浅谈美国《提升关键基础设施网络安全框架》

2015-08-07国家信息技术安全研究中心赵艳玲

信息安全与通信保密 2015年5期

国家信息技术安全研究中心赵艳玲

国家信息技术安全研究中心赵艳玲

《提升关键基础设施网络安全框架》是美国白宫发布的一份最新的网络安全指导性文件，由美国国家标准和技术局制定。该框架推出了一整套帮助政府机构和私营部门解决关键基础设施网络安全风险的标准和程序，为美国完善和建立更深入的网络安全标准建立了基础，为政府机构和私营部门共享有关网络威胁的信息和保护个人隐私提供了指南。本文简要介绍了框架出台的背景以及涵盖的主要内容，分析和总结了框架呈现的主要特点，阐述了框架带给我们的思考。

一、出台背景

2014年2月12日，美国白宫发布了《提升关键基础设施网络安全框架（1.0版）》（以下简称《框架》）。该框架是应奥巴马总统签署的题为《提升关键基础设施网络安全》第13636号行政命令的要求制定的，是进一步强化美国联邦政府和私营部门合作以提升关键基础设施网络安全的指导性文件，是美国政府加强网络安全的又一重要举措。

《框架》的出台除与全球严峻的网络安全形势和美国国家网络空间安全总体发展战略密切相关外，以下几个方面亦是美国政府重要考量的直接因素。一是美国近年来反复强调其关键基础设施网络安全受到严重威胁。2013年2月，《华盛顿邮报》爆出美国多家情报机构发布的 “美国国家情报评估报告”，其中描述了过去5年里美国在能源、金融、信息技术、航天以及汽车制造业等关键基础设施领域遭受了黑客的严重攻击。一些专家说，网络间谍对美国经济造成的损失可能占到美国GDP的0.1%到0.5%。这使得原本被政府、情报和军事部门更为关注的网络攻击，已越来越成为美国经济利益的直接威胁。二是一些专家认为，美国关键基础设施都是在未考虑到有潜在网络攻击时设计的，因而是非常陈旧和不安全的。三是美国政府与私营部门的合作一直存在着障碍。如私营部门不愿向政府透露敏感或专有商业信息，共享信息可能损害公司利益或引发新的管制和责任，政府为保护情报来源和方法会限制信息共享。尤其是斯诺登事件使得私营部门对联邦政府的信任进一步下滑。四是网络安全立法在国会受阻。奥巴马一直呼吁国会就网络安全立法，希望通过立法的方式给予政府机构更多权力处理私营部门的网络安全问题；对关键基础设施执行最低安全标准，应对来自其他国家的大规模网络间谍和攻击行为；鼓励政府与民间领域共享获得的机密网络威胁信息，同时保护隐私。但国会始终未达成共识，认为提出网络安全最低标准对于企业负担太重，一些内容会涉嫌侵犯美国公民和企业隐私。正因为立法受阻，而国家关键基础设施网络安全风险日益增加。这一切都促使奥巴马政府必须寻求应对网络间谍和攻击行动、保护美国经济利益的新办法。

2013年2月12日，奥巴马签署了《提升关键基础设施网络安全》13636号行政命令，旨在提高美国保护关键基础设施免受网络攻击的能力，提高美国政府与运营关键基础设施的私营部门之间的信息共享能力。该行政令责成美国国家标准和技术局（NIST）与关键基础设施运营商共同制定一个推动网络安全的实践框架。要求框架包含一套标准、方法、步骤、机制以及应对网络安全风险的技术手段。与此同时，该行政令规定了建立“网络安全框架”的具体时间表以及“网络安全框架”对隐私状况影响的评估报告。从某种意义上说，奥巴马发布这个命令似乎只是一个权宜之计，他试图通过行政手段促进美国关键基础设施网络安全建设的良性发展，最终还是希望通过国会立法解决根本问题。

