2014年2月,NIST发布了《提高关键基本设备网络安全的框架》(以下简叫作“框架”)V1.0正式版本。本安全框架的起源是美国前总统奥巴马发布的《关于加强关键基本设备网络安全的行政命令》,需求NIST制定安全框架,应包含一系列与标准、办法、程序和过程相匹配的处理网络危害的政策、业务和技术办法。2017年1月,NIST发布了框架V1.1的草稿,预计今年10月份会出正式版本。评定中心技术部基于框架更新的内容进行了科研分析和部分内容的翻译,该框架针对等级守护测评亦拥有必定的科研和参考价值,现将科研总结的内容供给给大众科研学习。
框架V1.1重点是从以下4个方面对V1.0做了改进、澄清和加强:
表一 框架更新内容
更新
更新的描述
1、增添了“网络安全测绘”小节
增多了第4章 测绘和展示网络安全,讨论业务成果与网络安全危害管理指标和办法的关联性。
2、对网络供应链危害管理运用框架的目的进行了大篇幅的解释
在全部文档中增多了网络供应链危害管理(SCRM)的思虑。扩展的3.3节(与利益关联人沟通网络安全需求)有助于用户更好地理解网络SCRM。网络SCRM亦被添加进执行等级。最后,框架核心中增多了“供应链危害管理”类别。
3、对鉴别、授权和身份证明的优化
优化拜访掌控类,更好地思虑了鉴别、授权和身份证明。该类别添加了一个子类。最后,该类已更名为身份管理和拜访掌控(PR.AC)更好地暗示了类别和相应的子类别的范围。
4、更好地解释了执行等级和轮廓之间的关系
在第3.2节(创立或改进网络安全方法)中增多了在框架实施过程中运用框架执行等级的描述。为框架的执行等级增多描述以反映公司在安全框架中整合危害管理的方法。更新了图2.0,包括来自框架的执行等级的有些行径。
下面咱们将从以上4个方面对框架更新的内容进行仔细分析。
1、网络安全测绘
框架最大的变化是在原来的基本上增多了第4章节“测绘和展示网络安全”,该章节重点讨论了网络安全测绘的关联概念以及业务成果与网络安全危害管理指标和办法的关联性,第4章的仔细内容如下:
框架测绘(Measurement)为公司内部和外边的强信任关系供给了基本。随着时间的推移,经过外边审计和合规性评定来衡量状态和趋势,使公司能够理解并向第三方、合作伙伴和客户传达有道理的危害信息。
结合参考文献,框架可用作综合测绘的基本。运用框架测绘的关键术语是“指标”(Metrics)和“办法”(Measures)。测绘指标用于促进决策,加强绩效和职责。执行等级、子类别和类别是测绘指标的示例。测绘指标经过聚合和关联办法来创建组织安全态势的道理和认识。办法是“可量化、可观察、客观的支持测绘指标的数据”。办法与技术掌控最密切关联,例如参考文献。
从安全测绘指标收集的信息表示了公司区别方面的网络危害状态。因此呢,跟踪安全指标和业务成果能够供给有道理的视角,展示了安全掌控的变化怎样影响业务目的的完成。虽然经过滞后测绘来测绘业务目的是不是达到是很重要的,但一般经过领先测绘的方式,来认识实现将来目的的可能性一般更为重要。
公司确定网络安全和业务成果之间因果关系的能力取决于测绘系统的准确性和精度(即由ID.AM-5中强调的“资源”构成)。因此呢,在设计测绘系统时应思虑业务需求和操作花费。测绘系统的花费可随着测绘精度的增多而增加。为了减轻测绘系统对公司的欠妥成本,测绘系统的准确性和花费需要和相应业务目的所需的测绘精度相匹配。
4.1节 与业务成果的关联性
测绘网络安全的目的是将网络安全与业务目的(ID.BE-3)关联联,以便理解和量化因果关系。平常的业务目的包含:推动业务/使命结果、加强成本效益、降低企业危害。
将网络安全指标与业务目的关联联,常常比简单地测绘网络安全结果更为繁杂。针对给定的业务目的,存在海量且多样化的驱动原因。例如,针对想要增多在线银行客户数量的零售银行,能够经过实施更强的鉴别来实现。然而,实此刻线银行客户的增多还取决于发展关于可信的在线交易信息、针对特定群体的消费者,选取对特定群体最有道理的通信信道,以及在实现目的所需的连续时间上营销哪些通信信道。总之,实现客户增长取决于信息、营销、宣传网络安全和其他原因。
