正文

海外研究|美 CISA 发布《跨部门网络安全绩效目标》及对我启示

admin
admin V管理员 /0 评论 /170 阅读
0802
此篇文章发布距今已超过113天,您需要注意文章的内容或图片是否可用!

摘 要:美国《跨部门网络安全绩效目标》的发布开启了其对关键基础设施安全防护的科学评价阶段,对全球关键基础设施防护产生了重大影响。研究发现,该文件高度重视信息技术及运营技术领域资产的安全维护,聚焦关键基础设施部门实践规范,关注中小型实体安全实践诉求,强调对安全实践目标的效果评估等。这一举措的出台将进一步提升美国关键基础设施领域的网络安全水平,推进关键基础设施安全防御的标准建设,促进以安全绩效为导向的防护体系的形成,促进美国政府在国家关键基础设施网络安全能力建设中的效用发挥。我国应从制度层面加强对关键基础设施安全实践的支持,推进其安全防护的科学评估,加快构建一体化关键基础设施安全防护体系。

内容目录:

1 美国《跨部门网络安全绩效目标》的发布背景

2 美国《跨部门网络安全绩效目标》的主要内容

2.1 CPG 情况简述

2.2 CPG 内容简述

3 美国《跨部门网络安全绩效目标》的基本特征

3.1 重视 IT 和 OT 领域资产安全维护

3.2 聚焦关键基础设施部门实践规范

3.3 关注中小型实体安全实践的诉求

3.4 强调对安全实践目标的效果评估

4 美国《跨部门网络安全绩效目标》的主要影响

4.1 提升关键基础设施领域网络安全水平

4.2 推进关键基础设施安全防护标准建设

4.3 促进以安全绩效为导向的防护体系的形成

4.4 促进政府在关键基础设施网络安全能力建设中的效用发挥

5 对中国的启示

6 结 语

自克林顿政府 1996 年提出关键基础设施网络安全保护的概念以来,美国以总统令、国家法案、国家战略、制定标准和推荐框架等多种方式持续推进关键基础设施的安全防御工作。在此期间,“9·11”事件触发了小布什政府对国家关键基础设施的重视和维护,其任期内发布了以维护关键基础设施安全为重点的《确保网络空间安全的国家战略》(National Strategy to Secure Cyberspace,NSSC),奠 定了关键基础设施保护在美国历届政府网络安全战略中的重要地位。美国作为最早开展关键基础设施网络安全防御的国家,在该领域的体系化建设和相关理念一直引领全球。2014 年,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布的《改进关键基础设施 网 络 安 全 框 架 1.0 版 本》(Cybersecurity Framework Version 1.0,CSF 1.0) 及在 2023 年发布的 CSF 2.0 概念文件,是美国网络安全治理史上最具影响力的系列文件。这一基于自愿性原则的风险防御框架是由美国公私部门联合开发,为规范关键基础设施安全防御建立的标准体系,旨在推动美国关键基础设施防御的标准化建设。而美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)发布的《跨部门网络安全绩效目标》(Cross-Sector Cybersecurity Performance Goals,CPG),则开启了美国对关键基础设施安全防护的科学评价阶段。

迄今为止,国内学术界对美国网络安全的关注主要集中于美国网络安全战略、对华政策和网络安全国际合作 等方面,对美国关键基础设施保护的研究则聚焦于立法建设、制度建设 和监测预警机制 等方面,而对美国网络安全绩效的相关研究相对较少。国内学者单博深等人初步解析首版 CPG 文件,介绍该政策的基本情况,并基于此讨论了首版 CPG 对美国关键基础设施保护的影响。总体来说,当前学术界对美国网络安全绩效目标的解析还不够深入。

基于此,本文以美国 CPG 文件为研究对象,结合美国当前有关关键基础设施安全治理的相关政策,深入分析 CPG 的内涵、逻辑及其治理理念,以期为我国关键基础设施网络安全保护提供经验借鉴。

