第2章 組織的基本網路安全文化和狀況

2.1定義

2.1.1 基本網路安全文化

組織的網路安全文化指員工所具有的知識、規範和價值觀等，該體系直接反映了員工在處理資訊科技和保護關鍵系統、資訊、資產和資料（CSIAD）時的行為。

運營者需要在組織內建立完善的網路安全文化，涵蓋從飛行器採購到整個生命週期、再到運營以及供應鏈的所有要素，還應納入從最高層到最基層的所有人員。

網路安全文化應成為組織和員工的不可分割的一部分。成功的網路安全文化會培養員工的安全思維，增強組織抵禦網路威脅的能力，使員工有效執行戰略目標，而不被繁瑣的安全操作所累。

定義組織的基本網路安全文化要從多方面著手，從高管至基層的各級人員均須參與其中。良好的網路安全文化不僅是從行為到規範和價值觀均體現出安全意識，同時，高管、網路安全實施人員和全體員工之間也應達成共識，釐清責任，知道如何行事，防止CSIAD遭受網路攻擊。

需要強調的是，網路安全文化因運營者而異，要定義和建立強大、可持續的文化，需要知道並且理解組織的整體文化和架構、使命和願景、戰略目標、政策和流程。因此，為了建立基本的網路安全文化，運營者應確保員工得到相應培訓且知悉並理解保護組織安全所涉及的各種角色。

2.1.2 基本網路安全狀況

參考美國國家標準與技術研究院（NIST）特刊（SP）800-128，網路安全狀況可定義為運營者的網路、資訊和系統的安全狀態，反映了組織是否有足夠的資訊保安資源（如人員、硬體、軟體、政策等）和能力管理防禦行動並隨機應變。簡單說，網路安全狀況指組織的成熟度和整體安全實力、防護網路攻擊的控制和措施、管理防禦行動的能力以及在響應和恢復網路攻擊時是否應付裕如、遊刃有餘。

針對民航領域的網路威脅和惡意行為人在數量上持續增長，手段上日益複雜，運營者需要對自己的網路安全狀況有一個清晰的認識。除了即將出臺的法規和嚴格的合規標準，政府和公共部門也不斷施加壓力，要求運營者保護CSIAD。

一方面，受經濟利益驅使，另一方面，當前法規對可能發生的行為缺乏刑事阻截和管轄權，這兩方面因素促使複雜網路攻擊的數量逐年攀升且變化多端，運營者必須發展網路安全能力。

要了解自己的網路安全狀況，運營者應進行風險評估，確定組織內CSIAD的漏洞和總體風險情況（有關風險評估的更多資訊，參見本文後續章節）。透過這一步驟，能識別組織內部的薄弱環節，確定後續行動，改善網路安全狀況。

與此同時，運營者必須定期監測、評估針對CSIAD的安全措施，以保持良好的網路安全狀況。如果採用更全面的方法，還要考慮組織的政策、風險分析計劃/框架、網路安全文化以及員工的意識和教育。

確定網路安全狀況時，要考慮或明確組織的網路安全成熟度、需要彌補的安全差距以及重點工作。顯然，這要分步進行。為此目的，開發了許多網路安全框架，例如，NIST的網路安全框架（CSF）以及其中引用的NIST SP 800–53（修訂版5）。此外，國際標準化組織（ISO）的標準檔案也能用於改善組織的網路安全狀況。運營者應從ISO/IEC 27000系列中的標準開始，例如，ISO/IEC 27032:2012《資訊科技—安全技術—網路安全指南》。

NIST CSF旨在提供一種基於效能的高效方法，幫助組織識別、評估和管理網路安全風險。

透過使用這些框架並依照監管要求和行業標準，運營者應明確欲達到的網路安全狀況。不同的安全措施和控制措施確保了全面覆蓋，不留任何漏洞。要確定基本的網路安全狀況，建議考慮以下步驟：