在新的政令之下，美国NIST与政府相关机构以及私营部门积极合作，就框架大纲和核心内容进行了反复酝酿研讨，做了大量的工作，历时一年完成了《框架》的制定和发布，推出了一整套帮助政府机构和私营部门解决网络安全风险的自愿执行的标准和程序。可以说，《框架》的出台向关键基础设施网络安全立法和标准化迈出了一大步。

二、主要内容

《提升关键基础设施网络安全框架（1.0版）》文件长达41页，包括执行摘要、第一章至第三章、附录A至附录C。执行摘要和第一章对为什么制定这样一个框架进行了说明。第二章详细描述了框架的三个重要组成部分。第三章介绍了如何使用网络安全框架。附录A以表格形式给出了核心框架的功能、类别、子类别和参照标准文件。附录B 和C列出了文中的术语和缩略语。

下面简要介绍《框架》的三个重要组成部分：框架核心、框架实施层和框架配套方案。

（一）框架核心

框架核心提供了一组常见的网络安全活动，期望的结果以及适用于各关键基础设施部门的通用参照标准文件。提出了行业标准、指导方针和做法，允许从管理层面到实施/运营层面进行跨组织的网络安全活动和成果交流。框架核心含有四个元素：功能、类别、子类别和参照标准文件。

框架核心确定了所有关键基础设施实体应具备的五种基本能力：识别、保护、检测、响应、恢复。在每个功能下又确定了相关主要类别和子类别，共包含22个主类别，细分为98个子类。每个子类都配以实例参照标准，例如现有的关键基础设施部门之间通用的标准、指南和实践。五种能力定义如下：

识别——开发该组织对系统、资产、数据和能力的网络安全风险管理的认知。使组织能够集中和优先考虑与其风险管理策略和业务需求相一致的方案。识别功能是框架有效使用的基础。其主要类别包括：资产管理、企业环境、业务管理、风险评估和风险管理策略。

保护——制定并实施相应的保障措施，确保提供关键基础设施服务。保护功能支持限制或控制潜在的网络安全事件影响的能力。其主要类别包括：访问控制、意识和培训、数据安全、信息保护进程和程序、维护和防护技术。

检测——制定并实施相应的活动，及时查明发生的网络安全事件。主要包括：异常现象和事件、持续安全监控和检测进程。

响应——制定并实施适当的活动，对检测到的网络安全事件采取行动。响应功能具有控制一个潜在网络安全事件影响的能力。其主要类别包括：响应计划、沟通、分析、减灾和改进。

恢复——制定并实施适当的活动，及时恢复到正常的运行，减轻网络安全事件的影响。主要包括：恢复规划、改进和沟通。

上述五种能力可帮助各机构认知网络安全风险，进行风险管理决策。这五种能力是不可或缺和相辅相成的，以解决动态网络安全风险。

（二）框架实施层

框架实施层为各组织提供了如何看待网络安全风险和管理网络风险的指导，提供了一种对其整体网络安全性能进行分类的方法。这部分按照框架执行情况分为四个层级。这些层级描述了一个组织的网络安全风险管理实践的等级，等级取决于该组织的网络安全风险管理实践所表现出的特征，《框架》对特征进行了定义，如风险和威胁感知、可重复和自适应。

四个层级从第一层的部分具备到第四层的自动适应，描述了网络安全风险管理实践严格递增的程度。风险管理因素包括网络安全的许多方面，如个人隐私和公民自由等都反映一个组织的网络安全风险管理和潜在风险应对的水平。

层级的选择要考虑一个组织目前的风险管理措施、威胁环境、法律和监管规定，业务/任务目标和组织约束。组织应确定希望的层级，确保所选择的级别符合组织的目标，是可实施的，并可降低重要资产和资源的网络安全风险，达到组织可接受的水平。组织还应考虑利用来自联邦政府部门、信息共享和分析中心、现有的成熟模型或其他来源获得的外部指导，以帮助确定自己想要的层级。当改变层级可降低网络安全风险和成本时，鼓励进入更高层级。框架成功实施的基础是组织目标配置文件中描述的确定项目的达成情况，而不取决于层级。

