|
NIST CSF是一個(gè)關(guān)鍵的網(wǎng)絡(luò)安全指南,,不僅適用于組織內(nèi)部,,還可幫助管理第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。CSF核心包含了六個(gè)關(guān)鍵功能——治理,、識(shí)別,、保護(hù)、檢測(cè),、響應(yīng)和恢復(fù),,以及與這些功能相關(guān)的類別和子類別。本文將深入探討CSF核心的主要內(nèi)容,,及其使用方法,。關(guān)鍵字:網(wǎng)絡(luò)安全框架;CSF核心,;威脅檢測(cè)NIST將CSF核心定義為一系列網(wǎng)絡(luò)安全活動(dòng),、期望的結(jié)果,以及適用于關(guān)鍵基礎(chǔ)設(shè)施部門(mén)的信息參考,。CSF核心提供了與網(wǎng)絡(luò)安全相關(guān)的行業(yè)標(biāo)準(zhǔn),、指南和實(shí)踐,幫助整個(gè)組織從管理層到實(shí)施/運(yùn)營(yíng)層就具體的網(wǎng)絡(luò)安全活動(dòng)和任務(wù)目標(biāo)進(jìn)行高級(jí)別的溝通和交流,。 表1給出了CSF核心在各個(gè)版本中的內(nèi)容變化情況,,在2.0正式版本中,NIST對(duì)CSF核心的修改主要體現(xiàn)在以下方面:NIST將向CSF添加跨領(lǐng)域的“治理”組件,,重點(diǎn)關(guān)注組織環(huán)境,、風(fēng)險(xiǎn)管理策略、政策以及角色和職責(zé),,該調(diào)整將會(huì)影響監(jiān)管機(jī)構(gòu)和組織評(píng)估網(wǎng)絡(luò)安全活動(dòng)有效性的方式,。(2)新增供應(yīng)鏈風(fēng)險(xiǎn)管理更新后的框架預(yù)計(jì)將更好地納入供應(yīng)鏈風(fēng)險(xiǎn)管理、隱私風(fēng)險(xiǎn)管理和更重要的網(wǎng)絡(luò)安全措施等關(guān)鍵領(lǐng)域,,以確保其在未來(lái)十年的相關(guān)性,,解決相關(guān)領(lǐng)域技術(shù)和風(fēng)險(xiǎn)的最新變化。(3)與國(guó)際標(biāo)準(zhǔn)接軌CSF 2.0將提高與美國(guó),、國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和實(shí)踐的一致性,,與ISO 27001和GDPR等其他標(biāo)準(zhǔn)和框架保持一致,以增強(qiáng)使用性和靈活性,。CSF 2.0將在整個(gè)框架中對(duì)功能,、類別和子類別進(jìn)行大量添加、刪除或修改,,并刪除對(duì)關(guān)鍵基礎(chǔ)設(shè)施的具體提及,,以強(qiáng)調(diào)該框架對(duì)各類行業(yè)組織的適用性,。CSF核心包含了治理、識(shí)別,、保護(hù),、檢測(cè)、響應(yīng)和恢復(fù)六個(gè)功能,,涵蓋了網(wǎng)絡(luò)安全活動(dòng)的流程,、能力、內(nèi)容和日常工作,。 CSF 2.0引入了新的“治理”功能,,旨在建立組織的企業(yè)風(fēng)險(xiǎn)管理策略,包括網(wǎng)絡(luò)風(fēng)險(xiǎn),、供應(yīng)鏈風(fēng)險(xiǎn)和隱私風(fēng)險(xiǎn),。該功能涵蓋人員、流程和技術(shù)元素,,除了整個(gè)CSF實(shí)施過(guò)程中的技術(shù)之外,還涵蓋角色,、職責(zé),、政策、程序和監(jiān)督,。● 組織上下文(GV.OC):理解與組織網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理決策相關(guān)的外部因素,,包括任務(wù)、利益相關(guān)者的期望,、法律,、合規(guī)及合同要求等。● 風(fēng)險(xiǎn)管理戰(zhàn)略(GV.RM):確定并溝通組織網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的優(yōu)先事項(xiàng),、限制,、風(fēng)險(xiǎn)承受能力、風(fēng)險(xiǎn)偏好及其假設(shè),,并應(yīng)用于支持運(yùn)營(yíng)風(fēng)險(xiǎn)決策,。● 角色、責(zé)任和權(quán)限(GV.RR):建立并傳達(dá)了組織網(wǎng)絡(luò)安全的角色,、職責(zé)和權(quán)限,,以促進(jìn)責(zé)任問(wèn)責(zé)、績(jī)效評(píng)估和持續(xù)改進(jìn),。● 政策(GV.PO):建立,、傳達(dá)和執(zhí)行了組織的網(wǎng)絡(luò)安全政策。● 監(jiān)督(GV.OV):利用組織范圍內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理活動(dòng)的成效,,指導(dǎo),、改進(jìn)和調(diào)整風(fēng)險(xiǎn)管理戰(zhàn)略,。