NIST的网络安全框架的重新审视

美国nist 网络安全NIST（National Institute of Standards and Technology，美国国家标准与技术研究所）是美国联邦政府机构，负责制定并推动各类标准、技术和创新。

在网络安全领域，NIST起到了重要的引领和指导作用。

本文将介绍NIST在网络安全方面的工作和贡献。

首先，NIST致力于制定各类网络安全标准和指南，帮助企业、政府机构和个人建立和提升网络安全防护能力。

NIST发布的网络安全框架（Cybersecurity Framework）是一个重要的指南，它提供了一套成熟和全面的网络安全管理方法，包括防御、检测、响应和恢复。

该框架能够促使组织建立有效的网络安全策略和流程。

此外，NIST还制定了一系列的网络安全标准，如FIPS （Federal Information Processing Standards）和NIST SP （Special Publication）系列。

FIPS标准规定了联邦政府机构和承包商在信息系统安全方面的要求，而NIST SP系列提供了各种网络安全方面的具体指南，包括密码学、身份认证、漏洞管理等。

NIST还通过其国家密码学与分布式数据安全中心（National Cryptographic and Distributed Data Security Center）在网络加密和密码学领域进行领先研究。

该中心通过与学术界和产业界的合作，推动密码学和分布式数据安全技术的发展和应用。

NIST还负责维护并发布美国政府的加密标准。

除了制定标准和指南，NIST还提供各种网络安全资源和工具，帮助组织和个人评估和改进网络安全措施。

NIST的网络安全评估程序（Security Assessment Procedure）可以帮助企业和政府机构评估其网络安全风险和脆弱性，根据评估结果采取相应的安全措施。

