隨著信息技術(shù)的快速發(fā)展,組織面臨著越來越嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。NIST網(wǎng)絡(luò)安全框架(NIST Cybersecurity Framework,CSF)是一個(gè)靈活的綜合性指南,旨在協(xié)助各類組織建立、改進(jìn)和管理網(wǎng)絡(luò)安全策略,以加強(qiáng)網(wǎng)絡(luò)安全防御和響應(yīng)能力。本系列文章主要圍繞該框架的核心內(nèi)容、使用方法和應(yīng)用示范展開討論,以幫助使用者更好地利用該工具進(jìn)行網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃、設(shè)計(jì)、開發(fā)和運(yùn)營(yíng)。
本文主要探討NIST CSF框架的起源目標(biāo)、內(nèi)容組成,及其在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中的關(guān)鍵作用,通過采用該框架,組織能夠更有效地實(shí)施風(fēng)險(xiǎn)識(shí)別、安全保護(hù)、威脅檢測(cè)和事件響應(yīng),從而構(gòu)建更加堅(jiān)固和彈性的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。
關(guān)鍵字:網(wǎng)絡(luò)安全框架;風(fēng)險(xiǎn)管理;威脅檢測(cè)
一
背景與起源
在數(shù)字化的時(shí)代,信息技術(shù)的快速發(fā)展為組織帶來了巨大的機(jī)遇,同時(shí)也暴露了其面臨的嚴(yán)峻網(wǎng)絡(luò)安全挑戰(zhàn)。2013年2月,美國(guó)總統(tǒng)奧巴馬頒布了行政命令“改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全”(EO 13636),目標(biāo)是通過建立一個(gè)框架,改善政府和私營(yíng)部門之間的信息共享和協(xié)作,從而提升關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全能力。NIST通過與政府機(jī)構(gòu)、私營(yíng)企業(yè)以及學(xué)術(shù)界的廣泛合作,于2014年發(fā)布了CSF 1.0,該框架是基于現(xiàn)有標(biāo)準(zhǔn)、指南和實(shí)踐的自愿指南,旨在幫助關(guān)鍵基礎(chǔ)設(shè)施組織更好地管理和降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。2018年4月,NIST更新發(fā)布了CSF 1.1,并于2024年2月再次更新為CSF 2.0。根據(jù)利益相關(guān)者的反饋,為了反映不斷變化的網(wǎng)絡(luò)安全形勢(shì),幫助組織更輕松、更有效地管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn),NIST在CSF2.0中引入了一系列的修改,本系列相關(guān)文章將針對(duì)CSF 2.0展開討論。
圖1 NIST CSF的發(fā)展歷程
二
內(nèi)容組成
CSF框架主要包含三個(gè)部分:框架核心(Core)、配置文件(Profile)和實(shí)施層級(jí)(Tier)。其中,●核心(Core):定義了一組網(wǎng)絡(luò)安全成效(Outcome),以及相關(guān)成效的實(shí)現(xiàn)示例和參考信息;●配置(Profile):利用核心部分定義的成效,描述組織當(dāng)前或未來要達(dá)到的網(wǎng)絡(luò)安全狀態(tài);●層級(jí)(Tier):描述網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的成效等級(jí),以指導(dǎo)配置的創(chuàng)建和設(shè)計(jì)。
圖2 NIST CSF的內(nèi)容組成
1.核心(Core)
CSF框架核心由一組適合于各領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施部門的網(wǎng)絡(luò)安全活動(dòng)、期望結(jié)果和參考信息構(gòu)成,以一種通用的語(yǔ)言描述了適用的網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn)、指南和實(shí)踐,以便使從管理層到實(shí)施/運(yùn)營(yíng)層的利益相關(guān)者,能夠就網(wǎng)絡(luò)安全活動(dòng)和效能進(jìn)行便捷有效的溝通和交流。
圖3 CSF Core的內(nèi)容組織形式
框架核心包含了六個(gè)功能(Function):治理、識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù),提供了高層戰(zhàn)略視角的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理生命周期。每個(gè)功能又被細(xì)分為不同類別(Categories)和子類別(Subcategories),并提供了相應(yīng)的參考信息,如每個(gè)子類別適用的現(xiàn)行標(biāo)準(zhǔn)、指南和實(shí)踐。參考信息用于說明實(shí)現(xiàn)某個(gè)子類功能的可行方法,或者是將指南或要求與某個(gè)子類功能對(duì)齊。這些內(nèi)容來自當(dāng)前標(biāo)準(zhǔn)、指南和實(shí)踐的特定章節(jié),可以是適用于各領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施的通用內(nèi)容,也可以是只針對(duì)某個(gè)特定行業(yè)領(lǐng)域的內(nèi)容。需要注意的是,參考信息僅具有示范意義,并非全面詳盡的指南手冊(cè),主要引用了框架開發(fā)過程中參考的行業(yè)指南,或者是合作伙伴在實(shí)施框架時(shí)使用的網(wǎng)絡(luò)安全工具和資源。
