[文章]NIST发布NICE网络安全人才框架
National
Initiative for Cybersecurity Education
(NICE)是美国国家网络安全教育计划,是2008年美国发布的,由NIST组织实施的。本指南是NIST发布SP
800-180《NICE的网络安全人才框架(NCWF)》,2016年12月发布的草稿, 参与编写部门是:NIST 信息技术实验室的Applied
Cybersecurity Division,DOD、DHS和一个公司G2。
国家网络安全教育计划(NICE)是政府、学术界和私营部门之间的合作,致力于促进强大网络安全教育,培训和人才发展的生态系统。
NICE通过与政府,学术界和行业合作伙伴的协作来实现这一使命,以促进变革和创新,并带来领导和愿景,增加熟练的网络安全专家人数,帮助我们保持国家安全。
NICE致力于培养有竞争力的综合网络安全人才队伍,保护国家网络安全。尽管越来越多的人对网络安全非常关注,但许多管理人员报告说,熟练的网络安全工作人员不足。为了解决这些需求,本指南介绍了NICE网络安全人才框架(NCWF)。
随着网络安全的威胁和保护措施的发展和演变,需要网络安全人才来适应、设计、开发、实施、维护、评估和了解网络安全的各个方面。网络安全人才不仅包括技术人员,还包括在工作中应用网络安全知识的人员。网络安全人员可以实施和维护保护措施,采取行动来满足安全需求。
本指南是支持能够满足组织网络安全需求的人才的基础参考。它描述了NCWF如何为组织提供共同的、一致的词汇表来分类和描述网络安全工作。该文件定义了NCWF组件,即类别、专业领域和工作角色。基于这些组件,NCWF提供的常用词汇使网络安全工作能够保持一致的组织和沟通。
NCWF可以被视为网络安全人员字典,NCWF的消费者可以将其引用到不同的人才培养,教育和/或培训目的上。几个主要受众包括:
•雇主,帮助评估其网络安全员工队伍,确定网络安全人员的关键差距,并改进职位描述;
•目前和未来的员工,帮助探索任务和工作角色,并协助理解KSA;
•培训和认证提供者,希望帮助当前和未来的网络安全人员成员获得并展示KSAs;
•教育提供者:可以使用NCWF作为参考,开发涵盖KSA的课程,课程,研讨会和研究;
•技术提供者:可以识别网络安全相关的工作角色和具体任务和KSAs,与他们提供的服务和硬件/软件产品相关联。
作为组织信息技术(IT)、网络安全和网络相关工作的机制,NCWF通过以下组件帮助组织组织角色和职责:
•类别(Categories) – 通用的网络安全功能高级别组合;
•专业领域 (Specialty Areas)– 网络安全工作的领域;
•工作角色(Work Roles) – IT、网络安全或网络相关工作分组,其中包括执行任务所需的特定知识,技能和能力;
•任务(Tasks) – 可以分配给在NCWF某个工作角色的专业人员的具体工作活动;
•知识,技能和能力(KSAs) – 执行任务所需的属性,通常通过相关经验或基于绩效的教育和培训来证明。
NCWF组件协同工作,描述网络安全工作的范围,从高层到非常细粒度。每个类别(Categories)由专业领域 (Specialty Areas)组成,每个专业领域 (Specialty Areas)包含一个或多个工作角色(Work Roles)。每个工作角色(Work Roles)又包含多个知识,技能和能力(KSAs)。
( 主要介绍本指南的背景、目标、适用性。前面已经介绍一部分,此处略。
图1说明了NCWF如何帮助建立强大的网络安全员工队伍。
如图所示,几个关键的投入提高了NCWF的价值:
•统一了词汇表:支持教育者,雇主和雇员的术语的一致使用。
•关键性分析:有助于识别形成任务和KSA,形成基准集(例如,多重工作角色或特定的基于角色的培训)。该分析还有助于识别特定工作角色的重要的任务和KSA。
•熟练程度分析:支持了解工作角色中的人员所期望的KSA的水平。例如,一个给定的工作角色的人可能表现出不同的理解和能力,因为这个工作人员从入门级到专家进步。
2.1 NCWF组件
2.1.1 类别(Categories)
分类提供NCWF的总体组织结构。共有七类,全部由专业领域和工作角色组成。
2.1.2 专业领域 (Specialty Areas)
NCWF共有32个专业领域,每个专业领域都是网络安全的某个工作或功能的一个领域。本指南是NCWF2.0 ,这部分与1.0版本是有一些变化的,现版本中任务和KSA是与工作角色相关联的。
2.1.3 工作角色(Work Roles)
工作角色是IT、网络安全或网络相关工作的分组。这些角色包括一个人执行一组功能或任务所需的知识、技能和能力的列表。
对于网络安全人员来说,所执行的工作是通过从与NCWF中选择一个或多个工作角色来描述的,以支持任务或业务流程。
2.1.4 任务(Tasks)
工作角色要求员工履行某些职责或任务。任务是就是工作,可以分配给工作角色所执行的工作。
2.1.5 知识,技能和能力(KSAs)
技能和能力知识,技能和能力(KSAs)是执行工作所需的属性,通常通过相关经验、教育或培训来证明。
2.2 NCWF组件关系
各种NCWF组件一起工作来描述信息技术(IT)、网络安全和网络相关工作。如图所示,每个类别(Categories)都由专业领域 (Specialty Areas)支持,每个专业领域 (Specialty Areas)都由一个或多个工作角色(Work Roles)支持。反过来,每个工作角色(Work Roles)由许多具体任务(Tasks)和关联的KSA组成。其中,KSA中的K001到K006是所有网络安全活动的核心,适用于每个工作角色。
