美国NIST《网络安全框架》中文版
行业领先企业网络安全防护策略与实践案例
行业领先企业网络安全防护策略与实践案例第1章网络安全防护策略概述 (4)1.1 网络安全防护的重要性 (4)1.1.1 保障企业信息资产安全 (4)1.1.2 维护企业业务稳定运行 (4)1.1.3 保护企业声誉和客户信任 (4)1.1.4 遵守法律法规和合规要求 (4)1.2 网络安全防护体系架构 (4)1.2.1 安全策略规划 (4)1.2.2 安全技术防护 (4)1.2.3 安全运营管理 (5)1.2.4 安全合规与审计 (5)1.3 行业领先企业网络安全防护策略特点 (5)1.3.1 全面风险管理 (5)1.3.2 技术与人才并重 (5)1.3.3 安全防护与业务发展相结合 (5)1.3.4 持续改进与优化 (5)1.3.5 跨界合作与共享 (5)1.3.6 完善的应急预案 (5)第2章法律法规与政策标准 (5)2.1 我国网络安全法律法规体系 (5)2.1.1 基本法律法规 (6)2.1.2 部门规章与规范性文件 (6)2.1.3 技术标准与规范 (6)2.2 国际网络安全政策与标准 (6)2.2.1 国际组织与政策 (6)2.2.2 各国网络安全政策 (6)2.2.3 国际网络安全标准 (6)2.3 企业网络安全合规性要求 (7)2.3.1 建立健全网络安全组织架构 (7)2.3.2 制定网络安全政策和规章制度 (7)2.3.3 加强网络安全技术防护 (7)2.3.4 开展网络安全培训和宣传 (7)2.3.5 实施网络安全审计和风险评估 (7)第3章风险评估与管理 (7)3.1 网络安全风险评估方法 (7)3.1.1 定性风险评估方法 (7)3.1.2 定量风险评估方法 (7)3.1.3 混合型风险评估方法 (8)3.2 风险评估流程与实践 (8)3.2.2 风险分析 (8)3.2.3 风险评价 (8)3.2.4 风险监测与更新 (8)3.3 风险管理策略与措施 (8)3.3.1 风险规避 (8)3.3.2 风险降低 (8)3.3.3 风险转移 (8)3.3.4 风险接受 (8)3.3.5 风险控制与监控 (9)第4章网络边界安全防护 (9)4.1 防火墙技术与应用 (9)4.1.1 防火墙基本原理 (9)4.1.2 防火墙配置与管理 (9)4.1.3 行业领先企业防火墙实践案例 (9)4.2 入侵检测与防御系统 (9)4.2.1 入侵检测系统(IDS)概述 (9)4.2.2 入侵防御系统(IPS)技术 (9)4.2.3 行业领先企业入侵检测与防御实践案例 (9)4.3 虚拟专用网络(VPN)技术 (9)4.3.1 VPN技术概述 (9)4.3.2 VPN设备的选型与部署 (10)4.3.3 行业领先企业VPN实践案例 (10)第5章内部网络安全防护 (10)5.1 网络隔离与访问控制 (10)5.1.1 网络隔离策略 (10)5.1.2 访问控制策略 (10)5.1.3 实践案例:某大型企业内部网络隔离与访问控制 (10)5.2 终端安全管理 (10)5.2.1 终端安全策略 (10)5.2.2 终端安全防护技术 (10)5.2.3 实践案例:某金融企业终端安全管理实践 (11)5.3 漏洞扫描与修复 (11)5.3.1 漏洞扫描策略 (11)5.3.2 漏洞修复策略 (11)5.3.3 实践案例:某互联网企业漏洞扫描与修复实践 (11)第6章数据安全与隐私保护 (11)6.1 数据安全策略与制度 (11)6.1.1 策略制定原则 (11)6.1.2 数据安全管理制度 (11)6.2 数据加密技术与应用 (11)6.2.1 数据加密技术概述 (11)6.2.2 数据加密应用实践 (11)6.3 数据脱敏与隐私保护 (12)6.3.2 数据脱敏应用实践 (12)第7章云计算与大数据安全 (12)7.1 云计算安全挑战与应对 (12)7.1.1 云计算面临的安全挑战 (12)7.1.2 应对策略与实践 (12)7.2 