0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

專家解讀 | NIST網(wǎng)絡(luò)安全框架(1):框架概覽

jf_73420541 ? 來源:jf_73420541 ? 作者:jf_73420541 ? 2024-05-06 10:30 ? 次閱讀

隨著信息技術(shù)的快速發(fā)展,組織面臨著越來越嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。NIST網(wǎng)絡(luò)安全框架(NIST Cybersecurity Framework,CSF)是一個(gè)靈活的綜合性指南,旨在協(xié)助各類組織建立、改進(jìn)和管理網(wǎng)絡(luò)安全策略,以加強(qiáng)網(wǎng)絡(luò)安全防御和響應(yīng)能力。本系列文章主要圍繞該框架的核心內(nèi)容、使用方法和應(yīng)用示范展開討論,以幫助使用者更好地利用該工具進(jìn)行網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃、設(shè)計(jì)、開發(fā)和運(yùn)營(yíng)。


本文主要探討NIST CSF框架的起源目標(biāo)、內(nèi)容組成,及其在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中的關(guān)鍵作用,通過采用該框架,組織能夠更有效地實(shí)施風(fēng)險(xiǎn)識(shí)別、安全保護(hù)、威脅檢測(cè)和事件響應(yīng),從而構(gòu)建更加堅(jiān)固和彈性的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。

關(guān)鍵字:網(wǎng)絡(luò)安全框架;風(fēng)險(xiǎn)管理;威脅檢測(cè)

背景與起源

在數(shù)字化的時(shí)代,信息技術(shù)的快速發(fā)展為組織帶來了巨大的機(jī)遇,同時(shí)也暴露了其面臨的嚴(yán)峻網(wǎng)絡(luò)安全挑戰(zhàn)。2013年2月,美國(guó)總統(tǒng)奧巴馬頒布了行政命令“改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全”(EO 13636),目標(biāo)是通過建立一個(gè)框架,改善政府和私營(yíng)部門之間的信息共享和協(xié)作,從而提升關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全能力。NIST通過與政府機(jī)構(gòu)、私營(yíng)企業(yè)以及學(xué)術(shù)界的廣泛合作,于2014年發(fā)布了CSF 1.0,該框架是基于現(xiàn)有標(biāo)準(zhǔn)、指南和實(shí)踐的自愿指南,旨在幫助關(guān)鍵基礎(chǔ)設(shè)施組織更好地管理和降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。2018年4月,NIST更新發(fā)布了CSF 1.1,并于2024年2月再次更新為CSF 2.0。根據(jù)利益相關(guān)者的反饋,為了反映不斷變化的網(wǎng)絡(luò)安全形勢(shì),幫助組織更輕松、更有效地管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn),NIST在CSF2.0中引入了一系列的修改,本系列相關(guān)文章將針對(duì)CSF 2.0展開討論。

wKgZomY4QLOAGat4AABoZ537-Dg354.png

圖1 NIST CSF的發(fā)展歷程

內(nèi)容組成

CSF框架主要包含三個(gè)部分:框架核心(Core)、配置文件(Profile)和實(shí)施層級(jí)(Tier)。其中,●核心(Core):定義了一組網(wǎng)絡(luò)安全成效(Outcome),以及相關(guān)成效的實(shí)現(xiàn)示例和參考信息;●配置(Profile):利用核心部分定義的成效,描述組織當(dāng)前或未來要達(dá)到的網(wǎng)絡(luò)安全狀態(tài);●層級(jí)(Tier):描述網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的成效等級(jí),以指導(dǎo)配置的創(chuàng)建和設(shè)計(jì)。

wKgaomY4QLiAR6PSAABSpXfC-dg236.png

圖2 NIST CSF的內(nèi)容組成

1.核心(Core)

CSF框架核心由一組適合于各領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施部門的網(wǎng)絡(luò)安全活動(dòng)、期望結(jié)果和參考信息構(gòu)成,以一種通用的語(yǔ)言描述了適用的網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn)、指南和實(shí)踐,以便使從管理層到實(shí)施/運(yùn)營(yíng)層的利益相關(guān)者,能夠就網(wǎng)絡(luò)安全活動(dòng)和效能進(jìn)行便捷有效的溝通和交流。

