Loading
部落格

什麼是NIST網路安全框架?

探索NIST網路安全框架六大核心功能,了解如何客製化您的安全策略,並透過實施層級評估組織的準備度。
Happy Black African women engineer worker enjoy working in factory industry.

身為IT或OT安全管理者,您必須在保障工業控制系統(ICS)安全與面對資源限制之間,不斷取得平衡。幸好NIST網路安全框架提供了一個有系統且主動化的方式,能有效應對這些挑戰,讓您的日常安全管理工作更加輕鬆高效。

NIST CSF,全名為美國國家標準與技術研究院網路安全框架(National Institute of Standards and Technology Cybersecurity Framework),是由美國商務部制定的一套標準化網路安全框架。它著重於商業成果而非僅僅是技術要求,涵蓋了網路、實體及人員等多層面的網路安全目標。

為何要制定 NIST CSF

制定此框架是因為業界對有系統且主動性的網路安全管理方法的需求增加,因為傳統的被動防禦措施已難以應對不斷演變的威脅。該框架於2013年根據美國總統行政命令制定,自此持續更新,以因應不斷變化的網路安全環境與新興威脅。最新更新是NIST於2024年2月制定的2.0版本。

隨著網路攻擊不斷增加,IT與OT團隊必須分秒必爭。根據《SANS 2024年工業控制系統/OT 網路安全現況白皮書》指出,約有45%的受訪組織目前採用NIST網路安全框架來強化其OT安全防護。本篇文章主要介紹NIST CSF 2.0的核心內容,以及其配置檔與實施層級的重要概念。

請觀看我們的網路研討會:運用NIST框架設計強健的OT網路安全策略,全面強化您的OT環境防護。

NIST CSF網路安全框架核心的六大功能

NIST網路安全框架(CSF)
全方位防護的可靠策略

balance scale

組織情境

風險管理策略

角色和職責

政策與程序

eye

資產管理

商業環境

風險評估

風險管理策略

lock

意識程度管理

意識和培訓

資料安全

資訊保護和程序

維護

保護技術

magnifying glass

異常和事件

安全持續監控

偵測過程

group of people respond to alert

回應計畫

通訊

分析

緩解

改進

cycle

復原計畫

現場修復

改進

通訊

「框架核心(Framework Core)」提供清晰易用的網路安全指引,包含六大主要功能:管理、識別、保護、偵測、回應和復原。每個功能皆包含更細分的類別(Categories)與子類別(Subcategories),例如「識別(Identify)」功能下的「資產管理(Asset Management)」,可協助組織盤點並管理自身資源。此外,框架中還包含相關的參考資料、標準與指引,可用來建立網路安全基準,並向利害關係人清楚傳達安全現況。

1. 治理

「治理(Govern)」功能負責維護組織的風險管理策略。它為組織如何因應其他五大功能所產生的結果提供方向與方針。

其中包括:

  • OT網路安全政策的制定和溝通
  • 協調並統整OT網路安全相關的角色與職責
  • 教育並管理法規要求
  • 將網路安全風險納入企業風險管理流程
  • 對正在進行的措施實施持續監督和查核

2. 識別

「識別(Identify)」是NIST網路安全框架中的第二個步驟。此步驟著重於了解組織的資產現況、業務背景與治理架構,並進行風險評估。

其中包括:

  • 資產管理:建立各資產的清單
  • 商業環境:了解組織背景和策略目標
  • 治理和風險管理:制定風險管理政策
  • 風險評估:識別網路安全風險
  • 供應鏈風險管理:評估協力廠商風險

此功能為有效的網路安全風險管理奠定基礎,協助IT或OT安全管理者全面掌握企業網路與ICS的可見性,從而明確辨識出哪些基礎設施需要加強防護。對組織而言,此功能可提供決策依據,並確保安全措施與整體策略目標保持一致。

3. 防護

「防護(Protect)」功能著重於透過各種措施來保護資產與資料免受網路安全威脅,例如存取控制、資料安全、意識與訓練,以及安全政策。

其中包括:

  • 存取控制:控制對關鍵系統的存取
  • 資料安全:透過加密與安全儲存機制來保護資料
  • 意識和培訓:提供網路安全培訓
  • 安全政策與程序:實施網路安全政策
  • 事件回應計畫:為安全事件做準備
  • 安全供應鏈管理:確保協力廠商的安全

