专家解读 | NIST网络安全框架(1):框架概览

2024-05-07 09:28

本文主要是介绍专家解读 | NIST网络安全框架(1):框架概览,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

c62df9efab590c3b5f169b9d32773ab7.jpeg


着信息技术的快速发展,组织面临着越来越严峻的网络安全挑战。NIST网络安全框架(NIST Cybersecurity Framework,CSF)是一个灵活的综合性指南,旨在协助各类组织建立、改进和管理网络安全策略,以加强网络安全防御和响应能力。本系列文章主要围绕该框架的核心内容、使用方法和应用示范展开讨论,以帮助使用者更好地利用该工具进行网络安全架构的规划、设计、开发和运营。

本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用该框架,组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应,从而构建更加坚固和弹性的网络安全基础设施。 关键字:网络安全框架;风险管理;威胁检测

背景与起源


在数字化的时代,信息技术的快速发展为组织带来了巨大的机遇,同时也暴露了其面临的严峻网络安全挑战。2013年2月,美国总统奥巴马颁布了行政命令“改善关键基础设施网络安全”(EO 13636),目标是通过建立一个框架,改善政府和私营部门之间的信息共享和协作,从而提升关键基础设施的网络安全能力。 NIST通过与政府机构、私营企业以及学术界的广泛合作,于2014年发布了CSF 1.0,该框架是基于现有标准、指南和实践的自愿指南,旨在帮助关键基础设施组织更好地管理和降低网络安全风险。2018年4月,NIST更新发布了CSF 1.1,并于2024年2月再次更新为CSF 2.0。 根据利益相关者的反馈,为了反映不断变化的网络安全形势,帮助组织更轻松、更有效地管理网络安全风险,NIST在CSF2.0中引入了一系列的修改,本系列相关文章将针对CSF 2.0展开讨论。

98f1cf50ed6be9ab85b8a6747e43a03d.jpeg图1 NIST CSF的发展历程


内容组成


CSF框架主要包含三个部分:框架核心(Core)、配置文件(Profile)和实施层级(Tier)。其中, ●  核心(Core):定义了一组网络安全成效(Outcome),以及相关成效的实现示例和参考信息; ●  配置(Profile):利用核心部分定义的成效,描述组织当前或未来要达到的网络安全状态; ●  层级(Tier):描述网络安全风险管理的成效等级,以指导配置的创建和设计。

6be5d6159ea0d254d0369038c56e2671.jpeg

图2 NIST CSF的内容组成


1.核心(Core) CSF框架核心由一组适合于各领域关键基础设施部门的网络安全活动、期望结果和参考信息构成,以一种通用的语言描述了适用的网络安全行业标准、指南和实践,以便使从管理层到实施/运营层的利益相关者,能够就网络安全活动和效能进行便捷有效的沟通和交流。

2a6c8247df6c94fab58a198b51fcf8b8.jpeg图3 CSF Core的内容组织形式


框架核心包含了六个功能(Function):治理、识别、保护、检测、响应和恢复,提供了高层战略视角的网络安全风险管理生命周期。每个功能又被细分为不同类别(Categories)和子类别(Subcategories),并提供了相应的参考信息,如每个子类别适用的现行标准、指南和实践。参考信息用于说明实现某个子类功能的可行方法,或者是将指南或要求与某个子类功能对齐。这些内容来自当前标准、指南和实践的特定章节,可以是适用于各领域关键基础设施的通用内容,也可以是只针对某个特定行业领域的内容。需要注意的是,参考信息仅具有示范意义,并非全面详尽的指南手册,主要引用了框架开发过程中参考的行业指南,或者是合作伙伴在实施框架时使用的网络安全工具和资源。

2.配置(Profile) 通常,组织并不需要使用CSF核心中所有类别(含子类别)的功能,实际上可能也不存在需要全部功能类别的组织。因此,CSF的功能类别本质上是一个可选清单,组织需要选择使用与其自身运营和风险状况最相关的功能。 框架配置是组织基于业务需求从框架类别和子类别中选择出来的成效清单。该配置文件实际上描述了在特定的实施场景中,企业组织将标准、指南和实践与框架核心对齐的过程。 配置文件可用于组织内部或组织之间进行沟通,也可用于通过比较“当前”配置文件(即现状)与“目标”配置文件(即将来),来识别改进网络安全状况的机会。为了制定配置文件,组织可以审查所有的类别和子类别,并基于业务/使命驱动因素和风险评估,确定哪些成效最为重要。

3.层级(Tier) 框架层级用来指导组织如何实施CSF Core,从实施角度提供了组织使用CSF框架的背景,组织看待网络安全风险的观点,以及管理风险的过程。CSF层级定义了4个层级及相应的特征,来刻画描述组织网络安全实践的范围(包括风险治理和风险管理)和层次(包括部分、风险知悉、可重复和自适应)。

5b4ec33590c377030303963c0f77c79a.jpeg

图4 NIST CSF的四个实施层 上述4个层级描述了网络安全风险管理实践的复杂程度,有助于确定网络安全风险管理受业务需求影响的程度,并集成到组织整体的风险管理实践中。 NIST认为,虽然鼓励处于第1层级的组织向第2层级或更高层级迈进,但层级并不代表成熟度水平,而是旨在支持组织对网络安全风险管理进行决策,帮助组织识别不同网络安全活动的优先级和紧迫性,以获得更有效的外部资源。如果成本效益分析(CBA)表明,组织降低网络安全风险是可行的且经济有效时,才鼓励组织进入更高的层级。当组织达成了目标配置文件中所描述的成效,它就成功实施了CSF。当然,在实施CSF过程中,组织对层级的选择和设定也会影响框架配置文件。

