专家解读 | NIST网络安全框架(1):框架概览

news2024/12/28 12:19:52

c62df9efab590c3b5f169b9d32773ab7.jpeg


着信息技术的快速发展,组织面临着越来越严峻的网络安全挑战。NIST网络安全框架(NIST Cybersecurity Framework,CSF)是一个灵活的综合性指南,旨在协助各类组织建立、改进和管理网络安全策略,以加强网络安全防御和响应能力。本系列文章主要围绕该框架的核心内容、使用方法和应用示范展开讨论,以帮助使用者更好地利用该工具进行网络安全架构的规划、设计、开发和运营。

本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用该框架,组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应,从而构建更加坚固和弹性的网络安全基础设施。 关键字:网络安全框架;风险管理;威胁检测

背景与起源


在数字化的时代,信息技术的快速发展为组织带来了巨大的机遇,同时也暴露了其面临的严峻网络安全挑战。2013年2月,美国总统奥巴马颁布了行政命令“改善关键基础设施网络安全”(EO 13636),目标是通过建立一个框架,改善政府和私营部门之间的信息共享和协作,从而提升关键基础设施的网络安全能力。 NIST通过与政府机构、私营企业以及学术界的广泛合作,于2014年发布了CSF 1.0,该框架是基于现有标准、指南和实践的自愿指南,旨在帮助关键基础设施组织更好地管理和降低网络安全风险。2018年4月,NIST更新发布了CSF 1.1,并于2024年2月再次更新为CSF 2.0。 根据利益相关者的反馈,为了反映不断变化的网络安全形势,帮助组织更轻松、更有效地管理网络安全风险,NIST在CSF2.0中引入了一系列的修改,本系列相关文章将针对CSF 2.0展开讨论。

98f1cf50ed6be9ab85b8a6747e43a03d.jpeg图1 NIST CSF的发展历程


内容组成


CSF框架主要包含三个部分:框架核心(Core)、配置文件(Profile)和实施层级(Tier)。其中, ●  核心(Core):定义了一组网络安全成效(Outcome),以及相关成效的实现示例和参考信息; ●  配置(Profile):利用核心部分定义的成效,描述组织当前或未来要达到的网络安全状态; ●  层级(Tier):描述网络安全风险管理的成效等级,以指导配置的创建和设计。

6be5d6159ea0d254d0369038c56e2671.jpeg

图2 NIST CSF的内容组成


1.核心(Core) CSF框架核心由一组适合于各领域关键基础设施部门的网络安全活动、期望结果和参考信息构成,以一种通用的语言描述了适用的网络安全行业标准、指南和实践,以便使从管理层到实施/运营层的利益相关者,能够就网络安全活动和效能进行便捷有效的沟通和交流。

2a6c8247df6c94fab58a198b51fcf8b8.jpeg图3 CSF Core的内容组织形式


框架核心包含了六个功能(Function):治理、识别、保护、检测、响应和恢复,提供了高层战略视角的网络安全风险管理生命周期。每个功能又被细分为不同类别(Categories)和子类别(Subcategories),并提供了相应的参考信息,如每个子类别适用的现行标准、指南和实践。参考信息用于说明实现某个子类功能的可行方法,或者是将指南或要求与某个子类功能对齐。这些内容来自当前标准、指南和实践的特定章节,可以是适用于各领域关键基础设施的通用内容,也可以是只针对某个特定行业领域的内容。需要注意的是,参考信息仅具有示范意义,并非全面详尽的指南手册,主要引用了框架开发过程中参考的行业指南,或者是合作伙伴在实施框架时使用的网络安全工具和资源。

2.配置(Profile) 通常,组织并不需要使用CSF核心中所有类别(含子类别)的功能,实际上可能也不存在需要全部功能类别的组织。因此,CSF的功能类别本质上是一个可选清单,组织需要选择使用与其自身运营和风险状况最相关的功能。 框架配置是组织基于业务需求从框架类别和子类别中选择出来的成效清单。该配置文件实际上描述了在特定的实施场景中,企业组织将标准、指南和实践与框架核心对齐的过程。 配置文件可用于组织内部或组织之间进行沟通,也可用于通过比较“当前”配置文件(即现状)与“目标”配置文件(即将来),来识别改进网络安全状况的机会。为了制定配置文件,组织可以审查所有的类别和子类别,并基于业务/使命驱动因素和风险评估,确定哪些成效最为重要。

3.层级(Tier) 框架层级用来指导组织如何实施CSF Core,从实施角度提供了组织使用CSF框架的背景,组织看待网络安全风险的观点,以及管理风险的过程。CSF层级定义了4个层级及相应的特征,来刻画描述组织网络安全实践的范围(包括风险治理和风险管理)和层次(包括部分、风险知悉、可重复和自适应)。

