信息來源：FreeBuf 

NIST網(wǎng)絡(luò)安全框架，是美國國家標(biāo)準(zhǔn)與技術(shù)研究所發(fā)布的一份指南，旨在指導(dǎo)各種企業(yè)和組織重視信息安全。該框架最早在2014年2月頒布，在今年的1.1新版本中也新增了內(nèi)容。該框架最早應(yīng)用在美國國家基礎(chǔ)安全設(shè)施機(jī)構(gòu)，如電力機(jī)構(gòu)等等。由于它提供了一個(gè)通用性的指導(dǎo)，因此能夠適應(yīng)并應(yīng)用在不同需求的企業(yè)中，現(xiàn)在已得到在美國國內(nèi)及世界各地的廣泛應(yīng)用。

該框架使企業(yè)和組織有可能應(yīng)用風(fēng)險(xiǎn)管理的原則和最佳實(shí)踐案例，來提升關(guān)鍵基礎(chǔ)設(shè)施的安全性和彈性。它為各種組織和機(jī)構(gòu)提供已實(shí)施在行業(yè)中的最佳案例。盡管這個(gè)框架是自愿性的，許多組織和機(jī)構(gòu)都已采用這種框架。

這份視頻展示了為什么各種規(guī)模的企業(yè)和組織都可以應(yīng)用NIST框架來管理他們企業(yè)在信息安全層面的風(fēng)險(xiǎn)。Baldrige Cybersecurity Excellence Builder，一款評(píng)估工具，還能幫助企業(yè)衡量使用該框架的效益。

最新特點(diǎn)

當(dāng)前修改版本中的一些引人注目的特征包括：

第一，檢測(cè)的企業(yè)或組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)系統(tǒng)的作用及完善程度。

第二，它還能夠根據(jù)所檢測(cè)的指標(biāo)，給出相關(guān)聯(lián)的商業(yè)目標(biāo)及結(jié)果，指出所需要付出的努力及復(fù)雜度。這意味著新版本中同時(shí)能夠衡量?jī)蓚€(gè)問題，這個(gè)企業(yè)或組織如何降低業(yè)務(wù)風(fēng)險(xiǎn)，而良好的網(wǎng)絡(luò)安全能夠?yàn)樗鼛矶嗌僬媸找?，如因此獲得了多少新用戶，帶來了多少收益。

第三，訪問控制類別在框架內(nèi)發(fā)生了變化，它被重命名為身份管理和訪問控制。此次更名確保了從創(chuàng)建時(shí)間到停用的整個(gè)過程中，對(duì)于用戶身份和憑據(jù)的管理。例如，確保用戶S的身份；證實(shí)這真的S在使用證書；確保S離開公司時(shí)，憑證被更改或停用。這種變化是積極的一步，同時(shí)控制了訪問的資源對(duì)象并確保了對(duì)象的身份。 

框架內(nèi)容組成

本框架基于管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，由三個(gè)部分組成：框架核心（Core），框架實(shí)現(xiàn)層級(jí)（Implementation Tiers）和框架輪廓（Profiles）?？蚣芙M件的每一部分都強(qiáng)調(diào)了企業(yè)自身及網(wǎng)絡(luò)安全活動(dòng)之間的連接。

其中，框架的核心組成部分具有五個(gè)并發(fā)的功能，包括識(shí)別，保護(hù)，檢測(cè)，響應(yīng)和恢復(fù)。這些功能從一個(gè)企業(yè)或者組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的整個(gè)生命周期的角度，提出了高層次戰(zhàn)略性的觀點(diǎn)。

而框架實(shí)現(xiàn)層級(jí)則讓這些企業(yè)或組織了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的背景，以及以何種流程進(jìn)行風(fēng)險(xiǎn)管理。實(shí)現(xiàn)層級(jí)描述了大量實(shí)踐中表現(xiàn)出的框架特征，如風(fēng)險(xiǎn)和危險(xiǎn)感知，可重復(fù)性和可適應(yīng)性。

框架執(zhí)行層可以被定義為，框架核心在特定實(shí)施場(chǎng)景中的模式、指導(dǎo)及實(shí)踐的統(tǒng)一。它會(huì)通過將當(dāng)前實(shí)際的狀況（”how it is”）與理想目標(biāo)（”how it will be”）進(jìn)行比較，識(shí)別能夠改善網(wǎng)絡(luò)安全狀態(tài)的關(guān)鍵點(diǎn)。

框架優(yōu)勢(shì)

此框架能靈活應(yīng)用到各行各業(yè)，它可以檢測(cè)并響應(yīng)新興市場(chǎng)中出現(xiàn)的新威脅，包括勒索軟件，IoT入侵和其他新型惡意軟件。由于風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的過程，包括了風(fēng)險(xiǎn)識(shí)別，風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)風(fēng)險(xiǎn)的措施，該框架建議企業(yè)必須了解風(fēng)險(xiǎn)事件發(fā)生的可能性及其發(fā)生后的影響，以此實(shí)現(xiàn)更好地管理風(fēng)險(xiǎn)的目標(biāo)。這樣，企業(yè)能夠確定可接受的服務(wù)風(fēng)險(xiǎn)級(jí)別，即表現(xiàn)為企業(yè)風(fēng)險(xiǎn)承受能力。理解自己的風(fēng)險(xiǎn)承受能力讓企業(yè)提高網(wǎng)絡(luò)安全措施的優(yōu)先級(jí)。該框架對(duì)不同行業(yè)表現(xiàn)出適應(yīng)性的特點(diǎn)是極為重要的，企業(yè)需要對(duì)各種風(fēng)險(xiǎn)及時(shí)響應(yīng)。

我們?cè)诖舜胃轮懈纳撇⒓訌?qiáng)了一些表述來使企業(yè)及組織應(yīng)用時(shí)更方便使用這份框架，與初始版本的框架保持兼容，依舊保持了框架的自愿性和靈活適應(yīng)性?！狽IST網(wǎng)絡(luò)安全框架項(xiàng)目經(jīng)理Matt Barrett

隨著云計(jì)算，大數(shù)據(jù)和分析技術(shù)達(dá)到新的水平，安全問題在醫(yī)療保健，電網(wǎng)，物聯(lián)網(wǎng)和商業(yè)的所導(dǎo)致的可能危害也在與日俱增。此次框架分層全面闡述了信息安全在企業(yè)中的實(shí)踐，其推薦的實(shí)踐方法，能夠有效幫助企業(yè)和組織能夠有效隔離威脅，保護(hù)企業(yè)資產(chǎn)。

*參考來源：securityaffairs，nist，F(xiàn)B小編Elaine編譯，轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM