為了提高我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)水平,以美國相關(guān)標(biāo)準(zhǔn)規(guī)范為對(duì)象,研究了美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》的組織結(jié)構(gòu)和實(shí)際應(yīng)用,以美國《能源行業(yè)網(wǎng)絡(luò)安全框架實(shí)施指南》為例闡述了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架在美國能源行業(yè)的實(shí)施步驟及方法。從目標(biāo)、實(shí)施、映射三個(gè)方面對(duì)美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)規(guī)范進(jìn)行了綜合分析。針對(duì)我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)現(xiàn)狀,結(jié)合美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)經(jīng)驗(yàn)提出5點(diǎn)啟示建議。
內(nèi)容目錄:
1 美國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)發(fā)展與實(shí)施歷程
1.1 發(fā)展歷程
1.2 實(shí)施應(yīng)用
2 美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》結(jié)構(gòu)與實(shí)施步驟
2.1 框架結(jié)構(gòu)
2.2 實(shí)施步驟
3 美國網(wǎng)絡(luò)安全框架與C2M2實(shí)踐的結(jié)合——以《能源行業(yè)網(wǎng)絡(luò)安全框架實(shí)施指南》為例
4 啟示建議
5 結(jié) 語
0 引 言
當(dāng)今信息社會(huì),國家安全、經(jīng)濟(jì)安全、社會(huì)安全以及人民福祉嚴(yán)重依賴關(guān)鍵信息基礎(chǔ)設(shè)施這一復(fù)雜動(dòng)態(tài)巨系統(tǒng)。我國關(guān)鍵信息基礎(chǔ)設(shè)施正面臨全球有組織、有目的、高強(qiáng)度地持續(xù)攻擊和安全挑戰(zhàn)。為提高我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)水平,研究了美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》的內(nèi)容與組織結(jié)構(gòu),以及在能源行業(yè)的實(shí)施步驟,結(jié)合我國現(xiàn)狀提出了啟示建議。
1 美國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)發(fā)展與實(shí)施歷程
為了提高我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)水平,以美國相關(guān)標(biāo)準(zhǔn)規(guī)范為對(duì)象,研究了美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)法律法規(guī)的發(fā)展歷程和實(shí)施應(yīng)用中法律規(guī)范的關(guān)系。
1.1 發(fā)展歷程
1996年7月,美國政府通過發(fā)布第13010號(hào)行政令成立關(guān)鍵基礎(chǔ)設(shè)施保護(hù)總統(tǒng)委員會(huì),這是第一個(gè)針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的行政令。2000年1月,美國政府頒布了第一個(gè)針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)計(jì)劃——《信息系統(tǒng)保護(hù)國家計(jì)劃1.0》。2001年,在頒布的《愛國者法案》中首次對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行定義。2002年,美國國土安全部成為“9·11”事件后成立的第一個(gè)負(fù)責(zé)國內(nèi)安全及反恐活動(dòng)的行政機(jī)構(gòu)。2006年6月,美國國土安全部頒布《國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃》,為各級(jí)政府和私營部門管理關(guān)鍵基礎(chǔ)設(shè)施提供參考架構(gòu)?!