5b4ec33590c377030303963c0f77c79a.jpeg

图4 NIST CSF的四个实施层 上述4个层级描述了网络安全风险管理实践的复杂程度,有助于确定网络安全风险管理受业务需求影响的程度,并集成到组织整体的风险管理实践中。 NIST认为,虽然鼓励处于第1层级的组织向第2层级或更高层级迈进,但层级并不代表成熟度水平,而是旨在支持组织对网络安全风险管理进行决策,帮助组织识别不同网络安全活动的优先级和紧迫性,以获得更有效的外部资源。如果成本效益分析(CBA)表明,组织降低网络安全风险是可行的且经济有效时,才鼓励组织进入更高的层级。当组织达成了目标配置文件中所描述的成效,它就成功实施了CSF。当然,在实施CSF过程中,组织对层级的选择和设定也会影响框架配置文件。

使用与效益


CSF提供了管理网络安全风险的通用语言和系统方法。框架核心包括纳入网络安全计划的活动,可以根据任何组织的需求进行定制。创建框架配置文件的过程为组织提供了一个机会来确定可以加强现有流程的领域,或者可以实施新流程的领域。框架实施层通过层级指导组织考虑其网络安全规划的安全能力级别,同时用作讨论任务优先级、风险偏好和预算的沟通工具。 CSF有助于指导组织各个级别的风险管理活动的关键决策点,从高级管理人员到业务和流程级别,以及实施和运营。虽然CSF在设计时重点考虑了关键基础设施,但它的用途极其广泛,适用于各种规模、行业和成熟度的组织。通过内在的定制机制(层、配置文件和核心均可修改),可以定制框架以供各种类型的组织使用。 CSF是结果驱动型的框架,并且不强制要求组织必须如何实现这些功能,具有不同预算的小型组织或大公司都能够以适合自己的方式实现CSF定义的安全成效,为实施网络安全计划的组织提供了充分的灵活性和扩展性。



上是“NIST网络安全框架”权说系列的首篇文章,本文主要概括了NIST CSF的主体内容和组成。 本系列论文主要围绕CSF 2.0,从框架概览、核心功能、配置分层3个方面展开讨论,以帮助使用者更好地理解、利用该工具进行网络安全架构的规划、设计、开发和运营。

https://mp.weixin.qq.com/s/4zefqVAPe8b3zLaxWHbBEg

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1647283.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

流畅的python-学习笔记_符合python风格的对象

对象表示形式 查看对象说明,可以通过__repr__和__str__方法,前者主要用于开发者,后者主要用于用户,这两个方法分别对内置函数repr和str函数提供支持 向量类 备选构造方法 classmethod和staticmethod staticmethod用的不是特别…

yum仓库和NFS网络共享服务

一、yum 1.1yum的定义 yum是一个基于RPM包,构建的软件更新机制,能够自动解决软件包之间的依赖关系。解决了日常工作中的大量查找安装依赖包的时间 为什么会有依赖关系的发生 因为linux本身就是以系统简洁为自身优势,所以在安装操作系统的时…

南京观海微电子---电源,从微观角度观看电功率是怎么产生

从微观角度看看无功功率是怎么产生的,在此之前,我们得先知道引起无功功率的元器件是储能器件,主要是电感和电容。 首先,在宏观上,我们知道电感能导致电压超前电流90,可从如下公式推出: 由此可以…

asp.net mvc使用IHttpModule拦截所有请求,包括资源文件

目录 HttpApplication 类 添加App_Code文件夹 MyHttpModel2 Web.config添加配置,在iis模块中生效 项目发布后,察看注册的自定义模块 框架集:.NET Framework 4.7web框架:asp.net mvc 5 HttpApplication 类 HttpApplication 类…

ASP.NET MVC(二) HtmlHelper

强类型 》》》 Form Html.Action() 执行一个Action,并返回html字符串。 Html.ActionLink() 生成一个超链接。 》》》 htmlhelper 扩展方法 /// 扩展方法 三要素 静态类静态方法this 》》》》上面需要引入命名空间, 》》》 不需要引入命名空间 pu…

数据结构:线性表(详解)

线性表 线性表的知识框架: 线性表的定义: 线性表是具有相同数据类型的n(n > 0)个数据元素的有限序列,当n 0时线性表为一个空表。 若用L命名为线性表,则数据集合为L {a1,a2,…,an},其中a1称为表头元素&#xff0c…

【JAVA入门】Day03 - 数组

【JAVA入门】Day03 - 数组 文章目录 【JAVA入门】Day03 - 数组一、数组的概念二、数组的定义2.1 数组的静态初始化2.2 数组的地址值2.3 数组元素的访问2.4 数组遍历2.5 数组的动态初始化2.6 数组的常见操作2.7 数组的内存分配2.7.1 Java内存分配2.7.2 数组的内存图 一、数组的概…

SAPUI5基础知识1 - 概览,库,支持工具,自学教程

1. SAPUI5 概览 1.1 SAPUI5 SAPUI5是一种用于构建企业级Web应用程序的开发框架。它是由SAP开发的,基于HTML5、CSS3和JavaScript技术。 SAPUI5提供了一套丰富的UI控件和工具,使开发人员能够快速构建现代化、可扩展和可定制的应用程序。 它还提供了数据…

cmake进阶:变量的作用域说明一(从函数作用域方面)

