关键基础设施网络安全改善框架 Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 美国国家标准与技术研究院 b u c . 5 National Institute of Standards and Technology 2018 年4月16日 h t i g 出 品，安 全 内 参 翻 译 （内 部 资 料，仅 供 内 部 学 习 参 考） m o h t i g b u c . 5 m o 目录 读者需了解的更新须知 ....................................................................................................... 01 致谢 ....................................................................................................................................... 02 内容摘要 ............................................................................................................................... 03 1.0 框架介绍 ......................................................................................................................... 05 2.0 框架基础 ......................................................................................................................... 09 m o 3.0 如何使用框架 ................................................................................................................. 15 4.0 利用该框架对网络风险安全进行自我评估 ................................................................ 21 c . 5 附录A：框架核心 ................................................................................................................ 22 附录B：术语表 ..................................................................................................................... 35 b u 附录C：缩写词表 ................................................................................................................. 37 h t i g 篇外：框架编写背景 ........................................................................................................... 38 关键基础设施网络安全改善框架 读者需了解的更新须知 网络安全框架1.1版对2014年2月发布的1.0版进行了改进、说明和完善。其包含了有关1.1版 的两份草稿的意见。 1.1版供框架新用户和当前用户使用。当前用户应能够在最小或无干扰的情况下实施1.1版； 与1.0版兼容是一个明确的目标。 以下表格总结了1.0版与1.1版之间的变更。 表 NTR-1 ——框架1.0版与1.1版之间的变更总结。 m o 更新 更新说明 阐明了“合规”等术语会 进一步阐明了该框架是一种结构和语言，用于管理和表明 造成混淆，各个框架利益 对组织自身网络安全要求的遵守。然而，组织可通过多种 相关者对这些术语会有完 方式使用该框架，这意味着“框架合规性”等短语会造成 全不同的理解 混淆。 c . 5 b u 各个组织可通过新添加的第4.0节《利用该框架对网络风险 关于自我评估的新小节 安全进行自我评估》了解和评估其网络安全风险，包括评 h t i g 估方法的使用。 进一步解释了框架在网络 供应链风险管理方面的用 途 进行改进以更好地对认 证、授权与身份证明作出 解释 扩充了第3.3节《向利益相关者传达网络安全要求》的内容，从而 帮助用户进一步了解网络供应链风险管理（SCRM），而全新的 第3.4节《购买决策》强调了框架可用于了解与商业现货产品与服 务相关的风险。