網絡安全威脅呈指數級增長，制定有效的網絡風險管理策略變得越來越重要。NIST網絡安全框架助你抵御網絡威脅。 據報道，疫情“封國”之前，2019年有46%的英國企業遭到了網絡攻擊，比2018年增長了9%。盡管新冠病毒疫情之下公司企業要擔心方方面面的事務，但是在許多CEO看來，網絡安全仍然是最重要的一個方面。要衡量管理網絡相關安全風險的準備度，許多公司企業會采用對標NIST（美國商務部國家標準與技術研究院）《網絡安全框架》的方法。隨著網絡安全威脅呈指數級增長，制定高效網絡風險管理策略從未顯得如此重要，而NIST網絡安全框架可以幫助公司企業拿出行之有效的網絡風險管理方案。

NIST簡介美國國家標準與技術研究院（NIST）成立于1901年，是一家非監管性質的美國政府機構，負責通過技術和指標來推動創新和提高競爭力。 NIST的測量支持多種技術，“從小到可以在一根頭發梢部署幾萬個的納米級設備，到抗震摩天大樓和全球通訊網絡”。 NIST還可以幫助聯邦機構滿足《聯邦信息安全管理法案》（FISMA）的要求：保護政府信息和運營資產免受自然或人為威脅。 至于行業利益相關者，NIST為之創建了《網絡安全框架》（有時稱為NIST框架），旨在幫助企業管理網絡安全和降低網絡風險。這里的利益相關者指的是“美國私有產業擁有者和關鍵基礎設施運營商”，而其用戶群則包括“全世界的社區和組織”。《網絡安全框架》《網絡安全框架》由美國國會于2014年制定和批準，目前有超過30%的美國公司企業在用，這一比例今年預計將達50%。摩根大通、微軟、波音和英特爾等大型企業都在使用此框架。同時，英格蘭銀行、日本電訊電話公司和安大略能源委員會等美國境外的機構也在使用這個框架。 該框架旨在：

整合行業標準和最佳實踐，幫助組織機構和公司企業管理網絡安全風險；

提供通用語言，使員工可以對其網絡安全風險形成共識；

就如何減少這些風險提供指導；

提供建議，指導網絡安全攻擊響應與恢復，幫助汲取網絡安全事件教訓。

盡管是自愿性質的，且不作為詳盡的對照檢查清單，但該框架涵蓋了網絡安全的五個關鍵領域：

識別：查看當前在用數據，然后評估和識別風險；

保護：有助于保護企業的要素；

檢測：問題出現時有所感知；

響應：對問題作出恰當響應所需的基礎；

恢復：有效恢復丟失的數據所需的步驟。

所有這些元素構成了框架的“核心”元素，以簡化形式（不含子類別）表示如下： 核心的作用是突出所期望的網絡安全成果，并展示怎樣以補充現有流程的方式來管理風險。 然后，該框架將用戶引導至實現層，幫助公司企業決定其網絡安全措施的嚴格程度。哪些措施比較恰當，在很大程度上是由企業本身決定的；當然，要在現有指南的范圍內，比如歐洲的《通用數據保護條例》（GDPR）。 NIST各層概述如下：

第1層：部分 - 網絡安全實踐足以應對所經歷的網絡安全風險。

第2層：了解風險 - 公司/組織已意識到某些風險，并在計劃如何應對。

第3層：可重復–公司/組織具有已明確定義且可定期重復的網絡安全流程。

第4層：自適應 - 公司/組織正在積極采取網絡安全措施。

最后，使用由NIST《網絡安全框架》（CSF）產生的框架配置文件，排定所采取操作的優先級。 NIST網站將此配置文件描述為：“根據框架核心的預期結果，對組織的需求與目標、風險偏好和資源進行的獨特調整”。 NIST建議對比“當前”和“目標”配置文件，找出改善網絡安全的方法。盡管強調框架是自愿的，并且沒有“正確或錯誤的框架應用方式”，但還是建議使用核心的子類別來得出這些配置文件。 2018《網絡安全框架》更新 創建四年之后，NIST《網絡安全框架》在廣泛收集反饋的基礎上于2018年更新。 版本1.1更新了以下幾個方面：

身份驗證與身份；

自評估網絡安全風險；

管理供應鏈網絡安全；

漏洞披露。

針對這些更新，CSF項目經理Matt Barrett評論道：“本次更新精煉、闡明和增強了版本1.0。更新后的框架依然足夠靈活，能夠滿足單個公司/組織的業務或使命需求，也能應用到一系列技術環境，比如信息技術、工業控制系統和物聯網。” 。《網絡安全框架》英國版雖然其他國家直接將CSF引入了本國立法，英國官方尚未如此行事，但有部分法規復制了CSF的宗旨。比如說，盡管沒有直接針對，但中小企業和初創公司包含類似于NIST指南的最佳實踐樣例，這些最佳實踐在建立風險管理策略中普遍有用。 現有法規包括：

《網絡安全最低標準》（MCSS）。MCSS頒布于2018年6月，適用于英國政府部門，非常接近CSF。

英國健康與安全執行局（HSE）工業自動化與控制系統（IACS）操作指南。該法規于2017年發布，旨在防止因網絡安全漏洞而導致的事故，主要影響電力供應商和分銷商，以及涉及危險爆炸性化學物質和微生物物質的制造、使用或存儲的企業。

《網絡與信息系統》指令NIS指令由歐盟于2016年7月推出，供各國參考。NIS指令針對石油、天然氣、能源、交通運輸、銀行、供水、食品和電信等關鍵基礎設施，以及提供云計算或搜索等在線服務或平臺的公司。

原文標題：NIST網絡安全框架指南

文章出處：【微信公眾號：芯盾時代】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq