2022年10月|保密科学技术|59域外观察美国《改善关键基础设施网络安全的框架》研究上官晓丽王惠莅/中国电子技术标准化研究院1引言自“9•11”事件以后,美国关键基础设施面临的网络威胁持续加大,联邦政府将关键基础设施的安全提升到国家安全的高度,并先后发布近30项相关法令、战略、报告等,重视程度可谓前所未有。其中,2013年发布的第13636号行政令《增强关键基础设施网络安全》[1]影响深远。第13636号行政令的第7章,明确要求商务部指导国家标准技术研究院(NIST)制定控制关键基础设施网络风险的网络安全框架(以下简称框架)。该行政令指出,框架应包括一系列与标准、方法、程序和过程相匹配的可降低网络风险的政策、业务和技术方法,尽可能包括自愿性标准和行业最佳实践。当国际标准能够推动实现本行政令的目标时,网络安全框架也可采用国际标准有关内容。该指令不仅指定NIST作为框架的主要起草者,还明确了框架应当包括的内容。第13636号行政令要求,“在本行政令发布后240天内,NIST应发布一个网络安全框架初稿。在本行政令发布后1年内,NIST应发布满足第8章规定要求(一项自愿性关键基础设施网络安全计划)的网络安全框架最终版。因此,2013年12月,NIST发布了网络安全框架初稿并公开征求意见;2014年2月,NIST正式发布了《改善关键基础设施网络安全的框架》(1.0版)。2017年12月,NIST公布框架更新版(1.1版),并在网站上广泛征求意见。2018年4月,NIST正式发布框架1.1版[2]。与1.0版本相比,新版增加了自【摘要】本文对美国《改善关键基础设施网络安全的框架》的主要内容及实施情况进行了分析,并结合我国关键信息基础设施安全工作和国家标准情况,提出了我国关键信息基础设施安全国家标准化工作相关建议。【关键词】网络安全框架关键基础设施关键信息基础设施【中图分类号】D771.2【文献标识码】A60|保密科学技术|2022年10月域外观察评估和网络供应链风险管理相关内容,对认证、授权和标识等进行了改进,解释实施层和轮廓之间的关系,以及协调披露网络漏洞信息等。2022年2月,NIST再次启动框架修订工作(2.0版),目前尚未正式发布。本文主要围绕框架V1.1版展开内容分析,该版本包括了5个环节,23个分类,108个子类。2框架主要内容框架是一套着眼于安全风险,应用于关键基础设施领域的安全风险管控的流程。按照美国联邦政府相关行政指令要求,框架的制定应基于一系列的业界标准和最佳实践来帮助组织管理网络安全风险。政府和私营部...
