国家网络安全能力成熟度模型（三）

前言

本部分主要是介绍针对关键基础设施的保护工作如何开展。其中也介绍了国外的CI是如何分类和定义的，以及一些现行的实践案例。

前文回顾：

国家网络安全能力成熟度模型（一）

国家网络安全能力成熟度模型（二）

正文

D 1.3 – Critical infrastructure protection

概述

关键基础设施（CI），也被称为关键国家基础设施（CNI），定义为维持重要的社会职能（包括健康、安全、安全保障、经济和社会福利）所必需的资产和系统。关键基础设施被破坏或毁坏必然会对社会产生重大影响。包括能源部门（电力、石油、天然气）、运输网络（公路、铁路、航空、内河航道和公海航道）、电信基础设施、金融系统、废物和饮用水系统、化学和核工业、紧急服务、军事和安全服务、民政和政府服务。

关键基础设施（CI）中信息和通信系统的集成和依赖通常被称为关键信息基础设施（CII）。关键信息基础设施（CII）被定义为对关键基础设施（CI）的运转至关重要的信息和（远程）通信基础设施。更具体地说，关键信息基础设施既包括在特定的关键基础设施部门或供应商使用的内部信息和通信系统，也包括更广泛的关键信息和通信基础设施，比如，互联网和移动电话网络。

如果关键信息基础设施（CII）被破坏或毁坏，那么关键基础设施（CI）也会被破坏。这反过来可能会对重要的社会职能产生一连串负面效应。如下图 1.4 所示。关键信息基础设施面临着许多威胁，包括黑客主义、网络犯罪、网络间谍和国家启动的网络攻击。它可能存在一系列漏洞，包括软件缺陷、人为错误和外部干扰。

黑客主义和网络犯罪的攻击通常更频繁，但不那么复杂，影响也不那么严重。它们通常包括拒绝服务（DoS）攻击、丑化网站、窃取和发布敏感信息、在线欺骗和在线欺诈。这可能会对关键基础设施造成经济损失和破坏，尽管损害往往很小。相比之下，网络间谍和网络战争攻击通常不那么频繁，但对关键基础设施的影响可能非常严重。特别是，国家启动的攻击或来自重要的非国家行为者的攻击，涉及侵入另一个国家的计算机和网络，意图破坏或摧毁，可能导致对关键基础设施的大规模干扰，立即造成经济损失，并中断必要的社会服务。网络间谍活动可能导致机密信息的丢失，这通常对关键基础设施的安全构成间接但重大的威胁。换句话说，网络间谍活动本身并不打算破坏关键信息基础设施，但是个人、经济、军事、政治、商业和关键基础设施信息的损失可以被用来确定和暴露关键基础设施和关键信息基础设施（CII）中的漏洞。

本节讨论了许多有助于提高关键信息基础设施（CII）安全性的步骤，最终目的是为了提高关键基础设施（CI）的保护和恢复能力。方框 1.3 提供了对这些步骤的概述，这些步骤将在接下来的页面中详细地进行讨论。

能力建设步骤

➢ 在政府范围内任命任务负责机构

关键基础设施（CI）IP 是一个多机构的活动，涉及政府部门（通信、信息通信技术、经济事务、安全、内阁办公室、司法、国防等）、地区公共机构、监管机构中重要的公共利益攸关方和其他相关公共利益攸关方。此外，与关键基础设施（CI）IP 直接相关的私营部门利益攸关方，包括关键基础设施（CI）和关键信息基础设施（CII）运营商、制造商、系统集成商、第三方维修公司、学术界、研发机构和非政府组织（NGOs）。

任务负责机构应协调并对关键信息基础设施保护（CIIP）负责。这可能包括：

确定关键基础设施（CI）和关键信息基础设施（CII），以及确定相关关键基础设施（CI）和关键信息基础设施（CII）利益攸关方；

制定关键基础设施保护（CIP）与关键信息基础设施保护（CIIP）战略；

协调利益攸关方实施关键基础设施保护（CIP）和关键信息基础设施保护（CIIP）战略；

监测和改进关键基础设施保护（CIP）和关键信息基础设施保护（CIIP）战略及其实施；以及促进有关公共部门和私营部门利益攸关方之间的资料共享。

指定任务负责机构的潜在好处可能包括尽量缩短恢复和恢复期间，并促进各利益攸关方之间的共同理解。此外，任务负责机构将能够在具有不同优先级的机构之间进行调解。

为了确保良好的定位，提供战略方向，关键是关键信息基础设施保护（CIIP）部门必须受到在信息和通信技术方面具有很强资质的领导者的监督，特别是在信息保障方面，而且任务负责机构必须具备管理关键信息基础设施保护（CIIP）部门与其他利益攸关方（包括私营部门内部）关系所需的谈判技巧。

➢ 确定并让公共部门和私营部门的利益攸关方参与进来

任务负责机构应定期与所有相关的公共利益攸关方进行接触，并与拥有和/或控制关键基础设施资产的私营部门行动者进行联系。从关键基础设施保护（CIP）和关键信息基础设施保护（CIIP）的早期阶段开始，重要的是在政府内部采取多机构的方式，在政府之外建立公私伙伴关系（PPPs），并在利益攸关方之间建立有效的信息共享平台。所有相关的利益攸关方的参与不仅为任务负责机构提供对关键基础设施（CI）和关键信息基础设施（CII）不同部分的治理和所有权的深刻理解，而且对于构建一个所有的利益攸关方一起工作、共享信息并采取适当行动的环境也很重要。减轻关键基础设施（CI）和关键信息基础设施（CII）面临的许多风险的能力和责任在于众多不同公共部门和私营部门的利益攸关方，如果不让这些利益攸关方充分地参与关键信息基础设施保护（CIIP）过程，可能会降低任何关键信息基础设施保护（CIIP）战略的有效性。

首先重要的是要确定公共部门和私营部门的相关利益攸关方。在许多国家，关键基础设施（CI）和关键信息基础设施（CII）所涉及的利益攸关方是多样且复杂的。

一旦确定了利益攸关方，下一步就是在有关各方之间建立接触与合作。例如，在公共部门，这可以通过定期举行圆桌会议，从战略、战术和业务层面讨论关键信息基础设施保护（CIIP）来建立接触与合作。这些可以包括就治理结构、法律任务和业务协调与合作的程序进行的讨论。这些圆桌讨论以后可能会扩大到包括私营部门的利益攸关方，其目标不仅是在各部门之间有效地委派任务，而且也要建立一种资源共享、信息共享和联合决策的协作环境。

圆桌讨论并不是实现公共部门和私营部门参与的唯一手段，本节的最后一部分中将讨论更多的选择项。

➢ 识别在审核清单里关键基础设施中的网络漏洞（包括在供应链中的漏洞），并将该清单分发给相关政府利益攸关方， 根据他们的脆弱性和影响按照优先顺序对资产进行确认

在制定关键信息基础设施保护（CIIP）战略之前，需要采取某些初步的步骤：

关键基础设施（CI）的确定；

关键信息基础设施（CII）的确定；

风险评估（包括威胁评估、漏洞评估和影响分析）

尽管关键基础设施（CI）的确定应先于关键信息基础设施（CII）的确定进行，但这三个步骤不一定需要按这个顺序执行。而且，关于这三个步骤中的每一个都存在有大量的文件。这里只提供了一个简要的概述，这三个步骤中的每一个步骤都应该参考本节末尾列出的文档。

关键基础设施（CI）的确定

确定关键基础设施（CI）方法多样，包括自底向上方法、使用简单标准和度量指标的自顶向下的分析法，以及开发和使用详细的度量指标的自顶向下分析法。以下给出以下具体的实例供参考。

关键信息基础设施（CII）的确定

在确定关键基础设施（CI）之后，下一个阶段是确定和评估支撑关键基础设施（CI）部门的关键信息基础设施（CII）。这包括对下列两项的确定：

• 支持每个关键基础设施（CI）部门运作的关键信息、通信和控制系统；

• 跨关键基础设施（CI）部门（比如，互联网、移动电话和卫星网络）使用的关键信息和（远程）通信网络基础设施。

有大量的文献讨论了识别 CII 的不同方法，尽管在这个 工具 箱中没有提供关于该领域的详细讨论。

本节最后列出了关于这方面的进一步参考资料。但是，有一些关于如何查验国际监测协调员的一般性建议，包括：

使用结构化的、系统的方法

从公共和私营部门识别和雇佣 CII 运营者

识别 CI 部门之间的依赖性和信息供应链

识别无法控制的依赖关系，如使用国际网站托管平台和云计算服务器、对国际上依赖的互联网交换站点和使用第三方硬件制造商

对 CII 定期进行重新评估

对新兴 CII 技术和不断变化的依赖性进行研究

日本关于关键信息基础设施保护（CIIP）的基本政策提供了许多跨不同关键基础设施（CI）部门的关键信息基础设施（CII）示例，如表 1.3 中所示。

风险评估

除了确定关键基础设施（CI）和关键信息基础设施（CII）之外，对关键信息基础设施（CII）进行风险评估也是很重要的。风险评估应该确定，并对关键信息基础设施（CII）面临的风险进行优先排序，并将这些信息传达给相关的利益攸关方。风险本身是一个抽象概念，它结合了概率和潜在影响，但为了进行风险评估，它可以细分为三个领域：威胁、漏洞和影响。风险评估可以包括对这三个领域的评估。