● 網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理(GV.SC):網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理流程由組織利益相關(guān)者共同確定、建立,、管理,、監(jiān)控和改進(jìn)。網(wǎng)絡(luò)安全形勢(shì)處于不斷變化的狀態(tài),,威脅不斷變化,,業(yè)務(wù)環(huán)境不斷變化,以及相應(yīng)的應(yīng)用程序和基礎(chǔ)設(shè)施發(fā)生變化,?!爸卫怼笨纱_保組織在實(shí)施CSF的其他五個(gè)核心職能時(shí),網(wǎng)絡(luò)安全策略與組織使命,、業(yè)務(wù)目標(biāo),、可接受的風(fēng)險(xiǎn)和利益相關(guān)者的期望保持一致,以適應(yīng)外部環(huán)境,。“識(shí)別”功能旨在發(fā)現(xiàn)組織面臨的特定風(fēng)險(xiǎn),。因此,在實(shí)施必要的保護(hù)措施之前,,了解需要保護(hù)的內(nèi)容及其原因很重要,。該功能涵蓋所有基礎(chǔ)信息,包括數(shù)據(jù),、資產(chǎn)和系統(tǒng),,對(duì)所有資產(chǎn)進(jìn)行盤(pán)點(diǎn),確定資產(chǎn)的連接和關(guān)聯(lián)方式,,并定義保護(hù)這些資產(chǎn)的員工角色和職責(zé),。“識(shí)別”功能包含三個(gè)關(guān)鍵類別:● 資產(chǎn)管理(ID.AM):按照組織風(fēng)險(xiǎn)戰(zhàn)略,,對(duì)資產(chǎn)(例如,,數(shù)據(jù)、硬件,、軟件,、系統(tǒng)、設(shè)施,、服務(wù),、人員)進(jìn)行識(shí)別和相應(yīng)的管理。● 風(fēng)險(xiǎn)評(píng)估(ID.RA):評(píng)估組織人員,、資產(chǎn)和運(yùn)營(yíng)的潛在風(fēng)險(xiǎn),。● 改進(jìn)(ID.IM):識(shí)別、確定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理在流程,、程序和活動(dòng)方面的改進(jìn)措施,。簡(jiǎn)而言之,,成功實(shí)施“識(shí)別”,有助于了解組織當(dāng)前的安全狀況,,也有助于制定計(jì)劃以達(dá)到所需的安全狀態(tài),。“識(shí)別”功能主要關(guān)注監(jiān)控和評(píng)估,而“保護(hù)”功能則更注重行動(dòng),,其目的是限制或遏制潛在的網(wǎng)絡(luò)威脅,。為保護(hù)組織業(yè)務(wù)環(huán)境,可采取的主要行動(dòng)包括:● 身份管理,、認(rèn)證和訪問(wèn)控制(PR.AA):僅為授權(quán)用戶,、服務(wù)和硬件提供針對(duì)物理、邏輯資產(chǎn)的訪問(wèn),,并按照非授權(quán)訪問(wèn)的安全風(fēng)險(xiǎn)進(jìn)行管理,。● 意識(shí)與培訓(xùn)(PR.AT):為組織人員提供網(wǎng)絡(luò)安全意識(shí)培訓(xùn),以便他們能夠勝任與網(wǎng)絡(luò)安全相關(guān)的任務(wù),。● 數(shù)據(jù)安全(PR.DS):數(shù)據(jù)的管理與組織的風(fēng)險(xiǎn)戰(zhàn)略一致,,以保護(hù)信息的機(jī)密性、完整性和可用性,。● 平臺(tái)安全(PR.PS):物理和虛擬平臺(tái)的硬件,、軟件(例如,固件,、操作系統(tǒng)、應(yīng)用程序)和服務(wù)的管理與組織的風(fēng)險(xiǎn)戰(zhàn)略一致,,以保護(hù)其機(jī)密性,、完整性和可用性。● 技術(shù)架構(gòu)彈性(PR.IR):安全架構(gòu)的管理與組織的風(fēng)險(xiǎn)戰(zhàn)略一致,,以保護(hù)資產(chǎn)的機(jī)密性,、完整性和可用性,并確保組織的彈性,。值得注意的是,,“保護(hù)”功能不僅僅是防止網(wǎng)絡(luò)威脅。有時(shí),,網(wǎng)絡(luò)安全事件是不可避免的,。因此,保障措施還應(yīng)包括遏制事件影響的措施,。檢測(cè)功能主要是在威脅事件發(fā)生時(shí),,能夠立即發(fā)現(xiàn)它們,旨在強(qiáng)調(diào)識(shí)別安全漏洞的及時(shí)性,。此處的“威脅事件”是指給定系統(tǒng)或環(huán)境中的異常行為,。例如,,該行為可能包括檢測(cè)到新設(shè)備,或授權(quán)用戶登錄失敗等,??梢?jiàn),檢測(cè)功能需要從廣泛的網(wǎng)絡(luò)安全角度,,來(lái)識(shí)別業(yè)務(wù)環(huán)境的任何變化,。