美國(guó)網(wǎng)絡(luò)安全框架構(gòu)建問(wèn)題研究
——風(fēng)險(xiǎn)管理理念的運(yùn)用

◎國(guó)防科技大學(xué)信息通信學(xué)院 張翔 鄭理

美國(guó)“網(wǎng)絡(luò)安全框架”的提出是為了增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，其構(gòu)建運(yùn)用了風(fēng)險(xiǎn)管理理念。本文運(yùn)用風(fēng)險(xiǎn)管理的方法流程于企業(yè)網(wǎng)絡(luò)安全管理，提出了企業(yè)在風(fēng)險(xiǎn)環(huán)境下應(yīng)該采取的基本網(wǎng)絡(luò)安全策略。

美國(guó)商務(wù)部下屬的國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所于2014年發(fā)布了《網(wǎng)絡(luò)安全框架（1.0版）》，后升級(jí)至1.1版。框架的提出是為了增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，適應(yīng)高風(fēng)險(xiǎn)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的挑戰(zhàn)和要求，是政府面向企業(yè)的公共產(chǎn)品。

風(fēng)險(xiǎn)管理理念產(chǎn)生于西方資本主義國(guó)家，首先運(yùn)用于經(jīng)濟(jì)管理領(lǐng)域，后推廣至網(wǎng)絡(luò)安全領(lǐng)域。美國(guó)官方指出：網(wǎng)絡(luò)安全框架運(yùn)用了風(fēng)險(xiǎn)管理理念，具體體現(xiàn)在5大功能域的“預(yù)期結(jié)果”（desired outcomes）中（見(jiàn)圖1）。“預(yù)期結(jié)果”是對(duì)框架功能域的逐步分解，是滿(mǎn)足網(wǎng)絡(luò)安全狀態(tài)的策略的集合，是網(wǎng)絡(luò)安全目標(biāo)從抽象到具體的實(shí)現(xiàn)過(guò)程。本文通過(guò)建立風(fēng)險(xiǎn)管理的基本概念，提出并運(yùn)用風(fēng)險(xiǎn)管理的方法流程（風(fēng)險(xiǎn)環(huán)境分析、環(huán)境脆性分析及應(yīng)對(duì)策略）于企業(yè)網(wǎng)絡(luò)安全管理，得出了企業(yè)在風(fēng)險(xiǎn)環(huán)境下應(yīng)該采取的基本網(wǎng)絡(luò)安全策略。上述分析過(guò)程有助于理解框架的構(gòu)建過(guò)程，加深對(duì)框架的認(rèn)識(shí)。

一、風(fēng)險(xiǎn)管理的基本概念

風(fēng)險(xiǎn)，即可能發(fā)生的危險(xiǎn)。從信息安全的角度來(lái)講，風(fēng)險(xiǎn)是指：威脅源采用恰當(dāng)?shù)耐{方式利用計(jì)算機(jī)系統(tǒng)硬件、軟件、協(xié)議的漏洞（也稱(chēng)脆弱性、脆性）造成的不良后果，而漏洞是計(jì)算機(jī)系統(tǒng)在一定環(huán)境中存在的缺陷。因此認(rèn)為，風(fēng)險(xiǎn)就是威脅源在特定環(huán)境中造成的影響。風(fēng)險(xiǎn)管理就是針對(duì)威脅源及其在特定環(huán)境中造成的影響的限制和管束。

圖1：網(wǎng)絡(luò)安全框架基本結(jié)構(gòu)

圖2：風(fēng)險(xiǎn)管理方法流程在企業(yè)網(wǎng)絡(luò)安全管理中的運(yùn)用(構(gòu)建過(guò)程)

風(fēng)險(xiǎn)管理不能簡(jiǎn)單理解為對(duì)風(fēng)險(xiǎn)進(jìn)行管理，而應(yīng)充分考慮環(huán)境因素（即風(fēng)險(xiǎn)環(huán)境），通過(guò)對(duì)環(huán)境的脆性和漏洞進(jìn)行分析，預(yù)判威脅源可能造成的不良影響，從而提出針對(duì)性策略。

二、風(fēng)險(xiǎn)管理方法流程在企業(yè)網(wǎng)絡(luò)安全管理中的運(yùn)用

運(yùn)用風(fēng)險(xiǎn)管理理念要突出3個(gè)要素：風(fēng)險(xiǎn)環(huán)境分析、環(huán)境脆性分析及應(yīng)對(duì)策略，這三者是遞進(jìn)的（見(jiàn)圖2），其中，風(fēng)險(xiǎn)環(huán)境分析是基礎(chǔ)。

