為了提高我國關鍵信息基礎設施網絡安全保護水平，以美國相關標準規(guī)范為對象，研究了美國《關鍵基礎設施網絡安全改進框架》的組織結構和實際應用，以美國《能源行業(yè)網絡安全框架實施指南》為例闡述了關鍵信息基礎設施網絡安全改進框架在美國能源行業(yè)的實施步驟及方法。從目標、實施、映射三個方面對美國關鍵信息基礎設施保護規(guī)范進行了綜合分析。針對我國關鍵信息基礎設施保護現(xiàn)狀，結合美國關鍵信息基礎設施保護經驗提出5點啟示建議。

內容目錄：

 1　美國關鍵信息基礎設施網絡安全保護發(fā)展與實施歷程

1.1　發(fā)展歷程

1.2　實施應用

2　美國《關鍵基礎設施網絡安全改進框架》結構與實施步驟

2.1　框架結構

2.2　實施步驟

3　美國網絡安全框架與C2M2實踐的結合——以《能源行業(yè)網絡安全框架實施指南》為例

4　啟示建議

5　結　語

0　引　言

當今信息社會，國家安全、經濟安全、社會安全以及人民福祉嚴重依賴關鍵信息基礎設施這一復雜動態(tài)巨系統(tǒng)。我國關鍵信息基礎設施正面臨全球有組織、有目的、高強度地持續(xù)攻擊和安全挑戰(zhàn)。為提高我國關鍵信息基礎設施網絡安全保護水平，研究了美國《關鍵基礎設施網絡安全改進框架》的內容與組織結構，以及在能源行業(yè)的實施步驟，結合我國現(xiàn)狀提出了啟示建議。

1　美國關鍵信息基礎設施網絡安全保護發(fā)展與實施歷程

為了提高我國關鍵信息基礎設施網絡安全保護水平，以美國相關標準規(guī)范為對象，研究了美國關鍵基礎設施網絡安全保護法律法規(guī)的發(fā)展歷程和實施應用中法律規(guī)范的關系。

1.1　發(fā)展歷程 

 1996年7月，美國政府通過發(fā)布第13010號行政令成立關鍵基礎設施保護總統(tǒng)委員會，這是第一個針對關鍵信息基礎設施的行政令。2000年1月，美國政府頒布了第一個針對關鍵信息基礎設施的保護計劃——《信息系統(tǒng)保護國家計劃1.0》。2001年，在頒布的《愛國者法案》中首次對關鍵基礎設施進行定義。2002年，美國國土安全部成為“9·11”事件后成立的第一個負責國內安全及反恐活動的行政機構。2006年6月，美國國土安全部頒布《國家關鍵基礎設施保護計劃》，為各級政府和私營部門管理關鍵基礎設施提供參考架構?！毒W絡安全增強法案(2014)》是美國制定促進持續(xù)自愿的公私合作關系、增強網絡安全研究、提升公共安全意識的法案。2014年2月12日，美國國家標準技術研究院(National Institute of Standards and Technology，NIST)發(fā)布了《關鍵基礎設施網絡安全改進框架》(Framework for Improving Critical Infrastructure Cybersecurity)V1.0 版本，以下簡稱網絡安全框架。2018年4月，NIST發(fā)布新的《關鍵基礎設施網絡安全改進框架》V1.1版本，新增了自我評估，擴展了供應鏈安全，細化了認證授權、身份證明、漏洞披露生命周期管理等方面，目的在于為相關組織機構提供更細粒度的指導，實現(xiàn)個體組織價值的最大化。

以網絡安全框架作為指導框架，2015年1月，美國能源部頒布《能源行業(yè)網絡安全框架實施指南(2015 版)》。根據美國能源行業(yè)的實際網絡安全環(huán)境，逐步實現(xiàn)網絡安全框架指導目標。 

1.2　實施應用 

根據網絡安全框架，美國能源部聯(lián)合國土安全部在 2014 年和 2019 年分別頒布了網絡安全成熟度模型(Cybersecurity Capability Maturity Model，C2M2)V1.1和V2.0。C2M2模型 建立了一套定量評估網絡安全風險等級的體系化方法，可廣泛應用于各類組織及網絡安全管理機構，從而提升網絡安全能力，并與其他網絡安全標準、網絡安全管理機構的實際工作相結合。C2M2模型作為一套描述性的網絡安全實踐指南，有助于網絡安全框架落地實施。《網絡安全增強法案》、網絡安全框架與網絡安全能力成熟度模型，以及在相關行業(yè)實施的關系如圖1所示。