区别网络安全活动的相对成本效益是一个重要的思虑原因。成本效益寓意着运用最低的网络安全时间和花费实现特定的业务目的。为了检测成本效益,公司必须首要清楚地认识业务目的,认识业务目的和网络安全指标之间的关系,以及认识业务目的和非网络安全原因之间的关系。
网络安全结果对业务目的的影响一般是不清楚的。网络安全的重点功效是守护业务价值,是经过守护公司的信息、操作和过程的保密性、完整性和可用性(以下简叫作为“CIA”)实现的。因此呢,即使当成本效益或网络安全结果对业务目的的影响不清楚,公司应在修改其网络安全计划时小心行事。一般,网络安全结果能够防止卑劣的业务环境,例如数据泄密。
企业危害管理是思虑到实现既定业务目的的所有危害。保证将网络安全原因引入到企业危害思虑中是实现业务目的所必需的。这包含网络安全的积极影响以及网络安全被破坏的消极影响。下面强调的管理测绘指标是运用框架核心来聚合网络安全危害的一种方式,使网络安全作为企业危害管理的思虑原因。
公司决定网络安全结果和业务目的之间的因果关系的能力还取决于充分隔离这些网络安全结果和业务目的的能力。这是影响网络安全测绘的最大挑战之一。必须尤其重视,保证给定的网络安全结果和业务目的真正关联。通常来讲,将网络安全办法与更高级别的网络安全指标关联联,比将网络安全指标与业务指标关联联更为容易。
4.2节 网络安全测绘的种类
表二中总结了相关框架的指标和办法
表二 框架的指标和办法
测绘
测绘什么
相应的框架组件
测绘类型
实践
通常危害管理行径
执行等级
指标
处理
特殊危害管理活动
框架的编写包含七步过程(第3.2节)和用例详细的过程(如第3.3和第3.6节)。
办法
管理
满足通常网络安全结果
核心/轮廓功能,类和子类
指标
技术上的
实现特殊网络安全结果
参考文献
办法
框架执行等级是网络安全危害管理全面实践的一个定性指标。除了首要的1 - 4定性指标外,危害管理流程、综合危害管理方法、对外参与和网络供应链危害管理独特的执行等级属性亦包含实践指标。
而执行等级中的实践是高层组织行径的通常趋势,这些实践是由于表率特定危害管理活动的离散过程构成的。例如,更新框架轮廓过程的周期(过程3)是在危害管理过程中这个指标给出的办法。一样,处理网络安全危害(ID.GV-4)的治理和危害管理流程在整合危害管理程序这个指标中给出的办法。最后,从信息共享论坛和源自(ID.RA-2)接收到的威胁和脆弱性信息量是在对外参与这个指标中给出的。
框架核心的网络安全结果是全套网络安全管理指标的基本。这些指标的总和等同于网络安全危害的减少或消失。
例如,守护功能的结果是“制定和实施相应的保证办法,保证交付…” 对这一结果负责的高级管理人员能够运用系统的正常运行时间(即保证交付)的滞后指标来测绘,以及用于研发和实施数据安全制定和传达策略的重点指标。
相应地,业务流程人员可能对守护功能(PR.DS)的数据安全类别及其子类别负责。 数据安全指“按照组织的危害策略管理信息和记录(数据),以守护信息的CIA。”对所有数据安全负责的业务流程人员能够运用政策的发布和传播与组织的危害策略和CIA的目的是不是相符这一重点指标来测绘。此业务流程人员的滞后指标可能是数据安全子类别负责人怎样管理CIA的复合滞后指标。
一样,负责守护静态数据(PR.DS-1)的执行/操作人员可能会按照执行守护机制的重点指标来测绘,其中滞后指标指的是数据是不是得到守护,这是由于缺乏未经授权的修改、删除或盗窃组织数据来证明的。执行/操作人员能够运用适用的参考文献和相应的办法来实现PR.DS-1的目的。
参考文献,如掌控目录,供给仔细的技术办法,以模块化的方式对框架进行弥补。例如,公司运用NIST SP 800-5314安全掌控SP-28实施PR.DS-1子类别可能对设计,研发/购买,实施,管理,演变和终止的办法负责:
l 经过各样媒介存储(内部托管硬盘,云硬盘,便携式存储设备,移动设备)的秘码机制
l 针对特定数据结构的全磁盘加密(例如文件,记录或字段),
l 文件共享扫描,
l 可多次读一次写的技术,以及
l 安全的离线存储代替在线存储。
2、网络供应链危害管理