毒W(wǎng)絡(luò)安全增強(qiáng)法案(2014)》是美國制定促進(jìn)持續(xù)自愿的公私合作關(guān)系、增強(qiáng)網(wǎng)絡(luò)安全研究、提升公共安全意識(shí)的法案。2014年2月12日,美國國家標(biāo)準(zhǔn)技術(shù)研究院(National Institute of Standards and Technology,NIST)發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》(Framework for Improving Critical Infrastructure Cybersecurity)V1.0 版本,以下簡稱網(wǎng)絡(luò)安全框架。2018年4月,NIST發(fā)布新的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》V1.1版本,新增了自我評(píng)估,擴(kuò)展了供應(yīng)鏈安全,細(xì)化了認(rèn)證授權(quán)、身份證明、漏洞披露生命周期管理等方面,目的在于為相關(guān)組織機(jī)構(gòu)提供更細(xì)粒度的指導(dǎo),實(shí)現(xiàn)個(gè)體組織價(jià)值的最大化。
以網(wǎng)絡(luò)安全框架作為指導(dǎo)框架,2015年1月,美國能源部頒布《能源行業(yè)網(wǎng)絡(luò)安全框架實(shí)施指南(2015 版)》。根據(jù)美國能源行業(yè)的實(shí)際網(wǎng)絡(luò)安全環(huán)境,逐步實(shí)現(xiàn)網(wǎng)絡(luò)安全框架指導(dǎo)目標(biāo)。
1.2 實(shí)施應(yīng)用
根據(jù)網(wǎng)絡(luò)安全框架,美國能源部聯(lián)合國土安全部在 2014 年和 2019 年分別頒布了網(wǎng)絡(luò)安全成熟度模型(Cybersecurity Capability Maturity Model,C2M2)V1.1和V2.0。C2M2模型 建立了一套定量評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等級(jí)的體系化方法,可廣泛應(yīng)用于各類組織及網(wǎng)絡(luò)安全管理機(jī)構(gòu),從而提升網(wǎng)絡(luò)安全能力,并與其他網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全管理機(jī)構(gòu)的實(shí)際工作相結(jié)合。C2M2模型作為一套描述性的網(wǎng)絡(luò)安全實(shí)踐指南,有助于網(wǎng)絡(luò)安全框架落地實(shí)施?!毒W(wǎng)絡(luò)安全增強(qiáng)法案》、網(wǎng)絡(luò)安全框架與網(wǎng)絡(luò)安全能力成熟度模型,以及在相關(guān)行業(yè)實(shí)施的關(guān)系如圖1所示。
圖1 美國NIST網(wǎng)絡(luò)安全框架與C2M2實(shí)施關(guān)系
由圖1可知,美國通過網(wǎng)絡(luò)安全增強(qiáng)法案規(guī)范約束網(wǎng)絡(luò)安全框架,并且通過網(wǎng)絡(luò)安全框架指導(dǎo)網(wǎng)絡(luò)安全能力成熟度模型落地實(shí)施,而能力成熟度模型又可以用來指導(dǎo)不同行業(yè)的應(yīng)用。
基于網(wǎng)絡(luò)安全框架和C2M2模型,研究人員開發(fā)了基于經(jīng)驗(yàn)范式的網(wǎng)絡(luò)安全脆弱性緩解框架;采用多目標(biāo)決策分析(Multi-Criteria Decision Analysis,MCDA)技術(shù)與加權(quán)依賴結(jié)構(gòu),吸收網(wǎng)絡(luò)安全框架的核心關(guān)鍵要素,通過對(duì)一個(gè)關(guān)鍵基礎(chǔ)設(shè)施中的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行安全評(píng)估,展示了網(wǎng)絡(luò)安全框架和能力成熟度模型的融合應(yīng)用,不僅進(jìn)行網(wǎng)絡(luò)安全漏洞分析,而且進(jìn)行網(wǎng)絡(luò)安全漏洞緩解的優(yōu)先級(jí)分析。
2 美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》結(jié)構(gòu)與實(shí)施步驟
分析美國網(wǎng)絡(luò)安全框架的主要結(jié)構(gòu)與實(shí)施步驟,明確各個(gè)實(shí)施步驟之間的邏輯關(guān)系。
2.1 框架結(jié)構(gòu)
