企业如何应对安全威胁?看更新的NIST网络安全框架 | 视频

NIST网络安全框架,是美国国家标准与技术研究所发布的一份指南,旨在指导各种企业和组织重视信息安全。该框架最早在2014年2月颁布,在今年的1.1新版本中也新增了内容。该框架最早应用在美国国家基础安全设施机构,如电力机构等等。由于它提供了一个通用性的指导,因此能够适应并应用在不同需求的企业中,现在已得到在美国国内及世界各地的广泛应用。

该框架使企业和组织有可能应用风险管理的原则和最佳实践案例,来提升关键基础设施的安全性和弹性。它为各种组织和机构提供已实施在行业中的最佳案例。尽管这个框架是自愿性的,许多组织和机构都已采用这种框架。

这份视频展示了为什么各种规模的企业和组织都可以应用NIST框架来管理他们企业在信息安全层面的风险。Baldrige Cybersecurity Excellence Builder,一款评估工具,还能帮助企业衡量使用该框架的效益。

最新特点

第一,检测的企业或组织的网络风险系统的作用及完善程度。

第二,它还能够根据所检测的指标,给出相关联的商业目标及结果,指出所需要付出的努力及复杂度。这意味着新版本中同时能够衡量两个问题,这个企业或组织如何降低业务风险,而良好的网络安全能够为它带来多少正面收益,如因此获得了多少新用户,带来了多少收益。

第三,访问控制类别在框架内发生了变化,它被重命名为身份管理和访问控制。此次更名确保了从创建时间到停用的整个过程中,对于用户身份和凭据的管理。例如,确保用户S的身份;证实这真的S在使用证书;确保S离开公司时,凭证被更改或停用。这种变化是积极的一步,同时控制了访问的资源对象并确保了对象的身份。

框架内容组成

本框架基于管理网络安全风险,由三个部分组成:框架核心(Core),框架实现层级(Implementation Tiers)和框架轮廓(Profiles)。框架组件的每一部分都强调了企业自身及网络安全活动之间的连接。

其中,框架的核心组成部分具有五个并发的功能,包括识别,保护,检测,响应和恢复。这些功能从一个企业或者组织的网络安全风险管理的整个生命周期的角度,提出了高层次战略性的观点。

而框架实现层级则让这些企业或组织了解网络安全风险的背景,以及以何种流程进行风险管理。实现层级描述了大量实践中表现出的框架特征,如风险和危险感知,可重复性和可适应性。

框架执行层可以被定义为,框架核心在特定实施场景中的模式、指导及实践的统一。它会通过将当前实际的状况(”how it is”)与理想目标(”how it will be”)进行比较,识别能够改善网络安全状态的关键点。

框架优势

此框架能灵活应用到各行各业,它可以检测并响应新兴市场中出现的新威胁,包括勒索软件,IoT入侵和其他新型恶意软件。由于风险管理是一个持续的过程,包括了风险识别,风险评估和应对风险的措施,该框架建议企业必须了解风险事件发生的可能性及其发生后的影响,以此实现更好地管理风险的目标。这样,企业能够确定可接受的服务风险级别,即表现为企业风险承受能力。理解自己的风险承受能力让企业提高网络安全措施的优先级。该框架对不同行业表现出适应性的特点是极为重要的,企业需要对各种风险及时响应。

我们在此次更新中改善并加强了一些表述来使企业及组织应用时更方便使用这份框架,与初始版本的框架保持兼容,依旧保持了框架的自愿性和灵活适应性。 ——NIST网络安全框架项目经理Matt Barrett

随着云计算,大数据和分析技术达到新的水平,安全问题在医疗保健,电网,物联网和商业的所导致的可能危害也在与日俱增。此次框架分层全面阐述了信息安全在企业中的实践,其推荐的实践方法,能够有效帮助企业和组织能够有效隔离威胁,保护企业资产。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

震惊!Amazon每隔16秒调整一次云代码

众多竞争对手声称自己能够在客户的私有数据中心内部建立起与Amazon Web Services类似的系统,对此言论Amazon公司的一位高管表示“呵呵”。 Am...

29760
来自专栏ThoughtWorks

成都活动 | 6月30日「DevOps Open Day」报名进行中

那么你一定不能错过敏捷先驱ThoughtWorks的敏捷成熟度模型线下分享,这次我们精心准备了三个精彩话题:敏捷落地实践经验分享,助力团队敏捷转型;领域驱动设计...

11050
来自专栏企鹅号快讯

腾讯放大招!2018将是微信小程序和人工智能爆发的一年?

日前,微信更新了App版本,小程序一天内连发两个大招:小游戏和腾讯浏览器垂直搜索开放。相当于小程序最大的金矿型类目终于开放了。“玩一个小游戏才是正经事。” ? ...

28170
来自专栏云技术分享圈

云服务器已经初步替代了传统服务器,企业上云是趋势

大多数的企业、机构逐步转向云服务器,IT基础上不再采用传统服务器。只有一些传统企业没有上云,他们也在加快信息化进程,把业务送上云端。有研究机构调查显示,只有5%...

25040
来自专栏云计算D1net

创新将会出现在云端,边缘还是其他地方?

行业专家认为,创新不会发生在云端,而是在边缘。然而,边缘计算也只是云计算的一种延伸。那么这意味着什么?因为云计算和边缘计算可能会一起工作。 创新对于保持业务相关...

36380
来自专栏云计算D1net

云计算的6个未来趋势

1. 移动浪潮驱动下,云计算将无处不在 在手机、平板电脑等移动设备的驱动下,云计算的市场需求将获得进一步增长。每个部署在云端的应用程序,都将提升云计算的商业价值...

35240
来自专栏云计算D1net

为什么选择多云?为什么是现在?

18840
来自专栏PPV课数据科学社区

【资讯】大数据与云计算将改变传统数据库技术

长期以来,企业技术管理者面临着IT架构“自己搭建”还是“外部购买”的两难选择,而随着云数据库和数据库即服务(DBaaS)技术的不断成熟,管理者又...

34650
来自专栏企鹅号快讯

2017全球存储大会:存储设备面临三大挑战

据飞象网,12月25日消息,在近日的“2017全球存储大会”上,中国信息通信研究院副院长王志勤表示,互联网+、大数据等战略规划,给存储行业的发展带来了良好的机遇...

230100
来自专栏BestSDK

私有云、混合云、公有云,如何选择适合你的“云”?

从大的形势来看,现在企业的CIO和CTO们很难拒绝云计算向他们挥出的手,基于云计算所构建的IT能力其灵活性、成本和生产效率的优势是不可被忽略的。企业面临选择,也...

40540

扫码关注云+社区

领取腾讯云代金券