今日頭條
官方微信
官方抖音
資訊頻道2014年2月12日,美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)正式發(fā)布了《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》第1.0版本。《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》的基本思想,是一套著眼于安全風(fēng)險(xiǎn),應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施廣闊領(lǐng)域的安全風(fēng)險(xiǎn)管控的流程。
該文件是奧巴馬總統(tǒng)頒布的第13636號(hào)行政命令的產(chǎn)物,其開(kāi)發(fā)目的是形成一套適用于各類工業(yè)技術(shù)領(lǐng)域的安全風(fēng)險(xiǎn)管控的“通用語(yǔ)言”,同時(shí)為確保可擴(kuò)展性與開(kāi)展技術(shù)創(chuàng)新,此框架力求做到“技術(shù)中性化”,即:第一依賴于現(xiàn)有的各種標(biāo)準(zhǔn)、指南和實(shí)踐,使關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)商獲得彈性能力。第二依賴于全球標(biāo)準(zhǔn)、指南和實(shí)踐(行業(yè)開(kāi)發(fā)、管理、更新實(shí)踐),實(shí)現(xiàn)框架效果的工具和方法將適用于跨國(guó)界,承認(rèn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的全球性,并隨著技術(shù)發(fā)展和業(yè)務(wù)需求而進(jìn)一步發(fā)展框架。
因此,從某種角度上來(lái)觀察,該文件就是一份“用于關(guān)鍵基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)管控的標(biāo)準(zhǔn)化實(shí)施指南”,以幫助那些負(fù)責(zé)提供國(guó)家金融、能源、醫(yī)療保健和其他關(guān)鍵系統(tǒng)的組織更好地保護(hù)其信息和資產(chǎn)安全,抵御網(wǎng)絡(luò)攻擊。
如今,在初始版本發(fā)布4年后,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)再次發(fā)布了《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》1.1版本。
與初始版本一樣,框架1.1版本也是基于公眾意見(jiàn)征詢收集到的反饋、團(tuán)隊(duì)成員收到的問(wèn)題,以及多次研討會(huì)做出的修改所產(chǎn)生的公私合作成果。可以說(shuō),新版本是對(duì)1.0版本的提煉、闡明和改進(jìn)。1.1版本仍具有靈活性,可滿足組織機(jī)構(gòu)的業(yè)務(wù)或任務(wù)需求,并適用于各種技術(shù)環(huán)境,例如信息技術(shù)、工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)。
據(jù)悉,框架1.1版本中更新的內(nèi)容包括:
身份驗(yàn)證和身份;
自我評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn);
供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理;
漏洞披露;
新版本的變化之處
首先,1.1版本已經(jīng)將“訪問(wèn)控制”類別更新為“身份管理和訪問(wèn)控制”,以便更好地考慮身份驗(yàn)證以及授權(quán)等內(nèi)容。
此外,新版本中還增加了一個(gè)名為“第4.0節(jié):使用框架自我評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”的新內(nèi)容,解釋了組織如何使用該框架來(lái)理解和評(píng)估其網(wǎng)絡(luò)安全風(fēng)險(xiǎn),包括測(cè)量標(biāo)準(zhǔn)的使用等。
該文件指出,網(wǎng)絡(luò)安全性能標(biāo)準(zhǔn)的發(fā)展正在發(fā)生巨變,組織應(yīng)該周到、富有創(chuàng)造性,并且謹(jǐn)慎地使用測(cè)量方法來(lái)優(yōu)化使用,力求在改善網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方面取得進(jìn)展。判斷網(wǎng)絡(luò)風(fēng)險(xiǎn)需要準(zhǔn)則指導(dǎo),且這些準(zhǔn)則必須定期評(píng)估和更新,以適應(yīng)不斷變化的時(shí)代需求。
在供應(yīng)鏈方面,擴(kuò)展的第3.3節(jié)可以幫助用戶更好地理解這一領(lǐng)域的風(fēng)險(xiǎn)管理,而新增的部分(3.4節(jié))則側(cè)重于購(gòu)買決策,以及使用框架來(lái)理解與“商用貨架產(chǎn)品”(Commercial-off-the-shelf,簡(jiǎn)稱COTS,指可以采購(gòu)到的具有開(kāi)放式標(biāo)準(zhǔn)定義的接口的軟件或硬件產(chǎn)品)相關(guān)的風(fēng)險(xiǎn)。
該框架強(qiáng)調(diào)了“網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理在解決關(guān)鍵基礎(chǔ)設(shè)施和更廣泛的數(shù)字經(jīng)濟(jì)中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所起到的關(guān)鍵作用”。該框架的“實(shí)施層”為組織機(jī)構(gòu)提供了機(jī)制,供其了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法的特征,并提供網(wǎng)絡(luò)安全風(fēng)險(xiǎn)審視方法和管理風(fēng)險(xiǎn)的流程,以幫助組織機(jī)構(gòu)確定優(yōu)先級(jí)并實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)。
