本文由 发布,转载请注明出处,如有问题请联系我们! 发布时间: 2021-08-01网络安全模型有哪些-网络安全发展方向
加载中为加快国内重要数据基础设施建设的网络信息安全安全防护水准,科学研究了英国《关键基础设施网络安全改进框架》的组织结构和具体运用,并以英国《网络安全框架实施指南》为例子,论述了英国能源业《关键信息基础设施网络安全改进框架》的执行流程和方式。文中从总体目标,执行和投射三个层面对英国重要数据设施维护规范开展了全方位剖析。依据在我国重要数据设施维护的现况,融合英国在维护重要数据基础设施建设层面的工作经验,明确提出了五点具备创造性的提议。
內容文件目录:
1英国重要数据基础设施建设网络信息安全维护的快速发展和执行全过程。
1.1发展史
1.2执行和运用。
2.英国《提高关键基础设施网络安全框架》的构造和执行流程。
2.1框架剪力墙。
2.2执行流程
3.英国网络信息安全架构与C2M2实践活动的融合——以《能源行业网络安全框架实施指南》为例子。
4启发与提议。
5个结字
0价格
在现如今的信息社会中,国防安全,经济发展安全性,社会安全和民众福址在较大水平上在于重要数据基础设施建设的繁杂动态性巨系统软件。我国重要数据基础设施建设遭遇国际性有机构,有目地,高韧性的不断进攻和安全性挑戰。为了更好地提升国内重要数据基础设施建设的网络信息安全安全防护水准,科学研究了英国《提高关键基础设施网络安全框架》的具体内容和组织结构,及其在能源业的执行流程,并融合中国现况明确提出了一些具备创造性的提议。
1英国重要数据基础设施建设网络信息安全维护的快速发展和执行全过程。
为了更好地提升国内重要数据基础设施建设的网络信息安全维护水准,文中分析了英国重要设施网络信息安全维护相关法律法规的发展趋势及其相关法律法规在其执行和运用中的关联。
1.1发展史
1996年7月,美政府公布第13010号行政命令,创立了美国总统重要基础设施建设维护联合会,这也是第一个对于重要数据基础设施建设的行政命令。2000年1月,美政府施行了第一个重要数据设施维护方案——我国信息管理系统维护方案1.0。2001年,《爱国者法案》初次对重要基础设施建设作出了界定。2002年,英国国土安全局变成911事情后第一个承担互联网安全和反恐怖主题活动的政府机构。2006年6月,英国国土安全局施行了《国家关键基础设施保护计划》,为地市政府和利益相关者管理方法重要基础设施建设给予了参照架构。《网络安全增强法案》(2014年)是英国施行的一项法令,致力于推动不断和主动的公与私战略伙伴关系,提升网络信息安全科学研究,提升群众安全防范意识。2014年2月12日,国家行业标准与技术性研究所(NIST)公布了《改善关键基础设施网络安全框架》1.0版,下称《网络安全框架》。2018年4月,NIST公布了新的V1.1版重要设施网络信息安全改善架构,提升了自我评定,拓展了供应链管理安全性,优化了验证受权,身份验证,系统漏洞公布生命期管理方法等层面。其目地是为有关机构给予更细致的具体指导,并最大限度地充分发挥单独机构的使用价值。
以网络信息安全架构为具体指导架构,2015年1月,美国能源部施行了《能源行业网络安全框架实施指南(2015年版)》。依据英国能源业的具体网络信息安全自然环境,网络信息安全架构的具体指导总体目标将逐渐完成。
1.2执行和运用。
依据网络信息安全架构,美国能源部和国土安全局各自于2014年和2019年施行了网络信息安全工作能力胜任力实体模型(C2M2)V1.1和V2.0。C2M2实体模型创建了定量评估网络信息安全安全风险的系统软件方式,可广泛运用于各种各样机构和网络信息安全监督机构,进而增强网络信息安全工作能力,并与别的网络信息安全规范和网络信息安全监督机构的具体工作中紧密结合。C2M2实体模型做为一套说明性的网络信息安全实践活动手册,有利于网络信息安全架构的执行。网络信息安全提高法令,网络信息安全架构,网络信息安全工作能力胜任力实体模型以及在有关领域的执行中间的关联如图所示1所显示。