wKgZomY4QLyACxNlAACiuXCQAuc586.png

圖3 CSF Core的內(nèi)容組織形式

框架核心包含了六個(gè)功能(Function):治理、識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù),提供了高層戰(zhàn)略視角的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理生命周期。每個(gè)功能又被細(xì)分為不同類別(Categories)和子類別(Subcategories),并提供了相應(yīng)的參考信息,如每個(gè)子類別適用的現(xiàn)行標(biāo)準(zhǔn)、指南和實(shí)踐。參考信息用于說明實(shí)現(xiàn)某個(gè)子類功能的可行方法,或者是將指南或要求與某個(gè)子類功能對(duì)齊。這些內(nèi)容來自當(dāng)前標(biāo)準(zhǔn)、指南和實(shí)踐的特定章節(jié),可以是適用于各領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施的通用內(nèi)容,也可以是只針對(duì)某個(gè)特定行業(yè)領(lǐng)域的內(nèi)容。需要注意的是,參考信息僅具有示范意義,并非全面詳盡的指南手冊(cè),主要引用了框架開發(fā)過程中參考的行業(yè)指南,或者是合作伙伴在實(shí)施框架時(shí)使用的網(wǎng)絡(luò)安全工具和資源。

2.配置(Profile)

通常,組織并不需要使用CSF核心中所有類別(含子類別)的功能,實(shí)際上可能也不存在需要全部功能類別的組織。因此,CSF的功能類別本質(zhì)上是一個(gè)可選清單,組織需要選擇使用與其自身運(yùn)營(yíng)和風(fēng)險(xiǎn)狀況最相關(guān)的功能??蚣芘渲檬墙M織基于業(yè)務(wù)需求從框架類別和子類別中選擇出來的成效清單。該配置文件實(shí)際上描述了在特定的實(shí)施場(chǎng)景中,企業(yè)組織將標(biāo)準(zhǔn)、指南和實(shí)踐與框架核心對(duì)齊的過程。配置文件可用于組織內(nèi)部或組織之間進(jìn)行溝通,也可用于通過比較“當(dāng)前”配置文件(即現(xiàn)狀)與“目標(biāo)”配置文件(即將來),來識(shí)別改進(jìn)網(wǎng)絡(luò)安全狀況的機(jī)會(huì)。為了制定配置文件,組織可以審查所有的類別和子類別,并基于業(yè)務(wù)/使命驅(qū)動(dòng)因素和風(fēng)險(xiǎn)評(píng)估,確定哪些成效最為重要。

3.層級(jí)(Tier)

框架層級(jí)用來指導(dǎo)組織如何實(shí)施CSF Core,從實(shí)施角度提供了組織使用CSF框架的背景,組織看待網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的觀點(diǎn),以及管理風(fēng)險(xiǎn)的過程。CSF層級(jí)定義了4個(gè)層級(jí)及相應(yīng)的特征,來刻畫描述組織網(wǎng)絡(luò)安全實(shí)踐的范圍(包括風(fēng)險(xiǎn)治理和風(fēng)險(xiǎn)管理)和層次(包括部分、風(fēng)險(xiǎn)知悉、可重復(fù)和自適應(yīng))。

wKgaomY4QMCAODYGAABG2oPZQUg851.png

圖4 NIST CSF的四個(gè)實(shí)施層

上述4個(gè)層級(jí)描述了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐的復(fù)雜程度,有助于確定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理受業(yè)務(wù)需求影響的程度,并集成到組織整體的風(fēng)險(xiǎn)管理實(shí)踐中。NIST認(rèn)為,雖然鼓勵(lì)處于第1層級(jí)的組織向第2層級(jí)或更高層級(jí)邁進(jìn),但層級(jí)并不代表成熟度水平,而是旨在支持組織對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理進(jìn)行決策,幫助組織識(shí)別不同網(wǎng)絡(luò)安全活動(dòng)的優(yōu)先級(jí)和緊迫性,以獲得更有效的外部資源。如果成本效益分析(CBA)表明,組織降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是可行的且經(jīng)濟(jì)有效時(shí),才鼓勵(lì)組織進(jìn)入更高的層級(jí)。當(dāng)組織達(dá)成了目標(biāo)配置文件中所描述的成效,它就成功實(shí)施了CSF。當(dāng)然,在實(shí)施CSF過程中,組織對(duì)層級(jí)的選擇和設(shè)定也會(huì)影響框架配置文件。

