?三年前，我發(fā)布了一項總統(tǒng)政策指令，以加強和維護安全且有彈性的關鍵基礎設施。今天，我們將繼續(xù)實現這一愿景，即政府和私營部門如何共同努力，以降低風險并提高我們基礎設施的穩(wěn)定性和安全性。由于我們的世界相互聯(lián)系從未如此緊密，我們知道保持我們的關鍵基礎設施正常運轉需要與國際合作伙伴合作。這就是為什么我們正在努力通過與世界各地的合作伙伴共享信息來促進全球關鍵基礎設施的安全性和彈性。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?總統(tǒng)公告 - 2016 年關鍵基礎設施安全和彈性月 巴拉克奧巴馬

?????????“改善關鍵基礎設施網絡安全”行政命令是美國總統(tǒng)奧巴馬于2013年2月簽署發(fā)布的，該行政命令旨在提高關鍵基礎設施管理網絡風險的能力水平。在該行政命令的指導下，NIST（國家標準與技術研究院）與全球自愿開發(fā)網絡安全框架的相關利益人合作，通過一系列研討建立了網絡安全框架CSF（Cybersecurity Framework），該框架的優(yōu)先級、靈活、可重復和具有成本效益的方法可幫助關鍵基礎設施的所有者和運營商管理與網絡安全相關的風險。當前該框架最新版本是2018年4月更新的1.1版本，題為《Framework for ImprovingCritical Infrastructure Cybersecurity》。

????????此框架以風險為基礎，由框架核心（the Core）、框架實現層（Implementation Tiers）、概要（Profiles）三個主要組件組成。

????????框架核心使用易于理解的通用語言提供了一組所需的網絡安全活動和結果。核心指導組織以補充組織現有網絡安全和風險管理流程的方式管理和降低其網絡安全風險。

????????框架實現層通過提供組織如何看待網絡安全風險管理的背景來幫助組織。Tiers指導組織考慮其網絡安全計劃的適當嚴格程度，并且通常用作討論風險偏好、任務優(yōu)先級和預算的溝通工具。

????????框架概要是組織對其組織要求和目標、風險偏好和資源與框架核心的預期結果的獨特調整。配置文件主要用于識別和優(yōu)先考慮改善組織網絡安全的機會。

????????對于此框架，大家比較熟悉的是IPDRR安全模型，及識別-保護-檢測-響應-恢復，此模型在日常的安全建設工作中采納較多。框架核心包含四個元素:功能、類別、子類別和參考資料，其中功能部分為IPDRR，類別是將功能細分為與規(guī)劃需求和特定活動密切相關的網絡安全成果組，子類別進一步將一個類別劃分為具體的技術和/或管理活動成果，參考資料是在關鍵基礎設施部門中常見的標準、指南和實踐的特定部分，說明了實現與每個子類別相關的成果的方法。

?

圖：NIST核心架構

????????值得注意的是，五個功能不是為了形成一個串行路徑或導致一個靜態(tài)期望的最終狀態(tài)，相反，這些功能應該同時并持續(xù)地執(zhí)行，以形成一種處理動態(tài)網絡安全風險的操作文化。

圖：五大功能簡介

????????框架實現層提供關于組織如何查看的上下文網絡安全風險以及管理該風險的流程。從部分(第1層)到自適應(第4層)，層次描述了網絡安全風險管理實踐中日益嚴格和復雜的程度。它們有助于確定網絡安全風險管理在多大程度上被業(yè)務需求所告知，并被集成到組織的整體風險管理實踐中。

圖：架構實現層關系

????????框架概要文件(“概要文件”)是功能、類別和子類別與組織的業(yè)務需求、風險容忍度和資源的對齊。一個配置使組織能夠建立一個路線圖，以減少網絡安全風險，該路線圖與組織和部門目標保持良好的一致性，考慮法律/法規(guī)要求和行業(yè)最佳實踐，并反映風險管理的優(yōu)先級。考慮到許多組織的復雜性，它們可能選擇擁有多個概要文件，與特定的組件保持一致，并認識到各自的需求。

????????組織內如何相互協(xié)調實施該框架？安全框架給出的建議是決策級、業(yè)務/流程級和實現/運營級相互配合。執(zhí)行層將任務優(yōu)先級、可用資源和總體風險容忍度傳達給業(yè)務/過程層。業(yè)務/流程級使用信息作為風險管理流程的輸入，然后與實現/運營級協(xié)作，溝通業(yè)務需求并創(chuàng)建概要文件。實現/運營級將概要實現進展傳達給業(yè)務/流程級。業(yè)務/流程級別使用此信息執(zhí)行影響評估。業(yè)務/過程級管理層將影響評估的結果報告給執(zhí)行層，以告知組織的總體風險管理過程，并向實施/運營層報告業(yè)務影響的意識。

圖：組織內概念信息和決策流動圖

????????在安全框架的第三章給出了如何使用該框架。需要注意，該框架不是為了取代現有進程而設計的;組織可以使用其當前流程，并將其覆蓋到框架上，以確定其當前網絡安全風險方法的差距，并制定改進路線圖。下圖展示了組織使用該框架創(chuàng)建新的網絡安全計劃或改進現有計劃的過程，這些步驟應該在必要時重復，以不斷改善網絡安全。

圖：實施網絡安全框架步驟

????????安全框架的附錄A：框架核心由兩個excel表組成，一個是功能和分類展示，一個是框架核心展示。在框架核心表中，對每一個功能，該功能下的分類、分類下的子分類以及參考信息都做了詳細陳列，可作為實施該框架的白皮書指導。

表：框架核心（部分展示）

?

【后記】關于NIST CSF，其官網上提供了較多學習材料，包括資源方法、實現指南、框架映射、案例研究、教育材料、示例概要文件等，可以看出NIST在極力推廣該安全框架。本次翻譯本著學習態(tài)度，這是一個持續(xù)的過程，在翻譯過程中，因筆者水平有限，難免存在錯誤或不恰當之處，如讀者發(fā)現及時反饋。

參考：Cybersecurity Framework | NISThttps://www.nist.gov/cyberframework

總結

以上是生活随笔為你收集整理的NIST 网络安全框架导读的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。