搜索
查看
编辑修改
首页
UNITY
NODEJS
PYTHON
AI
GIT
PHP
GO
CEF3
JAVA
HTML
CSS
搜索
菜鸟追梦旅行
这个屌丝很懒,什么也没留下!
关注作者
热门标签
jquery
HTML
CSS
PHP
ASP
PYTHON
GO
AI
C
C++
C#
PHOTOSHOP
UNITY
iOS
android
vue
xml
爬虫
SEO
LINUX
WINDOWS
JAVA
MFC
CEF3
CAD
NODEJS
GIT
Pyppeteer
article
热门文章
1
Redis数据结构—跳跃表 skiplist
2
区块链+跨境支付的应用及案例分析_区块链案例分析及解析
3
GB-T 43698-2024 网络安全技术 软件供应链安全要求_43698 2024
4
Windows server 2016配置本地安全策略_winserver本地安全策略实验
5
SQL Server 2019安装详细教程(图文详解,非常靠谱)_sql2019安装教程图解
6
阿里Java后端面经【2021-8月份-记录牛客】_springboot 同一个消费组,不同消费者未消费
7
数据结构与算法 _ 基本概念_算法,数据结构,程序的概念是什么
8
gitlab突然提示我要输入密码了。_git@gitlab需要密码
9
shardingsphere5.1.1分表分库yaml配置 自定义策略_table-strategy
10
高防服务器:保卫您的在线存在_高防服务器服务
当前位置:
article
> 正文
专家解读 | NIST网络安全框架(3):层级配置
作者:菜鸟追梦旅行 | 2024-06-15 20:15:13
赞
踩
专家解读 | NIST网络安全框架(3):层级配置
NIST CSF在核心部分提供了六个类别的关键功能和子功能,并围绕CSF的使用提供了层级(Tier)和配置(Profile)两种工具,使不同组织和用户更方便有效地使用CSF,本文将深入探讨CSF层级和配置的主要内容,及其使用方法。
关键字:网络安全框架;CSF层级;CSF配置
一
CSF层级
在组织的系统性风险治理过程中,CSF框架可以用于识别、评估和管理网络安全风险。结合现有的管理流程,组织可以利用CSF分析确定当前网络安全风险管理方法中存在的差距,并制定改进路线图。
CSF通过“(实施)层级”为利益相关者提供了组织网络安全计划的相关背景信息。NIST 明确指出,CSF层级并非成熟度模型,而是一种指导性的方法,用于阐明网络安全风险管理和企业运营风险管理之间的关系,简而言之,层级提供了一条清晰的路径,将网络安全风险纳入企业的整体组织风险中,同时作为评估当前网络安全风险管理实践的基准,帮助组织制定改善其网络安全状况的计划。
1.层级定义
由于不同组织具有不同的风险、不同的风险承受能力以及不同的威胁和漏洞,因此他们对CSF的实施方式也会存在区别。例如,大型企业可能已经实施了CSF核心中的大部分安全措施,而小型组织可能因为只拥有较少的数据泄露途径,其数据安全流程可能仅处于起步阶段。
为了满足不同组织的不同安全要求,实施层以等级式的描述方式,将企业网络安全风险管理实践映射至CSF框架,用来描述企业实践与NIST CSF的一致程度。
图1 NIST CSF的四个实施层级
这些层级可帮助组织考虑其网络安全计划的适当严格程度、如何有效地将网络安全风险决策整合到更广泛的风险决策中,以及企业从第三方共享和接收网络安全信息的程度。
NIST明确指出这些级别不是成熟度级别。级别越高,企业的风险管理实践就越符合NIST CSF的规定。每个实施层都分为两个个主要组成部分:风险治理实践(治理)和风险管理实践(识别、保护、检测、响应和恢复)。
2.层级选择
企业组织的领导层负责选择在该组织在网络安全风险治理和管理中应达到的CSF层级。选择层级时,一般考虑如下原则:
