美國網(wǎng)絡(luò)安全框架構(gòu)建問題研究
——風(fēng)險管理理念的運(yùn)用

◎國防科技大學(xué)信息通信學(xué)院 張翔 鄭理

美國“網(wǎng)絡(luò)安全框架”的提出是為了增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，其構(gòu)建運(yùn)用了風(fēng)險管理理念。本文運(yùn)用風(fēng)險管理的方法流程于企業(yè)網(wǎng)絡(luò)安全管理，提出了企業(yè)在風(fēng)險環(huán)境下應(yīng)該采取的基本網(wǎng)絡(luò)安全策略。

美國商務(wù)部下屬的國家標(biāo)準(zhǔn)與技術(shù)研究所于2014年發(fā)布了《網(wǎng)絡(luò)安全框架（1.0版）》，后升級至1.1版?？蚣艿奶岢鍪菫榱嗽鰪?qiáng)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，適應(yīng)高風(fēng)險對關(guān)鍵基礎(chǔ)設(shè)施的挑戰(zhàn)和要求，是政府面向企業(yè)的公共產(chǎn)品。

風(fēng)險管理理念產(chǎn)生于西方資本主義國家，首先運(yùn)用于經(jīng)濟(jì)管理領(lǐng)域，后推廣至網(wǎng)絡(luò)安全領(lǐng)域。美國官方指出：網(wǎng)絡(luò)安全框架運(yùn)用了風(fēng)險管理理念，具體體現(xiàn)在5大功能域的“預(yù)期結(jié)果”（desired outcomes）中（見圖1）?！邦A(yù)期結(jié)果”是對框架功能域的逐步分解，是滿足網(wǎng)絡(luò)安全狀態(tài)的策略的集合，是網(wǎng)絡(luò)安全目標(biāo)從抽象到具體的實現(xiàn)過程。本文通過建立風(fēng)險管理的基本概念，提出并運(yùn)用風(fēng)險管理的方法流程（風(fēng)險環(huán)境分析、環(huán)境脆性分析及應(yīng)對策略）于企業(yè)網(wǎng)絡(luò)安全管理，得出了企業(yè)在風(fēng)險環(huán)境下應(yīng)該采取的基本網(wǎng)絡(luò)安全策略。上述分析過程有助于理解框架的構(gòu)建過程，加深對框架的認(rèn)識。

一、風(fēng)險管理的基本概念

風(fēng)險，即可能發(fā)生的危險。從信息安全的角度來講，風(fēng)險是指：威脅源采用恰當(dāng)?shù)耐{方式利用計算機(jī)系統(tǒng)硬件、軟件、協(xié)議的漏洞（也稱脆弱性、脆性）造成的不良后果，而漏洞是計算機(jī)系統(tǒng)在一定環(huán)境中存在的缺陷。因此認(rèn)為，風(fēng)險就是威脅源在特定環(huán)境中造成的影響。風(fēng)險管理就是針對威脅源及其在特定環(huán)境中造成的影響的限制和管束。

圖1：網(wǎng)絡(luò)安全框架基本結(jié)構(gòu)

圖2：風(fēng)險管理方法流程在企業(yè)網(wǎng)絡(luò)安全管理中的運(yùn)用(構(gòu)建過程)

風(fēng)險管理不能簡單理解為對風(fēng)險進(jìn)行管理，而應(yīng)充分考慮環(huán)境因素（即風(fēng)險環(huán)境），通過對環(huán)境的脆性和漏洞進(jìn)行分析，預(yù)判威脅源可能造成的不良影響，從而提出針對性策略。

二、風(fēng)險管理方法流程在企業(yè)網(wǎng)絡(luò)安全管理中的運(yùn)用

運(yùn)用風(fēng)險管理理念要突出3個要素：風(fēng)險環(huán)境分析、環(huán)境脆性分析及應(yīng)對策略，這三者是遞進(jìn)的（見圖2），其中，風(fēng)險環(huán)境分析是基礎(chǔ)。

（一）風(fēng)險環(huán)境分析

風(fēng)險環(huán)境分析的本質(zhì)是對風(fēng)險環(huán)境的構(gòu)成進(jìn)行分析，通過了解風(fēng)險環(huán)境的構(gòu)成要素及其脆性，才能制定針對性策略。

在美國，關(guān)鍵基礎(chǔ)設(shè)施的所有者大部為私營企業(yè)，因此政府給出的網(wǎng)絡(luò)安全框架主要面向企業(yè)。當(dāng)對一個企業(yè)進(jìn)行風(fēng)險環(huán)境構(gòu)成分析時，需將企業(yè)的整個環(huán)境（包括內(nèi)、外環(huán)境）站在網(wǎng)絡(luò)安全的角度轉(zhuǎn)換為“風(fēng)險環(huán)境”，對其構(gòu)成進(jìn)行剖析。

一個企業(yè)的環(huán)境從一般意義上來講包括：企業(yè)戰(zhàn)略環(huán)境、企業(yè)泛在資產(chǎn)環(huán)境和企業(yè)外在商業(yè)環(huán)境。

