行業(yè)動(dòng)態(tài)

企業(yè)如何應(yīng)對(duì)安全威脅?看看更新的NIST網(wǎng)絡(luò)安全框架

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-04-27    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf 

NIST網(wǎng)絡(luò)安全框架,是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所發(fā)布的一份指南,旨在指導(dǎo)各種企業(yè)和組織重視信息安全。該框架最早在2014年2月頒布,在今年的1.1新版本中也新增了內(nèi)容。該框架最早應(yīng)用在美國(guó)國(guó)家基礎(chǔ)安全設(shè)施機(jī)構(gòu),如電力機(jī)構(gòu)等等。由于它提供了一個(gè)通用性的指導(dǎo),因此能夠適應(yīng)并應(yīng)用在不同需求的企業(yè)中,現(xiàn)在已得到在美國(guó)國(guó)內(nèi)及世界各地的廣泛應(yīng)用。

該框架使企業(yè)和組織有可能應(yīng)用風(fēng)險(xiǎn)管理的原則和最佳實(shí)踐案例,來(lái)提升關(guān)鍵基礎(chǔ)設(shè)施的安全性和彈性。它為各種組織和機(jī)構(gòu)提供已實(shí)施在行業(yè)中的最佳案例。盡管這個(gè)框架是自愿性的,許多組織和機(jī)構(gòu)都已采用這種框架。

這份視頻展示了為什么各種規(guī)模的企業(yè)和組織都可以應(yīng)用NIST框架來(lái)管理他們企業(yè)在信息安全層面的風(fēng)險(xiǎn)。Baldrige Cybersecurity Excellence Builder,一款評(píng)估工具,還能幫助企業(yè)衡量使用該框架的效益。

最新特點(diǎn)

當(dāng)前修改版本中的一些引人注目的特征包括:

第一,檢測(cè)的企業(yè)或組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)系統(tǒng)的作用及完善程度。

第二,它還能夠根據(jù)所檢測(cè)的指標(biāo),給出相關(guān)聯(lián)的商業(yè)目標(biāo)及結(jié)果,指出所需要付出的努力及復(fù)雜度。這意味著新版本中同時(shí)能夠衡量?jī)蓚€(gè)問題,這個(gè)企業(yè)或組織如何降低業(yè)務(wù)風(fēng)險(xiǎn),而良好的網(wǎng)絡(luò)安全能夠?yàn)樗鼛?lái)多少正面收益,如因此獲得了多少新用戶,帶來(lái)了多少收益。

第三,訪問控制類別在框架內(nèi)發(fā)生了變化,它被重命名為身份管理和訪問控制。此次更名確保了從創(chuàng)建時(shí)間到停用的整個(gè)過程中,對(duì)于用戶身份和憑據(jù)的管理。例如,確保用戶S的身份;證實(shí)這真的S在使用證書;確保S離開公司時(shí),憑證被更改或停用。這種變化是積極的一步,同時(shí)控制了訪問的資源對(duì)象并確保了對(duì)象的身份。 

框架內(nèi)容組成

本框架基于管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn),由三個(gè)部分組成:框架核心(Core),框架實(shí)現(xiàn)層級(jí)(Implementation Tiers)和框架輪廓(Profiles)??蚣芙M件的每一部分都強(qiáng)調(diào)了企業(yè)自身及網(wǎng)絡(luò)安全活動(dòng)之間的連接。

其中,框架的核心組成部分具有五個(gè)并發(fā)的功能,包括識(shí)別,保護(hù),檢測(cè),響應(yīng)和恢復(fù)。這些功能從一個(gè)企業(yè)或者組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的整個(gè)生命周期的角度,提出了高層次戰(zhàn)略性的觀點(diǎn)。

NIST-CyberSecurity-Framework.png

框架實(shí)現(xiàn)層級(jí)則讓這些企業(yè)或組織了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的背景,以及以何種流程進(jìn)行風(fēng)險(xiǎn)管理。實(shí)現(xiàn)層級(jí)描述了大量實(shí)踐中表現(xiàn)出的框架特征,如風(fēng)險(xiǎn)和危險(xiǎn)感知,可重復(fù)性和可適應(yīng)性。

框架執(zhí)行層可以被定義為,框架核心在特定實(shí)施場(chǎng)景中的模式、指導(dǎo)及實(shí)踐的統(tǒng)一。它會(huì)通過將當(dāng)前實(shí)際的狀況(”how it is”)與理想目標(biāo)(”how it will be”)進(jìn)行比較,識(shí)別能夠改善網(wǎng)絡(luò)安全狀態(tài)的關(guān)鍵點(diǎn)。

框架優(yōu)勢(shì)

此框架能靈活應(yīng)用到各行各業(yè),它可以檢測(cè)并響應(yīng)新興市場(chǎng)中出現(xiàn)的新威脅,包括勒索軟件,IoT入侵和其他新型惡意軟件。由于風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的過程,包括了風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)風(fēng)險(xiǎn)的措施,該框架建議企業(yè)必須了解風(fēng)險(xiǎn)事件發(fā)生的可能性及其發(fā)生后的影響,以此實(shí)現(xiàn)更好地管理風(fēng)險(xiǎn)的目標(biāo)。這樣,企業(yè)能夠確定可接受的服務(wù)風(fēng)險(xiǎn)級(jí)別,即表現(xiàn)為企業(yè)風(fēng)險(xiǎn)承受能力。理解自己的風(fēng)險(xiǎn)承受能力讓企業(yè)提高網(wǎng)絡(luò)安全措施的優(yōu)先級(jí)。該框架對(duì)不同行業(yè)表現(xiàn)出適應(yīng)性的特點(diǎn)是極為重要的,企業(yè)需要對(duì)各種風(fēng)險(xiǎn)及時(shí)響應(yīng)。

我們?cè)诖舜胃轮懈纳撇⒓訌?qiáng)了一些表述來(lái)使企業(yè)及組織應(yīng)用時(shí)更方便使用這份框架,與初始版本的框架保持兼容,依舊保持了框架的自愿性和靈活適應(yīng)性?!狽IST網(wǎng)絡(luò)安全框架項(xiàng)目經(jīng)理Matt Barrett

隨著云計(jì)算,大數(shù)據(jù)和分析技術(shù)達(dá)到新的水平,安全問題在醫(yī)療保健,電網(wǎng),物聯(lián)網(wǎng)和商業(yè)的所導(dǎo)致的可能危害也在與日俱增。此次框架分層全面闡述了信息安全在企業(yè)中的實(shí)踐,其推薦的實(shí)踐方法,能夠有效幫助企業(yè)和組織能夠有效隔離威脅,保護(hù)企業(yè)資產(chǎn)。

*參考來(lái)源:securityaffairsnist,F(xiàn)B小編Elaine編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM

 
 

上一篇:2017年04月26日 聚銘安全速遞

下一篇:安全公司釋出工具遠(yuǎn)程移除 NSA 后門