各层定义如下：

第一层：部分具备——网络安全风险管理实践是特设的；对网络安全风险和认知有限；参与外部实体（例如，信息共享和分析中心）的能力有限。

第二层：熟知风险——网络安全风险管理实践是经管理层批准的；网络安全风险意识较强，但与整个组织风险管理方法还不相适应；外部交互能力还不够健全。

第三层：符合标准——网络安全风险管理实践被正式批准，并作为政策执行，定期更新；有全组织范围的方法来管理网络安全风险，人员具备履行指定角色和责任的知识和技能；能与外部合作伙伴共享信息。

第四层：自动适应——网络安全风险管理实践能根据不断变化的网络安全环境进行完善和更新；网络安全风险管理成为组织文化的一部分，并根据过去以及持续的系统与网络活动不断提高认识；能积极与合作伙伴共享信息，确保在网络安全事件发生之前改进网络安全。

（三）框架配套方案

框架配套方案指导如何整合核心功能与网络安全风险管理策略或计划。框架配套方案要与框架核心执行的标准、指南和实践相一致。换言之，框架配套方案要与各组织的业务需求、风险承受能力和资源相关的功能、类别和子类别相结合，反映一个实体跨框架核心各种元素的执行情况。在制定配套方案时，各组织可参照框架核心所列类别和子类别，并根据业务需求和风险评估，确定哪些是最重要的，为解决各组织面临的风险，也可视情增加类别和子类别。一个组织根据自身需要也可以选择多个配套方案。《框架》没有规定配套方案范本，允许灵活实施。

框架配套方案应反映特定网络安全活动的当前状态或希望的目标状态。当前配套方案呈现目前正在取得的网络安全成果。目标配套方案呈现希望的网络安全风险管理目标所要实现的结果。比较当前配套方案和目标配套方案，可暴露问题，以符合网络安全风险管理目标。

三、主要特点

（一）《框架》采取自愿但鼓励执行的原则

白宫在发布《框架》时，强调这是一个供美国政府、企业，或国外企业自愿采用的框架。但从美国政府的作为还是可以看出其强烈推行的愿望。13636号行政命令指示国土安全部制定一个自愿计划，并通过专管部门 (SSA)协调，使关键基础设施的业主和经营者以及任何其他相关实体支持网络安全框架的采用。为此，国土安全部制定了关键基础设施网络共同体自愿计划（Critical Infrastructure Cyber Community （C³）Voluntary Program），以配合《框架》的发布。该计划的目的是：1）支持行业提高其网络抗压能力；2）提高对《框架》的认识和使用的积极性；3）鼓励组织将网络安全管理作为企业风险管理的一部分。国土安全部称，C³自愿计划第一年的重点是与SSA和各组织接触，就如何实施《框架》制定指导方针。在C³自愿计划的稍后阶段将计划覆盖到所有关键基础设施和有兴趣使用《框架》的各种规模的企业。政府现正在积极谋划采取一些奖励措施，鼓励跨金融、通信、化工、运输、医疗保健、能源、水、国防、食品、农业和其他关键基础设施部门执行和遵守《框架》标准。

（二）《框架》成为政府和私营部门加强合作的范例

美国有85%以上的关键基础设施属于私营部门，在共享关键基础设施信息方面，美国政府一直更多地强调私营部门要向政府机构及时提供网络威胁情况，而私营部门不愿意参与以往只是对政府单向透明的信息共享计划。如前述，此次《框架》的制定是政府多个机构与数以百计的企业通力合作完成的，在制定过程中，进行了反复的意见征询和公众评审，最大程度地包含了自愿性共识标准和行业的最佳实践，适用于跨部门开展合作。特别是建立了将政府掌握的有关涉密信息在符合保密规定的前提下提供给私营部门的机制。奥巴马在《框架》发布会上说：“这个自愿框架是政府与私营部门紧密合作，应对共同挑战的一个很好的范例。”奥巴马将《框架》的发布称作一个新的转折点，“通过该框架，美国政府部门与私营企业可以联手加强关键基础设施的网络安全与适应性。”目前，不仅政府保有积极性，一些私营部门也逐渐意识到日益加剧的网络安全风险，也表示愿意采纳该《框架》以保护自己的网络。

