(5)自我评估工具箱 。C2M2工具箱可实现逐步的自我评估,并具有基于宏的评分和结果报告 。这些资源有助于定期重新评估和根据目标轮廓衡量进度 。
4 启示建议
我国关键信息基础设施保护现状:已经构建了包括《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》、网络安全等级保护系列标准、关键信息基础设施网络安全保护系列标准、重点行业关键信息基础设施网络安全保护标准的保护体系 。
但是,目前我国《关键信息基础设施安全保护条例》自2017年征求意见稿以来仍未正式发布、关键信息基础设施安全系列标准的制定与发布周期较长,期间可能存在安全保护的空档期;政府职能部门、科研机构、教育机构、骨干企业、测评机构之间在关键信息基础设施保护体系的协调配合不够流畅,可能对安全事件的响应不够精准及时 。关键信息基础设施保护需要人、技术、管理的全方位保障与协调,我国关键信息基础设施保护仍然存在重技术、轻人员和管理的问题,与人和管理相关的安全事件占比仍然较高 。
针对我国关键信息基础设施保护现状,结合美国关键信息基础设施保护经验提出以下启示建议:
(1)借鉴美国关键信息基础设施网络安全保护体系规范,自顶向下、逐层细化 。
(2)广泛征求行业骨干企业、重要学术机构、著名教育机构、政府职能部门、权威测评机构等的综合意见,激励各方积极参与、形成标准体系,提高关键信息基础设施保护的影响力和权威性 。
(3)选取电力、能源等重点行业进行关键信息基础设施网络安全保护实施案例分析,带动其他行业进行网络安全系统防护 。
(4)通过网络安全测评、动态演练、逐步优化,提升关键信息基础设施动态防护水平 。
(5)加强网络安全人才教育与培训考核,提升关键信息基础设施人才技术与管理能力 。
5 结 语
为了加强我国关键信息基础设施保护,本文研究了美国网络安全框架以及C2M2模型的组织结构与实施步骤 。按自顶向下方法,从网络安全框架到其扩展的C2M2评估模型,再到电力行业实施进行了分析 。最后从目标、实施、映射三个方面对采用网络安全框架和C2M2模型保护关键信息基础设施,总结如下:
(1)目标
网络安全框架的目标是构建适用于各领域网络安全风险管控治理的通用描述方法,确保可扩展性与技术创新,希望各行业在实际应用中自愿采纳的技术标准和参考规范 。
C2M2模型的目标则是帮助所在部门和组织评估并改进其网络安全规划,增强其网络安全运营弹性 。重点在于信息技术、运营技术以及运行环境相关的网络安全实践风险管理 。
(2)实施
网络安全框架是一个指导性参考架构,在具体实施过程中,不同组织完全可根据自身需求来确定网络安全防护措施,根据自身特定的网络安全需求,从关键信息基础设施保护现状、软硬件综合配置、安全防护成本等综合考虑,根据相关法律法规采用适合的网络安全防护强度,并依据法律法规承担相应的主体责任 。
C2M2提供的是描述性而非指导性的指导 。模型内容以较高的抽象级别呈现,因此可以由各种类型、结构、规模和行业的组织机构使用 。每个行业均可广泛使用该模型对该行业网络安全能力进行基准测试 。
针对我国关键信息基础设施保护现状,应依据我国《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》规定,加强网络安全等级和关键信息基础设施双重保护 。
(3)映射
《能源行业网络安全框架实施指南》详细论述了C2M2如何映射到网络安全框架,包括七个步骤的映射关系 。C2M2推荐的实施步骤映射到网络安全框架的七个实施步骤,有助于各种类型和规模的组织通过C2M2模型来实施网络安全框架,评估并改进行业自身的网络安全状况 。
推荐阅读
- 迷你世界怎么用微缩模型做生物 方法其实很简单
- 如龙极2主角模型怎么修改 如龙极2快速修改主角模型教程
- 魔兽争霸3重制版角色预览 魔兽争霸3重制版人物模型分享 伊利丹
- 魔兽争霸3重制版兽族英雄介绍 兽族英雄模型技能一览 剑圣_网
- 魔兽争霸3重制版亡灵英雄大全 亡灵英雄模型技能一览 死亡骑士_网
- 宝可梦探险寻宝高级球模型获得方法 高级球模型点券
- 宝可梦探险寻宝大师球模型获得方法 大师球模型点券
- 微软飞行模拟飞机没有进离场模型怎么办 飞机进离场模型找回
- 《黎明杀机》卡模型bug玩法解析攻略
- 迷你世界怎么把微型模型打开 具体步骤分享