今日頭條
官方微信
官方抖音
資訊頻道2014年2月12日,美國國家標準技術研究院(NIST)正式發布了《提升關鍵基礎設施網絡安全的框架》第1.0版本。《提升關鍵基礎設施網絡安全的框架》的基本思想,是一套著眼于安全風險,應用于關鍵基礎設施廣闊領域的安全風險管控的流程。
該文件是奧巴馬總統頒布的第13636號行政命令的產物,其開發目的是形成一套適用于各類工業技術領域的安全風險管控的“通用語言”,同時為確保可擴展性與開展技術創新,此框架力求做到“技術中性化”,即:第一依賴于現有的各種標準、指南和實踐,使關鍵基礎設施供應商獲得彈性能力。第二依賴于全球標準、指南和實踐(行業開發、管理、更新實踐),實現框架效果的工具和方法將適用于跨國界,承認網絡安全風險的全球性,并隨著技術發展和業務需求而進一步發展框架。
因此,從某種角度上來觀察,該文件就是一份“用于關鍵基礎設施安全風險管控的標準化實施指南”,以幫助那些負責提供國家金融、能源、醫療保健和其他關鍵系統的組織更好地保護其信息和資產安全,抵御網絡攻擊。
如今,在初始版本發布4年后,美國國家標準與技術研究院(NIST)再次發布了《提升關鍵基礎設施網絡安全的框架》1.1版本。
與初始版本一樣,框架1.1版本也是基于公眾意見征詢收集到的反饋、團隊成員收到的問題,以及多次研討會做出的修改所產生的公私合作成果。可以說,新版本是對1.0版本的提煉、闡明和改進。1.1版本仍具有靈活性,可滿足組織機構的業務或任務需求,并適用于各種技術環境,例如信息技術、工業控制系統和物聯網。
據悉,框架1.1版本中更新的內容包括:
身份驗證和身份;
自我評估網絡安全風險;
供應鏈中的網絡安全風險管理;
漏洞披露;
新版本的變化之處
首先,1.1版本已經將“訪問控制”類別更新為“身份管理和訪問控制”,以便更好地考慮身份驗證以及授權等內容。
此外,新版本中還增加了一個名為“第4.0節:使用框架自我評估網絡安全風險”的新內容,解釋了組織如何使用該框架來理解和評估其網絡安全風險,包括測量標準的使用等。
該文件指出,網絡安全性能標準的發展正在發生巨變,組織應該周到、富有創造性,并且謹慎地使用測量方法來優化使用,力求在改善網絡安全風險管理方面取得進展。判斷網絡風險需要準則指導,且這些準則必須定期評估和更新,以適應不斷變化的時代需求。
在供應鏈方面,擴展的第3.3節可以幫助用戶更好地理解這一領域的風險管理,而新增的部分(3.4節)則側重于購買決策,以及使用框架來理解與“商用貨架產品”(Commercial-off-the-shelf,簡稱COTS,指可以采購到的具有開放式標準定義的接口的軟件或硬件產品)相關的風險。
該框架強調了“網絡供應鏈風險管理在解決關鍵基礎設施和更廣泛的數字經濟中的網絡安全風險所起到的關鍵作用”。該框架的“實施層”為組織機構提供了機制,供其了解網絡安全風險管理方法的特征,并提供網絡安全風險審視方法和管理風險的流程,以幫助組織機構確定優先級并實現網絡安全目標。
“實施層”指的是組織機構安全風險管理實踐的程度,衡量標準包括風險與威脅意識、可重復和自適應等要素。實施層通過四個層級范圍描述組織機構的實踐程度,各層級(從部分的層級1到自適應的層級4)反映了從非正式、被動響應到自適應的表現。該框架指出,在確定實施層級的過程中,組織機構應考慮當前的風險管理實踐、威脅環境、法律法規要求、業務/任務目標和限制條件。
其他更新內容還包括對實施層和配置文件之間關系的更好解釋;考慮到組織機構使用框架的具體方式非常多樣,所以圍繞“合規性”這一術語增加了更多細化解釋;并增加了與漏洞披露生命周期相關的子類別。
關于新框架的討論和后續考慮
該框架的執行摘要寫道:
雖然本文件旨在改進關鍵基礎架構中的網絡安全風險管理,但該框架可供任何部門或社區的組織使用。該框架使組織(無論規模、網絡安全風險程度或網絡安全復雜程度)能夠將風險管理的原則和最佳實踐應用于提高安全性和恢復能力等方面。
因此,其目標是保持足夠的靈活性,以便所有行業部門的大小企業和組織,以及聯邦、州和地方政府都能夠自愿采用。此外,值得注意的是,該框架不僅僅只是涉及技術和流程,而是全面涵蓋了人員、流程和技術。
到目前為止,該框架的采用率已經相當可觀。根據Gartner提供的數據顯示,2015年只有30%的美國組織使用該框架,但到2020年這一數字預計將增加到50%。
與幾乎所有數據安全標準一樣,NIST網絡安全框架是非強制性的。雖然網絡專業人員經常需要采用這些標準和框架文檔作為工具來并幫助構建所需的保護性架構,但是專業人員通常會根據自身情況(如企業規模、具體網絡環境等)選擇適用的工具。
然而,特朗普簽署的名為“增強聯邦政府網絡和關鍵基礎設施網絡安全”的行政命令,從聯邦政府網絡、關鍵基礎設施和國家整體安全三個層面提出增強網絡安全措施。此舉可以理解為,要求聯邦機構遵守NIST網絡安全框架。因為該行政命令要求機構負責人向OMB(行政管理和預算局 )提交風險管理報告,并描述其實施該框架的具體計劃。
鑒于目前的指令,所有主要政府承包商也可能會面臨類似的要求。
針對同一個問題,公共政策講師兼哈佛大學Belfer科學與國際事務中心聯合主任Eric Rosenbach在一份書面陳詞中告訴參議員:國會應該要求所有關鍵基礎設施提供商采用該框架。
Rosenbach引用了最近針對亞特蘭大市和波音公司的勒索軟件攻擊事件,強調了關鍵基礎設施領域存在明顯的威脅需要解決。
“網絡風險影響著我們經濟和社會的各個方面。這是一個全國性的威脅。只有通過全國的共同努力才能成功解決這個問題。當然,在此過程中,政府必須發揮主導作用。但是最終,私營企業和非政府組織的行動才是決定我們成功與否的關鍵所在。
今年晚些時候,NIST計劃發布更新的配套文件——《改進關鍵基礎設施網絡安全路線圖》,該文件描述了開發、協調和協作的關鍵領域。
正如網絡安全框架項目經理Matt Barrett所說:
“網絡安全框架需要隨著威脅、技術和行業的發展而發展。通過此次更新,我們已經證明,我們有一個良好的流程來將利益相關者聚集在一起,以確保該框架仍然是管理網絡風險的一個很好的工具。
《提升關鍵基礎設施網絡安全的框架》1.1版本原文:
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
來源:安全牛
北京市公安局海淀分局備案號:11010802023656號