NIST CSF是一個關鍵的網絡安全指南，不僅適用于組織內部，還可幫助管理第三方網絡安全風險。CSF核心包含了六個關鍵功能——治理、識別、保護、檢測、響應和恢復，以及與這些功能相關的類別和子類別。本文將深入探討CSF核心的主要內容，及其使用方法。關鍵字：網絡安全框架；CSF核心；威脅檢測

一

內容簡介

NIST將CSF核心定義為一系列網絡安全活動、期望的結果，以及適用于關鍵基礎設施部門的信息參考。CSF核心提供了與網絡安全相關的行業標準、指南和實踐，幫助整個組織從管理層到實施/運營層就具體的網絡安全活動和任務目標進行高級別的溝通和交流。

表1給出了CSF核心在各個版本中的內容變化情況，在2.0正式版本中，NIST對CSF核心的修改主要體現在以下方面：

（1）增加“治理”功能

NIST將向CSF添加跨領域的“治理”組件，重點關注組織環境、風險管理策略、政策以及角色和職責，該調整將會影響監管機構和組織評估網絡安全活動有效性的方式。

（2）新增供應鏈風險管理

更新后的框架預計將更好地納入供應鏈風險管理、隱私風險管理和更重要的網絡安全措施等關鍵領域，以確保其在未來十年的相關性，解決相關領域技術和風險的最新變化。

（3）與國際標準接軌

CSF 2.0將提高與美國、國際網絡安全標準和實踐的一致性，與ISO 27001和GDPR等其他標準和框架保持一致，以增強使用性和靈活性。

（4）更新功能類別

CSF 2.0將在整個框架中對功能、類別和子類別進行大量添加、刪除或修改，并刪除對關鍵基礎設施的具體提及，以強調該框架對各類行業組織的適用性。

二

關鍵功能

CSF核心包含了治理、識別、保護、檢測、響應和恢復六個功能，涵蓋了網絡安全活動的流程、能力、內容和日常工作。

圖1 NIST CSF Core功能與分類

1．治理（Govern）

CSF 2.0引入了新的“治理”功能，旨在建立組織的企業風險管理策略，包括網絡風險、供應鏈風險和隱私風險。該功能涵蓋人員、流程和技術元素，除了整個CSF實施過程中的技術之外，還涵蓋角色、職責、政策、程序和監督。治理功能包含6個關鍵類別：●組織上下文（GV.OC）：理解與組織網絡安全風險管理決策相關的外部因素，包括任務、利益相關者的期望、法律、合規及合同要求等。●風險管理戰略（GV.RM）：確定并溝通組織網絡安全風險管理的優先事項、限制、風險承受能力、風險偏好及其假設，并應用于支持運營風險決策?！窠巧?、責任和權限（GV.RR）：建立并傳達了組織網絡安全的角色、職責和權限，以促進責任問責、績效評估和持續改進?！裾撸℅V.PO）：建立、傳達和執行了組織的網絡安全政策。●監督（GV.OV）：利用組織范圍內網絡安全風險管理活動的成效，指導、改進和調整風險管理戰略?！窬W絡安全供應鏈風險管理（GV.SC）：網絡供應鏈風險管理流程由組織利益相關者共同確定、建立、管理、監控和改進。網絡安全形勢處于不斷變化的狀態，威脅不斷變化，業務環境不斷變化，以及相應的應用程序和基礎設施發生變化?！爸卫怼笨纱_保組織在實施CSF的其他五個核心職能時，網絡安全策略與組織使命、業務目標、可接受的風險和利益相關者的期望保持一致，以適應外部環境。

2．識別（Identify）

“識別”功能旨在發現組織面臨的特定風險。因此，在實施必要的保護措施之前，了解需要保護的內容及其原因很重要。該功能涵蓋所有基礎信息，包括數據、資產和系統，對所有資產進行盤點，確定資產的連接和關聯方式，并定義保護這些資產的員工角色和職責。“識別”功能包含三個關鍵類別：●資產管理（ID.AM）：按照組織風險戰略，對資產（例如，數據、硬件、軟件、系統、設施、服務、人員）進行識別和相應的管理?！耧L險評估（ID.RA）：評估組織人員、資產和運營的潛在風險。●改進（ID.IM）：識別、確定網絡安全風險管理在流程、程序和活動方面的改進措施。簡而言之，成功實施“識別”，有助于了解組織當前的安全狀況，也有助于制定計劃以達到所需的安全狀態。

