謝宗曉（南開大學(xué)商學(xué)院）

董坤祥（山東財經(jīng)大學(xué)管理科學(xué)與工程學(xué)院）

張菡（中國鐵路總公司運輸局）

本刊特約

NIST關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架介紹

謝宗曉（南開大學(xué)商學(xué)院）

董坤祥（山東財經(jīng)大學(xué)管理科學(xué)與工程學(xué)院）

張菡（中國鐵路總公司運輸局）

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文55篇，出版專著12本。

信息安全管理系列之二十八

基于美國總統(tǒng)令EO 13636，NIST于2014年發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架》，這個報告不但給出了網(wǎng)絡(luò)空間安全管理的框架，而且與ISO/IEC 27001：2013等標(biāo)準(zhǔn)中具體的安全控制建立了映射關(guān)系。由于目前國內(nèi)尚沒有相應(yīng)的指導(dǎo)文件，因此下文中對其進行了簡要的介紹。

謝宗曉（特約編輯）

《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架》以風(fēng)險管理為基礎(chǔ)，建立了一個基于識別、保護、檢測、響應(yīng)和恢復(fù)為主要步驟的網(wǎng)絡(luò)空間安全管理的框架。論文對該報告從應(yīng)用的角度進行了解讀。

網(wǎng)絡(luò)安全 網(wǎng)絡(luò)空間安全 信息安全 關(guān)鍵基礎(chǔ)設(shè)施

1 概述

《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架》（Framework for Improving Critical Infrastructure Cybersecurity）1）全文下載地址：http://www.nist.gov/cyberframework/。由NIST2）美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST），https://www.nist.gov/。發(fā)布于2014年2月12日，主要是為了響應(yīng)2013年2月12日奧巴馬總統(tǒng)簽署的總統(tǒng)令（Executive Order，EO）13636，標(biāo)題為：Improving Critical Infrastructure Cybersecurity。

《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架》提出了一個基于風(fēng)險的網(wǎng)絡(luò)空間安全管理的框架，其中包括識別（Identity）、保護（Protect）、檢測（Detect）、響應(yīng)（Respond）和恢復(fù)（Recover）。但是并沒有重新設(shè)計具體的安全控制，而是直接與已有的標(biāo)準(zhǔn)/報告進行了映射，如表1所示。

表1 《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架》引用控制措施的標(biāo)準(zhǔn)/報告

2 框架

《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架》提供了實現(xiàn)特定網(wǎng)絡(luò)空間安全結(jié)果的行動集合，以及指導(dǎo)實現(xiàn)這些結(jié)果的參考案例。如上文所述，核心框架不是執(zhí)行清單，而是代表了行業(yè)內(nèi)的關(guān)鍵網(wǎng)絡(luò)空間安全結(jié)果，以幫助管理網(wǎng)絡(luò)空間安全風(fēng)險。

核心框架包括四個要素：功能、分類、子分類和參考信息，要素的作用描述如下：

1）功能，即網(wǎng)絡(luò)空間安全基礎(chǔ)活動的最高等級。這些功能包括識別、保護、檢測、響應(yīng)和恢復(fù)。其幫助組織以組織信息、風(fēng)險管理決策、處理威脅和先前活動的干中學(xué)等方式，表述組織的網(wǎng)絡(luò)空間安全風(fēng)險管理。這些功能也可與現(xiàn)有的方法論結(jié)合用戶事件管理，以及呈現(xiàn)網(wǎng)絡(luò)空間安全投資的影響。例如，投資計劃、及時響應(yīng)性演習(xí)、恢復(fù)活動和減少服務(wù)傳遞中結(jié)果的影響。

2）分類，即將功能的細(xì)分與功能需求和特定活動相關(guān)的網(wǎng)絡(luò)空間安全結(jié)果聚簇。例如，分類包括資產(chǎn)管理、訪問控制和檢測流程等。

3）子分類，即將分類進一步細(xì)分為技術(shù)或管理活動的特定結(jié)果。子分類提供并不詳盡的結(jié)果集，以幫助實現(xiàn)每個分類的結(jié)果。例如，子分類包括外部信息系統(tǒng)的分類、靜態(tài)數(shù)據(jù)的保護和檢測系統(tǒng)通報結(jié)果調(diào)查等。

4）參考信息，即標(biāo)準(zhǔn)、指南和通用實踐的特定條款或活動。核心框架的參考信息是跨部門實踐指南中那些最為常用的標(biāo)準(zhǔn)、指南或通用實踐。因此，核心框架的參考信息不是詳盡描述而是舉例說明。

