0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

专家解读 | NIST网络安全框架(1):框架概览

jf_73420541 来源:jf_73420541 作者:jf_73420541 2024-05-06 10:30 次阅读

随着信息技术的快速发展,组织面临着越来越严峻的网络安全挑战。NIST网络安全框架(NIST Cybersecurity Framework,CSF)是一个灵活的综合性指南,旨在协助各类组织建立、改进和管理网络安全策略,以加强网络安全防御和响应能力。本系列文章主要围绕该框架的核心内容、使用方法和应用示范展开讨论,以帮助使用者更好地利用该工具进行网络安全架构的规划、设计、开发和运营。


本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用该框架,组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应,从而构建更加坚固和弹性的网络安全基础设施。

关键字:网络安全框架;风险管理;威胁检测

背景与起源

在数字化的时代,信息技术的快速发展为组织带来了巨大的机遇,同时也暴露了其面临的严峻网络安全挑战。2013年2月,美国总统奥巴马颁布了行政命令“改善关键基础设施网络安全”(EO 13636),目标是通过建立一个框架,改善政府和私营部门之间的信息共享和协作,从而提升关键基础设施的网络安全能力。NIST通过与政府机构、私营企业以及学术界的广泛合作,于2014年发布了CSF 1.0,该框架是基于现有标准、指南和实践的自愿指南,旨在帮助关键基础设施组织更好地管理和降低网络安全风险。2018年4月,NIST更新发布了CSF 1.1,并于2024年2月再次更新为CSF 2.0。根据利益相关者的反馈,为了反映不断变化的网络安全形势,帮助组织更轻松、更有效地管理网络安全风险,NIST在CSF2.0中引入了一系列的修改,本系列相关文章将针对CSF 2.0展开讨论。

wKgZomY4QLOAGat4AABoZ537-Dg354.png

图1 NIST CSF的发展历程

内容组成

CSF框架主要包含三个部分:框架核心(Core)、配置文件(Profile)和实施层级(Tier)。其中,●核心(Core):定义了一组网络安全成效(Outcome),以及相关成效的实现示例和参考信息;●配置(Profile):利用核心部分定义的成效,描述组织当前或未来要达到的网络安全状态;●层级(Tier):描述网络安全风险管理的成效等级,以指导配置的创建和设计。

wKgaomY4QLiAR6PSAABSpXfC-dg236.png

图2 NIST CSF的内容组成

1.核心(Core)

CSF框架核心由一组适合于各领域关键基础设施部门的网络安全活动、期望结果和参考信息构成,以一种通用的语言描述了适用的网络安全行业标准、指南和实践,以便使从管理层到实施/运营层的利益相关者,能够就网络安全活动和效能进行便捷有效的沟通和交流。

wKgZomY4QLyACxNlAACiuXCQAuc586.png

图3 CSF Core的内容组织形式

框架核心包含了六个功能(Function):治理、识别、保护、检测、响应和恢复,提供了高层战略视角的网络安全风险管理生命周期。每个功能又被细分为不同类别(Categories)和子类别(Subcategories),并提供了相应的参考信息,如每个子类别适用的现行标准、指南和实践。参考信息用于说明实现某个子类功能的可行方法,或者是将指南或要求与某个子类功能对齐。这些内容来自当前标准、指南和实践的特定章节,可以是适用于各领域关键基础设施的通用内容,也可以是只针对某个特定行业领域的内容。需要注意的是,参考信息仅具有示范意义,并非全面详尽的指南手册,主要引用了框架开发过程中参考的行业指南,或者是合作伙伴在实施框架时使用的网络安全工具和资源。

2.配置(Profile)

