NIST 网络安全框架 2.0 2.0

为特定岗位的个人提供意识和培训，使他们具备在考虑网络安全风险的情况下执行相关任务的知识和技能 标准：实例1：识别组织内需要额外网络安全培训的专门岗位，例如物理和网络安全人员、财务人员、高级领导以及任何拥有业务关键数据访问权限的人tical data | 示例2：向所有具有专业角色的人提供基于角色的网络安全意识和培训，包括承包商、合作伙伴、供应商以及其他第三方 | 示例3：定期评估或测试用户对其专业角色的网络安全实践的理解情况 | 示例4：要求每年进行复习，以巩固现有的实践并引入新的实践

为员工提供意识和培训，使他们拥有知识和技能，在考虑网络安全风险的情况下执行一般任务 标准：例如1：向员工、承包商、合作伙伴、供应商以及组织非公开资源的所有其他用户提供基本网络安全意识和培训 | 例如2：培训人员识别社会工程攻击和其他常见攻击，报告攻击和可疑活动，遵守可接受使用政策，并执行基本的网络卫生任务（例如例如，修补软件、选择密码、保护凭证）| 示例3：解释违反网络安全政策对个人用户和整个组织的后果 | 示例4：定期评估或测试用户对基本网络安全实践的理解 | 示例5：要求年度复习，以巩固现有的实践并引入新的实践

数据备份会被创建、保护、维护和测试 标准： 例1：近实时连续备份关键数据，并按照约定的时间表频繁备份其他数据 | 例2：每年至少测试一次所有类型数据源的备份和恢复 | 例3：将部分备份安全地存储在离线和异地，以防事件或灾难破坏它们 | 例4：执行地理分隔数据备份存储的地理位置限制

静态数据的机密性、完整性和可用性受到保护 标准： 示例1：使用加密、数字签名和密码哈希来保护文件、数据库、虚拟机磁盘镜像、容器镜像及其他资源中存储数据的机密性和完整性 | 示例2：使用全盘加密保护存储在用户终端上的数据 | 示例3：通过...确认软件的完整性验证签名 | 示例4：限制可移动媒体的使用以防止数据外泄 | 示例5：物理上保护包含未加密敏感信息的可移动媒体，例如放在锁着的办公室或文件柜中

在传输中的数据的机密性、完整性和可用性受到保护 标准：示例1：使用加密、数字签名和加密散列来保护网络通信的机密性和完整性 | 示例2：根据数据分类自动加密或阻止包含敏感数据的外发电子邮件及其他通信 | 示例3：阻止从组织系统和网络访问个人电子邮件、文件共享、文件存储服务以及其他个人通信应用和服务 | 示例4：防止在生产环境中重复使用敏感数据（例如例如，开发、测试和其他非生产环境中的客户记录

正在使用的数据的机密性、完整性和可用性受到保护 标准：例如1：在数据不再需要时，立即删除必须保密的数据（例如，来自处理器和内存的数据）| 例如2：保护正在使用的数据，防止被同一平台的其他用户和进程访问

访问权限、权利和授权在政策中定义、管理、执行和审查，并且包含最小特权和职责分离的原则。 标准：示例1：定期审查逻辑和物理访问权限，以及在人员变更角色或离开组织时，及时撤销不再需要的权限 | 示例2：在授权决策中考虑请求者和请求资源的属性（例如例如，地理位置、日期/时间、请求者端点的网络健康状况）| 示例3：将访问权限和特权限制到必要的最小范围（例如，零信任架构）| 示例4：定期审查与关键业务功能相关的特权，以确认适当的职责分离

用户、服务和硬件已通过身份验证 标准：示例1：要求多因素身份验证 | 示例2：强制执行密码、PIN码和类似身份验证器的最小强度策略 | 示例3：根据风险定期重新验证用户、服务和硬件（例如），在零信任架构中）| 示例4：确保授权人员能够在紧急情况下访问对保障安全至关重要的账户

组织负责管理授权用户、服务和硬件的身份和凭证 标准：例如1：为员工、承包商及其他人员发起新的访问请求或额外访问请求，并跟踪、审核和履行这些请求，在需要时获得系统或数据所有者的许可 | 例如2：签发、管理和撤销加密证书和身份令牌、加密密钥（即，密钥管理)，以及其他凭证 | 示例3：从不可变的硬件特性或安全预置到设备的标识符中，为每个设备选择一个唯一标识符 | 示例4：对授权硬件进行物理标记，以用于库存和维护目的

