兰德公司于2018年8月发布报告《发展网络安全能力-基于概念验证的实施指南》(Developing Cybersecurity Capacity- A proof-of concept implementation guide),旨在促进国家级网络安全能力建设计划以及整体政策和投资战略的制定,以应对网络领域的挑战。现由学术plus编译全文,仅供学习参考。
本文《发展网络安全能力(三) 构建关键的信息基础设施(CII)的6个步骤 》针对国家网络安全能力成熟度模型中第一维度“网络安全政策与战略”中“关键基础设施保护”因素进行深入分析。本节讨论了许多有助于提高关键的信息基础设施(CII)安全性的步骤,旨在提高关键基础设施(CI)的保护和恢复能力。
发展网络安全能力
Developing Cybersecurity Capacity
(三)
构建关键的信息基础设施(CII)的6个步骤
编译:学术plus
原载:https://www.rand.org
关键基础设施(CI),也被称为关键国家基础设施(CNI),定义为维持重要的社会职能(包括健康、安全、安全保障、经济和社会福利)所必需的资产和系统。关键基础设施被破坏或毁坏必然会对社会产生重大影响。包括能源部门(电力、石油、天然气)、运输网络(公路、铁路、航空、内河航道和公海航道)、电信基础设施、金融系统、废物和饮用水系统、化学和核工业、紧急服务、军事和安全服务、民政和政府服务。
关键基础设施(CI)中信息和通信系统的集成和依赖通常被称为关键的信息基础设施(CII)。关键的信息基础设施(CII)被定义为对关键基础设施(CI)的运转至关重要的信息和(远程)通信基础设施。更具体地说,关键的信息基础设施既包括在特定的关键基础设施部门或供应商使用的内部信息和通信系统,也包括更广泛的关键信息和通信基础设施,比如,互联网和移动电话网络。
如果关键的信息基础设施(CII)被破坏或毁坏,那么关键基础设施(CI)也会被破坏。这反过来可能会对重要的社会职能产生一连串负面效应。如下图1.4所示。关键的信息基础设施面临着许多威胁,包括黑客主义、网络犯罪、网络间谍和国家启动的网络攻击。它可能存在一系列漏洞,包括软件缺陷、人为错误和外部干扰。
黑客主义和网络犯罪的攻击通常更频繁,但不那么复杂,影响也不那么严重。它们通常包括拒绝服务(DoS)攻击、丑化网站、窃取和发布敏感信息、在线欺骗和在线欺诈。这可能会对关键基础设施造成经济损失和破坏,尽管损害往往很小。相比之下,网络间谍和网络战争攻击通常不那么频繁,但对关键基础设施的影响可能非常严重。特别是,国家启动的攻击或来自重要的非国家行为者的攻击,涉及侵入另一个国家的计算机和网络,意图破坏或摧毁,可能导致对关键基础设施的大规模干扰,立即造成经济损失,并中断必要的社会服务。网络间谍活动可能导致机密信息的丢失,这通常对关键基础设施的安全构成间接但重大的威胁。换句话说,网络间谍活动本身并不打算破坏关键的信息基础设施,但是个人、经济、军事、政治、商业和关键基础设施信息的损失可以被用来确定和暴露关键基础设施和关键的信息基础设施(CII)中的漏洞。
资料来源:卢利夫(Luiijf)等人(2016,3)
图1.4:关键的信息基础设施保护(CIIP)表示关键基础设施保护(CIP)与网络安全的重叠部分
本节讨论了许多有助于提高关键的信息基础设施(CII)安全性的步骤,最终目的是为了提高关键基础设施(CI)的保护和恢复能力。方框1.3提供了对这些步骤的概述,这些步骤将在接下来的页面中详细地进行讨论。
方框1.3:构建关键基础设施保护的步骤(D1.3)
Ø 在政府范围内任命任务负责机构。 Ø 确定并让公共部门和私营部门的利益攸关方参与进来。 Ø 识别在审核清单里关键基础设施中的网络漏洞 (包括在供应链中的漏洞),并将该清单分发给相关政府利益攸关方, 根据他们的脆弱性和影响按照优先顺序对资产进行确认。 Ø 为已经确定的关键基础设施制定保护和风险管理策略。 Ø 出台国家关键基础设施资产保护概览计划,注明哪些威胁要集中进行管理,哪些威胁要进行本地化管理;在关键基础设施资产的日常管理中嵌入足够的网络安全风险管理过程、技术解决方案和损害减轻措施。 Ø 促进利益攸关方之间的信任,并为双方的互利合作创造一个有利的环境。 |
构建关键基础设施保护的步骤1
Ø 在政府范围内任命任务负责机构。 |