（一）風(fēng)險(xiǎn)環(huán)境分析

風(fēng)險(xiǎn)環(huán)境分析的本質(zhì)是對(duì)風(fēng)險(xiǎn)環(huán)境的構(gòu)成進(jìn)行分析，通過(guò)了解風(fēng)險(xiǎn)環(huán)境的構(gòu)成要素及其脆性，才能制定針對(duì)性策略。

在美國(guó)，關(guān)鍵基礎(chǔ)設(shè)施的所有者大部為私營(yíng)企業(yè)，因此政府給出的網(wǎng)絡(luò)安全框架主要面向企業(yè)。當(dāng)對(duì)一個(gè)企業(yè)進(jìn)行風(fēng)險(xiǎn)環(huán)境構(gòu)成分析時(shí)，需將企業(yè)的整個(gè)環(huán)境（包括內(nèi)、外環(huán)境）站在網(wǎng)絡(luò)安全的角度轉(zhuǎn)換為“風(fēng)險(xiǎn)環(huán)境”，對(duì)其構(gòu)成進(jìn)行剖析。

一個(gè)企業(yè)的環(huán)境從一般意義上來(lái)講包括：企業(yè)戰(zhàn)略環(huán)境、企業(yè)泛在資產(chǎn)環(huán)境和企業(yè)外在商業(yè)環(huán)境。

1、戰(zhàn)略環(huán)境

在戰(zhàn)略環(huán)境分析中要明確一個(gè)企業(yè)存在的戰(zhàn)略意義，即商業(yè)核心使命，為完成使命要達(dá)到的目標(biāo)和支撐目標(biāo)實(shí)現(xiàn)的具體行動(dòng)，這是觀(guān)念層面的。當(dāng)考慮網(wǎng)絡(luò)安全時(shí)，要進(jìn)一步剖析支撐企業(yè)戰(zhàn)略實(shí)現(xiàn)的基礎(chǔ)是什么，即一個(gè)企業(yè)所具有的關(guān)鍵功能和對(duì)外提供的關(guān)鍵服務(wù)，這是企業(yè)的硬實(shí)力。從軟實(shí)力上來(lái)講，就包括信息安全策略、市場(chǎng)營(yíng)銷(xiāo)策略等。

2、泛在資產(chǎn)環(huán)境

資產(chǎn)很好理解，一般將其劃分為硬資產(chǎn)和軟資產(chǎn)。硬資產(chǎn)包括企業(yè)內(nèi)的物理設(shè)備、系統(tǒng)、移動(dòng)介質(zhì)、軟件平臺(tái)和應(yīng)用程序，企業(yè)外部與企業(yè)的網(wǎng)絡(luò)相連的信息系統(tǒng)。軟資產(chǎn)包括信息和人力資源兩個(gè)方面。信息主要是指企業(yè)的整體信息行為和日常產(chǎn)生的數(shù)據(jù)流；人力資源既要關(guān)注全體人員，也要關(guān)注重點(diǎn)人群，如具有網(wǎng)絡(luò)特權(quán)的用戶(hù)，高級(jí)管理員，物理和信息安全人員，以及企業(yè)的利益攸關(guān)方（供應(yīng)商、大客戶(hù)和合作伙伴）。

3、外在商業(yè)環(huán)境

需考慮的外在商業(yè)環(huán)境主要指企業(yè)在供應(yīng)鏈（或產(chǎn)業(yè)鏈）中所處位置，企業(yè)在關(guān)鍵基礎(chǔ)設(shè)施域及工業(yè)域中發(fā)揮的作用，外界的信息共享論壇，以及與新聞媒體界的互動(dòng)等。

（二）環(huán)境脆性分析及應(yīng)對(duì)策略

有了風(fēng)險(xiǎn)環(huán)境構(gòu)成分析的基礎(chǔ)，就能針對(duì)各個(gè)組成成分和構(gòu)成要素進(jìn)行詳細(xì)的脆性分析，并提出應(yīng)對(duì)策略，形成有效的網(wǎng)絡(luò)安全預(yù)期。

