9月1日三項立法及規(guī)定同時施行,我國安全行業(yè)配套立法與規(guī)范體系開始逐漸完善。在《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和《網(wǎng)絡(luò)安全產(chǎn)品漏洞管理規(guī)定》中�����,對于關(guān)基保護(hù)是本人一直關(guān)注的���。之前的關(guān)保條例解讀中也有介紹,一系列關(guān)基相關(guān)標(biāo)準(zhǔn)正在起草和編制中�。
讓客戶滿意是我們工作的目標(biāo),不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛���。我們立志把好的技術(shù)通過有效�、簡單的方式提供給客戶�����,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任�����、有價值的長期合作伙伴�,公司提供的服務(wù)項目有:主機(jī)域名、網(wǎng)站空間�����、營銷軟件��、網(wǎng)站建設(shè)��、城中網(wǎng)站維護(hù)�、網(wǎng)站推廣。
那么����,在這些要求出臺之前,我們不妨來看看國外在關(guān)基保護(hù)方面的一些實踐�。
有人關(guān)注Bad Practice了
最近,CISA(美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局)反其道行之����,搞了一個項目叫做不良安全實踐,不是關(guān)注最佳實踐����,而是關(guān)注那些做得很差的事件案例,而且還開放了官方討論�。
(官方鏈接:www.cisa.gov/BadPractices)
不過目前評論較少,有興趣的可以去留言���,說說自己見過哪些離譜的安全實踐���。
[[421753]]
目前評論中涉及口令安全、安全訪問����、零信任�����、復(fù)雜流程等問題�。
(官方鏈接:github.com/cisagov/bad-practices/discussions)
針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊將會對政府和企業(yè)的關(guān)鍵能力造成重大影響���。所有組織���,尤其是那些支持特定關(guān)鍵基礎(chǔ)設(shè)施或國家關(guān)鍵能力(NCF)的組織,都應(yīng)實施有效的網(wǎng)絡(luò)安全計劃�,來防范網(wǎng)絡(luò)威脅和管理網(wǎng)絡(luò)風(fēng)險。
CISA 正在開發(fā)一個風(fēng)險極高的不良實踐目錄��,尤其是在支持CI或NCF的組織中����。在支持CI或NCF的組織中存在這些不良做法非常危險,會增加CI的風(fēng)險��,從而影響國家安全���、經(jīng)濟(jì)穩(wěn)定以及公眾的生命����、健康和安全����。
CISA暫時列出三種典型不良實踐做法:
- 在關(guān)鍵基礎(chǔ)設(shè)施和國家關(guān)鍵能力服務(wù)中使用不受支持(或停產(chǎn))的軟件屬于危險做法,并且會顯著增加國家安全����、經(jīng)濟(jì)穩(wěn)定以及國家公共衛(wèi)生和安全的風(fēng)險。
- 在關(guān)鍵基礎(chǔ)設(shè)施和國家關(guān)鍵能力服務(wù)中使用固定/默認(rèn)密碼和憑證屬于危險做法����,并且顯著增加國家安全、經(jīng)濟(jì)穩(wěn)定以及國家公共衛(wèi)生和安全的風(fēng)險�。
- 使用單因素身份驗證對支持關(guān)鍵基礎(chǔ)設(shè)施和國家關(guān)鍵能力的系統(tǒng)進(jìn)行遠(yuǎn)程或管理訪問屬于危險做法,并且會顯著增加國家安全�����、經(jīng)濟(jì)穩(wěn)定以及國家公共衛(wèi)生和安全的風(fēng)險�����。
以上危險做法在可訪問互聯(lián)網(wǎng)的技術(shù)中尤為嚴(yán)重�����。
但是官方又補(bǔ)充解釋,應(yīng)該是針對某些遺留系統(tǒng)��,不得不在以上的環(huán)境中運(yùn)行的����。雖然這些做法對關(guān)鍵基礎(chǔ)設(shè)施和NCF來說很危險,但 CISA 鼓勵所有組織參與必要的行動和關(guān)鍵對話來解決這些不良做法�����。
美國國家關(guān)鍵能力
國內(nèi)企業(yè)現(xiàn)在對于如何認(rèn)定關(guān)鍵基礎(chǔ)設(shè)施還是比較疑惑����,目前也沒有特別明確的說明和實踐。我們可以參考一下美國是怎么做的�����,也就是上文提到的NCF(National Critical Function).
