美国网络安全框架v1.1草稿更新内容分析

2014年2月，NIST发布了《提升关键基础设施网络安全的框架》（以下简称“框架”）V1.0正式版本。本安全框架的起源是美国前总统奥巴马发布的《关于提高关键基础设施网络安全的行政命令》，要求NIST制定安全框架，应包括一系列与标准、方法、程序和过程相匹配的解决网络风险的政策、业务和技术方法。2017年1月，NIST发布了框架V1.1的草稿，预计今年10月份会出正式版本。评估中心技术部基于框架更新的内容进行了研究分析和部分内容的翻译，该框架对于等级保护测评也具有一定的研究和参考价值，现将研究总结的内容提供给大家研究学习。

框架V1.1主要是从以下4个方面对V1.0做了改进、澄清和增强：

表一 框架更新内容

下面我们将从以上4个方面对框架更新的内容进行详细分析。

一、网络安全测量

框架最大的变化是在原来的基础上增加了第4章节“测量和展示网络安全”，该章节主要讨论了网络安全测量的相关概念以及业务成果与网络安全风险管理指标和措施的相关性，第4章的详细内容如下：

框架测量（Measurement）为机构内部和外部的强信任关系提供了基础。随着时间的推移，通过外部审计和合规性评估来衡量状态和趋势，使机构能够理解并向第三方、合作伙伴和客户传达有意义的风险信息。

结合参考文献，框架可用作综合测量的基础。使用框架测量的关键术语是“指标”（Metrics）和“措施”（Measures）。测量指标用于促进决策，提高绩效和职责。执行等级、子类别和类别是测量指标的示例。测量指标通过聚合和关联措施来创建组织安全态势的意义和意识。措施是“可量化、可观察、客观的支持测量指标的数据”。措施与技术控制最密切相关，例如参考文献。

从安全测量指标收集的信息显示了机构不同方面的网络风险状态。因此，跟踪安全指标和业务成果可以提供有意义的视角，展示了安全控制的变化如何影响业务目标的完成。虽然通过滞后测量来测量业务目标是否达到是很重要的，但通常通过领先测量的方式，来了解实现未来目标的可能性通常更为重要。

机构确定网络安全和业务成果之间因果关系的能力取决于测量系统的准确性和精度（即由ID.AM-5中强调的“资源”组成）。因此，在设计测量系统时应考虑业务要求和操作费用。测量系统的费用可随着测量精度的增加而增加。为了减轻测量系统对机构的不当成本，测量系统的准确性和花费需要和相应业务目标所需的测量精度相匹配。

4.1节 与业务成果的相关性

测量网络安全的目标是将网络安全与业务目标（ID.BE-3）相关联，以便理解和量化因果关系。常见的业务目标包括：推动业务/使命结果、提高成本效益、降低企业风险。

将网络安全指标与业务目标相关联，往往比简单地测量网络安全结果更为复杂。对于给定的业务目标，存在大量且多样化的驱动因素。例如，对于想要增加在线银行客户数量的零售银行，可以通过实施更强的鉴别来实现。然而，实现在线银行客户的增加还取决于发展关于可信的在线交易消息、针对特定群体的消费者，选择对特定群体最有意义的通信信道，以及在实现目标所需的持续时间上营销那些通信信道。总之，实现客户增长取决于信息、营销、广告网络安全和其他因素。

不同网络安全活动的相对成本效益是一个重要的考虑因素。成本效益意味着使用最低的网络安全时间和费用实现特定的业务目标。为了检查成本效益，机构必须首先清楚地了解业务目标，了解业务目标和网络安全指标之间的关系，以及了解业务目标和非网络安全因素之间的关系。

网络安全结果对业务目标的影响通常是不清楚的。网络安全的主要作用是保护业务价值，是通过保护机构的信息、操作和过程的保密性、完整性和可用性（以下简称为“CIA”）实现的。因此，即使当成本效益或网络安全结果对业务目标的影响不清楚，机构应在修改其网络安全计划时谨慎行事。通常，网络安全结果可以防止恶劣的业务环境，例如数据泄露。

企业风险管理是考虑到实现既定业务目标的所有风险。确保将网络安全因素引入到企业风险考虑中是实现业务目标所必需的。这包括网络安全的积极影响以及网络安全被破坏的负面影响。下面强调的管理测量指标是使用框架核心来聚合网络安全风险的一种方式，使网络安全成为企业风险管理的考虑因素。

机构决定网络安全结果和业务目标之间的因果关系的能力还取决于充分隔离这些网络安全结果和业务目标的能力。这是影响网络安全测量的最大挑战之一。必须特别注意，确保给定的网络安全结果和业务目标真正相关。一般来说，将网络安全措施与更高级别的网络安全指标相关联，比将网络安全指标与业务指标相关联更为容易。

4.2节 网络安全测量的种类

表二中总结了有关框架的指标和措施

表二 框架的指标和措施

框架执行等级是网络安全风险管理全面实践的一个定性指标。除了首要的1 - 4定性指标外，风险管理流程、综合风险管理方案、对外参与和网络供应链风险管理独特的执行等级属性也包括实践指标。