• 識別關鍵系統、資訊、資產和資料（CSIAD）。每個組織情況不同，首先要確定哪些系統、資訊、資產和資料對組織至關重要，需要加以保護。這也有助於確定行動的優先順序，保證持續運營。

• 確定組織的風險偏好。運營者會根據組織的戰略目標及其CSIAD確定接受何等程度的風險。明確組織為實現戰略目標所願意接受的風險水平，這點很重要。組織目標發生變化時，應重新評估和調整。

• 制定、實施網路安全計劃。網路安全計劃應包括組織的政策、流程、標準和指導方針。該計劃可在組織內協調網路安全的方方面面，提高關鍵基礎設施的總體安全性和恢復能力，確保組織的網路安全風險管理實現預期目標。

• 評估控制措施的成熟度和有效性。該過程至關重要，可判斷所實施的控制措施是否足以保護CSIAD免受已知威脅和漏洞的影響。

• 監控、評估和修訂。運營者須持續監控組織的戰略目標，評估變更，進行修訂。

運營者可以考慮使用工具，如英國民航局開發的航空網路評估框架（CAF），來輔助組織的網路安全評估過程。

為CSIAD提供適度保護，能提升網路的恢復能力，保證網路安全。對於組織而言，持續監控、維護和調整網路安全狀況至關重要，因為業務/運營環境可能會因戰略目標的變化、新技術/架構/流程的採用以及新興網路威脅的出現而發生變化。

2.2網路安全戰略

組織的網路安全戰略指制定和實施行動計劃，確保資料和已識別CSIAD的機密性、完整性和可用性（CIA）。就網路安全而言，這對於提升組織的安全、恢復能力和信任度相當關鍵。成熟的戰略能確保基本的網路安全文化和狀況，員工經過適當培訓並瞭解其角色和責任。網路安全戰略的目的是讓組織有備無患，從容應對網路攻擊。

這一戰略是自上而下的概要方法檔案，確定特定時間段內（例如3至5年，具體時間由組織確定）組織的目標和優先事項，通常需要首先了解組織當前的風險態勢和相關風險偏好。同時，須將網路安全戰略與總體組織/業務戰略對齊，並應涵蓋組織明確定義的使命和願景、業務目標和連續性政策。至於戰術計劃，建議週期為1至2年，而運營計劃或專案/方案的週期則應更短，具體時長由組織決定。

在制定和實施網路安全戰略時，組織可採用多種框架，比如前面提及的NIST CSF。該框架包含五個並行、連續的建議功能（如下圖所示），組織所編寫的網路安全戰略檔案應覆蓋這些功能。

圖2.2NIST網路安全框架（CSF）

來源：IATA（基於NIST CSF）

網路安全戰略的制定可能會涉及組織內的多個部門。因此，運營者應建立跨領域團隊，負責戰略制定和實施的整個過程。確定行動計劃是制定戰略的關鍵步驟，需要根據組織的規模、複雜性、願景和使命等設定恰當的期限。

首先，運營者應制定戰略目標，定義戰略範圍。此外，應確定網路安全需求，據此規劃可執行且可完成的活動，以支援網路安全戰略的目標和範圍。制定戰略時還應制定網路安全計劃（以最終確定具體目標和總體目標的績效指標），識別所需的資源（進行網路安全工作所需的時間和人力），制定組織內部溝通計劃。網路安全戰略應定期評審和更新。

2.2.1 組織和架構

一般來說，根據NIST SP 800-100，有兩種主要的網路安全治理架構模式，即集中式和分散式。執行長（CEO）通常負責組織的管理和治理，而網路/資訊保安責任則根據具體組織模式由不同角色承擔。

• 在集中式模式下，首席資訊保安官（CISO）或資訊長（CIO）負責控制部門內資訊保安活動的分項預算（部門/成本中心的預算和費用），因此負責確保資訊保安控制的實施和監控。CISO或CIO由其直接下屬提供支援。這種模式一般涉及人員較多，專業化程度高，可專注於特定領域。這種模式的缺點是，團隊規模較大，在人員管理上需要耗費更多時間。

