網(wǎng)絡(luò)安全威脅呈指數(shù)級(jí)增長(zhǎng)，制定有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略變得越來越重要。NIST網(wǎng)絡(luò)安全框架助你抵御網(wǎng)絡(luò)威脅。 據(jù)報(bào)道，疫情“封國”之前，2019年有46%的英國企業(yè)遭到了網(wǎng)絡(luò)攻擊，比2018年增長(zhǎng)了9%。盡管新冠病毒疫情之下公司企業(yè)要擔(dān)心方方面面的事務(wù)，但是在許多CEO看來，網(wǎng)絡(luò)安全仍然是最重要的一個(gè)方面。要衡量管理網(wǎng)絡(luò)相關(guān)安全風(fēng)險(xiǎn)的準(zhǔn)備度，許多公司企業(yè)會(huì)采用對(duì)標(biāo)NIST（美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究院）《網(wǎng)絡(luò)安全框架》的方法。隨著網(wǎng)絡(luò)安全威脅呈指數(shù)級(jí)增長(zhǎng)，制定高效網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略從未顯得如此重要，而NIST網(wǎng)絡(luò)安全框架可以幫助公司企業(yè)拿出行之有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方案。

NIST簡(jiǎn)介美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）成立于1901年，是一家非監(jiān)管性質(zhì)的美國政府機(jī)構(gòu)，負(fù)責(zé)通過技術(shù)和指標(biāo)來推動(dòng)創(chuàng)新和提高競(jìng)爭(zhēng)力。 NIST的測(cè)量支持多種技術(shù)，“從小到可以在一根頭發(fā)梢部署幾萬個(gè)的納米級(jí)設(shè)備，到抗震摩天大樓和全球通訊網(wǎng)絡(luò)”。 NIST還可以幫助聯(lián)邦機(jī)構(gòu)滿足《聯(lián)邦信息安全管理法案》（FISMA）的要求：保護(hù)政府信息和運(yùn)營資產(chǎn)免受自然或人為威脅。 至于行業(yè)利益相關(guān)者，NIST為之創(chuàng)建了《網(wǎng)絡(luò)安全框架》（有時(shí)稱為NIST框架），旨在幫助企業(yè)管理網(wǎng)絡(luò)安全和降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。這里的利益相關(guān)者指的是“美國私有產(chǎn)業(yè)擁有者和關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商”，而其用戶群則包括“全世界的社區(qū)和組織”?！毒W(wǎng)絡(luò)安全框架》《網(wǎng)絡(luò)安全框架》由美國國會(huì)于2014年制定和批準(zhǔn)，目前有超過30%的美國公司企業(yè)在用，這一比例今年預(yù)計(jì)將達(dá)50%。摩根大通、微軟、波音和英特爾等大型企業(yè)都在使用此框架。同時(shí)，英格蘭銀行、日本電訊電話公司和安大略能源委員會(huì)等美國境外的機(jī)構(gòu)也在使用這個(gè)框架。 該框架旨在：

整合行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，幫助組織機(jī)構(gòu)和公司企業(yè)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；

提供通用語言，使員工可以對(duì)其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形成共識(shí)；

就如何減少這些風(fēng)險(xiǎn)提供指導(dǎo)；

提供建議，指導(dǎo)網(wǎng)絡(luò)安全攻擊響應(yīng)與恢復(fù)，幫助汲取網(wǎng)絡(luò)安全事件教訓(xùn)。

盡管是自愿性質(zhì)的，且不作為詳盡的對(duì)照檢查清單，但該框架涵蓋了網(wǎng)絡(luò)安全的五個(gè)關(guān)鍵領(lǐng)域：

識(shí)別：查看當(dāng)前在用數(shù)據(jù)，然后評(píng)估和識(shí)別風(fēng)險(xiǎn)；

保護(hù)：有助于保護(hù)企業(yè)的要素；

檢測(cè)：?jiǎn)栴}出現(xiàn)時(shí)有所感知；

響應(yīng)：對(duì)問題作出恰當(dāng)響應(yīng)所需的基礎(chǔ)；

恢復(fù)：有效恢復(fù)丟失的數(shù)據(jù)所需的步驟。

所有這些元素構(gòu)成了框架的“核心”元素，以簡(jiǎn)化形式（不含子類別）表示如下： 核心的作用是突出所期望的網(wǎng)絡(luò)安全成果，并展示怎樣以補(bǔ)充現(xiàn)有流程的方式來管理風(fēng)險(xiǎn)。 然后，該框架將用戶引導(dǎo)至實(shí)現(xiàn)層，幫助公司企業(yè)決定其網(wǎng)絡(luò)安全措施的嚴(yán)格程度。哪些措施比較恰當(dāng)，在很大程度上是由企業(yè)本身決定的；當(dāng)然，要在現(xiàn)有指南的范圍內(nèi)，比如歐洲的《通用數(shù)據(jù)保護(hù)條例》（GDPR）。 NIST各層概述如下：