通常,组织并不需要使用CSF核心中所有类别(含子类别)的功能,实际上可能也不存在需要全部功能类别的组织。因此,CSF的功能类别本质上是一个可选清单,组织需要选择使用与其自身运营和风险状况最相关的功能。框架配置是组织基于业务需求从框架类别和子类别中选择出来的成效清单。该配置文件实际上描述了在特定的实施场景中,企业组织将标准、指南和实践与框架核心对齐的过程。配置文件可用于组织内部或组织之间进行沟通,也可用于通过比较“当前”配置文件(即现状)与“目标”配置文件(即将来),来识别改进网络安全状况的机会。为了制定配置文件,组织可以审查所有的类别和子类别,并基于业务/使命驱动因素和风险评估,确定哪些成效最为重要。

3.层级(Tier)

框架层级用来指导组织如何实施CSF Core,从实施角度提供了组织使用CSF框架的背景,组织看待网络安全风险的观点,以及管理风险的过程。CSF层级定义了4个层级及相应的特征,来刻画描述组织网络安全实践的范围(包括风险治理和风险管理)和层次(包括部分、风险知悉、可重复和自适应)。

wKgaomY4QMCAODYGAABG2oPZQUg851.png

图4 NIST CSF的四个实施层

上述4个层级描述了网络安全风险管理实践的复杂程度,有助于确定网络安全风险管理受业务需求影响的程度,并集成到组织整体的风险管理实践中。NIST认为,虽然鼓励处于第1层级的组织向第2层级或更高层级迈进,但层级并不代表成熟度水平,而是旨在支持组织对网络安全风险管理进行决策,帮助组织识别不同网络安全活动的优先级和紧迫性,以获得更有效的外部资源。如果成本效益分析(CBA)表明,组织降低网络安全风险是可行的且经济有效时,才鼓励组织进入更高的层级。当组织达成了目标配置文件中所描述的成效,它就成功实施了CSF。当然,在实施CSF过程中,组织对层级的选择和设定也会影响框架配置文件。

使用与效益

CSF提供了管理网络安全风险的通用语言和系统方法。框架核心包括纳入网络安全计划的活动,可以根据任何组织的需求进行定制。创建框架配置文件的过程为组织提供了一个机会来确定可以加强现有流程的领域,或者可以实施新流程的领域。框架实施层通过层级指导组织考虑其网络安全规划的安全能力级别,同时用作讨论任务优先级、风险偏好和预算的沟通工具。CSF有助于指导组织各个级别的风险管理活动的关键决策点,从高级管理人员到业务和流程级别,以及实施和运营。虽然CSF在设计时重点考虑了关键基础设施,但它的用途极其广泛,适用于各种规模、行业和成熟度的组织。通过内在的定制机制(层、配置文件和核心均可修改),可以定制框架以供各种类型的组织使用。CSF是结果驱动型的框架,并且不强制要求组织必须如何实现这些功能,具有不同预算的小型组织或大公司都能够以适合自己的方式实现CSF定义的安全成效,为实施网络安全计划的组织提供了充分的灵活性和扩展性。

以上是“NIST网络安全框架”权说系列的首篇文章,本文主要概括了NIST CSF的主体内容和组成。本系列论文主要围绕CSF 2.0,从框架概览、核心功能、配置分层3个方面展开讨论,以帮助使用者更好地理解、利用该工具进行网络安全架构的规划、设计、开发和运营。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3138

    浏览量

    59644
  • 安全框架
    +关注

    关注

    0

    文章

    5

    浏览量

    6989
  • NIST
    +关注

    关注

    1

    文章

    21

    浏览量

    9297
收藏 人收藏

    评论

    相关推荐

    专家解读 | NIST网络安全框架(2):核心功能

    别。本文将深入探讨CSF核心的主要内容,及其使用方法。关键字:网络安全框架;CSF核心;威胁检测   一 内容简介 NIST将CSF核心定义为一系列网络安全活动、期望的结果,以及适用于
    的头像 发表于 05-27 11:40 1437次阅读
    <b class='flag-5'>专家</b><b class='flag-5'>解读</b> | <b class='flag-5'>NIST</b><b class='flag-5'>网络安全</b><b class='flag-5'>框架</b>(2):核心功能