保護資產和資料對於維護資料完整性、機密性和可用性至關重要。這些措施對IT或OT安全管理者而言至關重要,有助於保護關鍵系統的存取控制、確保工業設備設定的安全性,從而減少整體攻擊面並提升組織的韌性。

4. 偵測

「偵測(Detect)」功能著重於及早且有效地發現網路安全事件,包括持續監控異常活動與潛在事件。

其中包括:

  • 異常和事件:監控異常活動。
  • 安全持續監控:即時偵測威脅。
  • 事件偵測和回應:因應安全事件。
  • 偵測過程:偵測和報告事件的正式流程。
  • 威脅情報共享:共享威脅資訊。

早期偵測對於及時識別威脅至關重要。此功能可讓IT或OT安全管理者迅速回應、控制事件範圍,並將損害與停機時間降至最低,最終強化整體的網路安全風險管理。

5. 回應

「回應(Respond)」功能涵蓋在偵測到網路安全事件後所採取的各項行動,包括事件回應規劃、協調、分析、緩解、復原以及溝通等步驟。

其中包括:

  • 事件回應計畫:為事件回應做準備
  • 事件協調和溝通:協調回應和溝通
  • 事件分析:了解事件的性質和範圍
  • 事件復原:復原受影響的系統
  • 與執法部門協調:與執法部門合作

此功能同樣協助IT或OT安全管理者制定一致且明確的事件回應計畫,以在發生安全事件時維持利害關係人的信任。最終能確保採取有效行動,降低事件影響、恢復正常運作,並符合法律與法規要求。

6. 復原

「復原(Recover)」功能著重於在網路安全事件發生後恢復服務與營運,其中包含復原規劃、協調、溝通以及經驗回饋等環節。

其中包括:

  • 復原計畫:制定和維護復原計畫。
  • 復原協調:協調復原工作。
  • 溝通與回報:透明的溝通。
  • 獲取經驗:找出需要改進的地方。

快速且高效的復原流程能協助IT或OT安全管理者減少停機時間、恢復正常營運功能,並進一步強化組織的韌性。

NIST CSF設定檔

什麼是NIST CSF設定檔?

簡而言之,NIST CSF設定檔就是您專屬的客製化網路安全藍圖。這代表您可以根據自身的風險情況、業務目標(即系統運行時間)以及可用資源,量身調整框架所對應的成果。您也可以比較當前設定檔與目標設定檔,藉此獲得清晰且具優先順序的行動清單,以全面強化IT與OT領域的安全防護。

NIST CSF設定檔如何運作?

其運作原理如下:

選擇結果: 組織從NIST框架提供的各種類別和子類別中選擇特定的網路安全結果。這些結果代表他們在網路安全方面想要實現的目標。

自訂: 選定的結果是根據組織特定的需求量身定制的。此種客製化方式會綜合考量組織的業務目標、風險承受度、可用資源及現行的網路安全實務,以制定最適合的安全策略。 

比較: 組織通常會建立兩個配置檔:「現況設定檔」:反映目前的網路安全活動與防護狀態;「目標設定檔」:代表理想中的網路安全成熟度與防護水準。透過比較這兩個設定檔,組織能清楚了解現行做法與理想網路安全水準之間的差距。

為何NIST CSF設定檔有幫助?

設定檔之所以有幫助,有幾個原因:

自訂: 讓組織可根據其具體情況調整NIST框架。這代表每個組織都有不同的目標、風險和可用資源。

清晰: 設定檔提供了一個清晰的藍圖,讓組織能夠輕鬆了解他們需要進行哪些網路安全改進措施。

優先順序: 組織可藉由找出「現況設定檔」與「目標設定檔」之間的差距,來設定優先順序並聚焦改善重點。如此一來,組織便能明確掌握哪些領域需要立即強化,以提升整體網路安全防護水準。

保持一致: 設定檔有助於使網路安全活動與組織的整體業務目標保持一致。讓網路安全工作能支持並強化加強組織的使命。

總而言之,設定檔是一份量身訂製的計畫,協助組織設定明確的網路安全目標、調整對應策略,並依優先順序推動行動,以持續強化其網路安全實務。它能讓組織將網路安全措施與自身的獨特需求和目標保持一致。