美國國家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)制定的網(wǎng)絡(luò)安全框架是一套基于網(wǎng)絡(luò)安全與管理風(fēng)險(xiǎn)、針對(duì)關(guān)鍵基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)管理的框架??蚣苡煽蚣芎诵?、框架層級(jí)、框架輪廓三個(gè)部分組成。
框架核心:提出了由業(yè)界認(rèn)可、并且在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中有價(jià)值的保護(hù)措施。包括功能、主分類、子類、參考文獻(xiàn)四個(gè)方面的要素。其中,功能由識(shí)別、保護(hù)、檢測、響應(yīng)、恢復(fù)五個(gè)部分組成。
框架層級(jí):框架包括四個(gè)不同的層級(jí),(1 級(jí))局部實(shí)施;(2 級(jí))風(fēng)險(xiǎn)告知;(3 級(jí))可重復(fù)性;(4 級(jí))自適應(yīng)能力。
框架輪廓:框架輪廓被定義為在特定應(yīng)用中標(biāo)準(zhǔn)、指南和實(shí)踐的最優(yōu)組合,從而通過自我評(píng)估進(jìn)行溝通。通過當(dāng)前輪廓(Current Profile)與目標(biāo)輪廓(Target Profile)的綜合比較,確定當(dāng)前措施是否改善了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)態(tài)勢(shì)。在業(yè)務(wù)驅(qū)動(dòng)和安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上,比對(duì)所有的主分類和子類,確定哪些風(fēng)險(xiǎn)優(yōu)先級(jí)最高,從而處理特定的高風(fēng)險(xiǎn)類別。
2.2 實(shí)施步驟
網(wǎng)絡(luò)安全框架提出了基本的網(wǎng)絡(luò)安全實(shí)施流程,包括完備的七個(gè)步驟:
第一步:優(yōu)化并確定目標(biāo)范圍。
第二步:定向。確定相關(guān)系統(tǒng)和資產(chǎn),進(jìn)而識(shí)別系統(tǒng)和資產(chǎn)的網(wǎng)絡(luò)安全威脅與安全漏洞。
第三步:創(chuàng)建當(dāng)前系統(tǒng)輪廓。通過選擇框架核心的主分類和子類,開發(fā)系統(tǒng)當(dāng)前的目標(biāo)輪廓。
第四步:對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。
第五步:創(chuàng)建目標(biāo)系統(tǒng)輪廓。創(chuàng)建目標(biāo)系統(tǒng)輪廓,描述組織目標(biāo)系統(tǒng)網(wǎng)絡(luò)安全的主分類和子類評(píng)估方法。
第六步:確定、分析并且優(yōu)化輪廓差異。
第七步:根據(jù)輪廓差異組織實(shí)施行動(dòng)。
3 美國網(wǎng)絡(luò)安全框架與C2M2實(shí)踐的結(jié)合——以《能源行業(yè)網(wǎng)絡(luò)安全框架實(shí)施指南》為例
2015年1月,美國能源部以網(wǎng)絡(luò)安全框架為參考依據(jù),結(jié)合能源行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀制定了《能源行業(yè)網(wǎng)絡(luò)安全框架實(shí)施指南》,以幫助美國能源行業(yè)建立并調(diào)整現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理規(guī)劃,實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理目標(biāo)。《能源行業(yè)網(wǎng)絡(luò)安全框架實(shí)施指南》詳細(xì)闡述了C2M2如何映射到網(wǎng)絡(luò)安全框架,主要包括步驟映射、框架層級(jí)映射、框架核心子類別映射。
本文分七個(gè)步驟展示美國能源行業(yè)C2M2如何映射到網(wǎng)絡(luò)安全框架(以下簡稱框架),具體映射步驟如表1至表7所示。
第一步,確定優(yōu)先級(jí)和范圍。美國能源行業(yè)C2M2實(shí)施步驟一到框架的映射如表1所示:
如表1所示,映射主要包括輸入、活動(dòng)、輸出三部分。在C2M2實(shí)施中,要評(píng)估的每個(gè)子集都稱為功能。能源行業(yè)網(wǎng)絡(luò)安全能力成熟度模型(Electricity Subsector Cybersecurity Capability Maturity Model,ES-C2M2)具有一些預(yù)定義的能源行業(yè)特定的功能和作用域。
