?三年前，我發(fā)布了一項總統(tǒng)政策指令，以加強和維護安全且有彈性的關(guān)鍵基礎(chǔ)設(shè)施。今天，我們將繼續(xù)實現(xiàn)這一愿景，即政府和私營部門如何共同努力，以降低風(fēng)險并提高我們基礎(chǔ)設(shè)施的穩(wěn)定性和安全性。由于我們的世界相互聯(lián)系從未如此緊密，我們知道保持我們的關(guān)鍵基礎(chǔ)設(shè)施正常運轉(zhuǎn)需要與國際合作伙伴合作。這就是為什么我們正在努力通過與世界各地的合作伙伴共享信息來促進全球關(guān)鍵基礎(chǔ)設(shè)施的安全性和彈性。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?總統(tǒng)公告 - 2016 年關(guān)鍵基礎(chǔ)設(shè)施安全和彈性月 巴拉克奧巴馬

?????????“改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全”行政命令是美國總統(tǒng)奧巴馬于2013年2月簽署發(fā)布的，該行政命令旨在提高關(guān)鍵基礎(chǔ)設(shè)施管理網(wǎng)絡(luò)風(fēng)險的能力水平。在該行政命令的指導(dǎo)下，NIST（國家標準與技術(shù)研究院）與全球自愿開發(fā)網(wǎng)絡(luò)安全框架的相關(guān)利益人合作，通過一系列研討建立了網(wǎng)絡(luò)安全框架CSF（Cybersecurity Framework），該框架的優(yōu)先級、靈活、可重復(fù)和具有成本效益的方法可幫助關(guān)鍵基礎(chǔ)設(shè)施的所有者和運營商管理與網(wǎng)絡(luò)安全相關(guān)的風(fēng)險。當前該框架最新版本是2018年4月更新的1.1版本，題為《Framework for ImprovingCritical Infrastructure Cybersecurity》。

????????此框架以風(fēng)險為基礎(chǔ)，由框架核心（the Core）、框架實現(xiàn)層（Implementation Tiers）、概要（Profiles）三個主要組件組成。

????????框架核心使用易于理解的通用語言提供了一組所需的網(wǎng)絡(luò)安全活動和結(jié)果。核心指導(dǎo)組織以補充組織現(xiàn)有網(wǎng)絡(luò)安全和風(fēng)險管理流程的方式管理和降低其網(wǎng)絡(luò)安全風(fēng)險。

????????框架實現(xiàn)層通過提供組織如何看待網(wǎng)絡(luò)安全風(fēng)險管理的背景來幫助組織。Tiers指導(dǎo)組織考慮其網(wǎng)絡(luò)安全計劃的適當嚴格程度，并且通常用作討論風(fēng)險偏好、任務(wù)優(yōu)先級和預(yù)算的溝通工具。

????????框架概要是組織對其組織要求和目標、風(fēng)險偏好和資源與框架核心的預(yù)期結(jié)果的獨特調(diào)整。配置文件主要用于識別和優(yōu)先考慮改善組織網(wǎng)絡(luò)安全的機會。

????????對于此框架，大家比較熟悉的是IPDRR安全模型，及識別-保護-檢測-響應(yīng)-恢復(fù)，此模型在日常的安全建設(shè)工作中采納較多。框架核心包含四個元素:功能、類別、子類別和參考資料，其中功能部分為IPDRR，類別是將功能細分為與規(guī)劃需求和特定活動密切相關(guān)的網(wǎng)絡(luò)安全成果組，子類別進一步將一個類別劃分為具體的技術(shù)和/或管理活動成果，參考資料是在關(guān)鍵基礎(chǔ)設(shè)施部門中常見的標準、指南和實踐的特定部分，說明了實現(xiàn)與每個子類別相關(guān)的成果的方法。

?

