專(zhuān)家解讀 | NIST網(wǎng)絡(luò)安全框架（2）：核心功能

NIST CSF是一個(gè)關(guān)鍵的網(wǎng)絡(luò)安全指南，不僅適用于組織內(nèi)部，還可幫助管理第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。CSF核心包含了六個(gè)關(guān)鍵功能——治理、識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)，以及與這些功能相關(guān)的類(lèi)別和子類(lèi)別。本文將深入探討CSF核心的主要內(nèi)容，及其使用方法。關(guān)鍵字：網(wǎng)絡(luò)安全框架；CSF核心；威脅檢測(cè)

一

內(nèi)容簡(jiǎn)介

NIST將CSF核心定義為一系列網(wǎng)絡(luò)安全活動(dòng)、期望的結(jié)果，以及適用于關(guān)鍵基礎(chǔ)設(shè)施部門(mén)的信息參考。CSF核心提供了與網(wǎng)絡(luò)安全相關(guān)的行業(yè)標(biāo)準(zhǔn)、指南和實(shí)踐，幫助整個(gè)組織從管理層到實(shí)施/運(yùn)營(yíng)層就具體的網(wǎng)絡(luò)安全活動(dòng)和任務(wù)目標(biāo)進(jìn)行高級(jí)別的溝通和交流。

表1給出了CSF核心在各個(gè)版本中的內(nèi)容變化情況，在2.0正式版本中，NIST對(duì)CSF核心的修改主要體現(xiàn)在以下方面：

（1）增加“治理”功能

NIST將向CSF添加跨領(lǐng)域的“治理”組件，重點(diǎn)關(guān)注組織環(huán)境、風(fēng)險(xiǎn)管理策略、政策以及角色和職責(zé)，該調(diào)整將會(huì)影響監(jiān)管機(jī)構(gòu)和組織評(píng)估網(wǎng)絡(luò)安全活動(dòng)有效性的方式。

（2）新增供應(yīng)鏈風(fēng)險(xiǎn)管理

更新后的框架預(yù)計(jì)將更好地納入供應(yīng)鏈風(fēng)險(xiǎn)管理、隱私風(fēng)險(xiǎn)管理和更重要的網(wǎng)絡(luò)安全措施等關(guān)鍵領(lǐng)域，以確保其在未來(lái)十年的相關(guān)性，解決相關(guān)領(lǐng)域技術(shù)和風(fēng)險(xiǎn)的最新變化。

（3）與國(guó)際標(biāo)準(zhǔn)接軌

CSF 2.0將提高與美國(guó)、國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和實(shí)踐的一致性，與ISO 27001和GDPR等其他標(biāo)準(zhǔn)和框架保持一致，以增強(qiáng)使用性和靈活性。

（4）更新功能類(lèi)別

CSF 2.0將在整個(gè)框架中對(duì)功能、類(lèi)別和子類(lèi)別進(jìn)行大量添加、刪除或修改，并刪除對(duì)關(guān)鍵基礎(chǔ)設(shè)施的具體提及，以強(qiáng)調(diào)該框架對(duì)各類(lèi)行業(yè)組織的適用性。

二

關(guān)鍵功能

CSF核心包含了治理、識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)六個(gè)功能，涵蓋了網(wǎng)絡(luò)安全活動(dòng)的流程、能力、內(nèi)容和日常工作。

圖1 NIST CSF Core功能與分類(lèi)