图1 NIST网络信息安全架构与C2M2执行的关联。从图1能够看得出,英国根据《网络安全增强法案》对网络信息安全架构开展制约和管束,并根据网络信息安全架构具体指导网络信息安全工作能力胜任力实体模型的执行,工作能力胜任力实体模型能够用来具体指导不一样领域的运用。
根据网络信息安全架构和C2M2实体模型,学者开发设计了一个根据工作经验方式的互联网安全系统漏洞减轻架构。选用多规则投资决策(MCDA)技术性和权重计算依靠构造,消化吸收网络信息安全架构的关键首要因素,根据评定一个工业生产自动控制系统互联网在重要基础设施建设中的安全系数,展现了网络信息安全架构和工作能力胜任力实体模型的结合运用,不但了解了网络信息安全系统漏洞,还剖析了网络信息安全系统漏洞减轻的优先。
2.英国《提高关键基础设施网络安全框架》的构造和执行流程。
剖析了英国网络信息安全架构的关键构造和执行流程,确立了执行流程中间的逻辑顺序。
2.1框架剪力墙。
国家行业标准与技术性研究室(NIST)开发设计的网络信息安全架构是根据网络信息安全和风险管控的架构,致力于对重要设施开展安全性风险管控。它由架构关键,架构层级和架构考试大纲三部份构成。
关键:业界认可的,对网络信息安全风险管控有價值的提议保障措施。它包含四个因素:作用,关键归类,派生类和引入。在其中,作用由鉴别,维护,检验,回应和修复五一部分构成。
层级:架构包含四个不一样的层级,(层级1)地区执行;(二级)风险性通告;(3级)可重复性;(四级)适应力。
架构考试大纲:架构考试大纲被理解为特殊运用中规范,手册和实践活动的最好组成,便于根据自我评定开展沟通交流。根据当今环境变量和总体目标环境变量的综合性较为,明确当今对策是不是促进了网络信息安全风险性情况。在业务流程推动和安全性风险评价的根基上,较为全部关键类型和派生类,以明确什么风险性具备最大优先,进而解决特殊的高危类型。
2.2执行流程
网络信息安全架构明确提出了主要的网络信息安全执行步骤,包含七个详细的流程:
第一步:提升明确总体目标范畴。
第二步:精准定位。鉴别有关的操作系统和财产,随后鉴别网络信息安全威协及其系统软件和资金的网络安全问题。
第三步:建立当今系统软件考试大纲。根据挑选架构关键的具体归类和派生类,开发设计了操作系统的当今总体目标轮廊。
第四步:系统软件风险评价。
第五步:建立总体目标系统软件考试大纲。建立总体目标系统软件概述文档,叙述机构总体目标系统软件网络信息安全的具体归类和派生类评价方法。
第六步:明确,剖析和提升轮廊差别。
第七步:依据轮廊差别组织实施行動。
3.英国网络信息安全架构与C2M2实践活动的融合——以《能源行业网络安全框架实施指南》为例子。
2015年1月,美国能源部依据能源业网络信息安全现况,制订了《能源行业网络安全框架实施指南》,协助英国能源业创建和调节目前网络信息安全风险管控方案,完成网络信息安全风险管控总体目标。《能源行业网络安全框架实施指南》详细说明了C2M2怎样投射到网络信息安全架构,包含流程投射,架构层级投射和架构关键派生类投射。
文中分成七个方法来展现英国能源业的C2M2是怎样投射到网络信息安全架构(下称架构)的。实际的投射流程如表1至表7所显示。
第一步是明确优先和范畴。表1展现了英国能源业从流程1到C2M2执行架构的投射:
如表1所显示,投射关键包含三个一部分:键入,主题活动和輸出。在C2M2完成中,要评定的每一个非空子集称之为一个涵数。电力工程分单位网络信息安全工作能力胜任力实体模型(ES-C2M2)具备一些对于能源业的预订义作用和范畴。第二,精准定位。表2出现了英国能源业从流程2到C2M2执行架构的投射:
