NIST网络安全框架2.0草案解读

一.  简介

NIST的网络安全框架2.0（CSF2.0）草案的目的为行业、政府机构和其他组织提供指导，以降低网络安全风险。它提供了一种高阶（概要）的网络安全结果的分类，它可被任何组织使用，无论其规模、部门或成熟度如何。该框架并没有规定应该如何实现这些结果，而是为实现这些结果提供指导。

该框架由三个部分组成：框架核心（Core）、实现层级（Tier）和配置文件（Profile）（注，ver1.0、ver1.1、ver2.0均为此三部分），如图1所示。配置文件和层级是帮助组织将框架付诸实践的工具，以在降低网络安全风险方面为行动设定优先级。

图1. 网络安全框架的三个主要部分

在制定网络安全框架的过程中，NIST遵循如下要求：

采用通用语言

适用于许多技术、生命周期阶段、部门和用途

结果导向

基于风险

参考各种国际国内标准

活的文件（持续更新）

兼收并蓄，吸收多方面的观点为，包括私营部门、学术界、公共部门等的

二．CSF2.0草案核心

框架核心（Core）提供了一组网络安全结果（按功能/任务、类别和子类别排列），如何实现这些结果的示例，以及关于如何实现这些结果的附加指南（信息参考），如图2所示。核心中的网络安全结果声明反映了跨部门的活动，并且是技术中立的。这些活动不是必须执行的行动清单。为实现网络安全结果所采取的具体行动将因组织和用例而异，负责这些行动的责任人也会不同。此外，核心中的功能（function）、类别和子类别的顺序并不意味着它们应该被实现的顺序或它们的相对重要性，其排序是为了交流中的一致性。

图2. 网络安全框架核心

2.1

六大功能

CSF2.0草案核心包含有六大功能以及实施例和参考信息。六大功能为：

治理（GV）-建立和监控组织的网络安全风险管理策略、期望和政策。

识别（ID）-帮助确定该组织当前的网络安全风险。

保护（PR）-使用安全措施来预防或降低网络安全风险。

检测（DE）-查找和分析可能的网络安全攻击和妥协。

响应（RS）-对检测到的网络安全事件采取行动。

恢复（RC）-恢复受到网络安全事件影响的资产和操作。

图3. CFS2.0草案六大功能关系图

“治理”处在中间的位置，它指示着如何实现其他五项功能。要形成和维护一种应对动态网络安全风险的文化，这些功能必须同时实现。治理、识别、保护和检测应是持续的，响应和恢复行动则应时刻准备，并在网络安全事件发生时执行。

类别（Categories）是一个功能对相关网络安全结果组的细分。子类别（Subcategories）进一步将一个类别划分为技术活动和管理活动的具体结果。子类别不是完全详尽的，但有助于实现每个类别的结果。

2.2

实施例和参考信息

实施例和参考信息是两类额外的信息，以帮助实现框架核心中的功能、类和子类。

参考信息是告知组织实现功能、类别和子类可参考的标准、指导方针、法规和其他资源。

有时，参考信息比子类更具体。

实施例则提供简明的、面向行动步骤的概念性例子，以帮助实现子类别的结果。

实施例和参考信息虽然也视作框架核心的组成部分，但以在线的方式提供，以便及时更新。

三．如何使用CSF

网络安全框架可以以多种不同的方式使用，它的使用将根据组织的独特使命和风险而有所不同。通过了解利益相关者的期望、风险偏好和容忍度，组织可以优先考虑某些网络安全活动，以使他们能够就网络安全支出和行动做出明智的决定。组织可以以不同的方式处理风险——包括减轻、转移、避免或接受风险，组织也可以使用该框架监督第三方。

网络安全框架提供了一个灵活的、基于风险的实施方案，可与广泛的网络安全风险管理流程一起使用，例如“国际标准化组织(ISO) 31000:2018”、“ISO/IEC 27005:2022”、“SP800-37信息系统和组织的风险管理框架: 安全和隐私的系统生命周期方法”以及“电力分行业网络安全风险管理流程(RMP)指南”等。