1、戰(zhàn)略環(huán)境

在戰(zhàn)略環(huán)境分析中要明確一個企業(yè)存在的戰(zhàn)略意義，即商業(yè)核心使命，為完成使命要達(dá)到的目標(biāo)和支撐目標(biāo)實現(xiàn)的具體行動，這是觀念層面的。當(dāng)考慮網(wǎng)絡(luò)安全時，要進(jìn)一步剖析支撐企業(yè)戰(zhàn)略實現(xiàn)的基礎(chǔ)是什么，即一個企業(yè)所具有的關(guān)鍵功能和對外提供的關(guān)鍵服務(wù)，這是企業(yè)的硬實力。從軟實力上來講，就包括信息安全策略、市場營銷策略等。

2、泛在資產(chǎn)環(huán)境

資產(chǎn)很好理解，一般將其劃分為硬資產(chǎn)和軟資產(chǎn)。硬資產(chǎn)包括企業(yè)內(nèi)的物理設(shè)備、系統(tǒng)、移動介質(zhì)、軟件平臺和應(yīng)用程序，企業(yè)外部與企業(yè)的網(wǎng)絡(luò)相連的信息系統(tǒng)。軟資產(chǎn)包括信息和人力資源兩個方面。信息主要是指企業(yè)的整體信息行為和日常產(chǎn)生的數(shù)據(jù)流；人力資源既要關(guān)注全體人員，也要關(guān)注重點(diǎn)人群，如具有網(wǎng)絡(luò)特權(quán)的用戶，高級管理員，物理和信息安全人員，以及企業(yè)的利益攸關(guān)方（供應(yīng)商、大客戶和合作伙伴）。

3、外在商業(yè)環(huán)境

需考慮的外在商業(yè)環(huán)境主要指企業(yè)在供應(yīng)鏈（或產(chǎn)業(yè)鏈）中所處位置，企業(yè)在關(guān)鍵基礎(chǔ)設(shè)施域及工業(yè)域中發(fā)揮的作用，外界的信息共享論壇，以及與新聞媒體界的互動等。

（二）環(huán)境脆性分析及應(yīng)對策略

有了風(fēng)險環(huán)境構(gòu)成分析的基礎(chǔ)，就能針對各個組成成分和構(gòu)成要素進(jìn)行詳細(xì)的脆性分析，并提出應(yīng)對策略，形成有效的網(wǎng)絡(luò)安全預(yù)期。

1、戰(zhàn)略環(huán)境脆性及應(yīng)對策略

從戰(zhàn)略環(huán)境的角度來講，當(dāng)發(fā)生網(wǎng)絡(luò)威脅時，支撐企業(yè)戰(zhàn)略實現(xiàn)的關(guān)鍵功能和對外提供的關(guān)鍵服務(wù)會受到影響，因此，應(yīng)該通過企業(yè)任務(wù)、目標(biāo)的明確，來確定發(fā)生網(wǎng)絡(luò)威脅時行動的優(yōu)先級，制定企業(yè)的信息安全策略，建立關(guān)鍵服務(wù)和關(guān)鍵功能的恢復(fù)需求。信息安全策略應(yīng)包含：響應(yīng)計劃（事件響應(yīng)和商業(yè)連續(xù)性計劃）、恢復(fù)計劃（事件恢復(fù)和災(zāi)難恢復(fù)）、脆性（漏洞）管理方案、安全事件管理方案（包含安全事件的分類和事件告警的閾值等），并利用從網(wǎng)絡(luò)事件中吸取的經(jīng)驗教訓(xùn)升級完善有關(guān)方案。這是宏觀方面的。微觀上，依賴于對具體的資產(chǎn)等造成的影響，有區(qū)別地制定策略。

2、泛在資產(chǎn)環(huán)境脆性及應(yīng)對策略

硬資產(chǎn)方面。企業(yè)內(nèi)的物理設(shè)備、系統(tǒng)、移動介質(zhì)、軟件平臺和應(yīng)用程序等資產(chǎn)可能被竊取、破壞、修改，甚至在維修維護(hù)的過程中被設(shè)置后門。對此，要建立資產(chǎn)登記清單，按照資產(chǎn)的類型、重要性和商業(yè)價值對資產(chǎn)實施分類管理；要建立資產(chǎn)的授權(quán)訪問策略，拒絕惡意訪問；要對資產(chǎn)的訪問行為建檔立志，以便審計；要對資產(chǎn)的配置、轉(zhuǎn)移、銷毀的全過程實施管理，克服管理空檔；要對移動介質(zhì)實施管理，避免引入外部威脅；在資產(chǎn)維修和維護(hù)的過程中，要采用可信的、經(jīng)認(rèn)證的和受控的手段，同時要管理好遠(yuǎn)程維護(hù)的過程。與企業(yè)的網(wǎng)絡(luò)相連的信息系統(tǒng)是引入外部威脅的重要渠道，要詳細(xì)的了解此類外部信息系統(tǒng)的具體情況，摸清底數(shù)，實施針對性管理，必要時，進(jìn)行網(wǎng)絡(luò)隔離和訪問控制。同時，要監(jiān)測外部網(wǎng)絡(luò)的安全態(tài)勢，檢測潛在的網(wǎng)絡(luò)安全事件，必要時進(jìn)行調(diào)查取證和分析判斷。

