專家解讀 | NIST網絡安全框架（1）：框架概覽

隨著信息技術的快速發展，組織面臨著越來越嚴峻的網絡安全挑戰。NIST網絡安全框架（NIST Cybersecurity Framework，CSF）是一個靈活的綜合性指南，旨在協助各類組織建立、改進和管理網絡安全策略，以加強網絡安全防御和響應能力。本系列文章主要圍繞該框架的核心內容、使用方法和應用示范展開討論，以幫助使用者更好地利用該工具進行網絡安全架構的規劃、設計、開發和運營。

本文主要探討NIST CSF框架的起源目標、內容組成，及其在網絡安全風險管理中的關鍵作用，通過采用該框架，組織能夠更有效地實施風險識別、安全保護、威脅檢測和事件響應，從而構建更加堅固和彈性的網絡安全基礎設施。

關鍵字：網絡安全框架；風險管理；威脅檢測

一

背景與起源

在數字化的時代，信息技術的快速發展為組織帶來了巨大的機遇，同時也暴露了其面臨的嚴峻網絡安全挑戰。2013年2月，美國總統奧巴馬頒布了行政命令“改善關鍵基礎設施網絡安全”（EO 13636），目標是通過建立一個框架，改善政府和私營部門之間的信息共享和協作，從而提升關鍵基礎設施的網絡安全能力。NIST通過與政府機構、私營企業以及學術界的廣泛合作，于2014年發布了CSF 1.0，該框架是基于現有標準、指南和實踐的自愿指南，旨在幫助關鍵基礎設施組織更好地管理和降低網絡安全風險。2018年4月，NIST更新發布了CSF 1.1，并于2024年2月再次更新為CSF 2.0。根據利益相關者的反饋，為了反映不斷變化的網絡安全形勢，幫助組織更輕松、更有效地管理網絡安全風險，NIST在CSF2.0中引入了一系列的修改，本系列相關文章將針對CSF 2.0展開討論。

圖1 NIST CSF的發展歷程

二

內容組成

CSF框架主要包含三個部分：框架核心（Core）、配置文件（Profile）和實施層級（Tier）。其中，●核心（Core）：定義了一組網絡安全成效（Outcome），以及相關成效的實現示例和參考信息；●配置（Profile）：利用核心部分定義的成效，描述組織當前或未來要達到的網絡安全狀態；●層級（Tier）：描述網絡安全風險管理的成效等級，以指導配置的創建和設計。

圖2 NIST CSF的內容組成

1．核心（Core）

CSF框架核心由一組適合于各領域關鍵基礎設施部門的網絡安全活動、期望結果和參考信息構成，以一種通用的語言描述了適用的網絡安全行業標準、指南和實踐，以便使從管理層到實施/運營層的利益相關者，能夠就網絡安全活動和效能進行便捷有效的溝通和交流。

圖3 CSF Core的內容組織形式

框架核心包含了六個功能（Function）：治理、識別、保護、檢測、響應和恢復，提供了高層戰略視角的網絡安全風險管理生命周期。每個功能又被細分為不同類別（Categories）和子類別（Subcategories），并提供了相應的參考信息，如每個子類別適用的現行標準、指南和實踐。參考信息用于說明實現某個子類功能的可行方法，或者是將指南或要求與某個子類功能對齊。這些內容來自當前標準、指南和實踐的特定章節，可以是適用于各領域關鍵基礎設施的通用內容，也可以是只針對某個特定行業領域的內容。需要注意的是，參考信息僅具有示范意義，并非全面詳盡的指南手冊，主要引用了框架開發過程中參考的行業指南，或者是合作伙伴在實施框架時使用的網絡安全工具和資源。

2．配置（Profile）

通常，組織并不需要使用CSF核心中所有類別（含子類別）的功能，實際上可能也不存在需要全部功能類別的組織。因此，CSF的功能類別本質上是一個可選清單，組織需要選擇使用與其自身運營和風險狀況最相關的功能?？蚣芘渲檬墙M織基于業務需求從框架類別和子類別中選擇出來的成效清單。該配置文件實際上描述了在特定的實施場景中，企業組織將標準、指南和實踐與框架核心對齊的過程。配置文件可用于組織內部或組織之間進行溝通，也可用于通過比較“當前”配置文件（即現狀）與“目標”配置文件（即將來），來識別改進網絡安全狀況的機會。為了制定配置文件，組織可以審查所有的類別和子類別，并基于業務/使命驅動因素和風險評估，確定哪些成效最為重要。

3．層級（Tier）

框架層級用來指導組織如何實施CSF Core，從實施角度提供了組織使用CSF框架的背景，組織看待網絡安全風險的觀點，以及管理風險的過程。CSF層級定義了4個層級及相應的特征，來刻畫描述組織網絡安全實踐的范圍（包括風險治理和風險管理）和層次（包括部分、風險知悉、可重復和自適應）。

圖4 NIST CSF的四個實施層

上述4個層級描述了網絡安全風險管理實踐的復雜程度，有助于確定網絡安全風險管理受業務需求影響的程度，并集成到組織整體的風險管理實踐中。NIST認為，雖然鼓勵處于第1層級的組織向第2層級或更高層級邁進，但層級并不代表成熟度水平，而是旨在支持組織對網絡安全風險管理進行決策，幫助組織識別不同網絡安全活動的優先級和緊迫性，以獲得更有效的外部資源。如果成本效益分析（CBA）表明，組織降低網絡安全風險是可行的且經濟有效時，才鼓勵組織進入更高的層級。當組織達成了目標配置文件中所描述的成效，它就成功實施了CSF。當然，在實施CSF過程中，組織對層級的選擇和設定也會影響框架配置文件。

三

使用與效益

CSF提供了管理網絡安全風險的通用語言和系統方法?？蚣芎诵陌{入網絡安全計劃的活動，可以根據任何組織的需求進行定制。創建框架配置文件的過程為組織提供了一個機會來確定可以加強現有流程的領域，或者可以實施新流程的領域?？蚣軐嵤油ㄟ^層級指導組織考慮其網絡安全規劃的安全能力級別，同時用作討論任務優先級、風險偏好和預算的溝通工具。CSF有助于指導組織各個級別的風險管理活動的關鍵決策點，從高級管理人員到業務和流程級別，以及實施和運營。雖然CSF在設計時重點考慮了關鍵基礎設施，但它的用途極其廣泛，適用于各種規模、行業和成熟度的組織。通過內在的定制機制（層、配置文件和核心均可修改），可以定制框架以供各種類型的組織使用。CSF是結果驅動型的框架，并且不強制要求組織必須如何實現這些功能，具有不同預算的小型組織或大公司都能夠以適合自己的方式實現CSF定義的安全成效，為實施網絡安全計劃的組織提供了充分的靈活性和擴展性。

以上是“NIST網絡安全框架”權說系列的首篇文章，本文主要概括了NIST CSF的主體內容和組成。本系列論文主要圍繞CSF 2.0，從框架概覽、核心功能、配置分層3個方面展開討論，以幫助使用者更好地理解、利用該工具進行網絡安全架構的規劃、設計、開發和運營。

審核編輯 黃宇