NIST关键基础设施网络安全改进框架介绍

谢宗晓（南开大学商学院）

董坤祥（山东财经大学管理科学与工程学院）

张菡（中国铁路总公司运输局）

本刊特约

NIST关键基础设施网络安全改进框架介绍

谢宗晓（南开大学商学院）

董坤祥（山东财经大学管理科学与工程学院）

张菡（中国铁路总公司运输局）

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文55篇，出版专著12本。

信息安全管理系列之二十八

基于美国总统令EO 13636，NIST于2014年发布了《关键基础设施网络安全改进框架》，这个报告不但给出了网络空间安全管理的框架，而且与ISO/IEC 27001：2013等标准中具体的安全控制建立了映射关系。由于目前国内尚没有相应的指导文件，因此下文中对其进行了简要的介绍。

谢宗晓（特约编辑）

《关键基础设施网络安全改进框架》以风险管理为基础，建立了一个基于识别、保护、检测、响应和恢复为主要步骤的网络空间安全管理的框架。论文对该报告从应用的角度进行了解读。

网络安全 网络空间安全 信息安全 关键基础设施

1 概述

《关键基础设施网络安全改进框架》（Framework for Improving Critical Infrastructure Cybersecurity）1）全文下载地址：http://www.nist.gov/cyberframework/。由NIST2）美国国家标准与技术研究院（National Institute of Standards and Technology，NIST），https://www.nist.gov/。发布于2014年2月12日，主要是为了响应2013年2月12日奥巴马总统签署的总统令（Executive Order，EO）13636，标题为：Improving Critical Infrastructure Cybersecurity。

《关键基础设施网络安全改进框架》提出了一个基于风险的网络空间安全管理的框架，其中包括识别（Identity）、保护（Protect）、检测（Detect）、响应（Respond）和恢复（Recover）。但是并没有重新设计具体的安全控制，而是直接与已有的标准/报告进行了映射，如表1所示。

表1 《关键基础设施网络安全改进框架》引用控制措施的标准/报告

2 框架

《关键基础设施网络安全改进框架》提供了实现特定网络空间安全结果的行动集合，以及指导实现这些结果的参考案例。如上文所述，核心框架不是执行清单，而是代表了行业内的关键网络空间安全结果，以帮助管理网络空间安全风险。

核心框架包括四个要素：功能、分类、子分类和参考信息，要素的作用描述如下：

1）功能，即网络空间安全基础活动的最高等级。这些功能包括识别、保护、检测、响应和恢复。其帮助组织以组织信息、风险管理决策、处理威胁和先前活动的干中学等方式，表述组织的网络空间安全风险管理。这些功能也可与现有的方法论结合用户事件管理，以及呈现网络空间安全投资的影响。例如，投资计划、及时响应性演习、恢复活动和减少服务传递中结果的影响。

2）分类，即将功能的细分与功能需求和特定活动相关的网络空间安全结果聚簇。例如，分类包括资产管理、访问控制和检测流程等。

3）子分类，即将分类进一步细分为技术或管理活动的特定结果。子分类提供并不详尽的结果集，以帮助实现每个分类的结果。例如，子分类包括外部信息系统的分类、静态数据的保护和检测系统通报结果调查等。

4）参考信息，即标准、指南和通用实践的特定条款或活动。核心框架的参考信息是跨部门实践指南中那些最为常用的标准、指南或通用实践。因此，核心框架的参考信息不是详尽描述而是举例说明。

功能、分类、子分类和参考信息，具体如表2所示，限于篇幅，子分类和参考信息请参考文后的参考文献[1]。

表2 网络安全技术

3 应用

《关键基础设施网络安全改进框架》概要是功能、分类和子分类与企业要求、风险容限和组织资源一一对应的要求性文件。概要促使组织在考虑组织和部门目标、法律/法规要求、企业最佳实践和风险管理优先次序的基础上，建立减少网络空间安全风险的路线图。考虑到许多组织的复杂性，组织可以选择多个概要文件，并与特定实践相结合，以实现组织的个性化需求。

框架概要可用于描述特定网络空间安全活动的当前状态或期望目标。当前概要文件描述了目前已经实现的网络安全结果。目标概要文件描述了网络安全的结果要达到的期望网络空间安全风险管理的目标。概要支持业务/任务的要求，并支持组织内和组织间的风险沟通。框架概要文件并没有特定的模板，其允许在实施过程中根据需要灵活形成。

通过比较不同的概要（如当前概要和目标概要），可以明确为了满足网络安全风险管理目标还存在的差距。组织可以使用路线图来制定相应的行动计划，以缩小这些差距。其中，缩小这些差距的优先次序是由组织的业务需求和风险管理流程决定的。这种基于风险的方法可以保证组织根据已有资源（如员工、资金等），在成本效益和优先级的基础上，达到组织要求的网络空间安全目标。

图1描述了组织在战略层、业务层和职能层三个不同层次的信息和决策过程。战略层决定了任务的优先级、可获得的资源和业务层的风险容限。业务层将相关信息输入风险管理过程，然后与职能层共同决定业务要求并形成概要文件。职能层向业务层传达概要的实施情况，并根据实施情况形成评估报告。职能层向战略层报告影响结果，以及组织的整个风险管理流程，并向业务层报告对业务的影响。

图1 组织内信息和决策流程图

4 小结

《关键基础设施网络安全改进框架》中建立了一个“识别、保护、检测、响应和恢复”的管理闭环，印证了ITU-T X.1205中对“信息安全”和“网络安全（cybersecurity）”之间异同的分析[2][3]，即网络空间安全中CIA（confidentiality, integrity and availability）的排列顺序为“可用性（A）”“完整性（I）”和“机密性（C）”，而信息安全中排列的顺序为“机密性（C）”“完整性（I）”和“可用性（A）”。

[1]谢宗晓，甄杰，董坤祥，等. 网络空间安全管理[M]. 北京：中国质检出版社/中国标准出版社，2016.

[2]谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J]. 中国标准导报，2015（12）：30-32.

[3]谢宗晓. 关于网络空间(cyberspace)及其相关词汇的再解析[J]. 中国标准导报, 2016（02）：26-28.

Introduction of NIST Framework for Improving Critical Infrastructure Cybersecurity

Xie Zongxiao ( Business School, Nankai University )
Dong Kunxiang ( School of Management Science and Engineering, Shandong University of Finance and Economics )
Zhang Han ( Transportation Bureau of China Railway )

Based on risk management, Framework for Improving Critical Infrastructure Cybersecurity established a cyberspace security management framework, including Identity, Protect, Detect, Respond and Recover. This paper explains the report from the perspective of implementation.

cybersecurity, cyberspace security, information security, critical infrastructure