阅读: 0
第2章 组织的基本网络安全文化和状况
2.1 定义
2.1.1 基本网络安全文化
组织的网络安全文化指员工所具有的知识、规范和价值观等,该体系直接反映了员工在处理信息技术和保护关键系统、信息、资产和数据(CSIAD)时的行为。
运营者需要在组织内建立完善的网络安全文化,涵盖从飞行器采购到整个生命周期、再到运营以及供应链的所有要素,还应纳入从最高层到最基层的所有人员。
网络安全文化应成为组织和员工的不可分割的一部分。成功的网络安全文化会培养员工的安全思维,增强组织抵御网络威胁的能力,使员工有效执行战略目标,而不被繁琐的安全操作所累。
定义组织的基本网络安全文化要从多方面着手,从高管至基层的各级人员均须参与其中。良好的网络安全文化不仅是从行为到规范和价值观均体现出安全意识,同时,高管、网络安全实施人员和全体员工之间也应达成共识,厘清责任,知道如何行事,防止CSIAD遭受网络攻击。
需要强调的是,网络安全文化因运营者而异,要定义和建立强大、可持续的文化,需要知道并且理解组织的整体文化和架构、使命和愿景、战略目标、政策和流程。因此,为了建立基本的网络安全文化,运营者应确保员工得到相应培训且知悉并理解保护组织安全所涉及的各种角色。
2.1.1 基本网络安全状况
参考美国国家标准与技术研究院(NIST)特刊(SP)800-128,网络安全状况可定义为运营者的网络、信息和系统的安全状态,反映了组织是否有足够的信息安全资源(如人员、硬件、软件、政策等)和能力管理防御行动并随机应变。简单说,网络安全状况指组织的成熟度和整体安全实力、防护网络攻击的控制和措施、管理防御行动的能力以及在响应和恢复网络攻击时是否应付裕如、游刃有余。
针对民航领域的网络威胁和恶意行为人在数量上持续增长,手段上日益复杂,运营者需要对自己的网络安全状况有一个清晰的认识。除了即将出台的法规和严格的合规标准,政府和公共部门也不断施加压力,要求运营者保护CSIAD。
一方面,受经济利益驱使,另一方面,当前法规对可能发生的行为缺乏刑事阻截和管辖权,这两方面因素促使复杂网络攻击的数量逐年攀升且变化多端,运营者必须发展网络安全能力。
要了解自己的网络安全状况,运营者应进行风险评估,确定组织内CSIAD的漏洞和总体风险情况(有关风险评估的更多信息,参见本文后续章节)。通过这一步骤,能识别组织内部的薄弱环节,确定后续行动,改善网络安全状况。
与此同时,运营者必须定期监测、评估针对CSIAD的安全措施,以保持良好的网络安全状况。如果采用更全面的方法,还要考虑组织的政策、风险分析计划/框架、网络安全文化以及员工的意识和教育。
确定网络安全状况时,要考虑或明确组织的网络安全成熟度、需要弥补的安全差距以及重点工作。显然,这要分步进行。为此目的,开发了许多网络安全框架,例如,NIST的网络安全框架(CSF)以及其中引用的NIST SP 800–53(修订版5)。此外,国际标准化组织(ISO)的标准文件也能用于改善组织的网络安全状况。运营者应从ISO/IEC 27000系列中的标准开始,例如,ISO/IEC 27032:2012《信息技术—安全技术—网络安全指南》。
NIST CSF旨在提供一种基于性能的高效方法,帮助组织识别、评估和管理网络安全风险。
通过使用这些框架并依照监管要求和行业标准,运营者应明确欲达到的网络安全状况。不同的安全措施和控制措施确保了全面覆盖,不留任何漏洞。要确定基本的网络安全状况,建议考虑以下步骤:
• 识别关键系统、信息、资产和数据(CSIAD)。每个组织情况不同,首先要确定哪些系统、信息、资产和数据对组织至关重要,需要加以保护。这也有助于确定行动的优先级,保证持续运营。
• 确定组织的风险偏好。运营者会根据组织的战略目标及其CSIAD确定接受何等程度的风险。明确组织为实现战略目标所愿意接受的风险水平,这点很重要。组织目标发生变化时,应重新评估和调整。
• 制定、实施网络安全计划。网络安全计划应包括组织的政策、流程、标准和指导方针。该计划可在组织内协调网络安全的方方面面,提高关键基础设施的总体安全性和恢复能力,确保组织的网络安全风险管理实现预期目标。
• 评估控制措施的成熟度和有效性。该过程至关重要,可判断所实施的控制措施是否足以保护CSIAD免受已知威胁和漏洞的影响。
• 监控、评估和修订。运营者须持续监控组织的战略目标,评估变更,进行修订。