大数据安全策略与实践 (12)7.2.1 大数据安全挑战 (12)7.2.2 大数据安全策略 (13)7.2.3 实践案例 (13)7.3 安全即服务(Security as a Service) (13)7.3.1 安全即服务的概念与特点 (13)7.3.2 安全即服务的关键技术 (13)7.3.3 安全即服务的实践案例 (13)第8章移动应用与物联网安全 (13)8.1 移动应用安全防护策略 (13)8.1.1 安全开发规范 (13)8.1.2 安全测试与评估 (13)8.1.3 用户数据保护 (14)8.1.4 安全更新与维护 (14)8.1.5 安全生态建设 (14)8.2 物联网安全风险与挑战 (14)8.2.1 设备安全 (14)8.2.2 通信安全 (14)8.2.3 数据安全 (14)8.2.4 智能设备漏洞 (14)8.2.5 安全合规性挑战 (15)8.3 物联网安全实践案例 (15)8.3.1 智能家居安全防护 (15)8.3.2 工业物联网安全实践 (15)8.3.3 智能交通系统安全 (15)8.3.4 医疗物联网安全 (15)8.3.5 智能城市安全 (15)第9章安全运维与管理 (16)9.1 安全运维管理体系构建 (16)9.1.1 管理体系概述 (16)9.1.2 安全运维组织架构 (16)9.1.3 安全运维制度与流程 (16)9.1.4 安全运维技术手段 (16)9.2 安全事件监测与响应 (16)9.2.1 安全事件监测 (16)9.2.2 安全事件分析 (16)9.2.3 安全事件响应策略 (16)9.2.4 安全事件响应实践案例 (16)9.3.1 安全审计概述 (16)9.3.2 安全审计制度与流程 (17)9.3.3 合规性检查 (17)9.3.4 安全审计与合规性实践案例 (17)第10章行业领先企业网络安全实践案例 (17)10.1 案例一:金融行业网络安全防护实践 (17)10.1.1 防护策略 (17)10.1.2 实践案例 (17)10.2 案例二:互联网企业安全防护策略 (17)10.2.1 防护策略 (17)10.2.2 实践案例 (18)10.3 案例三:能源行业网络安全解决方案 (18)10.3.1 防护策略 (18)10.3.2 实践案例 (18)10.4 案例四:制造业网络安全防护实践 (18)10.4.1 防护策略 (18)10.4.2 实践案例 (19)第1章网络安全防护策略概述1.1 网络安全防护的重要性互联网的普及和信息技术的飞速发展,企业信息系统已成为支撑企业运营的重要基础设施。
网络安全框架与标准解析
网络安全框架与标准解析随着互联网技术的不断发展和普及,网络安全问题日益凸显。
恶意攻击、数据泄露、网络病毒等威胁日益增多,给人们的生活和工作带来了严重影响。
为应对这些挑战,各国纷纷出台并推行网络安全框架与标准,以保障网络的安全稳定运行。
一、网络安全框架网络安全框架是一种针对网络安全问题制定的全面性计划和方案,旨在保护网络系统、数据和通信不受到未经授权的访问、恶意攻击和破坏。
网络安全框架的制定涉及到安全策略、安全控制和安全服务的整合,以确保网络安全的全面覆盖。
1. 美国网络安全框架美国网络安全框架由国家标准与技术研究院(NIST)负责制定和推行。
该框架分为五个核心领域:识别、保护、检测、应对和恢复。
它通过对网络威胁进行评估和风险管理,提供了一套完善的控制和措施,确保关键基础设施的安全运行。
2. 欧洲网络安全框架欧洲网络安全框架由欧洲网络与信息安全局(ENISA)负责制定和推行。
该框架分为四个关键步骤:评估、保护、检测和应对。
它强调网络安全的整体风险管理,促进各个成员国之间的信息共享和合作,共同应对网络威胁。
二、网络安全标准网络安全标准是对网络安全方面的技术和管理要求进行规范和规定,以确保网络安全措施的有效实施和运行。
网络安全标准的制定有助于提高网络系统和设备的安全性,减少网络攻击的发生和影响。