圖：NIST核心架構(gòu)

????????值得注意的是，五個功能不是為了形成一個串行路徑或?qū)е乱粋€靜態(tài)期望的最終狀態(tài)，相反，這些功能應(yīng)該同時并持續(xù)地執(zhí)行，以形成一種處理動態(tài)網(wǎng)絡(luò)安全風(fēng)險的操作文化。

圖：五大功能簡介

????????框架實現(xiàn)層提供關(guān)于組織如何查看的上下文網(wǎng)絡(luò)安全風(fēng)險以及管理該風(fēng)險的流程。從部分(第1層)到自適應(yīng)(第4層)，層次描述了網(wǎng)絡(luò)安全風(fēng)險管理實踐中日益嚴格和復(fù)雜的程度。它們有助于確定網(wǎng)絡(luò)安全風(fēng)險管理在多大程度上被業(yè)務(wù)需求所告知，并被集成到組織的整體風(fēng)險管理實踐中。

圖：架構(gòu)實現(xiàn)層關(guān)系

????????框架概要文件(“概要文件”)是功能、類別和子類別與組織的業(yè)務(wù)需求、風(fēng)險容忍度和資源的對齊。一個配置使組織能夠建立一個路線圖，以減少網(wǎng)絡(luò)安全風(fēng)險，該路線圖與組織和部門目標保持良好的一致性，考慮法律/法規(guī)要求和行業(yè)最佳實踐，并反映風(fēng)險管理的優(yōu)先級。考慮到許多組織的復(fù)雜性，它們可能選擇擁有多個概要文件，與特定的組件保持一致，并認識到各自的需求。

????????組織內(nèi)如何相互協(xié)調(diào)實施該框架？安全框架給出的建議是決策級、業(yè)務(wù)/流程級和實現(xiàn)/運營級相互配合。執(zhí)行層將任務(wù)優(yōu)先級、可用資源和總體風(fēng)險容忍度傳達給業(yè)務(wù)/過程層。業(yè)務(wù)/流程級使用信息作為風(fēng)險管理流程的輸入，然后與實現(xiàn)/運營級協(xié)作，溝通業(yè)務(wù)需求并創(chuàng)建概要文件。實現(xiàn)/運營級將概要實現(xiàn)進展傳達給業(yè)務(wù)/流程級。業(yè)務(wù)/流程級別使用此信息執(zhí)行影響評估。業(yè)務(wù)/過程級管理層將影響評估的結(jié)果報告給執(zhí)行層，以告知組織的總體風(fēng)險管理過程，并向?qū)嵤?運營層報告業(yè)務(wù)影響的意識。

圖：組織內(nèi)概念信息和決策流動圖

????????在安全框架的第三章給出了如何使用該框架。需要注意，該框架不是為了取代現(xiàn)有進程而設(shè)計的;組織可以使用其當前流程，并將其覆蓋到框架上，以確定其當前網(wǎng)絡(luò)安全風(fēng)險方法的差距，并制定改進路線圖。下圖展示了組織使用該框架創(chuàng)建新的網(wǎng)絡(luò)安全計劃或改進現(xiàn)有計劃的過程，這些步驟應(yīng)該在必要時重復(fù)，以不斷改善網(wǎng)絡(luò)安全。

圖：實施網(wǎng)絡(luò)安全框架步驟

????????安全框架的附錄A：框架核心由兩個excel表組成，一個是功能和分類展示，一個是框架核心展示。在框架核心表中，對每一個功能，該功能下的分類、分類下的子分類以及參考信息都做了詳細陳列，可作為實施該框架的白皮書指導(dǎo)。

表：框架核心（部分展示）

?

【后記】關(guān)于NIST CSF，其官網(wǎng)上提供了較多學(xué)習(xí)材料，包括資源方法、實現(xiàn)指南、框架映射、案例研究、教育材料、示例概要文件等，可以看出NIST在極力推廣該安全框架。本次翻譯本著學(xué)習(xí)態(tài)度，這是一個持續(xù)的過程，在翻譯過程中，因筆者水平有限，難免存在錯誤或不恰當之處，如讀者發(fā)現(xiàn)及時反饋。

參考：Cybersecurity Framework | NISThttps://www.nist.gov/cyberframework

總結(jié)

以上是生活随笔為你收集整理的NIST 网络安全框架导读的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。