圖1　美國NIST網絡安全框架與C2M2實施關系 

由圖1可知，美國通過網絡安全增強法案規(guī)范約束網絡安全框架，并且通過網絡安全框架指導網絡安全能力成熟度模型落地實施，而能力成熟度模型又可以用來指導不同行業(yè)的應用。 

基于網絡安全框架和C2M2模型，研究人員開發(fā)了基于經驗范式的網絡安全脆弱性緩解框架;采用多目標決策分析(Multi-Criteria Decision Analysis，MCDA)技術與加權依賴結構，吸收網絡安全框架的核心關鍵要素，通過對一個關鍵基礎設施中的工業(yè)控制系統(tǒng)網絡進行安全評估，展示了網絡安全框架和能力成熟度模型的融合應用，不僅進行網絡安全漏洞分析，而且進行網絡安全漏洞緩解的優(yōu)先級分析。

2　美國《關鍵基礎設施網絡安全改進框架》結構與實施步驟

分析美國網絡安全框架的主要結構與實施步驟，明確各個實施步驟之間的邏輯關系。

2.1　框架結構

美國國家標準和技術研究院(NIST)制定的網絡安全框架是一套基于網絡安全與管理風險、針對關鍵基礎設施安全風險管理的框架?？蚣苡煽蚣芎诵摹⒖蚣軐蛹?、框架輪廓三個部分組成。 

框架核心：提出了由業(yè)界認可、并且在網絡安全風險管理中有價值的保護措施。包括功能、主分類、子類、參考文獻四個方面的要素。其中，功能由識別、保護、檢測、響應、恢復五個部分組成。 

 框架層級：框架包括四個不同的層級，(1 級)局部實施;(2 級)風險告知;(3 級)可重復性;(4 級)自適應能力。 

框架輪廓：框架輪廓被定義為在特定應用中標準、指南和實踐的最優(yōu)組合，從而通過自我評估進行溝通。通過當前輪廓(Current Profile)與目標輪廓(Target Profile)的綜合比較，確定當前措施是否改善了網絡安全風險態(tài)勢。在業(yè)務驅動和安全風險評估基礎上，比對所有的主分類和子類，確定哪些風險優(yōu)先級最高，從而處理特定的高風險類別。 

2.2　實施步驟 

網絡安全框架提出了基本的網絡安全實施流程，包括完備的七個步驟： 

第一步：優(yōu)化并確定目標范圍。

第二步：定向。確定相關系統(tǒng)和資產，進而識別系統(tǒng)和資產的網絡安全威脅與安全漏洞。

第三步：創(chuàng)建當前系統(tǒng)輪廓。通過選擇框架核心的主分類和子類，開發(fā)系統(tǒng)當前的目標輪廓。

第四步：對系統(tǒng)進行風險評估。

第五步：創(chuàng)建目標系統(tǒng)輪廓。創(chuàng)建目標系統(tǒng)輪廓，描述組織目標系統(tǒng)網絡安全的主分類和子類評估方法。

第六步：確定、分析并且優(yōu)化輪廓差異。

第七步：根據輪廓差異組織實施行動。

3　美國網絡安全框架與C2M2實踐的結合——以《能源行業(yè)網絡安全框架實施指南》為例

2015年1月，美國能源部以網絡安全框架為參考依據，結合能源行業(yè)網絡安全現(xiàn)狀制定了《能源行業(yè)網絡安全框架實施指南》，以幫助美國能源行業(yè)建立并調整現(xiàn)有網絡安全風險管理規(guī)劃，實現(xiàn)網絡安全風險管理目標?！赌茉葱袠I(yè)網絡安全框架實施指南》詳細闡述了C2M2如何映射到網絡安全框架，主要包括步驟映射、框架層級映射、框架核心子類別映射。

本文分七個步驟展示美國能源行業(yè)C2M2如何映射到網絡安全框架(以下簡稱框架)，具體映射步驟如表1至表7所示。 

第一步，確定優(yōu)先級和范圍。美國能源行業(yè)C2M2實施步驟一到框架的映射如表1所示：

如表1所示，映射主要包括輸入、活動、輸出三部分。在C2M2實施中，要評估的每個子集都稱為功能。能源行業(yè)網絡安全能力成熟度模型(Electricity Subsector Cybersecurity Capability Maturity Model，ES-C2M2)具有一些預定義的能源行業(yè)特定的功能和作用域。 

