9月1日三項(xiàng)立法及規(guī)定同時(shí)施行，我國安全行業(yè)配套立法與規(guī)范體系開始逐漸完善。在《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和《網(wǎng)絡(luò)安全產(chǎn)品漏洞管理規(guī)定》中，對(duì)于關(guān)基保護(hù)是本人一直關(guān)注的。之前的關(guān)保條例解讀中也有介紹，一系列關(guān)基相關(guān)標(biāo)準(zhǔn)正在起草和編制中。

那么，在這些要求出臺(tái)之前，我們不妨來看看國外在關(guān)基保護(hù)方面的一些實(shí)踐。

[[421752]]

有人關(guān)注Bad Practice了

最近，CISA(美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局)反其道行之，搞了一個(gè)項(xiàng)目叫做不良安全實(shí)踐，不是關(guān)注最佳實(shí)踐，而是關(guān)注那些做得很差的事件案例，而且還開放了官方討論。

(官方鏈接：www.cisa.gov/BadPractices)

不過目前評(píng)論較少，有興趣的可以去留言，說說自己見過哪些離譜的安全實(shí)踐。

目前評(píng)論中涉及口令安全、安全訪問、零信任、復(fù)雜流程等問題。

(官方鏈接：github.com/cisagov/bad-practices/discussions)

針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊將會(huì)對(duì)政府和企業(yè)的關(guān)鍵能力造成重大影響。所有組織，尤其是那些支持特定關(guān)鍵基礎(chǔ)設(shè)施或國家關(guān)鍵能力(NCF)的組織，都應(yīng)實(shí)施有效的網(wǎng)絡(luò)安全計(jì)劃，來防范網(wǎng)絡(luò)威脅和管理網(wǎng)絡(luò)風(fēng)險(xiǎn)。

CISA 正在開發(fā)一個(gè)風(fēng)險(xiǎn)極高的不良實(shí)踐目錄，尤其是在支持CI或NCF的組織中。在支持CI或NCF的組織中存在這些不良做法非常危險(xiǎn)，會(huì)增加CI的風(fēng)險(xiǎn)，從而影響國家安全、經(jīng)濟(jì)穩(wěn)定以及公眾的生命、健康和安全。

CISA暫時(shí)列出三種典型不良實(shí)踐做法：

• 在關(guān)鍵基礎(chǔ)設(shè)施和國家關(guān)鍵能力服務(wù)中使用不受支持(或停產(chǎn))的軟件屬于危險(xiǎn)做法，并且會(huì)顯著增加國家安全、經(jīng)濟(jì)穩(wěn)定以及國家公共衛(wèi)生和安全的風(fēng)險(xiǎn)。
• 在關(guān)鍵基礎(chǔ)設(shè)施和國家關(guān)鍵能力服務(wù)中使用固定/默認(rèn)密碼和憑證屬于危險(xiǎn)做法，并且顯著增加國家安全、經(jīng)濟(jì)穩(wěn)定以及國家公共衛(wèi)生和安全的風(fēng)險(xiǎn)。
• 使用單因素身份驗(yàn)證對(duì)支持關(guān)鍵基礎(chǔ)設(shè)施和國家關(guān)鍵能力的系統(tǒng)進(jìn)行遠(yuǎn)程或管理訪問屬于危險(xiǎn)做法，并且會(huì)顯著增加國家安全、經(jīng)濟(jì)穩(wěn)定以及國家公共衛(wèi)生和安全的風(fēng)險(xiǎn)。

以上危險(xiǎn)做法在可訪問互聯(lián)網(wǎng)的技術(shù)中尤為嚴(yán)重。

但是官方又補(bǔ)充解釋，應(yīng)該是針對(duì)某些遺留系統(tǒng)，不得不在以上的環(huán)境中運(yùn)行的。雖然這些做法對(duì)關(guān)鍵基礎(chǔ)設(shè)施和NCF來說很危險(xiǎn)，但 CISA 鼓勵(lì)所有組織參與必要的行動(dòng)和關(guān)鍵對(duì)話來解決這些不良做法。

美國國家關(guān)鍵能力

國內(nèi)企業(yè)現(xiàn)在對(duì)于如何認(rèn)定關(guān)鍵基礎(chǔ)設(shè)施還是比較疑惑，目前也沒有特別明確的說明和實(shí)踐。我們可以參考一下美國是怎么做的，也就是上文提到的NCF(National Critical Function).

