陳紅松，黃海峰，李蔚欣

（1.北京科技大學(xué)，北京 100083；2.太極計算機股份有限公司，北京 100102；3.北京郵電大學(xué)，北京 100876）

0 引 言

當(dāng)今信息社會，國家安全、經(jīng)濟(jì)安全、社會安全以及人民福祉嚴(yán)重依賴關(guān)鍵信息基礎(chǔ)設(shè)施這一復(fù)雜動態(tài)巨系統(tǒng)。我國關(guān)鍵信息基礎(chǔ)設(shè)施正面臨全球有組織、有目的、高強度地持續(xù)攻擊和安全挑戰(zhàn)。為提高我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)水平，研究了美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》的內(nèi)容與組織結(jié)構(gòu)，以及在能源行業(yè)的實施步驟，結(jié)合我國現(xiàn)狀提出了啟示建議。

1 美國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)發(fā)展與實施歷程

為了提高我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)水平，以美國相關(guān)標(biāo)準(zhǔn)規(guī)范為對象，研究了美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)法律法規(guī)的發(fā)展歷程和實施應(yīng)用中法律規(guī)范的關(guān)系。

1.1 發(fā)展歷程

1996 年7 月，美國政府通過發(fā)布第13010號行政令成立關(guān)鍵基礎(chǔ)設(shè)施保護(hù)總統(tǒng)委員會，這是第一個針對關(guān)鍵信息基礎(chǔ)設(shè)施的行政令。2000 年1 月，美國政府頒布了第一個針對關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)計劃——《信息系統(tǒng)保護(hù)國家計劃1.0》。2001 年，在頒布的《愛國者法案》中首次對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行定義。2002年，美國國土安全部成為“9·11”事件后成立的第一個負(fù)責(zé)國內(nèi)安全及反恐活動的行政機構(gòu)。2006 年6 月，美國國土安全部頒布《國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計劃》，為各級政府和私營部門管理關(guān)鍵基礎(chǔ)設(shè)施提供參考架構(gòu)[1]?！毒W(wǎng)絡(luò)安全增強法案（2014）》是美國制定促進(jìn)持續(xù)自愿的公私合作關(guān)系、增強網(wǎng)絡(luò)安全研究、提升公共安全意識的法案。2014 年2 月12 日，美國國家標(biāo)準(zhǔn)技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》（Framework for Improving Critical Infrastructure Cybersecurity）V1.0 版本[2]，以下簡稱網(wǎng)絡(luò)安全框架。2018 年4 月，NIST 發(fā)布新的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》V1.1版本，新增了自我評估，擴(kuò)展了供應(yīng)鏈安全，細(xì)化了認(rèn)證授權(quán)、身份證明、漏洞披露生命周期管理等方面，目的在于為相關(guān)組織機構(gòu)提供更細(xì)粒度的指導(dǎo)，實現(xiàn)個體組織價值的最大化。

以網(wǎng)絡(luò)安全框架作為指導(dǎo)框架，2015 年1 月，美國能源部頒布《能源行業(yè)網(wǎng)絡(luò)安全框架實施指南（2015 版）》[3]。根據(jù)美國能源行業(yè)的實際網(wǎng)絡(luò)安全環(huán)境，逐步實現(xiàn)網(wǎng)絡(luò)安全框架指導(dǎo)目標(biāo)。

1.2 實施應(yīng)用

根據(jù)網(wǎng)絡(luò)安全框架，美國能源部聯(lián)合國土安全部在2014 年和2019 年分別頒布了網(wǎng)絡(luò)安全成熟度模型（Cybersecurity Capability Maturity Model，C2M2）V1.1 和V2.0[4]。C2M2 模 型 建 立了一套定量評估網(wǎng)絡(luò)安全風(fēng)險等級的體系化方法，可廣泛應(yīng)用于各類組織及網(wǎng)絡(luò)安全管理機構(gòu)，從而提升網(wǎng)絡(luò)安全能力，并與其他網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全管理機構(gòu)的實際工作相結(jié)合[5]。C2M2模型作為一套描述性的網(wǎng)絡(luò)安全實踐指南，有助于網(wǎng)絡(luò)安全框架落地實施。《網(wǎng)絡(luò)安全增強法案》、網(wǎng)絡(luò)安全框架與網(wǎng)絡(luò)安全能力成熟度模型，以及在相關(guān)行業(yè)實施的關(guān)系如圖1 所示。

