三年前,我发布了一项总统政策指令,以加强和维护安全且有弹性的关键基础设施。今天,我们将继续实现这一愿景,即政府和私营部门如何共同努力,以降低风险并提高我们基础设施的稳定性和安全性。由于我们的世界相互联系从未如此紧密,我们知道保持我们的关键基础设施正常运转需要与国际合作伙伴合作。这就是为什么我们正在努力通过与世界各地的合作伙伴共享信息来促进全球关键基础设施的安全性和弹性。
总统公告 - 2016年关键基础设施安全和弹性月 巴拉克奥巴马
“改善关键基础设施网络安全”行政命令是美国总统奥巴马于2013年2月签署发布的,该行政命令旨在提高关键基础设施管理网络风险的能力水平。在该行政命令的指导下,NIST(国家标准与技术研究院)与全球自愿开发网络安全框架的相关利益人合作,通过一系列研讨建立了网络安全框架CSF(Cybersecurity Framework),该框架的优先级、灵活、可重复和具有成本效益的方法可帮助关键基础设施的所有者和运营商管理与网络安全相关的风险。当前该框架最新版本是2018年4月更新的1.1版本,题为《Framework for Improving Critical Infrastructure Cybersecurity》。
此框架以风险为基础,由 框架核心( the Core ) 、 框架实现层( Implementation
Tiers ) 、 概要( Profiles ) 三个主要组件组成。
框架核心使用易于理解的通用语言提供了一组所需的网络安全活动和结果。核心指导组织以补充组织现有网络安全和风险管理流程的方式管理和降低其网络安全风险。
框架实现层通过提供组织如何看待网络安全风险管理的背景来帮助组织。Tiers
指导组织考虑其网络安全计划的适当严格程度,并且通常用作讨论风险偏好、任务优先级和预算的沟通工具。
框架概要是组织对其组织要求和目标、风险偏好和资源与框架核心的预期结果的独特调整,配置文件主要用于识别和优先考虑改善组织网络安全的机会。
对于此框架,大家比较熟悉的是IPDRR安全模型,即识别-保护-检测-响应-
恢复,此模型在日常的安全建设工作中采纳较多。框架核心包含四个元素:功能、类别、子类别和参考资料,其中功能部分为IPDRR,类别是将功能细分为与规划需求和特定活动密切相关的网络安全成果组,子类别进一步将一个类别划分为具体的技术和/或管理活动成果,参考资料是在关键基础设施部门中常见的标准、指南和实践的特定部分,说明了实现与每个子类别相关的成果的方法。
图:NIST核心架构
值得注意的是,五个功能不是为了形成一个串行路径或导致一个静态期望的最终状态,相反,这些功能应该同时并持续地执行,以形成一种处理动态网络安全风险的操作文化。
图:五大功能简介
框架实现层提供关于组织如何查看的上下文网络安全风险以及管理该风险的流程。从部分(第1层)到自适应(第4层),层次描述了网络安全风险管理实践中日益严格和复杂的程度。它们有助于确定网络安全风险管理在多大程度上被业务需求所告知,并被集成到组织的整体风险管理实践中。
图:架构实现层关系
框架概要文件(“概要文件”)是功能、类别和子类别与组织的业务需求、风险容忍度和资源的对齐。一个配置使组织能够建立一个路线图,以减少网络安全风险,该路线图与组织和部门目标保持良好的一致性,考虑法律/法规要求和行业最佳实践,并反映风险管理的优先级。考虑到许多组织的复杂性,它们可能选择拥有多个概要文件,与特定的组件保持一致,并认识到各自的需求。
组织内如何相互协调实施该框架?安全框架给出的建议是决策级、业务/流程级和实现/运营级相互配合。执行层将任务优先级、可用资源和总体风险容忍度传达给业务/过程层。业务/流程级使用信息作为风险管理流程的输入,然后与实现/运营级协作,沟通业务需求并创建概要文件。实现/运营级将概要实现进展传达给业务/流程级。业务/流程级别使用此信息执行影响评估。业务/过程级管理层将影响评估的结果报告给执行层,以告知组织的总体风险管理过程,并向实施/运营层报告业务影响的意识。
图:组织内概念信息和决策流动图
在安全框架的第三章给出了如何使用该框架。需要注意,该框架不是为了取代现有进程而设计的;组织可以使用其当前流程,并将其覆盖到框架上,以确定其当前网络安全风险方法的差距,并制定改进路线图。下图展示了组织使用该框架创建新的网络安全计划或改进现有计划的过程,这些步骤应该在必要时重复,以不断改善网络安全。
图:实施网络安全框架步骤
安全框架的附录A:框架核心由两个excel表组成,一个是功能和分类展示,一个是框架核心展示。在框架核心表中,对每一个功能,该功能下的分类、分类下的子分类以及参考信息都做了详细陈列,可作为实施该框架的白皮书指导。
如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)
👉网安(嘿客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
👉网安(嘿客红蓝对抗)所有方向的学习路线****👈
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
👉嘿客必备开发工具👈
工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了,给大家节省了很多时间。
这份完整版的网络安全(嘿客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】
458
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
