wǎng)絡安全框架到其擴展的C2M2 評估模型，再到電力行業(yè)實施進行了分析。最后從目標、實施、映射三個方面對采用網(wǎng)絡安全框架和C2M2 模型保護關鍵信息基礎設施，總結(jié)如下：

（1）目標

網(wǎng)絡安全框架的目標是構(gòu)建適用于各領域網(wǎng)絡安全風險管控治理的通用描述方法，確保可擴展性與技術創(chuàng)新，希望各行業(yè)在實際應用中自愿采納的技術標準和參考規(guī)范。

C2M2 模型的目標則是幫助所在部門和組織評估并改進其網(wǎng)絡安全規(guī)劃，增強其網(wǎng)絡安全運營彈性。重點在于信息技術、運營技術以及運行環(huán)境相關的網(wǎng)絡安全實踐風險管理。

（2）實施

網(wǎng)絡安全框架是一個指導性參考架構(gòu)，在具體實施過程中，不同組織完全可根據(jù)自身需求來確定網(wǎng)絡安全防護措施，根據(jù)自身特定的網(wǎng)絡安全需求，從關鍵信息基礎設施保護現(xiàn)狀、軟硬件綜合配置、安全防護成本等綜合考慮，根據(jù)相關法律法規(guī)采用適合的網(wǎng)絡安全防護強度，并依據(jù)法律法規(guī)承擔相應的主體責任。

C2M2 提供的是描述性而非指導性的指導。模型內(nèi)容以較高的抽象級別呈現(xiàn)，因此可以由各種類型、結(jié)構(gòu)、規(guī)模和行業(yè)的組織機構(gòu)使用。每個行業(yè)均可廣泛使用該模型對該行業(yè)網(wǎng)絡安全能力進行基準測試。

針對我國關鍵信息基礎設施保護現(xiàn)狀，應依據(jù)我國《中華人民共和國網(wǎng)絡安全法》和《關鍵信息基礎設施安全保護條例》規(guī)定，加強網(wǎng)絡安全等級和關鍵信息基礎設施雙重保護。

（3）映射

《能源行業(yè)網(wǎng)絡安全框架實施指南》詳細論述了C2M2 如何映射到網(wǎng)絡安全框架，包括七個步驟的映射關系。C2M2 推薦的實施步驟映射到網(wǎng)絡安全框架的七個實施步驟，有助于各種類型和規(guī)模的組織通過C2M2 模型來實施網(wǎng)絡安全框架，評估并改進行業(yè)自身的網(wǎng)絡安全狀況。

針對我國能源和電力等關鍵信息基礎設施行業(yè)現(xiàn)狀，應通過《中華人民共和國網(wǎng)絡安全法》《關鍵信息基礎設施安全保護條例》、關鍵信息基礎設施網(wǎng)絡安全保護系列標準、重點行業(yè)關鍵信息基礎設施網(wǎng)絡安全保護標準等構(gòu)建自上而下、逐級映射的關鍵信息基礎設施安全保障體系，維護國家網(wǎng)絡空間安全與主權(quán)。