在框架中的第二大变化便是将网络供应链危害管理方面的内容贯穿在全部框架其中,在框架的“2.2框架执行等级”、“3.3与利益关联人沟通网络安全需求”以及附件表2中都增多了与网络供应链危害管理的关联内容,更新内容详细的翻译如下:
2.2节 框架执行等级
第1级:局部的
网络供应链危害管理—公司可能不认识网络供应链危害的所有含义,或无识别、评定和缓解其网络供应链危害的流程。
第2级:依据危害的
一体化危害管理方法—公司的某些级别会在使命/业务目的中思虑网络安全。公司资产的网络危害评定一般是不可重复的。
网络供应链危害管理—公司理解与制品或服务关联的网络供应链危害,这些制品和服务既支持组织的业务使命功能,亦可用于组织的制品或服务。该公司在内部或与其供应商和合作伙伴之间无管理网络供应链危害的正式能力,执行这些活动存在不一致性。
第3级:可重复的
一体化危害管理方法—公司连续准确地监测公司资产的网络安全危害。高级网络安全和非网络安全主管定时沟通网络安全危害。 高级主管经过公司中的所有业务线思虑网络安全。
网络供应链危害管理—经过企业危害管理政策、流程和程序执行全公司的网络供应链危害管理办法。这可能包含治理结构(例如危害委员会),管理网络供应链危害与管理其他的危害相平衡。政策,过程和程序根据预期一致地实施,并连续监测和审查。人员拥有执行其指定的网络供应链危害管理职责的知识和技能。公司制定了正式合同,向其供应商和合作伙伴传达基本需求。
第4级:适应性的
一体化危害管理方法—当作出决策时应清楚地认识和思虑网络安全危害和使命/业务目的之间的关系。高级管理人员监控网络安全危害与监控金融危害和其他公司危害同样。公司基于对当前和预测的危害环境和将来危害的认识进行预算。业务分部实现业务前景和分析系统级危害时应思虑到公司的危害偏好和危害容忍度。
所有阶层都清楚地表达和理解网络安全危害。该公司能够快速有效地解释业务/使命目的、威胁和技术的变化,以认识危害是怎样传达和接近的。
网络供应链危害管理—公司能够运用实时或接近实时的信息,快速有效地处理新兴的网络供应链危害,并利用供应链危害管理的制度化知识管理外边供应商、合作伙伴以及内部网络关联职能分部。公司主动沟通、并运用正式(例如协议)和非正式机制来发展和保持与供应商、合作伙伴、个人和公司买家的牢靠关系。
3.3节 与利益关联人沟通网络安全需求
另外,执行等级使得公司认识它们怎样适应更大的网络安全生态系统。公司能够经过评定其在关键基本设备和更广泛的数字经济中的地位,更好地管理利益关联者之间的网络安全危害。
在利益关联者之间沟通和验证网络安全需求的做法是网络SCRM的一个方面。网络SCRM的重点目标是识别、评定和缓解可能包括潜在恶意功能的制品和服务,或因为网络供应链中不良的制造和研发实践导致的脆弱性。网络SCRM活动可能包含:
l 确定供应商以及信息技术(IT)和运营技术(OT)合作伙伴的网络安全需求,
l 经过正式协议(如合同)制定网络安全需求,
l 与供应商和合作伙伴沟通怎样验证和确认这些网络安全需求,
l 经过各样评定办法验证网络安全需求是不是满足,
l 调节和管理以上活动。
如下图所示,网络SCRM包含IT和OT供应商和买方,以及非IT和OT合作伙伴。这些关系明显了网络SCRM在关键基本设备和更广泛的数字经济中处理网络安全危害的关键功效。它们应该被识别并纳入到公司的守护和检测能力以及组织的响应和恢复协议中去。
图1 网络供应链关系
买方指的是有些人员或公司,她们从一个公司中购买一个指定的制品或服务。供应商包括制品和服务供给商,是用于公司内部目的(例如IT基本设备)或集成到供给给买方的制品或服务中去。最后,非IT和OT合作伙伴可能会对公司的安全状态形成危害。
无论思虑核心的个别子类别,还是综合思虑轮廓,框架为公司及其合作伙伴供给一种保证新制品或服务符合根据优先次序思虑的安全性结果的办法。经过首要选取与上下文关联(PII传输,业务关键服务交付,数据验证服务,制品或服务完整性等)的结果,公司能够按照这些标准评定合作伙伴。例如,倘若正在购买将要监控OT的特定系统,则可用性可能是要实现的尤其重要的网络安全目的,因此呢可用性将驱动子类别的选取。