使用與效益

CSF提供了管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的通用語(yǔ)言和系統(tǒng)方法??蚣芎诵陌{入網(wǎng)絡(luò)安全計(jì)劃的活動(dòng),可以根據(jù)任何組織的需求進(jìn)行定制。創(chuàng)建框架配置文件的過程為組織提供了一個(gè)機(jī)會(huì)來確定可以加強(qiáng)現(xiàn)有流程的領(lǐng)域,或者可以實(shí)施新流程的領(lǐng)域??蚣軐?shí)施層通過層級(jí)指導(dǎo)組織考慮其網(wǎng)絡(luò)安全規(guī)劃的安全能力級(jí)別,同時(shí)用作討論任務(wù)優(yōu)先級(jí)、風(fēng)險(xiǎn)偏好和預(yù)算的溝通工具。CSF有助于指導(dǎo)組織各個(gè)級(jí)別的風(fēng)險(xiǎn)管理活動(dòng)的關(guān)鍵決策點(diǎn),從高級(jí)管理人員到業(yè)務(wù)和流程級(jí)別,以及實(shí)施和運(yùn)營(yíng)。雖然CSF在設(shè)計(jì)時(shí)重點(diǎn)考慮了關(guān)鍵基礎(chǔ)設(shè)施,但它的用途極其廣泛,適用于各種規(guī)模、行業(yè)和成熟度的組織。通過內(nèi)在的定制機(jī)制(層、配置文件和核心均可修改),可以定制框架以供各種類型的組織使用。CSF是結(jié)果驅(qū)動(dòng)型的框架,并且不強(qiáng)制要求組織必須如何實(shí)現(xiàn)這些功能,具有不同預(yù)算的小型組織或大公司都能夠以適合自己的方式實(shí)現(xiàn)CSF定義的安全成效,為實(shí)施網(wǎng)絡(luò)安全計(jì)劃的組織提供了充分的靈活性和擴(kuò)展性。

以上是“NIST網(wǎng)絡(luò)安全框架”權(quán)說系列的首篇文章,本文主要概括了NIST CSF的主體內(nèi)容和組成。本系列論文主要圍繞CSF 2.0,從框架概覽、核心功能、配置分層3個(gè)方面展開討論,以幫助使用者更好地理解、利用該工具進(jìn)行網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃、設(shè)計(jì)、開發(fā)和運(yùn)營(yíng)。

審核編輯 黃宇

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 網(wǎng)絡(luò)安全
    +關(guān)注

    關(guān)注

    10

    文章

    3104

    瀏覽量

    59531
  • 安全框架
    +關(guān)注

    關(guān)注

    0

    文章

    5

    瀏覽量

    6986
  • NIST
    +關(guān)注

    關(guān)注

    1

    文章

    21

    瀏覽量

    9288
收藏 人收藏

    評(píng)論

    相關(guān)推薦

    專家解讀 | NIST網(wǎng)絡(luò)安全框架(2):核心功能

    別。本文將深入探討CSF核心的主要內(nèi)容,及其使用方法。關(guān)鍵字:網(wǎng)絡(luò)安全框架;CSF核心;威脅檢測(cè) ? 一 內(nèi)容簡(jiǎn)介 NIST將CSF核心定義為一系列網(wǎng)絡(luò)安全活動(dòng)、期望的結(jié)果,以及適用于
    的頭像 發(fā)表于 05-27 11:40 ?1403次閱讀
    <b class='flag-5'>專家</b><b class='flag-5'>解讀</b> | <b class='flag-5'>NIST</b><b class='flag-5'>網(wǎng)絡(luò)安全</b><b class='flag-5'>框架</b>(2):核心功能

    專家呼吁:網(wǎng)絡(luò)安全建設(shè)亟需開放與合作

    召開的主題為“對(duì)話?合作?聯(lián)動(dòng)――共筑網(wǎng)絡(luò)安全”的2010中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)上,來自國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的云曉春在分析國(guó)內(nèi)嚴(yán)峻的網(wǎng)絡(luò)安全課題時(shí)表示。因此,計(jì)算機(jī)網(wǎng)絡(luò)安全
    發(fā)表于 09-29 00:04

    網(wǎng)絡(luò)安全隱患的分析

    的過程和方法。新的安全問題的出現(xiàn)需要新的安全技術(shù)和手段來解決,因此,安全是一個(gè)動(dòng)態(tài)的、不斷完善的過程?! ∑髽I(yè)網(wǎng)絡(luò)安全可以從以下幾個(gè)方面來分析:物理
    發(fā)表于 10-25 10:21

    藍(lán)牙m(xù)esh系列的網(wǎng)絡(luò)安全

    藍(lán)牙m(xù)esh網(wǎng)絡(luò)安全概覽為何安全性如此關(guān)鍵?安全性可謂是物聯(lián)網(wǎng)(IoT)最受關(guān)注的問題之一。從農(nóng)業(yè)到醫(yī)院、從智能家居到商業(yè)智能建筑、從發(fā)電站到交通管理系統(tǒng),物聯(lián)網(wǎng)系統(tǒng)和技術(shù)將觸及我們
    發(fā)表于 07-22 06:27

    嵌入式設(shè)備網(wǎng)絡(luò)安全有什么策略?

