CS架构软件网络安全 csf网络安全框架

 美国依赖于其关键基础设施的可靠运行。 网络安全威胁利用了关键基础设施系统日益增加的复杂性和连通性，将国家的安全、经济以及公共安全和健康置于危险之中。 类似于金融和声誉风险，网络安全风险会影响公司的底线。 它会推高成本并影响收入，它可能会损害组织的创新能力以及获得和维持顾客。网络安全可以成为一个组织整体的重要和放大的组成部分。

       为了加强这一基础设施的弹性，制定了《2014年网络安全增强法案》(CEA)将美国国家标准与技术协会(NIST)的角色更新为“促进和支持”网络安全风险框架的发展。通过CEA,NIST必须确定“一种优先的、灵活的、可重复的、基于性能的、具有的方法，包括业主可能自愿采用的信息安全措施和控制以及关键基础设施运营商，帮助他们识别、评估和管理网络风险。”这正式规范了NIST以前在执行下开发框架1.0版本的工作13636号命令，“改善关键基础设施网络安全”，于2013年2月发布为未来的框架演变提供了指导。

       美国《爱国者法案》(2001)将关键基础设施定义为“系统和资产，无论无论是物理的还是虚拟的，这些系统的失效或破坏对美国都至关重要资产会对国家安全，国家经济安全，国家公共卫生或安全，或这些问题的任何组合。”由于不断增加的压力来自外部和内部的威胁，负责关键基础设施的组织需要有一个一致和迭代的方法来识别、评估和管理网络安全风险。无论组织的规模、威胁暴露与否，这种方法都是必要的今天网络安全的复杂性。

        关键的基础设施社区包括公共和私人业主和运营商其他在保障国家基础设施安全方面发挥作用的实体。每个关键的成员基础设施部门的职能由广泛的技术类别支持，包括信息技术(IT)、工业控制系统(ICS)、信息物理系统(CPS)，以及更普遍的连接设备，包括物联网(IoT)。这对技术、通信和互联互通的依赖已经改变并扩大了潜在的漏洞，增加了操作的潜在风险。例如，作为技术它产生和处理的数据越来越多地被用于提供关键的服务和支持业务/任务决策时，应考虑网络安全事件对组织、个人健康和安全、环境、社区以及更广泛的经济和社会的潜在影响。

        管理网络安全风险，明确了解组织的业务驱动因素需要特定于其技术使用的安全考虑。因为每个组织的风险、优先级和系统是独特的，工具和方法用于实现结果框架的描述会有所不同。

        认识到保护隐私和公民自由在创造更大的公众信任，当关键基础设施组织进行网络安全活动时，该框架包括一种保护个人隐私和民事行为的方法自由。许多组织已经有了处理隐私和公民自由的程序。该方法旨在补充此类流程，并提供指导，以促进隐私风险管理与组织的网络安全风险管理方法一致。整合隐私和网络安全可以通过增加客户而使组织受益信心，使信息共享更加标准化，以及简化跨法律制度的操作。

        框架仍然有效，并支持技术创新，因为它是技术中立，同时也引用各种现有的标准、指导方针和实践与技术发展。依靠这些全球标准、指导方针和实践由行业开发、管理和更新的工具和方法，以实现框架成果将跨越国界，承认网络安全的全球性风险，并随着技术进步和业务需求而发展。利用现有的和新兴的标准将使规模经济成为可能，并推动有效的发展满足确定的市场需求的产品、服务和实践。市场竞争也促进这些技术和实践的更快传播，并为这些部门的利益相关者实现许多好处。基于这些标准、指导方针和实践，框架提供了一个公共的组织的分类和机制:

1)描述他们当前的网络安全态势;

2)描述网络安全目标状态;

3)识别和优先考虑改进的机会连续和可重复的过程;

4)评估目标状态的进展情况;

5)内部和外部利益相关者就网络安全风险进行沟通。

      该框架并不是一种管理网络安全风险的万能方法基础设施。组织将继续有独特的风险-不同的威胁，不同的脆弱性，不同的风险容忍度。它们在如何定制实践方面也会有所不同在框架中描述。组织可以确定哪些活动对至关重要提供服务，并可以优先考虑投资，以最大限度地发挥每一美元的作用。最终，该框架旨在减少和更好地管理网络安全风险。要考虑组织的独特网络安全需求，有各种各样的方法使用框架。关于如何应用它的决定留给实现组织。例如，一个组织可以选择使用框架实现阐明所设想的风险管理实践的层次。另一个组织可能使用框架的五个功能分析其整个风险管理组合;这种分析可能不依赖更详细的配套指导，如控件目录。有时是关于框架的“遵从性”的讨论，而框架具有作为一个组织和表达符合组织自身要求的结构和语言网络安全的需求。然而，框架可以有各种各样的方式被一个组织使用意味着像“遵循框架”这样的短语可以让人困惑的是，不同的利益相关者有不同的理解。