（三）《框架》寻求保护网络安全与保护隐私之间的平衡

《框架》就隐私与公民自由问题提出了指导方针，力求通过政府和私营部门之间的合作，找到一种方法，既能保护个人隐私和公民自由，又能以最佳成本管理关键基础设施网络安全风险。《框架》强调了政府有责任在网络安全活动中保护公民自由。联邦政府以及拥有或运营关键基础设施的机构，在网络安全活动中应遵守适用的隐私法律、法规和宪法要求。《框架》还提供了保护个人隐私和公民自由的方法，以及一般注意事项和流程；描述了风险管理活动中涉及个人隐私的一般类别，在这些类别中，标识出一个实体为保护个人隐私会采取的措施。对于网络安全活动可能导致的个人隐私和公民自由的影响，《框架》也给出了忠告。

（四）《框架》试图成为国际通用的标准

为达到标准化和可扩展性，《框架》吸纳了全球现有的安全标准、指南和做法，建立了讨论网络安全的通用语言，重点放在风险管理，是技术中立的，不局限于特定行业、特定国家，这将方便关键基础设施服务的相关者之间对网络安全需求的沟通，有力推动关键基础设施的网络安全标准化，更好地达成国际合作。

（五）《框架》注重可操作易实施

《框架》条块明晰具体，对其三个重要组成部分做了详细的描述，如五种能力、四个层级都给出了严格的定义，采用表格形式给出每种能力对应的具体类别、子类别以及参照标准，使各组织可直接对照使用。文件还专设章节就如何使用《框架》提出了指导性意见，并考虑到不同组织的业务需求和网络环境的差异，给出了具体的建议和可操作的方法。如一个组织可通过创建一个当前配套方案，将其现行的网络安全做法与框架核心概述的活动进行比较，检查和确定是否需要改进和加强现有的网络安全实践。文中还就创建一个新的网络安全方案或改进现有方案给出了具体步骤。

（六）《框架》留有弹性空间以达高度普适性

文中强调《框架》制定的目的是对一个组织的风险管理流程和网络安全方案进行补充，而不是取代，希望以此获得私营部门对《框架》的认可和支持。关键基础设施运营商可弹性使用《框架》，根据自身业务要求和技术发展裁剪定制，可及时吸纳新的或修订的标准、准则或做法，有助于组织满足新的需求，也有利于技术创新，从而满足市场需求的发展。

（七）《框架》是不断发展的活文件

美国政府表示，《框架》的出台只是第一步，《框架》是一种灵活、高度适应性强的文件，会随着利益相关团体在执行过程中的技术和网络风险变化情况不断改进，并且将开发创新工具来应对这些威胁。NIST还为改善关键基础设施网络安全发布了一份路线图。该路线图指出《框架》是“活的文件”，将不断修改和更新。NIST拟开发《框架》2.0版，最终可能将《框架》的开发责任移交给非政府组织。

四、几点启示

2014年2月27日，中央网络安全和信息化领导小组宣告成立，习近平亲自担任组长，这充分体现了我国在保障网络安全、维护国家利益、推动信息化发展方面的决心，是向形成网络安全和信息化国家战略迈出的重要一步。