一. 简介 如同 C 语言一样,在 cmake 中,变量也有作用域的概念,本文我们就来聊一聊关于 cmake 中变量作用域的问题。 接下来从三个方面进行介绍:函数作用域、目录作用域以及全局作用域。 二. 函数作用域 我把这个作用域叫做函数…

文献速递:深度学习医学影像心脏疾病检测与诊断---利用深度学习进行动态心脏PET的自动帧间患者运动校正

Title 题目 Automatic Inter-frame Patient Motion Correction for Dynamic Cardiac PET Using Deep Learning 利用深度学习进行动态心脏PET的自动帧间患者运动校正 01 文献速递介绍 OSITRON正电子发射断层扫描(PET)心肌灌注成像已被证明相较于其他…

LeetCode-741. 摘樱桃【数组 动态规划 矩阵】

LeetCode-741. 摘樱桃【数组 动态规划 矩阵】 题目描述:解题思路一:动态规划,定推初遍举。解题思路二:倒序循环解题思路三:0 题目描述: 给你一个 n x n 的网格 grid ,代表一块樱桃地&#xff0…

Android硬件加速hardwareAccelerated支持/不支持的绘图接口

Android硬件加速hardwareAccelerated支持/不支持的绘图接口 Android硬件加速也即在Androidmanifest.xml配置开启GPU渲染&#xff1a; <application android:hardwareAccelerated"true" > 配置后&#xff0c;Android将启用GPU渲染&#xff0c;在trace里面看会…

2023 年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷 B(容器云)

#需要资源&#xff08;软件包及镜像&#xff09;或有问题的&#xff0c;可私聊博主&#xff01;&#xff01;&#xff01; #需要资源&#xff08;软件包及镜像&#xff09;或有问题的&#xff0c;可私聊博主&#xff01;&#xff01;&#xff01; #需要资源&#xff08;软件包…

【一起深度学习——kaggle叶子分类】

kaggle 叶子分类 目的&#xff1a;将叶子进行分类。实现步骤&#xff1a;1、数据处理&#xff1a;2、加载数据3、 定义残差块4、定义Resnet模型。5、定义训练以及评估函数&#xff1a;6、开始训练&#xff1a;7、输出结果&#xff1a; 目的&#xff1a;将叶子进行分类。 实现步…

观测与预测差值自动变化系统噪声Q的自适应UKF(AUKF_Q)MATLAB编写

简述 基于三维模型的UKF&#xff0c;设计一段时间的输入状态误差较大&#xff0c;此时通过对比预测的状态值与观测值的残差&#xff0c;在相应的情况下自适应扩大系统方差Q&#xff0c;构成自适应无迹卡尔曼滤波&#xff08;AUKF&#xff09;&#xff0c;与传统的UKF相比&…

【Qt】按钮类控件

文章目录 1 :peach:Push Button:peach:2 :peach:Radio Buttion:peach:3 :peach:Check Box:peach:4 :peach:Tool Button:peach: 1 &#x1f351;Push Button&#x1f351; 使⽤ QPushButton 表⽰⼀个按钮&#xff0c;这也是当前我们最熟悉的⼀个控件了&#xff0c;QPushButton …

Ubuntu添加非root用户到Docker用户组

前言 首先平常公司的Linux生产环境为了防止误操作导致灾难性问题&#xff0c;一般都不会给我们开发开放root管理员的账号权限。所以平常在Ubuntu的普通用户登录的时候&#xff0c;要操作Dcoker一般都需要带上sudo来提升命令执行权限。为了解决这一问题&#xff0c;我们只需要将…

正点原子[第二期]Linux之ARM(MX6U)裸机篇学习笔记-13-按键实验

前言&#xff1a; 本文是根据哔哩哔哩网站上“正点原子[第二期]Linux之ARM&#xff08;MX6U&#xff09;裸机篇”视频的学习笔记&#xff0c;在这里会记录下正点原子 I.MX6ULL 开发板的配套视频教程所作的实验和学习笔记内容。本文大量引用了正点原子教学视频和链接中的内容。…

Axure中继器介绍以及案例分享

中继器是 Axure 中一个比较高阶的应用&#xff0c;它可以让我们在纯静态网页中模拟出类似带有后台数据交互的增删改查的效果。 一、中继器的基本使用方法&#xff1a; 整体流程分为三个步骤 ☆创建中继器 我们先在 Axured画布中拖入一个中继器元件 双击中继器后的效果 打开之…

java高并发实战<1>

我们一个请求--->tomcat--->db 我们只需要把我们的应用部署在tomcat中&#xff0c; 就可以了 这就是你单体的感念&#xff0c;单机结构你只用一个服务器就完成了你项目的部署单点问题一旦这台机器挂了,用户就没有办法用你这个服务,单机能力有限 随着你用户量增长的过程…