第二步,定向。美國能源行業(yè) C2M2 實(shí)施步驟二到框架的映射如表2所示:
如表2所示,以步驟一的框架使用范圍和功能清單作為步驟二的輸入,做出范圍界定決定后,確定范圍所涵蓋的信息、技術(shù)、人員和設(shè)施,適用的法規(guī)要求以及所使用的網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)、工具、方法和技術(shù)指南。
第三步,創(chuàng)建當(dāng)前輪廓。美國能源行業(yè)C2M2實(shí)施步驟三到框架的映射如表3所示:
如表3所示,以步驟二的輸出作為步驟三的輸入。通常會(huì)通過一個(gè)研討會(huì)進(jìn)行此步,該研討會(huì)包括代表所有范圍內(nèi)資產(chǎn)和職能的關(guān)鍵人員。C2M2自我評(píng)估研討會(huì)會(huì)生成一份評(píng)分報(bào)告,該報(bào)告可以用作最新資料。
第四步,進(jìn)行風(fēng)險(xiǎn)評(píng)估。美國能源行業(yè)C2M2實(shí)施步驟四到框架的映射如表4所示:
如表4所示,將前三個(gè)步驟的部分關(guān)鍵信息作為步驟四的輸入。C2M2建議組織將此模型用作包括風(fēng)險(xiǎn)評(píng)估的連續(xù)企業(yè)風(fēng)險(xiǎn)管理流程的一部分。C2M2 和框架都將風(fēng)險(xiǎn)評(píng)估視為重要實(shí)踐。
第五步:創(chuàng)建目標(biāo)輪廓。美國能源行業(yè)C2M2實(shí)施步驟五到框架的映射如表5所示:
如表5所示,將前四個(gè)步驟的部分關(guān)鍵信息作為步驟五的輸入。C2M2評(píng)估評(píng)分報(bào)告可以通過提示成熟度指示等級(jí)MIL為實(shí)現(xiàn)目標(biāo)輪廓提供幫助。可以將風(fēng)險(xiǎn)評(píng)估與C2M2評(píng)估報(bào)告一起使用,以識(shí)別目標(biāo)所要求的實(shí)踐和等級(jí)。通過這兩種評(píng)估方法,組織可以使用C2M2實(shí)踐到框架核心子類別的映射及C2M2實(shí)踐到層級(jí)特征的映射來比較目標(biāo)輪廓與框架,還可以對(duì)目標(biāo)輪廓進(jìn)行適當(dāng)調(diào)整。
第六步:分析差距并確定優(yōu)先級(jí)。美國能源行業(yè)C2M2實(shí)施步驟六到框架的映射如表6所示:
如表6所示,將前五個(gè)步驟的關(guān)鍵信息作為步驟六的輸入。C2M2自我評(píng)估評(píng)分報(bào)告使組織能夠識(shí)別當(dāng)前輪廓和目標(biāo)輪廓之間的差距。對(duì)差距進(jìn)行排序時(shí),應(yīng)考慮差距如何影響組織目標(biāo)以及目標(biāo)的重要性、實(shí)施成本以及實(shí)施所需的資源。
第七步,實(shí)施行動(dòng)計(jì)劃。美國能源行業(yè)C2M2實(shí)施步驟七到框架的映射如表7所示:
如表7所示,將步驟六的優(yōu)選實(shí)施計(jì)劃作為步驟七的輸入,經(jīng)過活動(dòng)環(huán)節(jié),輸出相應(yīng)的目標(biāo)信息。
由以上七個(gè)步驟映射關(guān)系可知,各個(gè)步驟之間的輸入輸出存在依賴關(guān)系,并且各個(gè)步驟環(huán)環(huán)相扣,逐步幫助組織建立可控的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理流程規(guī)范。各行業(yè)可根據(jù)領(lǐng)域需求特點(diǎn),實(shí)施C2M2到框架的映射,并定期重復(fù)執(zhí)行上述步驟,從而逐步實(shí)現(xiàn)網(wǎng)絡(luò)安全當(dāng)前輪廓與目標(biāo)輪廓的逐步統(tǒng)一。
C2M2與網(wǎng)絡(luò)安全框架的結(jié)合及其映射關(guān)系,可以為能源行業(yè)所有者和運(yùn)營商帶來以下收益:
(1)共同目標(biāo)。框架和C2M2的目的是幫助關(guān)鍵基礎(chǔ)架構(gòu)組織評(píng)估并潛在地改善其網(wǎng)絡(luò)安全狀況。
(2)有助于網(wǎng)絡(luò)安全框架的實(shí)施。C2M2作為框架的描述性指南,在抽象層次上提供了描述性指南。
(3)全面涵蓋框架實(shí)踐。將C2M2實(shí)踐映射到子類別和層級(jí)包含的映射表明 C2M2 充分解決了框架的所有目標(biāo)。
