为了提高我国关键信息基础设施网络安全保护水平,以美国相关标准规范为对象,研究了美国《关键基础设施网络安全改进框架》的组织结构和实际应用,以美国《能源行业网络安全框架实施指南》为例阐述了关键信息基础设施网络安全改进框架在美国能源行业的实施步骤及方法 。从目标、实施、映射三个方面对美国关键信息基础设施保护规范进行了综合分析 。针对我国关键信息基础设施保护现状,结合美国关键信息基础设施保护经验提出5点启示建议 。
内容目录:
1 美国关键信息基础设施网络安全保护发展与实施历程
1.1 发展历程
1.2 实施应用
2 美国《关键基础设施网络安全改进框架》结构与实施步骤
2.1 框架结构
2.2 实施步骤
3 美国网络安全框架与C2M2实践的结合——以《能源行业网络安全框架实施指南》为例
4 启示建议
5 结 语
0 引 言
当今信息社会,国家安全、经济安全、社会安全以及人民福祉严重依赖关键信息基础设施这一复杂动态巨系统 。我国关键信息基础设施正面临全球有组织、有目的、高强度地持续攻击和安全挑战 。为提高我国关键信息基础设施网络安全保护水平,研究了美国《关键基础设施网络安全改进框架》的内容与组织结构,以及在能源行业的实施步骤,结合我国现状提出了启示建议 。
1 美国关键信息基础设施网络安全保护发展与实施历程
为了提高我国关键信息基础设施网络安全保护水平,以美国相关标准规范为对象,研究了美国关键基础设施网络安全保护法律法规的发展历程和实施应用中法律规范的关系 。
1.1 发展历程
1996年7月,美国政府通过发布第13010号行政令成立关键基础设施保护总统委员会,这是第一个针对关键信息基础设施的行政令 。2000年1月,美国政府颁布了第一个针对关键信息基础设施的保护计划——《信息系统保护国家计划1.0》 。2001年,在颁布的《爱国者法案》中首次对关键基础设施进行定义 。2002年,美国国土安全部成为“9·11”事件后成立的第一个负责国内安全及反恐活动的行政机构 。2006年6月,美国国土安全部颁布《国家关键基础设施保护计划》,为各级政府和私营部门管理关键基础设施提供参考架构 。《网络安全增强法案(2014)》是美国制定促进持续自愿的公私合作关系、增强网络安全研究、提升公共安全意识的法案 。2014年2月12日,美国国家标准技术研究院(National Institute of Standards and Technology,NIST)发布了《关键基础设施网络安全改进框架》(Framework for Improving Critical Infrastructure Cybersecurity)V1.0 版本,以下简称网络安全框架 。2018年4月,NIST发布新的《关键基础设施网络安全改进框架》V1.1版本,新增了自我评估,扩展了供应链安全,细化了认证授权、身份证明、漏洞披露生命周期管理等方面,目的在于为相关组织机构提供更细粒度的指导,实现个体组织价值的最大化 。
以网络安全框架作为指导框架,2015年1月,美国能源部颁布《能源行业网络安全框架实施指南(2015 版)》 。根据美国能源行业的实际网络安全环境,逐步实现网络安全框架指导目标 。
1.2 实施应用
根据网络安全框架,美国能源部联合国土安全部在 2014 年和 2019 年分别颁布了网络安全成熟度模型(Cybersecurity Capability Maturity Model,C2M2)V1.1和V2.0 。C2M2模型 建立了一套定量评估网络安全风险等级的体系化方法,可广泛应用于各类组织及网络安全管理机构,从而提升网络安全能力,并与其他网络安全标准、网络安全管理机构的实际工作相结合 。C2M2模型作为一套描述性的网络安全实践指南,有助于网络安全框架落地实施 。《网络安全增强法案》、网络安全框架与网络安全能力成熟度模型,以及在相关行业实施的关系如图1所示 。
推荐阅读
- 迷你世界怎么用微缩模型做生物 方法其实很简单
- 如龙极2主角模型怎么修改 如龙极2快速修改主角模型教程
- 魔兽争霸3重制版角色预览 魔兽争霸3重制版人物模型分享 伊利丹
- 魔兽争霸3重制版兽族英雄介绍 兽族英雄模型技能一览 剑圣_网
- 魔兽争霸3重制版亡灵英雄大全 亡灵英雄模型技能一览 死亡骑士_网
- 宝可梦探险寻宝高级球模型获得方法 高级球模型点券
- 宝可梦探险寻宝大师球模型获得方法 大师球模型点券
- 微软飞行模拟飞机没有进离场模型怎么办 飞机进离场模型找回
- 《黎明杀机》卡模型bug玩法解析攻略
- 迷你世界怎么把微型模型打开 具体步骤分享