第1層：部分 - 網(wǎng)絡(luò)安全實(shí)踐足以應(yīng)對(duì)所經(jīng)歷的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

第2層：了解風(fēng)險(xiǎn) - 公司/組織已意識(shí)到某些風(fēng)險(xiǎn)，并在計(jì)劃如何應(yīng)對(duì)。

第3層：可重復(fù)–公司/組織具有已明確定義且可定期重復(fù)的網(wǎng)絡(luò)安全流程。

第4層：自適應(yīng) - 公司/組織正在積極采取網(wǎng)絡(luò)安全措施。

最后，使用由NIST《網(wǎng)絡(luò)安全框架》（CSF）產(chǎn)生的框架配置文件，排定所采取操作的優(yōu)先級(jí)。 NIST網(wǎng)站將此配置文件描述為：“根據(jù)框架核心的預(yù)期結(jié)果，對(duì)組織的需求與目標(biāo)、風(fēng)險(xiǎn)偏好和資源進(jìn)行的獨(dú)特調(diào)整”。 NIST建議對(duì)比“當(dāng)前”和“目標(biāo)”配置文件，找出改善網(wǎng)絡(luò)安全的方法。盡管強(qiáng)調(diào)框架是自愿的，并且沒有“正確或錯(cuò)誤的框架應(yīng)用方式”，但還是建議使用核心的子類別來得出這些配置文件。 2018《網(wǎng)絡(luò)安全框架》更新 創(chuàng)建四年之后，NIST《網(wǎng)絡(luò)安全框架》在廣泛收集反饋的基礎(chǔ)上于2018年更新。 版本1.1更新了以下幾個(gè)方面：

身份驗(yàn)證與身份；

自評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；

管理供應(yīng)鏈網(wǎng)絡(luò)安全；

漏洞披露。

針對(duì)這些更新，CSF項(xiàng)目經(jīng)理Matt Barrett評(píng)論道：“本次更新精煉、闡明和增強(qiáng)了版本1.0。更新后的框架依然足夠靈活，能夠滿足單個(gè)公司/組織的業(yè)務(wù)或使命需求，也能應(yīng)用到一系列技術(shù)環(huán)境，比如信息技術(shù)、工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)。” 。《網(wǎng)絡(luò)安全框架》英國版雖然其他國家直接將CSF引入了本國立法，英國官方尚未如此行事，但有部分法規(guī)復(fù)制了CSF的宗旨。比如說，盡管沒有直接針對(duì)，但中小企業(yè)和初創(chuàng)公司包含類似于NIST指南的最佳實(shí)踐樣例，這些最佳實(shí)踐在建立風(fēng)險(xiǎn)管理策略中普遍有用。 現(xiàn)有法規(guī)包括：

《網(wǎng)絡(luò)安全最低標(biāo)準(zhǔn)》（MCSS）。MCSS頒布于2018年6月，適用于英國政府部門，非常接近CSF。

英國健康與安全執(zhí)行局（HSE）工業(yè)自動(dòng)化與控制系統(tǒng)（IACS）操作指南。該法規(guī)于2017年發(fā)布，旨在防止因網(wǎng)絡(luò)安全漏洞而導(dǎo)致的事故，主要影響電力供應(yīng)商和分銷商，以及涉及危險(xiǎn)爆炸性化學(xué)物質(zhì)和微生物物質(zhì)的制造、使用或存儲(chǔ)的企業(yè)。

《網(wǎng)絡(luò)與信息系統(tǒng)》指令NIS指令由歐盟于2016年7月推出，供各國參考。NIS指令針對(duì)石油、天然氣、能源、交通運(yùn)輸、銀行、供水、食品和電信等關(guān)鍵基礎(chǔ)設(shè)施，以及提供云計(jì)算或搜索等在線服務(wù)或平臺(tái)的公司。

原文標(biāo)題：NIST網(wǎng)絡(luò)安全框架指南

文章出處：【微信公眾號(hào)：芯盾時(shí)代】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

責(zé)任編輯：haq