3.4　業界常見的安全框架介紹

網絡安全框架很多，本節主要介紹兩種常見框架：NIST CSF框架和Gartner ASA框架。

3.4.1　NIST CSF網絡安全框架介紹

國際上有許多針對特定國家的網絡安全標準。一個典型的例子是2014年推出的NIST CSF網絡安全框架。該框架旨在幫助關鍵基礎設施領域的組織降低風險并保護其關鍵基礎設施。目前，該網絡安全框架已獲得全球大量政府和企業的認可及實施，最新發行的版本是2018年4月發布的1.1版本（見圖3-3）（包含5大功能領域，23個控制類，108個控制子類，6個信息參考族），可以直接在其官方網站（https://www.nist.gov/cyberframework）獲得相關文檔和材料。

NIST CSF網絡安全框架，提供了一種基礎風險的網絡安全風險管理方法，關注通過業務驅動指導網絡安全活動，并將網絡安全風險視為組織風險管理過程的一部分，從網絡安全對“物理”“網絡”“人”3個維度影響的角度，為解決網絡安全問題提供了一種靈活的方法。

該框架由框架核心、框架實現層級、框架概要3個部分組成。其中，框架核心提出了行業標準、指南和實踐，以便組織從管理層到執行層溝通網絡安全相關的活動和結果。框架核心包含框架功能、類別、子類別和參考性文獻4個要素，并將安全功能分為識別、保護、檢測、響應和恢復5個領域，以逐步提升組織的網絡安全成熟度，如圖3-4所示。

該框架核心的5個功能，并不需要一步步按順序執行，也不會促使實現最終的靜態目標。相反，它們可同時持續進行，從而形成能應對動態網絡安全風險的運營文化。如圖3-5所示，NIST CSF網絡安全框架的主要活動如下。

（1）識別（Identity）：幫助組織了解進而管理系統、人員、資產、數據和能力的網絡安全相關風險。

識別功能中的活動是有效使用框架的基礎。只有在了解組織業務、支持關鍵業務的資源及相關的網絡安全風險時，才能使組織根據其風險管理策略和業務需求將資源集中投入優先級高的工作中。此功能中的類別（Categories）包括“資產管理”“業務環境”“治理”“風險評估”“風險管理策略”等。

（2）保護（Protect）：制定并實施適當的保障措施，確保關鍵基礎服務的交付。

保護功能對于限制或遏制潛在網絡安全事件的影響能起到支持作用。此功能中的類別有“訪問控制”“安全意識和培訓”“數據安全”“信息保護流程和程序”“維護”“保護性技術”。

（3）檢測（Detect）：制定并采取適當措施識別網絡安全事件的發生。

檢測功能能夠及時發現網絡安全事件。此功能中的類別有“異常和事件”“安全持續監控”“檢測流程”。

（4）響應（Respond）：制定并實施適當的活動，用以對檢測到的網絡安全事件采取行動。響應功能支持對潛在網絡安全事件的影響進行遏制，此功能中的類別有“響應計劃”“溝通”“分析”“緩解”“改進”。

（5）恢復（Recover）：制定并實施適當的活動以保持計劃的彈性，并恢復由于網絡安全事件而受損的功能或服務。恢復功能可支持及時恢復至正常運行狀態，以減輕網絡安全事件的影響。此功能中的類別有“恢復計劃”“改進”“溝通”。

在框架實現層級上，根據組織在安全風險管理方面的實踐，該框架將實現分為了4個層級，從局部（1級）到自適應（4級），層級描述了網絡安全風險管理實踐中越來越嚴格和復雜的程度。它們有助于確定網絡安全風險管理在多大程度上滿足了業務需求，以及在多大程度上集成到了組織的整體風險管理實踐中。風險管理的考慮包括網絡安全的許多方面，如將對隱私和公民自由的考慮納入組織對網絡安全風險及潛在風險應對的管理的程度。

各層級定義如下。

第1級：局部（Partial）。

第2級：風險告知（Risk Informed）。

第3級：可重復（Repeatable）。

第4級：自適應（Adaptive）。

在層級選擇的過程中，組織應考慮其當前的風險管理實踐、威脅環境、法律和法規要求、信息共享實踐、業務（任務）目標、供應鏈網絡安全要求和組織限制。組織應確定期望達到的層級，確保所選擇的層級滿足組織目標切實可行，并且可將關鍵資產和資源的網絡安全風險降低至可接受水平。

建議層級為1級（局部）的組織考慮向2級或更高層級演進。需要注意的是，層級并不代表成熟度級別，而旨在協助組織在管理網絡安全風險時進行決策，以及確定組織內哪個方面的風險具有更高的優先級且可以獲得更多的資源。當成本效益分析表明可以切實有效地降低網絡安全風險時，則建議組織提升至更高的層級。

