Friday, September 21, 2018

美国NIST《关键基础设施网络安全框架》version 1 解读

2014年11月23日

美国国家标准与技术研究所今年2月份发布了《关键基础设施网络安全框架》,关于该框架的核心内容及个人的理解总结如下。认识不足之处欢迎多交流。
网络与信息安全方面,国外的标准、规范比国内相对完善的多,同时在做事情上也更有条理性。国内的安全行业具体技术点上的能力未必弱,但是规范体系方面确实有不少的差距
个人的看法:合规未必安全,但是合规是基础,尤其是现在大量的网络和业务在合规方面做的还远不够。在合规的基础上,再重视不同业务不同网络的特殊安全需求。合规可以解决信任的问题,信任是安全的基础,但是合规不等于就安全了。安全是一个持续的风险管理过程,不是一个点。
(一)、定位:
一般我们谈到网络安全的范围主要涉及到国家安全关键信息基础设施安全社会公共安全公民个人信息安全。不同层面的安全需要不同的组织不同的方法来解决。

本标准主要针对关键基础设施安全,包括金融、电信、能源、交通等等涉及国计民生的重要行业网络和业务系统。在国内一般来说就是各大部委和央企负责的网络和业务。该框架对这些关键基础设施安全有很大参考价值。
(二)、安全框架核心结构
核心结构主要通过两个维度来进行阐述。其中纵向分为识别、保护、侦测、响应和恢复五个层面来阐述安全措施,非常类似以前谈的PDR或者PPDRR安全动态模型。横向比较容易理解功能、分类、子类等。
该框架充分参考了已有的规范和标准,文中专门列举了常见的“合规”:CCS、 COBIT 5、ISA 62443-3-3:2013、ISO/IEC 27001:2013、NIST SP 800-53 Rev. 4 CM-8等。
该框架还有详细的附录,由于太长,一些关键性表格可参考原文,就没放在这里。

(三)、框架实现层
针对一个组织如何看待网络安全风险,以及如何进行风险管理,划分了四个阶段。分作了Partial、Risk Informed、Repeatable、Adaptive。不同阶段主要通过风险管理过程、完整的风险管理程序、外部参与等三部分进行详细描述。

关于自适应的安全管理,是谈安全趋势时候大量谈到的一点。
自适应的安全管理主要特征:网络安全风险管理是组织文化的一部分,企业需要通过外部的安全情报或威胁情报进行精确的、适时的信息共享,安全情报在攻击链的早期阶段获得,并应用来解决潜在的网络安全事件。这里主要谈的是情报共享、态势感知、协作等等。
关于自适应的安全在nuke同学的文章《Gartner 2014年信息安全趋势与总结》专门谈到了,此处先引用两页ppt。
2014数字安全的趋势里边谈到了“自适应的访问控制”。

主要趋势:
  • 软件定义安全
  • 大数据安全分析
  • 基于情报、情境感知的安全控制
  • 应用隔离
  • 终端威胁检测和相应
  • 网站保护
  • 自适应的访问控制
  • 物联网安全
使用自适应的访问管理来防护你的企业。使用各种可用的认证数据和上下文,以及“手头”数据来进行访问管理。

(四)、框架执行
核心是下面的图,分作三层结构来谈。
相对应决策层、业务/流程层、执行层。
  • 其中决策层主要考虑任务的优先级,可用的资源,和整体风险承受能力等。
  • 业务层主要考虑关键基础设施的风险管理、预算分配等,并制定安全规划。
  • 执行层:项目列表的执行,确保关键基础设施的安全。
NIST:企业中的安全信息与决策流模型
《网络安全架构》在发布完后,同时公布了后续的实施路线(roadmap)、后续的重点关注内容(比如隐私、比如安全情报共享、比如协作)等后面再找时间放到美国NIST《关键基础设施网络安全框架》解读(2)中说明。

No comments:

YouTube Channel