1

美国《跨部门网络安全绩效目标》的发布背景

拜登政府执政以来高度重视关键基础设施网络的安全维护,将保卫关键基础设施列为国家网络安全战略的首要支柱 。拜登政府认为,关键基础设施网络安全威胁是美国当前面临的重要的网络安全问题,其执政伊始首先强调美国关键基础设施安全维护的责任归属问题。2021 年7 月,白宫发布《关于改善关键基础设施控制系统网络安全》的国家备忘录(以下简称《备忘录》),指出保护国家基础设施安全是联邦、州、地方、部落和地区以及基础设施所有者和运营商的共同责任。同时,提出关键基础设施安全防护标准化建设目标,《备忘录》指出,美国需要在关键基础设施部门设置一致的网络安全基线目标,要求国土安全部与商务部着手制定和发布关键基础设施的网络安全绩效目标,使关键基础设施所有者和运营商就网络安全的基本实践问题达成共识。为落实此要求,美国 CISA 联合 NIST 于 2021 年 9 月发布了《关键基础设施控制系统网络安全性能目标》,确定推荐 9 类网络安全实践,并将其作为初步控制系统网络安全性能目标的基础 。按照《备忘录》的要求,CISA 与行业、专家和政府各部门合作,在 2022 年 10 月完成了关键基础设施网络安全绩效目标的制定,发布了首版 CPG,并于 2023 年3 月对其进行了更新,即本文所述的《跨部门网络安全绩效目标》。除白宫的政策牵引外,CISA通过公私合作的方式对美国基础设施安全所面临的问题进行了深入调研,考察了美国基础设施安全实践情况,提出美国关键基础设施安全防护所面临的 4 个关键挑战:一是多数组织没有采取基本的安全保护措施;二是中小型组织难以使用当前美国各部门普遍运用的 NIST CSF;三是关键基础设施部门缺乏统一的安全标准;四是运营技术(Operational Technology,OT)系统网络安全经常被忽视且面临安全资源配置不足的问题 。从 CPG 的提出及其形成来看,美国跨部门网络安全目标的提出兼具强化关键基础设施利益群体责任以及建立基本安全防护标准两重意义。

2

美国《跨部门网络安全绩效目标》的主要内容

2.1 CPG 情况简述
CISA 将 CPG 定义为美国“网络安全实践的优先子集”,面向 IT 和 OT 领域资产及相关利益和责任群体,为关键基础设施网络安全的实践提供衡量基准、推荐优先安全实践,以降低关键基础设施整体的运营风险。CPG 系列文件共包含 3 个部分:一是网络安全能力建设目标清单,包含识别、保护、检测、响应和恢复 5 类安全目标和细化的 39 项具体安全实践(见表 1),并针对相应实践明确适用范围,提出建议操作;二是网络安全能力建设评估表单,提供各类实体审查要实施的 CPG 目标以及行动优先级,跟踪目标实施的当前和未来状态;三是 CPG 完整数据矩阵,包含 CPG 所有原始数据及其与 CSF等其他数据的映射关系图表,供各类相关实体参考。