网络安全框架和云安全参考架构介绍

一、网络安全框架

1.1 概述

1.2 IATF框架

1.2.1 框架来源

1.2.2 框架结构图

1.2.3 框架内容

1.2.3.1 人（People）

1.2.3.2 技术（Technology）

1.2.3.3 操作（Operation）

1.3 NIST网络安全框架

1.3.1 NIST安全架构概述

1.3.2 NIST发展历史

1.3.2.1 2013 年

1.3.2.2 2014年

1.3.3 NIST核心结构

1.3.3.1 功能

1.3.3.2 参考资料

1.3.4 NIST 风险管理计划实施步骤

1.3.4.1 划分优先级和范围

1.3.4.2 适应调整

1.3.4.3 创建当前配置文件

1.3.4.4 开展风险评估

1.3.4.5 创建目标配置文件

1.3.4.6 确定差距、展开分析并理清重点

1.3.4.7 实施行动计划

二、云安全参考架构

2.1 概述

2.2 云计算安全参考架构

2.2.1 参考架构图

2.2.2 参考架构说明

2.3 CSA云参考模型

2.3.1 CSA云参考模型架构图

2.3.2 CSA云参考架构内容说明

2.4 IBM基于SOA的云通用安全架构

2.4.1 架构图

2.4.2 架构内容说明

2.5 等保2.0云安全防护技术框架

2.5.1 等保2.0云安全防护技术框架图

2.5.2 架构内容说明

一、网络安全框架

1.1 概述

网络安全框架主要介绍由美国国家安全局组织专家编写的IATF框架和美国国家标准技术研究院 (NIST)编写的NIST框架。

1.2 IATF框架

1.2.1 框架来源

信息保障技术框架(Information Assurance Technical Framework, IATF)是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架。

1.2.2 框架结构图

其结构如下图所示。

1.2.3 框架内容

IATF首次提出了信息保障需要通过人、技术、操作来共同实现组织职能和业务运作的思想，同时针对信息系统的构成特点，从外到内定义了四个主要的关注领域，包括网络基础设施、区域边界、计算环境和支撑性基础设施。完整的信息保障体系在技术层面上应实现保护网络基础设施、保护网络边界、保护计算机环境和保护支撑性基础设施，以形成“深度防护战略”。

1.2.3.1 人（People）

人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，是第一位的要素，同时也是最脆弱的。正是基于这样的认识，安全管理在安全保障体系中就愈显重要，可以这么说，信息安全保障体系，实质上就是一个安全管理的体系，其中包括意识培训、组织管理、技术管理和操作管理等多个方面。

1.2.3.2 技术（Technology）

技术是实现信息保障的重要手段，信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然，这里所说的技术，已经不单是以防护为主的静态技术体系，而是防护、检测、响应、恢复并重的动态的技术体系。版权申明：本站文章均来自网络.

1.2.3.3 操作（Operation）

或者叫运行，它构成了安全保障的主动防御体系，如果说技术的构成是被动的，那操作和流程就是将各方面技术紧密结合在一起的主动的过程，其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。

1.3 NIST网络安全框架

1.3.1 NIST安全架构概述

美国国家标准技术研究院 (NIST) 是一个非监管机构，旨在通过推进测量科学、标准和技术来促进创新。 NIST 网络安全框架 (NIST CSF) 由标准、指南和最佳实践组成，可帮助组织改善网络安全风险管理。

NIST CSF 的设计灵活，可与各行各业任何组织中的现有安全流程相集成。这是一个良好的开端，由此几乎可在美国的任何私营机构中实施信息安全和网络安全风险管理。

1.3.2 NIST发展历史

1.3.2.1 2013 年

2013 年 2 月 12 日，美国发布第 13636 号行政命令 (EO) —“改善关键基础设施网络安全”。 NIST 自此开始与美国私营部门合作，旨在“确定现有的自愿共识标准和行业最佳实践，以将其构建成网络安全框架”。这次合作带来了 NIST 网络安全框架 V1.0。

1.3.2.2 2014年

2014 年的《网络安全增强法案》(CEA) 扩大了 NIST 在制定网络安全框架方面的工作范围。如今，NIST CSF 仍然是美国所有行业中采用最广泛的安全框架之一。

