什么是 NIST 网络安全框架？

美国国家标准技术研究院 (NIST) 是一个非监管机构，旨在通过推进测量科学、标准和技术来促进创新。 NIST 网络安全框架 (NIST CSF) 由标准、指南和最佳实践组成，可帮助组织改善网络安全风险管理。 

NIST CSF 的设计灵活，可与各行各业任何组织中的现有安全流程相集成。 这是一个良好的开端，由此几乎可在美国的任何私营机构中实施信息安全和网络安全风险管理。 

2013 年 2 月 12 日，美国发布第 13636 号行政命令 (EO) —“改善关键基础设施网络安全”。 NIST 自此开始与美国私营部门合作，旨在“确定现有的自愿共识标准和行业最佳实践，以将其构建成网络安全框架”。这次合作带来了 NIST 网络安全框架 V1.0。

2014 年的《网络安全增强法案》(CEA) 扩大了 NIST 在制定网络安全框架方面的工作范围。 如今，NIST CSF 仍然是美国所有行业中采用最广泛的安全框架之一。

NIST 网络安全框架包括“功能”、“类别”、“子类”和“参考资料”。 

功能概述了最佳实践的安全协议。 这些功能并非程序性步骤，而是“同时且持续执行，形成一种解决动态网络安全风险的运营文化”。 类别和子类为组织内的特定部门或流程提供更具体的行动计划。 

以下为 NIST 功能和类别的示例：

• 识别：为了防范网络攻击，网络安全团队需要深入了解组织中最重要的资产和资源。 识别功能包括资产管理、业务环境、治理、风险评估、风险管理策略和供应链风险管理等类别。
  
  
• 保护：保护功能涵盖了许多技术和物理安全控制举措，用于开发和实施适当的保障措施和保护关键基础架构。  这些类别包括身份管理和访问控制、意识和训练、数据安全、信息保护流程和程序、维护和保护技术。
  
  
• 检测：检测功能实施了向组织发出网络攻击警报的措施。 检测类别包括异常和事件、安全持续监视和检测过程。
  
  
• 响应：响应功能类别可确保对网络攻击和其他网络安全事件做出适当的响应。 具体类别包括响应规划、通信、分析、缓解和改进。
  
  
• 恢复：万一出现网络攻击、安全漏洞或其他网络安全事件，恢复活动会实施网络安全永续计划，确保业务连续性。  恢复功能包括恢复计划改进和通信。

NIST CSF 的“参考资料”可在功能、类别、子类和其他框架的特定安全控制措施之间建立直接关联。 这些框架包括互联网安全中心 (CIS) 控制®、COBIT 5、国际自动化学会 (ISA) 62443-2-1:2009、ISA 62443-3-3:2013、国际标准化组织和国际电工委员会 27001:2013 以及 NIST SP 800-53 Rev. 4。

NIST CSF 既不指导如何清点物理设备和系统，也不指导如何清点软件平台和应用，它只是提供需要完成的任务的清单。 组织可以自行选择方法来执行清单。 如果组织需要进一步的指导，它可以参考其他补充标准中相关控制的参考资料。 CSF 中有大量适用于网络安全风险管理需求的工具，供组织自由选择。

为了帮助私营机构衡量 NIST 网络安全框架实施进展情况，该框架确定了四个实现层：

• 第 1 层 – 部分：组织熟悉 NIST CSF，并且可能已在基础架构的某些区域实施了某些方面的控制。 这些组织的网络安全活动实施与协议一直是被动而非有计划的。  他们对网络安全风险的认识有限，缺乏实现信息安全的流程和资源。
  
  
• 第 2 层 — 风险知晓：这类组织更加了解网络安全风险，并在非正式的基础上共享信息。 它缺乏有计划、可重复、主动的、组织范围的网络安全风险管理流程。   
  
  
• 第 3 层 — 可重复：组织及其高级管理人员意识到网络安全风险。 他们已经在组织内实施了可重复的网络安全风险管理计划。  网络安全团队制定了行动计划，以监控和有效应对网络攻击。
  
  
• 第 4 层 – 自适应：组织目前具有网络安全永续性，并根据经验教训和预测性指标来防止网络攻击。 网络安全团队不断改进和推进组织的网络安全技术和实践，并快速有效地适应威胁的变化。 采用企业级信息安全风险管理方法，认清决策、策略、程序和流程中存在的风险。  适应性强的组织将网络安全风险管理纳入预算决策和组织文化范畴。 

NIST 网络安全框架围绕如何制定或改进信息安全风险管理计划提供了分步指南：

1. 划分优先级和范围： 清楚了解项目范围，并确定优先事项。 明确高级业务或任务目标和业务需求，并确定组织的风险承受能力。
   
   
2. 适应：评估组织的资产和系统，并确定组织可能会接触到的适用法规、风险方法和威胁。
   
   
3. 创建当前配置文件：当前配置文件是组织当前如何管理风险的快照，由 CSF 的类别和子类定义。 
   
   
4. 开展风险评估：评估运营环境、新出现的风险和网络安全威胁信息，确定可能影响组织的网络安全事件的发生概率和严重性。
   
   
5. 创建目标配置文件：目标配置文件代表信息安全团队的风险管理目标。
   
   
6. 确定差距、展开分析并理清重点：通过确定当前配置文件和目标配置文件之间的差距，信息安全团队可以制定行动计划，包括可衡量的里程碑事件和填补这些差距所需的资源（人员、预算和时间）。
   
   
7. 实施行动计划：实施第 6 步中定义的行动计划。