为有效保护美国关键基础设施网络安全,美国总统奥巴马于2013年2月12日签署名为“提高关键基础设施网络安全”的13636号行政命令,扩大联邦政府与私营企业的合作深度与广度,以加强“关键基础设施”部门的网络安全管理与风险应对能力,提出由美国商务部牵头、国土安全部配合,指导美国国家标准技术研究院(NIST,直属美国商务部)开发降低关键基础设施信息与网络安全风险的框架,此框架应包括一套标准、方法、程序、政策以及安全威胁定位的业务流程和技术方法。
2014年2月12日,美国白宫宣布发布由NIST经过多番修订形成的《提升关键基础设施网络安全框架》第一版(以下简称《框架》)。本文对《框架》发布的作用和意义进行了阐释,对其主要内容和应用方法进行了重点分析和说明。
一、《框架》概述
《提升关键基础设施网络安全的框架》的基本思想,是一套着眼于安全风险,应用于关键基础设施广阔领域的安全风险管控的流程。按照美国联邦政府相关行政指令,要求该文件的开发应基于一系列的工业标准和最佳实践来帮助组织管理网络安全风险。这个框架通过政府和私营部门的合作进行创建,并基于业务需要、以低成本方式、使用通用语言来处理和管理网络安全风险。
基于此目的,该文件的开发目的是形成一套适用于各类工业技术领域的安全风险管控的“通用语言”,同时为确保可扩展性与开展技术创新,此框架力求做到“技术中性化”,即:第一依赖于现有的各种标准、指南和实践,使关键基础设施供应商获得弹性能力。第二依赖于全球标准、指南和实践(行业开发、管理、更新实践),实现框架效果的工具和方法将适用于跨国界,承认网络安全风险的全球性,并随着技术发展和业务需求而进一步发展框架。因此,从某种角度上来观察,该文件就是一份“用于关键基础设施安全风险管控的标准化实施指南。”
二、《框架》核心Framework Core
框架核心提供一系列为实现特定网络安全目标而进行的活动及指导示例作为参考。它并非行动列表,而是展示了业界确认的、可促进网络安全风险管理的关键网络安全成果。框架核心包含四个元素:功能、类别、子类别及参考资料。
2.1 功能处于最高级别,用于组织基本的网络安全活动。具体来说,功能包括识别、防护、检测、响应与恢复。组织可利用这些功能管理网络安全风险,包括组织信息、启动风险管理决策、解决威胁问题以及根据之前活动经验进行优化。功能在根据现有方法调整后可用于事件管理,展示网络安全投资的效果,例如,规划与演练方面的投资可促进及时响应与恢复,降低对服务交付的影响。
2.2 类别是将功能细分为网络安全结果组,与计划需求和实际活动密切相关,比如,“资产管理”、“访问控制”和“检测流程”类别。
2.3 类别可进一步细分为子类别,描述具体的技术及/或管理活动结果。子类别列举了部分可辅助实现各类别目标的结果,“已编目外部信息系统”、“已保护休眠数据”及“已调查检测系统的通知”均为子类别。
2.4 参考资料列举了关键基础设施部门常用的标准、指南及实践中的具体章节,描述了达到子类别要求的具体方法。本框架核心并未列举所有的参考资料,仅列举部分作说明之用。这些参考资料均为框架制订过程中最常引用的跨部门指导手册。
三、《框架》核心功能
3.1 识别:针对系统、资产、数据和能力相关的网络安全风险,组织内部形成共识。
识别功能涉及的活动是有效利用框架的基础。组织须了解业务环境、关键功能的辅助资源及相关网络安全风险,这样才能根据风险管理策略及业务需求确定事情的轻重缓急,重点突破。本功能涉及的结果类别包括资产管理、业务环境、治理、风险评估及风险管理策略。
3.2 防护:制订实施恰当的防护措施,确保关键基础设施服务的交付。
防护功能对于限制或遏制潜在网络安全事件的影响起支撑作用。本功能涉及的结果类别包括访问控制、安全意识与培训、数据安全、信息防护流程及工序、维护和防护技术。
3.3 检测:规划并实施恰当的活动,识别网络安全事件。
检测功能可及时发现网络安全事件。本功能涉及的结果类别包括异常与事件、安全持续监控和检测流程。
3.4 响应:规划并实施恰当的活动,在检测到网络安全事件时采取相应措施。
响应功能对于遏制潜在网络安全事件的影响起支撑作用。本功能涉及的结果类别包括响应规划、沟通、分析、缓解和优化。
3.5 恢复:规划并实施恰当的活动来维护网络弹性计划,恢复网络安全事件中受损的功能或服务。
恢复功能可及时恢复正常运行,降低网络安全事件的影响。本功能涉及的结果类别包括恢复规划、优化和沟通。
四、《框架》执行层级
框架执行层级(简称“层级”)为组织提供了评估网络安全风险的背景以及针对此种风险的现有管理流程。框架执行层级从低到高分为四级,1 级为“局部”,4 级为“自适应”,描述了网络安全风险管理实践的严格与程度,以及网络风险管理受业务需求的影响程度及其与组织的总体风险管理实践的结合度。风险管理考虑的因素包括网络安全的各个方面,如隐私和公民自由与组织的网络安全风险管理的结合度、对于潜在风险的响应。
在选择层级时,组织应考虑现有的风险管理实践、威胁环境、法规要求、业务/任务目标及组织局限性。组织应确定目标层级,保证所选择的层级符合组织目标,具有可行性,并能将关键资产与资源的网络安全风险降低至可接受级别。组织在确定目标层级时,应考虑从联邦政府部门与机构、信息共享与分析中心、现有的成熟模型或其他来源获取外部指导。