• 在分散式模式下，CISO或CIO通常負責政策制定和監督。在預算方面，CISO或CIO控制部門的資訊保安預算，但對運營單位的資訊保安計劃沒有控制權。這種模式可以節省人員管理時間，但是，由於CISO或CIO所依賴的人員並不直接向CISO或CIO負責，因此需要花費更多的時間從其他部門獲得資源。

通常，組織會採用混合模式，根據具體的任務、規模、戰略目標和治理架構，將兩種模式靈活搭配使用。NIST SP 800-100建議，在建立網路安全治理架構的過程中，應根據具體情況決定採用集中式還是分散式模式，考慮因素包括但不限於：

• 組織的規模和經營場地數量；

• 使命和戰略目標；

• 現有IT基礎設施；

• 國家監管要求；

• 組織的治理要求；

• 本組織的預算；以及

• 組織在資訊保安方面的能力。

網路安全具有橫向性質，所以會涉及組織的所有部門。因此，運營者可以考慮採用混合模式建立運營合作和協調架構，以全面覆蓋各個方面。

請注意，如果CISO屬於CIO部門，則IT運營需求與安全需求之間可能存在利益衝突。

2.2.2 治理與管理

2.2.2.1 網路安全治理框架

根據NIST的定義，資訊保安治理指建立和維護框架、支援管理架構和流程，以確保資訊保安戰略與業務目標保持一致並支援業務目標，並且透過政策和內部控制，確保這些戰略符合適用的法律法規，同時明確責任分擔，最終達到管理風險的目的。

按照NIST CSF和SP 800-100，網路安全治理通常會有不同的架構（如前所述）、要求、挑戰和各種活動。此外，網路/資訊保安治理要確定組織內的關鍵角色和責任，支援政策的制定、監督和持續監控。因此，為了確保對組織使命的支援達到預期水平並滿足合規要求，運營者必須構建完善的治理框架，覆蓋飛行和技術運營組織的各個方面。進行網路安全治理，運營者還要確定國家層面的適用監管要求（法律、法規、指令）以及內部要求。

運營者應考慮將網路安全治理與整體組織架構和活動相結合，確保上級管理層瞭解情況並參與監督組織內部安全控制實施的過程。這一過程可以透過以下因素來推動：

• 戰略規劃； 

• 組織架構和發展；

• 定義、確立適當的角色和職責；

• 融入組織的整體架構

• 制定政策和指南等檔案。

下圖給出了治理、風險及合規（GRC）框架，用以管理組織的總體治理、風險管理以及合規過程。治理是就是要落實相關的規章制度、標準、政策、流程和程式以及控制措施。風險包括瞭解自己的CSIAD、運營和流程，以及瞭解企業承受損失的能力。最後，在合規環節，組織需要採取控制措施以滿足合規要求。

圖2.2.2.1. 治理、風險及合規（GRC）框架

來源：IATA

ISO/IEC 27001等框架可用以支援組織的GRC活動，幫助建立與組織治理相一致的資訊/網路安全治理，透過風險管理來保護資訊/網路安全，並制定控制措施，確保組織遵守相關法規和標準。

2.2.2.2 網路安全管理

對於任何運營者，網路安全管理和戰略的最終成功取決於組織高管是否給與積極支援。使用結構化管理框架可對組織的網路/資訊保安活動進行監督和監控，保證妥善實施。因此，重要的是，在網路安全方面建立強有力的領導和責任制，將相關要素融入各個業務單位。

董事會最終負責組織的整體治理。然而，在大多數治理問題上，CEO負管理責任。CEO最終負責確保所有必要的資源在整個組織內配置到位。因此，由CEO任命CISO，CISO直接向CEO負責。CISO負責網路安全運營，確保組織的網路安全戰略成功實施。也可任命CIO或首席安全官（CSO）承擔這一角色。根據組織的規模和架構，還可以任命其他高管擔任這一職務。但是，應該注意的是，這種設定可能存在利益衝突，特別是對於較大的組織來說。針對這種組織，建議將資訊保安和IT運營分開，這已經成為最佳實踐，其他行業的監管機構可能也會有此要求。