关键基础设施(CI)IP是一个多机构的活动,涉及政府部门(通信、信息通信技术、经济事务、安全、内阁办公室、司法、国防等)、地区公共机构、监管机构中重要的公共利益攸关方和其他相关公共利益攸关方。此外,与关键基础设施(CI)IP直接相关的私营部门利益攸关方,包括关键基础设施(CI)和关键的信息基础设施(CII)运营商、制造商、系统集成商、第三方维修公司、学术界、研发机构和非政府组织(NGOs)。
爱沙尼亚在2009年通过了一项紧急法案,将职责分配给9个政府部门和公共机构,以维持重要服务的持续运作。这9个部委和机构向内政部的一名中央国家协调员报告。 2009年,法国设立了国家信息系统安全机构-(ANSSI),负责监督关键的信息基础设施保护(CIIP)并向国防和国家安全总秘书处报告。ANSSI能够设定最低的网络安全要求,实施检测和事件通知系统,管理关键基础设施(CI)的网络安全审计,并领导跨政府的危机管理。 在英国,关键的信息基础设施保护(CIIP)战略被纳入国家网络安全战略,这是由国家安全委员会在内阁办公室制定的。内阁办公室在英国政府内部协调关键基础设施保护(CIP),国家网络安全中心(受政府通信总部(GCHQ)管辖)在关键的信息基础设施保护(CIIP)上起主导作用。 |
任务负责机构应协调并对关键的信息基础设施保护(CIIP)负责。这可能包括:
确定关键基础设施(CI)和关键的信息基础设施(CII),以及确定相关关键基础设施(CI)和关键的信息基础设施(CII)利益攸关方;
制定关键基础设施保护(CIP)与关键的信息基础设施保护(CIIP)战略;
协调利益攸关方实施关键基础设施保护(CIP)和关键的信息基础设施保护(CIIP)战略;
监测和改进关键基础设施保护(CIP)和关键的信息基础设施保护(CIIP)战略及其实施;以及促进有关公共部门和私营部门利益攸关方之间的资料共享。
指定任务负责机构的潜在好处可能包括尽量缩短恢复和恢复期间,并促进各利益攸关方之间的共同理解。此外,任务负责机构将能够在具有不同优先级的机构之间进行调解。
为了确保良好的定位,提供战略方向,关键是关键的信息基础设施保护(CIIP)部门必须受到在信息和通信技术方面具有很强资质的领导者的监督,特别是在信息保障方面,而且任务负责机构必须具备管理关键的信息基础设施保护(CIIP)部门与其他利益攸关方(包括私营部门内部)关系所需的谈判技巧。
构建关键基础设施保护的步骤2
Ø 确定并让公共部门和私营部门的利益攸关方参与进来。 |
任务负责机构应定期与所有相关的公共利益攸关方进行接触,并与拥有和/或控制关键基础设施资产的私营部门行动者进行联系。从关键基础设施保护(CIP)和关键的信息基础设施保护(CIIP)的早期阶段开始,重要的是在政府内部采取多机构的方式,在政府之外建立公私伙伴关系(PPPs),并在利益攸关方之间建立有效的信息共享平台。所有相关的利益攸关方的参与不仅为任务负责机构提供对关键基础设施(CI)和关键的信息基础设施(CII)不同部分的治理和所有权的深刻理解,而且对于构建一个所有的利益攸关方一起工作、共享信息并采取适当行动的环境也很重要。减轻关键基础设施(CI)和关键的信息基础设施(CII)面临的许多风险的能力和责任在于众多不同公共部门和私营部门的利益攸关方,如果不让这些利益攸关方充分地参与关键的信息基础设施保护(CIIP)过程,可能会降低任何关键的信息基础设施保护(CIIP)战略的有效性。
首先重要的是要确定公共部门和私营部门的相关利益攸关方。在许多国家,关键基础设施(CI)和关键的信息基础设施(CII)所涉及的利益攸关方是多样且复杂的。
涉及的利益攸关方的范围因国而异,但通常包括: • 关键的信息基础设施保护(CIIP)协调部(例如,内政部、司法部、国防部、总理办公室); • 负责信息通信技术(例如,通信、媒体、信息通信技术)的部门; • 负责具体关键基础设施(CI)的部门(例如,经济事务、能源、卫生健康); • 确定关键基础设施(CI)领域的监管者; • 执法和其他公共机构; • 关键基础设施(CI)和关键的信息基础设施(CII)操作人员/公用事业; • 政策决策者和议会; • 制造商、系统集成商和第三方维护公司; • 跨部门(分支机构)组织; • 计算机安全事件响应小组(CSIRTs); • 国家级网络安全组织; • 学术界和研发机构。 |