1. ISO/IEC 27001ISO/IEC 27001是国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的信息安全管理体系标准。
它规定了信息安全管理的各个方面,包括安全政策、组织结构、资源管理、风险评估和控制等。
通过实施该标准,组织能够建立和维护有效的信息安全管理体系。
2. NIST SP800系列NIST SP800系列是美国国家标准与技术研究院(NIST)发布的一系列网络安全标准。
其中最为知名的是NIST SP800-53,它规定了联邦信息系统安全的技术和管理控制措施。
该标准被广泛应用于政府和企业的信息系统安全管理中。
美国联邦政府网络安全人才队伍建设举措及其对我国的启示
国际视野INTERNATIONAL OUTLOOK洞悉全球发展态势 学习他国先进经验编者按:当前,走在世界新军事变革前列的国家,都普遍重视军民兼容、军民结合,形成了从战略设计到具体实施的全面融合模式,并取得了显著的成果。
国际视野栏目深入分析世界主要国家网信领域发展情况,可为我国相关工作开展提供重要参考。
33 美国联邦政府网络安全人才队伍建设举措及其对我国的启示CIVIL-MILITARY INTEGRATIONON CYBERSPACE网信军民融合2021年01月33美国联邦政府网络安全人才队伍建设举措及其对我国的启示人才竞争是网络空间竞争的实质。
由于网络空间治理议题兼具技术属性和政策属性,严峻复杂的网络安全形势和动态快速迭代的技术更新催生了公私部门对网络安全人才需求的持续增长。
较之私营部门,刚性的财政预算约束和固化的人力资源管理模式决定了政府部门在网络安全人员短缺问题方面面临的挑战更为严峻。
作为互联网技术的发源地和头号网络强国,美国从顶层设计构建、标准化人才框架设计、公私部门人才交流、招聘机制和薪酬激励手段创新等层面多措并举,强化了联邦政府层面的网络安全人才储备和能力建设。
系统梳理并深入研究美国联邦政府网络安全人才队伍建设的基本情况及相关经验,对完善我国政府部门网络安全人才由于网络空间治理议题兼具技术属性和政策属性,严峻复杂的网络安全形势和动态快速迭代的技术更新催生了政府部门对网络安全人才需求的持续增长。
本文梳理并研究美国联邦政府网络安全人才队伍建设的基本情况及相关经验,介绍了顶层设计构建、标准化人才框架设计、公私部门人才交流、招聘机制和薪酬激励手段创新等层面的具体措施,总结了对我国政府部门网络安全人才队伍建设的启示。
◎◎北京电子科技学院管理系◎◎李艳队伍建设极具参考价值。
一、美国联邦政府网络安全人才队伍建设面临的严峻挑战首先,在网络安全人才荒已然成为全球性难题的背景下,美国亦面临着日益高企的网络安全人才数量缺口。
网络信息安全评估标准
网络信息安全评估标准
网络信息安全评估标准是一套用于评估和测量信息系统及其相关组件的安全性的标准。
这些标准旨在确保信息系统的机密性、完整性和可用性,并帮助组织识别和管理潜在的网络安全风险。
以下是一些常见的网络信息安全评估标准:
1. ISO 27001:国际标准化组织(ISO)的标准,用于评估和管理信息安全风险。
2. NIST SP 800-53:美国国家标准与技术研究院(NIST)发布的框架,用于评估和测量联邦信息系统的安全性。
3. PCI DSS:支付卡行业安全标准委员会(PCI SSC)制定的
标准,用于评估和保护存储、处理和传输支付卡数据的系统的安全性。
4. COBIT:控制目标与信息技术相关的最佳实践(COBIT)框架,旨在评估和管理企业的信息系统风险。
5. CIS基准:由国际安全公司(CIS)发布的一系列安全配置
建议,用于评估和改进信息系统的安全性。
6. CSA CCM:云安全联盟(CSA)制定的云计算控制矩阵(CCM),用于评估云计算服务提供商的安全性。
7. SOC 2:由美国注册会计师协会(AICPA)发布的安全、可
用性和机密性(SOC)报告,用于评估服务组织的信息系统安全性。