NIST还提供了一系列网络安全测量工具，如漏洞扫描工具和密码强度检查器，帮助用户发现和修复网络安全漏洞。

网络安全框架与标准解析随着互联网技术的不断发展和普及，网络安全问题日益凸显。

恶意攻击、数据泄露、网络病毒等威胁日益增多，给人们的生活和工作带来了严重影响。

为应对这些挑战，各国纷纷出台并推行网络安全框架与标准，以保障网络的安全稳定运行。

一、网络安全框架网络安全框架是一种针对网络安全问题制定的全面性计划和方案，旨在保护网络系统、数据和通信不受到未经授权的访问、恶意攻击和破坏。

网络安全框架的制定涉及到安全策略、安全控制和安全服务的整合，以确保网络安全的全面覆盖。

1. 美国网络安全框架美国网络安全框架由国家标准与技术研究院（NIST）负责制定和推行。

该框架分为五个核心领域：识别、保护、检测、应对和恢复。

它通过对网络威胁进行评估和风险管理，提供了一套完善的控制和措施，确保关键基础设施的安全运行。

2. 欧洲网络安全框架欧洲网络安全框架由欧洲网络与信息安全局（ENISA）负责制定和推行。

该框架分为四个关键步骤：评估、保护、检测和应对。

它强调网络安全的整体风险管理，促进各个成员国之间的信息共享和合作，共同应对网络威胁。

二、网络安全标准网络安全标准是对网络安全方面的技术和管理要求进行规范和规定，以确保网络安全措施的有效实施和运行。

网络安全标准的制定有助于提高网络系统和设备的安全性，减少网络攻击的发生和影响。

1. ISO/IEC 27001ISO/IEC 27001是国际标准化组织（ISO）和国际电工委员会（IEC）联合制定的信息安全管理体系标准。

它规定了信息安全管理的各个方面，包括安全政策、组织结构、资源管理、风险评估和控制等。

通过实施该标准，组织能够建立和维护有效的信息安全管理体系。

2. NIST SP800系列NIST SP800系列是美国国家标准与技术研究院（NIST）发布的一系列网络安全标准。

其中最为知名的是NIST SP800-53，它规定了联邦信息系统安全的技术和管理控制措施。

该标准被广泛应用于政府和企业的信息系统安全管理中。

美国网络安全框架
美国网络安全框架（US Cybersecurity Framework）是由美国国家标准与技术研究所（NIST）提出并发布的一项指导性文件。

该框架旨在帮助公共和私人部门建立有效的网络安全措施，以减少网络威胁对国家和企业的风险和影响。

美国网络安全框架的设计基于九个关键功能领域，包括风险管理、安全控制和持续监控等。

该框架提供了一套灵活的指南和最佳实践，可以根据不同组织和行业的需求进行调整和定制。

首先，风险管理是框架的核心要素之一。

它强调了对网络和信息系统的潜在威胁进行评估，并采取相应措施来降低这些威胁的风险。

其次，安全控制是保护网络和信息系统的关键。

框架提供了一套安全控制措施，包括访问控制、身份验证和应急响应等，以防止未经授权的访问和数据泄露。

持续监控也是框架的重点之一。

它强调了对网络和信息系统的实时监测和检测，以及对异常活动的快速响应和恢复。

此外，框架还提供了培训和意识教育方面的建议，以提升组织内部员工对网络安全的认识和理解，并帮助他们采取正确的措施来保护敏感信息和数据。

美国网络安全框架不仅适用于大型企业和政府机构，也适用于中小企业和个人用户。

它为所有利益相关方提供了一个共同的
语言和方法，以提高网络安全的整体水平。

同时，框架还为组织提供了自我评估和改进的机会，以适应不断变化的网络威胁和技术环境。

总之，美国网络安全框架为组织提供了一个全面和系统的方法来应对网络安全威胁。

通过遵循框架的指南和建议，组织可以更好地防范网络攻击，保护重要的信息和资产，并及时恢复和响应任何安全事件。

NIST网络安全控制目录迎来新突破：去除“联邦”表述，不再仅限于“网络”E安全8月20日讯美国国家标准与技术研究所（简称NIST）决定将“联邦”一词从其网络安全与隐私控制法规目录当中去除，而此项举措正是经历了长期拖延之后，最终于本周提出的一系列整改建议之一"络安全与隐私控制法规"最新修订NIST研究员罗恩·罗斯解释称，这是因为“目前包括美国联邦、各州以及地方政府与私营部门在内的各个方面都在使用同样的技术方案，而且也面临着同样的网络威胁。

”经过长达半年的漫长过程，NIST的研究人员们意识到这份控制目录除了对于美国联邦政府机构等传统“客户群体”极具意义以外，其它各方也可能同样从中获得重要的启发与指引。

因此，他们决定将这份名为《联邦信息系统与各组织安全与隐私控制》的目录（简称NIST SP-800-53）变更为《信息系统与各组织安全与隐私控制》，即删去“联邦”这一表述。

SP 800-53的上一次修订发生在2015年，不过最后一次完整重写则在2013年。

作为这份新草案的主要作者之一的罗斯在外媒采访当中表示，“目前还有其它一些对此抱有兴趣的社区可以自主利用本目录中提供的控制手段，并借此获得助益。

我们希望新草案能够受到各行业以及学术界内新受众的青睐”，甚至可以超越美国边界，因为这类资料“在全球范围内拥有大量受众群体。

”整合隐私控制罗斯同时指出，新目录还对所有变更进行了标记，其中包括将隐私控制整合至目录当中，这使其拥有了“独一无二”的比较优势。

“没有任何其它文件能够如此全面地将网络安全与隐私”整合至同一份指南当中。

罗斯认为，这一点在物联网技术蓬勃发展的背景之下显得尤为重要。

如果大家正在设计物联网设备或者智能家居，意味着其将把所有计算能力推向边缘网络。

从传统角度讲，边缘位置的安全性、保密性、完整性以及可访问性一直受到高度关注，而如今物联网与智能家居设备中驻留的个人数据同样需要隐私保护，二者可以相互加强。

美国国家标准与技术研究院（NIST）发布第二版《网络安全
框架草案》
佚名
【期刊名称】《信息技术与网络安全》
【年(卷),期】2018(037)001
【摘要】美国国家标准与技术研究院（NIST）发布了NIST网络安全框架更新的第二稿。

NIST于2017年12月5日发布了”改进关键基础设施网络安全框架“（也就是网络安全框架1．1版草案2）提议更新的第二稿。

第二稿草案旨在澄清，改进和加强网络安全框架，扩大其价值并使其更易用。

新草案融入了收到的意见，这些意见来自2017年1月启动的公开审查流程和2017年5月的研讨会。

【总页数】1页(P2-2)
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.美国NIST发布网络安全框架第二稿 [J], ;
2.美国国家标准技术研究院(NIST) 发布森林火灾最新研究报告 [J],
3.美国国家标准技术研究院(NIST)召开网络会议-2020年NIST抗灾专题研讨会[J],
4.美国国家标准技术研究院(NIST)开展建筑间距对飞火积聚影响的研究 [J],
5.美国国家标准技术研究院(NIST)发表大型火灾试验量热测量技术改进研究成果[J],
因版权原因，仅展示原文概要，查看原文内容请购买。

nist csf最佳实践NIST CSF最佳实践NIST CSF（National Institute of Standards and Technology Cybersecurity Framework）是美国国家标准与技术研究院制定的一套网络安全框架，旨在帮助组织建立、评估和改进其网络安全能力。

本文将介绍NIST CSF的最佳实践，以帮助读者了解如何有效保护自己的网络安全。

第一部分：NIST CSF概述NIST CSF由五个核心功能组成：识别（Identify）、保护（Protect）、检测（Detect）、响应（Respond）和恢复（Recover）。