國家關(guān)鍵能力 (NCF) 是政府和私營部門的能力�����,對美國至關(guān)重要,一旦遭受破壞�����、影響或功能障礙會對國家安全���、國家經(jīng)濟(jì)、國家公共衛(wèi)生或安全產(chǎn)生削弱作用����。
CISA 通過國家風(fēng)險管理中心(NRMC)將私營部門、政府機(jī)構(gòu)和其他主要利益相關(guān)者聚集起來�����,以識別���、分析��、排序和管理最主要風(fēng)險(如網(wǎng)絡(luò)���、物理、供應(yīng)鏈等)的能力�����。
2019 年 4 月,CISA 發(fā)布初版NCF Set�����,此后對每項能力的定義進(jìn)行了補(bǔ)充�。與全部16 個關(guān)鍵基礎(chǔ)設(shè)施部門相關(guān)的政府和行業(yè)合作伙伴、州����、地方以及其他利益相關(guān)者合作,確定這些關(guān)鍵能力��。
NCF包括四個領(lǐng)域——連接�、分發(fā)、管理和供應(yīng):
- 連接技術(shù)��,利用重要通信和能力來發(fā)送和接收數(shù)據(jù)(例如�,互聯(lián)網(wǎng)連接)
- 允許商品、人員和公用事業(yè)在美國境內(nèi)外流轉(zhuǎn)的分配方法(例如�,電力分配或貨物運(yùn)輸)
- 管理確保國家安全和公共衛(wèi)生安全的流程(例如,危險材料或國家緊急情況的管理)
- 保障貿(mào)易材料��、商品和服務(wù)供應(yīng)(例如����,飲用水�����、住房和科研)
NCF允許對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行更穩(wěn)健的優(yōu)先級排序����,并為相應(yīng)的風(fēng)險管理活動提供更系統(tǒng)的方法���。雖然傳統(tǒng)方法幾乎完全側(cè)重于實體的風(fēng)險管理而非關(guān)鍵結(jié)果,但NCF方法可以更深入地了解實體如何聯(lián)合起來產(chǎn)生關(guān)鍵能力�����,以及哪些資產(chǎn)�����、系統(tǒng)��、網(wǎng)絡(luò)和技術(shù)支持這些能力�����。
從功能角度看待風(fēng)險,最終可以以更有針對性���、更優(yōu)先和戰(zhàn)略性的方式在關(guān)鍵基礎(chǔ)設(shè)施生態(tài)系統(tǒng)中增加彈性并強(qiáng)化系統(tǒng)���。可以更全面地發(fā)現(xiàn)可能在部門內(nèi)和跨部門產(chǎn)生連鎖影響的交叉風(fēng)險和相關(guān)的依賴關(guān)系��。
NCF實踐效果
NCF在網(wǎng)絡(luò)安全和關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險管理的聯(lián)邦政策原則中得到有效利用�。在《國家網(wǎng)絡(luò)戰(zhàn)略》《國土安全部網(wǎng)絡(luò)安全戰(zhàn)略》和《保障 5G 國家戰(zhàn)略》中都有涉及。
NCF 已被用于支持針對特定災(zāi)害的應(yīng)急響應(yīng)和恢復(fù)��。最突出的是借助NCF���,應(yīng)對COVID-19風(fēng)險管理需求�����,以及圍繞地緣政治緊張局勢加劇的安全需求���,以及為即將到來的颶風(fēng)做好應(yīng)對。
對于 COVID-19��,國家風(fēng)險管理中心使用NCF框架創(chuàng)建關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險登記簿�����,圍繞驅(qū)動要素的潛在退化情況來組織應(yīng)對,例如商品問題�����、勞動力問題���、需求沖擊和網(wǎng)絡(luò)風(fēng)險態(tài)勢的變化�����。這將成為國家風(fēng)險管理中心通過利益相關(guān)者參與機(jī)制開展更廣泛工作的模板�����,最終創(chuàng)建一個更完備的NCF風(fēng)險登記簿。
每項NCF的準(zhǔn)備都涉及子功能和依賴項組成的一系列復(fù)雜過程�����。NCF風(fēng)險框架構(gòu)建這種關(guān)系�����。以此,可以了解支持這些流程的關(guān)鍵資產(chǎn)�、網(wǎng)絡(luò)和系統(tǒng),以及支持該流程的底層軟硬件和其他技術(shù)�。還可以識別作為流程和功能要素的關(guān)鍵提供者的實體——無論是企業(yè)還是政府。該架構(gòu)依賴于流程和工程圖��,以及對業(yè)務(wù)和功能治理的理解�����,以針對一系列場景進(jìn)行風(fēng)險分析���。
圖:分解NCF 以詳細(xì)了解其配置(來源:CISA官網(wǎng))
以下是美國大選NCF的樣本分解:
國建關(guān)鍵能力集
最后�,是CISA給出的國家關(guān)鍵能力集����,可以將其看做是關(guān)鍵基礎(chǔ)設(shè)施的認(rèn)定和分類,目前最新版本于2019年4月更新�����。
官方下載:www.cisa.gov/publication/national-critical-functions-resources)
本文來源:https://mp.weixin.qq.com/s/UuQbh2DITBJylO7cE-U7Yw
網(wǎng)站標(biāo)題:美國關(guān)基保護(hù)搞了波反向操作
新聞來源:
http://uogjgqi.cn/article/codjpsc.html
