行业新闻

NIST 网络安全框架导读(文末附翻译链接)

13 Oct, 2021 行业新闻

NIST 网络安全框架导读(文末附翻译链接)

三年前,我发布了一项总统政策指令,以加强和维护安全且有弹性的关键基础设施。今天,我们将继续实现这一愿景,即政府和私营部门如何共同努力,以降低风险并提高我们基础设施的稳定性和安全性。由于我们的世界相互联系从未如此紧密,我们知道保持我们的关键基础设施正常运转需要与国际合作伙伴合作。这就是为什么我们正在努力通过与世界各地的合作伙伴共享信息来促进全球关键基础设施的安全性和弹性。

                                                                总统公告 - 2016 年关键基础设施安全和弹性月 巴拉克奥巴马

    “改善关键基础设施网络安全”行政命令是美国总统奥巴马于2013年2月签署发布的,该行政命令旨在提高关键基础设施管理网络风险的能力水平。在该行政命令的指导下,NIST(国家标准与技术研究院)与全球自愿开发网络安全框架的相关利益人合作,通过一系列研讨建立了网络安全框架CSF(Cybersecurity Framework),该框架的优先级、灵活、可重复和具有成本效益的方法可帮助关键基础设施的所有者和运营商管理与网络安全相关的风险。当前该框架最新版本是2018年4月更新的1.1版本,题为《Framework for Improving Critical Infrastructure Cybersecurity》。

   此框架以风险为基础,由框架核心(the Core框架实现层(Implementation Tiers概要(Profiles三个主要组件组成。

  框架核心使用易于理解的通用语言提供了一组所需的网络安全活动和结果。核心指导组织以补充组织现有网络安全和风险管理流程的方式管理和降低其​​网络安全风险。

  框架实现层通过提供组织如何看待网络安全风险管理的背景来帮助组织。Tiers 指导组织考虑其网络安全计划的适当严格程度,并且通常用作讨论风险偏好、任务优先级和预算的沟通工具。

  框架概要是组织对其组织要求和目标、风险偏好和资源与框架核心的预期结果的独特调整,配置文件主要用于识别和优先考虑改善组织网络安全的机会。

1634087696_6166331030e87669f0f3c.png

  对于此框架,大家比较熟悉的是IPDRR安全模型,即识别-保护-检测-响应-恢复,此模型在日常的安全建设工作中采纳较多。框架核心包含四个元素:功能、类别、子类别和参考资料,其中功能部分为IPDRR,类别是将功能细分为与规划需求和特定活动密切相关的网络安全成果组,子类别进一步将一个类别划分为具体的技术和/或管理活动成果,参考资料是在关键基础设施部门中常见的标准、指南和实践的特定部分,说明了实现与每个子类别相关的成果的方法。

1634087421_616631fd4a11d4fd1922b.jpg

图:NIST核心架构

  值得注意的是,五个功能不是为了形成一个串行路径或导致一个静态期望的最终状态,相反,这些功能应该同时并持续地执行,以形成一种处理动态网络安全风险的操作文化。

1634087488_616632401d8742d1b318d.png

图:五大功能简介

框架实现层提供关于组织如何查看的上下文网络安全风险以及管理该风险的流程。从部分(第1层)到自适应(第4层),层次描述了网络安全风险管理实践中日益严格和复杂的程度。它们有助于确定网络安全风险管理在多大程度上被业务需求所告知,并被集成到组织的整体风险管理实践中。

1634087503_6166324f2b3e5f897f2a4.png

图:架构实现层关系

  框架概要文件(“概要文件”)是功能、类别和子类别与组织的业务需求、风险容忍度和资源的对齐。一个配置使组织能够建立一个路线图,以减少网络安全风险,该路线图与组织和部门目标保持良好的一致性,考虑法律/法规要求和行业最佳实践,并反映风险管理的优先级。考虑到许多组织的复杂性,它们可能选择拥有多个概要文件,与特定的组件保持一致,并认识到各自的需求。

  组织内如何相互协调实施该框架?安全框架给出的建议是决策级、业务/流程级和实现/运营级相互配合。执行层将任务优先级、可用资源和总体风险容忍度传达给业务/过程层。业务/流程级使用信息作为风险管理流程的输入,然后与实现/运营级协作,沟通业务需求并创建概要文件。实现/运营级将概要实现进展传达给业务/流程级。业务/流程级别使用此信息执行影响评估。业务/过程级管理层将影响评估的结果报告给执行层,以告知组织的总体风险管理过程,并向实施/运营层报告业务影响的意识。

1634087517_6166325dea33cb790f4ec.png

图:组织内概念信息和决策流动图

  在安全框架的第三章给出了如何使用该框架。需要注意,该框架不是为了取代现有进程而设计的;组织可以使用其当前流程,并将其覆盖到框架上,以确定其当前网络安全风险方法的差距,并制定改进路线图。下图展示了组织使用该框架创建新的网络安全计划或改进现有计划的过程,这些步骤应该在必要时重复,以不断改善网络安全。1634087534_6166326ea45822461ae20.png

图:实施网络安全框架步骤

  安全框架的附录A:框架核心由两个excel表组成,一个是功能和分类展示,一个是框架核心展示。在框架核心表中,对每一个功能,该功能下的分类、分类下的子分类以及参考信息都做了详细陈列,可作为实施该框架的白皮书指导。

1634087669_616632f5aa7db8df5f3b0.png

表:框架核心(部分展示)

 【 后记】关于NIST CSF,其官网上提供了较多学习材料,包括资源方法、实现指南、框架映射、案例研究、教育材料、示例概要文件等,可以看出NIST在极力推广该安全框架。本次翻译本着学习态度,这是一个持续的过程,在翻译过程中,因笔者水平有限,难免存在错误或不恰当之处,如读者发现请及时反馈。

关于框架的内容翻译,请点击如下链接。

(一)NIST CSF-框架介绍

(二)NIST CSF-框架基础

(三)NIST CSF-如何使用框架

(四)NIST CSF-基于框架的网络安全风险自我评估

(五)NIST CSF-附录A:框架核心

1634088033_61663461b0f089b90924c.jpg

更多知识,关注公众微信号查阅。

安全框架网络安全技术网络安全安全框架NIST网络安全框架

关闭