网络安全模型有哪些(网络安全发展方向)

为了提高我国关键信息基础设施网络安全保护水平,以美国相关标准规范为对象,研究了美国《关键基础设施网络安全改进框架》的组织结构和实际应用,以美国《能源行业网络安全框架实施指南》为例阐述了关键信息基础设施网络安全改进框架在美国能源行业的实施步骤及方法。从目标、实施、映射三个方面对美国关键信息基础设施保护规范进行了综合分析。针对我国关键信息基础设施保护现状,结合美国关键信息基础设施保护经验提出5点启示建议。

内容目录:

1 美国关键信息基础设施网络安全保护发展与实施历程

1.1 发展历程

1.2 实施应用

2 美国《关键基础设施网络安全改进框架》结构与实施步骤

2.1 框架结构

2.2 实施步骤

3 美国网络安全框架与C2M2实践的结合——以《能源行业网络安全框架实施指南》为例

4 启示建议

5 结 语

0 引 言

当今信息社会,国家安全、经济安全、社会安全以及人民福祉严重依赖关键信息基础设施这一复杂动态巨系统。我国关键信息基础设施正面临全球有组织、有目的、高强度地持续攻击和安全挑战。为提高我国关键信息基础设施网络安全保护水平,研究了美国《关键基础设施网络安全改进框架》的内容与组织结构,以及在能源行业的实施步骤,结合我国现状提出了启示建议。

1 美国关键信息基础设施网络安全保护发展与实施历程

为了提高我国关键信息基础设施网络安全保护水平,以美国相关标准规范为对象,研究了美国关键基础设施网络安全保护法律法规的发展历程和实施应用中法律规范的关系。

1.1 发展历程

1996年7月,美国政府通过发布第13010号行政令成立关键基础设施保护总统委员会,这是第一个针对关键信息基础设施的行政令。2000年1月,美国政府颁布了第一个针对关键信息基础设施的保护计划——《信息系统保护国家计划1.0》。2001年,在颁布的《爱国者法案》中首次对关键基础设施进行定义。2002年,美国国土安全部成为“9·11”事件后成立的第一个负责国内安全及反恐活动的行政机构。2006年6月,美国国土安全部颁布《国家关键基础设施保护计划》,为各级政府和私营部门管理关键基础设施提供参考架构。《网络安全增强法案(2014)》是美国制定促进持续自愿的公私合作关系、增强网络安全研究、提升公共安全意识的法案。2014年2月12日,美国国家标准技术研究院(National Institute of Standards and Technology,NIST)发布了《关键基础设施网络安全改进框架》(Framework for Improving Critical Infrastructure Cybersecurity)V1.0 版本,以下简称网络安全框架。2018年4月,NIST发布新的《关键基础设施网络安全改进框架》V1.1版本,新增了自我评估,扩展了供应链安全,细化了认证授权、身份证明、漏洞披露生命周期管理等方面,目的在于为相关组织机构提供更细粒度的指导,实现个体组织价值的最大化。

以网络安全框架作为指导框架,2015年1月,美国能源部颁布《能源行业网络安全框架实施指南(2015 版)》。根据美国能源行业的实际网络安全环境,逐步实现网络安全框架指导目标。

1.2 实施应用

根据网络安全框架,美国能源部联合国土安全部在 2014 年和 2019 年分别颁布了网络安全成熟度模型(Cybersecurity Capability Maturity Model,C2M2)V1.1和V2.0。C2M2模型 建立了一套定量评估网络安全风险等级的体系化方法,可广泛应用于各类组织及网络安全管理机构,从而提升网络安全能力,并与其他网络安全标准、网络安全管理机构的实际工作相结合。C2M2模型作为一套描述性的网络安全实践指南,有助于网络安全框架落地实施。《网络安全增强法案》、网络安全框架与网络安全能力成熟度模型,以及在相关行业实施的关系如图1所示。

网络安全模型有哪些(网络安全发展方向)

如表1所示,映射主要包括输入、活动、输出三部分。在C2M2实施中,要评估的每个子集都称为功能。能源行业网络安全能力成熟度模型(Electricity Subsector Cybersecurity Capability Maturity Model,ES-C2M2)具有一些预定义的能源行业特定的功能和作用域。

第二步,定向。美国能源行业 C2M2 实施步骤二到框架的映射如表2所示:

网络安全模型有哪些(网络安全发展方向)

如表3所示,以步骤二的输出作为步骤三的输入。通常会通过一个研讨会进行此步,该研讨会包括代表所有范围内资产和职能的关键人员。C2M2自我评估研讨会会生成一份评分报告,该报告可以用作最新资料。

第四步,进行风险评估。美国能源行业C2M2实施步骤四到框架的映射如表4所示:

网络安全模型有哪些(网络安全发展方向)

如表5所示,将前四个步骤的部分关键信息作为步骤五的输入。C2M2评估评分报告可以通过提示成熟度指示等级MIL为实现目标轮廓提供帮助。可以将风险评估与C2M2评估报告一起使用,以识别目标所要求的实践和等级。通过这两种评估方法,组织可以使用C2M2实践到框架核心子类别的映射及C2M2实践到层级特征的映射来比较目标轮廓与框架,还可以对目标轮廓进行适当调整。