身份声明受到保护、传递和验证 标准： 例1：保护用于通过单点登录系统传递身份验证和用户信息的身份声明 例2：保护用于在联合系统之间传递身份验证和用户信息的身份声明 例3：在所有环境中实施基于标准的身份声明方法，并遵循生成身份声明的所有指导（例如例如，数据模型、元数据）、保护（例如，数字签名、加密）以及身份断言的验证（例如，签名验证）

身份会根据交互的上下文使用凭证进行验证和绑定 标准：示例1：在注册时使用政府签发的身份证明（例如护照、签证、驾驶执照）验证一个人所声称的身份 | 示例2：为每个人颁发不同的凭证（即不得共享凭证）

对资产的物理访问根据风险进行管理、监控和执行 标准： 示例1：使用保安、监控摄像头、锁门入口、报警系统和其他物理控制措施来监控设施和限制访问 示例2：对包含高风险资产的区域采用额外的物理安全控制 示例3：在包含业务区域的区域内为来宾、供应商及其他第三方提供陪同关键业务资产

配置管理实践已建立并应用 标准：例如：建立、测试、部署和维护强化基线，以执行组织的网络安全策略并仅提供必要的功能（即，最小功能原则) | 示例2：在安装或升级软件时，审核所有可能影响网络安全的默认配置设置 | 示例3：监控已实施的软件是否偏离已批准的基线

硬件的维护、更换和移除应与风险相称 标准：例1：当硬件缺乏所需的安全功能或无法支持具有所需安全功能的软件时，更换硬件 | 例2：制定并实施硬件生命周期结束的维护支持和废弃计划 | 例3：以安全、负责任且可审计的方式进行硬件处置

日志记录会被生成并提供用于持续监控 标准： 示例1：配置所有操作系统、应用程序和服务（包括基于云的服务）以生成日志记录 | 示例2：配置日志生成器以安全地将其日志共享给组织的日志基础设施系统和服务 | 示例3：配置日志生成器以记录零信任架构所需的数据

安全的软件开发实践已经被整合，并且在整个软件开发生命周期中对其性能进行监控 标准： 示例1：保护组织开发的软件的所有组件免受篡改和未经授权的访问 | 示例2：确保组织产生的所有软件安全，其发布版本中的漏洞最少 | 示例3：维护在生产环境中使用的软件，并且在不再需要软件时安全地处理它

根据风险对软件进行维护、替换和移除 标准： 例1：在漏洞管理计划规定的时间范围内执行常规和紧急补丁更新 例2：更新容器镜像，并部署新的容器实例以替换现有实例，而不是更新现有实例 例3：将已达到生命周期结束的软件和服务版本替换为受支持和维护的版本 例4：卸载并移除带来不当风险的未经授权的软件和服务 例5：卸载并移除任何不必要的软件组件例如，操作系统实用程序）攻击者可能滥用 | 示例6：定义并实施软件和服务生命周期结束的维护支持和淘汰计划

防止安装和运行未授权的软件 标准：示例1：当风险需要时，仅限执行允许的软件或禁止执行被禁止和未授权的软件 | 示例2：在安装新软件之前验证软件来源及其完整性 | 示例3：配置平台仅使用批准的DNS服务，以阻止访问已知恶意域名 |Ex4：配置平台以仅允许安装组织批准的软件

充足的资源容量以确保可用性得到维护 标准：示例1：监控存储、电力、计算、网络带宽及其他资源的使用情况 | 示例2：预测未来需求，并相应地调整资源规模

组织的技术资产受到环境威胁的保护 标准：示例1：保护组织设备免受已知的环境威胁，如洪水、火灾、风以及过高的温度和湿度 | 示例2：在为组织运作系统的服务提供商的要求中，包括对环境威胁的保护以及提供足够运行基础设施的条款

网络和环境受到防止未经授权的逻辑访问和使用的保护 标准：例如1：根据信任边界和平台类型对组织网络和基于云的平台进行逻辑分段（例如），IT、物联网、运营技术、移动设备、访客），并只允许各分段间所需的通信 | 示例2：将组织网络与外部网络逻辑分段，并仅允许必要的通信进入组织网络 | 示例3：实施零信任架构，将网络访问限制到每个资源的最低必要权限 | 示例4：在允许终端访问和使用生产资源之前检查其网络健康状态

在正常和不利情况下，实施机制以实现韧性要求 标准： 示例1：避免系统和基础设施中的单点故障 | 示例2：使用负载均衡以增加容量并提高可靠性 | 示例3：使用高可用性组件，如冗余存储和电源，以提高系统可靠性