1、戰(zhàn)略環(huán)境脆性及應(yīng)對(duì)策略

從戰(zhàn)略環(huán)境的角度來(lái)講，當(dāng)發(fā)生網(wǎng)絡(luò)威脅時(shí)，支撐企業(yè)戰(zhàn)略實(shí)現(xiàn)的關(guān)鍵功能和對(duì)外提供的關(guān)鍵服務(wù)會(huì)受到影響，因此，應(yīng)該通過(guò)企業(yè)任務(wù)、目標(biāo)的明確，來(lái)確定發(fā)生網(wǎng)絡(luò)威脅時(shí)行動(dòng)的優(yōu)先級(jí)，制定企業(yè)的信息安全策略，建立關(guān)鍵服務(wù)和關(guān)鍵功能的恢復(fù)需求。信息安全策略應(yīng)包含：響應(yīng)計(jì)劃（事件響應(yīng)和商業(yè)連續(xù)性計(jì)劃）、恢復(fù)計(jì)劃（事件恢復(fù)和災(zāi)難恢復(fù)）、脆性（漏洞）管理方案、安全事件管理方案（包含安全事件的分類(lèi)和事件告警的閾值等），并利用從網(wǎng)絡(luò)事件中吸取的經(jīng)驗(yàn)教訓(xùn)升級(jí)完善有關(guān)方案。這是宏觀(guān)方面的。微觀(guān)上，依賴(lài)于對(duì)具體的資產(chǎn)等造成的影響，有區(qū)別地制定策略。

2、泛在資產(chǎn)環(huán)境脆性及應(yīng)對(duì)策略

硬資產(chǎn)方面。企業(yè)內(nèi)的物理設(shè)備、系統(tǒng)、移動(dòng)介質(zhì)、軟件平臺(tái)和應(yīng)用程序等資產(chǎn)可能被竊取、破壞、修改，甚至在維修維護(hù)的過(guò)程中被設(shè)置后門(mén)。對(duì)此，要建立資產(chǎn)登記清單，按照資產(chǎn)的類(lèi)型、重要性和商業(yè)價(jià)值對(duì)資產(chǎn)實(shí)施分類(lèi)管理；要建立資產(chǎn)的授權(quán)訪(fǎng)問(wèn)策略，拒絕惡意訪(fǎng)問(wèn)；要對(duì)資產(chǎn)的訪(fǎng)問(wèn)行為建檔立志，以便審計(jì)；要對(duì)資產(chǎn)的配置、轉(zhuǎn)移、銷(xiāo)毀的全過(guò)程實(shí)施管理，克服管理空檔；要對(duì)移動(dòng)介質(zhì)實(shí)施管理，避免引入外部威脅；在資產(chǎn)維修和維護(hù)的過(guò)程中，要采用可信的、經(jīng)認(rèn)證的和受控的手段，同時(shí)要管理好遠(yuǎn)程維護(hù)的過(guò)程。與企業(yè)的網(wǎng)絡(luò)相連的信息系統(tǒng)是引入外部威脅的重要渠道，要詳細(xì)的了解此類(lèi)外部信息系統(tǒng)的具體情況，摸清底數(shù)，實(shí)施針對(duì)性管理，必要時(shí)，進(jìn)行網(wǎng)絡(luò)隔離和訪(fǎng)問(wèn)控制。同時(shí)，要監(jiān)測(cè)外部網(wǎng)絡(luò)的安全態(tài)勢(shì)，檢測(cè)潛在的網(wǎng)絡(luò)安全事件，必要時(shí)進(jìn)行調(diào)查取證和分析判斷。