但我们必须清醒地认识到，中国网络安全面临的形势和挑战日益复杂和多元。从国家安全的层面看，有针对性的网络安全事件日益增多，对经济和社会影响进一步加深，国家级网络安全风险随时都可能爆发。从个人信息安全的层面看，随着云计算、物联网、大数据、移动互联网等新兴技术的日趋普及，侵犯个人隐私、损害公民合法权益等违法行为时有发生。然而，目前我国还缺乏国家层面上统一的网络协调和管理；现有的条块管理体制造成政府、军队、企业网络安全管理多头并行的局面，机构分散、业务重复交叉、管理出现断档漏洞等问题日益凸显。习近平总书记在对中共十八届三中全会《决定》的说明中明确表示：“面对互联网技术和应用飞速发展，现行管理体制存在明显弊端，多头管理、职能交叉、权责不一、效率不高。同时，随着互联网媒体属性越来越强，网上媒体管理和产业管理远远跟不上形势发展。”

美国是世界上最早建立和使用计算机网络的国家，在世界网络运用方面可谓独领风骚。正是其社会的运转对计算机网络的严重依赖，使得美国高度重视网络安全问题，先于其他国家在网络空间安全领域采取了一系列重要举措，加之所具有的得天独厚的计算机领域的技术优势，进一步提升了美国在网络时代的霸主地位。此次出台的《提升关键基础设施网络安全框架（1.0版）》强调了美国的国家安全和经济安全取决于关键基础设施的可靠运行。再次说明了美国全方位、多领域、自上而下的一体化网络空间安全战略。美国的一些做法或许值得我们很好的思考和借鉴。

（一）高度重视国家关键基础设施的网络安全

在美国网络安全领域的发展进程中，关键基础设施网络安全始终是历届政府高度重视的领域。1998年5月22日，克林顿总统发布了题为《关键基础设施保护》的第63号令，明确了以关键基础设施防护为中心的国家政策，首次强调了政府与民间的国家整体防护体系。“9.11”事件后，布什政府将防御美国的关键基础设施免遭攻击作为高优先任务，并于2001年10月16日发布了第13231号总统令《信息时代的关键基础设施保护》，要求设立总统网络安全顾问，建立总统关键基础设施保护委员会。2003年12月17日，布什又发布关于国家安全的第7号行政令《关键基础设施标识、优先级和保护》，为政府各部门和机构确定了保护关键基础设施免遭恐怖主义攻击的国家政策与努力方向，明确了国土安全部等17个机构的任务和职责。奥巴马时代对国家网络安全发展战略进行了重大调整，对关键基础设施的网络安全倍加关注。他强调：美国的经济繁荣、国家安全以及个人自由都依赖于开放、互通、安全、可靠的互联网，但美国的关键基础设施持续面临来自网络空间的威胁，“美国经济也被知识产权的偷窃行为所伤害”。正如前述，奥巴马积极呼吁国会立法，签署行政命令，责成制定关键基础设施网络安全框架，这一切充分说明了美国政府正全方位加强网络空间安全。“如果敌方发动网络攻击使我们的国家电网系统、金融系统、政府系统瘫痪，我们国家也就瘫痪了。”美国国防部长的这一警示很好诠释了当局对关键基础设施网络安全的高度认知。

中国是世界上互联网用户数量最多的国家，目前用户已经超过六亿。我们已是网络使用的大国，但还不是网络安全的强国。特别是在关乎国家命脉、人民利益的关键基础设施已经网络化的今天，我们必须不断强化对关键基础设施网络安全的高度认知，把提高关键基础设施网络安全视为维护国家利益，保证国家安全的重要组成部分。要将政府、军事、关键基础设施的网络安全问题统筹考量，加强宏观谋划和顶层设计。

（二）积极制定保护关键基础设施网络安全的法律法规

在美国，网络安全的法律保障是滞后的，这与政府受国会制约的国情密切相关。自2002年以来，美国国会没有通过一部综合性的网络安全法律，也没有形成网络安全立法的基本框架。正如前述，奥巴马在《框架》发布的同时再次敦促国会推进网络安全立法，他声称政府将继续采取行政手段，依据现有的权力保护国家免受网络安全威胁。但网络安全问题是一带有全局性、战略性和长远性的重大问题，法律保障不跟上，奥巴马政府仅靠行政命令也只是权宜之计。如《框架》作为一份自愿性的文件，要想获得业界大力支持，需要有税收优惠、事后追责等方面的法律支持，而这些都得通过美国国会进行立法。另外，美国至今都没有从法律层面明确关键基础设施的内涵。2003年布什政府将关键基础设施定为12个类别，包括农业、食品、水、公共卫生、紧急事件处置、国防基础工业、信息与电信、能源、运输、银行与财政、化工与危险品、邮电和货运等部门。奥巴马上任后，美国国土安全部将关键基础设施扩大到18个。美国智库则建议关键基础设施主要包括电力、金融、信息集成与通信、政府部门4类。

