根据公司需要调整美国国家标准与技术研究所(NIST)的安全路线图的可操作建议。
美国国家标准与技术研究所网络安全框架( NIST CSF )第一版于2014年发布,旨在帮助各类组织机构加强自身网络安全防御,最近更新到了1.1版。该框架是在奥巴马总统授意下,由来自政府、学术界和各行各业的网络安全专业人士编撰的,特朗普执政后纳入了联邦政府策略范畴。
尽管绝大多数公司企业都认识到了这项改善所有企业网络安全的有益协作的价值,调整和实现该框架确实说起来容易做起来难。NIST CSF 的内容都是公开的,谁都可以查阅,此处不再赘述。这里要讨论的,是可以帮助公司企业根据自身情况现实应用 NIST CSF 的五个步骤。
步骤 1:设定目标
在开始考虑实现 NIST CSF 之前,公司企业必须先着眼设置自己的目标。过程中遇到的第一个困难通常是在公司范围内就风险承受水平达成一致。在风险的可接受水平由什么组成这个问题上,高级管理层和IT部门之间通常存在断层。
首先,制订一份关于治理的协议草案,明确到底哪种风险水平是可以接受的。在进行到下一步前所有人都必须就此达成共识。另外,规划预算、设立实现优先级和需重点关注的部门也非常重要。
从公司里单个部门或少数几个部门入手意义重大。你可以通过试运行了解到哪些方法有效而哪些是无用功,还可以为后续的广泛部署发掘出正确的工具和最佳操作。试运行项目可以帮你构建更深入的实现,更精准地估测预算。
步骤 2:创建详细的配置文件
与 NIST CSF 大部分内容一致,这些也不是一成不变的东西,可以根据公司具体需求来调整。你也可以将之归类为人员、过程和工具,或者往框架中加上两个自己的类别。
上述3个领域都有4个层次。
层次越高,CSF标准的实现越完整,但最好调整这些层次以确保它们与自身目标相贴合。可以用自定义的层次来设置目标得分,但要确保在推进前征得所有利益相关者的同意。最有效的实现是针对具体公司和业务仔细调适过的那种。
步骤 3:评估当前状态
前面2步走完,就到了执行细致的风险评估以建立自身当前状态的时候了。最好既有具体职能部门的内部评估,又有针对整个公司的独立评估。寻找能评测你目标领域的开源工具和商业软件并训练员工使用这些工具软件,或者雇佣第三方来做风险评估。比如说,漏洞扫描器、CIS基线测试、网络钓鱼测试、行为分析等等。要确保的是,执行风险评估的人不知道你的目标得分是多少。
CSF实现团队要在呈交给关键利益相关者之前收集并核对最终得分。评估过程的目的是让公司明确了解自身运营(包括使命、职能、形象或声誉)、资产和人员所面临的安全风险。此过程应发现并完整记录漏洞与威胁。
举个例子,下面的图表中,公司标出了3个职能领域:策略、网络和应用。这些可能分布在混合云上,也可能被打散到不同环境以便能在更细致的层次上跟踪——这种情况下需要另外考虑不同部门领导是否需对现场及云端部署负责。
左侧热度图列出了不同CSF功能,可被扩展到任意粒度。采用4级量表,绿色表示一切OK,黄色代表该领域还需要做些工作,红色说明尚需认真分析和校正。这里,出于跨业务部门核心小组比较评估分数的目的,“识别”核心功能被打散了。SME和核心得分是根据企业目标平均的,然后再计算风险缺口。缺口大说明需要加快修复。这张表中,该公司的“防护”和“响应”功能是最弱的。
步骤 4:缺口分析行动计划
有了对风险和潜在业务影响的深入认知,便可以开展缺口分析了。要将自身实际得分与目标得分做对比,或许可以考虑采用热度图以直观易懂的方式来呈现结果。任何显著差异都会立即凸显出你应加以关注的领域。
你得找出补足当前得分与目标得分间差距所需要完成的工作,发现一系列可以用来提升得分的动作,并与所有关键利益相关者商讨执行这些动作的优先顺序。具体项目要求、预算考量和人员配备水平可能都会影响到你的计划。
