改进关键基础设施网络安全:NIST框架的解释

据相关人士透露，美国联邦政府与私营部门合作，加强关键基础设施部门的网络安全。在2014年ARC论坛上，NIST的Vicky Yan Pillitteri讨论了NIST网络安全框架和今天发布的行政命令13636，改善关键基础设施网络安全。

该政策创建了一个框架，通过共享威胁信息来降低网络安全风险。皮里特里说，该框架是通过咨询标准和与主要利益相关者举行研讨会来制定方法、程序和流程，作为框架的一部分。

网络安全因行业而异。例如，金融和水务行业在需求和方法上有所不同。她说，考虑到这种异质性，框架需要灵活、可重复和有效。

网络安全框架的3个主要元素

该框架包含三个主要要素:

1.核心:核心包含行业标准、指导方针和最佳实践。这些步骤是识别威胁、保护、检测、响应和恢复。这五个步骤中的每一个的类别和子类别都与信息资源的描述和链接相匹配。

2.层:实现层提供了组织如何看待网络安全风险以及如何管理该风险的上下文。层的范围从部分到自适应。

3.概要文件:概要文件将功能、类别和子类别结合起来，以适应组织内的风险。

网络安全框架旨在帮助组织:

• 审查实践
• 建立或完善自己
• 与利益相关者沟通
• 确定新的或修改的知情参考的机会
• 结合保护隐私和公民自由的方法。

该框架还包括定义的采用标准和所需步骤。但首要目标始终是支持行业，提高对网络安全考虑的意识。

该框架的1.0版本(它将不断发展)于今天(2月13日)在联邦公报(Federal Register)上发布网络安全框架网站．它包括一份草案，以确定进一步发展和协调的下一步步骤。路线图包括要解决的问题，例如关键基础设施的供应链连接。

——Mark T. Hoske, CFE媒体、控制工程和工厂工程内容经理mhoske@cfemedia.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。