根据我国国情和所面临的网络安全空前严峻的形势，政府应积极将制定保护关键基础设施网络安全的法律和法规提上议事日程，成立专门机构进行先期调查和深入研究，出台国家级的网络安全法。首先，通过立法界定我国关键基础设施的内涵，明确哪些领域属于国家关键基础设施；明确哪些机构和企业涉及国家关键基础设施。其次，通过立法授予政府相关部门管理国家关键基础设施网络安全的权力，推进关键基础设施利益相关团体（如政府机构、军事单位、民间企业）之间共享网络安全威胁信息。第三，通过立法构建一个干净、可信的网络空间。

（三）尽快建立顶层总揽的关键基础设施网络安全管理架构

美国“总统保护关键基础设施办公室”是一行政实体，由总统直接授权，代表政府全面负责国家的网络空间安全工作。

我国也应尽快建立健全关键基础设施网络安全各级联动的管理体制，设立国家级的关键基础设施网络安全主管机构，对关键基础设施网络安全进行统筹规划和全盘管理，指导和协调各相关部门对国家关键基础设施网络安全现状进行定期和全面的评估，提出切实可行的具体措施，共同应对网络威胁和风险，构建安全可信的网络环境。

（四）积极构筑政府与业界的联合互信关系

美国在网络空间安全发展方面非常注重与业界的合作。拥有许多政府和军方合同商，通过他们将国内最先进的网络安全技术集成用于国家关键基础设施、政府要害部门以及军方核心位置，以保障网络空间的绝对安全。与此同时，美国政府也一直致力于建立与私营部门之间的伙伴关系，此次《框架》的一个核心目标就是在政府与私营部门之间建立信任和联系。奥巴马政府认为互信是在国内外推进网络安全建设和合作成功的基础。

借鉴美国的做法，加强政府部门、军队相关单位以及业界的合作，建立新的体制，实现优势互补、融合发展。特别是我国关键基础设施相关机构和企业呈多元化，涉及国企、民企、外企和合资企业，积极出台支持企业发展的政策，让他们成为技术创新的主体，成为信息产业发展的主体，成为维护网络安全的重要组成部分。

（五）大力加强网络安全技术的自主创新和风险评估

美国具有在全球实施信息制裁的技术条件，掌握了绝对的霸权。自互联网诞生以来，网络域名与地址的监管便由美国掌控。另外，美国政府掌握着信息领域的核心技术，操作系统、数据库、网路交换机的核心技术基本掌握在美国企业的手中。目前，在技术上美国对于互联网还具有绝对控制能力。

我国现在还处于网络技术的借鉴应用阶段，网络领域的核心技术对美国的依存度很高，这就造成了国家关键基础设施网络和重要的信息系统存在着较为严重的安全隐患。因此，构建自主可信的国家网络安全防护体系势在必行。首先，要积极借鉴美国等国家网络空间先进技术和应用的发展，例如，美国政府近年来提出了 “改变游戏规则”的五大类革命性技术，充分反映了美国网络安全观的转变，我们应深入研究美国在网络安全方面的新理念、新思路和新技术，尽快实现我国网络技术的自主与创新，突破核心技术，探索从根本上解决网络空间安全问题的途径。其次，鉴于我国目前许多关键基础设施网络和系统还不能实现技术自主，因此，要建全国家级的风险评估和应急处理机制，实施网络安全风险评估、筛查和预警，完善危机处理预案。