步骤 5:实现行动计划
上面4步为你带来了自身防御现状的清晰图景、一套贴合公司情况的目标、全面的缺口分析和一系列修复动作,于是你终于走到了实现 NIST CSF 这一步。将你的第一次实现当做为后续广泛实现记录过程和创建培训资料的机会。
行动计划的实现并不是终结,你还需设置标准来测试其有效性,并不断重新评估该框架以确保符合预期。这里面就应包含持续的迭代和与关键决策者进行验证的过程。为收获最大益处,你需要精炼实现过程,进一步校正 NIST CSF,使其更加贴合你的业务需求。
美国国家标准与技术研究所网络安全框架( NIST CSF )1.1版文件地址:
戳这里,看该作者更多好文
某商城购进甲乙两种服装后,都加价40元标价出售,春节期间商场搞优惠促销,决定将甲乙两种服装共付款182元,两种服装标价之和为210元,问两种服装的标价和进价各是多少元?(要过程 用二元一次方程)
中考中的一次方程组应用题例析列二元一次方程组解应用题的一般步骤可概括为“审、找、列、解、答”五步,即:(1)审:通过审题,把实际问题抽象成数学问题,分析已知数和未知数,并用字母表示其中的两个未知数;(2)找:找出能够表示题意两个相等关系;(3)列:根据这两个相等关系列出必需的代数式,从而列出方程组;(4)解:解这个方程组,求出两个未知数的值;(5)答:在对求出的方程的解做出是否合理判断的基础上,写出答案.一、市场营销问题例1某商场购进甲、乙两种服装后,都加价40%标价出售. “春节”期间商场搞优惠促销,决定将甲、乙两种服装分别按标价的八折和九折出售. 某顾客购买甲、乙两种服装共付款182元,两种服装标价之和为210元. 问这两种服装的进价和标价各是多少元?解:设甲种服装的标价为x元,则进价为 元;乙种服装的标价为y元,则进价为 元. 由题意,得解得,所以, =50(元), =100(元).故甲种服装的进价和标价分别为50元、70元,乙种服装的进价和标价分别为100元、140元.二、生产问题例2某工厂第一季度生产两种机器共480台. 改进生产技术后,计划第二季度生产两种机器共5544台,其中甲种机器产量要比第一季度增产10%,乙种机器产量要比第一季度增产20%. 该厂第一季度生产甲、乙两种机器各多少台?解:设该厂第一季度生产甲种机器x台,乙种机器y台.由题意,得解得,故该厂第一季度生产甲种机器220台,乙种机器260台.
如何准确的提出问题和快速找到问题的解决方案?
先说个真实案例。 有个朋友,半年前顶头上司离职时想拉他一起创业,但他觉得目前这家公司发展不错,而且自己在这儿已经工作了三四年有一定的基础,大老板也挺看好他,所以就谢绝了。 但之后空降了个上司,这上司初来乍到一来需要向下立权威,二来又得拼命冲个人业绩向上证明自己。 而这哥们之前偏偏和管理层走得太近,所以就不太受待见,这半年来他工作上也没什么起色,虽然自己一直积极主动,但每次都热脸贴冷屁股。 最近一段时间恰好前上司又再给他抛橄榄枝,开出的待遇条件都还不错,所以哥们最近在纠结要不要跳槽。 这几天看了本书,其中一个案例和以上差不多,也是与上司不合想离职,但分析思路全面,也比较赞。 所以拿来一说。 1、你真的想解决的问题是什么?——首先得对问题进行界定。 其实那哥们的问题并不是纠结是否离职,而是能不能和上司处理好关系。 离职只是他为了解决“与上司不合”的初步方案,而我们一大堆朋友反而七嘴八舌地帮他分析起跳槽的利弊来了,一做比较,跳槽与否各有利弊,但因为并没有说到点子上,所以他更加纠结。 很多时候,我们误把问题的初步解决方案当做了问题本身,忽略了问题的本质,因此也错过了最佳方案。 但如何发现问题本质呢?这里有一个比较经典的5whys分析方法。 2、解决“与上司不合”这个问题有哪些方法?