使用该框架的几种方法：

创建和使用框架配置文件来理解、评估和沟通该组织的当前或目标网络安全态势，并为实现目标网络安全姿态优先考虑结果。

评估该组织在网络安全成果方面的成就。

用层级来描述网络安全风险管理结果。

改善与内部和外部利益相关者的网络安全沟通。

管理整个供应链中的网络安全风险。

3.1

配置文件

依据框架核心内容中的结果来描述组织当前或目标网络安全姿态的机制称为框架配置文件。创建和使用配置文件，目的是为了理解、评估、确定优先级和沟通。

配置文件用于根据组织的任务目标、利益相关方期望、威胁环境、需求和主要实践（特定部门或技术的实践），来理解、评估、确定优先级，并定制部门中立和技术中立的核心结果（即功能、类别和子类别），如图4所示。然后，组织可以优先考虑某些行动，以实现特定的结果，并将这些信息传达给内部和外部的利益相关方。

图4. 配置文件

当前配置文件涵盖了组织当前实现（或试图实现）的核心结果，并描述了每个结果如何实现的或实现到何种程度。

目标配置文件涵盖了一个组织为实现其网络安全风险管理目标而从框架核心中选择的需要优先考虑的预期结果。目标配置文件需考虑组织的网络安全姿态的预期变化，如新的要求、新技术的采用和网络安全威胁情报趋势。

创建和使用配置文件的步骤如图5所示。

图5. 创建和使用配置文件的步骤

3.2

层级

层级用于描述网络安全风险管理的结果。层级的选择有助于为组织内就如何管理网络安全风险设定总体基调，并确定达到选定层所需的努力。层描述了组织的网络安全风险治理和管理结果的严谨性，并提供了组织如何看待网络安全风险以及管理这些风险的过程的上下文。

图6. 框架中的层级

层级从部分的（层级1）到自适应的（层级4）共分4级，如图6所示。它们反映了从非正式的、临时的响应到敏捷的、风险已知的和不断改进的方法的进展。

各个层级详细描述参见[1]附录B。这里仅简要说明其特征如下：

层级1：部分的，组织对于风险管理与治理是临时性的、不定期的，而对于其所用产品和服务的网络安全风险是不了解的。

层级2：了解风险的，风险管理实践得到了管理层的批准，组织层面意识到网络安全风险的存在，也了解供应链中的网络安全风险，但没有组织内部一致的应对风险的措施。

层级3：可重复的，组织的风险管理实践得到正式批准，并以策略的形式表达出来。管理网络安全风险有一个全组织范围的方法。管理供应链网络安全风险的全组织范围的方法体现在组织的企业风险管理政策、流程和程序中。

层级4：自适应的，整个组织都有一种管理网络安全风险的方法，组织预算基于对当前和预测的风险环境和风险承受能力的理解。组织根据以往和当前的网络安全活动，包括经验教训和预期指标，调整其网络安全做法。组织实时或准实时地了解与其提供和使用的产品和服务相关的网络安全风险，并有一个治理机构处理这些风险。

框架配置文件的创建或更新，可以考虑以层级描述作为指导。组织可能希望在其当前和目标配置文件中包含层级值（1到4）。例如，如果组织领导层已经确定组织应该处于第3层级（可重复的），那么当前的配置文件将反映出第3层级治理和管理特征的实现情况。目标配置文件将反映出完全实现第3层级的描述所需的任何额外结果。

四．2.0版（草案）与1.1版（2018）的对比

CSF2.0（草案）在CSF1.1的基础上进行了较大的调整。

4.1

正式更名为“网络安全框架”

文件标题直接更名为网络安全框架，而前面的两个版本1.0和1.1，其官方名字都是以关键基础设施为对象，“网络安全框架”只是通常的叫法。而在2.0版，取消了“关键基础设施”这一限定词，表示其重点已被修改为关注世界各地的组织，以反映该框架的广泛适用性和国际应用。