第二步，定向。美國能源行業(yè) C2M2 實施步驟二到框架的映射如表2所示：

如表2所示，以步驟一的框架使用范圍和功能清單作為步驟二的輸入，做出范圍界定決定后，確定范圍所涵蓋的信息、技術、人員和設施，適用的法規(guī)要求以及所使用的網絡安全和風險管理標準、工具、方法和技術指南。 

第三步，創(chuàng)建當前輪廓。美國能源行業(yè)C2M2實施步驟三到框架的映射如表3所示：

如表3所示，以步驟二的輸出作為步驟三的輸入。通常會通過一個研討會進行此步，該研討會包括代表所有范圍內資產和職能的關鍵人員。C2M2自我評估研討會會生成一份評分報告，該報告可以用作最新資料。 

第四步，進行風險評估。美國能源行業(yè)C2M2實施步驟四到框架的映射如表4所示：

如表4所示，將前三個步驟的部分關鍵信息作為步驟四的輸入。C2M2建議組織將此模型用作包括風險評估的連續(xù)企業(yè)風險管理流程的一部分。C2M2 和框架都將風險評估視為重要實踐。 

第五步：創(chuàng)建目標輪廓。美國能源行業(yè)C2M2實施步驟五到框架的映射如表5所示：

如表5所示，將前四個步驟的部分關鍵信息作為步驟五的輸入。C2M2評估評分報告可以通過提示成熟度指示等級MIL為實現(xiàn)目標輪廓提供幫助?？梢詫L險評估與C2M2評估報告一起使用，以識別目標所要求的實踐和等級。通過這兩種評估方法，組織可以使用C2M2實踐到框架核心子類別的映射及C2M2實踐到層級特征的映射來比較目標輪廓與框架，還可以對目標輪廓進行適當調整。 

第六步：分析差距并確定優(yōu)先級。美國能源行業(yè)C2M2實施步驟六到框架的映射如表6所示：

如表6所示，將前五個步驟的關鍵信息作為步驟六的輸入。C2M2自我評估評分報告使組織能夠識別當前輪廓和目標輪廓之間的差距。對差距進行排序時，應考慮差距如何影響組織目標以及目標的重要性、實施成本以及實施所需的資源。 

第七步，實施行動計劃。美國能源行業(yè)C2M2實施步驟七到框架的映射如表7所示：

如表7所示，將步驟六的優(yōu)選實施計劃作為步驟七的輸入，經過活動環(huán)節(jié)，輸出相應的目標信息。 

由以上七個步驟映射關系可知，各個步驟之間的輸入輸出存在依賴關系，并且各個步驟環(huán)環(huán)相扣，逐步幫助組織建立可控的網絡安全風險管理流程規(guī)范。各行業(yè)可根據領域需求特點，實施C2M2到框架的映射，并定期重復執(zhí)行上述步驟，從而逐步實現(xiàn)網絡安全當前輪廓與目標輪廓的逐步統(tǒng)一。 

C2M2與網絡安全框架的結合及其映射關系，可以為能源行業(yè)所有者和運營商帶來以下收益： 

(1)共同目標?？蚣芎虲2M2的目的是幫助關鍵基礎架構組織評估并潛在地改善其網絡安全狀況。

(2)有助于網絡安全框架的實施。C2M2作為框架的描述性指南，在抽象層次上提供了描述性指南。 

(3)全面涵蓋框架實踐。將C2M2實踐映射到子類別和層級包含的映射表明 C2M2 充分解決了框架的所有目標。 

(4)漸進的成熟度級別。C2M2使用成熟度指標級別，并通過到框架層級的映射，可以幫助組織跟蹤網絡安全實踐能力成熟度等級。 

(5)自我評估工具箱。C2M2工具箱可實現(xiàn)逐步的自我評估，并具有基于宏的評分和結果報告。這些資源有助于定期重新評估和根據目標輪廓衡量進度。

4　啟示建議

我國關鍵信息基礎設施保護現(xiàn)狀：已經構建了包括《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》、網絡安全等級保護系列標準、關鍵信息基礎設施網絡安全保護系列標準、重點行業(yè)關鍵信息基礎設施網絡安全保護標準的保護體系。

但是，目前我國《關鍵信息基礎設施安全保護條例》自2017年征求意見稿以來仍未正式發(fā)布、關鍵信息基礎設施安全系列標準的制定與發(fā)布周期較長，期間可能存在安全保護的空檔期;政府職能部門、科研機構、教育機構、骨干企業(yè)、測評機構之間在關鍵信息基礎設施保護體系的協(xié)調配合不夠流暢，可能對安全事件的響應不夠精準及時。關鍵信息基礎設施保護需要人、技術、管理的全方位保障與協(xié)調，我國關鍵信息基礎設施保護仍然存在重技術、輕人員和管理的問題，與人和管理相關的安全事件占比仍然較高。 

