3.4　业界常见的安全框架介绍

网络安全框架很多，本节主要介绍两种常见框架：NIST CSF框架和Gartner ASA框架。

3.4.1　NIST CSF网络安全框架介绍

国际上有许多针对特定国家的网络安全标准。一个典型的例子是2014年推出的NIST CSF网络安全框架。该框架旨在帮助关键基础设施领域的组织降低风险并保护其关键基础设施。目前，该网络安全框架已获得全球大量政府和企业的认可及实施，最新发行的版本是2018年4月发布的1.1版本（见图3-3）（包含5大功能领域，23个控制类，108个控制子类，6个信息参考族），可以直接在其官方网站（https://www.nist.gov/cyberframework）获得相关文档和材料。

NIST CSF网络安全框架，提供了一种基础风险的网络安全风险管理方法，关注通过业务驱动指导网络安全活动，并将网络安全风险视为组织风险管理过程的一部分，从网络安全对“物理”“网络”“人”3个维度影响的角度，为解决网络安全问题提供了一种灵活的方法。

该框架由框架核心、框架实现层级、框架概要3个部分组成。其中，框架核心提出了行业标准、指南和实践，以便组织从管理层到执行层沟通网络安全相关的活动和结果。框架核心包含框架功能、类别、子类别和参考性文献4个要素，并将安全功能分为识别、保护、检测、响应和恢复5个领域，以逐步提升组织的网络安全成熟度，如图3-4所示。

该框架核心的5个功能，并不需要一步步按顺序执行，也不会促使实现最终的静态目标。相反，它们可同时持续进行，从而形成能应对动态网络安全风险的运营文化。如图3-5所示，NIST CSF网络安全框架的主要活动如下。

（1）识别（Identity）：帮助组织了解进而管理系统、人员、资产、数据和能力的网络安全相关风险。

识别功能中的活动是有效使用框架的基础。只有在了解组织业务、支持关键业务的资源及相关的网络安全风险时，才能使组织根据其风险管理策略和业务需求将资源集中投入优先级高的工作中。此功能中的类别（Categories）包括“资产管理”“业务环境”“治理”“风险评估”“风险管理策略”等。

（2）保护（Protect）：制定并实施适当的保障措施，确保关键基础服务的交付。

保护功能对于限制或遏制潜在网络安全事件的影响能起到支持作用。此功能中的类别有“访问控制”“安全意识和培训”“数据安全”“信息保护流程和程序”“维护”“保护性技术”。

（3）检测（Detect）：制定并采取适当措施识别网络安全事件的发生。

检测功能能够及时发现网络安全事件。此功能中的类别有“异常和事件”“安全持续监控”“检测流程”。

（4）响应（Respond）：制定并实施适当的活动，用以对检测到的网络安全事件采取行动。响应功能支持对潜在网络安全事件的影响进行遏制，此功能中的类别有“响应计划”“沟通”“分析”“缓解”“改进”。

（5）恢复（Recover）：制定并实施适当的活动以保持计划的弹性，并恢复由于网络安全事件而受损的功能或服务。恢复功能可支持及时恢复至正常运行状态，以减轻网络安全事件的影响。此功能中的类别有“恢复计划”“改进”“沟通”。

在框架实现层级上，根据组织在安全风险管理方面的实践，该框架将实现分为了4个层级，从局部（1级）到自适应（4级），层级描述了网络安全风险管理实践中越来越严格和复杂的程度。它们有助于确定网络安全风险管理在多大程度上满足了业务需求，以及在多大程度上集成到了组织的整体风险管理实践中。风险管理的考虑包括网络安全的许多方面，如将对隐私和公民自由的考虑纳入组织对网络安全风险及潜在风险应对的管理的程度。

各层级定义如下。

第1级：局部（Partial）。

第2级：风险告知（Risk Informed）。

第3级：可重复（Repeatable）。

第4级：自适应（Adaptive）。

在层级选择的过程中，组织应考虑其当前的风险管理实践、威胁环境、法律和法规要求、信息共享实践、业务（任务）目标、供应链网络安全要求和组织限制。组织应确定期望达到的层级，确保所选择的层级满足组织目标切实可行，并且可将关键资产和资源的网络安全风险降低至可接受水平。