1．治理（Govern）

CSF 2.0引入了新的“治理”功能，旨在建立組織的企業(yè)風(fēng)險(xiǎn)管理策略，包括網(wǎng)絡(luò)風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)和隱私風(fēng)險(xiǎn)。該功能涵蓋人員、流程和技術(shù)元素，除了整個(gè)CSF實(shí)施過(guò)程中的技術(shù)之外，還涵蓋角色、職責(zé)、政策、程序和監(jiān)督。治理功能包含6個(gè)關(guān)鍵類(lèi)別：●組織上下文（GV.OC）：理解與組織網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理決策相關(guān)的外部因素，包括任務(wù)、利益相關(guān)者的期望、法律、合規(guī)及合同要求等?！耧L(fēng)險(xiǎn)管理戰(zhàn)略（GV.RM）：確定并溝通組織網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的優(yōu)先事項(xiàng)、限制、風(fēng)險(xiǎn)承受能力、風(fēng)險(xiǎn)偏好及其假設(shè)，并應(yīng)用于支持運(yùn)營(yíng)風(fēng)險(xiǎn)決策?！窠巧?、責(zé)任和權(quán)限（GV.RR）：建立并傳達(dá)了組織網(wǎng)絡(luò)安全的角色、職責(zé)和權(quán)限，以促進(jìn)責(zé)任問(wèn)責(zé)、績(jī)效評(píng)估和持續(xù)改進(jìn)?！裾撸℅V.PO）：建立、傳達(dá)和執(zhí)行了組織的網(wǎng)絡(luò)安全政策?！癖O(jiān)督（GV.OV）：利用組織范圍內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理活動(dòng)的成效，指導(dǎo)、改進(jìn)和調(diào)整風(fēng)險(xiǎn)管理戰(zhàn)略?！窬W(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理（GV.SC）：網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理流程由組織利益相關(guān)者共同確定、建立、管理、監(jiān)控和改進(jìn)。網(wǎng)絡(luò)安全形勢(shì)處于不斷變化的狀態(tài)，威脅不斷變化，業(yè)務(wù)環(huán)境不斷變化，以及相應(yīng)的應(yīng)用程序和基礎(chǔ)設(shè)施發(fā)生變化?！爸卫怼笨纱_保組織在實(shí)施CSF的其他五個(gè)核心職能時(shí)，網(wǎng)絡(luò)安全策略與組織使命、業(yè)務(wù)目標(biāo)、可接受的風(fēng)險(xiǎn)和利益相關(guān)者的期望保持一致，以適應(yīng)外部環(huán)境。

2．識(shí)別（Identify）

“識(shí)別”功能旨在發(fā)現(xiàn)組織面臨的特定風(fēng)險(xiǎn)。因此，在實(shí)施必要的保護(hù)措施之前，了解需要保護(hù)的內(nèi)容及其原因很重要。該功能涵蓋所有基礎(chǔ)信息，包括數(shù)據(jù)、資產(chǎn)和系統(tǒng)，對(duì)所有資產(chǎn)進(jìn)行盤(pán)點(diǎn)，確定資產(chǎn)的連接和關(guān)聯(lián)方式，并定義保護(hù)這些資產(chǎn)的員工角色和職責(zé)?！白R(shí)別”功能包含三個(gè)關(guān)鍵類(lèi)別：●資產(chǎn)管理（ID.AM）：按照組織風(fēng)險(xiǎn)戰(zhàn)略，對(duì)資產(chǎn)（例如，數(shù)據(jù)、硬件、軟件、系統(tǒng)、設(shè)施、服務(wù)、人員）進(jìn)行識(shí)別和相應(yīng)的管理?！耧L(fēng)險(xiǎn)評(píng)估（ID.RA）：評(píng)估組織人員、資產(chǎn)和運(yùn)營(yíng)的潛在風(fēng)險(xiǎn)。●改進(jìn)（ID.IM）：識(shí)別、確定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理在流程、程序和活動(dòng)方面的改進(jìn)措施。簡(jiǎn)而言之，成功實(shí)施“識(shí)別”，有助于了解組織當(dāng)前的安全狀況，也有助于制定計(jì)劃以達(dá)到所需的安全狀態(tài)。