國家關(guān)鍵能力 (NCF) 是政府和私營部門的能力，對(duì)美國至關(guān)重要，一旦遭受破壞、影響或功能障礙會(huì)對(duì)國家安全、國家經(jīng)濟(jì)、國家公共衛(wèi)生或安全產(chǎn)生削弱作用。

CISA 通過國家風(fēng)險(xiǎn)管理中心(NRMC)將私營部門、政府機(jī)構(gòu)和其他主要利益相關(guān)者聚集起來，以識(shí)別、分析、排序和管理最主要風(fēng)險(xiǎn)(如網(wǎng)絡(luò)、物理、供應(yīng)鏈等)的能力。

2019 年 4 月，CISA 發(fā)布初版NCF Set，此后對(duì)每項(xiàng)能力的定義進(jìn)行了補(bǔ)充。與全部16 個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門相關(guān)的政府和行業(yè)合作伙伴、州、地方以及其他利益相關(guān)者合作，確定這些關(guān)鍵能力。

NCF包括四個(gè)領(lǐng)域——連接、分發(fā)、管理和供應(yīng)：

• 連接技術(shù)，利用重要通信和能力來發(fā)送和接收數(shù)據(jù)(例如，互聯(lián)網(wǎng)連接)
• 允許商品、人員和公用事業(yè)在美國境內(nèi)外流轉(zhuǎn)的分配方法(例如，電力分配或貨物運(yùn)輸)
• 管理確保國家安全和公共衛(wèi)生安全的流程(例如，危險(xiǎn)材料或國家緊急情況的管理)
• 保障貿(mào)易材料、商品和服務(wù)供應(yīng)(例如，飲用水、住房和科研)

NCF允許對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行更穩(wěn)健的優(yōu)先級(jí)排序，并為相應(yīng)的風(fēng)險(xiǎn)管理活動(dòng)提供更系統(tǒng)的方法。雖然傳統(tǒng)方法幾乎完全側(cè)重于實(shí)體的風(fēng)險(xiǎn)管理而非關(guān)鍵結(jié)果，但NCF方法可以更深入地了解實(shí)體如何聯(lián)合起來產(chǎn)生關(guān)鍵能力，以及哪些資產(chǎn)、系統(tǒng)、網(wǎng)絡(luò)和技術(shù)支持這些能力。

從功能角度看待風(fēng)險(xiǎn)，最終可以以更有針對(duì)性、更優(yōu)先和戰(zhàn)略性的方式在關(guān)鍵基礎(chǔ)設(shè)施生態(tài)系統(tǒng)中增加彈性并強(qiáng)化系統(tǒng)?？梢愿娴匕l(fā)現(xiàn)可能在部門內(nèi)和跨部門產(chǎn)生連鎖影響的交叉風(fēng)險(xiǎn)和相關(guān)的依賴關(guān)系。

NCF實(shí)踐效果

NCF在網(wǎng)絡(luò)安全和關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)管理的聯(lián)邦政策原則中得到有效利用。在《國家網(wǎng)絡(luò)戰(zhàn)略》《國土安全部網(wǎng)絡(luò)安全戰(zhàn)略》和《保障 5G 國家戰(zhàn)略》中都有涉及。

NCF 已被用于支持針對(duì)特定災(zāi)害的應(yīng)急響應(yīng)和恢復(fù)。最突出的是借助NCF，應(yīng)對(duì)COVID-19風(fēng)險(xiǎn)管理需求，以及圍繞地緣政治緊張局勢(shì)加劇的安全需求，以及為即將到來的颶風(fēng)做好應(yīng)對(duì)。

對(duì)于 COVID-19，國家風(fēng)險(xiǎn)管理中心使用NCF框架創(chuàng)建關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)登記簿，圍繞驅(qū)動(dòng)要素的潛在退化情況來組織應(yīng)對(duì)，例如商品問題、勞動(dòng)力問題、需求沖擊和網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)的變化。這將成為國家風(fēng)險(xiǎn)管理中心通過利益相關(guān)者參與機(jī)制開展更廣泛工作的模板，最終創(chuàng)建一個(gè)更完備的NCF風(fēng)險(xiǎn)登記簿。

每項(xiàng)NCF的準(zhǔn)備都涉及子功能和依賴項(xiàng)組成的一系列復(fù)雜過程。NCF風(fēng)險(xiǎn)框架構(gòu)建這種關(guān)系。以此，可以了解支持這些流程的關(guān)鍵資產(chǎn)、網(wǎng)絡(luò)和系統(tǒng)，以及支持該流程的底層軟硬件和其他技術(shù)。還可以識(shí)別作為流程和功能要素的關(guān)鍵提供者的實(shí)體——無論是企業(yè)還是政府。該架構(gòu)依賴于流程和工程圖，以及對(duì)業(yè)務(wù)和功能治理的理解，以針對(duì)一系列場(chǎng)景進(jìn)行風(fēng)險(xiǎn)分析。

圖：分解NCF 以詳細(xì)了解其配置(來源：CISA官網(wǎng))

以下是美國大選NCF的樣本分解：

國建關(guān)鍵能力集

最后，是CISA給出的國家關(guān)鍵能力集，可以將其看做是關(guān)鍵基礎(chǔ)設(shè)施的認(rèn)定和分類，目前最新版本于2019年4月更新。

官方下載：www.cisa.gov/publication/national-critical-functions-resources)

本文來源：https://mp.weixin.qq.com/s/UuQbh2DITBJylO7cE-U7Yw