企業如何應對安全威脅？ 看看更新的NIST網路安全框架

企業如何應對安全威脅?看看更新的NIST網路安全框架。 NIST網路安全框架，是美國國家標準與技術研究所發佈的一份指南，旨在指導各種企業和組織重視資訊安全。 該框架最早在2014年2月頒佈，在今年的1.1新版本中也新增了內容。 該框架最早應用在美國國家基礎安全設施機構，如電力機構等等。 由於它提供了一個通用性的指導，因此能夠適應並應用在不同需求的企業中，現在已得到在美國國內及世界各地的廣泛應用。

該框架使企業和組織有可能應用風險管理的原則和最佳實踐案例，來提升關鍵基礎設施的安全性和彈性。 它為各種組織和機構提供已實施在行業中的最佳案例。 儘管這個框架是自願性的，許多組織和機構都已採用這種框架。

這份視頻展示了為什麼各種規模的企業和組織都可以應用NIST框架來管理他們企業在資訊安全層面的風險。 Baldrige Cybersecurity Excellence Builder，一款評估工具，還能説明企業衡量使用該框架的效益。

最新特點

當前修改版本中的一些引人注目的特徵包括：

第一，檢測的企業或組織的網路風險系統的作用及完善程度。

第二，它還能夠根據所檢測的指標，給出相關聯的商業目標及結果，指出所需要付出的努力及複雜度。 這意味著新版本中同時能夠衡量兩個問題，這個企業或組織如何降低業務風險，而良好的網路安全能夠為它帶來多少正面收益，如因此獲得了多少新使用者，帶來了多少收益。

第三，存取控制類別在框架內發生了變化，它被重命名為身份管理和存取控制。 此次更名確保了從創建時間到停用的整個過程中，對於使用者身份和憑據的管理。 例如，確保使用者S的身份;證實這真的S在使用證書;確保S離開公司時，憑證被更改或停用。 這種變化是積極的一步，同時控制了訪問的資源物件並確保了物件的身份。

框架內容組成

本框架基於管理網路安全風險，由三個部分組成：框架核心(Core)，框架實現層級(Implementation Tiers)和框架輪廓(Profiles)。 框架元件的每一部分都強調了企業自身及網路安全活動之間的連接。

其中，框架的核心組成部分具有五個併發的功能，包括識別，保護，檢測，回應和恢復。 這些功能從一個企業或者組織的網路安全風險管理的整個生命週期的角度，提出了高層次戰略性的觀點。

而框架實現層級則讓這些企業或組織瞭解網路安全風險的背景，以及以何種流程進行風險管理。 實現層級描述了大量實踐中表現出的框架特徵，如風險和危險感知，可重複性和可適應性。

框架執行層可以被定義為，框架核心在特定實施場景中的模式、指導及實踐的統一。 它會通過將當前實際的狀況(」how it is」)與理想目標(」how it will be」)進行比較，識別能夠改善網路安全狀態的關鍵點。

框架優勢

此框架能靈活應用到各行各業，它可以檢測並回應新興市場中出現的新威脅，包括勒索軟體，IoT入侵和其他新型惡意軟體。 由於風險管理是一個持續的過程，包括了風險識別，風險評估和應對風險的措施，該框架建議企業必須瞭解風險事件發生的可能性及其發生後的影響，以此實現更好地管理風險的目標。 這樣，企業能夠確定可接受的服務風險級別，即表現為企業風險承受能力。 理解自己的風險承受能力讓企業提高網路安全措施的優先順序。 該框架對不同行業表現出適應性的特點是極為重要的，企業需要對各種風險及時回應。

我們在此次更新中改善並加強了一些表述來使企業及組織應用時更方便使用這份框架，與初始版本的框架保持相容，依舊保持了框架的自願性和靈活適應性。 ——NIST網路安全框架專案經理Matt Barrett

隨著雲計算，大資料和分析技術達到新的水準，安全問題在醫療保健，電網，物聯網和商業的所導致的可能危害也在與日俱增。 此次框架分層全面闡述了資訊安全在企業中的實踐，其推薦的實踐方法，能夠有效説明企業和組織能夠有效隔離威脅，保護企業資產。