(4)漸進(jìn)的成熟度級(jí)別。C2M2使用成熟度指標(biāo)級(jí)別,并通過到框架層級(jí)的映射,可以幫助組織跟蹤網(wǎng)絡(luò)安全實(shí)踐能力成熟度等級(jí)。
(5)自我評(píng)估工具箱。C2M2工具箱可實(shí)現(xiàn)逐步的自我評(píng)估,并具有基于宏的評(píng)分和結(jié)果報(bào)告。這些資源有助于定期重新評(píng)估和根據(jù)目標(biāo)輪廓衡量進(jìn)度。
4 啟示建議
我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)現(xiàn)狀:已經(jīng)構(gòu)建了包括《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、網(wǎng)絡(luò)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)系列標(biāo)準(zhǔn)、重點(diǎn)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)標(biāo)準(zhǔn)的保護(hù)體系。
但是,目前我國《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》自2017年征求意見稿以來仍未正式發(fā)布、關(guān)鍵信息基礎(chǔ)設(shè)施安全系列標(biāo)準(zhǔn)的制定與發(fā)布周期較長,期間可能存在安全保護(hù)的空檔期;政府職能部門、科研機(jī)構(gòu)、教育機(jī)構(gòu)、骨干企業(yè)、測評(píng)機(jī)構(gòu)之間在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系的協(xié)調(diào)配合不夠流暢,可能對(duì)安全事件的響應(yīng)不夠精準(zhǔn)及時(shí)。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)需要人、技術(shù)、管理的全方位保障與協(xié)調(diào),我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)仍然存在重技術(shù)、輕人員和管理的問題,與人和管理相關(guān)的安全事件占比仍然較高。
針對(duì)我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)現(xiàn)狀,結(jié)合美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)經(jīng)驗(yàn)提出以下啟示建議:
(1)借鑒美國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)體系規(guī)范,自頂向下、逐層細(xì)化。
(2)廣泛征求行業(yè)骨干企業(yè)、重要學(xué)術(shù)機(jī)構(gòu)、著名教育機(jī)構(gòu)、政府職能部門、權(quán)威測評(píng)機(jī)構(gòu)等的綜合意見,激勵(lì)各方積極參與、形成標(biāo)準(zhǔn)體系,提高關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的影響力和權(quán)威性。
(3)選取電力、能源等重點(diǎn)行業(yè)進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)實(shí)施案例分析,帶動(dòng)其他行業(yè)進(jìn)行網(wǎng)絡(luò)安全系統(tǒng)防護(hù)。
(4)通過網(wǎng)絡(luò)安全測評(píng)、動(dòng)態(tài)演練、逐步優(yōu)化,提升關(guān)鍵信息基礎(chǔ)設(shè)施動(dòng)態(tài)防護(hù)水平。
(5)加強(qiáng)網(wǎng)絡(luò)安全人才教育與培訓(xùn)考核,提升關(guān)鍵信息基礎(chǔ)設(shè)施人才技術(shù)與管理能力。
5 結(jié) 語
為了加強(qiáng)我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),本文研究了美國網(wǎng)絡(luò)安全框架以及C2M2模型的組織結(jié)構(gòu)與實(shí)施步驟。按自頂向下方法,從網(wǎng)絡(luò)安全框架到其擴(kuò)展的C2M2評(píng)估模型,再到電力行業(yè)實(shí)施進(jìn)行了分析。最后從目標(biāo)、實(shí)施、映射三個(gè)方面對(duì)采用網(wǎng)絡(luò)安全框架和C2M2模型保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施,總結(jié)如下:
