什么是 NIST 网络安全框架?
黑色和蓝色背景
NIST 网络安全框架

NIST 网络安全框架提供全面的指导和最佳实践,帮助私营部门组织改善信息安全和网络安全风险管理。


什么是 NIST 网络安全框架?

美国国家标准技术研究院 (NIST) 是一个非监管机构,旨在通过推进测量科学、标准和技术来促进创新。 NIST 网络安全框架 (NIST CSF) 由标准、指南和最佳实践组成,可帮助组织改善网络安全风险管理。 

NIST CSF 的设计灵活,可与任何行业内任何组织的现有安全流程集成。 它提供了一个极好的起点,可以自此开始在美国几乎任何私营组织中实施信息安全和网络安全风险 管理。


NIST 网络安全框架的历史

2013 年 2 月 12 日,美国发布第 13636 号行政命令 (EO) —“改善关键基础设施网络安全”。 NIST 自此开始与美国私营部门合作,旨在“确定现有的自愿共识标准和行业最佳实践,以将其构建成网络安全框架”。这次合作带来了 NIST 网络安全框架 V1.0。

2014 年的《网络安全增强法案》 (CEA) 扩大了 NIST 在制定网络安全框架方面的工作范围。 如今,NIST CSF 仍然是美国所有行业中采用最广泛的安全框架之一。


NIST 网络安全框架核心结构

NIST 网络安全框架包括功能类别子类信息型参考。 

功能概述最佳实践的安全协议。 这些功能并非程序性步骤,而会“同时且持续执行,以形成一种解决动态网络安全风险的运营文化”。 类别和子类为组织内的特定部门或流程提供更具体的行动计划。 

以下为 NIST 职能和类别的示例:

  • 识别:为了防范网络攻击,网络安全团队需要深入了解组织中最重要的资产和资源。 识别功能包括资产管理、业务环境、治理、风险评估、风险管理策略和供应链风险管理等类别。
  • 保护: 保护功能涵盖开发和实施适当的保障措施和保护关键基础架构的许多技术和物理安全控制。  这些类别包括身份管理和访问控制、意识和训练、数据安全、信息保护流程和程序、维护和保护技术。
  • 检测: 检测功能实施了向组织发出网络攻击警报的措施。 检测类别包括异常和事件、安全持续监视和检测过程。
  • 响应:响应功能类别可确保对网络攻击和其他网络安全事件做出适当的响应。 具体类别包括响应规划、通信、分析、缓解和改进。
  • 恢复: 万一发生网络攻击、安全漏洞或其他网络安全事件,恢复活动会实施网络弹性计划,确保业务连续性。 恢复功能包括恢复计划改进和通信。

NIST CSF 的信息型参考在功能、类别、子类和其他框架的特定安全控制之间建立直接关联。 这些框架包括互联网安全中心 (CIS) 控制®、COBIT 5、国际自动化学会 (ISA) 62443-2-1:2009、ISA 62443-3-3:2013、国际标准化组织和国际电工委员会 27001:2013 以及 NIST SP 800-53 Rev. 4。

NIST CSF 不指导如何清点物理设备和系统,也不指导如何清点软件平台和应用程序;仅提供需要完成的任务的清单。 组织可以自行选择执行清单的方法。 如果组织需要进一步的指导,它可以参考其他补充标准中相关控制的信息型参考。 CSF 中有大量适用于网络安全风险管理需求的工具,供组织自由选择。


NIST 框架实现层

为了帮助私营部门组织衡量实施 NIST 网络安全框架方面的进展,该框架确定了四个实施层:

  • 第 1 层 — 部分: 组织熟悉 NIST CSF,并且可能已在基础架构的某些区域实施了某些方面的控制。 这些组织的网络安全活动实施 与协议一直是被动而非有计划的。 他们对网络安全风险的认识有限,缺乏实现信息安全的流程和资源。
  • 第 2 层 — 风险知晓: 组织更加了解网络安全风险,并在非正式的基础上共享信息。 它缺乏有计划、可重复、主动、组织范围的网络安全 风险 管理 流程。
  • 第 3 层 — 可重复: 组织及其高级管理人员意识到网络安全风险。 他们已经在组织内实施了可重复的网络安全风险 管理计划。 网络安全团队制定了行动计划,以监控和有效应对网络攻击。
  • 第 4 层 – 自适应: 组织目前具有网络弹性,并根据经验教训和预测性指标来防止网络攻击。 网络安全团队不断改进和推进组织的网络安全技术和实践,并快速有效地适应威胁的变化。 有组织范围的信息安全 风险管理方法,在决策制定、策略、程序和流程中了解风险。 适应性强的组织将网络安全风险 管理纳入预算决策和组织文化。

建立 NIST 框架网络安全风险管理计划

NIST 网络安全框架提供有关如何建立或改进信息安全风险管理计划的分步指南:

  1. 划分优先级和范围: 清除了解项目范围,并确定优先事项。 建立高级业务或任务目标和业务需求,并确定组织的风险承受能力。
  2. 适应: 评估组织的资产和系统,并确定组织可能会接触到的适用法规、风险方法和威胁。
  3. 创建当前档案:当前档案 是组织当前如何管理风险的快照,由 CSF 的类别和子类定义。
  4. 进行风险评估:评估运营环境、新出现的风险和网络安全威胁信息,以确定可能影响组织的网络安全事件的概率和严重性。
  5. 创建目标档案:目标档案代表信息安全团队的风险管理目标。
  6. 确定、分析、明确差距的优先级:通过确定当前和目标档案之间的差距,信息安全团队可以创建行动计划,包括可衡量的里程碑事件和填补这些差距所需的资源(人员、预算和时间)。
  7. 实施行动计划:实施第 6 步中定义的行动计划。

NIST CSF 与 IBM Cloud

IBM 拥有大量关于如何采用 NIST 网络安全框架的资源。 IBM 还提供各种安全框架和风险评估服务以帮助评估组织的安全状态。

企业可以使用 IBM 的安全框架和风险评估服务来识别漏洞以降低风险。 这些服务提供网络监控和管理,并增强隐私、安全选项和安全风险识别。

IBM 还可以帮助使安全标准和实践与云环境中的 NIST CSF 保持一致。

注册一个 IBM ID 并创建 IBM Cloud 帐户


相关解决方案

安全框架和风险评估服务

IBM 治理、风险与合规服务对照您的业务需求和目标来评估现有的安全监管措施。