一旦确定了利益攸关方,下一步就是在有关各方之间建立接触与合作。例如,在公共部门,这可以通过定期举行圆桌会议,从战略、战术和业务层面讨论关键的信息基础设施保护(CIIP)来建立接触与合作。这些可以包括就治理结构、法律任务和业务协调与合作的程序进行的讨论。这些圆桌讨论以后可能会扩大到包括私营部门的利益攸关方,其目标不仅是在各部门之间有效地委派任务,而且也要建立一种资源共享、信息共享和联合决策的协作环境。
圆桌讨论并不是实现公共部门和私营部门参与的唯一手段,本节的最后一部分中将讨论更多的选择项。
构建关键基础设施保护的步骤3
Ø 识别在审核清单里关键基础设施中的网络漏洞(包括在供应链中的漏洞),并将该清单分发给相关政府利益攸关方, 根据他们的脆弱性和影响按照优先顺序对资产进行确认。 |
在制定关键的信息基础设施保护(CIIP)战略之前,需要采取某些初步的步骤:
• 关键基础设施(CI)的确定;
• 关键的信息基础设施(CII)的确定;
• 风险评估(包括威胁评估、漏洞评估和影响分析)。
尽管关键基础设施(CI)的确定应先于关键的信息基础设施(CII)的确定进行,但这三个步骤不一定需要按这个顺序执行。而且,关于这三个步骤中的每一个都存在有大量的文件。这里只提供了一个简要的概述,这三个步骤中的每一个步骤都应该参考本节末尾列出的文档。
尽管不同国家之间有许多相似之处,但关键基础设施(CI)、关键的信息基础设施(CII)的确定和相关风险评估在每个国家都是独一无二的。应由各个国家进行定制分析。作为指导,首次参与确定其关键基础设施(CI)和关键的信息基础设施(CII)的国家可以参考以下内容: - NIST特别出版物800-37:NIST开发了一个风险管理框架(RMF),以改善信息安全,加强风险管理过程,并鼓励伙伴组织之间的互惠互利。本刊物提供将风险管理框架(RMF)应用于资讯信息系统和机构的指引。 - NIST特别出版物800-39:本文件是NIST一系列信息安全标准和指南的一部分。本标准的目的是为一个综合的、组织范围内的项目提供指导,将该指导提供给组织操作(即,任务、职能、形象和声誉)、组织资产、个人、操作和使用信息系统的其他组织和国家,以便于管理信息安全风险。 |
关键基础设施(CI)的确定
确定关键基础设施(CI)方法多样,包括自底向上方法、使用简单标准和度量指标的自顶向下的分析法,以及开发和使用详细的度量指标的自顶向下分析法。以下给出以下具体的实例供参考。
英国内阁府关键基础设施(CI)临界尺度 英国政府开发了一个临界尺度,为衡量国家基础设施的临界性提供了一个框架。它根据基础设施损失的影响来评估临界性。换句话说,如果某一特定基础设施部门(例如,能源、水或运输网络)中断,a)对服务的提供有什么影响;b)由于丧失这些基本服务而造成的经济影响;c)失去这些服务对生活的影响?“ 影响”本身也可以细分为三个可衡量的因素,即:(一)破坏程度;(二)破坏范围(人口百分比、地理分布);以及(三)中断时期长短。使用这一框架,关键的国家基础设施被定义为得分高于2.5分的基础设施。表1.2概述了基础设施的临界尺度。 |
表1.2:英国基础设施的临界尺度
资料来源:英国内阁办公室适应兰德欧洲公司的情况(2010,25)。
关键的信息基础设施(CII)的确定
在确定关键基础设施(CI)之后,下一个阶段是确定和评估支撑关键基础设施(CI)部门的关键的信息基础设施(CII)。这包括对下列两项的确定:
• 支持每个关键基础设施(CI)部门运作的关键信息、通信和控制系统;
• 跨关键基础设施(CI)部门(比如,互联网、移动电话和卫星网络)使用的关键信息和(远程)通信网络基础设施。
资料来源:卢利夫(Luiijf)等人(2016,29)
图1.5:定义关键的信息基础设施
日本关于关键的信息基础设施保护(CIIP)的基本政策提供了许多跨不同关键基础设施(CI)部门的关键的信息基础设施(CII)示例,如表1.3中所示。
表1.3:日本战略文件中关键的信息基础设施(CII)部门列表
资料来源:日本政府(2015)
风险评估
除了确定关键基础设施(CI)和关键的信息基础设施(CII)之外,对关键的信息基础设施(CII)进行风险评估也是很重要的。风险评估应该确定,并对关键的信息基础设施(CII)面临的风险进行优先排序,并将这些信息传达给相关的利益攸关方。风险本身是一个抽象概念,它结合了概率和潜在影响,但为了进行风险评估,它可以细分为三个领域:威胁、漏洞和影响。风险评估可以包括对这三个领域的评估。
资料来源:欧洲网络与信息安全局(ENISA)(2013,9)