軟資產(chǎn)方面。企業(yè)的整體信息行為和日常產(chǎn)生的數(shù)據(jù)流有可能被篡改、竊取、截獲和泄露，因此要建立企業(yè)的日常信息和數(shù)據(jù)流“映射”，定期備份重要數(shù)據(jù)；要實施信息的訪問控制策略，如身份認(rèn)證和憑證管理；要對許可的用戶進(jìn)行管控，采取最低優(yōu)先、職責(zé)分離和最小功能的原則；要對遠(yuǎn)程訪問進(jìn)行控制，防止網(wǎng)絡(luò)竊密；要對數(shù)據(jù)和網(wǎng)絡(luò)進(jìn)行完整性檢驗，防止數(shù)據(jù)和重要配置被篡改；要保護(hù)傳輸中的數(shù)據(jù)和存儲的數(shù)據(jù)（靜態(tài)數(shù)據(jù)），防止數(shù)據(jù)泄露。人力資源方面，企業(yè)內(nèi)的所有人員均有可能成為內(nèi)部安全隱患，因此要進(jìn)行人員意識管控，明確全體人員在網(wǎng)絡(luò)安全方面應(yīng)履行的職責(zé)，進(jìn)行網(wǎng)絡(luò)安全教育和安全防護(hù)技能培訓(xùn)，并對人員在入職和離職兩個關(guān)口上進(jìn)行篩查。對于網(wǎng)絡(luò)特權(quán)用戶和高級管理員，要建立明晰的職責(zé)權(quán)限范圍；對于負(fù)責(zé)物理和信息安全的人員，要建立規(guī)范的網(wǎng)絡(luò)安全職責(zé)，并被全體員工理解和知曉；對于企業(yè)的利益攸關(guān)方，要明確與企業(yè)在信息交互過程中的網(wǎng)絡(luò)安全職責(zé)，共同維護(hù)企業(yè)網(wǎng)絡(luò)安全。

此外，要使用信息和行為監(jiān)測的技術(shù)手段，對信息流通、員工行為進(jìn)行監(jiān)測和監(jiān)控，及時探明網(wǎng)絡(luò)、物理環(huán)境、惡意代碼、非授權(quán)連接等的潛在威脅。

3、外在商業(yè)環(huán)境脆性及應(yīng)對策略

由于企業(yè)在供應(yīng)鏈（或產(chǎn)業(yè)鏈）和關(guān)鍵基礎(chǔ)設(shè)施域、工業(yè)域中發(fā)揮相應(yīng)的作用，擔(dān)負(fù)一定的功能，因此，當(dāng)企業(yè)自身的關(guān)鍵功能和對外提供的關(guān)鍵服務(wù)被影響、破壞或降級后，將對供應(yīng)鏈、關(guān)鍵基礎(chǔ)設(shè)施域等產(chǎn)生間接影響。因此，對內(nèi)，企業(yè)要明確自身在外界商業(yè)環(huán)境中的地位、作用及扮演的角色；對外，要將企業(yè)的網(wǎng)絡(luò)安全策略與外界溝通，達(dá)成一致的理解；當(dāng)企業(yè)發(fā)生網(wǎng)絡(luò)事件時，要及時對外發(fā)布威脅預(yù)警信息，共享網(wǎng)絡(luò)安全保護(hù)的策略；同時，企業(yè)要從外部多渠道獲取網(wǎng)絡(luò)威脅信息，對多源信息進(jìn)行關(guān)聯(lián)分析，建立更加豐富的態(tài)勢感知；要根據(jù)企業(yè)在關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)領(lǐng)域中的角色和發(fā)生網(wǎng)絡(luò)事件后可能造成的商業(yè)影響，評估企業(yè)的最大風(fēng)險容忍度。對于新聞媒體界，要加強(qiáng)公共關(guān)系管理，發(fā)生對企業(yè)造成不良影響的網(wǎng)絡(luò)事件后，要及時恢復(fù)聲譽(yù)、消除影響、發(fā)布公告。

上述所有的網(wǎng)絡(luò)安全管理策略均應(yīng)受到法律的支持和保障，如網(wǎng)絡(luò)安全、信息安全相關(guān)法規(guī)，隱私保護(hù)與言論自由相關(guān)的規(guī)定等。

通過風(fēng)險環(huán)境分析、環(huán)境脆性分析及應(yīng)對策略的提出，完成了風(fēng)險管理方法流程在企業(yè)網(wǎng)絡(luò)安全管理中的構(gòu)建過程。反觀美國網(wǎng)絡(luò)安全框架中5大功能域的“預(yù)期結(jié)果”，即子類（Subcategories）的具體條目就能獲得對框架的整體性和內(nèi)部邏輯的新認(rèn)知，有助于開展后續(xù)框架在具體關(guān)鍵基礎(chǔ)設(shè)施域中的運(yùn)用問題研究。