3．保護(hù)（Protect）

“識(shí)別”功能主要關(guān)注監(jiān)控和評(píng)估，而“保護(hù)”功能則更注重行動(dòng)，其目的是限制或遏制潛在的網(wǎng)絡(luò)威脅。為保護(hù)組織業(yè)務(wù)環(huán)境，可采取的主要行動(dòng)包括：●身份管理、認(rèn)證和訪(fǎng)問(wèn)控制（PR.AA）：僅為授權(quán)用戶(hù)、服務(wù)和硬件提供針對(duì)物理、邏輯資產(chǎn)的訪(fǎng)問(wèn)，并按照非授權(quán)訪(fǎng)問(wèn)的安全風(fēng)險(xiǎn)進(jìn)行管理?！褚庾R(shí)與培訓(xùn)（PR.AT）：為組織人員提供網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，以便他們能夠勝任與網(wǎng)絡(luò)安全相關(guān)的任務(wù)?！駭?shù)據(jù)安全（PR.DS）：數(shù)據(jù)的管理與組織的風(fēng)險(xiǎn)戰(zhàn)略一致，以保護(hù)信息的機(jī)密性、完整性和可用性?！衿脚_(tái)安全（PR.PS）：物理和虛擬平臺(tái)的硬件、軟件（例如，固件、操作系統(tǒng)、應(yīng)用程序）和服務(wù)的管理與組織的風(fēng)險(xiǎn)戰(zhàn)略一致，以保護(hù)其機(jī)密性、完整性和可用性。●技術(shù)架構(gòu)彈性（PR.IR）：安全架構(gòu)的管理與組織的風(fēng)險(xiǎn)戰(zhàn)略一致，以保護(hù)資產(chǎn)的機(jī)密性、完整性和可用性，并確保組織的彈性。值得注意的是，“保護(hù)”功能不僅僅是防止網(wǎng)絡(luò)威脅。有時(shí)，網(wǎng)絡(luò)安全事件是不可避免的。因此，保障措施還應(yīng)包括遏制事件影響的措施。

4．檢測(cè)（Detect）

檢測(cè)功能主要是在威脅事件發(fā)生時(shí)，能夠立即發(fā)現(xiàn)它們，旨在強(qiáng)調(diào)識(shí)別安全漏洞的及時(shí)性。此處的“威脅事件”是指給定系統(tǒng)或環(huán)境中的異常行為。例如，該行為可能包括檢測(cè)到新設(shè)備，或授權(quán)用戶(hù)登錄失敗等?？梢?jiàn)，檢測(cè)功能需要從廣泛的網(wǎng)絡(luò)安全角度，來(lái)識(shí)別業(yè)務(wù)環(huán)境的任何變化。該功能中的主要類(lèi)別包括：●持續(xù)監(jiān)控（DE.CM）：監(jiān)控組織資產(chǎn)的使用，以發(fā)現(xiàn)異常、失陷指標(biāo)和其他潛在的不良事件?！裢{事件分析（DE.AE）：對(duì)異常、失陷指標(biāo)和其他潛在不良事件進(jìn)行特征分析和定義，并檢測(cè)網(wǎng)絡(luò)安全事件。

5．響應(yīng)（Respond）

響應(yīng)功能是遏制網(wǎng)絡(luò)事件影響的能力，制定并實(shí)施適當(dāng)?shù)幕顒?dòng)，針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全事件采取行動(dòng)。全面的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃是最好的響應(yīng)起點(diǎn)，詳細(xì)說(shuō)明IT團(tuán)隊(duì)在發(fā)生漏洞、泄露或攻擊時(shí)應(yīng)采取的措施。該功能的主要類(lèi)別包括：●安全事件管理（RS.MA）：對(duì)檢測(cè)到的網(wǎng)絡(luò)安全事件進(jìn)行管理。●安全事件分析（RS.AN）：對(duì)安全事件進(jìn)行調(diào)查，以確保有效的響應(yīng)，并支持取證和恢復(fù)活動(dòng)。●安全事件響應(yīng)報(bào)告和溝通（RS.CO）：根據(jù)法律、法規(guī)和政策要求，協(xié)調(diào)內(nèi)部和外部利益相關(guān)者，對(duì)安全事件響應(yīng)進(jìn)行溝通和報(bào)告?！癜踩录徑猓≧S.MI）：防止事件擴(kuò)散，并降低其影響。在網(wǎng)絡(luò)事件響應(yīng)中明確角色和職責(zé)非常重要，確保員工了解自己在保護(hù)業(yè)務(wù)環(huán)境方面的角色，以便遵循、實(shí)施事件響應(yīng)計(jì)劃。最后，報(bào)告所有安全事件至關(guān)重要，以便確定問(wèn)題原因，以及未來(lái)可以改進(jìn)的內(nèi)容。