其中,网络安全能力建设目标清单是核心。根据 CPG 文件阐述,其目标的选取遵循以下 3 个标准:首先,所选目标在降低常见的跨部门威胁和网络威胁行为者策略、技术和程序影响方面体现显著价值;其次,所选目标要清晰、可操作且易于定义;最后,所选目标要易于操作,成本低,保证中小型实体能够实施。可以窥见,CPG 的设置着重强调目标实践的价值性、便捷性和低成本性,而这些特质为联邦政府延伸关键基础设施的安全防护触角拓展了更大的空间。
表 1 CPG 目标清单及其成本、影响力、操作难度评估(部分)
2.2 CPG 内容简述
CPG 主要内容集中于网络安全能力建设目标清单,内含 5 个高层次目标及其下属的 39 项具体安全实践目标,并针对每项实践明确目标风险、适应范围和建议操作等。
(1)识别。该目标主要从资产管理、商业环境、治理培训、风险评估和供应链风险管理 5 个层面入手,开展资产盘点、塑造组织网络安全领导力、缓解已知风险漏洞、供应链事件报告、供应链漏洞披露和第三方网络安全验证等具体安全实践。根据 CPG 评估,实现该目标组整体的花费成本低,目标兑现后影响力较高,但具体实践难度较大。
(2)保护。该目标下属的安全实践在 CPG整体目标框架中最为丰富,聚焦网络身份管理与访问控制、安全意识和培训、数据安全和信息保护流程等方面,通过改善加密技术、加强账户管理和网络安全培训等安全实践,提升对关键基础设施的保护能力。根据 CPG 评估,实现该目标组整体的花费成本趋于中等,目标兑现后影响力较高,具体实践的复杂性程度中等偏上。
(3)检测。重视异常事件监控、信息系统和资产监控,建议行业和部门重视对网络威胁及其参与者的记录备案,并通过规则制定、警报和检测系统等手段或工具提高对网络威胁行为和参与者的检测能力。根据 CPG 评估,实现该目标组整体的花费成本较高,目标兑现后影响力中等,具体实践难度较大。
(4)响应。通过事故报告、漏洞披露和部署 Security.txt 文件等方式提高关键基础设施网络安全事件响应能力。根据 CPG 评估,实现该目标组整体的花费成本中等,目标兑现后影响力较高,具体实践难度不高。
(5)恢复。是指制订有效的应急计划,使得组织有能力安全有效地从网络安全危机事件中恢复,避免在危机事件中发生资产、服务或系统的可用性中断,在危机中快速恢复可能受网络安全事件影响的业务或任务关键型资产和系统服务。根据 CPG 评估,实现该目标组整体的花费成本较低,目标兑现后影响力中等,目标实践难度不高。

