日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

網(wǎng)絡(luò)安全發(fā)展方向 網(wǎng)絡(luò)安全模型有哪些( 二 )

云知道



網(wǎng)絡(luò)安全發(fā)展方向 網(wǎng)絡(luò)安全模型有哪些


圖1 美國NIST網(wǎng)絡(luò)安全框架與C2M2實施關(guān)系
由圖1可知,美國通過網(wǎng)絡(luò)安全增強法案規(guī)范約束網(wǎng)絡(luò)安全框架,并且通過網(wǎng)絡(luò)安全框架指導(dǎo)網(wǎng)絡(luò)安全能力成熟度模型落地實施,而能力成熟度模型又可以用來指導(dǎo)不同行業(yè)的應(yīng)用 。
基于網(wǎng)絡(luò)安全框架和C2M2模型,研究人員開發(fā)了基于經(jīng)驗范式的網(wǎng)絡(luò)安全脆弱性緩解框架;采用多目標(biāo)決策分析(Multi-Criteria Decision Analysis,MCDA)技術(shù)與加權(quán)依賴結(jié)構(gòu),吸收網(wǎng)絡(luò)安全框架的核心關(guān)鍵要素,通過對一個關(guān)鍵基礎(chǔ)設(shè)施中的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進行安全評估,展示了網(wǎng)絡(luò)安全框架和能力成熟度模型的融合應(yīng)用,不僅進行網(wǎng)絡(luò)安全漏洞分析,而且進行網(wǎng)絡(luò)安全漏洞緩解的優(yōu)先級分析 。
2 美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架》結(jié)構(gòu)與實施步驟
分析美國網(wǎng)絡(luò)安全框架的主要結(jié)構(gòu)與實施步驟,明確各個實施步驟之間的邏輯關(guān)系 。
2.1 框架結(jié)構(gòu)
美國國家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)制定的網(wǎng)絡(luò)安全框架是一套基于網(wǎng)絡(luò)安全與管理風(fēng)險、針對關(guān)鍵基礎(chǔ)設(shè)施安全風(fēng)險管理的框架 ??蚣苡煽蚣芎诵?、框架層級、框架輪廓三個部分組成 。
框架核心:提出了由業(yè)界認(rèn)可、并且在網(wǎng)絡(luò)安全風(fēng)險管理中有價值的保護措施 。包括功能、主分類、子類、參考文獻四個方面的要素 。其中,功能由識別、保護、檢測、響應(yīng)、恢復(fù)五個部分組成 。
框架層級:框架包括四個不同的層級,(1 級)局部實施;(2 級)風(fēng)險告知;(3 級)可重復(fù)性;(4 級)自適應(yīng)能力 。
框架輪廓:框架輪廓被定義為在特定應(yīng)用中標(biāo)準(zhǔn)、指南和實踐的最優(yōu)組合,從而通過自我評估進行溝通 。通過當(dāng)前輪廓(Current Profile)與目標(biāo)輪廓(Target Profile)的綜合比較,確定當(dāng)前措施是否改善了網(wǎng)絡(luò)安全風(fēng)險態(tài)勢 。在業(yè)務(wù)驅(qū)動和安全風(fēng)險評估基礎(chǔ)上,比對所有的主分類和子類,確定哪些風(fēng)險優(yōu)先級最高,從而處理特定的高風(fēng)險類別 。
2.2 實施步驟
網(wǎng)絡(luò)安全框架提出了基本的網(wǎng)絡(luò)安全實施流程,包括完備的七個步驟:
第一步:優(yōu)化并確定目標(biāo)范圍 。
第二步:定向 。確定相關(guān)系統(tǒng)和資產(chǎn),進而識別系統(tǒng)和資產(chǎn)的網(wǎng)絡(luò)安全威脅與安全漏洞 。
第三步:創(chuàng)建當(dāng)前系統(tǒng)輪廓 。通過選擇框架核心的主分類和子類,開發(fā)系統(tǒng)當(dāng)前的目標(biāo)輪廓 。
第四步:對系統(tǒng)進行風(fēng)險評估 。
第五步:創(chuàng)建目標(biāo)系統(tǒng)輪廓 。創(chuàng)建目標(biāo)系統(tǒng)輪廓,描述組織目標(biāo)系統(tǒng)網(wǎng)絡(luò)安全的主分類和子類評估方法 。
第六步:確定、分析并且優(yōu)化輪廓差異 。
第七步:根據(jù)輪廓差異組織實施行動 。
3 美國網(wǎng)絡(luò)安全框架與C2M2實踐的結(jié)合——以《能源行業(yè)網(wǎng)絡(luò)安全框架實施指南》為例
2015年1月,美國能源部以網(wǎng)絡(luò)安全框架為參考依據(jù),結(jié)合能源行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀制定了《能源行業(yè)網(wǎng)絡(luò)安全框架實施指南》,以幫助美國能源行業(yè)建立并調(diào)整現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險管理規(guī)劃,實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險管理目標(biāo) ?!赌茉葱袠I(yè)網(wǎng)絡(luò)安全框架實施指南》詳細(xì)闡述了C2M2如何映射到網(wǎng)絡(luò)安全框架,主要包括步驟映射、框架層級映射、框架核心子類別映射 。
本文分七個步驟展示美國能源行業(yè)C2M2如何映射到網(wǎng)絡(luò)安全框架(以下簡稱框架),具體映射步驟如表1至表7所示 。
第一步,確定優(yōu)先級和范圍 。美國能源行業(yè)C2M2實施步驟一到框架的映射如表1所示:

網(wǎng)絡(luò)安全發(fā)展方向 網(wǎng)絡(luò)安全模型有哪些


如表1所示,映射主要包括輸入、活動、輸出三部分 。在C2M2實施中,要評估的每個子集都稱為功能 。能源行業(yè)網(wǎng)絡(luò)安全能力成熟度模型(Electricity Subsector Cybersecurity Capability Maturity Model,ES-C2M2)具有一些預(yù)定義的能源行業(yè)特定的功能和作用域 。

推薦閱讀