美国NIST《关键基础设施网络安全框架》解读(1)

美国国家标准与技术研究所今年2月份发布了《关键基础设施网络安全框架》,关于该框架的核心内容及个人的理解总结如下。认识不足之处欢迎多交流。

网络与信息安全方面,国外的标准、规范比国内相对完善的多,同时在做事情上也更有条理性。国内的安全行业具体技术点上的能力未必弱,但是规范体系方面确实有不少的差距

个人的看法:合规未必安全,但是合规是基础,尤其是现在大量的网络和业务在合规方面做的还远不够。在合规的基础上,再重视不同业务不同网络的特殊安全需求。合规可以解决信任的问题,信任是安全的基础,但是合规不等于就安全了。安全是一个持续的风险管理过程,不是一个点。

(一)、定位:
一般我们谈到网络安全的范围主要涉及到国家安全、关键信息基础设施安全、社会公共安全和公民个人信息安全。不同层面的安全需要不同的组织不同的方法来解决。

本标准主要针对关键基础设施安全,包括金融、电信、能源、交通等等涉及国计民生的重要行业网络和业务系统。在国内一般来说就是各大部委和央企负责的网络和业务。该框架对这些关键基础设施安全有很大参考价值。

(二)、安全框架核心结构
核心结构主要通过两个维度来进行阐述。其中纵向分为识别、保护、侦测、响应和恢复五个层面来阐述安全措施,非常类似以前谈的PDR或者PPDRR安全动态模型。横向比较容易理解功能、分类、子类等。

该框架充分参考了已有的规范和标准,文中专门列举了常见的“合规”:CCS、 COBIT 5、ISA 62443-3-3:2013、ISO/IEC 27001:2013、NIST SP 800-53 Rev. 4 CM-8等。

该框架还有详细的附录,由于太长,一些关键性表格可参考原文,就没放在这里。

(三)、框架实现层
针对一个组织如何看待网络安全风险,以及如何进行风险管理,划分了四个阶段。分作了Partial、Risk Informed、Repeatable、Adaptive。不同阶段主要通过风险管理过程、完整的风险管理程序、外部参与等三部分进行详细描述。


关于自适应的安全管理,是谈安全趋势时候大量谈到的一点。
自适应的安全管理主要特征:网络安全风险管理是组织文化的一部分,企业需要通过外部的安全情报或威胁情报进行精确的、适时的信息共享,安全情报在攻击链的早期阶段获得,并应用来解决潜在的网络安全事件。这里主要谈的是情报共享、态势感知、协作等等。

关于自适应的安全在nuke同学的文章《Gartner 2014年信息安全趋势与总结》专门谈到了,此处先引用两页ppt。
2014数字安全的趋势里边谈到了“自适应的访问控制”。


主要趋势:

  • 软件定义安全
  • 大数据安全分析
  • 基于情报、情境感知的安全控制
  • 应用隔离
  • 终端威胁检测和相应
  • 网站保护
  • 自适应的访问控制
  • 物联网安全

使用自适应的访问管理来防护你的企业。使用各种可用的认证数据和上下文,以及“手头”数据来进行访问管理。
(四)、框架执行

核心是下面的图,分作三层结构来谈。
相对应决策层、业务/流程层、执行层。

  • 其中决策层主要考虑任务的优先级,可用的资源,和整体风险承受能力等。
  • 业务层主要考虑关键基础设施的风险管理、预算分配等,并制定安全规划。
  • 执行层:项目列表的执行,确保关键基础设施的安全。

NIST:企业中的安全信息与决策流模型

《网络安全架构》在发布完后,同时公布了后续的实施路线(roadmap)、后续的重点关注内容(比如隐私、比如安全情报共享、比如协作)等后面再找时间放到美国NIST《关键基础设施网络安全框架》解读(2)中说明。

李宗洋的一亩园

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Bitnami