鼓励 1 级(局部)组织向 2 级或更高层级努力,但层级本身并不代表成熟度。若此等晋级可降低网络安全风险及成本,则予以鼓励。框架是否成功执行取决于目标对齐结果中描述的结果是否达成,而非所定的级别。
1 级:局部(Partial)
风险管理流程:组织的网络安全风险管理实践并未固化,风险管理更像是即兴所为,有时甚至是被动反应。网络安全活动的优先级与组织风险目标、威胁环境或业务/任务需求并无直接联系。
综合风险管理计划:组织层面的网络安全风险意识有限,没有建立组织范围内的网络安全风险管理方法。因经验或从外部获取的信息不同,组织的网络安全风险管理没有规律,总是就事论事。组织缺少流程,无法保证网络安全信息在内部共享。
外部参与:组织缺少现成的流程,无法与其他单位配合协作。
2 级:具有风险意识(Risk Informed)
风险管理流程:管理层允许进行风险管理活动,但是并未确立为组织策略。网络安全活动的优先级与组织风险目标、威胁环境或业务/任务需求有直接联系。
综合风险管理计划:组织层面有网络安全风险意识,但没有建立适用于整个组织的网络安全风险管理方法。虑及风险的流程与工序获得管理层批准并实施,员工有充分资源履行自己的网络安全职责。网络安全信息在组织内部非正式地共享。
外部参与:组织明了自己在更大范围的生态系统中的角色,但是没有将能力固化与外部互动及共享信息。
3 级:可复用(Repeatable)
风险管理流程:组织的风险管理活动获得正式批准,固化为策略。组织的网络安全实践根据风险管理流程在业务/任务需求更改中的应用程度和不断改变的威胁与技术环境而定期更新。
综合风险管理计划:具有适用于整个组织的网络安全风险管理方法,定义了基于风险的策略、流程与工序,并按计划实施及评审,有统一方法有效应对风险变化,员工具有履行指定角色与职责的知识与技能。
外部参与:组织了解附属机构与合作伙伴,并从这些合作伙伴获取信息,以进行协作并在事件发生后作出内部风险管理决策。
4 级:自适应(Adaptive)
风险管理流程:组织根据之前与当前网络安全活动中获得的实践经验与预测指标调整其网络安全实践。组织通过合入先进的网络安全技术与实践进行持续优化,积极调整以适应不断变化的网络安全环境,及时应对不断演进、日益复杂的安全威胁。
综合风险管理计划:具有适用于整个组织的网络安全管理方法,这个方法使用基于风险的策略、流程与工序处理潜在的网络安全事件。网络安全风险管理作为组织文化的一部分,由了解历史活动开始,发展到从其他来源获取信息,再持续监控其系统与网络中的活动。
外部参与:组织管理风险,积极与合作伙伴共享信息,确保所分发及使用的信息准确、实时,以便提高网络安全,防止网络安全事件的发生。
五、《框架》对齐结果
对齐结果将功能、类别和子类别与组织的业务需求、风险承受能力和资源情况相匹配。
组织可利用对齐结果制作一份路线图来降低网络安全风险。该路线图需与组织和部门的目标一致,符合法律和监管要求和行业最佳实践,并反映出风险管理优先级。鉴于自身的复杂性,很多组织可能会选用多个对齐结果,与组织的某些部门相匹配,并识别其个性化需求。
框架对齐结果可显示特定网络安全活动的当前状态或所期望的状态。当前对齐结果呈现当前的网络安全结果。Target Profile 显示期望达到的网络安全风险管理目标。这些对齐结果支持业务/任务需求,并协助实现组织内部或组织间的风险沟通。考虑到实现上的灵活性,该框架文档不规定使用某些对齐结果模板。
通过对比对齐结果(例如当前对齐结果和目标对齐结果),组织可了解其当前网络安全结果与网络安全风险管理目标之间的差距。制定能够消除这些差距的行动计划,有助于实现上述路线图。可根据组织的业务需求和风险管理流程,确定差距缩小的优先顺序。采用这种基于风险的方法,组织可衡量资源评估情况(例如人员配备和融资),并按照优先顺序,以经济有效的方式实现网络安全目标。
六、《框架》实施
管理层与业务/流程层就任务优先级、可用资源、以及总体风险承受能力进行沟通。业务/流程层将沟通结果作为风险管理流程的输入,然后与实现/运营层沟通业务需求并创建对齐结果。之后,实现/运营层就对齐结果实现进度与业务/流程层进行沟通。业务/流程层基于这些信息进行影响评估。随后,业务/流程层管理人员将影响评估结果上报管理层,从而将组织内的整体风险管理流程传达给实现/运营层,让其了解风险对业务的影响。
基于此,创建一个新的网络安全方案或改进现有的方案,可能采取的比较完备的7步骤包括:
第1步:优先级和范围。该组织确定其业务目标和高层组织优先事项。
第2步:确定方向。一旦网络安全方案的范围已根据业务线或过程确定,组织就确定了相关系统和资产,监管要求和整体风险方法。然后,组织识别这些系统和资产的威胁及其漏洞。
第3步:创建一个当前轮廓。该组织通过指示需要实现的框架核心的分类和子类效果,开发一个当前轮廓。
第4步:进行风险评估。
第5步:创建目标轮廓。该组织创建目标轮廓,侧重于框架描述组织目标网络安全效果的分类和子类的评估。组织也根据组织的独特风险,开发自己的附加分类和子类。
第6步:确定,分析和优先顺序差距。
第7步 :实施行动计划。