这些标准提供了评估、测量和改进信息系统安全性的指南,帮助组织建立一个稳健的网络安全框架,以保护其信息资产免受潜在威胁的影响。
同时,它们也为组织提供了一个在安全方面达到最佳实践的标准,帮助识别和纠正潜在的安全漏洞和风险。
网络安全(cybersecurity)国际标准进展与解读
标准咨询CHINA QUALITY AND STANDARDS REVIEW网络安全(cybersecurity)国际标准进展与解读谢宗晓 (中国金融认证中心)甄杰(重庆工商大学商务策划学院)董坤祥(山东财经大学管理科学与工程学院)标 准 解 读1 概述与概念ISO/IEC 27100于2018年10月立项,目前正在开发中,状态为工作组草案。
计划在2021年11月发布。
该标准提供了网络安全的概述,以及相关的术语和定义。
网络安全已成为一个重要话题。
虽然它看起来与信息安全相似,并且许多信息安全控制、方法和技术可以用于管理网络安全风险,但网络安全与信息安全还是存在诸多不同。
尤其之前存在的狭义的网络安全(network security),这与网络安全术语的使用方式不一致[1,2]。
需要一个标准来定义网络安全,建立其情境,并描述相关概念,包括网络安全与信息安全的关系和区别。
需要注意的是,在目前可以获取的版本中,对于网络空间(cyberspace)的定义并没有强调其虚拟性,而是强调基础设施,其中认为:网络空间是一个全球互联的空间,包括互联网和其他网络、数字设备、系统、服务和流程,为个人、企业和政府的广泛活动和互动提供了全球性的基础设施。
当然,注:WD——Work Draft,工作组草案;DIS——Draft International Standard,国际标准草案;TR——Technical Report,技术报告;TS——Technical Specification,技术规范。
网络安全(cybersecurity)已经成为ISO/IEC JTC 1/SC27(信息安全、网络安全与隐私保护分技术委员会)的重要方向之一,在最新公布的SD11中1),信息安全管理体系工作组(WG1)会承担相应的工作。
截至2019年5月,开发中的或发布的相关标准共有4项,如表1所示。
编号状态标题ISO/IEC 27100WD TS 信息技术 安全技术 网络安全 概述与概念2)(Information technology—Security techniques—Cybersecurity—Overview and concepts) ISO/IEC 27101WD TS 信息技术 安全技术 网络安全 框架开发指南(Information technology—Security techniques—Cybersecurity—Framework development guidelines)ISO/IEC 27102DIS 信息技术 安全技术 网络保险 信息安全管理指南3)(Information technology—Security techniques—Information security management guidelines for cyber insurance)ISO/IEC 2710TR信息技术 安全技术 ISO与IEC关于网络安全的标准(Information technology—Security techniques—Cybersecurity and ISO and IEC Standards)表1 网络安全相关国际标准1) SC27 SD11 Overview of Work of SC27, (SC 27工作概述)原文在,https://www.din.de/en/meta/jtc1sc27。
华为云 NIST CSF 实践指南说明书