●
在整体层级、功能或类别层级进行选择,比在子类别层级进行选择,可以更好地了解组织当前的网络安全风险管理实践。
● 如果组织只想关注CSF功能的子集,可以使用两个层级(治理或管理)组件之一。例如,如果您的范围仅限于治理,则可以省略网络安全风险管理描述。在选择层级时,考虑组织的以下特征和因素:
当前的风险管理实践;
威胁环境;
法律和监管要求;
信息共享实践;
业务和任务目标;
供应链要求;
组织的约束,包括资源。
● 确保所选择的层级有助于实现组织目标,可行实施,并将网络安全风险降低到组织可接受的水平,以保护关键资产和资源。
● 需要时鼓励向更高层级发展,以解决风险或法规要求。
二
CSF配置
功能、类别和子类别与组织的业务需求、风险承受能力和资源的一致性。配置文件使组织能够建立一个降低网络安全风险的路线图,该路线图与组织和部门目标保持一致,考虑法律/监管要求和行业最佳实践,并反映风险管理优先事项。考虑到许多组织的复杂性,他们可能会选择拥有多个配置文件,与特定组件保持一致并认识到他们的个人需求。框架配置文件可用于描述特定网络安全活动的当前状态或期望的目标状态。
组织的CSF配置可以分为:
● 当前配置:指定了组织当前实现的一组CSF成效,并描述了如何实现每个功能。
● 目标配置:指定了为实现组织的网络安全风险管理目标,而优先考虑的期望 CSF 成效。目标配置需要考虑组织网络安全态势的预期变化,例如新要求、新技术的采用情况,以及威胁情报的趋势。
CSF 2.0 描述了一个用于创建和使用组织概况的五步流程。更具体地说,该流程将一个目标配置(愿景)与一个当前配置(已评估)进行比较。然后,进行差距分析,并制定和实施行动计划。该流程自然地导致了目标概况的改进,以在下一次评估期间使用。
图2 NIST CSF配置的创建步骤
1.确定范围
该步骤主要记录那些用于定义概况的一些基本事实和假设,以定义其范围。一个组织可以拥有多个不同的组织配置,每个配置都具有不同的范围。例如,一个配置可以涵盖整个组织,也可以只针对组织的财务系统,或应对勒索软件威胁和处理涉及这些财务系统的勒索软件事件。
在该阶段需要回答以下问题:
● 创建组织配置的原因是什么?
● 该配置是否将覆盖整个组织?如果不是,将包括组织的哪些部门、数据资产、技术资产、产品和服务,以及/或合作伙伴和供应商?
● 配置是否将涵盖所有类型的网络安全威胁、漏洞、攻击和防御?如果不是,将包括哪些类型?
● 谁负责制定、审查和实施配置?
● 谁负责设定实现目标结果的行动规划?
2.收集信息
该阶段需要收集的信息示例包括组织政策、风险管理优先事项和资源、企业风险概况、业务影响分析(BIA)登记、组织遵循的网络安全要求和标准、实践和工具(例如,程序和安全措施)以及工作角色。
每个配置所需信息的来源主要取决于实际情况,该配置需要捕获的元素,以及所期望的详细级别。
3.创建配置
创建配置需要确定配置应包含的信息类型,以及记录所需信息。考虑当前配置的风险影响,以指导目标配置的规划和优先级确定。此外,考虑使用社区配置作为目标概况的基础。
创建配置的主要步骤包括:
● 下载最新的CSF组织配置模板表格,并根据需要进行自定义;
● 将适用的网络安全成效纳入您的配置用例,并根据需要记录理由;
● 在当前配置栏中记录当前的网络安全实践;
● 在目标配置栏中记录网络安全目标及其实现计划;
● 使用优先级字段,突出每个目标的重要性。
4.分析差距
分析当前配置和目标配置之间的差距,并制定行动计划。通过差距分析,识别当前配置和目标配置之间的差异,并制定优先行动计划(例如,风险登记、风险报告、行动计划和里程碑等),以解决这些差距。
图3 通过配置分析差距和改进
5.行动改进
该阶段主要实施行动计划,并更新组织的配置。通过遵循行动计划解决差距,并使组织朝着目标配置迈进。一般来说,行动计划可以设置总体的截止日期,也可能是持续进行的。
