隨著信息技術(shù)的快速發(fā)展，組織面臨著越來越嚴峻的網(wǎng)絡(luò)安全挑戰(zhàn)。NIST網(wǎng)絡(luò)安全框架（NIST Cybersecurity Framework，CSF）是一個靈活的綜合性指南，旨在協(xié)助各類組織建立、改進和管理網(wǎng)絡(luò)安全策略，以加強網(wǎng)絡(luò)安全防御和響應(yīng)能力。本系列文章主要圍繞該框架的核心內(nèi)容、使用方法和應(yīng)用示范展開討論，以幫助使用者更好地利用該工具進行網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃、設(shè)計、開發(fā)和運營。

本文主要探討NIST CSF框架的起源目標、內(nèi)容組成，及其在網(wǎng)絡(luò)安全風(fēng)險管理中的關(guān)鍵作用，通過采用該框架，組織能夠更有效地實施風(fēng)險識別、安全保護、威脅檢測和事件響應(yīng)，從而構(gòu)建更加堅固和彈性的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。

關(guān)鍵字：網(wǎng)絡(luò)安全框架；風(fēng)險管理；威脅檢測

一

背景與起源

在數(shù)字化的時代，信息技術(shù)的快速發(fā)展為組織帶來了巨大的機遇，同時也暴露了其面臨的嚴峻網(wǎng)絡(luò)安全挑戰(zhàn)。2013年2月，美國總統(tǒng)奧巴馬頒布了行政命令“改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全”（EO 13636），目標是通過建立一個框架，改善政府和私營部門之間的信息共享和協(xié)作，從而提升關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全能力。NIST通過與政府機構(gòu)、私營企業(yè)以及學(xué)術(shù)界的廣泛合作，于2014年發(fā)布了CSF 1.0，該框架是基于現(xiàn)有標準、指南和實踐的自愿指南，旨在幫助關(guān)鍵基礎(chǔ)設(shè)施組織更好地管理和降低網(wǎng)絡(luò)安全風(fēng)險。2018年4月，NIST更新發(fā)布了CSF 1.1，并于2024年2月再次更新為CSF 2.0。根據(jù)利益相關(guān)者的反饋，為了反映不斷變化的網(wǎng)絡(luò)安全形勢，幫助組織更輕松、更有效地管理網(wǎng)絡(luò)安全風(fēng)險，NIST在CSF2.0中引入了一系列的修改，本系列相關(guān)文章將針對CSF 2.0展開討論。

圖1 NIST CSF的發(fā)展歷程

二

內(nèi)容組成

CSF框架主要包含三個部分：框架核心（Core）、配置文件（Profile）和實施層級（Tier）。其中，●核心（Core）：定義了一組網(wǎng)絡(luò)安全成效（Outcome），以及相關(guān)成效的實現(xiàn)示例和參考信息；●配置（Profile）：利用核心部分定義的成效，描述組織當(dāng)前或未來要達到的網(wǎng)絡(luò)安全狀態(tài)；●層級（Tier）：描述網(wǎng)絡(luò)安全風(fēng)險管理的成效等級，以指導(dǎo)配置的創(chuàng)建和設(shè)計。

圖2 NIST CSF的內(nèi)容組成

1．核心（Core）

CSF框架核心由一組適合于各領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施部門的網(wǎng)絡(luò)安全活動、期望結(jié)果和參考信息構(gòu)成，以一種通用的語言描述了適用的網(wǎng)絡(luò)安全行業(yè)標準、指南和實踐，以便使從管理層到實施/運營層的利益相關(guān)者，能夠就網(wǎng)絡(luò)安全活動和效能進行便捷有效的溝通和交流。

圖3 CSF Core的內(nèi)容組織形式

框架核心包含了六個功能（Function）：治理、識別、保護、檢測、響應(yīng)和恢復(fù)，提供了高層戰(zhàn)略視角的網(wǎng)絡(luò)安全風(fēng)險管理生命周期。每個功能又被細分為不同類別（Categories）和子類別（Subcategories），并提供了相應(yīng)的參考信息，如每個子類別適用的現(xiàn)行標準、指南和實踐。參考信息用于說明實現(xiàn)某個子類功能的可行方法，或者是將指南或要求與某個子類功能對齊。這些內(nèi)容來自當(dāng)前標準、指南和實踐的特定章節(jié)，可以是適用于各領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施的通用內(nèi)容，也可以是只針對某個特定行業(yè)領(lǐng)域的內(nèi)容。需要注意的是，參考信息僅具有示范意義，并非全面詳盡的指南手冊，主要引用了框架開發(fā)過程中參考的行業(yè)指南，或者是合作伙伴在實施框架時使用的網(wǎng)絡(luò)安全工具和資源。

