图1 美国NIST网络安全框架与C2M2实施关系
由图1可知,美国通过网络安全增强法案规范约束网络安全框架,并且通过网络安全框架指导网络安全能力成熟度模型落地实施,而能力成熟度模型又可以用来指导不同行业的应用 。
基于网络安全框架和C2M2模型,研究人员开发了基于经验范式的网络安全脆弱性缓解框架;采用多目标决策分析(Multi-Criteria Decision Analysis,MCDA)技术与加权依赖结构,吸收网络安全框架的核心关键要素,通过对一个关键基础设施中的工业控制系统网络进行安全评估,展示了网络安全框架和能力成熟度模型的融合应用,不仅进行网络安全漏洞分析,而且进行网络安全漏洞缓解的优先级分析 。
2 美国《关键基础设施网络安全改进框架》结构与实施步骤
分析美国网络安全框架的主要结构与实施步骤,明确各个实施步骤之间的逻辑关系 。
2.1 框架结构
美国国家标准和技术研究院(NIST)制定的网络安全框架是一套基于网络安全与管理风险、针对关键基础设施安全风险管理的框架 。框架由框架核心、框架层级、框架轮廓三个部分组成 。
框架核心:提出了由业界认可、并且在网络安全风险管理中有价值的保护措施 。包括功能、主分类、子类、参考文献四个方面的要素 。其中,功能由识别、保护、检测、响应、恢复五个部分组成 。
框架层级:框架包括四个不同的层级,(1 级)局部实施;(2 级)风险告知;(3 级)可重复性;(4 级)自适应能力 。
框架轮廓:框架轮廓被定义为在特定应用中标准、指南和实践的最优组合,从而通过自我评估进行沟通 。通过当前轮廓(Current Profile)与目标轮廓(Target Profile)的综合比较,确定当前措施是否改善了网络安全风险态势 。在业务驱动和安全风险评估基础上,比对所有的主分类和子类,确定哪些风险优先级最高,从而处理特定的高风险类别 。
2.2 实施步骤
网络安全框架提出了基本的网络安全实施流程,包括完备的七个步骤:
第一步:优化并确定目标范围 。
第二步:定向 。确定相关系统和资产,进而识别系统和资产的网络安全威胁与安全漏洞 。
第三步:创建当前系统轮廓 。通过选择框架核心的主分类和子类,开发系统当前的目标轮廓 。
第四步:对系统进行风险评估 。
第五步:创建目标系统轮廓 。创建目标系统轮廓,描述组织目标系统网络安全的主分类和子类评估方法 。
第六步:确定、分析并且优化轮廓差异 。
第七步:根据轮廓差异组织实施行动 。
3 美国网络安全框架与C2M2实践的结合——以《能源行业网络安全框架实施指南》为例
2015年1月,美国能源部以网络安全框架为参考依据,结合能源行业网络安全现状制定了《能源行业网络安全框架实施指南》,以帮助美国能源行业建立并调整现有网络安全风险管理规划,实现网络安全风险管理目标 。《能源行业网络安全框架实施指南》详细阐述了C2M2如何映射到网络安全框架,主要包括步骤映射、框架层级映射、框架核心子类别映射 。
本文分七个步骤展示美国能源行业C2M2如何映射到网络安全框架(以下简称框架),具体映射步骤如表1至表7所示 。
第一步,确定优先级和范围 。美国能源行业C2M2实施步骤一到框架的映射如表1所示:
如表1所示,映射主要包括输入、活动、输出三部分 。在C2M2实施中,要评估的每个子集都称为功能 。能源行业网络安全能力成熟度模型(Electricity Subsector Cybersecurity Capability Maturity Model,ES-C2M2)具有一些预定义的能源行业特定的功能和作用域 。
推荐阅读
- 迷你世界怎么用微缩模型做生物 方法其实很简单
- 如龙极2主角模型怎么修改 如龙极2快速修改主角模型教程
- 魔兽争霸3重制版角色预览 魔兽争霸3重制版人物模型分享 伊利丹
- 魔兽争霸3重制版兽族英雄介绍 兽族英雄模型技能一览 剑圣_网
- 魔兽争霸3重制版亡灵英雄大全 亡灵英雄模型技能一览 死亡骑士_网
- 宝可梦探险寻宝高级球模型获得方法 高级球模型点券
- 宝可梦探险寻宝大师球模型获得方法 大师球模型点券
- 微软飞行模拟飞机没有进离场模型怎么办 飞机进离场模型找回
- 《黎明杀机》卡模型bug玩法解析攻略
- 迷你世界怎么把微型模型打开 具体步骤分享