而执行等级中的实践是高层组织行为的一般趋势，这些实践是由代表特定风险管理活动的离散过程组成的。例如，更新框架轮廓过程的周期（步骤3）是在风险管理过程中这个指标给出的措施。同样，解决网络安全风险（ID.GV-4）的治理和风险管理流程在整合风险管理程序这个指标中给出的措施。最后，从信息共享论坛和来源（ID.RA-2）接收到的威胁和脆弱性信息量是在对外参与这个指标中给出的。

框架核心的网络安全结果是全套网络安全管理指标的基础。这些指标的总和等同于网络安全风险的减少或消失。

例如，保护功能的结果是“制定和实施相应的保障措施，确保交付…” 对这一结果负责的高级管理人员可以使用系统的正常运行时间（即确保交付）的滞后指标来测量，以及用于开发和实施数据安全制定和传达策略的主要指标。

相应地，业务流程人员可能对保护功能（PR.DS）的数据安全类别及其子类别负责。 数据安全指“根据组织的风险策略管理信息和记录（数据），以保护信息的CIA。”对所有数据安全负责的业务流程人员可以使用政策的发布和传播与组织的风险策略和CIA的目标是否相符这一主要指标来测量。此业务流程人员的滞后指标可能是数据安全子类别负责人如何管理CIA的复合滞后指标。

同样，负责保护静态数据（PR.DS-1）的执行/操作人员可能会根据执行保护机制的主要指标来测量，其中滞后指标是指数据是否得到保护，这是由缺乏未经授权的修改、删除或盗窃组织数据来证明的。执行/操作人员可以使用适用的参考文献和相应的措施来实现PR.DS-1的目标。

参考文献，如控制目录，提供详细的技术措施，以模块化的方式对框架进行补充。例如，机构使用NIST SP 800-5314安全控制SP-28实施PR.DS-1子类别可能对设计，开发/购买，实施，管理，演变和终止的措施负责：

l 通过各种媒体存储（内部托管硬盘，云硬盘，便携式存储设备，移动设备）的密码机制

l 针对特定数据结构的全磁盘加密（例如文件，记录或字段），

l 文件共享扫描，

l 可多次读一次写的技术，以及

l 安全的离线存储代替在线存储。

二、网络供应链风险管理

在框架中的第二大变化就是将网络供应链风险管理方面的内容贯穿在整个框架当中，在框架的“2.2框架执行等级”、“3.3与利益相关人沟通网络安全要求”以及附件表2中都增加了与网络供应链风险管理的相关内容，更新内容具体的翻译如下：

2.2节 框架执行等级

第1级：局部的

网络供应链风险管理—机构可能不了解网络供应链风险的所有含义，或者没有识别、评估和缓解其网络供应链风险的流程。

第2级：依据风险的

一体化风险管理方案—机构的某些级别会在使命/业务目标中考虑网络安全。机构资产的网络风险评估通常是不可重复的。

网络供应链风险管理—机构理解与产品或服务相关的网络供应链风险，这些产品和服务既支持组织的业务使命功能，也可用于组织的产品或服务。该机构在内部或与其供应商和合作伙伴之间没有管理网络供应链风险的正式能力，执行这些活动存在不一致性。

第3级：可重复的

一体化风险管理方案—机构持续准确地监测机构资产的网络安全风险。高级网络安全和非网络安全主管定期沟通网络安全风险。 高级主管通过机构中的所有业务线考虑网络安全。

网络供应链风险管理—通过企业风险管理政策、流程和程序执行全机构的网络供应链风险管理办法。这可能包括治理结构（例如风险委员会），管理网络供应链风险与管理其他的风险相平衡。政策，过程和程序按照预期一致地实施，并持续监测和审查。人员具有执行其指定的网络供应链风险管理职责的知识和技能。机构制定了正式合同，向其供应商和合作伙伴传达基本要求。

第4级：适应性的

一体化风险管理方案—当作出决策时应清楚地了解和考虑网络安全风险和使命/业务目标之间的关系。高级管理人员监控网络安全风险与监控金融风险和其他机构风险一样。机构基于对当前和预测的风险环境和未来风险的了解进行预算。业务部门实现业务前景和分析系统级风险时应考虑到机构的风险偏好和风险容忍度。

所有阶层都清楚地表达和理解网络安全风险。该机构可以快速有效地解释业务/使命目标、威胁和技术的变化，以了解风险是如何传达和接近的。

网络供应链风险管理—机构可以使用实时或接近实时的信息，快速高效地解决新兴的网络供应链风险，并利用供应链风险管理的制度化知识管理外部供应商、合作伙伴以及内部网络相关职能部门。机构主动沟通、并使用正式（例如协议）和非正式机制来发展和保持与供应商、合作伙伴、个人和机构买家的牢固关系。

