网络安全框架.pdf

改善关键基础设施的网络安全框架 Version 1.0 国家标准与技术研究院 February 12, 2014 February 12, 2014 网络安全框架 Version 1.0 Table of Contents Executive Summary 1 1.0 Framework Introduction 3 2.0 Framework Basics 7 3.0 How to Use the Framework13 Appendix A: Framework Core 18 Appendix B: Glossary 37 Appendix C: Acronyms 39 List of Figures Figure 1: Framework Core Structure 7 Figure 2: Notional Information and Decision Flows within an Organization 12 List of Tables Table 1: Function and Category Unique Identifiers 19 Table 2: Framework Core 20 ii February 12, 2014 网络安全框架 Version 1.0 执行摘要 美国的国家和经济安全依赖于可靠的关键基础设施功能。网络安全威胁利用关键基础设施 系统日益增加的复杂性和连通性，把国家的安全，经济，公众安全和公共健康置于风险境 地。类似的财务和声誉风险，网络安全风险将影响到公司的底线。它可以驱动多达费用及 影响收入。它可能会损害组织的创新能力以及增加和维持客户的能力。 为了更好地处理这些风险，总统于2013 年2 月12 日，颁布13636 号行政命令：“改善关 键基础设施的网络安全”，其中规定“它是美国在提高安保，安全性，商业机密，隐私和 公民自由的同时，增强国家关键基础的安全性和可靠性，并维持一个鼓励高效、创新和经 济繁荣的网络环境的政策 “在颁布这项政策时，行政命令需要一个自愿的基于风险的网络 安全的发展框架——一系列的工业标准和最佳实践来帮助组织管理网络安全风险项。这个 框架通过政府和私营部门的合作创建，基于业务需要、以低成本方式使用通用语言来处理 和管理网络安全风险，而无需对企业使用额外的管控要求。该框架着重于使用业务驱动因 素，以指导网络安全的活动，并考虑网络安全风险，组织风险管理程序的一部分。该框架 由三部分组成：核心框架，该框架配置文件和框架实施层级。该框架的核心是一套网络安 全的活动，成果，和翔实的参考资料是通用的重要基础设施行业，为发展个人组织档案的 详细指导。通过使用配置文件中，该框架将帮助组织调整其网络安全的活动，其业务需求， 风险承受能力和资源。各层提供一个机制，组织查看和了解他们的方法来管理网络安全风 险的特性。 该行政命令还要求该框架包括一个方法来保护个人隐私和公民自由时，重要的基础设施组 织开展网络安全的活动。虽然流程和现有的需求会有所不同，该框架能够帮助组织整合的 隐私和公民自由的全面网络安全计划的一部分。 该框架使组织- 无论大小，网络安全风险程度，或网络安全的复杂性- 原则和风险管理的最 佳实践应用到改善关键基础设施的安全性和弹性。该框架提供了组织和结构到今天的多种 途径，以网络安全组装标准，准则和做法，如今正在有效地业。此外，因为它引用了全球 公认的标准，网络安全，该框架还可以用于由位于美国以外的组织，可以作为一个典范加