1.3.3 NIST核心结构

1.3.3.1 功能

识别： 为了防范网络攻击，网络安全团队需要深入了解组织中最重要的资产和资源。识别功能包括资产管理、业务环境、治理、风险评估、风险管理策略和供应链风险管理等类别。
保护：保护功能涵盖了许多技术和物理安全控制举措，用于开发和实施适当的保障措施和保护关键基础架构。这些类别包括身份管理和访问控制、意识和训练、数据安全、信息保护流程和程序、维护和保护技术。
检测：检测功能实施了向组织发出网络攻击警报的措施。检测类别包括异常和事件、安全持续监视和检测过程。
响应：响应功能类别可确保对网络攻击和其他网络安全事件做出适当的响应。具体类别包括响应规划、通信、分析、缓解和改进。
恢复：万一出现网络攻击、安全漏洞或其他网络安全事件，恢复活动会实施网络安全永续计划，确保业务连续性。恢复功能包括恢复计划改进和通信。

1.3.3.2 参考资料

NIST CSF 的“参考资料”可在功能、类别、子类和其他框架的特定安全控制措施之间建立直接关联。这些框架包括互联网安全中心 (CIS) 控制、COBIT 5、国际自动化学会 (ISA) 62443-2-1:2009、ISA 62443-3-3:2013、国际标准化组织和国际电工委员会 27001:2013** 以及 **NIST SP 800-53 Rev. 4。

NIST CSF 既不指导如何清点物理设备和系统，也不指导如何清点软件平台和应用，它只是提供需要完成的任务的清单。组织可以自行选择方法来执行清单。如果组织需要进一步的指导，它可以参考其他补充标准中相关控制的参考资料。 CSF 中有大量适用于网络安全风险管理需求的工具，供组织自由选择。

1.3.4 NIST 风险管理计划实施步骤

NIST 网络安全框架围绕如何制定或改进信息安全风险管理计划提供了分步指南：

1.3.4.1 划分优先级和范围

清楚了解项目范围，并确定优先事项。明确高级业务或任务目标和业务需求，并确定组织的风险承受能力。

1.3.4.2 适应调整

评估组织的资产和系统，并确定组织可能会接触到的适用法规、风险方法和威胁。

1.3.4.3 创建当前配置文件

当前配置文件是组织当前如何管理风险的快照，由 CSF 的类别和子类定义。

1.3.4.4 开展风险评估

评估运营环境、新出现的风险和网络安全威胁信息，确定可能影响组织的网络安全事件的发生概率和严重性。

1.3.4.5 创建目标配置文件

目标配置文件代表信息安全团队的风险管理目标。

1.3.4.6 确定差距、展开分析并理清重点

通过确定当前配置文件和目标配置文件之间的差距，信息安全团队可以制定行动计划，包括可衡量的里程碑事件和填补这些差距所需的资源（人员、预算和时间）。

1.3.4.7 实施行动计划

实施第 6 步中定义的行动计划。

二、云安全参考架构

2.1 概述

云安全参考架构内容，主要介绍了NIST建立的云计算参考架构内容、CSA云参考模型、IBM基于SOA的云通用安全架构以及国内等保2.0云安全防护技术框架等的相关内容。

2.2 云计算安全参考架构

2.2.1 参考架构图

为了清晰地描述云服务中各种角色的安全责任，需要构建云计算安全参考架构，总结出云计算角色、角色安全职责、安全功能组件以及它们之间的关系。基于云计算的特性、三种服务模式与五类角色，NIST建立的云计算安全参考架构如下图所示。

2.2.2 参考架构说明

该架构将云生态角色划分为云服务客户（云消费者）、云服务商（云提供者）、云基础网络运营者、云审计者和云代理者五类，包括云服务协同安全、服务管理安全、服务聚合安全、服务仲裁安全、服务中介安全、云审计环境安全以及安全传输支持等组成部分。在安全防护设计时，强调在5类角色框架基础上，附加安全功能层实施安全防护，基于各类角色进行安全责任分解和细化，明确各方安全职责和防护措施，从而形成云计算安全防护整体框架。