企业如何应对安全威胁？看看更新的NIST网络安全框架

NIST网络安全框架，是美国国家标准与技术研究所发布的一份指南，旨在指导各种企业和组织重视信息安全。该框架最早在2014年2月颁布，在今年的1.1新版本中也新增了内容。该框架最早应用在美国国家基础安全设施机构，如电力机构等等。由于它提供了一个通用性的指导，因此能够适应并应用在不同需求的企业中，现在已得到在美国国内及世界各地的广泛应用。

该框架使企业和组织有可能应用风险管理的原则和最佳实践案例，来提升关键基础设施的安全性和弹性。它为各种组织和机构提供已实施在行业中的最佳案例。 尽管这个框架是自愿性的，许多组织和机构都已采用这种框架。

这份视频展示了为什么各种规模的企业和组织都可以应用NIST框架来管理他们企业在信息安全层面的风险。Baldrige Cybersecurity Excellence Builder，一款评估工具，还能帮助企业衡量使用该框架的效益。

最新特点

当前修改版本中的一些引人注目的特征包括：

第一，检测的企业或组织的网络风险系统的作用及完善程度。

第二，它还能够根据所检测的指标，给出相关联的商业目标及结果，指出所需要付出的努力及复杂度。这意味着新版本中同时能够衡量两个问题，这个企业或组织如何降低业务风险，而良好的网络安全能够为它带来多少正面收益，如因此获得了多少新用户，带来了多少收益。

第三，访问控制类别在框架内发生了变化，它被重命名为身份管理和访问控制。此次更名确保了从创建时间到停用的整个过程中，对于用户身份和凭据的管理。例如，确保用户S的身份；证实这真的S在使用证书；确保S离开公司时，凭证被更改或停用。这种变化是积极的一步，同时控制了访问的资源对象并确保了对象的身份。

框架内容组成

本框架基于管理网络安全风险，由三个部分组成：框架核心（Core），框架实现层级（Implementation Tiers）和框架轮廓（Profiles）。框架组件的每一部分都强调了企业自身及网络安全活动之间的连接。

其中，框架的核心组成部分具有五个并发的功能，包括识别，保护，检测，响应和恢复。这些功能从一个企业或者组织的网络安全风险管理的整个生命周期的角度，提出了高层次战略性的观点。

而 框架实现层级 则让这些企业或组织了解网络安全风险的背景，以及以何种流程进行风险管理。实现层级描述了大量实践中表现出的框架特征，如风险和危险感知，可重复性和可适应性。

框架执行层可以被定义为，框架核心在特定实施场景中的模式、指导及实践的统一。它会通过将当前实际的状况（”how it is”）与理想目标（”how it will be”）进行比较，识别能够改善网络安全状态的关键点。

框架优势

此框架能灵活应用到各行各业，它可以检测并响应新兴市场中出现的新威胁，包括勒索软件，IoT入侵和其他新型恶意软件。由于风险管理是一个持续的过程，包括了风险识别，风险评估和应对风险的措施，该框架建议企业必须了解风险事件发生的可能性及其发生后的影响，以此实现更好地管理风险的目标。这样，企业能够确定可接受的服务风险级别，即表现为企业风险承受能力。理解自己的风险承受能力让企业提高网络安全措施的优先级。该框架对不同行业表现出适应性的特点是极为重要的，企业需要对各种风险及时响应。

我们在此次更新中改善并加强了一些表述来使企业及组织应用时更方便使用这份框架，与初始版本的框架保持兼容，依旧保持了框架的自愿性和灵活适应性。——NIST网络安全框架项目经理Matt Barrett

随着云计算，大数据和分析技术达到新的水平，安全问题在医疗保健，电网，物联网和商业的所导致的可能危害也在与日俱增。此次框架分层全面阐述了信息安全在企业中的实践，其推荐的实践方法，能够有效帮助企业和组织能够有效隔离威胁，保护企业资产。

* 参考来源： securityaffairs ， nist ，FB小编Elaine编译，转载请注明来自FreeBuf.COM