3.3节 与利益相关人沟通网络安全要求

此外，执行等级使得机构了解它们如何适应更大的网络安全生态系统。机构可以通过评估其在关键基础设施和更广泛的数字经济中的地位，更好地管理利益相关者之间的网络安全风险。

在利益相关者之间沟通和验证网络安全要求的做法是网络SCRM的一个方面。网络SCRM的主要目标是识别、评估和缓解可能包含潜在恶意功能的产品和服务，或者由于网络供应链中不良的制造和开发实践造成的脆弱性。网络SCRM活动可能包括：

l 确定供应商以及信息技术（IT）和运营技术（OT）合作伙伴的网络安全要求，

l 通过正式协议（如合同）制定网络安全要求，

l 与供应商和合作伙伴沟通如何验证和确认这些网络安全要求，

l 通过各种评估方法验证网络安全要求是否满足，

l 调整和管理上述活动。

如下图所示，网络SCRM包括IT和OT供应商和买方，以及非IT和OT合作伙伴。这些关系突出了网络SCRM在关键基础设施和更广泛的数字经济中处理网络安全风险的关键作用。它们应该被识别并纳入到机构的保护和检测能力以及组织的响应和恢复协议中去。

图1 网络供应链关系

买方是指一些人员或机构，他们从一个机构中购买一个指定的产品或服务。供应商包含产品和服务提供商，是用于机构内部目的（例如IT基础设施）或集成到提供给买方的产品或服务中去。最后，非IT和OT合作伙伴可能会对机构的安全状态构成风险。

无论考虑核心的个别子类别，还是综合考虑轮廓，框架为机构及其合作伙伴提供一种确保新产品或服务符合按照优先顺序考虑的安全性结果的方法。通过首先选择与上下文相关（PII传输，业务关键服务交付，数据验证服务，产品或服务完整性等）的结果，机构可以根据这些标准评估合作伙伴。例如，如果正在购买将要监控OT的特定系统，则可用性可能是要实现的特别重要的网络安全目标，因此可用性将驱动子类别的选择。

附件表2：功能和类别唯一标识符 类里面增加了“供应链风险管理”，本类包括5个子类：

ID.SC-1：网络供应链风险管理流程由组织利益相关者确定、建立、评估、管理和批准

ID.SC-2：使用网络供应链风险评估过程来识别、优先排序和评估关键信息系统、组件和服务的供应商和合作伙伴

ID.SC-3：合同要求供应商和合作伙伴实施适当措施，旨在实现信息安全计划或网络供应链风险管理计划目标。

ID.SC-4：监测供应商和合作伙伴，以确认他们履行了所需的义务。对审查的记录，测试结果摘要或对供应商/提供商的其他同等材料进行审核。

ID.SC-5：对关键供应商/提供商进行响应和恢复计划和测试。

三、对鉴别、授权和身份证明的优化

本框架中第三大变化就是对“附录A框架核心”的访问控制类进行了细化和增加，将资产明确为了物理和逻辑资产，并且要求与未经授权访问授权活动和交易的评估风险相一致进行管理。除此之外还增加了PR.AC-6身份证明的内容。表三中总结出了V1.0版本和V1.1版本中访问控制类的相关内容，表中标黑的内容为V1.1较V1.0更新的内容，详细内容如下表所示：

表三 框架核心中的访问控制类

四、更好地解释了执行等级和轮廓之间的关系

框架的第四大变化就是在“3.2建立或改进网络安全方案”中增加了在框架实施过程中使用框架的执行等级的描述。为框架的执行等级增加描述以反映机构在安全框架中整合风险管理的方案。下文标黑的部分是建立或改进网络安全方案的7个步骤中更新的内容：

步骤1：确定优先级和范围

增添的内容：执行等级可用于表示不同的风险界值。

步骤2：确定方向

V1.0：接下来，机构识别这些系统和资产面临的威胁和所存在的脆弱性。

V1.1：接下来，机构咨询来源用来确定对于这些系统和资产可被利用的威胁和漏洞。

步骤3：创建当前轮廓

增添的内容：如果实现了部分地结果，注意到这一事实将有助于支持后续步骤。

步骤4：进行一次风险评价

V1.0：重要的是，机构应该寻求用最新风险、威胁和脆弱性数据来促进对网络安全事件发生可能性和影响的透彻了解。

V1.1：重要的是，机构识别新兴风险，并使用来自内部和外部来源的网络威胁信息，以便更好地了解网络安全事件的可能性和影响。

步骤5：创建一个目标轮廓

增添的内容：当与执行等级一起使用时，等级水平的特征应反映在所需的网络安全结果中。

步骤6：确定、分析和按优先级排列差距

增添的内容：利用任务驱动程序，成本/收益分析和风险理解 - 实现目标轮廓中的结果。

以上内容是评估中心技术部对框架V1.1草案更新内容的总结以及翻译，供大家参考，如若想阅读框架英文原文，请参考链接：https://www.nist.gov/sites/default/files/documents////draft-cybersecurity-framework-v1.11.pdf。

译者：公安部信息安全等级保护评估中心 王然