建议层级为1级（局部）的组织考虑向2级或更高层级演进。需要注意的是，层级并不代表成熟度级别，而旨在协助组织在管理网络安全风险时进行决策，以及确定组织内哪个方面的风险具有更高的优先级且可以获得更多的资源。当成本效益分析表明可以切实有效地降低网络安全风险时，则建议组织提升至更高的层级。

本网络安全框架是否成功实施，是由是否实现组织目标概要中描述的成果来决定的，而不是由实现层级决定的。然而，实现层级的选择和指定影响着框架概要。获得高级管理层批准的、由业务（流程）层提出的实现层级建议，将有助于奠定组织内网络安全风险管理的总体基调，并会影响目标概要中的优先级划分和对弥合差距的进展的评估。

另外，尽管绝大多数组织认识到构建网络安全框架的价值，但是实际调整和实现该框架还是有一定难度的。NIST提供了帮助组织根据实际情况实施NIST CSF网络安全框架的指引，共包含以下5个步骤。

步骤1：设定目标。

步骤2：创建详细的配置文件。

步骤3：评估当前状态。

步骤4：缺口分析行动计划。

步骤5：实现行动计划。

NIST CSF网络安全框架的详细内容见其官方网站。

3.4.2　Gartner ASA自适应安全框架介绍

为应对云计算、大数据、物联网及人工智能时代所面临的新型安全威胁，Gartner于2014年提出了面向下一代的安全体系框架——自适应安全框架（Adaptive Security Architecture，ASA，见图3-6）。该框架（ASA）从预测、防御、检测、响应4个维度强调安全防护是一个持续处理的、循环的过程，细粒度、多角度、持续化地对安全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制。

这4个维度的关键能力体现如下。

（1）防御：是一系列可以用于抵御攻击的策略集、产品和服务。防御的关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。

（2）检测：用于发现那些逃过防御的攻击行为。检测的关键目标是降低威胁造成的“停摆时间”及其他潜在的损失。检测能力非常关键，因为组织应该假设自己已处在被攻击状态中。

（3）响应：用于高效调查和补救被检测分析功能（或外部服务）查出的事故，以提供入侵认证和攻击来源分析，并产生新的预防手段来避免未来的事故。

（4）预测：通过防御、检测、响应结果不断优化基线系统，逐渐精准预测未知的、新型的攻击。主动锁定对现有系统和信息具有威胁的新型攻击，并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能，从而构成整个处理流程的闭环。

自适应安全防护过程中的12个关键功能为：加固和隔离系统、转移攻击、事故预防、事故检测、风险确认和排序、事故遏制、调查/取证、设计/模式改变、修复/改善、基线系统、攻击预测、主动探索分析。

自适应安全框架（ASA）逐渐成为新型防御体系建设的重要参考，越来越多的网络安全厂商使用自适应安全框架（ASA）各象限内容进行对标，以使自身的产品或解决方案能够覆盖多个领域或专注在某个垂直领域。

在ASA自适应安全框架发展的新阶段，Gartner提出了CARTA模型（持续自适应风险与信任评估），这是自适应安全架构演进后形成的一个概念，作为对NIST CSF框架的补充，提供了全业务流程，覆盖了从公司如何开发技术产品到供应链外部合作伙伴的整个过程。CARTA模型所强调的对风险和信任的评估分析，与传统安全方案所采用的allow或deny的简单处理方式完全不同，CARTA模型是通过持续监控和审计来判断安全状况的，它所强调的是没有绝对的安全，或者说没有100%的信任，寻求一种0和1之间的风险与信任的平衡。该模型已经扩展到了网络之外，包括IT设施、风险合规治理等方面。在交互过程中不断监视和评估风险和信任级别，如果发现信任下降或风险增加到了阈值，需要进行响应，就应该相应地调整访问策略。

CARTA在战略方法中强调要在交互期间持续监视和评估实体及其行为。在自适应安全架构中，CARTA战略共包括7个建议。

（1）用可适应的、相互关联的安全平台替换一次性的安全门策略。

（2）自适应地发现、监控、访问和风险优先级排序——主动响应。

（3）在数字业务初始阶段及早执行风险和信任评估。

（4）装置全方位、全环节的风险可视化基础设施，包括敏感数据的处理。

（5）利用分析、AI人工智能和预编制来减少检测和响应时间，并分配对应的资源。

（6）架构安全应作为一个集成的、自适应的可编程系统。

（7）将持续的数据驱动风险决策和风险责任制带给业务部门和产品负责人。