(1)目標(biāo)
網(wǎng)絡(luò)安全框架的目標(biāo)是構(gòu)建適用于各領(lǐng)域網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控治理的通用描述方法,確??蓴U(kuò)展性與技術(shù)創(chuàng)新,希望各行業(yè)在實(shí)際應(yīng)用中自愿采納的技術(shù)標(biāo)準(zhǔn)和參考規(guī)范。
C2M2模型的目標(biāo)則是幫助所在部門和組織評(píng)估并改進(jìn)其網(wǎng)絡(luò)安全規(guī)劃,增強(qiáng)其網(wǎng)絡(luò)安全運(yùn)營彈性。重點(diǎn)在于信息技術(shù)、運(yùn)營技術(shù)以及運(yùn)行環(huán)境相關(guān)的網(wǎng)絡(luò)安全實(shí)踐風(fēng)險(xiǎn)管理。
(2)實(shí)施
網(wǎng)絡(luò)安全框架是一個(gè)指導(dǎo)性參考架構(gòu),在具體實(shí)施過程中,不同組織完全可根據(jù)自身需求來確定網(wǎng)絡(luò)安全防護(hù)措施,根據(jù)自身特定的網(wǎng)絡(luò)安全需求,從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)現(xiàn)狀、軟硬件綜合配置、安全防護(hù)成本等綜合考慮,根據(jù)相關(guān)法律法規(guī)采用適合的網(wǎng)絡(luò)安全防護(hù)強(qiáng)度,并依據(jù)法律法規(guī)承擔(dān)相應(yīng)的主體責(zé)任。
C2M2提供的是描述性而非指導(dǎo)性的指導(dǎo)。模型內(nèi)容以較高的抽象級(jí)別呈現(xiàn),因此可以由各種類型、結(jié)構(gòu)、規(guī)模和行業(yè)的組織機(jī)構(gòu)使用。每個(gè)行業(yè)均可廣泛使用該模型對(duì)該行業(yè)網(wǎng)絡(luò)安全能力進(jìn)行基準(zhǔn)測試。
針對(duì)我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)現(xiàn)狀,應(yīng)依據(jù)我國《中華人民共和國網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定,加強(qiáng)網(wǎng)絡(luò)安全等級(jí)和關(guān)鍵信息基礎(chǔ)設(shè)施雙重保護(hù)。
(3)映射
《能源行業(yè)網(wǎng)絡(luò)安全框架實(shí)施指南》詳細(xì)論述了C2M2如何映射到網(wǎng)絡(luò)安全框架,包括七個(gè)步驟的映射關(guān)系。C2M2推薦的實(shí)施步驟映射到網(wǎng)絡(luò)安全框架的七個(gè)實(shí)施步驟,有助于各種類型和規(guī)模的組織通過C2M2模型來實(shí)施網(wǎng)絡(luò)安全框架,評(píng)估并改進(jìn)行業(yè)自身的網(wǎng)絡(luò)安全狀況。
針對(duì)我國能源和電力等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)現(xiàn)狀,應(yīng)通過《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)系列標(biāo)準(zhǔn)、重點(diǎn)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)標(biāo)準(zhǔn)等構(gòu)建自上而下、逐級(jí)映射的關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,維護(hù)國家網(wǎng)絡(luò)空間安全與主權(quán)。
引用本文:陳紅松,黃海峰,李蔚欣.美國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架及實(shí)施研究[J].信息安全與通信保密,2021(5):59-68.
作者簡介 >>>陳紅松(1977—),男,博士,北京科技大學(xué)教授、博導(dǎo),主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全、人工智能應(yīng)用;黃海峰(1978—),男,學(xué)士,工程師,主要研究方向?yàn)槿斯ぶ悄?、大?shù)據(jù)、信息安全等;李蔚欣(1998—),女,碩士在讀,主要研究方向?yàn)樾畔踩?/span>
選自《信息安全與通信保密》2021年第5期(為便于排版,已省去原文參考文獻(xiàn))
來源:信息安全與通信保密雜志社