NIST 网络安全框架导读
三年前,我发布了一项总统政策指令,以加强和维护安全且有弹性的关键基础设施。今天,我们将继续实现这一愿景,即政府和私营部门如何共同努力,以降低风险并提高我们基础设施的稳定性和安全性。由于我们的世界相互联系从未如此紧密,我们知道保持我们的关键基础设施正常运转需要与国际合作伙伴合作。这就是为什么我们正在努力通过与世界各地的合作伙伴共享信息来促进全球关键基础设施的安全性和弹性。
总统公告 - 2016 年关键基础设施安全和弹性月 巴拉克奥巴马
“改善关键基础设施网络安全”行政命令是美国总统奥巴马于2013年2月签署发布的,该行政命令旨在提高关键基础设施管理网络风险的能力水平。在该行政命令的指导下,NIST(国家标准与技术研究院)与全球自愿开发网络安全框架的相关利益人合作,通过一系列研讨建立了网络安全框架CSF(Cybersecurity Framework),该框架的优先级、灵活、可重复和具有成本效益的方法可帮助关键基础设施的所有者和运营商管理与网络安全相关的风险。当前该框架最新版本是2018年4月更新的1.1版本,题为《Framework for ImprovingCritical Infrastructure Cybersecurity》。
此框架以风险为基础,由框架核心(the Core)、框架实现层(Implementation Tiers)、概要(Profiles)三个主要组件组成。
框架核心使用易于理解的通用语言提供了一组所需的网络安全活动和结果。核心指导组织以补充组织现有网络安全和风险管理流程的方式管理和降低其网络安全风险。
框架实现层通过提供组织如何看待网络安全风险管理的背景来帮助组织。Tiers指导组织考虑其网络安全计划的适当严格程度,并且通常用作讨论风险偏好、任务优先级和预算的沟通工具。
框架概要是组织对其组织要求和目标、风险偏好和资源与框架核心的预期结果的独特调整。配置文件主要用于识别和优先考虑改善组织网络安全的机会。
对于此框架,大家比较熟悉的是IPDRR安全模型,及识别-保护-检测-响应-恢复,此模型在日常的安全建设工作中采纳较多。框架核心包含四个元素:功能、类别、子类别和参考资料,其中功能部分为IPDRR,类别是将功能细分为与规划需求和特定活动密切相关的网络安全成果组,子类别进一步将一个类别划分为具体的技术和/或管理活动成果,参考资料是在关键基础设施部门中常见的标准、指南和实践的特定部分,说明了实现与每个子类别相关的成果的方法。
图:NIST核心架构
值得注意的是,五个功能不是为了形成一个串行路径或导致一个静态期望的最终状态,相反,这些功能应该同时并持续地执行,以形成一种处理动态网络安全风险的操作文化。
图:五大功能简介
框架实现层提供关于组织如何查看的上下文网络安全风险以及管理该风险的流程。从部分(第1层)到自适应(第4层),层次描述了网络安全风险管理实践中日益严格和复杂的程度。它们有助于确定网络安全风险管理在多大程度上被业务需求所告知,并被集成到组织的整体风险管理实践中。
图:架构实现层关系
框架概要文件(“概要文件”)是功能、类别和子类别与组织的业务需求、风险容忍度和资源的对齐。一个配置使组织能够建立一个路线图,以减少网络安全风险,该路线图与组织和部门目标保持良好的一致性,考虑法律/法规要求和行业最佳实践,并反映风险管理的优先级。考虑到许多组织的复杂性,它们可能选择拥有多个概要文件,与特定的组件保持一致,并认识到各自的需求。
组织内如何相互协调实施该框架?安全框架给出的建议是决策级、业务/流程级和实现/运营级相互配合。执行层将任务优先级、可用资源和总体风险容忍度传达给业务/过程层。业务/流程级使用信息作为风险管理流程的输入,然后与实现/运营级协作,沟通业务需求并创建概要文件。实现/运营级将概要实现进展传达给业务/流程级。业务/流程级别使用此信息执行影响评估。业务/过程级管理层将影响评估的结果报告给执行层,以告知组织的总体风险管理过程,并向实施/运营层报告业务影响的意识。
图:组织内概念信息和决策流动图
在安全框架的第三章给出了如何使用该框架。需要注意,该框架不是为了取代现有进程而设计的;组织可以使用其当前流程,并将其覆盖到框架上,以确定其当前网络安全风险方法的差距,并制定改进路线图。下图展示了组织使用该框架创建新的网络安全计划或改进现有计划的过程,这些步骤应该在必要时重复,以不断改善网络安全。
图:实施网络安全框架步骤
安全框架的附录A:框架核心由两个excel表组成,一个是功能和分类展示,一个是框架核心展示。在框架核心表中,对每一个功能,该功能下的分类、分类下的子分类以及参考信息都做了详细陈列,可作为实施该框架的白皮书指导。
表:框架核心(部分展示)
【后记】关于NIST CSF,其官网上提供了较多学习材料,包括资源方法、实现指南、框架映射、案例研究、教育材料、示例概要文件等,可以看出NIST在极力推广该安全框架。本次翻译本着学习态度,这是一个持续的过程,在翻译过程中,因笔者水平有限,难免存在错误或不恰当之处,如读者发现及时反馈。
参考:Cybersecurity Framework | NISThttps://www.nist.gov/cyberframework
NIST 网络安全框架导读相关推荐
- 海外丨实施NIST网络安全框架的5个步骤
前言: 根据美国国家标准与技术研究院(NIST CSF)发布的网络安全框架,企业可根据自身需求加强网络安全防御. 美国国家标准与技术研究所(National Institute of Standard ...
