NIST 網(wǎng)絡安全框架的全面性使其成為跨行業(yè)的事實上的標準。然而，該框架有一個主要弱點：它的指導方針對于新手來說可能比較難以理解。

該框架分為五個核心功能（識別、保護、檢測、響應、恢復），可以分為100多個子類別。雖然它們提供了組織應遵循的特定技術(shù)和實踐指導的核心內(nèi)容，但其中大部分關(guān)鍵內(nèi)容都被混淆在繁雜的解釋中，類別和功能通常是冗余的，并且包括似乎更適合其他類別的子類別。

然而，盡管其中包含大量信息，盡管它有時候會令組織陷入困惑，但不要拒絕使用它。這是我認為更容易理解的入門指南，可以幫助在您的組織中引入 NIST 推薦的實踐時避免混淆:

核心功能#1：識別

NIST 網(wǎng)絡安全框架的第一個核心功能涵蓋識別和管理跨系統(tǒng)、數(shù)據(jù)、資產(chǎn)等風險的最佳實踐。這包括以下方面的指導：           

資產(chǎn)管理。該框架要求通過安全最佳實踐始終如一地解決關(guān)鍵人員、數(shù)據(jù)、設施和系統(tǒng)風險。組織必須識別和保護對其持續(xù)業(yè)務生存至關(guān)重要的所有資產(chǎn)和活動（基本站點、數(shù)據(jù)庫、應用程序等）。

商業(yè)環(huán)境。組織必須確保利益相關(guān)者從安全角度充分了解其業(yè)務使命和目標。

治理。該框架規(guī)定了為適當?shù)娘L險管理提供信息并確保法律和法規(guī)遵從性的程序、政策和流程。

風險評估。組織必須全面了解其網(wǎng)絡安全業(yè)務風險。

供應鏈。組織必須識別供應鏈風險并準備好應對流程。

核心功能#2：保護

該框架的第二個核心功能解決了組織制定保護其關(guān)鍵基礎設施服務交付的需要。這些保護包括：

訪問控制。該框架要求組織將訪問權(quán)限限制為僅授權(quán)用戶、流程和設備。

意識和培訓。組織必須教育和培訓員工（和合作伙伴）了解網(wǎng)絡安全風險以及應對這些風險的緩解政策/程序。

數(shù)據(jù)安全。組織必須按照保護數(shù)據(jù)機密性、完整性和可用性的政策和程序來管理數(shù)據(jù)和記錄。

信息保護流程和程序。政策、程序和流程還必須保護信息系統(tǒng)和數(shù)據(jù)。 

維護。該框架要求組織保持安全控制和信息系統(tǒng)處于良好的工作狀態(tài)，并符合現(xiàn)行政策和程序。

保護技術(shù)。必須采用有效的技術(shù)解決方案來充分保護組織的信息系統(tǒng)。

核心功能#3：檢測

該框架的第三個核心功能是確保組織在檢測網(wǎng)絡安全攻擊方面做得足夠好。該功能解決：

異常和事件。網(wǎng)絡安全解決方案必須提供對異?；顒拥目焖僮R別以及快速修復所需的洞察力。

安全連續(xù)監(jiān)測。檢測解決方案必須具有持續(xù)的威脅監(jiān)控能力。

檢測過程評估。檢測過程和程序必須經(jīng)過定期測試，以評估和保持持續(xù)的有效性。

核心功能#4：響應

該框架的第四個核心功能定義了組織應如何最好地準備對檢測到的網(wǎng)絡安全事件的有效響應。應用最佳實踐的具體領域包括：

響應計劃。當網(wǎng)絡安全事件發(fā)生時，組織必須準備好計劃、流程和程序。

通訊。該框架要求組織有效協(xié)調(diào)所有內(nèi)部網(wǎng)絡威脅響應活動，并在某些情況下與執(zhí)法部門等外部各方進行協(xié)調(diào)。

分析。網(wǎng)絡威脅分析對于適當?shù)捻憫突謴痛胧┲陵P(guān)重要。 

減災。組織必須采取措施防止威脅事件擴大、消除現(xiàn)有威脅并減輕任何潛在的持久影響。

改進。該框架呼吁組織根據(jù)從威脅事件經(jīng)驗中汲取的教訓采取行動，不斷改進其網(wǎng)絡安全實踐。

核心功能#5：恢復

該框架的最終核心功能解決了組織應采取的步驟，以建立其彈性和準備，以恢復在安全事件期間受影響的任何功能、能力或服務。需要關(guān)注的重點領域包括：

恢復規(guī)劃。組織應謹慎實施流程和程序，以促進網(wǎng)絡安全事件發(fā)生后的快速和完全恢復。

通信。組織應與內(nèi)部利益相關(guān)者、受影響方和受事件影響的外部方密切協(xié)調(diào)恢復活動。

改進。該框架指導組織根據(jù)從威脅事件中恢復時獲得的新知識改進其恢復計劃和流程。

利用網(wǎng)絡安全框架保護您的組織

盡管 NIST 網(wǎng)絡安全框架的許多最佳實踐對于大多數(shù)私人組織來說仍然是可選的（對于許多有政府合同的組織來說是強制性的），但它們?yōu)橹贫◤娪辛Φ木W(wǎng)絡安全響應提供了極好的指導。通過采用策略和解決方案來解決上述每個框架類別，組織將會實現(xiàn)更好、更有效的安全實踐。

背景

美國國家標準與技術(shù)研究所(NIST)是一個非監(jiān)管機構(gòu)，其使命是促進美國的創(chuàng)新和工業(yè)競爭力，2013年受總統(tǒng)委托制定“降低關(guān)鍵基礎設施網(wǎng)絡風險的框架”。NIST 網(wǎng)絡安全框架(CSF)是政府和行業(yè)專家共同努力的結(jié)果，該框架于2014年首次發(fā)布，2018年進行了修訂，以符合現(xiàn)代網(wǎng)絡安全標準。

NIST 框架的主要目的是幫助組織開發(fā)一致的迭代方法，以識別、評估和管理網(wǎng)絡安全風險，其保護的關(guān)鍵基礎設施可能由規(guī)模、復雜性和技術(shù)能力各異的公共或私營部門組織控制，因此，NIST 設計的框架具有廣泛適用性。該框架的另一個優(yōu)點是，它使用普遍適用的術(shù)語來幫助 IT 經(jīng)理完成相關(guān)任務，如描述當前的網(wǎng)絡安全態(tài)勢、目標，識別并優(yōu)先考慮改進的機會，評估網(wǎng)絡安全工作進展情況，向內(nèi)外利益相關(guān)者告知網(wǎng)絡安全風險等。這種安全管理風險的綜合方法使 NIST 安全框架成為任何行業(yè)任何組織保護其基礎設施的較佳起點。

原文標題：Demystify the NIST Cybersecurity Framework      作者：Cam Roberson

鏈接：https://www.infosecurity-magazine.com/opinions/demystify-nist-cybersecurity/