附件表2:功能和类别独一标识符 类里面增多了“供应链危害管理”,本类包含5个子类:
ID.SC-1:网络供应链危害管理流程由组织利益关联者确定、创立、评定、管理和准许
ID.SC-2:运用网络供应链危害评定过程来识别、优先排序和评定关键信息系统、组件和服务的供应商和合作伙伴
ID.SC-3:合同需求供应商和合作伙伴实施适当办法,旨在实现信息安全计划或网络供应链危害管理计划目的。
ID.SC-4:监测供应商和合作伙伴,以确认她们履行了所需的义务。对审查的记录,测试结果摘要或对供应商/供给商的其他同等材料进行审核。
ID.SC-5:对关键供应商/供给商进行响应和恢复计划和测试。
3、对鉴别、授权和身份证明的优化
本框架中第三大变化便是对“附录A框架核心”的拜访掌控类进行了细化和增多,将资产知道为了理学和规律资产,并且需求与未经授权拜访授权活动和交易的评定危害相一致进行管理。除此之外还增多了PR.AC-6身份证明的内容。表三中总结出了V1.0版本和V1.1版本中拜访掌控类的关联内容,表中标黑的内容为V1.1较V1.0更新的内容,仔细内容如下表所示:
表三 框架核心中的拜访掌控类
功能
类
子类
守护(PR)
V1.0 拜访掌控(PR.AC):对资产和关联设备的拜访仅限于授权用户、过程或设备以及授权的活动和交易。
V1.1 身份管理.鉴别和拜访掌控(PR.AC): 对理学和规律资产和关联设施的拜访仅限于授权用户、过程和设备,并且与未经授权拜访授权活动和交易的评定危害相一致进行管理。
V1.0 R.AC-1:为授权的设备和用户管理身份和证书。
V1.1 PR.AC-1:为授权的设备、用户和过程发布、管理、验证、撤销和审计身份和证书。
V1.0 PR.AC-2:对资产的理学拜访进行管理和守护。
V1.1 无变化
V1.0 PR.AC-3:管理远程拜访
V1.1 无变化
V1.0 PR.AC-4:结合最小特权和职责分离的原则管理拜访许可。
V1.1 PR.AC-4: 结合最小特权和职责分离的原则管理拜访许可和授权。
V1.0 PR.AC-5: 守护网络完整性,在适当状况下包含网络隔离。
V1.1 无变化
V1.1 新增PR.AC-6: 证明身份并将身份绑定到证书上,并在适当的交互中声叫作身份。
4、更好地解释了执行等级和轮廓之间的关系
框架的第四大变化便是在“3.2创立或改进网络安全方法”中增多了在框架实施过程中运用框架的执行等级的描述。为框架的执行等级增多描述以反映公司在安全框架中整合危害管理的方法。下文标黑的部分是创立或改进网络安全方法的7个过程中更新的内容:
过程1:确定优先级和范围
增添的内容:执行等级可用于暗示区别的危害界值。
过程2:确定方向
V1.0:接下来,公司识别这些系统和资产面临的威胁和所存在的脆弱性。
V1.1:接下来,公司咨询源自用来确定针对这些系统和资产可被利用的威胁和漏洞。
过程3:创建当前轮廓
增添的内容:倘若实现了部分地结果,重视到这一事实将有助于支持后续过程。
过程4:进行一次危害评估
V1.0:重要的是,公司应该寻求用最新危害、威胁和脆弱性数据来促进对网络安全事件出现可能性和影响的透彻认识。
V1.1:重要的是,公司识别新兴危害,并运用来自内部和外边源自的网络威胁信息,以便更好地认识网络安全事件的可能性和影响。
过程5:创建一个目的轮廓
增添的内容:当与执行等级一块运用时,等级水平的特征应反映在所需的网络安全结果中。
过程6:确定、分析和按优先级摆列差距
增添的内容:利用任务驱动程序,成本/收益分析和危害理解 - 实现目的轮廓中的结果。
以上内容是评定中心技术部对框架V1.1草案更新内容的总结以及翻译,供大众参考,如若想阅读框架英文原文,请参考链接:https://www.nist.gov/sites/default/files/documents////draft-cybersecurity-framework-v1.11.pdf。
译者:公安部信息安全等级守护评定中心 王然
▲向上滑动
安全测评联盟
更加多关于安全测评新闻
长按右方二维码
关注咱们ˉ►
|