圖1 美國NIST 網(wǎng)絡(luò)安全框架與C2M2 實施關(guān)系

由圖1 可知，美國通過網(wǎng)絡(luò)安全增強法案規(guī)范約束網(wǎng)絡(luò)安全框架，并且通過網(wǎng)絡(luò)安全框架指導(dǎo)網(wǎng)絡(luò)安全能力成熟度模型落地實施，而能力成熟度模型又可以用來指導(dǎo)不同行業(yè)的應(yīng)用。

基于網(wǎng)絡(luò)安全框架和C2M2 模型，研究人員開發(fā)了基于經(jīng)驗范式的網(wǎng)絡(luò)安全脆弱性緩解框架[6]；采用多目標(biāo)決策分析（Multi-Criteria Decision Analysis，MCDA）技術(shù)與加權(quán)依賴結(jié)構(gòu)[7]，吸收網(wǎng)絡(luò)安全框架的核心關(guān)鍵要素，通過對一個關(guān)鍵基礎(chǔ)設(shè)施中的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行安全評估，展示了網(wǎng)絡(luò)安全框架和能力成熟度模型的融合應(yīng)用，不僅進(jìn)行網(wǎng)絡(luò)安全漏洞分析，而且進(jìn)行網(wǎng)絡(luò)安全漏洞緩解的優(yōu)先級分析。

2 美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》結(jié)構(gòu)與實施步驟

分析美國網(wǎng)絡(luò)安全框架的主要結(jié)構(gòu)與實施步驟，明確各個實施步驟之間的邏輯關(guān)系。

2.1 框架結(jié)構(gòu)

美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）制定的網(wǎng)絡(luò)安全框架是一套基于網(wǎng)絡(luò)安全與管理風(fēng)險、針對關(guān)鍵基礎(chǔ)設(shè)施安全風(fēng)險管理的框架[8]?？蚣苡煽蚣芎诵?、框架層級、框架輪廓三個部分組成。

框架核心：提出了由業(yè)界認(rèn)可、并且在網(wǎng)絡(luò)安全風(fēng)險管理中有價值的保護(hù)措施。包括功能、主分類、子類、參考文獻(xiàn)四個方面的要素。其中，功能由識別、保護(hù)、檢測、響應(yīng)、恢復(fù)五個部分組成。

框架層級：框架包括四個不同的層級，（1級）局部實施；（2 級）風(fēng)險告知；（3 級）可重復(fù)性；（4 級）自適應(yīng)能力。

框架輪廓：框架輪廓被定義為在特定應(yīng)用中標(biāo)準(zhǔn)、指南和實踐的最優(yōu)組合，從而通過自我評估進(jìn)行溝通。通過當(dāng)前輪廓（Current Profile）與目標(biāo)輪廓（Target Profile）的綜合比較，確定當(dāng)前措施是否改善了網(wǎng)絡(luò)安全風(fēng)險態(tài)勢。在業(yè)務(wù)驅(qū)動和安全風(fēng)險評估基礎(chǔ)上，比對所有的主分類和子類，確定哪些風(fēng)險優(yōu)先級最高，從而處理特定的高風(fēng)險類別。

2.2 實施步驟

網(wǎng)絡(luò)安全框架提出了基本的網(wǎng)絡(luò)安全實施流程，包括完備的七個步驟：

第一步：優(yōu)化并確定目標(biāo)范圍。

第二步：定向。確定相關(guān)系統(tǒng)和資產(chǎn)，進(jìn)而識別系統(tǒng)和資產(chǎn)的網(wǎng)絡(luò)安全威脅與安全漏洞。

第三步：創(chuàng)建當(dāng)前系統(tǒng)輪廓。通過選擇框架核心的主分類和子類，開發(fā)系統(tǒng)當(dāng)前的目標(biāo)輪廓。

第四步：對系統(tǒng)進(jìn)行風(fēng)險評估。

第五步：創(chuàng)建目標(biāo)系統(tǒng)輪廓。創(chuàng)建目標(biāo)系統(tǒng)輪廓，描述組織目標(biāo)系統(tǒng)網(wǎng)絡(luò)安全的主分類和子類評估方法。