运营者可以考虑使用工具,如英国民航局开发的航空网络评估框架(CAF),来辅助组织的网络安全评估过程。
为CSIAD提供适度保护,能提升网络的恢复能力,保证网络安全。对于组织而言,持续监控、维护和调整网络安全状况至关重要,因为业务/运营环境可能会因战略目标的变化、新技术/架构/流程的采用以及新兴网络威胁的出现而发生变化。
2.2 网络安全战略
组织的网络安全战略指制定和实施行动计划,确保数据和已识别CSIAD的机密性、完整性和可用性(CIA)。就网络安全而言,这对于提升组织的安全、恢复能力和信任度相当关键。成熟的战略能确保基本的网络安全文化和状况,员工经过适当培训并了解其角色和责任。网络安全战略的目的是让组织有备无患,从容应对网络攻击。
这一战略是自上而下的概要方法文件,确定特定时间段内(例如3至5年,具体时间由组织确定)组织的目标和优先事项,通常需要首先了解组织当前的风险态势和相关风险偏好。同时,须将网络安全战略与总体组织/业务战略对齐,并应涵盖组织明确定义的使命和愿景、业务目标和连续性政策。至于战术计划,建议周期为1至2年,而运营计划或项目/方案的周期则应更短,具体时长由组织决定。
在制定和实施网络安全战略时,组织可采用多种框架,比如前面提及的NIST CSF。该框架包含五个并行、连续的建议功能(如下图所示),组织所编写的网络安全战略文件应覆盖这些功能。
来源:IATA(基于NIST CSF)
网络安全战略的制定可能会涉及组织内的多个部门。因此,运营者应建立跨领域团队,负责战略制定和实施的整个过程。确定行动计划是制定战略的关键步骤,需要根据组织的规模、复杂性、愿景和使命等设置恰当的期限。
首先,运营者应制定战略目标,定义战略范围。此外,应确定网络安全需求,据此规划可执行且可完成的活动,以支持网络安全战略的目标和范围。制定战略时还应制定网络安全计划(以最终确定具体目标和总体目标的绩效指标),识别所需的资源(进行网络安全工作所需的时间和人力),制定组织内部沟通计划。网络安全战略应定期评审和更新。
2.2.1 组织和架构
一般来说,根据NIST SP 800-100,有两种主要的网络安全治理架构模式,即集中式和分散式。首席执行官(CEO)通常负责组织的管理和治理,而网络/信息安全责任则根据具体组织模式由不同角色承担。
• 在集中式模式下,首席信息安全官(CISO)或首席信息官(CIO)负责控制部门内信息安全活动的分项预算(部门/成本中心的预算和费用),因此负责确保信息安全控制的实施和监控。CISO或CIO由其直接下属提供支持。这种模式一般涉及人员较多,专业化程度高,可专注于特定领域。这种模式的缺点是,团队规模较大,在人员管理上需要耗费更多时间。
• 在分散式模式下,CISO或CIO通常负责政策制定和监督。在预算方面,CISO或CIO控制部门的信息安全预算,但对运营单位的信息安全计划没有控制权。这种模式可以节省人员管理时间,但是,由于CISO或CIO所依赖的人员并不直接向CISO或CIO负责,因此需要花费更多的时间从其他部门获得资源。
通常,组织会采用混合模式,根据具体的任务、规模、战略目标和治理架构,将两种模式灵活搭配使用。NIST SP 800-100建议,在建立网络安全治理架构的过程中,应根据具体情况决定采用集中式还是分散式模式,考虑因素包括但不限于:
• 组织的规模和经营场地数量;
• 使命和战略目标;
• 现有IT基础设施;
• 国家监管要求;
• 组织的治理要求;
• 本组织的预算;以及
• 组织在信息安全方面的能力。
网络安全具有横向性质,所以会涉及组织的所有部门。因此,运营者可以考虑采用混合模式建立运营合作和协调架构,以全面覆盖各个方面。
请注意,如果CISO属于CIO部门,则IT运营需求与安全需求之间可能存在利益冲突。
2.2.2 治理与管理
2.2.2.1 网络安全治理框架
根据NIST的定义,信息安全治理指建立和维护框架、支持管理架构和流程,以确保信息安全战略与业务目标保持一致并支持业务目标,并且通过政策和内部控制,确保这些战略符合适用的法律法规,同时明确责任分担,最终达到管理风险的目的。
按照NIST CSF和SP 800-100,网络安全治理通常会有不同的架构(如前所述)、要求、挑战和各种活动。此外,网络/信息安全治理要确定组织内的关键角色和责任,支持政策的制定、监督和持续监控。因此,为了确保对组织使命的支持达到预期水平并满足合规要求,运营者必须构建完善的治理框架,覆盖飞行和技术运营组织的各个方面。进行网络安全治理,运营者还要确定国家层面的适用监管要求(法律、法规、指令)以及内部要求。