- 最全网络安全框架及模型介绍
一.网络安全框架及模型是什么? 网络安全专业机构制定的一套标准.准则和程序,旨在帮助组织了解和管理面临的网络安全风险.优秀的安全框架及模型应该为用户提供一种可靠方法,帮助其实现网络安全建设计划.对于那 ...
- 网络安全框架知多少?
前言:网络安全框架是基于风险的准则汇编,旨在帮助组织评估当前能力并草拟优先路线图,以改进网络安全实践. 目录 1.NIST Cybersecurity Framework IPDRR
- LINUX2.4.x网络安全框架
在分析LINUX2.4.x网络安全的实现之前先简介一下它里面包括的几个重要概念:netfilter.iptables.match.target.nf_sockopt_ops.网络安全功能点的实现 ...
- 网络安全框架:OWASP概述、优势、实践和局限性分析
原文:OWASP概述.优势.实践和局限性分析 "OWASP框架是一个开源的应用程序安全开发生命周期框架,其目的是提供一个可重复使用的方法,以确保应用程序在设计.开发.测试和部署阶段都是安全的 ...
- 前端学习(1365):express框架导读
- NIST《2021年网络安全和隐私年度报告》记录
近期,NIST发布了<2021年网络安全和隐私年度报告>(2021 Cybersecurity and Privacy Annual Report).这份年度报告重点介绍了在2020年10 ...
- 医疗器械软件网络安全法规和标准概述(附所有标准)
1. 介绍 网络安全是一门复杂的.多学科的.基于计算的学科,起源于 1960 年代. 第一篇关于计算机系统安全和隐私的论文由 Ware (1967) 发表. 1970 年,Ware 完 ...
- 聊聊网络安全行业这十年(2010-2019)
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 网络安全成为主流的十年 在2010年前(其实应该是从2011年算起,不过2010年更顺口),网络安全还是一个孤立的领域.直到自己所使用 ...
最新文章
- C++ 异常机制分析
- 高可用可伸缩架构实用经验谈
- 速看|万豪数据泄漏门再敲警钟 酒店集团7步安全建议
- xib ? Interface Builder 中的 File's Owner 和 First Responder 分别是什么
- Shell 相互调用
- python注册登录代码_python基础--注册和登录功能 代码
- 蓝讯数卡api接口,可以接通25家话费充值卡、游戏点卡官方通道,轻松完成客户快速消耗...
- 如何将本地文件夹映射为硬盘盘符?
- matlab插值法计算根号,怎么用matlab利用拉格朗日插值计算法的原理编写并计算函数所在节点的近似值....
- 2013中国电商盘点回顾
- c语言编写五子棋报告,C语言编写五子棋游戏
- 浅谈PMSM电机控制之Clark变换(详细推导及MATLAB仿真)
- laravel pdf 加水印
- java excel checkbox_在Java窗体表格中插入复选框
- 域服务器性能要求,ad域服务器配置要求
- 苹果 Mac Big Sur 如何更改锁屏时间?
- QVariant方法功能(QT5.12)
- 淘宝网店如何提升无线端宝贝权重,抢占更多无线流量?
- 论文阅读 Solving Mixed Integer Programs Using Neural Networks
- “强者恒强”,零食江湖来到新赛点