軟資產(chǎn)方面。企業(yè)的整體信息行為和日常產(chǎn)生的數(shù)據(jù)流有可能被篡改、竊取、截獲和泄露，因此要建立企業(yè)的日常信息和數(shù)據(jù)流“映射”，定期備份重要數(shù)據(jù)；要實(shí)施信息的訪(fǎng)問(wèn)控制策略，如身份認(rèn)證和憑證管理；要對(duì)許可的用戶(hù)進(jìn)行管控，采取最低優(yōu)先、職責(zé)分離和最小功能的原則；要對(duì)遠(yuǎn)程訪(fǎng)問(wèn)進(jìn)行控制，防止網(wǎng)絡(luò)竊密；要對(duì)數(shù)據(jù)和網(wǎng)絡(luò)進(jìn)行完整性檢驗(yàn)，防止數(shù)據(jù)和重要配置被篡改；要保護(hù)傳輸中的數(shù)據(jù)和存儲(chǔ)的數(shù)據(jù)（靜態(tài)數(shù)據(jù)），防止數(shù)據(jù)泄露。人力資源方面，企業(yè)內(nèi)的所有人員均有可能成為內(nèi)部安全隱患，因此要進(jìn)行人員意識(shí)管控，明確全體人員在網(wǎng)絡(luò)安全方面應(yīng)履行的職責(zé)，進(jìn)行網(wǎng)絡(luò)安全教育和安全防護(hù)技能培訓(xùn)，并對(duì)人員在入職和離職兩個(gè)關(guān)口上進(jìn)行篩查。對(duì)于網(wǎng)絡(luò)特權(quán)用戶(hù)和高級(jí)管理員，要建立明晰的職責(zé)權(quán)限范圍；對(duì)于負(fù)責(zé)物理和信息安全的人員，要建立規(guī)范的網(wǎng)絡(luò)安全職責(zé)，并被全體員工理解和知曉；對(duì)于企業(yè)的利益攸關(guān)方，要明確與企業(yè)在信息交互過(guò)程中的網(wǎng)絡(luò)安全職責(zé)，共同維護(hù)企業(yè)網(wǎng)絡(luò)安全。

此外，要使用信息和行為監(jiān)測(cè)的技術(shù)手段，對(duì)信息流通、員工行為進(jìn)行監(jiān)測(cè)和監(jiān)控，及時(shí)探明網(wǎng)絡(luò)、物理環(huán)境、惡意代碼、非授權(quán)連接等的潛在威脅。

3、外在商業(yè)環(huán)境脆性及應(yīng)對(duì)策略

由于企業(yè)在供應(yīng)鏈（或產(chǎn)業(yè)鏈）和關(guān)鍵基礎(chǔ)設(shè)施域、工業(yè)域中發(fā)揮相應(yīng)的作用，擔(dān)負(fù)一定的功能，因此，當(dāng)企業(yè)自身的關(guān)鍵功能和對(duì)外提供的關(guān)鍵服務(wù)被影響、破壞或降級(jí)后，將對(duì)供應(yīng)鏈、關(guān)鍵基礎(chǔ)設(shè)施域等產(chǎn)生間接影響。因此，對(duì)內(nèi)，企業(yè)要明確自身在外界商業(yè)環(huán)境中的地位、作用及扮演的角色；對(duì)外，要將企業(yè)的網(wǎng)絡(luò)安全策略與外界溝通，達(dá)成一致的理解；當(dāng)企業(yè)發(fā)生網(wǎng)絡(luò)事件時(shí)，要及時(shí)對(duì)外發(fā)布威脅預(yù)警信息，共享網(wǎng)絡(luò)安全保護(hù)的策略；同時(shí)，企業(yè)要從外部多渠道獲取網(wǎng)絡(luò)威脅信息，對(duì)多源信息進(jìn)行關(guān)聯(lián)分析，建立更加豐富的態(tài)勢(shì)感知；要根據(jù)企業(yè)在關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)領(lǐng)域中的角色和發(fā)生網(wǎng)絡(luò)事件后可能造成的商業(yè)影響，評(píng)估企業(yè)的最大風(fēng)險(xiǎn)容忍度。對(duì)于新聞媒體界，要加強(qiáng)公共關(guān)系管理，發(fā)生對(duì)企業(yè)造成不良影響的網(wǎng)絡(luò)事件后，要及時(shí)恢復(fù)聲譽(yù)、消除影響、發(fā)布公告。

上述所有的網(wǎng)絡(luò)安全管理策略均應(yīng)受到法律的支持和保障，如網(wǎng)絡(luò)安全、信息安全相關(guān)法規(guī)，隱私保護(hù)與言論自由相關(guān)的規(guī)定等。

通過(guò)風(fēng)險(xiǎn)環(huán)境分析、環(huán)境脆性分析及應(yīng)對(duì)策略的提出，完成了風(fēng)險(xiǎn)管理方法流程在企業(yè)網(wǎng)絡(luò)安全管理中的構(gòu)建過(guò)程。反觀(guān)美國(guó)網(wǎng)絡(luò)安全框架中5大功能域的“預(yù)期結(jié)果”，即子類(lèi)（Subcategories）的具體條目就能獲得對(duì)框架的整體性和內(nèi)部邏輯的新認(rèn)知，有助于開(kāi)展后續(xù)框架在具體關(guān)鍵基礎(chǔ)設(shè)施域中的運(yùn)用問(wèn)題研究。