图1.6:国家级风险评估的组成部分
Actors (e.g. Organised crime; Nation state)行动者(例如,有组织的犯罪;民族国家);Hazards (e.g. natural disasters; accidents; failure)危害(例如,自然灾害;事故;故障)。
威胁评估是为了寻求确定攻击行为者的类型、攻击方法和潜在的攻击目标。漏洞评估的目的是发现关键的信息基础设施(CII)安全性中的技术和非技术弱点,这些弱点可能是由于信息基础设施老化、系统过载、软件过时、缺乏维护或与外部网络的互连增加等原因造成的。与上面的临界性评估相类似,影响评估试图从类型(经济、人)和严重程度(程度、范围广度、期限)两方面认识关键的信息基础设施(CII)遭受网络攻击的可能后果。
有几种方法可以用于进行国家级的风险评估。下面的图1.7和图1.8提供了风险概要的两个示例。
资料来源:卢利夫(Luiijf)等人(2016,13)
图1.7:风险概要的示例
Worst case flooding最糟糕的水灾;Deliberate power disruption蓄意的电力中断;Cyber conflict网络冲突;Deliberate ICT disruption of CI蓄意破坏关键基础设施(CI)的信息通信技术(ICT);Internet exchange failure互联网交流失败。
资料来源:英国内阁办公室(2010)
图1.8:风险概要的示例
Criticality of Infrastructure基础设施的临界性;Assessment of Likelihood (a combination of vulnerability & threat)可能性评估(漏洞和威胁的结合);Priority优先级。
构建关键基础设施保护的步骤4
Ø 为已经确定的关键基础设施制定保护和风险管理策略。 |
关键的信息基础设施保护(CIIP)的下一个阶段是关键的信息基础设施保护(CIIP)战略的开发。关键的信息基础设施保护(CIIP)战略可以被纳入更广泛的国家网络安全战略,也可以作为独立的政策文件而存在。保护和风险管理策略不仅应该得到政府最高层的支持,更重要的是,还应该得到所有相关利益攸关方的承诺。
关键的信息基础设施保护(CIIP)战略可寻求从高级层面上解决这四个领域的问题,即:对可能的网络攻击的预防和早期预警;网络攻击的检测;对网络攻击的反应;以及关键基础设施(CI)和关键的信息基础设施(CII)中断时的危机管理。该战略应该明白表示明确的意图和SMART (具体的、可衡量的、可实现的、现实的和有时限的)政策目标。
构建关键基础设施保护的步骤5
Ø 出台国家关键基础设施资产保护概览计划,注明哪些威胁要集中进行管理,哪些威胁要进行本地化管理;在关键基础设施资产的日常管理中嵌入足够的网络安全风险管理过程、技术解决方案和损害减轻措施。 |
关键的信息基础设施保护(CIIP)战略和关键的信息基础设施保护(CIIP)行动计划之间有一个重要的区别。通常情况下,战略寻求沟通高层目标,以确定总体方向,而行动计划确定并委派相关的利益攸关方执行短期到中期任务。例如,这些措施可以包括实施风险管理周期,其中包括经常重新评估风险,然后制订、实施和评估新的安全措施,以期不断地改进和完善国家的关键的信息基础设施保护(CIIP)。
行动计划可以包括,但不限于,处理以下组成部分的策略:
• 不断收集威胁情报和分析,以便于持续地完善关键的信息基础设施保护(CIIP)的知识库;
• 推广网络安全原则;
• 加强信息共享和其他协作机制;
• 安全应急响应能力增强;
• 定期检测信息系统漏洞;
• 风险管理;
• 跨部门演习;
• 对环境变化的监控和敏捷响应。
构建关键基础设施保护的步骤6
Ø 促进利益攸关方之间的信任,并为双方的互利合作创造一个有利的环境。 |
利益攸关方在公共领域和私人领域,以及国家层面和国际层面的参与是保护国家网络安全的一个关键条件。这样的环境可以通过安排定期的信息交流会议来创建。
建立基于信任的强大网络是迅速地、及时地交换关键信息等活动的关键条件。如果相关人员具有类似级别的技术能力、权力和自主权,并对风险有共同的承受能力,就可以最有效地实现这一目标。
其他参考资料:
|
(未完待续)
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
