公共安全范式大转变,国家网络安全体系(N²SF)
Source: Byline Network
政府·公共部门在工作环境中出于确保安全的原因,一直实行将互联网与业务网分离使用的“网络分离”政策。虽然这种受控环境提升了安全性,但也加剧了工作上的不便和低效,并且在远程接入、云、生成式人工智能(AI)等新技术出现的变化环境中受到很大限制。
在这些变化中,政府提出了 国家网络安全体系(N²SF) 作为替代方案。N²SF 不是通过划分网络的方式,而是基于数据的重要性和风险来设计安全控制的办法。机构首先对业务数据进行分级,然后在数据的流动·处理过程中识别可能的威胁,随后依据分级和风险应用并检查相应的安全控制。
基于美国风险管理框架设计的 N²SF
N²SF 以美国国家标准与技术研究院(NIST)提出的 风险管理框架(RMF) 概念为基础进行设计。RMF 是组织在管理安全风险时,识别风险并选择·评估·运行控制的程序,是美国联邦政府机构使用的七阶段流程。
在改进网络分离政策的过程中,国家情报院将 RMF 的风险导向原则融入了 N²SF 的流程。N²SF 重新构建了 RMF,使其适配公共机构环境,并以实务人员可遵循的阶段和产出物为中心进行具体化。
资料=国家情报院, N²SF 指南 1.0
现场有时将 N²SF 解释为“在公共领域以 RMF 方式转型的框架”。N²SF 指南的主要撰写团队说明:“N²SF 扩展后即是通向 RMF 的路径”。金融业已从以合规检查为中心,转向机构自行评估风险并选择控制的“自主安全框架”。国防领域则在讨论独立的风险管理体系——“国防风险管理框架(K‑RMF)”。
RMF 概念的核心在于 ‘如何划分网络’ 不如 ‘业务和数据是什么、流向何处、在此过程中可能存在哪些威胁’ 的梳理。依据这些结果选择控制方式,将安全的起点从网络边界转向业务·数据流动和风险。
以数据分级为起点的差异化控制…从统一网络分离到“设计型安全”
传统的网络分离体系中,保护的基本单元是 ‘网络’。通过划分业务网和互联网网,限制网络之间的迁移,以网络边界为中心保护数据,但即使数据敏感度不同,只要在同一网络内,就会被相同规则管理,导致问题。
N²SF 将保护单元先定位为 ‘业务信息和数据分级’,而非网络。国家情报院于 2025 年 9 月公开的 ‘N²SF 指南 1.0’ 将 ‘数据分级’ 与 ‘差异化控制’ 作为核心要素。指南要求将业务信息和系统划分为以下三等级。
| 等级 | 含义 |
|---|---|
| C (Classified) | 与国家安全、国防、外交、侦查直接相关的信息等,泄露会对国民生命·财产产生重大影响 |
| S (Sensitive) | 个人信息、行政内部资料等,泄露可能造成损害的信息 |
| O (Open) | 可对外公开或已无保密必要的信息 |
资料=国家情报院, N²SF 指南 1.0
分级并非仅凭机构自行判断决定,而是依据信息公开相关法律、保安业务规章等作为依据。即使在同一业务网内,也将 C 与 O 的风险视为不同,并依据数据流动和风险设计控制。必要时仍可将网络分离作为控制手段,但这仅是 基于分级与威胁分析结果 的选项。
设计型安全的核心要素
N²SF 关注 ‘以连接为前提的数据保护’。在机构间协作或外部服务对接不可避免的环境中,首先定义哪些数据在何种条件下可以移动,并通过身份认证·权限·终端安全状态·加密·出入审批等强制执行。
指南将控制项分为 权限、认证、分离·隔离、控制、数据、信息资产 六大类,细分控制项约 270 项。机构根据数据分级和威胁分析结果,组合适当的控制并实施。
覆盖数据全生命周期的控制
| 阶段 | 主要控制 |
|---|---|
| 生成 | 分级、基准设定 |
| 存储 | 最小化权限、审计日志、加密·密钥管理 |
| 使用 | 登录·终端安全状态·会话条件验证、阅览·编辑权限管理 |
| 传输 | 审批流程、加密、记录管理等条件性迁移 |
| 备份·恢复 | 保持原始分级、最小化盲区 |
| 保管·销毁 | 持有期限管理、包含销毁记录 |
资料=国家情报院, N²SF 指南 1.0
据安全业界称,N²SF 实施现场最常碰到的难点是 ‘到底要控制到什么程度’。需要根据分级、威胁和依据来组合控制的能力,机构必须能够清晰说明业务流程、数据迁移路径、可能的威胁以及适当的控制措施。N²SF 的转型之所以先于技术引入,是因为它首先要求判断标准和设计能力。