NIST網絡安全框架，是美國國家標準與技術研究所發布的一份指南，旨在指導各種企業和組織重視信息安全。該框架最早在2014年2月頒布，在今年的1.1新版本中也新增了內容。該框架最早應用在美國國家基礎安全設施機構，如電力機構等等。由于它提供了一個通用性的指導，因此能夠適應并應用在不同需求的企業中，現在已得到在美國國內及世界各地的廣泛應用。

該框架使企業和組織有可能應用風險管理的原則和最佳實踐案例，來提升關鍵基礎設施的安全性和彈性。它為各種組織和機構提供已實施在行業中的最佳案例。盡管這個框架是自愿性的，許多組織和機構都已采用這種框架。

這份視頻展示了為什么各種規模的企業和組織都可以應用NIST框架來管理他們企業在信息安全層面的風險。Baldrige Cybersecurity Excellence Builder，一款評估工具，還能幫助企業衡量使用該框架的效益。

最新特點

當前修改版本中的一些引人注目的特征包括：

第一，檢測的企業或組織的網絡風險系統的作用及完善程度。

第二，它還能夠根據所檢測的指標，給出相關聯的商業目標及結果，指出所需要付出的努力及復雜度。這意味著新版本中同時能夠衡量兩個問題，這個企業或組織如何降低業務風險，而良好的網絡安全能夠為它帶來多少正面收益，如因此獲得了多少新用戶，帶來了多少收益。

第三，訪問控制類別在框架內發生了變化，它被重命名為身份管理和訪問控制。此次更名確保了從創建時間到停用的整個過程中，對于用戶身份和憑據的管理。例如，確保用戶S的身份；證實這真的S在使用證書；確保S離開公司時，憑證被更改或停用。這種變化是積極的一步，同時控制了訪問的資源對象并確保了對象的身份。

框架內容組成

本框架基于管理網絡安全風險，由三個部分組成：框架核心（Core），框架實現層級（Implementation Tiers）和框架輪廓（Profiles）。框架組件的每一部分都強調了企業自身及網絡安全活動之間的連接。

其中，框架的核心組成部分具有五個并發的功能，包括識別，保護，檢測，響應和恢復。這些功能從一個企業或者組織的網絡安全風險管理的整個生命周期的角度，提出了高層次戰略性的觀點。

而框架實現層級則讓這些企業或組織了解網絡安全風險的背景，以及以何種流程進行風險管理。實現層級描述了大量實踐中表現出的框架特征，如風險和危險感知，可重復性和可適應性。

框架執行層可以被定義為，框架核心在特定實施場景中的模式、指導及實踐的統一。它會通過將當前實際的狀況（”how it is”）與理想目標（”how it will be”）進行比較，識別能夠改善網絡安全狀態的關鍵點。

框架優勢

此框架能靈活應用到各行各業，它可以檢測并響應新興市場中出現的新威脅，包括勒索軟件，IoT入侵和其他新型惡意軟件。由于風險管理是一個持續的過程，包括了風險識別，風險評估和應對風險的措施，該框架建議企業必須了解風險事件發生的可能性及其發生后的影響，以此實現更好地管理風險的目標。這樣，企業能夠確定可接受的服務風險級別，即表現為企業風險承受能力。理解自己的風險承受能力讓企業提高網絡安全措施的優先級。該框架對不同行業表現出適應性的特點是極為重要的，企業需要對各種風險及時響應。

我們在此次更新中改善并加強了一些表述來使企業及組織應用時更方便使用這份框架，與初始版本的框架保持兼容，依舊保持了框架的自愿性和靈活適應性。——NIST網絡安全框架項目經理Matt Barrett

隨著云計算，大數據和分析技術達到新的水平，安全問題在醫療保健，電網，物聯網和商業的所導致的可能危害也在與日俱增。此次框架分層全面闡述了信息安全在企業中的實踐，其推薦的實踐方法，能夠有效幫助企業和組織能夠有效隔離威脅，保護企業資產。

*參考來源：securityaffairs，nist，FB小編Elaine編譯，轉載請注明來自FreeBuf.COM