高管應作為主要聯絡人，與有關監管機構和其他政府組織就網路安全問題進行對接，在監督和協調組織內的監管活動時應得到CEO的支援，並作為主要聯絡人。此外，該高管應根據任務、願景、合規要求和風險偏好，牽頭制定網路安全政策、流程、控制措施和指標。

有關組織內網路安全管理的更多資訊（包括CISO、CIO、CSO角色），參見第4版（最新版）SeMS手冊。欲瞭解更多詳細資訊，參見NIST CSF和ISO/IEC 27001:2013。

2.2.2.3 制定網路安全計劃

網路安全計劃應與網路安全戰略對齊，一般要參考行業框架標準和推薦做法。網路安全計劃要確立所有必要的政策和程式，保護所識別CSIAD的機密性、完整性和可用性。需要注意的是，根據戰略目標和監管要求，網路安全計劃的各個要素和子要素會因運營者而異。不過，有效的網路安全計劃都應包括這些要素：政策、網路安全框架和流程及其衡量方法。網路安全計劃的各個要素和相關檔案必須落實到組織的特定業務部門。因此，網路安全計劃應根據具體組織情況量身定製。

支援網路安全管理的一大關鍵要素是制定和建立與組織的使命和願景相一致的網路安全計劃，計劃應以董事會確定的風險偏好為基礎，目的是確定各業務單位並任命人員，支援組織的戰略目標。

制定網路安全計劃非常重要，為此，組織需要任命擁有戰略資源的強有力的領導團隊，確保計劃符合運營者的使命、願景和風險偏好。

運營者首先應該確定組織內部哪些人需要參與制定網路安全計劃。因此，董事會或CEO應任命一名高管，負責領導和把控整個組織的計劃制定工作。該高管作為組織的網路安全領導人，同時需要管理與航空（機隊）相關的網路作戰，將組織計劃與網路安全戰術航空活動聯絡起來。同時，他/她還要控制預算、規劃和分配必要資源，要有能力執行制定的網路安全計劃。該高管將向整個組織提供指導，確保整個管理層達成共識。

現下，有許多網路安全規劃指南可供運營者參考，如前文所述的NIST CSF。這個框架就如何建立和管理網路安全規劃流程提供了指導。其他可參考的框架還有ISO/IEC 27000系列、資訊和相關技術控制目標（COBIT）和/或支付卡行業資料安全標準（PCI DSS）。具體採用哪個框架取決於計劃所需覆蓋的標準和策略。基於NIST建議，網路安全規劃大致可分七步走，如下圖所示。

圖2.2.3 網路安全規劃過程

來源：IATA（基於NIST CSF）

2.2.2.4 規劃組織的網路安全風險管理

NIST在《提升關鍵基礎設施網路安全框架》中指出，沒有所謂的通用方案。運營者或已識別出可能產生不同風險的各種CSIAD。一般來說，網路安全風險管理的目標是識別風險，瞭解風險發生的可能性以及對運營的影響，以及實施、衡量和更新安全控制措施，將風險降低到可接受的水平。

運營者在規劃組織的風險管理時有許多框架可以參考，例如NIST CSF、ISO/IEC 27001:2013或ISO 27005:2018。其他檔案如NIST SP 800-37（修訂版2或最新版本）和NIST SP 800-82（修訂版2或最新版本）可為運營者提供建立基線方面的參考。

在規劃組織的網路安全風險管理時，可參考NIST CSF的聯邦資訊保安現代化法案（FISMA）實施專案以及NIST開發的風險管理框架（FISMA的關鍵要素之一）。風險管理框架（RMF）就如何整合安全和風險管理活動提供了相關資訊。該框架使用基於風險的方法，包括以下步驟：準備、分類、選擇、實施、評估、授權和監控。下圖概述了RMF各步驟所涉及的所有操作以及相關文件。