2.配置(Profile)
通常,組織并不需要使用CSF核心中所有類別(含子類別)的功能,實(shí)際上可能也不存在需要全部功能類別的組織。因此,CSF的功能類別本質(zhì)上是一個(gè)可選清單,組織需要選擇使用與其自身運(yùn)營(yíng)和風(fēng)險(xiǎn)狀況最相關(guān)的功能??蚣芘渲檬墙M織基于業(yè)務(wù)需求從框架類別和子類別中選擇出來的成效清單。該配置文件實(shí)際上描述了在特定的實(shí)施場(chǎng)景中,企業(yè)組織將標(biāo)準(zhǔn)、指南和實(shí)踐與框架核心對(duì)齊的過程。配置文件可用于組織內(nèi)部或組織之間進(jìn)行溝通,也可用于通過比較“當(dāng)前”配置文件(即現(xiàn)狀)與“目標(biāo)”配置文件(即將來),來識(shí)別改進(jìn)網(wǎng)絡(luò)安全狀況的機(jī)會(huì)。為了制定配置文件,組織可以審查所有的類別和子類別,并基于業(yè)務(wù)/使命驅(qū)動(dòng)因素和風(fēng)險(xiǎn)評(píng)估,確定哪些成效最為重要。
3.層級(jí)(Tier)
框架層級(jí)用來指導(dǎo)組織如何實(shí)施CSF Core,從實(shí)施角度提供了組織使用CSF框架的背景,組織看待網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的觀點(diǎn),以及管理風(fēng)險(xiǎn)的過程。CSF層級(jí)定義了4個(gè)層級(jí)及相應(yīng)的特征,來刻畫描述組織網(wǎng)絡(luò)安全實(shí)踐的范圍(包括風(fēng)險(xiǎn)治理和風(fēng)險(xiǎn)管理)和層次(包括部分、風(fēng)險(xiǎn)知悉、可重復(fù)和自適應(yīng))。
圖4 NIST CSF的四個(gè)實(shí)施層
上述4個(gè)層級(jí)描述了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐的復(fù)雜程度,有助于確定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理受業(yè)務(wù)需求影響的程度,并集成到組織整體的風(fēng)險(xiǎn)管理實(shí)踐中。NIST認(rèn)為,雖然鼓勵(lì)處于第1層級(jí)的組織向第2層級(jí)或更高層級(jí)邁進(jìn),但層級(jí)并不代表成熟度水平,而是旨在支持組織對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理進(jìn)行決策,幫助組織識(shí)別不同網(wǎng)絡(luò)安全活動(dòng)的優(yōu)先級(jí)和緊迫性,以獲得更有效的外部資源。如果成本效益分析(CBA)表明,組織降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是可行的且經(jīng)濟(jì)有效時(shí),才鼓勵(lì)組織進(jìn)入更高的層級(jí)。當(dāng)組織達(dá)成了目標(biāo)配置文件中所描述的成效,它就成功實(shí)施了CSF。當(dāng)然,在實(shí)施CSF過程中,組織對(duì)層級(jí)的選擇和設(shè)定也會(huì)影響框架配置文件。
三
使用與效益
CSF提供了管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的通用語(yǔ)言和系統(tǒng)方法??蚣芎诵陌{入網(wǎng)絡(luò)安全計(jì)劃的活動(dòng),可以根據(jù)任何組織的需求進(jìn)行定制。創(chuàng)建框架配置文件的過程為組織提供了一個(gè)機(jī)會(huì)來確定可以加強(qiáng)現(xiàn)有流程的領(lǐng)域,或者可以實(shí)施新流程的領(lǐng)域??蚣軐?shí)施層通過層級(jí)指導(dǎo)組織考慮其網(wǎng)絡(luò)安全規(guī)劃的安全能力級(jí)別,同時(shí)用作討論任務(wù)優(yōu)先級(jí)、風(fēng)險(xiǎn)偏好和預(yù)算的溝通工具。CSF有助于指導(dǎo)組織各個(gè)級(jí)別的風(fēng)險(xiǎn)管理活動(dòng)的關(guān)鍵決策點(diǎn),從高級(jí)管理人員到業(yè)務(wù)和流程級(jí)別,以及實(shí)施和運(yùn)營(yíng)。雖然CSF在設(shè)計(jì)時(shí)重點(diǎn)考慮了關(guān)鍵基礎(chǔ)設(shè)施,但它的用途極其廣泛,適用于各種規(guī)模、行業(yè)和成熟度的組織。通過內(nèi)在的定制機(jī)制(層、配置文件和核心均可修改),可以定制框架以供各種類型的組織使用。CSF是結(jié)果驅(qū)動(dòng)型的框架,并且不強(qiáng)制要求組織必須如何實(shí)現(xiàn)這些功能,具有不同預(yù)算的小型組織或大公司都能夠以適合自己的方式實(shí)現(xiàn)CSF定義的安全成效,為實(shí)施網(wǎng)絡(luò)安全計(jì)劃的組織提供了充分的靈活性和擴(kuò)展性。
以上是“NIST網(wǎng)絡(luò)安全框架”權(quán)說系列的首篇文章,本文主要概括了NIST CSF的主體內(nèi)容和組成。本系列論文主要圍繞CSF 2.0,從框架概覽、核心功能、配置分層3個(gè)方面展開討論,以幫助使用者更好地理解、利用該工具進(jìn)行網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃、設(shè)計(jì)、開發(fā)和運(yùn)營(yíng)。
審核編輯 黃宇
-
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3104瀏覽量
59531 -
安全框架
+關(guān)注
關(guān)注
0文章
5瀏覽量
6986 -
NIST
+關(guān)注
關(guān)注
1文章
21瀏覽量
9288
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論