运营者应考虑将网络安全治理与整体组织架构和活动相结合,确保上级管理层了解情况并参与监督组织内部安全控制实施的过程。这一过程可以通过以下因素来推动:
• 战略规划;
• 组织架构和发展;
• 定义、确立适当的角色和职责;
• 融入组织的整体架构
• 制定政策和指南等文件。
下图给出了治理、风险及合规(GRC)框架,用以管理组织的总体治理、风险管理以及合规过程。治理是就是要落实相关的规章制度、标准、政策、流程和程序以及控制措施。风险包括了解自己的CSIAD、运营和流程,以及了解企业承受损失的能力。最后,在合规环节,组织需要采取控制措施以满足合规要求。
来源:IATA
ISO/IEC 27001等框架可用以支持组织的GRC活动,帮助建立与组织治理相一致的信息/网络安全治理,通过风险管理来保护信息/网络安全,并制定控制措施,确保组织遵守相关法规和标准。
2.2.2.2 网络安全管理
对于任何运营者,网络安全管理和战略的最终成功取决于组织高管是否给与积极支持。使用结构化管理框架可对组织的网络/信息安全活动进行监督和监控,保证妥善实施。因此,重要的是,在网络安全方面建立强有力的领导和责任制,将相关要素融入各个业务单位。
董事会最终负责组织的整体治理。然而,在大多数治理问题上,CEO负管理责任。CEO最终负责确保所有必要的资源在整个组织内配置到位。因此,由CEO任命CISO,CISO直接向CEO负责。CISO负责网络安全运营,确保组织的网络安全战略成功实施。也可任命CIO或首席安全官(CSO)承担这一角色。根据组织的规模和架构,还可以任命其他高管担任这一职务。但是,应该注意的是,这种设置可能存在利益冲突,特别是对于较大的组织来说。针对这种组织,建议将信息安全和IT运营分开,这已经成为最佳实践,其他行业的监管机构可能也会有此要求。
高管应作为主要联络人,与有关监管机构和其他政府组织就网络安全问题进行对接,在监督和协调组织内的监管活动时应得到CEO的支持,并作为主要联系人。此外,该高管应根据任务、愿景、合规要求和风险偏好,牵头制定网络安全政策、流程、控制措施和指标。
有关组织内网络安全管理的更多信息(包括CISO、CIO、CSO角色),参见第4版(最新版)SeMS手册。欲了解更多详细信息,参见NIST CSF和ISO/IEC 27001:2013。
2.2.2.3 制定网络安全计划
网络安全计划应与网络安全战略对齐,一般要参考行业框架标准和推荐做法。网络安全计划要确立所有必要的政策和程序,保护所识别CSIAD的机密性、完整性和可用性。需要注意的是,根据战略目标和监管要求,网络安全计划的各个要素和子要素会因运营者而异。不过,有效的网络安全计划都应包括这些要素:政策、网络安全框架和流程及其衡量方法。网络安全计划的各个要素和相关文件必须落实到组织的特定业务部门。因此,网络安全计划应根据具体组织情况量身定制。
支持网络安全管理的一大关键要素是制定和建立与组织的使命和愿景相一致的网络安全计划,计划应以董事会确定的风险偏好为基础,目的是确定各业务单位并任命人员,支持组织的战略目标。
制定网络安全计划非常重要,为此,组织需要任命拥有战略资源的强有力的领导团队,确保计划符合运营者的使命、愿景和风险偏好。
运营者首先应该确定组织内部哪些人需要参与制定网络安全计划。因此,董事会或CEO应任命一名高管,负责领导和把控整个组织的计划制定工作。该高管作为组织的网络安全领导人,同时需要管理与航空(机队)相关的网络作战,将组织计划与网络安全战术航空活动联系起来。同时,他/她还要控制预算、规划和分配必要资源,要有能力执行制定的网络安全计划。该高管将向整个组织提供指导,确保整个管理层达成共识。
现下,有许多网络安全规划指南可供运营者参考,如前文所述的NIST CSF。这个框架就如何建立和管理网络安全规划流程提供了指导。其他可参考的框架还有ISO/IEC 27000系列、信息和相关技术控制目标(COBIT)和/或支付卡行业数据安全标准(PCI DSS)。具体采用哪个框架取决于计划所需覆盖的标准和策略。基于NIST建议,网络安全规划大致可分七步走,如下图所示。
来源:IATA(基于NIST CSF)
2.2.2.4 规划组织的网络安全风险管理