● 持續(xù)監(jiān)控(DE.CM):監(jiān)控組織資產(chǎn)的使用,以發(fā)現(xiàn)異常,、失陷指標(biāo)和其他潛在的不良事件,。● 威脅事件分析(DE.AE):對(duì)異常、失陷指標(biāo)和其他潛在不良事件進(jìn)行特征分析和定義,,并檢測(cè)網(wǎng)絡(luò)安全事件,。響應(yīng)功能是遏制網(wǎng)絡(luò)事件影響的能力,制定并實(shí)施適當(dāng)?shù)幕顒?dòng),,針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全事件采取行動(dòng),。全面的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃是最好的響應(yīng)起點(diǎn),詳細(xì)說(shuō)明IT團(tuán)隊(duì)在發(fā)生漏洞,、泄露或攻擊時(shí)應(yīng)采取的措施,。● 安全事件管理(RS.MA):對(duì)檢測(cè)到的網(wǎng)絡(luò)安全事件進(jìn)行管理。● 安全事件分析(RS.AN):對(duì)安全事件進(jìn)行調(diào)查,,以確保有效的響應(yīng),,并支持取證和恢復(fù)活動(dòng)。● 安全事件響應(yīng)報(bào)告和溝通(RS.CO):根據(jù)法律,、法規(guī)和政策要求,,協(xié)調(diào)內(nèi)部和外部利益相關(guān)者,對(duì)安全事件響應(yīng)進(jìn)行溝通和報(bào)告,。● 安全事件緩解(RS.MI):防止事件擴(kuò)散,,并降低其影響。在網(wǎng)絡(luò)事件響應(yīng)中明確角色和職責(zé)非常重要,,確保員工了解自己在保護(hù)業(yè)務(wù)環(huán)境方面的角色,,以便遵循、實(shí)施事件響應(yīng)計(jì)劃,。最后,,報(bào)告所有安全事件至關(guān)重要,以便確定問(wèn)題原因,,以及未來(lái)可以改進(jìn)的內(nèi)容,。恢復(fù)是CSF的最后一個(gè)核心功能,主要關(guān)注在事件發(fā)生后,,恢復(fù)受網(wǎng)絡(luò)安全事件影響的資產(chǎn)和運(yùn)營(yíng)活動(dòng),。該功能的主要類別包括:● 安全事件恢復(fù)計(jì)劃執(zhí)行(RC.RP):按計(jì)劃開(kāi)展恢復(fù)活動(dòng),,以確保受網(wǎng)絡(luò)安全事件影響的系統(tǒng)和服務(wù)可用。● 安全事件恢復(fù)溝通(RC.CO):在實(shí)施恢復(fù)時(shí),,與內(nèi)部和外部各方進(jìn)行協(xié)調(diào)溝通,。全面的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃對(duì)于成功實(shí)施恢復(fù)功能至關(guān)重要。該計(jì)劃應(yīng)包括備份數(shù)據(jù)的完整說(shuō)明,,并優(yōu)先考慮擬議恢復(fù)計(jì)劃的行動(dòng)步驟,。CSF是一個(gè)基于結(jié)果的框架,而并非具體的控制措施,,這也使得組織能夠從建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)能力和措施出發(fā),,以滿足當(dāng)前乃至未來(lái)法規(guī)的合規(guī)性要求,因此,,在組織內(nèi)實(shí)現(xiàn)NIST CSF是一個(gè)非常有價(jià)值的挑戰(zhàn),。框架核心還提供了兩種附加資源,來(lái)幫助組織了解如何實(shí)現(xiàn)功能,、類別和子類別,。參考信息是來(lái)自標(biāo)準(zhǔn),、指南,、法規(guī)和其他資源的指導(dǎo)性內(nèi)容,比子類別更加具體,,例如來(lái)自SP 800-53《信息系統(tǒng)和組織的安全與隱私控制》的控制,。在這種情況下,組織可以使用多個(gè)控制來(lái)實(shí)現(xiàn)某個(gè)子類別中描述的結(jié)果,。除了參考信息提供的指導(dǎo)之外,實(shí)施示例可以提供簡(jiǎn)明,、面向行動(dòng)的步驟性示例,以幫助實(shí)現(xiàn)子類別的結(jié)果,,但這些示例并非是組織為實(shí)現(xiàn)結(jié)果可以采取的所有行動(dòng)的詳盡列表,,也不代表解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所需的基準(zhǔn)行動(dòng)。雖然信息參考和實(shí)施示例被視為核心的一部分,,但它們只在NIST CSF網(wǎng)站上單獨(dú)維護(hù),,并以在線格式存儲(chǔ)。組織可以在實(shí)施CSF Core時(shí),,可隨時(shí)利用NIST網(wǎng)絡(luò)安全和隱私參考工具(CPRT),,獲得最新的參考和示范,也可以隨時(shí)通過(guò)NIST國(guó)家在線信息參考(OLIR)計(jì)劃提交更新建議,。
|