第六步：確定、分析并且優(yōu)化輪廓差異。

第七步：根據(jù)輪廓差異組織實施行動。

3 美國網(wǎng)絡(luò)安全框架與C2M2 實踐的結(jié)合——以《能源行業(yè)網(wǎng)絡(luò)安全框架實施指南》為例

2015 年1 月，美國能源部以網(wǎng)絡(luò)安全框架為參考依據(jù)，結(jié)合能源行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀制定了《能源行業(yè)網(wǎng)絡(luò)安全框架實施指南》，以幫助美國能源行業(yè)建立并調(diào)整現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險管理規(guī)劃，實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險管理目標(biāo)?！赌茉葱袠I(yè)網(wǎng)絡(luò)安全框架實施指南》詳細(xì)闡述了C2M2如何映射到網(wǎng)絡(luò)安全框架，主要包括步驟映射、框架層級映射、框架核心子類別映射。

本文分七個步驟展示美國能源行業(yè)C2M2 如何映射到網(wǎng)絡(luò)安全框架（以下簡稱框架），具體映射步驟如表1 至表7 所示。

第一步，確定優(yōu)先級和范圍。美國能源行業(yè)C2M2 實施步驟一到框架的映射如表1 所示：

表1 能源行業(yè)C2M2 實施步驟一到框架的映射

如表1 所示，映射主要包括輸入、活動、輸出三部分。在C2M2 實施中，要評估的每個子集都稱為功能。能源行業(yè)網(wǎng)絡(luò)安全能力成熟度模型（Electricity Subsector Cybersecurity Capability Maturity Model，ES-C2M2）具有一些預(yù)定義的能源行業(yè)特定的功能和作用域。

第二步，定向。美國能源行業(yè)C2M2 實施步驟二到框架的映射如表2 所示：

表2 能源行業(yè)C2M2 實施步驟二到框架的映射

如表2 所示，以步驟一的框架使用范圍和功能清單作為步驟二的輸入，做出范圍界定決定后，確定范圍所涵蓋的信息、技術(shù)、人員和設(shè)施，適用的法規(guī)要求以及所使用的網(wǎng)絡(luò)安全和風(fēng)險管理標(biāo)準(zhǔn)、工具、方法和技術(shù)指南。

第三步，創(chuàng)建當(dāng)前輪廓。美國能源行業(yè)C2M2 實施步驟三到框架的映射如表3 所示：

表3 能源行業(yè)C2M2 實施步驟三到框架的映射

如表3 所示，以步驟二的輸出作為步驟三的輸入。通常會通過一個研討會進(jìn)行此步，該研討會包括代表所有范圍內(nèi)資產(chǎn)和職能的關(guān)鍵人員。C2M2 自我評估研討會會生成一份評分報告，該報告可以用作最新資料。

第四步，進(jìn)行風(fēng)險評估。美國能源行業(yè)C 2 M 2 實施步驟四到框架的映射如表4所示：

表4 能源行業(yè)C2M2 實施步驟四到框架的映射

如表4 所示，將前三個步驟的部分關(guān)鍵信息作為步驟四的輸入。C2M2 建議組織將此模型用作包括風(fēng)險評估的連續(xù)企業(yè)風(fēng)險管理流程的一部分。C2M2和框架都將風(fēng)險評估視為重要實踐。

第五步：創(chuàng)建目標(biāo)輪廓。美國能源行業(yè)C2M2 實施步驟五到框架的映射如表5 所示：

表5 能源行業(yè)C2M2 實施步驟五到框架的映射

如表5 所示，將前四個步驟的部分關(guān)鍵信息作為步驟五的輸入。C2M2 評估評分報告可以通過提示成熟度指示等級MIL 為實現(xiàn)目標(biāo)輪廓提供幫助?？梢詫L(fēng)險評估與C2M2 評估報告一起使用，以識別目標(biāo)所要求的實踐和等級。通過這兩種評估方法，組織可以使用C2M2 實踐到框架核心子類別的映射及C2M2 實踐到層級特征的映射來比較目標(biāo)輪廓與框架，還可以對目標(biāo)輪廓進(jìn)行適當(dāng)調(diào)整。