3

美国《跨部门网络安全绩效目标》的基本特征

美国 CPG 高度重视对 IT 和 OT 领域资产的安全维护,极力构建关于关键基础设施的一致性安全实践基准,在目标内容上积极回应了中小型实体的网络安全实践诉求,同时创新性地提出对网络安全实践目标进行效果评估,是美国关键基础设施网络安全领域的重要举措。
3.1 重视 IT 和 OT 领域资产安全维护
用于数据信息处理存储的 IT 信息技术和控制监控工业流程的 OT 运营技术是现代企业运行的关键技术,对安全高效交付商品和服务至关重要。根据 CPG 框架内容,其近半数以上安全实践均应用于 IT 和 OT 资产安全维护,倡导对 IT和 OT 资产领域的恶意网络攻击活动开展积极防御。2022 年 9 月 22 日,CISA 发布网络安全警报(AA22-265A),指出运营、控制和监控等日常关键基础设施和工业流程的运营技术是恶意网络攻击者的主要目标,针对此类资产的网络攻击往往以实现政治利益、经济优势或破坏性影响为目的,CISA 同时向关键基础设施的所有者和运营商提出了实践指导 。2023 年 9 月28 日,NIST 发布 OT 安全指南。可见,信息技术和运营技术资产已经被美国视为关键基础设施网络安全防护的重点关注对象。这主要基于2 个方面原因:一方面,美国作为全球最早布局数字化转型的国家,其经济、社会、医疗和军事等各领域高度依赖数字信息技术,信息安全对于互联网运行、交通运输和社会管理服务等国家关键功能的正常运行至关重要;另一方面,OT 所包含的可编程系统和设备与物理环境广泛交互,普遍运用于现代基础设施,是美国当前在技术层面所面临的首要网络安全脆弱性问题。
3.2 聚焦关键基础设施部门实践规范
CPG 关注关键基础设施部门内部及跨部门网络安全的实践,聚焦于关键基础设施安全能力、投资策略和实践基准,设置基于自愿原则实施的、统一的和最低限度的标准规范体系。从 CPG 目标设置来看,其所推荐的安全实践聚焦于微观层面的标准化安全实践,明确关键基础设施部门在降低网络安全风险行动中可采取的基础性操作,旨在推进联邦关键基础设施部门网络安全实践标准的一致性。从 CPG 目标适用范围来看,CPG 所列的安全实践清单主要适用于关键基础设施部门操作系统、相关资产、互联网络及从业人员,所选网络安全目标串联了网络安全事件应对事前、事中和事后的全过程,形成面向关键基础设施网络安全防护的全流程实践基准。除以上特点外,CPG 遵循最低限度标准,其所推荐的安全实践旨在为美国各类实体开展基础设施网络安全防护划定基线,这种最低限度的实践考虑到了中小型组织在经济实力、规模大小和防护水平等方面的差异,能够在更大范围内推进美国基础设施网络安全防线建立的集体实践。
3.3 关注中小型实体安全实践的诉求
对于规模较小、资金有限的中小型实体而言,在应对网络安全挑战过程中面临着资金、能力和技术等条件限制,亟须对其进行更易理解、更具实际性和可操作性的安全实践指导。早在 2013 年,时任总统奥巴马签署第 13636 号行政令《增强关键基础设施网络安全》,要求NIST 着手制定关键基础设施网络安全框架,并指出该框架应尽可能纳入自愿共识标准和行业最佳实践。此 后,NIST 在 2014 年 发 布 CSF1.0,经过不断地完善和创新,在 2023 年发布CSF 2.0 概念文件,这一框架现已成为全球公认的权威性网络安全风险管理工具,但该框架主要适用于通信、交通和银行等领域的与关键基础设施相关的大型实体,对中小型实体网络安 全 需 求 的 重 视 程 度 不 高。CPG 则 为 中 小 型实体提供了一个入门式的操作指南,为中小型实体合理分配网络安全资源、开展标准化网络安全实践提供指导,扩大了美国关键基础设施网络安全防御参与群体的范围,进一步延伸网络安全实践触角,织密关键基础设施网络安全屏障。
3.4 强调对安全实践目标的效果评估
CPG 强调关键基础设施网络安全防护的科学评价,创新性地引入相关网络安全实践目标的执行成本、目标兑现影响力及目标执行复杂性等评估信息,并根据 CPG 内容构建网络安全能力建设评估表单,强调对网络安全实践进展效果开展定期评估,为相关实体根据自身情况确定实践目标优先序列、明确投资策略和提高安全能力等提供指导。根据 CPG 设定,成本、影响和复杂性 3 个衡量指标共划分为 3 个等级,指标对应等级越高,表明其目标执行所需成本越高,或目标兑现后对部门网络安全影响力越强,或实现该目标的操作难度越大。有关此类绩效费效比信息的引入为关键基础设施部门评估自身网络安全实践能力、优化网络安全防护资源配置和构建部门网络安全保障体系等提供了参考,对关键基础设施安全防护的科学评估也将推进美国在该领域网络安全实践成果的检验,推动美国关键基础设施网络安全防护能力的进一步提升。

