美国网络安全框架构建问题研究——风险管理理念的运用
发布时间:2021-08-09 18:42
<正>美国"网络安全框架"的提出是为了增强关键基础设施的网络安全,其构建运用了风险管理理念。本文运用风险管理的方法流程于企业网络安全管理,提出了企业在风险环境下应该采取的基本网络安全策略。美国商务部下属的国家标准与技术研究所于2014年发布了《网络安全框架(1.0版)》,后升级至1.1版。框架的提出是为了增强关键基础设施的网络安全,适应高风险对关键基础设施的挑战和要求,是政府面向企业的公共产品。
【文章来源】:网信军民融合. 2019,(07)
【文章页数】:3 页
【部分图文】:
网络安全框架基本结构
ESEARCHANDDISCUSSION研究探讨R58JULY2019环境中存在的缺陷。因此认为,风险就是威胁源在特定环境中造成的影响。风险管理就是针对威胁源及其在特定环境中造成的影响的限制和管束。风险管理不能简单理解为对风险进行管理,而应充分考虑环境因素(即风险环境),通过对环境的脆性和漏洞进行分析,预判威胁源可能造成的不良影响,从而提出针对性策略。二、风险管理方法流程在企业网络安全管理中的运用运用风险管理理念要突出3个要素:风险环境分析、环境脆性分析及应对策略,这三者是递进的(见图2),其中,风险环境分析是基矗(一)风险环境分析风险环境分析的本质是对风险环境的构成进行分析,通过了解风险环境的构成要素及其脆性,才能制定针对性策略。在美国,关键基础设施的所有者大部为私营企业,因此政府给出的网络安全框架主要面向企业。当对一个企业进行风险环境构成分析时,需将企业的整个环境(包括内、外环境)站在网络安全的角度转换为“风险环境”,对其构成进行剖析。一个企业的环境从一般意义上来讲包括:企业战略环境、企业泛在资产环境和企业外在商业环境。1、战略环境在战略环境分析中要明确一个企业存在的战略意义,即商业核心使命,为完成使命要达到的目标和支撑目标实现的具体行动,这是观念层面的。当考虑网络安全时,要进一步剖析支撑企业战略实现的基础是什么,即一个企业所具有的关键功能和对外提供的关键服务,这是企业的硬实力。从软实力上来讲,就包括信息安全策略、市场营销策略等。2、泛在资产环境资产很好理解,一般将其划分为硬资产和软资产。硬资产包括企业内的物理设备、系统、移动介质、软件平台和应用程序,企业外部与企业的网络相连的信息系统。软资产包括信息和人力?
本文编号:3332599
【文章来源】:网信军民融合. 2019,(07)
【文章页数】:3 页
【部分图文】:
网络安全框架基本结构
ESEARCHANDDISCUSSION研究探讨R58JULY2019环境中存在的缺陷。因此认为,风险就是威胁源在特定环境中造成的影响。风险管理就是针对威胁源及其在特定环境中造成的影响的限制和管束。风险管理不能简单理解为对风险进行管理,而应充分考虑环境因素(即风险环境),通过对环境的脆性和漏洞进行分析,预判威胁源可能造成的不良影响,从而提出针对性策略。二、风险管理方法流程在企业网络安全管理中的运用运用风险管理理念要突出3个要素:风险环境分析、环境脆性分析及应对策略,这三者是递进的(见图2),其中,风险环境分析是基矗(一)风险环境分析风险环境分析的本质是对风险环境的构成进行分析,通过了解风险环境的构成要素及其脆性,才能制定针对性策略。在美国,关键基础设施的所有者大部为私营企业,因此政府给出的网络安全框架主要面向企业。当对一个企业进行风险环境构成分析时,需将企业的整个环境(包括内、外环境)站在网络安全的角度转换为“风险环境”,对其构成进行剖析。一个企业的环境从一般意义上来讲包括:企业战略环境、企业泛在资产环境和企业外在商业环境。1、战略环境在战略环境分析中要明确一个企业存在的战略意义,即商业核心使命,为完成使命要达到的目标和支撑目标实现的具体行动,这是观念层面的。当考虑网络安全时,要进一步剖析支撑企业战略实现的基础是什么,即一个企业所具有的关键功能和对外提供的关键服务,这是企业的硬实力。从软实力上来讲,就包括信息安全策略、市场营销策略等。2、泛在资产环境资产很好理解,一般将其划分为硬资产和软资产。硬资产包括企业内的物理设备、系统、移动介质、软件平台和应用程序,企业外部与企业的网络相连的信息系统。软资产包括信息和人力?
本文编号:3332599
本文链接:https://www.wllwen.com/guanlilunwen/fengxianguanli/3332599.html