圖2.2.4（1）風險管理框架 

來源：IATA（基於ISO/IEC 27005）

圖2.2.4（2）FISMA實施專案

來源： NIST

運營者的網路安全風險管理需要每年進行一次評估，如果戰略目標發生變化或引入新的關鍵系統，則需要進行改進。

本指導手冊第2部分第3章進一步討論了管理飛行器的網路安全風險時需考慮的因素。

2.2.3 人力

運營者的人力規劃是網路安全計劃的另一個關鍵要素。針對民航的網路威脅不斷出現，網路攻擊的數量和複雜程度與日俱增，對網路安全專業人員的需求也越來越大。

目前，航空業缺乏網路安全專業人員，無法滿足合規要求和應對不斷變化的航空網路安全形勢。為了彌補當前需求和人力之間的差距，網路安全專業人員需要培養與航空和飛行器網路安全相關的技能。

網路安全領域需要專業人員不斷成長和進步，擁有熟練技能。因此，運營者進行有效的人力規劃至關重要。這樣，才能開發出合適的流程，找出現有差距，並瞭解如何培養人才以實現組織的願景和使命。運營者應知道如何吸引、評估和培養專業人才。

NIST CSF的配套檔案《NIST提升關鍵基礎設施網路安全路線圖》指出，技術熟練的網路安全工作人員對於滿足關鍵基礎設施需求非常重要。文中說，由於不斷演變的網路安全威脅和技術環境，員工需要不斷設計、實施、維護和改進必要的網路安全活動。除了NIST CSF，運營者還可以參考NIST SP 800-181（修訂版1）—國家網路安全教育倡議（NICE）網路安全人員框架（NICE框架），將其作為支援組織滿足網路安全需求的基本資源。

運營者在人力規劃過程中還可以參考NIST釋出的《成功的區域聯盟和多利益相關者夥伴關係培養網路安全人員路線圖》。能源部開發的網路安全能力成熟度模型（C2M2）也是很好的指南，值得借鑑。在歐盟的《歐盟網路安全技能培養》中，歐盟網路安全域性（ENISA）提供了一些建議，對於組織進行人力規劃以及網路安全技能培養頗有裨益。

2.2.3.1意識培養與培訓

培訓、提高意識和培養網路安全技能、最佳實踐和流程是組織網路安全計劃和文化的關鍵要素，其重要性不容低估；運營者應確保全員完成網路安全意識培訓，包括瞭解網路安全防護和最佳行為實踐、對意外系統響應提高警惕以及減輕網路攻擊後果的操作程式。

意識培訓旨在讓相關員工具備足夠知識，瞭解網路威脅態勢、整個組織的典型脆弱性、個人責任以及當發生或可能發生網路攻擊時應如何應對。

組織應為特定角色或相關員工群體（例如駕駛艙和客艙機組人員、開發人員、特權訪問使用者、能夠訪問組織中最敏感資訊的人員、維修技師等）提供其他與網路相關的培訓，識別相應的風險。例如，運營者應保證負責CSIAD的人員在上崗之前接受適當、充分的網路安全培訓和技能培訓。為了衡量網路安全文化的發展情況，組織應該具備測試工具，如白色釣魚演練等，還應開發流程，審查和更新其培訓課程，保證與時俱進。此類更新應考慮業務和法規變化（購買了新軟體、軟體停用、新服務或業務線、新法規、標準和最佳實踐等）。

有關意識和培訓的更多詳細資訊，參見第4版（最新版）SeMS手冊。此外，運營者可以參考NIST SP 800-50指南，瞭解如何建立和維護全面的員工意識和培訓計劃。

下期預告

本文是全系列的第二講，第三講將為大家介紹飛行器網路安全要素，敬請期待……

譯者宣告

由綠盟科技部落格與“安全加”社群小蜜蜂公益翻譯組合作完成，免責宣告及相關責任由“安全加”社群承擔。

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。