“實(shí)施層”指的是組織機(jī)構(gòu)安全風(fēng)險(xiǎn)管理實(shí)踐的程度,衡量標(biāo)準(zhǔn)包括風(fēng)險(xiǎn)與威脅意識(shí)、可重復(fù)和自適應(yīng)等要素。實(shí)施層通過(guò)四個(gè)層級(jí)范圍描述組織機(jī)構(gòu)的實(shí)踐程度,各層級(jí)(從部分的層級(jí)1到自適應(yīng)的層級(jí)4)反映了從非正式、被動(dòng)響應(yīng)到自適應(yīng)的表現(xiàn)。該框架指出,在確定實(shí)施層級(jí)的過(guò)程中,組織機(jī)構(gòu)應(yīng)考慮當(dāng)前的風(fēng)險(xiǎn)管理實(shí)踐、威脅環(huán)境、法律法規(guī)要求、業(yè)務(wù)/任務(wù)目標(biāo)和限制條件。
其他更新內(nèi)容還包括對(duì)實(shí)施層和配置文件之間關(guān)系的更好解釋;考慮到組織機(jī)構(gòu)使用框架的具體方式非常多樣,所以圍繞“合規(guī)性”這一術(shù)語(yǔ)增加了更多細(xì)化解釋;并增加了與漏洞披露生命周期相關(guān)的子類別。
關(guān)于新框架的討論和后續(xù)考慮
該框架的執(zhí)行摘要寫(xiě)道:
雖然本文件旨在改進(jìn)關(guān)鍵基礎(chǔ)架構(gòu)中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理,但該框架可供任何部門(mén)或社區(qū)的組織使用。該框架使組織(無(wú)論規(guī)模、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)程度或網(wǎng)絡(luò)安全復(fù)雜程度)能夠?qū)L(fēng)險(xiǎn)管理的原則和最佳實(shí)踐應(yīng)用于提高安全性和恢復(fù)能力等方面。
因此,其目標(biāo)是保持足夠的靈活性,以便所有行業(yè)部門(mén)的大小企業(yè)和組織,以及聯(lián)邦、州和地方政府都能夠自愿采用。此外,值得注意的是,該框架不僅僅只是涉及技術(shù)和流程,而是全面涵蓋了人員、流程和技術(shù)。
到目前為止,該框架的采用率已經(jīng)相當(dāng)可觀。根據(jù)Gartner提供的數(shù)據(jù)顯示,2015年只有30%的美國(guó)組織使用該框架,但到2020年這一數(shù)字預(yù)計(jì)將增加到50%。
與幾乎所有數(shù)據(jù)安全標(biāo)準(zhǔn)一樣,NIST網(wǎng)絡(luò)安全框架是非強(qiáng)制性的。雖然網(wǎng)絡(luò)專業(yè)人員經(jīng)常需要采用這些標(biāo)準(zhǔn)和框架文檔作為工具來(lái)并幫助構(gòu)建所需的保護(hù)性架構(gòu),但是專業(yè)人員通常會(huì)根據(jù)自身情況(如企業(yè)規(guī)模、具體網(wǎng)絡(luò)環(huán)境等)選擇適用的工具。
然而,特朗普簽署的名為“增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全”的行政命令,從聯(lián)邦政府網(wǎng)絡(luò)、關(guān)鍵基礎(chǔ)設(shè)施和國(guó)家整體安全三個(gè)層面提出增強(qiáng)網(wǎng)絡(luò)安全措施。此舉可以理解為,要求聯(lián)邦機(jī)構(gòu)遵守NIST網(wǎng)絡(luò)安全框架。因?yàn)樵撔姓钜髾C(jī)構(gòu)負(fù)責(zé)人向OMB(行政管理和預(yù)算局 )提交風(fēng)險(xiǎn)管理報(bào)告,并描述其實(shí)施該框架的具體計(jì)劃。
鑒于目前的指令,所有主要政府承包商也可能會(huì)面臨類似的要求。
針對(duì)同一個(gè)問(wèn)題,公共政策講師兼哈佛大學(xué)Belfer科學(xué)與國(guó)際事務(wù)中心聯(lián)合主任Eric Rosenbach在一份書(shū)面陳詞中告訴參議員:國(guó)會(huì)應(yīng)該要求所有關(guān)鍵基礎(chǔ)設(shè)施提供商采用該框架。
Rosenbach引用了最近針對(duì)亞特蘭大市和波音公司的勒索軟件攻擊事件,強(qiáng)調(diào)了關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域存在明顯的威脅需要解決。
“網(wǎng)絡(luò)風(fēng)險(xiǎn)影響著我們經(jīng)濟(jì)和社會(huì)的各個(gè)方面。這是一個(gè)全國(guó)性的威脅。只有通過(guò)全國(guó)的共同努力才能成功解決這個(gè)問(wèn)題。當(dāng)然,在此過(guò)程中,政府必須發(fā)揮主導(dǎo)作用。但是最終,私營(yíng)企業(yè)和非政府組織的行動(dòng)才是決定我們成功與否的關(guān)鍵所在。
今年晚些時(shí)候,NIST計(jì)劃發(fā)布更新的配套文件——《改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全路線圖》,該文件描述了開(kāi)發(fā)、協(xié)調(diào)和協(xié)作的關(guān)鍵領(lǐng)域。
正如網(wǎng)絡(luò)安全框架項(xiàng)目經(jīng)理Matt Barrett所說(shuō):
“網(wǎng)絡(luò)安全框架需要隨著威脅、技術(shù)和行業(yè)的發(fā)展而發(fā)展。通過(guò)此次更新,我們已經(jīng)證明,我們有一個(gè)良好的流程來(lái)將利益相關(guān)者聚集在一起,以確保該框架仍然是管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的一個(gè)很好的工具。
《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》1.1版本原文:
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
來(lái)源:安全牛
北京市公安局海淀分局備案號(hào):11010802023656號(hào)