美国提升关键基础设施网络安全框架V1.1 中文版

提升关键基础设施网络安全框架（美国）
V1.1
2018年4月16日
核心内容：包括5大功能模块、22类、108子类
功能缩写功能类别缩写类别
ID 标识ID.AM 资产管理
ID.BE 业务环境
ID.GV 治理
ID.RA 风险评估
ID.RM 风险管理战略
ID.SC 供应链风险管理
PR 防护PR.AC 身份管理和接入控制
PR.AT 意识和培训
PR.DS 数据安全
PR.IP 信息保护
PR.MA 维护
PR.PT 防护技术
DE 监测DE.AE 异常和事件
DE.CM 持续安全监控
DE.DP 检测流程
RS 响应RS.RP 响应计划
RS.CO 沟通
RS.MI 缓解
RS.IM 提升
RC 恢复RC.RP 恢复计划
RC.IM 提升
RC.CO 沟通
功能类别子类别
ID 标识ID.AM
资产管理
1）该组织内的设备和系统都有清单
2）该组织内的软件平台和应用都有清单
3）制作该组织内的通信和数据流图
4）编制外部信息系统目录
5）基于资源所处层级、重要性和商业价值将各类资源
（包括：硬件、设备、数据、时间、员工、软件等）按
优先级列表
6）建立责任体系，包括全体员工队伍和第三方利益相
关方（如：供应商、客户、合作伙伴等）
ID.BE
业务环境
1)定义和描述该组织在供应链中的任务
2)定义和描述该组织在关键基础设施及其行业中的地位
3)建立和描述该组织使命、目标和活动的优先事项
4)建立关键服务交付的依赖性和关键功能
5)建立所有操作状态（比如：胁迫/攻击状态，恢复状态，
正常操作状态）支持关键服务交付的弹性（Resilience）
要求
ID.GV
治理
1）建立和传达组织网络安全政策
2）将内部角色和外部合作伙伴的网络安全角色和责任
协调一致
3）理解和执行有关网络安全的法律法规要求，包括隐
私和公民自由义务
4）解决网络安全风险的治理和风险管理流程
ID.RA
风险评估
1）识别并记录资产漏洞（vulnerabilities）
2）网络威胁情报来自信息共享论坛和来源处（sources）
3）定义和记录内外部威胁
4）确定潜在的业务影响和可能性
5）威胁、漏洞、相似性和影响被用于确定风险
6）定义风险响应并确定其优先级
ID.RM
风险管理战略
1）组织利益相关者建立、管理、同意风险管理过程。

2）确定并明确表达组织风险承受能力
3）组织对风险承受能力的决定取决于它在关键基础设
施中的作用和行业特定风险分析。

ID.SC
供应链风险管
理
1）组织利益相关者识别、评估、管理、同意网络供应
链风险管理流程
2）使用网络供应链风险评估流程对供应商和第三方合
作伙伴的信息系统、组件和服务进行评估、识别和确定
优先级。

3）为实现组织的网络安全和网络供应链风险管理计划
目标，与供应商签订相关合同明确相关措施。

4）采用审核、测试结果或其他形式的评估定期评估供应商和第三方合作伙伴，以确认他们正在履行合同义务。

5）与供应商和第三方合作伙伴制定响应和恢复预案并演练
PR 保护PR.AC
身份管理与接
入控制
1）对授权设备、用户、流程的身份和凭据进行审核、
管理、验证、撤销和审计
2）对资产的物理访问进行管理和保护
3）远程接入管理
4）接入权限和授权是按照最低特权和职责分离原则进
行管理的
5）网络完整性受到保护
6）身份被证明并绑定到凭证，并在交互中证实
7）用户、设备和其他资产的身份验证（例如，单因子，
多因子）与交易风险（个人安全、隐私风险以及其他组
织风险）相称。