第六步:分析差距并确定优先级。美国能源行业C2M2实施步骤六到框架的映射如表6所示:

网络安全模型有哪些(网络安全发展方向)

如表7所示,将步骤六的优选实施计划作为步骤七的输入,经过活动环节,输出相应的目标信息。

由以上七个步骤映射关系可知,各个步骤之间的输入输出存在依赖关系,并且各个步骤环环相扣,逐步帮助组织建立可控的网络安全风险管理流程规范。各行业可根据领域需求特点,实施C2M2到框架的映射,并定期重复执行上述步骤,从而逐步实现网络安全当前轮廓与目标轮廓的逐步统一。

C2M2与网络安全框架的结合及其映射关系,可以为能源行业所有者和运营商带来以下收益:

(1)共同目标。框架和C2M2的目的是帮助关键基础架构组织评估并潜在地改善其网络安全状况。

(2)有助于网络安全框架的实施。C2M2作为框架的描述性指南,在抽象层次上提供了描述性指南。

(3)全面涵盖框架实践。将C2M2实践映射到子类别和层级包含的映射表明 C2M2 充分解决了框架的所有目标。

(4)渐进的成熟度级别。C2M2使用成熟度指标级别,并通过到框架层级的映射,可以帮助组织跟踪网络安全实践能力成熟度等级。

(5)自我评估工具箱。C2M2工具箱可实现逐步的自我评估,并具有基于宏的评分和结果报告。这些资源有助于定期重新评估和根据目标轮廓衡量进度。

4 启示建议

我国关键信息基础设施保护现状:已经构建了包括《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》、网络安全等级保护系列标准、关键信息基础设施网络安全保护系列标准、重点行业关键信息基础设施网络安全保护标准的保护体系。

但是,目前我国《关键信息基础设施安全保护条例》自2017年征求意见稿以来仍未正式发布、关键信息基础设施安全系列标准的制定与发布周期较长,期间可能存在安全保护的空档期;政府职能部门、科研机构、教育机构、骨干企业、测评机构之间在关键信息基础设施保护体系的协调配合不够流畅,可能对安全事件的响应不够精准及时。关键信息基础设施保护需要人、技术、管理的全方位保障与协调,我国关键信息基础设施保护仍然存在重技术、轻人员和管理的问题,与人和管理相关的安全事件占比仍然较高。

针对我国关键信息基础设施保护现状,结合美国关键信息基础设施保护经验提出以下启示建议:

(1)借鉴美国关键信息基础设施网络安全保护体系规范,自顶向下、逐层细化。

(2)广泛征求行业骨干企业、重要学术机构、著名教育机构、政府职能部门、权威测评机构等的综合意见,激励各方积极参与、形成标准体系,提高关键信息基础设施保护的影响力和权威性。

(3)选取电力、能源等重点行业进行关键信息基础设施网络安全保护实施案例分析,带动其他行业进行网络安全系统防护。

(4)通过网络安全测评、动态演练、逐步优化,提升关键信息基础设施动态防护水平。

(5)加强网络安全人才教育与培训考核,提升关键信息基础设施人才技术与管理能力。

5 结 语

为了加强我国关键信息基础设施保护,本文研究了美国网络安全框架以及C2M2模型的组织结构与实施步骤。按自顶向下方法,从网络安全框架到其扩展的C2M2评估模型,再到电力行业实施进行了分析。最后从目标、实施、映射三个方面对采用网络安全框架和C2M2模型保护关键信息基础设施,总结如下:

(1)目标

网络安全框架的目标是构建适用于各领域网络安全风险管控治理的通用描述方法,确保可扩展性与技术创新,希望各行业在实际应用中自愿采纳的技术标准和参考规范。

C2M2模型的目标则是帮助所在部门和组织评估并改进其网络安全规划,增强其网络安全运营弹性。重点在于信息技术、运营技术以及运行环境相关的网络安全实践风险管理。

(2)实施

网络安全框架是一个指导性参考架构,在具体实施过程中,不同组织完全可根据自身需求来确定网络安全防护措施,根据自身特定的网络安全需求,从关键信息基础设施保护现状、软硬件综合配置、安全防护成本等综合考虑,根据相关法律法规采用适合的网络安全防护强度,并依据法律法规承担相应的主体责任。

C2M2提供的是描述性而非指导性的指导。模型内容以较高的抽象级别呈现,因此可以由各种类型、结构、规模和行业的组织机构使用。每个行业均可广泛使用该模型对该行业网络安全能力进行基准测试。

针对我国关键信息基础设施保护现状,应依据我国《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》规定,加强网络安全等级和关键信息基础设施双重保护。

(3)映射

《能源行业网络安全框架实施指南》详细论述了C2M2如何映射到网络安全框架,包括七个步骤的映射关系。C2M2推荐的实施步骤映射到网络安全框架的七个实施步骤,有助于各种类型和规模的组织通过C2M2模型来实施网络安全框架,评估并改进行业自身的网络安全状况。

针对我国能源和电力等关键信息基础设施行业现状,应通过《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》、关键信息基础设施网络安全保护系列标准、重点行业关键信息基础设施网络安全保护标准等构建自上而下、逐级映射的关键信息基础设施安全保障体系,维护国家网络空间安全与主权。

(0)
小多多的头像小多多创始人

相关推荐

发表回复

登录后才能评论