【行业译文】NIST:网络安全碰上制造业,会撞击出什么火花?

美国国家标准与技术研究所(NIST)的信息技术实验室(ITL)通过为美国的测量和标准基础设施提供技术指导来促进美国的经济和公共福利。ITL开发测试、测试方法、参考数据、概念实施证明和技术分析,以推进信息技术的开发和生产性使用。ITL的职责包括为联邦信息系统中与国家安全相关的信息的成本效益安全和隐私制定管理、行政、技术和物理标准和指南。
根据NIST为制造业环境开发的网络安全框架(CSF)v1.1,为管理网络安全活动和降低制造系统的网络风险提供了一种自愿的、基于风险的方法。此文件旨在加强但并非取代目前制造商正在接受的网络安全标准和行业指南,可作为降低制造商网络安全风险的路线图,符合制造业目标和行业最佳实践。
《制造业网络安全框架v1.1》共包含7章内容:
  • 介绍

  • 制造业体系概览

  • 网络安全框架概览

  • 制造开发渠道

  • 制造业务/任务目标

  • 制造系统分类与风险

  • 制造概要子类别指南

1. 目标和适用范围
本文件提出了一个“目标”概要,重点关注期望的网络安全结果,并提供了一种方法来达到制造业系统的网络安全态势的期望状态。它可用于通过比较当前状态与期望的目标状态来确定改善网络安全态势的机会。
对配置文件(例如,当前配置文件和目标配置文件)的比较可能会揭示需要解决的差距,以满足网络安全风险管理目标。差距缓解的优先级由组织的业务需求和风险管理过程驱动。这种基于风险的方法使组织能够评估资源估算(如人员、资金),以一种成本效益高、优先级高的方式实现网络安全目标。以下是适用于目标配置文件的情况:
  • 制造商可以利用目标配置文件向外部服务供应商表达网络安全风险管理要求

  • 制造商可以通过当前配置文件表达系统的网络安全状态,以报告与目标配置文件相关的结果,或与采购要求进行比较

  • 关键基础设施所有者/运营商,在确定了该基础设施所依赖的外部合作伙伴后,可以使用目标档案传达所需的网络安全结果

  • 关键的基础设施部门可以建立一个基准,可以在其各组成部分之间使用,作为特定部门的起点,从这个起点建立有针对性的目标概况

2. 受众群体

本文件包含特定于制造系统的详细信息。读者应该熟悉操作技术,一般计算机安全概念,通信协议,如在网络中使用。目标受众包含:

  • 负责设计或实施安全制造系统的控制工程师、集成商和架构师

  • 系统管理员、工程师和其他管理、修补或保护制造系统的信息技术(IT)专业人员

  • 负责制造系统的经理

  • 试图理解影响和后果的高级管理人员,他们证明并实施制造系统网络安全计划,以帮助减轻对业务功能的影响

  • 试图了解制造系统独特安全需求的研究人员、学术机构和分析人员

3. 网络安全框架概述

概要文件定义了处理框架核心的特定实践。这是实施网络安全最佳实践的下一层细节,为框架中表达的每个类别。

该框架核心以一种允许组织内从执行层到实施/运营层的网络安全活动和结果交流的方式,展示了行业标准、指南和实践。框架核心由识别、保护、检测、响应、恢复五个并发的连续功能组成。综合考虑,这些功能提供了组织对网络安全风险管理的高水平、战略性观点。

  • 识别(Identify):建立组织理解,以管理网络安全对系统、资产、数据和能力的风险。识别功能中的活动是有效使用框架的基础。了解业务环境、支持关键功能的资源和相关的网络安全风险,使组织能够根据其风险管理战略和业务需求,集中精力并优先考虑其工作。该功能中的结果类别示例包括:资产管理、商业环境、治理、风险评估、风险管理策略。

  • 保护(Protect): 制定和实施适当的保障措施,以确保提供重要的基础设施服务。保护功能中的活动支持限制或遏制潜在网络安全事件影响的能力。该功能中的结果类别示例包括:访问控制;意识和培训;数据安全;信息保护流程和程序;维护;和防护技术。

  • 检测(Detect):制定并实施适当的活动,以识别网络安全事件的发生。检测功能中的活动能够及时发现网络安全事件。该功能中的结果类别示例包括:异常和事件;安全持续的监控;和检测流程。

  • 回应(Respond):针对检测到的网络安全事件,制定并实施适当的行动以采取行动。响应功能中的活动支持控制潜在网络安全事件影响的能力。在这一功能内的结果类别的例子包括:应对计划、通信、分析、缓解、改进。

  • 恢复(Recover):制定并实施适当的活动,以维持弹性计划,并恢复因网络安全事件而受到损害的任何能力或服务。恢复功能中的活动支持及时恢复到正常操作,以减少网络安全事件的影响。这一功能的结果类别包括:恢复计划、改进、通讯。网络安全框架制造概况提供了框架类别和子类别中所表述的网络安全标准的详细实施语言。该配置文件旨在支持制造商从框架类别和子类别中选择的基于业务需求的网络安全结果。

本期内容介绍了NIST《制造业网络安全框架v1.1》网络安全框架概览部分,下期将连载制造开发渠道与制造业务/任务目标。
欢迎大家在留言区发表观点
欢迎大家在留言区发表观点
欢迎大家在留言区发表观点
欢迎大家在留言区发表观点
……
(0)

相关推荐