电子政务发展前沿2014年第3期——美国关键基础设施网络安全框架

来源:公共技术服务部   时间:2014-05-29

2013212,奥巴马政府发布美国总统第13636号行政令《提高关键基础设施网络安全》;240天后,国家标准与技术研究院(NIST)完成了《关键基础设施网络安全框架(V1.0)》初稿;2014212日,奥巴马政府宣布框架正式发布。此外,国土安全部(DHS)推出了关键基础设施网络社区(称为C3,读作C 立方)志愿计划,作为13636号行政命令执行的另一重要成果,鼓励基础设施部门采用框架,以加强关键基础设施网络安全。

框架提供了“优先、灵活、可重复、基于绩效的和成本效益”网络安全风险管理流程和方法,内容包括框架核心、框架简表以及实现层级,其中框架核心由五个环节组成:识别、防护、检测、响应、恢复,这些环节为网络安全风险管理生命周期提供了策略视图。框架提出用标准、指南和最佳实践为关键基础设施部门管理网络安全风险提供指引。另外,框架的配套项目C3志愿计划通过对自愿参考本框架的组织机构提供免费支持,以增强基础设施网络安全系统的可靠性。

这一框架对我国关键基础设施网络安全有很多值得借鉴的地方:首先,框架将基础设施部门的风险决策、商务财务行政手段以及技术结合起来,规范了网络安全的业务流程;其次,框架针对不同的关键基础设施部门,提出了相应的实施策略,有利于其自主提升网络安全能力;最后,在法律法规不够完善的情况下,国家将以政府协助等行政手段推进网络安全建设。我国目前网络安全方面法律尚不健全,以行政手段推进网络安全建设也是提高网络安全能力的重要措施。

 

责任编译: 冷默                       译 审:冀俊峰

 

 


附件:
3-2014年03final

主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919