NIST 网络安全框架 2.0 2.0
控制项模式网络安全框架提供了管理网络安全风险的通用语言和系统方法。CSF 2.0 将其范围从关键基础设施扩展到所有组织,并新增了一个治理功能。
访问权限、权利和授权在政策中定义、管理、执行和审查,并且包含最小特权和职责分离的原则。 标准:示例1:定期审查逻辑和物理访问权限,以及在人员变更角色或离开组织时,及时撤销不再需要的权限 | 示例2:在授权决策中考虑请求者和请求资源的属性(例如例如,地理位置、日期/时间、请求者端点的网络健康状况)| 示例3:将访问权限和特权限制到必要的最小范围(例如,零信任架构)| 示例4:定期审查与关键业务功能相关的特权,以确认适当的职责分离
用户、服务和硬件已通过身份验证 标准:示例1:要求多因素身份验证 | 示例2:强制执行密码、PIN码和类似身份验证器的最小强度策略 | 示例3:根据风险定期重新验证用户、服务和硬件(例如),在零信任架构中)| 示例4:确保授权人员能够在紧急情况下访问对保障安全至关重要的账户
组织负责管理授权用户、服务和硬件的身份和凭证 标准:例如1:为员工、承包商及其他人员发起新的访问请求或额外访问请求,并跟踪、审核和履行这些请求,在需要时获得系统或数据所有者的许可 | 例如2:签发、管理和撤销加密证书和身份令牌、加密密钥(即,密钥管理),以及其他凭证 | 示例3:从不可变的硬件特性或安全预置到设备的标识符中,为每个设备选择一个唯一标识符 | 示例4:对授权硬件进行物理标记,以用于库存和维护目的
身份声明受到保护、传递和验证 标准: 例1:保护用于通过单点登录系统传递身份验证和用户信息的身份声明 例2:保护用于在联合系统之间传递身份验证和用户信息的身份声明 例3:在所有环境中实施基于标准的身份声明方法,并遵循生成身份声明的所有指导(例如例如,数据模型、元数据)、保护(例如,数字签名、加密)以及身份断言的验证(例如,签名验证)
身份会根据交互的上下文使用凭证进行验证和绑定 标准:示例1:在注册时使用政府签发的身份证明(例如护照、签证、驾驶执照)验证一个人所声称的身份 | 示例2:为每个人颁发不同的凭证(即不得共享凭证)
对资产的物理访问根据风险进行管理、监控和执行 标准: 示例1:使用保安、监控摄像头、锁门入口、报警系统和其他物理控制措施来监控设施和限制访问 示例2:对包含高风险资产的区域采用额外的物理安全控制 示例3:在包含业务区域的区域内为来宾、供应商及其他第三方提供陪同关键业务资产