该框架是一套标准、指导方针和最佳实践,旨在促进对关键基础设施的保护并提高整个政府的网络安全。但如果你是一名联邦雇员,你可能想知道该框架对你意味着什么。
为了更好地了解不同角色如何融入 NSIT 框架,GovLoop 和赛门铁克 沙特电话号码格式 召集了网络领域的专家,在“了解您在 NIST 网络框架中的角色”圆桌会议期间讨论了实施该框架的后续步骤。NIST 网络框架项目经理 Matthew Barrett、国务院首席架构师办公室解决方案架构和安全部门主管 Alen Kirkorian 和美国联邦公共部门首席网络架构师 Kevin McPeak(CISSP、ITILv3)主持了讨论,其中明确了三种趋势:
该框架旨在为您服务。该框架的主要特点是它能够将网络最佳实践从只有网络安全专业人员才能理解的复杂语言翻译和简化为每个人都能理解的语言。在整个政府范围内促进对网络安全的统一理解是改善网络态势的关键,但很明显,网络安全解决方案并不是一刀切的。巴雷特解释说,该框架考虑到了这一点,并提供了一套标准化的网络安全成果,以及跨机构和私营部门的定制机制。
实施框架首先要进行初步分析,以确定机构的网络概况。“分析确定了涉及的关键利益相关者、机构的业务目标以及当前的网络防御态势,”McPeak 解释道。从那里开始,机构可以着手实施框架核心的五个要素:识别、保护、检测、响应和恢复。McPeak 强调说:“NIST 框架为机构提供了不同的视角,并允许您确定您的初始框架概况并对其进行改进以达到您的目标概况。”
在国务院,科科里安以该框架为指导,改善网络安全态势。然而,他在向机构领导层推广网络安全工作方面面临挑战。“首席信息官面临着完成业务任务的压力,”他解释道。“他们往往会选择业务而不是安全,因此确保机构领导层真正了解我们面临的网络风险非常重要。”该框架允许网络专业人员定制他们的网络安全计划,并用简单的术语进行解释,从而更容易获得机构领导层上下级的支持。
该框架具有可扩展性。Barrett 解释说,该框架最初旨在保护关键基础设施,但现在已经得到更广泛的应用。“该框架是可定制的,这意味着它可以扩展到不同的企业规模和任务,”他说。这意味着该框架可以轻松在所有州、地方、部落和联邦政府以及私营部门采用。Barrett 还强调,NIST 支持各机构选择使用该框架的方式,并希望与组织合作以最大化其价值。从本质上讲,该框架可以且应该作为各机构的起点,然后各机构可以在其基础上添加自己的要求。
该框架可以帮助解决大大小小的问题。在网络安全方面,一些最大的问题需要最小的行动。例如,将密码设置为 Password01 或点击电子邮件中的恶意链接都很容易修复和避免。Barrett 强调,为了解决较小的问题,“我们需要让做正确的事情变得容易,做错事变得困难。”他继续说,该框架帮助机构平衡所有网络、物理和人员优先事项,以提供全方位的考虑。
然而,其他专家解释说,你需要能够准确地识别何时解决容易解决的问题,何时解决更大的问题。“你必须在流程中实现自动化的正确平衡,以促进任务成功,”McPeak 解释道。Kirkorian 补充道,“有时业务需求对于修复难以实施框架的遗留系统至关重要。”因此,机构必须努力以适合他们的方式采用该框架,并允许它在其网络安全概况中促进解决问题。
展望未来,各机构应以适合自己的方式采用该框架。Kirkorian 总结道:“我们需要规划并利用现有资源来采用技术,并利用该框架推动我们机构的业务模式。”
有关政府如何使用该框架的更多信息,请查看此信息图。