6．恢復(fù)（Recover）

恢復(fù)是CSF的最后一個(gè)核心功能，主要關(guān)注在事件發(fā)生后，恢復(fù)受網(wǎng)絡(luò)安全事件影響的資產(chǎn)和運(yùn)營(yíng)活動(dòng)。該功能的主要類(lèi)別包括：●安全事件恢復(fù)計(jì)劃執(zhí)行（RC.RP）：按計(jì)劃開(kāi)展恢復(fù)活動(dòng)，以確保受網(wǎng)絡(luò)安全事件影響的系統(tǒng)和服務(wù)可用?！癜踩录謴?fù)溝通（RC.CO）：在實(shí)施恢復(fù)時(shí)，與內(nèi)部和外部各方進(jìn)行協(xié)調(diào)溝通。全面的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃對(duì)于成功實(shí)施恢復(fù)功能至關(guān)重要。該計(jì)劃應(yīng)包括備份數(shù)據(jù)的完整說(shuō)明，并優(yōu)先考慮擬議恢復(fù)計(jì)劃的行動(dòng)步驟。

三

使用方法

CSF是一個(gè)基于結(jié)果的框架，而并非具體的控制措施，這也使得組織能夠從建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)能力和措施出發(fā)，以滿(mǎn)足當(dāng)前乃至未來(lái)法規(guī)的合規(guī)性要求，因此，在組織內(nèi)實(shí)現(xiàn)NIST CSF是一個(gè)非常有價(jià)值的挑戰(zhàn)?？蚣芎诵倪€提供了兩種附加資源，來(lái)幫助組織了解如何實(shí)現(xiàn)功能、類(lèi)別和子類(lèi)別。

1、參考信息

參考信息是來(lái)自標(biāo)準(zhǔn)、指南、法規(guī)和其他資源的指導(dǎo)性?xún)?nèi)容，比子類(lèi)別更加具體，例如來(lái)自SP 800-53《信息系統(tǒng)和組織的安全與隱私控制》的控制。在這種情況下，組織可以使用多個(gè)控制來(lái)實(shí)現(xiàn)某個(gè)子類(lèi)別中描述的結(jié)果。

2、實(shí)施示例

除了參考信息提供的指導(dǎo)之外，實(shí)施示例可以提供簡(jiǎn)明、面向行動(dòng)的步驟性示例，以幫助實(shí)現(xiàn)子類(lèi)別的結(jié)果，但這些示例并非是組織為實(shí)現(xiàn)結(jié)果可以采取的所有行動(dòng)的詳盡列表，也不代表解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所需的基準(zhǔn)行動(dòng)。雖然信息參考和實(shí)施示例被視為核心的一部分，但它們只在NIST CSF網(wǎng)站上單獨(dú)維護(hù)，并以在線(xiàn)格式存儲(chǔ)。組織可以在實(shí)施CSF Core時(shí)，可隨時(shí)利用NIST網(wǎng)絡(luò)安全和隱私參考工具（CPRT），獲得最新的參考和示范，也可以隨時(shí)通過(guò)NIST國(guó)家在線(xiàn)信息參考（OLIR）計(jì)劃提交更新建議。

審核編輯 黃宇