4

美国《跨部门网络安全绩效目标》的主要影响

美国跨部门网络安全绩效目标的出台将进一步提升关键基础设施领域的网络安全水平,推进该领域有关安全防御的标准建设,同时加快以安全绩效为导向的关键基础设施防护体系的形成,促进美国政府在国家网络安全能力建设中的效用发挥,并推动美国关键基础设施一体化治理模式的发展。
4.1 提升关键基础设施领域网络安全水平
CPG 的推出将从关键基础设施部门实践优化、资源配置和防御规范 3 个层面提升美国关键基础设施网络的安全水平。首先,CPG 汇集了政府、行业、专家和技术人才等智力资源,针对美国当前网络安全实践所建立的通用实践标准体系,指导相关实体从风险识别、防护能力、威胁检测、应急响应和韧性建设 5 个层面构建自身的网络安全能力。其次,CPG 的目标设置引入效果评估信息,将引导关键基础设施所有者和运营商更加关注网络安全的实践效益,引导企业科学理性地开展网络安全实践投入,促进对网络安全建设资源的合理配置。同时,CPG的推出进一步提高了美国关键基础设施网络安全防御标准化程度,并与此前美国国土安全部NIST 推出的 CSF、美国国家安全局发布的《网络基础设施安全指南》共同推进美国关键基础设施网络安全能力的建设,提升该领域的网络安全水平。
4.2 推进关键基础设施安全防护标准建设
立足于美国关键基础设施网络安全标准体系的建设,CPG 通过确立安全实践基准引导相关实体安全能力的发展、投资策略的选择和具体安全实践,推动了美国关键基础设施安全防御的标准化。首先,在具体实践层面,CPG 为相关实体应对网络攻击和降低安全风险提供标准化的操作建议,这将进一步提高网络安全实践的成熟度,提高安全实践过程中组织行为的标准化、科学性和有效性,推动相关部门内部建立标准化的网络安全防御体系。其次,CPG由美国联邦政府制定,其所列的安全实践反映了美国当下关键基础设施的安全需求,是美国推进国家网络安全战略的重要组成部分。近年来,美国在关键基础设施领域持续发布的政策、制度和法律文本,将进一步提升该领域安全防御标准的建设,同时提高美国在关键基础设施网络安全治理领域的话语权和影响力。
4.3 促进以安全绩效为导向的防护体系的形成
CPG 对网络安全实践效果的关注将推动美国关键基础设施领域以安全绩效为导向的防护体系的形成。首先,尽管美国在此之前推出了NIST CSF 此类较为成熟的网络安全框架,但侧重于针对解决网络安全风险的具体指导,CPG则更多地考虑到企业在网络安全实践中的成本和收益问题,为关键基础设施所有者和运营商的资源合理分配提供参考,引导相关实体更加注重网络安全防护的效率与效果,并推进组织内部建立网络安全实践评价体系。其次,美国作为最早开展关键基础设施网络安全防御的国家,其有关网络安全实践绩效评估的理念将影响其他国家推进相关制度的建设,推进该领域绩效评价理论与实践的探索,有利于该领域绩效评估指标体系的建立,增进关键基础设施网络安全治理的科学性和有效性。
4.4 促进政府在关键基础设施网络安全能力建设中的效用发挥
CPG 通过推荐网络安全优先实践,将国家网络安全目标向下渗透,提升了美国政府对关键基础设施在网络安全实践中的指导力和影响力。自奥巴马政府时期以来,美国即开始重视政府在关键基础设施网络安全领域的领导力,提出加强关键基础设施安全防护及其复原力必须重视政府与利益攸关方的协调合作 ,期望凝聚公私部门合作力量,实现础设施安全防护领域的一致行动,形成关键基础设施网络安全共同防御态势。CPG 的诞生是美国政府在关键基础设施安全领域积极发挥政府引导力量的新举措,强调了中小型实体在关键基础设施安全维护中的参与能力,其所设的最低安全实践标准拓展了各类实体参与基础设施安全维护的可能,推进众多利益相关者共同参与到基础设施网络安全维护中。同时,美国政府通过此类推荐框架的方式将国家安全目标传导到各行业安全实践活动中,将国家安全需求和行业实践链接起来,为一体化关键基础设施安全防御体系的形成奠定了基础。