第六步：分析差距并確定優(yōu)先級。美國能源行業(yè)C2M2 實施步驟六到框架的映射如表6所示：

表6 能源行業(yè)C2M2 實施步驟六到框架的映射

如表6 所示，將前五個步驟的關(guān)鍵信息作為步驟六的輸入。C2M2 自我評估評分報告使組織能夠識別當(dāng)前輪廓和目標(biāo)輪廓之間的差距。對差距進(jìn)行排序時，應(yīng)考慮差距如何影響組織目標(biāo)以及目標(biāo)的重要性、實施成本以及實施所需的資源。

第七步，實施行動計劃。美國能源行業(yè)C2M2 實施步驟七到框架的映射如表7 所示：

表7 能源行業(yè)C2M2 實施步驟七到框架的映射

如表7 所示，將步驟六的優(yōu)選實施計劃作為步驟七的輸入，經(jīng)過活動環(huán)節(jié)，輸出相應(yīng)的目標(biāo)信息。

由以上七個步驟映射關(guān)系可知，各個步驟之間的輸入輸出存在依賴關(guān)系，并且各個步驟環(huán)環(huán)相扣，逐步幫助組織建立可控的網(wǎng)絡(luò)安全風(fēng)險管理流程規(guī)范。各行業(yè)可根據(jù)領(lǐng)域需求特點，實施C2M2 到框架的映射，并定期重復(fù)執(zhí)行上述步驟，從而逐步實現(xiàn)網(wǎng)絡(luò)安全當(dāng)前輪廓與目標(biāo)輪廓的逐步統(tǒng)一。

C2M2與網(wǎng)絡(luò)安全框架的結(jié)合及其映射關(guān)系，可以為能源行業(yè)所有者和運營商帶來以下收益：

（1）共同目標(biāo)。框架和C2M2 的目的是幫助關(guān)鍵基礎(chǔ)架構(gòu)組織評估并潛在地改善其網(wǎng)絡(luò)安全狀況。

（2）有助于網(wǎng)絡(luò)安全框架的實施。C2M2作為框架的描述性指南，在抽象層次上提供了描述性指南。

（3）全面涵蓋框架實踐。將C2M2 實踐映射到子類別和層級包含的映射表明C2M2 充分解決了框架的所有目標(biāo)。

（4）漸進(jìn)的成熟度級別。C2M2 使用成熟度指標(biāo)級別，并通過到框架層級的映射，可以幫助組織跟蹤網(wǎng)絡(luò)安全實踐能力成熟度等級。

（5）自我評估工具箱。C2M2 工具箱可實現(xiàn)逐步的自我評估，并具有基于宏的評分和結(jié)果報告。這些資源有助于定期重新評估和根據(jù)目標(biāo)輪廓衡量進(jìn)度。

4 啟示建議

我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)現(xiàn)狀：已經(jīng)構(gòu)建了包括《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、網(wǎng)絡(luò)安全等級保護(hù)系列標(biāo)準(zhǔn)、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)系列標(biāo)準(zhǔn)、重點行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)標(biāo)準(zhǔn)的保護(hù)體系。

但是，目前我國《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》自2017 年征求意見稿以來仍未正式發(fā)布、關(guān)鍵信息基礎(chǔ)設(shè)施安全系列標(biāo)準(zhǔn)的制定與發(fā)布周期較長，期間可能存在安全保護(hù)的空檔期；政府職能部門、科研機構(gòu)、教育機構(gòu)、骨干企業(yè)、測評機構(gòu)之間在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系的協(xié)調(diào)配合不夠流暢，可能對安全事件的響應(yīng)不夠精準(zhǔn)及時。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)需要人、技術(shù)、管理的全方位保障與協(xié)調(diào)，我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)仍然存在重技術(shù)、輕人員和管理的問題，與人和管理相關(guān)的安全事件占比仍然較高。

針對我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)現(xiàn)狀，結(jié)合美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)經(jīng)驗提出以下啟示建議：

（1）借鑒美國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)體系規(guī)范，自頂向下、逐層細(xì)化。

（2）廣泛征求行業(yè)骨干企業(yè)、重要學(xué)術(shù)機構(gòu)、著名教育機構(gòu)、政府職能部門、權(quán)威測評機構(gòu)等的綜合意見，激勵各方積極參與、形成標(biāo)準(zhǔn)體系，提高關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的影響力和權(quán)威性。