NIST CSF Implementation Tiers

NIST CSF 實施層級

了解NIST CSF實施層級,能協助您評估組織目前的網路安全成熟度。無論您目前正處於剛開始著手進行OT安全防護的層級1,或已建立較成熟的OT安全計畫(層級3或4),這些層級都能為您提供一個持續改進的框架,並協助您將安全投資與業務目標保持一致。

NIST CSF 層級1:部分 - 開始實施適當的活動

層級1的組織對網路安全採取了「部分」方法。他們可能體認到網路安全的重要性,但尚未完全建立有效管理網路風險所需的流程。其特性包括:

  • 臨時性回應: 網路安全措施通常以被動反應的方式進行,並採取臨時性的應對手段。
  • 意識有限: 組織內部對網路安全有大致的認識,但並不全面或正規。
  • 執行狀況不一致: 雖然組織內有執行網路安全相關活動,但缺乏一致性,這通常是由於缺乏標準化的政策與流程所致。
  • 非正規風險管理: 風險管理沒有正規,欠缺結構化的方法或對組織風險狀況尚無全面了解。

層級2:意識到風險 - 建立網路安全風險管理策略

在層級2的組織意識到風險。他們已著手制定網路安全風險管理策略,並對潛在風險有一定認知,但尚未在全公司範圍內全面落實一致性的管理機制。特性包括:

  • 風險意識: 管理層極度意識到並理解網路安全風險。
  • 核准措施: 管理層可能會核准網路安全措施的實施,但尚未在整個組織內標準化。
  • 非正規流程: 雖然可能有一些既定的流程,但尚未正規制定或完全融入業務實踐中。
  • 優先行動: 組織開始根據對風險的理解來規劃網路安全行動的優先順序。

層級3:可重複 - 標準化回應和復原程序

層級3的組織具有可重複的流程。他們已建立正規的網路安全措施,並在整個組織內持續實施。其特性包括:

  • 正規政策: 此階段已建立正規且文件化的網路安全政策,並會定期更新。
  • 一致實施: 網路安全措施在組織內已能一致且持續地執行,並對自身的風險概況有清晰的認識。
  • 綜合風險管理: 網路安全風險管理納入組織流程中,成為整體業務風險管理的一部分。
  • 有效溝通: 組織內部以及與外部合作夥伴就網路安全風險進行了有效溝通。

層級4:隨機應變 - 持續精進實施層級

層級4的組織具有隨機應變的能力。此階段的組織已建立高成熟度且先進的網路安全防護體系,能主動因應不斷演變的網路威脅與業務需求。特性包括:

  • 高階風險管理: .網路安全實務以高階風險管理策略為基礎,並能主動調整與優化,以持續跟上快速變化的威脅情勢。
  • 持續改進: 組織會根據既有與過往網路安全活動的經驗教訓以及預測性指標,持續學習並改進其網路安全實務。
  • 組織合作: 全公司有一套網路安全方法,在組織各層級密切合作。
  • 外部參與: 該組織積極與外部合作夥伴合作,共同分享資訊以改善安全環境。

每一個層級都在前一層的基礎上進一步提升,提供更全面的網路安全風險管理方法。組織可運用這些層級來評估自身現況、找出改進方向,並據此做出策略性的網路安全決策,以確保整體防護措施與其風險承受度、資源配置及業務需求相符。

保障未來:NIST IT和OT網路安全框架

NIST網路安全框架是一項主動式且具高度靈活性的工具,為組織在複雜的IT與OT安全環境中提供明確的指引。無論您身處IT的數位領域,或OT的實體環境,NIST CSF都是強化網路安全實務、保護關鍵營運的重要資源與指導依據。

透過採納NIST網路安全框架中具主動化的要素,您能夠強化組織的韌性,並有效保護關鍵基礎設施的安全。

想要改進您的工業網路安全計畫?下載我們的工作手冊,協助您建立完善的商業導入方案。

Download Now

已發佈 2025年9月12日

為您推薦

Loading
Loading
Loading
Loading