NIST网络安全框架助你抵御网络威胁

网络安全威胁呈指数级增长，制定有效的网络风险管理策略变得越来越重要。NIST网络安全框架助你抵御网络威胁。 据报道，疫情“封国”之前，2019年有46%的英国企业遭到了网络攻击，比2018年增长了9%。尽管新冠病毒疫情之下公司企业要担心方方面面的事务，但是在许多CEO看来，网络安全仍然是最重要的一个方面。要衡量管理网络相关安全风险的准备度，许多公司企业会采用对标NIST（美国商务部国家标准与技术研究院）《网络安全框架》的方法。随着网络安全威胁呈指数级增长，制定高效网络风险管理策略从未显得如此重要，而NIST网络安全框架可以帮助公司企业拿出行之有效的网络风险管理方案。

NIST简介美国国家标准与技术研究院（NIST）成立于1901年，是一家非监管性质的美国政府机构，负责通过技术和指标来推动创新和提高竞争力。 NIST的测量支持多种技术，“从小到可以在一根头发梢部署几万个的纳米级设备，到抗震摩天大楼和全球通讯网络”。 NIST还可以帮助联邦机构满足《联邦信息安全管理法案》（FISMA）的要求：保护政府信息和运营资产免受自然或人为威胁。 至于行业利益相关者，NIST为之创建了《网络安全框架》（有时称为NIST框架），旨在帮助企业管理网络安全和降低网络风险。这里的利益相关者指的是“美国私有产业拥有者和关键基础设施运营商”，而其用户群则包括“全世界的社区和组织”。《网络安全框架》《网络安全框架》由美国国会于2014年制定和批准，目前有超过30%的美国公司企业在用，这一比例今年预计将达50%。摩根大通、微软、波音和英特尔等大型企业都在使用此框架。同时，英格兰银行、日本电讯电话公司和安大略能源委员会等美国境外的机构也在使用这个框架。 该框架旨在：

整合行业标准和最佳实践，帮助组织机构和公司企业管理网络安全风险；

提供通用语言，使员工可以对其网络安全风险形成共识；

就如何减少这些风险提供指导；

提供建议，指导网络安全攻击响应与恢复，帮助汲取网络安全事件教训。

尽管是自愿性质的，且不作为详尽的对照检查清单，但该框架涵盖了网络安全的五个关键领域：

识别：查看当前在用数据，然后评估和识别风险；

保护：有助于保护企业的要素；

检测：问题出现时有所感知；

响应：对问题作出恰当响应所需的基础；

恢复：有效恢复丢失的数据所需的步骤。

所有这些元素构成了框架的“核心”元素，以简化形式（不含子类别）表示如下： 核心的作用是突出所期望的网络安全成果，并展示怎样以补充现有流程的方式来管理风险。 然后，该框架将用户引导至实现层，帮助公司企业决定其网络安全措施的严格程度。哪些措施比较恰当，在很大程度上是由企业本身决定的；当然，要在现有指南的范围内，比如欧洲的《通用数据保护条例》（GDPR）。 NIST各层概述如下：

第1层：部分 - 网络安全实践足以应对所经历的网络安全风险。

第2层：了解风险 - 公司/组织已意识到某些风险，并在计划如何应对。

第3层：可重复–公司/组织具有已明确定义且可定期重复的网络安全流程。

第4层：自适应 - 公司/组织正在积极采取网络安全措施。

最后，使用由NIST《网络安全框架》（CSF）产生的框架配置文件，排定所采取操作的优先级。 NIST网站将此配置文件描述为：“根据框架核心的预期结果，对组织的需求与目标、风险偏好和资源进行的独特调整”。 NIST建议对比“当前”和“目标”配置文件，找出改善网络安全的方法。尽管强调框架是自愿的，并且没有“正确或错误的框架应用方式”，但还是建议使用核心的子类别来得出这些配置文件。 2018《网络安全框架》更新 创建四年之后，NIST《网络安全框架》在广泛收集反馈的基础上于2018年更新。 版本1.1更新了以下几个方面：

身份验证与身份；

自评估网络安全风险；

管理供应链网络安全；

漏洞披露。

针对这些更新，CSF项目经理Matt Barrett评论道：“本次更新精炼、阐明和增强了版本1.0。更新后的框架依然足够灵活，能够满足单个公司/组织的业务或使命需求，也能应用到一系列技术环境，比如信息技术、工业控制系统和物联网。” 。《网络安全框架》英国版虽然其他国家直接将CSF引入了本国立法，英国官方尚未如此行事，但有部分法规复制了CSF的宗旨。比如说，尽管没有直接针对，但中小企业和初创公司包含类似于NIST指南的最佳实践样例，这些最佳实践在建立风险管理策略中普遍有用。 现有法规包括：

《网络安全最低标准》（MCSS）。MCSS颁布于2018年6月，适用于英国政府部门，非常接近CSF。

英国健康与安全执行局（HSE）工业自动化与控制系统（IACS）操作指南。该法规于2017年发布，旨在防止因网络安全漏洞而导致的事故，主要影响电力供应商和分销商，以及涉及危险爆炸性化学物质和微生物物质的制造、使用或存储的企业。

《网络与信息系统》指令NIS指令由欧盟于2016年7月推出，供各国参考。NIS指令针对石油、天然气、能源、交通运输、银行、供水、食品和电信等关键基础设施，以及提供云计算或搜索等在线服务或平台的公司。

原文标题：NIST网络安全框架指南

文章出处：【微信公众号：芯盾时代】欢迎添加关注！文章转载请注明出处。

责任编辑：haq