如表2所显示,以流程1的架构应用范畴和作用目录做为流程2的键入,在作出范畴界定管理决策后,明确范畴包含的信息内容,技术性,工作人员和设备,可用的相关法律法规,及其所运用的公共安全和风险管控的规范,专用工具,方式和技术性手册。第三步是建立当今轮廊。表3表明了英国能源业C2M2执行架构的流程三:
如表3所显示,流程2的輸出作为流程3的键入。这基本上是根据讨论会进行的,讨论会包含意味着全部行业财产和职责的重要工作人员。C2M2自我评定讨论会将转化成一份得分汇报,可作为最新消息。第四步是风险评价。表4表明了英国能源业从流程4到C2M2执行架构的投射:
如表4所显示,前三步的一些重要信息内容被做为流程4的键入。C2M2提议各机构将这一方式做为包含风险评价以内的不断企业风险流程管理的一部分。C2M2和架构都将风险评价视作一项重要的实践活动。第五步:建立总体目标考试大纲。表5表明了英国能源业从流程5到C2M2执行架构的投射:
如表5所显示,前四个流程的一些重要信息内容被做为流程5的键入。C2M2评定评分汇报能够根据提醒质量指标指标值等级MIL来协助达到目标轮廊。风险评价可与C2M2分析报告一起应用,以明确总体目标需要的操作和水准。根据这二种评价方法,机构能够应用从C2M2实践活动到架构关键子类型的投射和从C2M2实践活动到层级特点的投射来较为总体目标考试大纲和架构,还能够对总体目标考试大纲开展恰当的调节。第六步:剖析差别,明确优先选择事宜。表6表明了英国能源业从流程6到C2M2执行架构的投射:
如表6所显示,前五步的重要信息内容做为流程6的键入。C2M2自我评定得分汇报使机构可以明确当今轮廊和总体目标轮廊中间的差别。在对差别开展优化时,大家应当考虑到差别怎样危害机构总体目标,及其方向的必要性,执行资金和执行需要的資源。第七,执行计划。表7表明了英国能源业从流程7到C2M2执行架构的投射:
如表7所显示,将流程6的甄选实施意见做为流程7的键入,根据主题活动连接輸出相对应的总体目标信息内容。从之上七个流程的投射关联能够看得出,每一个流程的填写和輸出中间存有相互依赖,而且每一个过程全是自锁互锁的,这慢慢有利于机构创建控制的网络信息安全风险性流程管理标准。各领域可依据行业要求特性执行从C2M2到架构的投射,按时反复以上流程,逐渐完成网络信息安全现行标准考试大纲与总体目标考试大纲的统一。
C2M2和网络信息安全架构以及投射关联的融合还可以为能源业使用者和营运商产生下列益处:
(1)一同总体目标。架构和C2M2的效果是协助重要基础设施建设机构评定和潜在性改进其网络信息安全。
(2)有利于网络信息安全架构的执行。C2做为前端框架的说明性手册,给予了抽象性方面的说明性手册。
(3)架构实践活动的全方位遮盖。将C2M2的作法投射到子类型和级别宽容说明,C2M2充足完成了该架构的全部总体目标。
(4)逐渐完善水准。C2M2选用质量指标指数值级别,根据投射到架构级别,能够协助机构追踪网络信息安全实践能力的质量指标级别。
(5)自我评价辅助工具。C2M2辅助工具适用根据宏观经济得分和結果汇报的逐渐自我评定。这种資源有利于按时依据总体目标考试大纲再次评定和考量工作进展。
4启发与提议。
在我国重要数据设施维护现况:已创建维护管理体系,包含《中华人民共和国网络安全法》,《关键信息基础设施安全保护条例》,网络信息安全等级保护测评系列产品规范,重要数据基础设施建设网络信息安全维护系列产品规范,关键领域重要数据基础设施建设网络信息安全维护规范。