这五个功能涵盖了网络安全的全生命周期，从预防到恢复，帮助组织全面提升网络安全能力。

第二部分：识别（Identify）识别功能要求组织了解其信息系统和数据资产，以及相关的网络安全风险。

在这一阶段，组织应该制定网络安全策略和规程，并确保所有员工都了解并遵守这些规定。

此外，组织还应该进行网络安全风险评估，并建立安全意识培训计划，提高员工对网络安全的认识。

第三部分：保护（Protect）保护功能要求组织采取措施来减少网络安全风险。

这包括制定访问控制策略，确保只有授权人员可以访问关键系统和数据。

此外，组织还应该实施身份验证和访问管理措施，以确保只有合法用户可以登录系统。

此外，组织还应该加密重要数据，并建立灾难恢复计划，以应对潜在的网络攻击和数据泄露。

第四部分：检测（Detect）检测功能要求组织能够及时发现网络安全事件和威胁。

为了实现这一目标，组织应该建立网络安全监控系统，定期检查系统日志和事件记录。

此外，组织还应该建立入侵检测系统和网络流量分析工具，以快速识别和响应网络攻击。

第五部分：响应（Respond）响应功能要求组织能够及时应对网络安全事件和威胁。

在发生安全事件后，组织应该立即启动应急响应计划，并与相关方面进行密切合作。

组织还应该进行溯源调查，确定安全事件的来源和影响范围，并采取适当的措施进行修复和恢复。

NIST关键基础设施网络安全改进框架介绍作者：谢宗晓董坤祥张菡来源：《中国质量与标准导报》2017年第05期信息安全管理系列之二十八基于美国总统令EO 13636，NIST于2014年发布了《关键基础设施网络安全改进框架》，这个报告不但给出了网络空间安全管理的框架，而且与ISO/IEC 27001：2013等标准中具体的安全控制建立了映射关系。

由于目前国内尚没有相应的指导文件，因此下文中对其进行了简要的介绍。

谢宗晓（特约编辑）摘要：《关键基础设施网络安全改进框架》以风险管理为基础，建立了一个基于识别、保护、检测、响应和恢复为主要步骤的网络空间安全管理的框架。

论文对该报告从应用的角度进行了解读。

关键词：网络安全网络空间安全信息安全关键基础设施Introduction of NIST Framework for Improving Critical Infrastructure CybersecurityXie Zongxiao （ Business School， Nankai University ）Dong Kunxiang （ School of Management Science and Engineering， Shandong University of Finance and Economics ）Zhang Han （ Transportation Bureau of China Railway ）Abstract： Based on risk management， Framework for Improving Critical Infrastructure Cybersecurity established a cyberspace security management framework， including Identity，Protect， Detect， Respond and Recover. This paper explains the report from the perspective of implementation.Key words： cybersecurity， cyberspace security， information security， critical infrastructure1 概述《关键基础设施网络安全改进框架》（Framework for Improving Critical Infrastructure Cybersecurity） 1）由NIST2）发布于2014年2月12日，主要是为了响应2013年2月12日奥巴马总统签署的总统令（Executive Order，EO）13636，标题为：Improving Critical Infrastructure Cybersecurity。

网络安全架构安全框架之综述这是一篇关于安全框架的集大成之作。

结合了9种具体框架进行了综述：ISO 27001、NIST CSF、ISO 27002、NIST SP 800-53、NIST SP 800-171、CIS 20、ISA/IEC 62443、COBIT 2019、ITIL。

安全框架为构建一致性安全能力提供了良好基础，但框架的多样性可能使其成为一个艰难的选择。

安全框架包含三类框架族：安全控制框架（SCF）、安全管理计划（SMP）框架、IT治理框架（ITGF）。

选择控制很重要，但正确地管理控制更重要。

一个管理不善的好控制，可能不如一个管理良好的坏控制。

这就是为什么说：安全管理计划（SMP）是最重要的框架。

安全框架与风险管理的关系：组织应采用基于风险的方法，来选择和管理各项安全控制措施。

RMF（风险管理框架）提供了决策过程，支持确定活动优先级、与业务沟通、证明费用和资源合理性。

最重要的是，它提供了一种持续评估业务活动、环境的方法。

所有安全框架，只有在与风险管理方法结合时，才能提供最佳结果。

安全框架与安全架构的关系：安全架构不是一个框架。

安全架构是一种为决策过程定义规则的方法，它使用安全框架来提供在给定用例中必须使用的安全控制组件。

对于没有安全架构功能的组织，安全框架提供了一种有价值的引导方法；对于具有安全架构功能的组织，安全框架也可以通过指示一组公共控制来加快将业务需求转换为控制标识的过程。

关于安全架构之综述，请参见《建立安全架构方法的指导框架》，以了解如何使用安全架构方法，从安全框架中获得最佳效果，并与风险管理相集成。

本报告译自Gartner于2020年非公开发布的《Security Frameworks: The What and Why, and How to Select Yours》。