5

对中国的启示

关键基础设施网络安全是国家网络安全的重要组成部分。自 2016 年《中华人民共和国网络安全法》颁布以来,我国持续推进关键基础设施安全保护的标准化、体系化与制度化的建设进程,并取得了较大进展,但目前仍面临成熟度不足、评估体系不健全和协作效果不佳等问题。对此,我国应积极汲取国内外成功经验,从制度层面加强对基础设施安全实践的支持,推进对关键基础设施安全防护的科学评估,加快构建一体化安全防护体系,为我国关键基础设施网络安全建立可靠屏障。
(1)从制度层面加强对基础设施安全实践的支持。关键基础设施安全事关国家安全、国计民生和公共利益等。在国家层面,我国在关键基础设施安全防护制度领域出台了一些代表性的文件。一是 2021 年 7 月颁布的《关键信息基础设施安全保护条例》(以下简称《条例》),其明确了关键基础设施认定、运营者责任义务、保障促进措施及违反该《条例》所需承担的法律责任 ,开启了我国在该领域网络安全维护的专门化进程。二是我国于 2023 年 5 月 1 日正式施行该领域的首个国家标准 GB/T 39204—2022《信息安全技术 关键信息基础设施安全保护要求》,该文件填补了我国关键信息基础设施安全实践国家标准的空白。从政策文本的生产时间、实践历程及主要内容来看,一方面,我国在该领域的制度生产效率及相关配套制度建设有待加强,针对关键基础设施安全实践的部门规章及国家标准需加快制定,以避免发生安全事件应对过程中的政策缺位问题;另一方面,需依托现有政策法律制度,加快构建关键基础设施领域的安全防护制度体系,推进该领域安全实践的标准化和有序化,从明确标准、制定规则、划分责任优先实践和激励建设等不同维度完善关键基础设施保护机制的建设,以延伸安全实践触角,提升我国关键基础设施网络安全水平。
(2)推进对关键基础设施安全防护的科学评估。效果评价是网络安全实践的重要组成部分,也是推进网络安全资源优化配置、提升网络安全实践效能和采取“下一步行动”的关键性参考。当前,我国尽管在中央法规层面明确了关键基础设施运营者“建立网络安全管理和评价考核制度”的职责,但在实践层面对关键基础设施安全防护绩效的重视程度不高,尚未在国家层面出台专门的指导文件。我国作为互联网大国,关键信息基础设施承载着重要的政治、经济和社会功能,关键基础设施网络安全防护工作复杂且体量庞大,科学评估当前关键基础设施安全防护效果对及时掌握基础设施安全态势至关重要。我国应根据当前出台的法律、制度及行业标准,积极联合从业人员、专家学者和政府部门共同着手制定基础性、统一的和普适的科学评价体系,从风险识别、风险预警、安全审查、应急准备、事件响应和事后恢复等有关网络安全实践的不同阶段,为相关实体开展安全实践效果评价建立专业性的评估体系,推动我国关键基础设施安全维护的科学评价,为今后各领域有针对性地、高效地开展网络安全实践提供参考。
(3)加快构建一体化关键基础设施安全防护体系。关键基础设施是国家重要战略资产,其安全状态关系到公民个人安全、社会安全和国家安全等重要方面,责任主体涵盖关键基础设施所连接的众多个体、组织、行业和部门等。近年来,美国政府积极推进关键基础设施领域的公私合作,并通过推荐框架等方式强化联邦政府在关键基础设施网络安全实践中的领导地位和影响力,促进各方力量的凝聚以形成对国家网络安全工作的统一监测、评估和防御,加强了对关键基础设施防护工作的统筹。我国应加快构建一体化关键基础设施网络安全防护体系,引导关键基础设施相关利益群体共同参与该领域的安全治理,依托我国体制优势形成全民、全行业和全政府共同参与关键基础设施网络安全防御的整体态势,为国家关键基础设施安全构筑稳固防线。

6

结 语

CPG 是美国强化国家关键基础设施网络安全的重要举措,体现了其对资产安全管理及中小型实体安全诉求的重视,同时展现了美国推进网络安全实践标准化的积极态势及对网络安全实践科学评价的趋势。该政策的出台将加强美国政府在国家网络安全建设中的领导力,促进国家网络安全目标向多利益攸关方安全实践的渗透,提升美国关键基础设施网络安全水平,对我国具有启示意义。但是,由于篇幅及数据获取的限制,本文未对该政策的实际应用情况和效果进行考察,无法反映 CPG 对于提升关键基础设施运营商网络安全绩效水平的实际影响力。未来,应着重推进网络安全实践科学评估的实证研究,以加快构建我国关键基础设施安全绩效指标体系,为提高我国关键信息基础设施网络安全水平提供科学指引。
引用格式:郑文佳 . 美 CISA 发布《跨部门网络安全绩效目标》及对我启示 [J]. 信息安全与通信保密 ,2024(5):1-10.
作者简介 >>>
郑文佳,女,博士研究生,主要研究方向为国家安全治理。
选自《信息安全与通信保密》2024年第5期(为便于排版,已省去原文参考文献)

编辑:陈十九

审核:商密君

征文启事

大家好,为了更好地促进同业间学术交流,商密君现开启征文活动,只要你对商用密码、网络安全、数据加密等有自己的独到见解和想法,都可以积极向商密君投稿,商密君一定将您的声音传递给更多的人。
来源:信息安全与通信保密杂志社
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。

点分享
点点赞
点在看


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网