华为云NIST CSF 实践指南文档版本 1.0发布日期2022-05-17版权所有 © 华为云计算技术有限公司 2022。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为云计算技术有限公司地址:贵州省贵安新区黔中大道交兴功路华为云数据中心邮编:550029网址:https:///目录1 概述 (1)1.1 适用范围 (1)1.2 发布目的与目标读者 (1)1.3 基本定义 (1)2 NIST CSF简介 (3)2.1 NIST CSF的发展历程 (3)2.2 NIST CSF框架和主要内容 (3)2.3 框架适用群体 (4)3 华为云的认证情况 (5)4 华为云责任共担模型 (6)5 华为云如何基于NIST CSF框架构建网络安全体系 (7)5.1 识别(Identify) (7)5.2 保护(Protect) (21)5.3 检测(Detect) (51)5.4 响应(Respond) (58)5.5 恢复(Recover) (65)6 华为云如何协助客户构建基于NIST CSF框架的网络安全体系 (68)7 结语 (74)8 版本历史 (75)1概述1.1 适用范围本文档提供的信息适用于华为云在中国站上开放的产品和服务,以及承载这些产品和服务的数据中心节点。
美国数据安全管理制度
美国数据安全管理制度一、美国数据安全管理制度框架1. 法律法规框架美国政府通过立法和监管手段,建立了完善的数据安全管理法律法规体系。
其中,最具代表性的是《个人信息保护和电子文档法案》(HIPAA)和《信息技术管理改革法案》(FITARA)。
HIPAA是美国最重要的医疗个人隐私保护法律,规定了医疗机构应该如何在处理患者数据时保护隐私。
FITARA则规定了联邦政府各部门和机构在信息技术采购、管理和运营中应该遵守的规范和要求。
此外,美国还通过《网络安全法》(CFAA)、《个人隐私保护法》(PPA)、《个人信息保护法案》等一系列法律法规,对数据安全管理进行了全面规范和监管。
2. 政策导向框架美国政府通过国家信息技术标准研究所(NIST)等部门和机构,制定了一系列数据安全管理政策标准和指南。
其中,最有代表性的是NIST发布的《信息技术安全管理标准》(ITSM),该标准为美国政府和企业提供了一个全面的信息安全体系框架,涵盖了信息安全管理、风险评估、安全控制、安全意识培训等方面。
此外,美国还推出了《信息共享和数据保护法案》(ISPA)等政策文件,制定了信息共享和保护原则,以促进信息共享和防范信息泄露和滥用。
3. 组织机构框架美国政府和企业机构根据法律法规和政策导向,建立了相应的数据安全管理组织机构和团队。
在政府部门中,设立了信息技术安全办公室(CISO)、数据安全局(DSA)、网络安全中心(CSC)等机构,负责制定和执行数据安全管理政策和措施。
在企业机构中,建立了信息安全管理委员会(ISMC)、信息安全团队(IST)等部门,负责企业信息安全管理工作。
二、美国数据安全管理政策1. 数据分类和标记政策美国政府和企业机构制定了一系列数据分类和标记政策,根据信息资产的重要性和敏感程度确定数据安全管理的级别和措施。
根据HIPAA和FITARA的要求,医疗机构和联邦政府各部门对患者个人隐私数据和敏感信息进行了严格分类和标记,确保数据得到妥善保护和控制。
报告丨美国国防部(DoD)发布网络安全参考架构丨附下载
报告丨美国国防部(DoD)发布网络安全参考架构丨附下载网络安全参考架构(CSRA)是一个参考框架,旨在由国防部用来指导网络安全的现代化,这是 E0.14028号文件第3节,改善国家网络安全以及关于改善国家安全国防部和情报界系统的网络安全的国家安全备忘录的要求。
CSRA将推动国防商业系统、国防部国家安全系统(NSS)和国防部关键基础设施/关键资源(CIKR)——包括国防部信息技术(IT)和国防部操作技术(OT)——通过演变来整合ZT原则。
这种演变对于通过采用ZTA实现网络安全的现代化是必要的。
CSRA是通过整合情报产品和基干威胁的网络安全评估(例如,国防部网络安全分析宙查DODCAR)的威胁信息产品。