行动计划通过管理、程序化和技术控制的任意组合来实现。随着这些控制的实施,组织概况可以用于跟踪实施状态。随后,通过关键绩效指标(KPI)和关键风险指标(KRI)可以监测控制措施和相关风险。超出风险容忍度的网络风险通过风险评估进行观察。超出风险容忍度的风险可能会促使行动计划、组织配置的更新。差距分析也可能导致创建具有更长修复时间的差距。
三
使用方法
层级和组织配置是NIST CSF提供的关键工具,一旦组织确定了层级选择,就可以使用它们来帮助制定组织的当前和目标配置文件。例如,如果领导层确定您的组织在识别和保护功能中应该处于第二层(风险知情),那么当前配置文件将反映目前在这两个功能内,实现第二层网络安全风险管理实践的情况(如表1)。
表1针对“识别”和“保护”功能的风险管理实践描述(采用第2层级的示例)
同样,目标配置文件将反映出需要改进的识别和保护结果,以完全实现第二层描述。层级应该用于指导和提供信息,而不是取代组织的网络安全风险治理和管理方法。
以上是“NIST网络安全框架”权说系列的最后一篇文章,本文主要介绍了CSF分层和配置的主要内容,及其使用方法。
本系列论文主要围绕CSF 2.0,从框架概览、核心功能、配置分层3个方面展开讨论,以帮助使用者更好地理解、利用该工具进行网络安全架构的规划、设计、开发和运营。
若您有任何疑问或者建议,欢迎在评论区给我们留言~
https://mp.weixin.qq.com/s/J4YYPu16wrGlhJDCvGrWqQ
声明:
本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:
https://www.wpsshop.cn/w/菜鸟追梦旅行/article/detail/723652
推荐阅读
article
网络安全
(九
缓冲区
溢出
&&
metasploit
)_
缓冲区
溢出
利用
实验
metasploit
fra...
缓冲区
溢出
的含义是为
缓冲区
提供了多于其存储容量的数据,就像往杯子里倒入了过量的水一样。
缓冲区
可以更抽象地理解为一段可读写...
赞
踩
article
【网站架构】
Nginx
4
层
、7
层
代理
配置
,正向
代理
、
反向
代理
详解_
反向
代理
网络安全
...
本期详细讨论网站系统的
代理
配置
,以
Nginx
为例1、
反向
代理
,外网请求进来2、正向
代理
,请求外网服务,包含4
层
,7
层
代理
...
赞
踩
article
网络安全
中的
机器
学习
5大
误解
,我知道三个_
url
过滤
网络安全
机器
学习
...
比方说,在处理客户端文件的时候,绝大多数文件都是安全的,只有少部分是恶意的。后者是会变异的,但是你设计的模型可以自己学会...
赞
踩
article
网络安全
(
补充)...
虚拟专用网中可以采用隧道技术 IPSec的加密和认证过程中所使用的密钥由IKE机制来生成和分发 传输模式下的AH和ESP...
赞
踩
article
计算机网络
(
HTTP
、
HTTP
S、
TCP
、
UDP
、
IP
、
网络安全
)六十二问,三万字图文详解。_
tcp
...
基础1.说下
计算机网络
体系结构
计算机网络
体系结构,一般有三种:OSI 七层模型、
TCP
/
IP
四层模型、五层结构。三种网...
赞
踩
article
【
网络
安全】【深度
学习
】【入侵
检测
】
SDN
模拟
网络
入侵攻击并
检测
,实时
检测
,深度
学习
【一】...
Mininet: 主要用于创建和
模拟
虚拟
网络
拓扑,适合于
网络
实验和研究。Ryu: 主要用于开发和运行
SDN
控制器,用...
赞
踩
article
网络
安全
-
js
安全
知识点与XSS常用
payload
s_
js
入
xss的
payload
(1)_
js
f ...