NIST在《提升关键基础设施网络安全框架》中指出,没有所谓的通用方案。运营者或已识别出可能产生不同风险的各种CSIAD。一般来说,网络安全风险管理的目标是识别风险,了解风险发生的可能性以及对运营的影响,以及实施、衡量和更新安全控制措施,将风险降低到可接受的水平。
运营者在规划组织的风险管理时有许多框架可以参考,例如NIST CSF、ISO/IEC 27001:2013或ISO 27005:2018。其他文件如NIST SP 800-37(修订版2或最新版本)和NIST SP 800-82(修订版2或最新版本)可为运营者提供建立基线方面的参考。
在规划组织的网络安全风险管理时,可参考NIST CSF的联邦信息安全现代化法案(FISMA)实施项目以及NIST开发的风险管理框架(FISMA的关键要素之一)。风险管理框架(RMF)就如何整合安全和风险管理活动提供了相关信息。该框架使用基于风险的方法,包括以下步骤:准备、分类、选择、实施、评估、授权和监控。下图概述了RMF各步骤所涉及的所有操作以及相关文档。
来源:IATA(基于ISO/IEC 27005)
来源: NIST
运营者的网络安全风险管理需要每年进行一次评估,如果战略目标发生变化或引入新的关键系统,则需要进行改进。
本指导手册第2部分第3章进一步讨论了管理飞行器的网络安全风险时需考虑的因素。
2.2.3 人力
运营者的人力规划是网络安全计划的另一个关键要素。针对民航的网络威胁不断出现,网络攻击的数量和复杂程度与日俱增,对网络安全专业人员的需求也越来越大。
目前,航空业缺乏网络安全专业人员,无法满足合规要求和应对不断变化的航空网络安全形势。为了弥补当前需求和人力之间的差距,网络安全专业人员需要培养与航空和飞行器网络安全相关的技能。
网络安全领域需要专业人员不断成长和进步,拥有熟练技能。因此,运营者进行有效的人力规划至关重要。这样,才能开发出合适的流程,找出现有差距,并了解如何培养人才以实现组织的愿景和使命。运营者应知道如何吸引、评估和培养专业人才。
NIST CSF的配套文件《NIST提升关键基础设施网络安全路线图》指出,技术熟练的网络安全工作人员对于满足关键基础设施需求非常重要。文中说,由于不断演变的网络安全威胁和技术环境,员工需要不断设计、实施、维护和改进必要的网络安全活动。除了NIST CSF,运营者还可以参考NIST SP 800-181(修订版1)—国家网络安全教育倡议(NICE)网络安全人员框架(NICE框架),将其作为支持组织满足网络安全需求的基本资源。
运营者在人力规划过程中还可以参考NIST发布的《成功的区域联盟和多利益相关者伙伴关系培养网络安全人员路线图》。能源部开发的网络安全能力成熟度模型(C2M2)也是很好的指南,值得借鉴。在欧盟的《欧盟网络安全技能培养》中,欧盟网络安全局(ENISA)提供了一些建议,对于组织进行人力规划以及网络安全技能培养颇有裨益。
2.2.3.1意识培养与培训
培训、提高意识和培养网络安全技能、最佳实践和流程是组织网络安全计划和文化的关键要素,其重要性不容低估;运营者应确保全员完成网络安全意识培训,包括了解网络安全防护和最佳行为实践、对意外系统响应提高警惕以及减轻网络攻击后果的操作程序。
意识培训旨在让相关员工具备足够知识,了解网络威胁态势、整个组织的典型脆弱性、个人责任以及当发生或可能发生网络攻击时应如何应对。
组织应为特定角色或相关员工群体(例如驾驶舱和客舱机组人员、开发人员、特权访问用户、能够访问组织中最敏感信息的人员、维修技师等)提供其他与网络相关的培训,识别相应的风险。例如,运营者应保证负责CSIAD的人员在上岗之前接受适当、充分的网络安全培训和技能培训。为了衡量网络安全文化的发展情况,组织应该具备测试工具,如白色钓鱼演练等,还应开发流程,审查和更新其培训课程,保证与时俱进。此类更新应考虑业务和法规变化(购买了新软件、软件停用、新服务或业务线、新法规、标准和最佳实践等)。
有关意识和培训的更多详细信息,参见第4版(最新版)SeMS手册。此外,运营者可以参考NIST SP 800-50指南,了解如何建立和维护全面的员工意识和培训计划。
下期预告
本文是全系列的第二讲,第三讲将为大家介绍飞行器网络安全要素,敬请期待……
译者声明
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。