本網絡安全框架是否成功實施，是由是否實現組織目標概要中描述的成果來決定的，而不是由實現層級決定的。然而，實現層級的選擇和指定影響著框架概要。獲得高級管理層批準的、由業務（流程）層提出的實現層級建議，將有助于奠定組織內網絡安全風險管理的總體基調，并會影響目標概要中的優先級劃分和對彌合差距的進展的評估。

另外，盡管絕大多數組織認識到構建網絡安全框架的價值，但是實際調整和實現該框架還是有一定難度的。NIST提供了幫助組織根據實際情況實施NIST CSF網絡安全框架的指引，共包含以下5個步驟。

步驟1：設定目標。

步驟2：創建詳細的配置文件。

步驟3：評估當前狀態。

步驟4：缺口分析行動計劃。

步驟5：實現行動計劃。

NIST CSF網絡安全框架的詳細內容見其官方網站。

3.4.2　Gartner ASA自適應安全框架介紹

為應對云計算、大數據、物聯網及人工智能時代所面臨的新型安全威脅，Gartner于2014年提出了面向下一代的安全體系框架——自適應安全框架（Adaptive Security Architecture，ASA，見圖3-6）。該框架（ASA）從預測、防御、檢測、響應4個維度強調安全防護是一個持續處理的、循環的過程，細粒度、多角度、持續化地對安全威脅進行實時動態分析，自動適應不斷變化的網絡和威脅環境，并不斷優化自身的安全防御機制。

這4個維度的關鍵能力體現如下。

（1）防御：是一系列可以用于抵御攻擊的策略集、產品和服務。防御的關鍵目標是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動作。

（2）檢測：用于發現那些逃過防御的攻擊行為。檢測的關鍵目標是降低威脅造成的“停擺時間”及其他潛在的損失。檢測能力非常關鍵，因為組織應該假設自己已處在被攻擊狀態中。

（3）響應：用于高效調查和補救被檢測分析功能（或外部服務）查出的事故，以提供入侵認證和攻擊來源分析，并產生新的預防手段來避免未來的事故。

（4）預測：通過防御、檢測、響應結果不斷優化基線系統，逐漸精準預測未知的、新型的攻擊。主動鎖定對現有系統和信息具有威脅的新型攻擊，并對漏洞劃定優先級和定位。該情報將反饋到預防和檢測功能，從而構成整個處理流程的閉環。

自適應安全防護過程中的12個關鍵功能為：加固和隔離系統、轉移攻擊、事故預防、事故檢測、風險確認和排序、事故遏制、調查/取證、設計/模式改變、修復/改善、基線系統、攻擊預測、主動探索分析。

自適應安全框架（ASA）逐漸成為新型防御體系建設的重要參考，越來越多的網絡安全廠商使用自適應安全框架（ASA）各象限內容進行對標，以使自身的產品或解決方案能夠覆蓋多個領域或專注在某個垂直領域。

在ASA自適應安全框架發展的新階段，Gartner提出了CARTA模型（持續自適應風險與信任評估），這是自適應安全架構演進后形成的一個概念，作為對NIST CSF框架的補充，提供了全業務流程，覆蓋了從公司如何開發技術產品到供應鏈外部合作伙伴的整個過程。CARTA模型所強調的對風險和信任的評估分析，與傳統安全方案所采用的allow或deny的簡單處理方式完全不同，CARTA模型是通過持續監控和審計來判斷安全狀況的，它所強調的是沒有絕對的安全，或者說沒有100%的信任，尋求一種0和1之間的風險與信任的平衡。該模型已經擴展到了網絡之外，包括IT設施、風險合規治理等方面。在交互過程中不斷監視和評估風險和信任級別，如果發現信任下降或風險增加到了閾值，需要進行響應，就應該相應地調整訪問策略。

CARTA在戰略方法中強調要在交互期間持續監視和評估實體及其行為。在自適應安全架構中，CARTA戰略共包括7個建議。

（1）用可適應的、相互關聯的安全平臺替換一次性的安全門策略。

（2）自適應地發現、監控、訪問和風險優先級排序——主動響應。

（3）在數字業務初始階段及早執行風險和信任評估。

（4）裝置全方位、全環節的風險可視化基礎設施，包括敏感數據的處理。

（5）利用分析、AI人工智能和預編制來減少檢測和響應時間，并分配對應的資源。

（6）架構安全應作為一個集成的、自適應的可編程系統。

（7）將持續的數據驅動風險決策和風險責任制帶給業務部門和產品負責人。