美国国家标准与技术研究所(NIST)上周在圣地亚哥举办了四场研讨会中的第三场,根据奥巴马总统于2013年2月12日签署的行政命令的要求,为关键基础设施开发一个全面的网络安全框架。NIST举办研讨会的目的是为了从近500名与会者那里征求反馈意见,以便为定于10月初发布的框架初稿生成内容。
在研讨会之前,NIST发布了框架的概要草案,目的是让与会者填写一个框架的“核心”,包括五个网络安全功能:了解、检测、预防、响应和恢复。这五个功能中的每一个都要用类别来填充(例如,在“知道”下面,类别可能是“知道企业资产和系统”),而每个类别又有子类别(例如,“知道企业风险架构”)。
对于每个类别和子类别,与会者被要求识别相关的信息参考,如现有的标准,可能有助于实现类别或子类别的目标。为此,NIST准备了一份322份参考文献的纲要,其中大部分来自ISO、ANSI或NERC等标准制定组织。
完成工作,NIST与会者分配给八个工作小组,每个花了三天的研讨会,NIST的主持人,评估和修改功能和派生类别和子类别,在相关的引用映射到适当的核心部分。
NIST计划在7月底之前将8个工作组的成果汇总成一份综合文件,并在9月11日达拉斯下一次研讨会之前于8月底发布一份更先进的版本。
尽管很少有与会者能够清楚地了解8个小组在哪些领域出现了共识或分歧,但NIST对这一过程的工作方式感到满意。NIST主任Patrick Gallagher在研讨会的第二天说:“它看起来越来越像一个非常丰富的工具箱和规则管理过程,教你如何使用这个工具箱。”
NIST高级信息技术政策顾问、框架过程的主要组织者之一Adam Sedgewick说:“大多数小组接手了手头的任务,并真正开始着手制定大纲和我们提出的内容。”
一家大型市政公用事业公司的网络安全专家表示:“由于各工作组彼此分离,很难进行概括。”“我的感觉是,收集反馈将给NIST提供一些有价值的见解,以完善框架草案核心所代表的良好开端。”
事实上,NIST在顺利进行的三天中获得了大多数与会者的高度评价。尽管如此,随着10月最后期限的临近,框架进程中仍然出现了以下问题:
NIST在重新发明轮子吗?
在整个过程中经常出现的一个问题是,这个框架如何与现有的关键基础设施网络安全实践相适应,其中大多数实践都是经过多年开发和完善的。需要特别关注的是,关键基础设施资产所有者和运营商将不得不应对现有实践之上的另一组要求,他们认为这些要求已经很好地满足了他们的需求。
一家大型投资者所有的公用事业公司的一位安全主管表示:“我反复听到的一个主题是,为什么要从零开始,打造一个全新的东西,而现有框架将提供大部分构建模块。”
然而,NIST否认了这一观点,称这一过程的目标是开发一个更高层次的、灵活的框架,可以应用于最广泛的行业。nsts Sedgewick说:“在高水平上,这是关于确定现有的实践,这是我们从一开始就有的主题。”“我们希望以现有的做法为基础,而不是另起炉灶。”
只有少数选定的部门在这个过程中真正活跃:
伴随着2月份行政命令的总统政策指示确定了该框架将适用的16个关键基础设施部门,涵盖了从化学、农业到废水系统等各种不同行业。然而,迄今为止,研讨会的出席和参与最多由三个部门主导——通信、能源和金融。
其他行业的表现相对疲弱,可能会阻碍该框架在2014年2月确定后的广泛适用性。一位电信行业网络安全代表表示:“那些没有参与的部门正在袖手旁观,因为这将对他们的业务产生深远影响,而他们的缺席意味着他们对最终产品的影响很小。”
“我们的程序是完全开放的,我们与那些参与谈判的人合作。这一过程的每个阶段都是完全开放的,”nsts Sedgewick说,并补充说,其他部门已经以不同的方式参与了这一过程,例如通过行业协会和其他团体组织的特别网络研讨会。
对与国土安全部协调工作的持续关注:
从框架过程一开始,与会者就一直在关注国土安全部(DHS)在行政命令和政策指令下被分配了许多相关任务,如何与NIST协调,在研讨会的最后一天,美国国土安全部部长珍妮特·纳波利塔诺(Janet Napolitano)即将离职,这一消息加剧了人们的担忧。NIST和国土安全部的代表都向与会者保证,两个小组在共同和相关的任务上工作得很好。
但一些与会者在会后对两国政府部门之间的协调更加担忧。例如,行政命令要求国土安全部单独提供框架的性能目标,同时还声明框架本身应包括衡量实体在实施框架时的性能的指导。
在研讨会上举行的关于国土安全部绩效目标的专题工作会议被一位电信与会者描述为“火车失事”。
“他们(国土安全部和NIST)完全没有准备,”在试图解释这两种绩效衡量标准之间的区别时,“自己也说不清楚”。
对自愿框架可能成为强制性监管的持续担忧:
同样,从框架过程开始,许多参与者,特别是华盛顿关键基础设施行业的代表,担心政治发展或高度公开的网络事件可能会把当前的自愿框架推入强制性监管类别。7月11日,也就是研讨会的第二天,参议院商务委员会(Senate Commerce Committee)发布了一份网络安全法案草案,该草案纳入了这一框架,但仍严格基于自愿原则。
政府网络安全顾问汤姆·戈德堡(Tom Goldberg)说,人们担心的是“高压手段将会下降,因为高压手段现在很多疑”。行政命令的第10条似乎给了政府一把大锤,命令特定行业的政府机构确定他们目前的监管机构是否足以确保足够的网络安全,以及是否提出新的监管机构,这对事情没有帮助。
随着行政命令和框架程序的执行仍然是不稳定的,这些和其他裂缝可能会随着框架变得更加牢固而关闭。众议院国土安全委员会网络安全、基础设施保护和安全技术小组委员会将于明天(7月18日)就行政命令和框架的发展举行监督听证会,在此期间,国土安全部和NIST将分享更多关于他们的计划进展的信息。
DCT Associates的总裁Cynthia Brumfield是资深的通信行业和技术分析师。她目前领导各种研究、分析、咨询和出版计划,特别关注能源和电信领域的网络安全问题。
本文《NIST更接近关键基础设施网络安全框架》最初发表于方案 .