    专家呼吁:网络安全建设亟需开放与合作

    召开的主题为“对话?合作?联动――共筑网络安全”的2010中国计算机网络安全年会上,来自国家互联网应急中心的云晓春在分析国内严峻的网络安全课题时表示。因此,计算机网络安全
    发表于 09-29 00:04

    网络安全隐患的分析

    的过程和方法。新的安全问题的出现需要新的安全技术和手段来解决,因此,安全是一个动态的、不断完善的过程。  企业网络安全可以从以下几个方面来分析:物理
    发表于 10-25 10:21

    蓝牙mesh系列的网络安全

    蓝牙mesh网络安全概览为何安全性如此关键?安全性可谓是物联网(IoT)最受关注的问题之一。从农业到医院、从智能家居到商业智能建筑、从发电站到交通管理系统,物联网系统和技术将触及我们
    发表于 07-22 06:27

    嵌入式设备网络安全有什么策略?

    本文探索了在系统开发过程中重要的安全策略,包括进行嵌入式安全评估和设计的框架,定义了一些网络安全概念,并提供了一些嵌入式设备安全方面的建议。
    发表于 09-19 06:00

    AssetsLibrary框架详细解析—— 基本概览

    AssetsLibrary框架详细解析(一) —— 基本概览
    发表于 04-29 15:12

    【6.2】技术解读框架、场景案例解读

    `技术解读框架、场景案例解读)`
    发表于 06-04 17:12

    网络空间安全

    1 绪论课程目标:系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。课程重点:勾勒
    发表于 07-02 08:01

    网络安全领域,NIST框架是什么?

    网络安全领域,NIST 框架是什么?
    发表于 04-17 07:56

    新PowerVR框架概览

    在2016年,新的一年给API领域带来新气象!为了迎接这些新气象,我们建立了PowerVR框架,但是它具体指什么呢? 简单来说,这份框架是一个跨平台和跨API的框架,是针对PowerVR已经完全
    发表于 02-10 10:40 547次阅读

    NIST网络安全框架助你抵御网络威胁

    网络安全威胁呈指数级增长,制定有效的网络风险管理策略变得越来越重要。NIST网络安全框架助你抵御网络
    的头像 发表于 11-02 11:39 3154次阅读

    带你了解网络安全框架、目标和类型

    数据是数字经济的新石油。 它已成为最重要的资产之一,这就是为什么保护数据已成为国际优先事项的原因。 世界各地的组织都意识到网络安全的重要性并最终采用它。 通过实施网络安全框架,企业可以创建安全
    发表于 07-28 08:03 954次阅读

    网络安全术语大全解读

    如果你的工作或者生活与网络安全有关,你就知道它使用了自己独特的、不断发展的语言。术语和缩略语受到网络安全专家的喜爱。因此, 我们创建了一个全面的网络安全词汇表,解释了常用的
    的头像 发表于 12-01 17:49 3189次阅读

    lansweeper创建网络安全资产管理基线

    审计。 你无法保护你不知道你有的东西 多年来,AssetInventory 在大多数行业领先的安全框架(例如ISO、NIST和 CIS)中名列前茅。硬件和软件数据的发现对于维护整个 IT资产的最新概况以保护您自己免受
    的头像 发表于 06-29 09:29 1035次阅读
    lansweeper创建<b class='flag-5'>网络安全</b>资产管理基线

    专家解读 | NIST网络安全框架(3):层级配置

    和配置的主要内容,及其使用方法。 关键字:网络安全框架;CSF层级;CSF配置   一 CSF层级 在组织的系统性风险治理过程中,CSF框架可以用于识别、评估和管理网络安全风险。结合现
    的头像 发表于 06-11 10:21 406次阅读
    <b class='flag-5'>专家</b><b class='flag-5'>解读</b> | <b class='flag-5'>NIST</b><b class='flag-5'>网络安全</b><b class='flag-5'>框架</b>(3):层级配置