3．保護（Protect）

“識別”功能主要關注監控和評估，而“保護”功能則更注重行動，其目的是限制或遏制潛在的網絡威脅。為保護組織業務環境，可采取的主要行動包括：●身份管理、認證和訪問控制（PR.AA）：僅為授權用戶、服務和硬件提供針對物理、邏輯資產的訪問，并按照非授權訪問的安全風險進行管理?！褚庾R與培訓（PR.AT）：為組織人員提供網絡安全意識培訓，以便他們能夠勝任與網絡安全相關的任務?！駭祿踩≒R.DS）：數據的管理與組織的風險戰略一致，以保護信息的機密性、完整性和可用性。●平臺安全（PR.PS）：物理和虛擬平臺的硬件、軟件（例如，固件、操作系統、應用程序）和服務的管理與組織的風險戰略一致，以保護其機密性、完整性和可用性。●技術架構彈性（PR.IR）：安全架構的管理與組織的風險戰略一致，以保護資產的機密性、完整性和可用性，并確保組織的彈性。值得注意的是，“保護”功能不僅僅是防止網絡威脅。有時，網絡安全事件是不可避免的。因此，保障措施還應包括遏制事件影響的措施。

4．檢測（Detect）

檢測功能主要是在威脅事件發生時，能夠立即發現它們，旨在強調識別安全漏洞的及時性。此處的“威脅事件”是指給定系統或環境中的異常行為。例如，該行為可能包括檢測到新設備，或授權用戶登錄失敗等?？梢姡瑱z測功能需要從廣泛的網絡安全角度，來識別業務環境的任何變化。該功能中的主要類別包括：●持續監控（DE.CM）：監控組織資產的使用，以發現異常、失陷指標和其他潛在的不良事件?！裢{事件分析（DE.AE）：對異常、失陷指標和其他潛在不良事件進行特征分析和定義，并檢測網絡安全事件。

5．響應（Respond）

響應功能是遏制網絡事件影響的能力，制定并實施適當的活動，針對檢測到的網絡安全事件采取行動。全面的網絡安全事件響應計劃是最好的響應起點，詳細說明IT團隊在發生漏洞、泄露或攻擊時應采取的措施。該功能的主要類別包括：●安全事件管理（RS.MA）：對檢測到的網絡安全事件進行管理?！癜踩录治觯≧S.AN）：對安全事件進行調查，以確保有效的響應，并支持取證和恢復活動?！癜踩录憫獔蟾婧蜏贤ǎ≧S.CO）：根據法律、法規和政策要求，協調內部和外部利益相關者，對安全事件響應進行溝通和報告。●安全事件緩解（RS.MI）：防止事件擴散，并降低其影響。在網絡事件響應中明確角色和職責非常重要，確保員工了解自己在保護業務環境方面的角色，以便遵循、實施事件響應計劃。最后，報告所有安全事件至關重要，以便確定問題原因，以及未來可以改進的內容。

6．恢復（Recover）

恢復是CSF的最后一個核心功能，主要關注在事件發生后，恢復受網絡安全事件影響的資產和運營活動。該功能的主要類別包括：●安全事件恢復計劃執行（RC.RP）：按計劃開展恢復活動，以確保受網絡安全事件影響的系統和服務可用?！癜踩录謴蜏贤ǎ≧C.CO）：在實施恢復時，與內部和外部各方進行協調溝通。全面的業務連續性和災難恢復計劃對于成功實施恢復功能至關重要。該計劃應包括備份數據的完整說明，并優先考慮擬議恢復計劃的行動步驟。

三

使用方法

CSF是一個基于結果的框架，而并非具體的控制措施，這也使得組織能夠從建設網絡安全基礎能力和措施出發，以滿足當前乃至未來法規的合規性要求，因此，在組織內實現NIST CSF是一個非常有價值的挑戰?？蚣芎诵倪€提供了兩種附加資源，來幫助組織了解如何實現功能、類別和子類別。

1、參考信息

參考信息是來自標準、指南、法規和其他資源的指導性內容，比子類別更加具體，例如來自SP 800-53《信息系統和組織的安全與隱私控制》的控制。在這種情況下，組織可以使用多個控制來實現某個子類別中描述的結果。

2、實施示例

除了參考信息提供的指導之外，實施示例可以提供簡明、面向行動的步驟性示例，以幫助實現子類別的結果，但這些示例并非是組織為實現結果可以采取的所有行動的詳盡列表，也不代表解決網絡安全風險所需的基準行動。雖然信息參考和實施示例被視為核心的一部分，但它們只在NIST CSF網站上單獨維護，并以在線格式存儲。組織可以在實施CSF Core時，可隨時利用NIST網絡安全和隱私參考工具（CPRT），獲得最新的參考和示范，也可以隨時通過NIST國家在線信息參考（OLIR）計劃提交更新建議。

審核編輯 黃宇