图 1.6：国家级风险评估的组成部分

威胁评估是为了寻求确定攻击行为者的类型、攻击方法和潜在的攻击目标。漏洞评估的目的是发现关键信息基础设施（CII）安全性中的技术和非技术弱点，这些弱点可能是由于信息基础设施老化、系统过载、软件过时、缺乏维护或与外部网络的互连增加等原因造成的。与上面的临界性评估相类似，影响评估试图从类型（经济、人）和严重程度（程度、范围广度、期限）两方面认识关键信息基础设施（CII）遭受网络攻击的可能后果。

有几种方法可以用于进行国家级的风险评估。下面的图 1.7 和图 1.8 提供了风险概要的两个示例。

注释：

Worst case flooding 最糟糕的水灾；
Deliberate power disruption 蓄意的电力中断；
Cyber conflict 网络冲突；
Deliberate ICT disruption of CI 蓄意破坏关键基础设施（CI）的信息通信技术（ICT）；
Internet exchange failure 互联网交流失败

注释：

Criticality of Infrastructure 基础设施的临界性；
Assessment of Likelihood（a combination of vulnerability & threat）可能性评估（漏洞和威胁的结合）；
Priority 优先级

➢ 为已经确定的关键基础设施制定保护和风险管理策略

关键信息基础设施保护（CIIP）的下一个阶段是关键信息基础设施保护（CIIP）战略的开发。关键信息基础设施保护（CIIP）战略可以被纳入更广泛的国家网络安全战略，也可以作为独立的政策文件而存在。保护和风险管理策略不仅应该得到政府最高层的支持，更重要的是，还应该得到所有相关利益攸关方的承诺。

关键信息基础设施保护（CIIP）战略可寻求从高级层面上解决这四个领域的问题，即：对可能的网络攻击的预防和早期预警；网络攻击的检测；对网络攻击的反应；以及关键基础设施（CI）和关键信息基础设施（CII）中断时的危机管理。该战略应该明白表示明确的意图和 SMART （具体的、可衡量的、可实现的、现实的和有时限的）政策目标。

➢ 出台国家关键基础设施资产保护概览计划，注明哪些威胁要集中进行管理，哪些威胁要进行本地化管理；在关键基础设施资产的日常管理中嵌入足够的网络安全风险管理过程、技术解决方案和损害减轻措施

关键信息基础设施保护（CIIP）战略和关键信息基础设施保护（CIIP）行动计划之间有一个重要的区别。通常情况下，战略寻求沟通高层目标，以确定总体方向，而行动计划确定并委派相关的利益攸关方执行短期到中期任务。例如，这些措施可以包括实施风险管理周期，其中包括经常重新评估风险，然后制订、实施和评估新的安全措施，以期不断地改进和完善国家的关键信息基础设施保护（CIIP）。

行动计划可以包括，但不限于，处理以下组成部分的策略：

不断收集威胁情报和分析，以便于持续地完善关键信息基础设施保护（CIIP）的知识库；

推广网络安全原则；

加强信息共享和其他协作机制；

安全应急响应能力增强；

定期检测信息系统漏洞；

风险管理；

跨部门演习；

对环境变化的监控和敏捷响应。

➢ 促进利益攸关方之间的信任，并为双方的互利合作创造一个有利的环境

利益攸关方在公共领域和私人领域，以及国家层面和国际层面的参与是保护国家网络安全的一个关键条件。这样的环境可以通过安排定期的信息交流会议来创建。

建立基于信任的强大网络是迅速地、及时地交换关键信息等活动的关键条件。如果相关人员具有类似级别的技术能力、权力和自主权，并对风险有共同的承受能力，就可以最有效地实现这一目标。

其他参考资料

结语

觉得有用，各取所需。

*本文作者：lywhiz，转载请注明来自FreeBuf.COM。