4.2

强调网络安全治理

在ver2.0草案中，核心功能由原来的5个调整为六个。在ver1.1中，“治理”不是核心功能，只是核心功能“识别”中的一个类别。在ver2.0草案中，“治理”调整到与其他的几个核心功能平级，体现了对于治理的重要性认知。不仅如此，所有的其他功能，都与“治理”相交叉。对比如图7和图3所示。NIST认为，在 CSF 2.0中扩大对治理的考虑有很多好处。这一新的交叉功能将强调网络安全治理对于管理和降低网络安全风险至关重要，并促进网络安全活动与企业风险和法律要求的一致性。交叉治理功能也与人工智能风险管理框架草案和隐私框架中的治理功能相一致。在人工智能风险管理框架草案中，AI风险管理的功能有治理、映射、测量和管理人工智能风险，治理被设计为一个跨领域的功能，以告知并注入其他三个功能，如图8所示。这些充分说明，在网络安全、人工智能风险管理、隐私保护等方面，人们逐渐认识到治理的重要性。

图7. CFS Ver1.1 概念图[2]

图8. 人工智能风险管理框架草案中的功能[3]

4.3

强调供应链安全

CSF Ver2.0 草案对供应链安全的关注有所增强。它提供了更多关于如何评估和管理供应链中的安全风险的指导。这反映了对供应链安全的日益重视，并提供了更具体的建议，以确保从供应商和合作伙伴那里获取的产品和服务的安全性。Ver1.1和Ver2.0核心功能与类别对比如图9所示。

(a) Ver1.1核心功能与类别

(b) Ver2.0核心功能与类别

图9. 框架核心功能与类别

4.4

强调国际合作与参与

CSF的国际使用将提高网络安全工作的效率和效果。CSF1.1在其他国家制定的战略、政策和指导中经常被引用，CSF的早期版本，已有9种语言的翻译版，包括：西班牙语、日语、葡萄牙语、 阿拉伯语、保加利亚语、波兰语、印度尼西亚语、法语、乌克兰语。NIST 还将在先前翻译工作的基础上，优先与组织合作开发 CSF 2.0 的翻译。NIST 鼓励提交 CSF 的国际翻译、改编和其他资源。

五.  NIST网络安全框架的历程

在2013年2月的美国总统令13636“提升关键基础设施网络安全”下，NIST于2013年7月发布“提升关键基础设施网络安全框架：初始版”，并于2014年2月发布正式版（CSF 1.0）。NIST于2018 年对该文件进行了修订更新，发布CSF 1.1。美国网络安全框架的发展历程如图10所示。

图10. 网络安全框架的发展历程

2022年2月22日，NIST发布“关于评估和改善网络安全资源的信息请求：网络安全框架和网络安全供应链风险管理”[4]，进而开启了框架的修订之旅。此后，2022年8月，NIST组织了第一次研讨会，2023年2月，组织第二次研讨会，2023年8月发布2.0版草案。如图11为CSF2.0的时间线，NIST预计2023年9月组织第三次研讨会，CSF2.0正式版预计于2024年早期发布。

图11. CFS2.0时间线

六.  小结

随着技术的发展以及全球网络安全态势的变化，NIST适时地对网络安全框架进行了更新，以使其更符合网络安全保障的需要。同时，NIST将其网络安全框架推广到国际应用，一方面彰显其网络安全大国地位，另一方面也进一步增强了其网络安全领域的国际影响力。

参考文献

1. The NIST CybersecurityFramework 2.0, Initial Public Draft, August 8, 2023

2. Amy Mahn,Cherilyn Pascoe,It’s a Journey…Whereis NIST Headed with the Cybersecurity Framework,RSAC2023

3. NIST, ArtificialIntelligence Risk Management Framework (AI RMF 1.0),January 2023

4. https://www.govinfo.gov/content/pkg/FR-2022-02-22/pdf/2022-03642.pdf

内容编辑：创新研究院 李德全

  责任编辑：创新研究院 董炳佑