針對我國關鍵信息基礎設施保護現(xiàn)狀，結合美國關鍵信息基礎設施保護經驗提出以下啟示建議： 

(1)借鑒美國關鍵信息基礎設施網絡安全保護體系規(guī)范，自頂向下、逐層細化。 

(2)廣泛征求行業(yè)骨干企業(yè)、重要學術機構、著名教育機構、政府職能部門、權威測評機構等的綜合意見，激勵各方積極參與、形成標準體系，提高關鍵信息基礎設施保護的影響力和權威性。 

(3)選取電力、能源等重點行業(yè)進行關鍵信息基礎設施網絡安全保護實施案例分析，帶動其他行業(yè)進行網絡安全系統(tǒng)防護。 

(4)通過網絡安全測評、動態(tài)演練、逐步優(yōu)化，提升關鍵信息基礎設施動態(tài)防護水平。 

(5)加強網絡安全人才教育與培訓考核，提升關鍵信息基礎設施人才技術與管理能力。

5　結　語

為了加強我國關鍵信息基礎設施保護，本文研究了美國網絡安全框架以及C2M2模型的組織結構與實施步驟。按自頂向下方法，從網絡安全框架到其擴展的C2M2評估模型，再到電力行業(yè)實施進行了分析。最后從目標、實施、映射三個方面對采用網絡安全框架和C2M2模型保護關鍵信息基礎設施，總結如下：

(1)目標 

網絡安全框架的目標是構建適用于各領域網絡安全風險管控治理的通用描述方法，確?？蓴U展性與技術創(chuàng)新，希望各行業(yè)在實際應用中自愿采納的技術標準和參考規(guī)范。 

C2M2模型的目標則是幫助所在部門和組織評估并改進其網絡安全規(guī)劃，增強其網絡安全運營彈性。重點在于信息技術、運營技術以及運行環(huán)境相關的網絡安全實踐風險管理。 

(2)實施 

網絡安全框架是一個指導性參考架構，在具體實施過程中，不同組織完全可根據自身需求來確定網絡安全防護措施，根據自身特定的網絡安全需求，從關鍵信息基礎設施保護現(xiàn)狀、軟硬件綜合配置、安全防護成本等綜合考慮，根據相關法律法規(guī)采用適合的網絡安全防護強度，并依據法律法規(guī)承擔相應的主體責任。 

C2M2提供的是描述性而非指導性的指導。模型內容以較高的抽象級別呈現(xiàn)，因此可以由各種類型、結構、規(guī)模和行業(yè)的組織機構使用。每個行業(yè)均可廣泛使用該模型對該行業(yè)網絡安全能力進行基準測試。 

針對我國關鍵信息基礎設施保護現(xiàn)狀，應依據我國《中華人民共和國網絡安全法》和《關鍵信息基礎設施安全保護條例》規(guī)定，加強網絡安全等級和關鍵信息基礎設施雙重保護。

(3)映射 

《能源行業(yè)網絡安全框架實施指南》詳細論述了C2M2如何映射到網絡安全框架，包括七個步驟的映射關系。C2M2推薦的實施步驟映射到網絡安全框架的七個實施步驟，有助于各種類型和規(guī)模的組織通過C2M2模型來實施網絡安全框架，評估并改進行業(yè)自身的網絡安全狀況。 

針對我國能源和電力等關鍵信息基礎設施行業(yè)現(xiàn)狀，應通過《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》、關鍵信息基礎設施網絡安全保護系列標準、重點行業(yè)關鍵信息基礎設施網絡安全保護標準等構建自上而下、逐級映射的關鍵信息基礎設施安全保障體系，維護國家網絡空間安全與主權。

引用本文：陳紅松,黃海峰,李蔚欣.美國關鍵信息基礎設施網絡安全改進框架及實施研究[J].信息安全與通信保密,2021(5):59-68.

作者簡介 >>>陳紅松(1977—)，男，博士，北京科技大學教授、博導，主要研究方向為網絡空間安全、人工智能應用;黃海峰(1978—)，男，學士，工程師，主要研究方向為人工智能、大數(shù)據、信息安全等;李蔚欣(1998—)，女，碩士在讀，主要研究方向為信息安全。

選自《信息安全與通信保密》2021年第5期(為便于排版，已省去原文參考文獻)

來源：信息安全與通信保密雜志社