方法其实有很多,我们用自上而下的思考框架来看(快速地选择出一个合适的框架,其掌握的关键就是平时多积累常用的框架,并熟悉每种框架的应用场景,这样一旦需要时就可以快速调用出合适的框架。 比如营销专业相关的4P理论模型、财务专业的杜邦财务分析模型、教学专业相关的自然学习设计模型、战略制定相关的波特五力竞争模型等。 )由于当前这个案例比较生活化,简单来说,它的思考框架分为两个部分:一是和上司修补关系、二是和上司分开。 除此之外,还有自下而上提炼框架,这是一个先发散再收敛的思考过程,目的是为了提炼出一个结构完整、逻辑清晰的框架,帮助下一步系统地解决问题。 3、明晰解决问题的关键,以上哪种方法才是最优?对于这个问题来说,最好的办法当然是能够和上司和好,但是届于当事人以上已经尝试了与上司和好的行动,而且效果不突出。 虽说后续继续采用应该会有转机,但因为效果不可控,要依托上司单方面的主观情感,所以首先略掉这一方案。 至于“和上司分开”这条线,最优的解决办法是让上司走,那么我们就首先将其设为问题的解决关键步骤。 上司是老大,想要让他被动离职肯定会伤其颜面,大家都是同行,即使以后不做同事,再碰面情况也比较难堪,最好的情况是他能够主动离职。 4、立即行动,解决问题怎么能够让他主动离职呢?——案例中这哥们把上司的简历发给了认识的猎头。 这位上司原本就在这家公司做得挺辛苦,压力比较大,和同事们的关系也处理得并不好,所以当猎头提供了更高年薪的岗位时,他很快就答应了。 5、优化方案,直至问题解决从整个事件来看,这哥们和上司不合的问题半年前就有出现了,他之前有尝试过解决方案吗?有的!半年来他一直尝试和上司修补关系,这其实是他唯一的解决方法。 但是如果他一早就用系统思维的方法,首先多角度、全方位分析问题,其次再抓重点解决问题呢呢?或许问题能够在更早的时候就被解决。 当然,并非所有“和空降上司不合”的问题都能靠“让猎头把上司挖走”这个方法解决,生活上、商业项目上的问题则更加复杂得多,但真正有效的问题解决之道永远是你了解问题的本质,你能够根据问题构建解决问题的方法框架,你明白很多事情的最终解决并不是一蹴而就,稍微一行动就能直接搞定的,你清楚方案要不断验证、优化才能达到最优效果。 而这就是系统思维中分析和解决问题的五大步骤:界定问题、构建框架、明晰关键、高效执行、检查调整。 如果有爱学习的小伙伴,想系统学习并掌握这些方法,推荐几本书和视频给大家学习参考:《金字塔原理》、《思考的技术》、《思维力:高效的系统思维》,腾讯课堂视频课程《五步,成为问题解决高手》大
论文页码问题:前两页不要页码,3到4页为中英文摘要为Ⅰ、Ⅱ标注,正文为阿拉伯数字标注!
第一步:光标停在第一页第一行第一个字前,插入—分隔符—连续—文件—页面设置—版式—节的起始位置:接续本页—应用于:本节—确定—插入—页码—首页不显示页码—确定;
此时,整篇文档的首页不显示页码,其它按顺序从2一直排下去;
第二步:光标停在第二页第一行第一个字,插入—分隔符—下一页—文件—页面设置—版式—节的起始位置:新建页—应用于:本节—确定—插入—页码—首页不显示页码—确定;
此时,第二页也不显示页码;
第三步:光标停在第三页第一行第一个字,插入—分隔符—下一页—文件—页面设置—版式—节的起始位置:新建页—应用于:本节—确定—插入—页码—首页显示页码—格式—数字格式:I,II,III,…—选起始页码——确定;
此时从整篇文章的第三页起,以I,II,III,…依次排下去;
第四步:光标停在第五页的首行首字母,插入—分隔符—下一页—文件—页面设置—版式—节的起始位置:新建页—应用于:本节—确定—插入—页码—对齐方式:居中—首页显示页码—格式—数字格式:1,2,3,…—选起始页码——确定;
发表评论