    本文探索了在系統(tǒng)開發(fā)過程中重要的安全策略,包括進(jìn)行嵌入式安全評(píng)估和設(shè)計(jì)的框架,定義了一些網(wǎng)絡(luò)安全概念,并提供了一些嵌入式設(shè)備安全方面的建議。
    發(fā)表于 09-19 06:00

    AssetsLibrary框架詳細(xì)解析—— 基本概覽

    AssetsLibrary框架詳細(xì)解析(一) —— 基本概覽
    發(fā)表于 04-29 15:12

    【6.2】技術(shù)解讀框架、場(chǎng)景案例解讀

    `技術(shù)解讀框架、場(chǎng)景案例解讀)`
    發(fā)表于 06-04 17:12

    網(wǎng)絡(luò)空間安全

    1 緒論課程目標(biāo):系統(tǒng)而全面的了解網(wǎng)絡(luò)空間安全方面的基礎(chǔ)知識(shí)、認(rèn)識(shí)安全隱患、掌握相應(yīng)的防范方法、提高大家的安全意識(shí)。課程重點(diǎn):勾勒
    發(fā)表于 07-02 08:01

    網(wǎng)絡(luò)安全領(lǐng)域,NIST框架是什么?

    網(wǎng)絡(luò)安全領(lǐng)域,NIST 框架是什么?
    發(fā)表于 04-17 07:56

    新PowerVR框架概覽

    在2016年,新的一年給API領(lǐng)域帶來新氣象!為了迎接這些新氣象,我們建立了PowerVR框架,但是它具體指什么呢? 簡(jiǎn)單來說,這份框架是一個(gè)跨平臺(tái)和跨API的框架,是針對(duì)PowerVR已經(jīng)完全
    發(fā)表于 02-10 10:40 ?543次閱讀

    NIST網(wǎng)絡(luò)安全框架助你抵御網(wǎng)絡(luò)威脅

    網(wǎng)絡(luò)安全威脅呈指數(shù)級(jí)增長(zhǎng),制定有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略變得越來越重要。NIST網(wǎng)絡(luò)安全框架助你抵御網(wǎng)絡(luò)
    的頭像 發(fā)表于 11-02 11:39 ?3121次閱讀

    帶你了解網(wǎng)絡(luò)安全框架、目標(biāo)和類型

    數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的新石油。 它已成為最重要的資產(chǎn)之一,這就是為什么保護(hù)數(shù)據(jù)已成為國(guó)際優(yōu)先事項(xiàng)的原因。 世界各地的組織都意識(shí)到網(wǎng)絡(luò)安全的重要性并最終采用它。 通過實(shí)施網(wǎng)絡(luò)安全框架,企業(yè)可以創(chuàng)建安全
    發(fā)表于 07-28 08:03 ?928次閱讀

    網(wǎng)絡(luò)安全術(shù)語(yǔ)大全解讀

    如果你的工作或者生活與網(wǎng)絡(luò)安全有關(guān),你就知道它使用了自己獨(dú)特的、不斷發(fā)展的語(yǔ)言。術(shù)語(yǔ)和縮略語(yǔ)受到網(wǎng)絡(luò)安全專家的喜愛。因此, 我們創(chuàng)建了一個(gè)全面的網(wǎng)絡(luò)安全詞匯表,解釋了常用的
    的頭像 發(fā)表于 12-01 17:49 ?3060次閱讀

    lansweeper創(chuàng)建網(wǎng)絡(luò)安全資產(chǎn)管理基線

    審計(jì)。 你無法保護(hù)你不知道你有的東西 多年來,AssetInventory 在大多數(shù)行業(yè)領(lǐng)先的安全框架(例如ISO、NIST和 CIS)中名列前茅。硬件和軟件數(shù)據(jù)的發(fā)現(xiàn)對(duì)于維護(hù)整個(gè) IT資產(chǎn)的最新概況以保護(hù)您自己免受
    的頭像 發(fā)表于 06-29 09:29 ?985次閱讀
    lansweeper創(chuàng)建<b class='flag-5'>網(wǎng)絡(luò)安全</b>資產(chǎn)管理基線

    專家解讀 | NIST網(wǎng)絡(luò)安全框架(3):層級(jí)配置

    和配置的主要內(nèi)容,及其使用方法。 關(guān)鍵字:網(wǎng)絡(luò)安全框架;CSF層級(jí);CSF配置 ? 一 CSF層級(jí) 在組織的系統(tǒng)性風(fēng)險(xiǎn)治理過程中,CSF框架可以用于識(shí)別、評(píng)估和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。結(jié)合現(xiàn)
    的頭像 發(fā)表于 06-11 10:21 ?372次閱讀
    <b class='flag-5'>專家</b><b class='flag-5'>解讀</b> | <b class='flag-5'>NIST</b><b class='flag-5'>網(wǎng)絡(luò)安全</b><b class='flag-5'>框架</b>(3):層級(jí)配置