功能、分類、子分類和參考信息，具體如表2所示，限于篇幅，子分類和參考信息請參考文后的參考文獻[1]。

表2 網(wǎng)絡(luò)安全技術(shù)

3 應(yīng)用

《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架》概要是功能、分類和子分類與企業(yè)要求、風(fēng)險容限和組織資源一一對應(yīng)的要求性文件。概要促使組織在考慮組織和部門目標(biāo)、法律/法規(guī)要求、企業(yè)最佳實踐和風(fēng)險管理優(yōu)先次序的基礎(chǔ)上，建立減少網(wǎng)絡(luò)空間安全風(fēng)險的路線圖?？紤]到許多組織的復(fù)雜性，組織可以選擇多個概要文件，并與特定實踐相結(jié)合，以實現(xiàn)組織的個性化需求。

框架概要可用于描述特定網(wǎng)絡(luò)空間安全活動的當(dāng)前狀態(tài)或期望目標(biāo)。當(dāng)前概要文件描述了目前已經(jīng)實現(xiàn)的網(wǎng)絡(luò)安全結(jié)果。目標(biāo)概要文件描述了網(wǎng)絡(luò)安全的結(jié)果要達到的期望網(wǎng)絡(luò)空間安全風(fēng)險管理的目標(biāo)。概要支持業(yè)務(wù)/任務(wù)的要求，并支持組織內(nèi)和組織間的風(fēng)險溝通?？蚣芨乓募]有特定的模板，其允許在實施過程中根據(jù)需要靈活形成。

通過比較不同的概要（如當(dāng)前概要和目標(biāo)概要），可以明確為了滿足網(wǎng)絡(luò)安全風(fēng)險管理目標(biāo)還存在的差距。組織可以使用路線圖來制定相應(yīng)的行動計劃，以縮小這些差距。其中，縮小這些差距的優(yōu)先次序是由組織的業(yè)務(wù)需求和風(fēng)險管理流程決定的。這種基于風(fēng)險的方法可以保證組織根據(jù)已有資源（如員工、資金等），在成本效益和優(yōu)先級的基礎(chǔ)上，達到組織要求的網(wǎng)絡(luò)空間安全目標(biāo)。

圖1描述了組織在戰(zhàn)略層、業(yè)務(wù)層和職能層三個不同層次的信息和決策過程。戰(zhàn)略層決定了任務(wù)的優(yōu)先級、可獲得的資源和業(yè)務(wù)層的風(fēng)險容限。業(yè)務(wù)層將相關(guān)信息輸入風(fēng)險管理過程，然后與職能層共同決定業(yè)務(wù)要求并形成概要文件。職能層向業(yè)務(wù)層傳達概要的實施情況，并根據(jù)實施情況形成評估報告。職能層向戰(zhàn)略層報告影響結(jié)果，以及組織的整個風(fēng)險管理流程，并向業(yè)務(wù)層報告對業(yè)務(wù)的影響。

圖1 組織內(nèi)信息和決策流程圖

4 小結(jié)

《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架》中建立了一個“識別、保護、檢測、響應(yīng)和恢復(fù)”的管理閉環(huán)，印證了ITU-T X.1205中對“信息安全”和“網(wǎng)絡(luò)安全（cybersecurity）”之間異同的分析[2][3]，即網(wǎng)絡(luò)空間安全中CIA（confidentiality, integrity and availability）的排列順序為“可用性（A）”“完整性（I）”和“機密性（C）”，而信息安全中排列的順序為“機密性（C）”“完整性（I）”和“可用性（A）”。

[1]謝宗曉，甄杰，董坤祥，等. 網(wǎng)絡(luò)空間安全管理[M]. 北京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2016.

[2]謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2015（12）：30-32.

[3]謝宗曉. 關(guān)于網(wǎng)絡(luò)空間(cyberspace)及其相關(guān)詞匯的再解析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報, 2016（02）：26-28.

Introduction of NIST Framework for Improving Critical Infrastructure Cybersecurity

Xie Zongxiao ( Business School, Nankai University )
Dong Kunxiang ( School of Management Science and Engineering, Shandong University of Finance and Economics )
Zhang Han ( Transportation Bureau of China Railway )

Based on risk management, Framework for Improving Critical Infrastructure Cybersecurity established a cyberspace security management framework, including Identity, Protect, Detect, Respond and Recover. This paper explains the report from the perspective of implementation.

cybersecurity, cyberspace security, information security, critical infrastructure