2．配置（Profile）

通常，組織并不需要使用CSF核心中所有類別（含子類別）的功能，實際上可能也不存在需要全部功能類別的組織。因此，CSF的功能類別本質(zhì)上是一個可選清單，組織需要選擇使用與其自身運營和風(fēng)險狀況最相關(guān)的功能。框架配置是組織基于業(yè)務(wù)需求從框架類別和子類別中選擇出來的成效清單。該配置文件實際上描述了在特定的實施場景中，企業(yè)組織將標準、指南和實踐與框架核心對齊的過程。配置文件可用于組織內(nèi)部或組織之間進行溝通，也可用于通過比較“當(dāng)前”配置文件（即現(xiàn)狀）與“目標”配置文件（即將來），來識別改進網(wǎng)絡(luò)安全狀況的機會。為了制定配置文件，組織可以審查所有的類別和子類別，并基于業(yè)務(wù)/使命驅(qū)動因素和風(fēng)險評估，確定哪些成效最為重要。

3．層級（Tier）

框架層級用來指導(dǎo)組織如何實施CSF Core，從實施角度提供了組織使用CSF框架的背景，組織看待網(wǎng)絡(luò)安全風(fēng)險的觀點，以及管理風(fēng)險的過程。CSF層級定義了4個層級及相應(yīng)的特征，來刻畫描述組織網(wǎng)絡(luò)安全實踐的范圍（包括風(fēng)險治理和風(fēng)險管理）和層次（包括部分、風(fēng)險知悉、可重復(fù)和自適應(yīng)）。

圖4 NIST CSF的四個實施層

上述4個層級描述了網(wǎng)絡(luò)安全風(fēng)險管理實踐的復(fù)雜程度，有助于確定網(wǎng)絡(luò)安全風(fēng)險管理受業(yè)務(wù)需求影響的程度，并集成到組織整體的風(fēng)險管理實踐中。NIST認為，雖然鼓勵處于第1層級的組織向第2層級或更高層級邁進，但層級并不代表成熟度水平，而是旨在支持組織對網(wǎng)絡(luò)安全風(fēng)險管理進行決策，幫助組織識別不同網(wǎng)絡(luò)安全活動的優(yōu)先級和緊迫性，以獲得更有效的外部資源。如果成本效益分析（CBA）表明，組織降低網(wǎng)絡(luò)安全風(fēng)險是可行的且經(jīng)濟有效時，才鼓勵組織進入更高的層級。當(dāng)組織達成了目標配置文件中所描述的成效，它就成功實施了CSF。當(dāng)然，在實施CSF過程中，組織對層級的選擇和設(shè)定也會影響框架配置文件。

三

使用與效益

CSF提供了管理網(wǎng)絡(luò)安全風(fēng)險的通用語言和系統(tǒng)方法。框架核心包括納入網(wǎng)絡(luò)安全計劃的活動，可以根據(jù)任何組織的需求進行定制。創(chuàng)建框架配置文件的過程為組織提供了一個機會來確定可以加強現(xiàn)有流程的領(lǐng)域，或者可以實施新流程的領(lǐng)域。框架實施層通過層級指導(dǎo)組織考慮其網(wǎng)絡(luò)安全規(guī)劃的安全能力級別，同時用作討論任務(wù)優(yōu)先級、風(fēng)險偏好和預(yù)算的溝通工具。CSF有助于指導(dǎo)組織各個級別的風(fēng)險管理活動的關(guān)鍵決策點，從高級管理人員到業(yè)務(wù)和流程級別，以及實施和運營。雖然CSF在設(shè)計時重點考慮了關(guān)鍵基礎(chǔ)設(shè)施，但它的用途極其廣泛，適用于各種規(guī)模、行業(yè)和成熟度的組織。通過內(nèi)在的定制機制（層、配置文件和核心均可修改），可以定制框架以供各種類型的組織使用。CSF是結(jié)果驅(qū)動型的框架，并且不強制要求組織必須如何實現(xiàn)這些功能，具有不同預(yù)算的小型組織或大公司都能夠以適合自己的方式實現(xiàn)CSF定義的安全成效，為實施網(wǎng)絡(luò)安全計劃的組織提供了充分的靈活性和擴展性。

以上是“NIST網(wǎng)絡(luò)安全框架”權(quán)說系列的首篇文章，本文主要概括了NIST CSF的主體內(nèi)容和組成。本系列論文主要圍繞CSF 2.0，從框架概覽、核心功能、配置分層3個方面展開討論，以幫助使用者更好地理解、利用該工具進行網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃、設(shè)計、開發(fā)和運營。

審核編輯 黃宇