CSRA的目的是以原则、基本组件、能力和设计模式的形式建立网络安全架构的特征,以应对存在于传统网络边界内外的威胁。
CSRA与其他RA和解决方案架构的协调必须包括现有的指挥和控制(C2)命令和指令。
C2和CSRA的调整将提高网络空间的生存能力,增强行动和作战人员支持的弹性,以实现综合威慑。
1 摘要国防部首席信息官负责指导国防部雇用的NSS和CIKR的网络安全的现代化。
根据国家安全指令42的规定,国家安全局局长被指定为NSS的国家管理者。
国防部首首席信息官办公室和国家安全局之间的伙伴关系使国防部为支持作战人员而实现网络安全现代化的方法得到发展。
网络安全参考架构(CSRA)在历史上为与JIE企业架构相一致的架构系列提供网络安全指导。
它最初是为了传达企业级的技术指导,以满足JIE和国防部信息企业网络安全的目标·CSRA现在是按照E.O.14028和NSM-8第3条对联邦政府的指示,为国防部实理现网络安全的现代化。
1.1 宗旨CSRA的目的是以原则、基本组件、能力和设计模式的形式建立网络安全架构的特征,以应对存在于传统网络边界内外的威胁。
CSRA通过整合ZT原则指导网络安全实施的现代化,以支持威胁情报驱动的缓解和采购规划的调整。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(水平有限,翻译粗糙,仅供参考)为改善关键基础设施网络安全框架Version 1.0国家标准与技术研究所February 12, 2014Table of ContentsExecutive Summary (1)1.0 Framework Introduction (3)2.0 Framework Basics (7)3.0 How to Use the Framework (13)Appendix A: Framework Core (18)Appendix B: Glossary (37)Appendix C: Acronyms (39)List of FiguresFigure 1: Framework Core Structure (7)Figure 2: Notional Information and Decision Flows within an Organization (12)List of TablesTable 1: Function and Category Unique Identifiers (19)Table 2: Framework Core (20)执行摘要美国的国家安全和经济安全取决于关键基础设施的可靠运作的。
网络安全威胁攻击日益复杂和关键基础设施系统的连接,把国家的安全,经济,风险公众安全和健康。
类似的财务和声誉风险,网络安全风险影响到公司的底线。
它可以驱动多达费用及影响收入。
它可能会损害一个组织的创新,以获得并保持客户的能力。
为了更好地解决这些风险,总统于2013年2月12日,其中规定“[I] t是美国的政策,加强国家的安全和弹性颁布行政命令13636,”改善关键基础设施的网络安全。
“关键基础设施和维护,鼓励高效,创新,和经济繁荣,同时促进安全,保安,商业机密,隐私和公民自由。
“在制定这项政策的网络环境,执行命令为自愿风险的发展需要基于网络安全框架 - 一套行业标准和最佳实践,帮助企业管理网络安全风险。
由此产生的框架,通过政府和私营部门之间的合作创建的,使用共同的语言,无需放置额外的监管要求,对企业在根据业务需要具有成本效益的方式处理和管理网络安全风险。
该框架着重于使用业务驱动因素,以指导网络安全的活动,并考虑网络安全风险,组织风险管理程序的一部分。
该框架由三部分组成:核心框架,该框架配置文件和框架实施层级。
该框架的核心是一套网络安全的活动,成果,和翔实的参考资料是通用的重要基础设施行业,为发展个人组织档案的详细指导。
通过使用配置文件中,该框架将帮助组织调整其网络安全的活动,其业务需求,风险承受能力和资源。
各层提供一个机制,组织查看和了解他们的方法来管理网络安全风险的特性。
该行政命令还要求该框架包括一个方法来保护个人隐私和公民自由时,重要的基础设施组织开展网络安全的活动。
虽然流程和现有的需求会有所不同,该框架能够帮助组织整合的隐私和公民自由的全面网络安全计划的一部分。
该框架使组织 - 无论大小,网络安全风险程度,或网络安全的复杂性 - 原则和风险管理的最佳实践应用到改善关键基础设施的安全性和弹性。
该框架提供了组织和结构到今天的多种途径,以网络安全组装标准,准则和做法,如今正在有效地业。
此外,因为它引用了全球公认的标准,网络安全,该框架还可以用于由位于美国以外的组织,可以作为一个典范加强关键基础设施的网络安全国际合作。
该框架是不是一个尺寸适合所有人的方法来管理网络安全风险的关键基础设施。
组织将继续有独特的风险 - 不同的威胁,不同的弱点,不同的风险承受能力 - 以及他们如何实施该框架的行为会有所不同。
组织可以决定是很重要的关键服务活动,并可以优先考虑投资,以最大限度地度过每一美元的影响。
最终,该框架旨在减少和更好地管理网络安全风险。
该框架是一个活的文件,并会继续进行更新和改善,产业提供了执行的反馈。
在架构上付诸实践,经验教训将被整合到未来版本。
这将确保它满足关键基础设施的业主和运营商的需求在新的威胁,风险和解决方案,一个充满活力和挑战性的环境。
使用这种自愿框架是下一步要提高我们国家的关键基础设施的网络安全 - 为个别组织的指导,同时增加了国家的关键基础设施作为一个整体的网络安全态势。
1.0 框架简介美国的国家安全和经济安全取决于关键基础设施的可靠运作的。
为了加强这一基础设施的恢复力,奥巴马总统2月12日颁布行政命令13636 ( EO ),“改善关键基础设施的网络安全,”,对于自愿网络安全框架(“框架”),它提供了“优先,灵活,可重复,基于绩效的,和成本效益的方法”直接管理这些流程,信息和系统网络安全风险的发展这一行政命令要求参与关键基础设施服务的提供。
该框架,与业界合作开发,提供指导,在管理网络安全风险的一个组织。
关键基础设施是在EO定义为“系统和资产,不论是物理或虚拟的,所以至关重要的美国的无行为能力或破坏这些制度和资产将会对安全,国家经济安全,国家公共健康或使人衰弱的影响安全,或该等事项的任何组合。
“由于来自外部和内部的威胁越来越大的压力,负责关键基础设施的组织需要有一个一致的,迭代的方法来识别,评估和管理网络安全风险。
这种做法是必要的,无论一个组织的规模,威胁曝光或网络安全的复杂的今天。
在关键基础设施的社区,包括公共和私营业主和运营商,以及其他实体在确保国家的基础设施的作用。
每个关键基础设施部门的执行委员是由信息技术支持的功能( IT)和工业控制系统( ICS ) .2这依赖于技术,通信和IT和ICS的互联互通已发生变化,扩大了潜在的漏洞和潜在的增长对风险的操作。
例如, ICS和ICS的操作产生的数据越来越多地用于提供关键的服务和支持业务决策,一个网络安全事件对组织业务的潜在影响,资产,健康和个人安全和环境,应考虑。
要管理网络安全风险,该组织的业务驱动因素和具体到它的使用IT和ICS安全考虑清楚的认识是必要的。
因为每个组织的风险是独一无二的,随着其使用的IT和ICS的,用于实现由框架所描述的结果的工具和方法会有所不同。
认识到隐私和公民自由的保护,提高公众的信任所扮演的角色,执行命令要求该框架包括一个方法来保护个人隐私和公民自由时,重要的基础设施组织开展网络安全的活动。
许多组织已经有了解决隐私和公民自由的过程。
该方法的目的是补充这些过程,并提供指导,以促进隐私风险管理与组织的方法,网络安全风险管理是一致的。
集成的隐私和网络安全可以通过增加客户的信心,让更多的标准化的信息共享,并在法律制度简化操作获益的组织。