对于从来没有接触过
网络
安全
的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方...
赞
踩
article
【
网络安全
---
xss
-
labs
靶场
通
关
(1-
10
关
)】
详细
的
xss
-
labs
靶场
通
关
思路
及技巧...
【
网络安全
---
xss
-
labs
靶场
通
关
(1-
10
关
)】
详细
的
xss
-
labs
靶场
通
关
思路
及技巧讲解,让你对
xss
漏...
赞
踩
article
【
网络安全
---
xss
-
labs
靶场
通
关
(
11
-20
关
)】详细的
xss
-
labs
靶场
通
关
思路及技...
【
网络安全
---
xss
-
labs
靶场
通
关
(
11
-20
关
)】详细的
xss
-
labs
靶场
通
关
思路及技巧讲解,让你对
xss
...
赞
踩
article
[
网络安全
]
xss
-
labs
本地
靶场
搭建
详细教程
_
xss
靶场
搭建
...
PhpStudy是一个PHP调试环境的程序集成包,集成最新的Apache、PHP、MySQL、phpMyAdmin、Ze...
赞
踩
article
【
网络安全
】
web
漏洞
-
xml
外部
实体
注入(XXE)_
xml
实体
注入
漏洞
利用方式...
xml
可拓展标记语言:
xml
是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.
xml
的文件;它还可以用来...
赞
踩
article
网络安全
-
一句
话
木马
(
1
)
,
网络安全
笔试
面试题
...
语言、Java、Linux运维、云计算、MySQL、PMP、
网络安全
、Python爬虫、UE5、UI设计、Unity3D...
赞
踩
article
网络安全
-
ARP
欺骗
原理+
实验
...
APRAPR(Address Resolution Protocol)即地址解析协议,负责将某个 IP 地址解析成对应的...
赞
踩
article
【
网络安全
】
TACACS
+
协议
...
1
TACACS
+概述1.1 什么是
TACACS
+
TACACS
+(Terminal Access Controller ...
赞
踩
article
【
网络
安全】【深度学习】【入侵
检测
】
SDN
模拟
网络
入侵
攻击
并
检测
,实时
检测
,深度学习【一】_
模拟
攻击
...
Mininet: 主要用于创建和
模拟
虚拟
网络
拓扑,适合于
网络
实验和研究。Ryu: 主要用于开发和运行
SDN
控制器,用...
赞
踩
article
【
网络安全
】【深度学习】【
入侵
检测
】
SDN
模拟网络
入侵
攻击
并
检测
,实时
检测
,深度学习【二】...
以通过 Alt+F2 然后输入 xterm 尝试打开xterm。这之后就可以用Ctrl+Alt+T打开新终端了。在之前的...
赞
踩
article
网络安全
-
kali
安装...
安装
kali
网络安全
-
kali
安装 文章目录 ...
赞
踩
article
网络安全
-
攻击
路径_网络
攻击
路径分析
管理研究...
仔细寻找后发现网站后台存在模板配置,并且模板文件名及内容均可控,于是通过抓包修改注入PHP探针,最终可以获取网站的Web...
赞
踩
article
为增强
软件
供应链
安全
,
NIST
发布《
开发者
软件
验证
最低标准
指南》...
聚焦源代码
安全
,网罗国内外最新资讯!编译:奇安信代码卫士专栏·
供应链
安全
数字化时代,
软件
无处不在。
软件
如同社会中的“虚拟...
赞
踩
article
网络
安全
-
安全
服务
工程师
-
技能
手册详细总结(建议
学习
収藏)_
安全
服务
工程师
技能
介绍...
4.各种渗透工具的使用:(nmap、sqlmap、bp、msf、CS)nmap常见使用参数:-sS:syn半开扫描,隐蔽...
赞
踩
相关标签
网络代理
nginx配置
4层代理
7层代理
正向/反向代理
笔记
网络
web安全
php
安全
javascript
java
前端
网络安全
xss-labs通关
开发语言
xss-labs
xss-labs闯关
xss
xss漏洞
xsslabs
环境配置