实现层中添加了额外的网络SCRM标准。最后， 在框架核心中添加了供应链风险管理分类，包括多个子分类。 已对访问控制分类的语言进行改进，从而更好地对认证、 授权与身份证明作出解释。其包括为认证与身份证明各添 加一个子分类。并且，该分类已重新命名为身份管理与访 问控制（PR.AC），更加明确该分类以及相应子分类的范围。 为第3.2节《建立或优化网络安全程序》添加关于在框架实 更好地解释了实现层与配 施中使用框架层的说明。添加有关框架层的说明，在组织 置文件之间的关系 风险管理程序中加入框架注意事项。也完善了框架层概 念。更新图2.0以涵括框架层的指令。 考虑了协调的漏洞披露 添加了漏洞披露周期相关的子分类。 和1.0版一样，我们鼓励1.1版用户自定义该框架，以最大化组织价值。 - 01 - 关键基础设施网络安全改善框架 致谢 该框架的发布是相关行业、学术界与政府不断协同合作的成果。2013 年，美国国家标准技 术研究所（NIST）召集私营与公共部门组织与相关人员共同启动该项目。《提升关键基础设 施网络安全框架》于 2014 年发布，并在 2017 年与 2018 年期间进行修订，其中该框架经过 八次公共研讨会，多次评点或信息请求以及无数次与美国各个部门以及全世界众多部门的利 益相关者直接互动后才得以成形。 更改 1.0 版和 1.1 版中作出变更的推动力均基于以下内容：  发布框架 1.0 版本后，美国国家标准技术研究所所收到的反馈以及常见问题； 
  105 个对 2015 年 12 月的信息请求（RFI），即《关于改善关键基础设施网络安全框架 的意见》收到的回应； c . 5  超 85 个对 2017 年 12 月 5 日所拟定的 1.1 版的第二次草稿的评点； 
  超过 120 个对 2017 年 1 月 10 日所拟定的 1.1 版的第一次草稿的评点； 
 m o 2016 年与 2017 年框架研讨会上 1200 名参会者提供的信息。此外，美国国家标准技术研究 b u 所之前发布了 1.0 版的网络安全框架，并附带有一份文件，名为《美国国家标准技术研究所 关于提升关键基础设施网络安全框架发展蓝图》。该发展蓝图中强调了未来发展、联盟与合 h t i g 作的关键“改进领域”。通过私营与公共部分的努力，一些改进领域已经得到改进，并纳入 框架 1.1 版本中。美国国家标准技术研究所对该框架作出贡献的所有人员表示感谢。 - 02 - 关键基础设施网络安全改善框架 内容摘要 美国的国家运作依赖于关键基础设施的可靠执行。随着关键基础设施系统复杂性与连接性的 持续提升，网络安全威胁亦随之升温，导致国家安全、经济与公共安全/健康面临严重风险。 与商业及声誉风险类似，网络安全风险同样会对企业业务产生巨大影响——包括增加成本、 影响收入，甚至损害创新能力以及吸引与挽留客户的能力。网络安全应当成为各类组织机构 内整体风险管理工作的重要组成部分。 为了更好地应对这些风险，《2014 年网络安全强化法案》（简称 CEA）对国家标准与技术研 究院（简称 NIST）的职能角色作出更新，要求其负责确定并制定一套网络安全风险框架， m o 以供各关键基础设施所有者及运营商自愿使用。根据 CEA 的要求，NIST 必须确定“一种包 含优先排序、灵活、可复用、基于效能及成本效益的方法，其中包括可由各关键基础设施所 c . 5 有者及运营商自愿采用的信息安全措施与控制方案，帮助其发现、评估并管理网络风险。” 这些要求相当于对 NIST 以往立足 13636 号总统行政令（简称 EO）制定的框架 1.0 版本作出 了全面改进，并将为未来的框架演变提供重要指导。根据 EO 13636 建立且根据 CEA 进一步 b u 完善的这套新框架，充分考虑到各类企业与组织的实际需要，使用常规语言阐述如何以经济 高效方式处理及管理网络安全风险，且未对企业提出额外的监管要求。 h t i g 这套框架侧重于利用业务驱动性因素指导网络安全活动，并将网络安全风险作为组织风险管 理流程中的一部分。该框架包含三大部分：框架核心、实现层以及框架概况。框架核心包含 一组网络安全行动、结果与信息参考集合，其内容涵盖不同部门及关键基础设施领域的常见 问题。核心部分的各元素能够为各组织机构提供详尽的执行指导。而在框架概况部分，该框 架将帮助各类组织机构调整自身网络安全活动，并确保其优先级顺序切实与自身业务/任务 要求、风险承受能力以及资源相吻合。实现层则为各组织机构提供执行机制，用以查看并理 解其网络安全风险管理方案的具体特征，从而更好地优先考量并实现网络安全目标。 本份文档旨在改善关键基础设施领域的网络安全风险管理工作，但同时亦适用于任何其它部 门或社区组织。此套框架能够帮助各类组织——无论规模大小、网络安全风险程度或网络安 全复杂性如何——应用风险管理原则与最佳实践，进而提升安全性与弹性水平。 此框架汇总各类现有高效运作标准、指导方针与实践，共同为多种网络安全方法提供一套通 用的组织架构。此外，由于该框架引用全球公认的各网络安全标准，因此亦适合作为国际合 作模型、关键基础设施强化方案以及其它部门及社区的网络安全保障指南。 该框架为网络安