PR.AT
意识和培训
1）所有用户都得到通知和培训
2特权用户了解他们的角色和职责
3）第三方利益相关者（如供应商、客户、合作伙伴）
了解他们的角色和职责
4）高级管理人员了解他们的角色和职责
5）物理和网络安全人员了解他们的角色和职责
PR.DS
数据安全
1）静态数据受到保护
2）传输数据受到保护
3）资产在搬迁、运输和处置的过程中得到正式管理。

4）足够的容量以确保可用性
5）实施数据泄漏保护
6）完整性检查机制用于验证软件、固件firmware
和信息完整性
7）开发和测试环境与生产环境分离
8）完整性检查机制用于验证硬件完整性
PR.IP
信息保护
1）结合安全原则创建和维护信息/工业控制系统的基线
配置
2）实施系统开发生命周期管理系统
3）配置变更控制流程到位
4）对信息进行备份、维护和测试
5）符合有关组织资产的物理操作环境的政策和法规
6）根据策略销毁数据
7）改进保护过程
8）保护技术的有效性是共享的
9）制定和管理响应计划（事件响应和业务连续性）和
恢复计划（事件恢复和灾难恢复）
10）测试响应和恢复计划
11）网络安全包括在人力资源实践中（例如，招聘，解雇）
12）制定并实施漏洞管理计划
PR.MA 维护1）用批准和控制的工具对组织资产进行维护、修理并记录
2）以防止未经授权访问的方式批准、登记、实施组织资产的远程维护
PR.PT 防护技术1）根据政策确定、记录、实施和审查审计/日志记录2）可移动媒体受到保护，其使用受到策略限制
3）通过配置系统实现最小功能原则，只提供基本能力4）通信和控制网络受到保护
5）实施机制（如，故障保护、负载平衡、热插拔）以实现正常和不利情况下的弹性需求
DE 监测DE.AE
异常和事件
1）为用户和系统建立和管理网络运营和预期数据流的
基线
2）对检测到的事件进行分析，以了解攻击目标和方法。

3）收集和关联分析来自多个来源和传感器的事件数据
4）确定事件的影响
5）建立事件警报阈值
DE.CM
持续安全监控
1）监控网络以检测潜在的网络安全事件
2）监控物理环境以检测潜在的网络安全事件
3）监控人员活动以检测潜在的网络安全事件
4）检测恶意代码
5）检测未经授权的移动代码
6）监控外部服务提供者的活动以检测潜在的网络安全
事件
7）对未经授权的人员、连接、设备和软件进行监控
8）执行漏洞扫描
DE.DP
检测流程
1）明确规定了检测的角色和责任确保问责制
2）检测活动符合所有适用要求
3）测试检测过程
4）传递事件检测信息
5）检测过程不断改进
RS 响应RS.RP
响应计划
1）在事件期间或之后执行响应计划
RS.CO
沟通
1）当需要执行响应时，人员了解其角色和操作顺序
2）事故报告符合既定标准
3）信息共享与响应计划一致
4）与利益相关者的协调与响应计划一致
5）与外部利益相关者进行自愿信息共享以实现更广泛
的网络安全态势感知
RS.AN 分析1）调查来自检测系统的通知
2）了解事件的影响
3）进行取证
4）根据响应计划对事件进行分类
5）针对来自内部和外部的向组织披露的漏洞（内部测试、安全公告或安全研究人员），建立接收、分析和应对的流程。

RS.MI 缓解1）包含事件
2）事件得到缓解
3）新发现的漏洞作为可接受的风险得到缓解和记录
RS.IM 提升1）将经验教训纳入响应计划2）更新响应策略
RC 恢复RC.RP
恢复计划
1）在网络安全事件期间或之后执行恢复计划
RC.IM
提升
1）将经验教训纳入恢复计划
2更新恢复策略
RC.CO
沟通
1）管理公共关系
2）事件发生后修复声誉
3）将恢复活动传达给内、外部的利益相关者以及行政
和管理团队。