​揭开 NIST 网络安全框架的神秘面纱

NIST 网络安全框架的全面性使其成为跨行业的事实上的标准。然而，该框架有一个主要弱点：它的指导方针对于新手来说可能比较难以理解。 该框架分为五个核心功能（识别、保护、检测、响应、恢复），可以分为100多个子类别。虽然它们提供了组织应遵循的特定技术和实践指导的核心内容，但其中大部分关键内容都被混淆在繁杂的解释中，类别和功能通常是冗余的，并且包括似乎更适合其他类别的子类别。 然而，尽管其中包含大量信息，尽管它有时候会令组织陷入困惑，但不要拒绝使用它。这是我认为更容易理解的入门指南，可以帮助在您的组织中引入NIST推荐的实践时避免混淆:

核心功能#1：识别

NIST 网络安全框架的第一个核心功能涵盖识别和管理跨系统、数据、资产等风险的最佳实践。这包括以下方面的指导： 资产管理。该框架要求通过安全最佳实践始终如一地解决关键人员、数据、设施和系统风险。组织必须识别和保护对其持续业务生存至关重要的所有资产和活动（基本站点、数据库、应用程序等）。 商业环境。组织必须确保利益相关者从安全角度充分了解其业务使命和目标。 治理。该框架规定了为适当的风险管理提供信息并确保法律和法规遵从性的程序、政策和流程。 风险评估。组织必须全面了解其网络安全业务风险。 供应链。组织必须识别供应链风险并准备好应对流程。

核心功能#2：保护

该框架的第二个核心功能解决了组织制定保护其关键基础设施服务交付的需要。这些保护包括： 访问控制。该框架要求组织将访问权限限制为仅授权用户、流程和设备。 意识和培训。组织必须教育和培训员工（和合作伙伴）了解网络安全风险以及应对这些风险的缓解政策/程序。 数据安全。组织必须按照保护数据机密性、完整性和可用性的政策和程序来管理数据和记录。 信息保护流程和程序。政策、程序和流程还必须保护信息系统和数据。 维护。该框架要求组织保持安全控制和信息系统处于良好的工作状态，并符合现行政策和程序。 保护技术。必须采用有效的技术解决方案来充分保护组织的信息系统。

核心功能#3：检测

该框架的第三个核心功能是确保组织在检测网络安全攻击方面做得足够好。该功能解决： 异常和事件。网络安全解决方案必须提供对异常活动的快速识别以及快速修复所需的洞察力。 安全连续监测。检测解决方案必须具有持续的威胁监控能力。 检测过程评估。检测过程和程序必须经过定期测试，以评估和保持持续的有效性。

核心功能#4：响应

该框架的第四个核心功能定义了组织应如何最好地准备对检测到的网络安全事件的有效响应。应用最佳实践的具体领域包括： 响应计划。当网络安全事件发生时，组织必须准备好计划、流程和程序。 通讯。该框架要求组织有效协调所有内部网络威胁响应活动，并在某些情况下与执法部门等外部各方进行协调。 分析。网络威胁分析对于适当的响应和恢复措施至关重要。 减灾。组织必须采取措施防止威胁事件扩大、消除现有威胁并减轻任何潜在的持久影响。 改进。该框架呼吁组织根据从威胁事件经验中汲取的教训采取行动，不断改进其网络安全实践。

核心功能#5：恢复

该框架的最终核心功能解决了组织应采取的步骤，以建立其弹性和准备，以恢复在安全事件期间受影响的任何功能、能力或服务。需要关注的重点领域包括： 恢复规划。组织应谨慎实施流程和程序，以促进网络安全事件发生后的快速和完全恢复。 通信。组织应与内部利益相关者、受影响方和受事件影响的外部方密切协调恢复活动。 改进。该框架指导组织根据从威胁事件中恢复时获得的新知识改进其恢复计划和流程。

利用网络安全框架保护您的组织

尽管 NIST 网络安全框架的许多最佳实践对于大多数私人组织来说仍然是可选的（对于许多有政府合同的组织来说是强制性的），但它们为制定强有力的网络安全响应提供了极好的指导。通过采用策略和解决方案来解决上述每个框架类别，组织将会实现更好、更有效的安全实践。

背景

美国国家标准与技术研究所(NIST)是一个非监管机构，其使命是促进美国的创新和工业竞争力，2013年受总统委托制定“降低关键基础设施网络风险的框架”。NIST 网络安全框架(CSF)是政府和行业专家共同努力的结果，该框架于2014年首次发布，2018年进行了修订，以符合现代网络安全标准。 NIST 框架的主要目的是帮助组织开发一致的迭代方法，以识别、评估和管理网络安全风险，其保护的关键基础设施可能由规模、复杂性和技术能力各异的公共或私营部门组织控制，因此，NIST 设计的框架具有广泛适用性。该框架的另一个优点是，它使用普遍适用的术语来帮助 IT 经理完成相关任务，如描述当前的网络安全态势、目标，识别并优先考虑改进的机会，评估网络安全工作进展情况，向内外利益相关者告知网络安全风险等。这种安全管理风险的综合方法使 NIST 安全框架成为任何行业任何组织保护其基础设施的较佳起点。