        该框架补充而不是取代组织的风险管理过程和网络安全计划。组织可以使用它当前的过程和利用框架，以确定机会，加强和沟通其管理网络安全风险与行业惯例一致。或者，一个没有现有的网络安全计划可参考该框架建立网络安全计划。

        而该框架的开发是为了改善相关的网络安全风险管理对于关键基础设施，它可以被经济或社会的任何部门的组织使用。它旨在对公司、政府机构和非营利组织有用，不管它们的关注度或大小。标准、指导方针和实践的通用分类法它提供的也不是特定国家的。美国以外的组织也可以使用该框架将加强自身的网络安全努力，而该框架可以作出贡献为关键基础设施的国际合作发展一种共同语言网络安全。

1.1 框架概览

图：框架三大核心组件

        该框架是一种基于风险的管理网络安全风险的方法，包括三部分:框架核心、框架实现层和框架配置文件。每个框架组件都加强了业务/使命驱动与网络安全活动之间的联系。下面将对这些组件进行解释。

        核心框架是一组网络安全活动，期望的结果和适用的参考，在关键的基础设施领域是常见的。该核心以一种允许从执行层到实施/运营层的整个组织的网络安全活动和结果交流的方式提出了行业标准、指南和实践。框架核心由5个并发和连续的功能组成:识别，保护，检测，响应，恢复。当综合考虑时，这些功能提供了组织网络安全风险管理生命周期的高级战略视图。然后，框架核心为每个功能确定潜在的关键类别和子类别(它们是离散的结果)，并将它们与示例信息参考(如每个子类别的现有标准、指南和实践)进行匹配。

        框架实现层(“层”)提供了组织如何看待网络安全风险以及管理该风险的流程的上下文。层级描述了组织的网络安全风险管理实践在何种程度上表现出框架中定义的特征(例如，风险和威胁感知、可重复和自适应)。这些层次描述了一个组织的实践范围，从局部(第1层)到适应性(第4层)。这些层次反映了从非正式的、反应性的、敏捷的和风险知情的方法的进展。在层级选择过程中，组织应考虑其当前的风险管理实践、威胁环境、法律和法规要求、业务/任务目标和组织约束。

       框架概要(“概要”)表示基于业务需求的结果组织已从框架类别和子类别中进行了选择。概要文件可以被描述为在特定的实现场景中与框架核心的标准、指导方针和实践的一致。通过比较“当前”配置文件(“现状”状态)和“目标”配置文件(“未来”状态)，配置文件可用于识别改善网络安全状况的机会。为了开发概要文件，组织可以审查所有的类别和子类别，并根据业务/任务驱动因素和风险评估确定哪些是最重要的;它可以根据需要添加类别和子类别来处理组织的风险。然后，可以使用当前概要文件来支持目标概要文件进展的优先级和度量，同时考虑其他业务需求，包括成本效益和创新。概要文件可用于组织内部或组织之间进行自我评估和沟通。

1.2 风险管理和网络安全框架

        风险管理是识别、评估和应对风险的持续过程。来管理风险，组织应该了解事件发生的可能性和可能产生的影响。有了这些信息，组织就可以确定实现其组织目标的可接受风险级别，并将其表示为风险容忍度。   

        通过对风险容忍度的理解，组织可以优先考虑网络安全活动，使组织能够对网络安全支出做出明智的决定。风险管理方案的实施为组织提供了量化和沟通调整他们的网络安全计划。组织可以选择处理风险的不同方式，包括减轻风险，转移风险，避免风险，或接受风险，取决于对关键服务交付的潜在影响。该框架使用风险管理流程使组织能够通知并确定优先级关于网络安全的决定。它支持重复风险评估和验证帮助组织选择网络安全活动的目标州的业务驱动程序想要的结果。因此，框架使组织能够动态地选择和直接改善IT和ICS环境的网络安全风险管理。

        框架是自适应的，可以提供灵活的、基于风险的实现拥有一系列广泛的网络安全风险管理流程。网络安全风险的例子管理过程包括国际标准化组织(ISO) 31000:2009, ISO/国际电工委员会(IEC) 27005:2011, NIST特殊出版(SP) 800-39和电力分部门网络安全风险管理过程(RMP)指南。