译文近两万字，精简至一万言，稍作结构调整。

并无商业目的，只为同步信息。

如果存在侵权，联系笔者删除。

企业在NIST新的网络安全标准下或让面临更多的风险美国国家标准与技术研究所(NIST)正在制定网络安全标准，如果无法满足这些标准，关键基础设施企业可能会面临新的责任风险。

企业网络安全需要新的技术手段，目前小草上网行为管理软路由正时刻关注企业网络安全新动态，倾力为企业解决各种网络难题。

这个NIST网络安全框架旨在为关键基础设施行业(例如电力、电信、金融服务和能源)的企业提供最佳安全做法。

该框架的制定还参考了行业利益相关者的意见。

该框架并不是强制执行特定的安全控制，而是提供广泛的标准来识别和保护关键数据、服务和资产。

它提供很多用来检测和响应攻击的最佳做法，缓解网络事件带来的影响以及风险。

奥巴马在2月份签发了行政命令，他表示需要迫切解决关键基础设施安全问题，抵御网络攻击。

政府官员称美国国会试图建立可行的网络安全立法，但屡遭失败。

参与该标准计划完全是自愿的。

行政命令要求负责关键部门的联邦机构通过激励以及其他方式来推动该标准的部署。

法律公司Venable LLP的律师Jason Wool表示，但在实践中，关键基础设施所有者和运营商将可能别无选择，他们必须遵循这些标准，或者至少展示他们部署了类似的安全措施。

忽视或者违反这些标准的企业可能面临诉讼以及其他责任索赔。

这些标准可能被视为关键基础设施行业安全措施的最低水平。

“你不需要采用这些标准，但事实上，这个框架列出了网络安全的建议做法，企业需要满足这些做法，”Wool表示，“在最低限度下，该框架要求关键基础设施的所有者和运营者了解自己的做法，并做出差距分析。

”即使企业不采用这些标准，他们也需要证明他们采取的做法是行之有效的。

Wool表示：“如果一家公司被起诉，该公司需要能够提供证据证明他们已经研读了这些标准，执行了风险评估，并以合理的方式管理他们的风险。

”Fox Rothschild公司的律师Scott Vernick表示，这个NIST标准最终可能成为特定领域的法规，由负责不同关键基础设施领域的联邦机构来监管。

美国⽹络空间安全体系（9）：《提升关键基础设施⽹络安全框架》介绍为有效保护美国关键基础设施⽹络安全，美国总统奥巴马于2013年2⽉12⽇签署名为“提⾼关键基础设施⽹络安全”的13636号⾏政命令，扩⼤联邦政府与私营企业的合作深度与⼴度，以加强“关键基础设施”部门的⽹络安全管理与风险应对能⼒，提出由美国商务部牵头、国⼟安全部配合，指导美国国家标准技术研究院（NIST，直属美国商务部）开发降低关键基础设施信息与⽹络安全风险的框架，此框架应包括⼀套标准、⽅法、程序、政策以及安全威胁定位的业务流程和技术⽅法。

2014年2⽉12⽇，美国⽩宫宣布发布由NIST经过多番修订形成的《提升关键基础设施⽹络安全框架》第⼀版（以下简称《框架》）。

本⽂对《框架》发布的作⽤和意义进⾏了阐释，对其主要内容和应⽤⽅法进⾏了重点分析和说明。

⼀、《框架》概述《提升关键基础设施⽹络安全的框架》的基本思想，是⼀套着眼于安全风险，应⽤于关键基础设施⼴阔领域的安全风险管控的流程。

按照美国联邦政府相关⾏政指令，要求该⽂件的开发应基于⼀系列的⼯业标准和最佳实践来帮助组织管理⽹络安全风险。

这个框架通过政府和私营部门的合作进⾏创建，并基于业务需要、以低成本⽅式、使⽤通⽤语⾔来处理和管理⽹络安全风险。

基于此⽬的，该⽂件的开发⽬的是形成⼀套适⽤于各类⼯业技术领域的安全风险管控的“通⽤语⾔”，同时为确保可扩展性与开展技术创新，此框架⼒求做到“技术中性化”，即：第⼀依赖于现有的各种标准、指南和实践，使关键基础设施供应商获得弹性能⼒。

第⼆依赖于全球标准、指南和实践（⾏业开发、管理、更新实践），实现框架效果的⼯具和⽅法将适⽤于跨国界，承认⽹络安全风险的全球性，并随着技术发展和业务需求⽽进⼀步发展框架。

因此，从某种⾓度上来观察，该⽂件就是⼀份“⽤于关键基础设施安全风险管控的标准化实施指南。

”⼆、《框架》核⼼Framework Core框架核⼼提供⼀系列为实现特定⽹络安全⽬标⽽进⾏的活动及指导⽰例作为参考。