（3）選取電力、能源等重點行業(yè)進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)實施案例分析，帶動其他行業(yè)進(jìn)行網(wǎng)絡(luò)安全系統(tǒng)防護(hù)。

（4）通過網(wǎng)絡(luò)安全測評、動態(tài)演練、逐步優(yōu)化，提升關(guān)鍵信息基礎(chǔ)設(shè)施動態(tài)防護(hù)水平。

（5）加強網(wǎng)絡(luò)安全人才教育與培訓(xùn)考核，提升關(guān)鍵信息基礎(chǔ)設(shè)施人才技術(shù)與管理能力。

5 結(jié) 語

為了加強我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，本文研究了美國網(wǎng)絡(luò)安全框架以及C2M2 模型的組織結(jié)構(gòu)與實施步驟。按自頂向下方法，從網(wǎng)絡(luò)安全框架到其擴(kuò)展的C2M2 評估模型，再到電力行業(yè)實施進(jìn)行了分析。最后從目標(biāo)、實施、映射三個方面對采用網(wǎng)絡(luò)安全框架和C2M2 模型保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，總結(jié)如下：

（1）目標(biāo)

網(wǎng)絡(luò)安全框架的目標(biāo)是構(gòu)建適用于各領(lǐng)域網(wǎng)絡(luò)安全風(fēng)險管控治理的通用描述方法，確保可擴(kuò)展性與技術(shù)創(chuàng)新，希望各行業(yè)在實際應(yīng)用中自愿采納的技術(shù)標(biāo)準(zhǔn)和參考規(guī)范。

C2M2 模型的目標(biāo)則是幫助所在部門和組織評估并改進(jìn)其網(wǎng)絡(luò)安全規(guī)劃，增強其網(wǎng)絡(luò)安全運營彈性。重點在于信息技術(shù)、運營技術(shù)以及運行環(huán)境相關(guān)的網(wǎng)絡(luò)安全實踐風(fēng)險管理。

（2）實施

網(wǎng)絡(luò)安全框架是一個指導(dǎo)性參考架構(gòu)，在具體實施過程中，不同組織完全可根據(jù)自身需求來確定網(wǎng)絡(luò)安全防護(hù)措施，根據(jù)自身特定的網(wǎng)絡(luò)安全需求，從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)現(xiàn)狀、軟硬件綜合配置、安全防護(hù)成本等綜合考慮，根據(jù)相關(guān)法律法規(guī)采用適合的網(wǎng)絡(luò)安全防護(hù)強度，并依據(jù)法律法規(guī)承擔(dān)相應(yīng)的主體責(zé)任。

C2M2 提供的是描述性而非指導(dǎo)性的指導(dǎo)。模型內(nèi)容以較高的抽象級別呈現(xiàn)，因此可以由各種類型、結(jié)構(gòu)、規(guī)模和行業(yè)的組織機構(gòu)使用。每個行業(yè)均可廣泛使用該模型對該行業(yè)網(wǎng)絡(luò)安全能力進(jìn)行基準(zhǔn)測試。

針對我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)現(xiàn)狀，應(yīng)依據(jù)我國《中華人民共和國網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定，加強網(wǎng)絡(luò)安全等級和關(guān)鍵信息基礎(chǔ)設(shè)施雙重保護(hù)。

（3）映射

《能源行業(yè)網(wǎng)絡(luò)安全框架實施指南》詳細(xì)論述了C2M2 如何映射到網(wǎng)絡(luò)安全框架，包括七個步驟的映射關(guān)系。C2M2 推薦的實施步驟映射到網(wǎng)絡(luò)安全框架的七個實施步驟，有助于各種類型和規(guī)模的組織通過C2M2 模型來實施網(wǎng)絡(luò)安全框架，評估并改進(jìn)行業(yè)自身的網(wǎng)絡(luò)安全狀況。

針對我國能源和電力等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)現(xiàn)狀，應(yīng)通過《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)系列標(biāo)準(zhǔn)、重點行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)標(biāo)準(zhǔn)等構(gòu)建自上而下、逐級映射的關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，維護(hù)國家網(wǎng)絡(luò)空間安全與主權(quán)。