但现阶段在我国《关键信息基础设施安全保护条例》自2017年征求意见至今并未宣布公布,一系列重要数据基础设施建设检测标准的拟定和公布周期时间相对性较长,期内很有可能会有时间的安全性维护时刻表。重要数据设施保障管理体系中政府部门工作部门,科研院所,教育培训机构,龙头企业,资产评估机构中的配合不足畅顺,对安全事故的回应很有可能不足精确立即。重要数据基础设施建设的维护必须人,技术性,管理方法的多方位确保和融洽。在我国重要数据设施维护仍存有重技术性轻人与工作的难题,与人与管理方法有关的安全事故占有率仍较高。
依据在我国重要数据设施维护的现况,融合英国在维护重要数据基础设施建设层面的工作经验,明确提出下列提议:
(1)参考英国重要数据基础设施建设网络信息安全安全防护管理体系标准,由上而下,逐层优化。
(2)普遍征询领域关键公司,关键学术研究组织,知名教育培训机构,政府部门工作部门,权威性资产评估机构等的综合性建议。,激励多方积极开展并产生质量标准体系,提升重要数据设施维护的知名度和公信力。
(3)挑选电力工程,电力能源等关键领域进行关键信息内容基础设施建设网络信息安全安全防护经典案例,推动别的行业进行网络信息安全系统软件安全防护。
(4)根据网络信息安全评定,动态性演习,逐渐提升,提高重要数据基础设施建设动态性安全防护水准。
(5)提升网络信息安全优秀人才的文化教育,学习培训和考评,提高重要数据基础设施建设优秀人才的工艺和管理水平。
5个结字
为了更好地提升对我国重要数据基础设施建设的维护,文中分析了英国网络信息安全架构和C2M2方式的组织架构和执行流程。依据自顶向下的方式,剖析了网络信息安全架构以及拓展的C2M2评定实体模型,及其在电力企业中的完成。最终,从总体目标,完成和投射三个层面,将网络信息安全架构和C2M2实体模型维护的重要数据基础设施建设汇总如下所示:
(1)客观性。
网络信息安全架构的总体目标是搭建适用各行业网络信息安全风险防控的统一叙述方式,确保扩展性和技术性创新能力,期待各领域在具体运用中自行选用标准规范和参照标准。
C2M2实体模型的总体目标是协助单位和机构评定和改善其网络信息安全方案,并提高其网络信息安全实际操作的协调能力。它偏重于与运行自然环境有关的信息科技,经营技巧和网络信息安全实践活动风险管控。
(2)执行。
网络信息安全架构是一个规范性的参照架构。在落实措施全过程中,不一样组织能够依据自己需要明确网络信息安全防护措施,综合性考虑到重要数据基础设施建设的安全防护情况,硬件软件的混合配备,安全防范的成本费,依据有关相关法律法规采用合理的网络信息安全安全防护抗压强度,并依据相关法律法规担负对应的监督责任。
C2M2给予说明性并非规范性的具体指导。內容以高抽象性等级展现,因而能够被多种类型,构造,经营规模和领域的机构应用。该实体模型可广泛运用于各个领域,以体现其网络信息安全工作能力。
对于在我国重要数据设施维护的现况,应依据《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》,提升网络信息安全级别和重要数据基础设施建设的双向维护。
(3)绘图。
《能源行业网络安全框架实施指南》详尽探讨了C2M2怎样投射到网络信息安全架构,包含七个流程的投射关联。C2强烈推荐的执行流程投射到网络信息安全架构的七个执行流程,有利于各种各样类型和范围的机构根据C2M2方式执行网络信息安全架构,评定和改进领域本身的网络信息安全情况。
依据在我国电力能源,电力工程等关键信息内容基础设施建设领域的现况,应根据《中华人民共和国网络安全法》,《重点信息基础设施安全保护条例》,一系列关键信息内容基础设施建设网络信息安全维护规范,关键领域网络信息安全维护规范,创建由上而下,逐层测绘工程的关键信息内容基础设施建设安全管理体系,维护保养国家网络的可靠和领土主权空。
