《NIST《改进关键基础设施网络安全框架》分析》.pdf

编辑 ：胡欣 标准化研究 I E-mail：huxin@cesi．cn StandardizationResearch I NIST 《改进关键基础设施网络安全 眶架》分析 ~nalyzingOilNISTFrameworkforCriticalInfrastructureCyberSecurity I中国信息安全研究院 贾浩淼 王 石 摘 要 NIST发布 《改进关键基础设施网络安全的框架》，不但是美国在保护关键基础设施网络安全方面的重 大举措，而且在制定网络安全标准的方法学方面有创新。分析了框架核心、框架实施层、框架轮廓 ，并总结了 框架特点。 关键词 关键基础设施 网络安全 标准 Abstract：NIST issueda”FrameworkforImprovingCriticalInfrastructureCybersecurityVersion1．0”．Itisnotonlyall importantmeasuretoprotectcriticalinrfastructure，butalsoaninnovationonmethodologyofdevelopingcybersecurity standard．Thispaperanalyzedtherfameworkcore，rfameworkimplementationtiers，rfameworkprofile，andatlastsum up therfameworkcharacteristic． Keywords：criticalinrfastructure；cybersecurity；standard 2014年 2月 12日，NIST发布 了 改进关键基 列新 的制度性要求 ，并提出采取很多新 的、长远性 出设施网络安全 的框架 (以下简称 框架 )第一版 ， 的积极举措。 是美 国政府首次对 国家关键基础设施提出安全标 该行政令提 出，要制定包含一系列 自愿性 的 匡，将对美 国关键基础设施保护产生深远影响。由 网络安全标准、指南和实践的网络安全框架，由政 于关键基础设施种类很多，情况千差万别，且 87％ 府部 门和关键基础设施业主、运营商合作共 同开 以上掌握在私营企业手中，工业界担心政府过度 “干 发 。在框架制定过程 中，NIST设置 了公开审查和 预”关键基础设施网络安全 ，此次NIST采用了一整 征求意见程序，并 向国防部 、国家安全局、各行业 套新的方法学来制定网络安全框架 。 的对 口政府机构和其他政府机构、关键基础设施所 伺 有 布u 目有 以 具 他 不U盒 大 有 进 仃 T合 测 o 1日J 《框架》背景 时，国防部长、国家情报总监和其他相关机构负责 人为框架开发提供威胁和漏洞信息，以及专业技术 近几年，考虑到关键基础设施 网络安全影响到 支持。 国家安全和经济发展 ，美 国政府 曾多次试 图制定关 该框架是 自愿性的，但为了激励企业主动采用， 键 基础设施安全标准 ，并通过立法予以实施 ，但私 按照行政令要求，国土安全部、商务部和财政部提 营企业认为政府不应该越俎代庖 ，反对政府监管， 出了包括 网络安全保险、补助、优先处置权、缩小 且很多人担心隐私和公 民自由等 问题 ，这是近几年 责任范 围等八项可行 的激励措施方案，并通过总统 美国网络安全相关法律难产 的根本原因。在关键基 国家安全和反恐事务助理、总统经济事务助理 向总