使用与效益


CSF提供了管理网络安全风险的通用语言和系统方法。框架核心包括纳入网络安全计划的活动,可以根据任何组织的需求进行定制。创建框架配置文件的过程为组织提供了一个机会来确定可以加强现有流程的领域,或者可以实施新流程的领域。框架实施层通过层级指导组织考虑其网络安全规划的安全能力级别,同时用作讨论任务优先级、风险偏好和预算的沟通工具。 CSF有助于指导组织各个级别的风险管理活动的关键决策点,从高级管理人员到业务和流程级别,以及实施和运营。虽然CSF在设计时重点考虑了关键基础设施,但它的用途极其广泛,适用于各种规模、行业和成熟度的组织。通过内在的定制机制(层、配置文件和核心均可修改),可以定制框架以供各种类型的组织使用。 CSF是结果驱动型的框架,并且不强制要求组织必须如何实现这些功能,具有不同预算的小型组织或大公司都能够以适合自己的方式实现CSF定义的安全成效,为实施网络安全计划的组织提供了充分的灵活性和扩展性。



上是“NIST网络安全框架”权说系列的首篇文章,本文主要概括了NIST CSF的主体内容和组成。 本系列论文主要围绕CSF 2.0,从框架概览、核心功能、配置分层3个方面展开讨论,以帮助使用者更好地理解、利用该工具进行网络安全架构的规划、设计、开发和运营。

https://mp.weixin.qq.com/s/4zefqVAPe8b3zLaxWHbBEg

这篇关于专家解读 | NIST网络安全框架(1):框架概览的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/966959

相关文章

MCU7.keil中build产生的hex文件解读

1.hex文件大致解读 闲来无事,查看了MCU6.用keil新建项目的hex文件 用FlexHex打开 给我的第一印象是:经过软件的解释之后,发现这些数据排列地十分整齐 :02000F0080FE71:03000000020003F8:0C000300787FE4F6D8FD75810702000F3D:00000001FF 把解释后的数据当作十六进制来观察 1.每一行数据

Java ArrayList扩容机制 (源码解读)

结论:初始长度为10,若所需长度小于1.5倍原长度,则按照1.5倍扩容。若不够用则按照所需长度扩容。 一. 明确类内部重要变量含义         1:数组默认长度         2:这是一个共享的空数组实例,用于明确创建长度为0时的ArrayList ,比如通过 new ArrayList<>(0),ArrayList 内部的数组 elementData 会指向这个 EMPTY_EL

cross-plateform 跨平台应用程序-03-如果只选择一个框架,应该选择哪一个?

跨平台系列 cross-plateform 跨平台应用程序-01-概览 cross-plateform 跨平台应用程序-02-有哪些主流技术栈? cross-plateform 跨平台应用程序-03-如果只选择一个框架,应该选择哪一个? cross-plateform 跨平台应用程序-04-React Native 介绍 cross-plateform 跨平台应用程序-05-Flutte

Spring框架5 - 容器的扩展功能 (ApplicationContext)

private static ApplicationContext applicationContext;static {applicationContext = new ClassPathXmlApplicationContext("bean.xml");} BeanFactory的功能扩展类ApplicationContext进行深度的分析。ApplicationConext与 BeanF

数据治理框架-ISO数据治理标准

引言 "数据治理"并不是一个新的概念,国内外有很多组织专注于数据治理理论和实践的研究。目前国际上,主要的数据治理框架有ISO数据治理标准、GDI数据治理框架、DAMA数据治理管理框架等。 ISO数据治理标准 改标准阐述了数据治理的标准、基本原则和数据治理模型,是一套完整的数据治理方法论。 ISO/IEC 38505标准的数据治理方法论的核心内容如下: 数据治理的目标:促进组织高效、合理地

Spring 源码解读:自定义实现Bean定义的注册与解析

引言 在Spring框架中,Bean的注册与解析是整个依赖注入流程的核心步骤。通过Bean定义,Spring容器知道如何创建、配置和管理每个Bean实例。本篇文章将通过实现一个简化版的Bean定义注册与解析机制,帮助你理解Spring框架背后的设计逻辑。我们还将对比Spring中的BeanDefinition和BeanDefinitionRegistry,以全面掌握Bean注册和解析的核心原理。

如何做好网络安全

随着互联网技术的飞速发展,网站已成为企业对外展示、交流和服务的重要窗口。然而,随之而来的网站安全问题也日益凸显,给企业的业务发展和用户数据安全带来了巨大威胁。因此,高度重视网站安全已成为网络安全的首要任务。今天我们就来详细探讨网站安全的重要性、面临的挑战以及有什么应对方案。 一、网站安全的重要性 1. 数据安全与用户隐私 网站是企业存储和传输数据的关键平台,包括用户个人信息、

ZooKeeper 中的 Curator 框架解析

Apache ZooKeeper 是一个为分布式应用提供一致性服务的软件。它提供了诸如配置管理、分布式同步、组服务等功能。在使用 ZooKeeper 时,Curator 是一个非常流行的客户端库,它简化了 ZooKeeper 的使用,提供了高级的抽象和丰富的工具。本文将详细介绍 Curator 框架,包括它的设计哲学、核心组件以及如何使用 Curator 来简化 ZooKeeper 的操作。 1

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

Spring Framework系统框架

序号表示的是学习顺序 IoC(控制反转)/DI(依赖注入): ioc:思想上是控制反转,spring提供了一个容器,称为IOC容器,用它来充当IOC思想中的外部。 我的理解就是spring把这些对象集中管理,放在容器中,这个容器就叫Ioc这些对象统称为Bean 用对象的时候不用new,直接外部提供(bean) 当外部的对象有关系的时候,IOC给它俩绑好(DI) DI和IO