1 Executive Order no. 13636, Improving Critical Infrastructure Cybersecurity, DCPD-201300091, February 12,2013. /fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf2 The DHS Critical Infrastructure program provides a listing of the sectors and their associatedcritical functions and value chains. /critical-infrastructure-sectors为确保可扩展性,使技术创新,架构是技术中立的。
该框架依赖于各种现有的标准,准则和措施,使关键基础设施供应商,实现弹性。
依靠这些全球性的标准,指南和开发,管理,及行业更新的做法,可实现的成果框架的工具和方法将规模跨越国界,承认网络安全风险的全球性,并发展与技术的进步和业务要求。
利用现有的和新兴的标准,使规模经济和推动有效的产品,服务和实践,满足确定市场需求的发展。
市场竞争也促进了这些技术和做法,实现了利益相关者,这些行业很多好处更快的传播。
从这些标准,准则和惯例建立,框架提供了常用的分类和机制组织:1 )形容自己目前网络安全的姿势;2 )描述自己的目标状态,网络安全;3 )确定并优先用于连续和重复的过程的范围内改善的机会;4 )评估向目标状态的进展;5 )沟通有关网络安全风险的内部和外部利益相关者之间。
该框架的补充,而不会取代,一个组织的风险管理流程和网络安全方案。
该组织可以利用其现有流程,并充分利用该框架来寻找机会,加强和沟通的网络安全风险的管理,同时与行业惯例调整。
可替换地,不具有现有的网络安全方案的组织可以使用框架作为基准,建立1 。
正如框架不是特定行业,标准,准则和惯例的通用分类法,它也提供了不特定国家。
在美国以外的机构也可以使用框架来加强自身的网络安全的努力,以及该框架可以促进发展的共同语言对关键基础设施的网络安全国际合作。
1.1在视图框架工作该框架是一个基于风险的方法来管理网络安全风险,并且由三部分组成:核心框架,该框架的实施层级和架构配置文件。
每个框架组件强化业务驱动和网络安全的活动之间的联系。
下面这些部件进行说明。
••该框架的核心是一套网络安全的活动,期望的结果,而且是通用的关键基础设施部门适用的参考。
核心呈现的方式,允许对网络安全的活动的沟通和跨组织的成果从行政级别来实施/运营层面的行业标准,准则和惯例。
该框架的核心是由五个并发和连续函数,确定,保护,检测,响应,恢复的。
当一起考虑,这些功能提供了网络安全风险的一个组织的管理生命周期的一个高层次的,战略的眼光。
该框架的核心,然后确定相关主要类别和子类别的每个功能,并以实例参考性文献,如现有标准,指南,并为每个子目录的做法符合他们。
••框架实施层级(“层”)提供上下文对一个组织如何观看网络安全风险,并在适当的程序来管理风险。
层描述的程度,一个组织的网络安全风险管理实践中表现出的框架(如,风险和威胁感知,可重复和自适应)所定义的特征。
这些层在一定范围内表征一个组织的做法,从部分(第1层),以自适应(第4层)。
这些层级反映非正式的,无响应的进程来是敏捷和风险告知的方法。
在第一级选择过程中,组织应考虑其目前的风险管理措施,威胁环境,法律和监管规定,业务/任务目标和组织约束。
••一个框架配置文件(“档案”)代表需要一个组织已经从框架类别和子类别选择的基于业务的成果。
配置文件可以被定性为标准,准则和惯例的对齐方式Framework核心在一个特定的实施方案。
配置文件可用于通过比较“当前”个人资料以确定改进网络安全姿势的机会(在“按原样”状态)与“目标”个人资料(在“是”的状态)。
要开发一个配置文件,一个组织可以查看所有类别和子类别,并根据业务驱动因素和风险评估,确定哪些是最重要的,他们可以根据需要来满足组织的风险增加类别和子类别。
当前配置文件可以被用来支持优先级和向着目标配置文件进度测量,而在其他的业务需求,包括成本效益和创新保理。