编者按:美国战争部9月24日宣布实施变革性的“网络安全风险管理框架”(CSRMC),旨在以作战速度为美军提供实时网络防御。
美国战争部声称,此前的风险管理框架过度依赖静态清单和手动流程,未能充分考虑作战需求和网络生存能力要求,导致美军系统容易受到老练对手的攻击,并延缓了安全能力向战场的交付速度;“网络安全风险管理框架”通过从“及时状态”评估转向动态、自动化和持续的风险管理来解决相关差距,从而以现代战争所需的相关速度实现网络防御;通过在整个战争部范围内制度化这一框架,该部将确保陆海空天网等各个领域的网络生存能力和任务保证;该框架代表了美国战争部在网络安全处理方式上的根本性文化转变,其以自动化、持续监控和韧性为核心,赋能美国战争部抵御当今对手,同时为应对未来挑战做好准备;该框架包含五个阶段和十项原则,旨在构建一个强化、可验证、持续监控和主动防御的环境,以确保美军作战人员在应对快速发展和新兴的网络威胁时保持技术优势。
新框架将网络安全分为与系统开发和运营相一致的五个阶段:一是在设计阶段,从初始就嵌入安全性,确保韧性融入系统架构;二是构建阶段,在系统达到初始运行能力时,实施安全设计;三是测试阶段,在全面运行能力前进行全面的验证和压力测试;四是适用阶段,在部署时激活自动持续监控,以维持系统可见性;五是运营阶段,通过实时仪表板和警报机制提供即时威胁检测和快速响应。
新框架秉承十项核心原则:一是自动化,旨在提高效率和规模;二是关键控制,旨在识别和跟踪对网络安全最重要的控制;三是持续监控和操作授权,旨在实现实时态势感知,确保持续的操作状态;四是开发、安全和运维,旨在支持安全、敏捷的开发和部署;五是网络生存能力,旨在支持在对抗环境中开展行动;六是培训,旨在提升人员技能以应对不断变化的挑战;七是体系服务和继承,旨在减少重复和合规负担;八是操作化,旨在确保利益攸关方近乎实时地了解网络安全风险态势;九是互惠,旨在跨系统重复使用评估;十是网络安全评估,旨在整合威胁知情测试以验证安全性。
奇安网情局编译有关情况,供读者参考。
美国战争部9月24日宣布实施一项突破性的“网络安全风险管理框架”(CSRMC),这是一个变革性的框架,旨在以作战速度提供实时网络防御。该框架包含五个阶段,旨在构建一个强化、可验证、持续监控和主动防御的环境,以确保美国作战人员在应对快速发展和新兴的网络威胁时保持技术优势。
解决遗留缺陷
美国战争部声称,此前的风险管理框架过度依赖静态清单和手动流程,未能充分考虑作战需求和网络生存能力要求。这些限制导致美国国防系统容易受到老练对手的攻击,并延缓了安全能力向战场的交付速度。
“网络安全风险管理框架”(CSRMC)通过从“及时状态”评估转向动态、自动化和持续的风险管理来解决这些差距,从而以现代战争所需的相关速度实现网络防御。
该框架由五个阶段的生命周期和十个基本原则组成。
五阶段生命周期
新框架将网络安全分为与系统开发和运营相一致的五个阶段:
设计阶段——安全性从一开始就嵌入,确保韧性融入系统架构。
构建阶段——当系统达到初始运行能力(IOC)时,实施安全设计。
测试阶段——在全面运行能力(FOC)之前进行全面的验证和压力测试。
适用阶段——部署时激活自动持续监控,以维持系统可见性。
运营阶段——实时仪表板和警报机制提供即时威胁检测和快速响应。
十大基本原则
“网络安全风险管理框架”(CSRMC)秉承十项核心原则:
自动化——提高效率和规模
关键控制——识别和跟踪对网络安全最重要的控制
持续监控和操作授权(ATO)——实现实时态势感知,实现持续的ATO状态
开发、安全和运维(DevSecOps)——支持安全、敏捷的开发和部署
网络生存能力——支持在对抗环境中开展行动
培训——提升人员技能以应对不断变化的挑战
体系服务和继承——减少重复和合规负担
操作化——确保利益相关者近乎实时地了解网络安全风险态势
互惠——跨系统重复使用评估
网络安全评估——整合威胁知情测试以验证安全性
以战争速度提供网络安全
美国战争部声称,通过在整个战争部范围内制度化这一框架,该部确保了各个领域的网络生存能力和任务保证:空中、陆地、海洋、太空和网络空间。
美国战争部首席信息官的凯蒂·阿灵顿表示,“这一框架代表了美国战争部在网络安全处理方式上的根本性文化转变。CSRMC 以自动化、持续监控和韧性为核心,赋能美国战争部抵御当今对手,同时为应对未来挑战做好准备。”
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