以这种方式分组组件有助于组织工作角色、相关任务和KSAs,简化了关于网络安全主题的沟通,并有助于与外部框架保持一致。工作角色与任务,知识,技能和能力的具体关联见附录B。
3.1确定网络安全人员需求
DHS网络安全人员培养工具包(CWDT) – 为帮助组织了解和建立网络安全员工提供工具和指导,描述了准备建立网络安全员工队伍的第一步。 CWDT包括一个网络安全人力规划能力成熟度模型(CMM),一个自评估工具,帮助组织评估其网络安全人员计划能力的成熟度。
一旦组织确定了网络安全要求(如通过网络安全审核或内部自我评估),NCWF有助于指定有助于实现这些工作的工作角色和任务。
3.2网络安全人员的教育和培训
信息安全教育和培训的获取近年来有了显着的增长,部分原因是联邦政府为改进和扩大网络安全教育计划所做的努力。尽管取得了这样的成功,但许多组织仍然发现,这些计划没有准备充分的学生来支持工作角色所要的需求。
NCWF规划了网络安全词汇,帮助教育工作者为学生准备具有知识、技能和能力。
学术机构是准备和教育网络安全人才的关键。公共和私人实体之间的合作,例如通过NICE计划,使这些机构能够确定所需的共同知识和能力。反过来,开发和提供与NCWF词汇协调一致的课程,使得学生可以满足雇主的网络安全职位需求。
NSA / DHS National Centers of Academic Excellence in Cyber
Defense(CAE-CD)就是开发了一个映射文件,展示了CAE-CD知识单元与NCWF之间的关系。
3.3招聘聘请高素质的网络安全人才
NCWF的应用将帮助组织实现更好的战略性员工队伍规划和招聘。
NCWF可帮助候选人准确地查找他们感兴趣和合格的特定职位。通过使用NCWF任务定义来描述工作职责和职责,以及使用NCWFKSAs来描述职位所需的技能和资格,候选人和招聘经理将获得对期望的一致理解。
3.4保留和发展高素质的网络安全人才
使用NCWF将有助于加强组织的网络安全员工队伍。 对现有员工的投资,例如通过重点培训和留住现有人才的举措,将有助于组织准备并实现其风险管理目标。
3.5网络安全框架(CSF)
具体介绍略。
1、NCWF 人才类别(Categories)
|
类别 |
描述 |
|
安全供应(SP) |
概念化、设计和构建安全信息技术(IT)系统,负责系统和/或网络开发的各个方面。 |
|
操作和维护(OM) |
提供必要的支持,管理和维护,以确保有效和高效的信息技术(IT)系统性能和安全性。 |
|
监督和治理(OV) |
提供领导、管理、指导或发展和宣传,以便组织可以有效地进行网络安全工作。 |
|
保护和防御(PR) |
识别、分析和减轻对内部信息技术(IT)系统和/或网络的威胁。 |
|
分析(AN) |
对网络安全信息进行专业化的审查和评估,以确定其有用性。 |
|
搜集和运营(CO) |
提供专门的拒绝和欺骗行为,以及可能用于开发情报的网络安全信息的收集。 |
|
调查(IN) |
调查与信息技术(IT)系统、网络和数字化证据有关的网络安全事件或犯罪行为。 |
2、NCWF 专业领域 (Specialty Areas)
| 类别 | 专业领域 | 专业领域描述 |
| 安全供应(SP) | 风险管理(RM) | 监督、评估和支持文档化、验证、评估和授权流程,以确保现有和新的信息技术(IT)系统符合组织的网络安全和风险要求。确保符合外部、内部的合规性和保证。 |
| 软件开发(DEV) | 根据软件保障最佳实践,开发和编写新的(或修改现有的)计算机应用程序,软件或专用实用程序。 | |
| 系统架构(ARC) | 开发系统概念并对系统开发生命周期的功能阶段进行工作;将技术和环境条件(例如法律和法规)转化为系统和安全设计和过程。 | |
| 技术研发(RD) | 进行技术评估和整合过程;提供和支持原型功能和/或评估其实用性。 | |
| 系统需求计划(RP) | 与客户协商收集和评估功能需求,并将这些需求转化为技术解决方案。为客户提供有关信息系统适用性以满足业务需求的指导。 | |
| 测试和评估(TE) | 开发和进行系统测试,以评估符合规范和要求的方法,通过应用成本效益计划,评估,验证和验证包含IT的系统或系统元素的技术,功能和性能特征(包括互操作性)的原则和方法。 | |
| 系统开发(SYS) | 系统开发生命周期的开发工作。 | |
| 操作和维护(OM) | 数据管理(DA) | 开发和管理允许数据存储,查询和利用的数据库和/或数据管理系统。 |
| 知识管理(KM) | 管理过程和工具,使组织能够识别、记录和评估情报和信息内容的。 | |
| 客户服务和技术支持(TS) | 解决问题:安装、配置、故障排除,并根据客户要求或咨询(例如分级客户支持)提供维护和培训。 | |
| 网络服务(NET) | 安装、配置、测试、维护和管理网络及其防火墙,包括硬件(如集线器,网桥,交换机,多路复用器,路由器,电缆,代理服务器和保护分发器系统)以及软件允许信息的所有频谱传输的共享和传输,以支持信息和信息系统的安全。 | |
| 系统管理(SA) | 安装、配置、故障排除和维护服务器配置(硬件和软件),以确保其机密性,完整性和可用性。另外,管理帐户,防火墙和补丁。负责访问控制,密码和帐户创建和管理。 | |
| 系统分析(AN) | 进行系统安全性的集成/测试、操作和维护。 | |
| 监督和治理(OV) | 法律咨询和宣传(LG) | 就相关主题领域内的各种相关主题向领导和工作人员提供合法的建议和建议。 跟踪法律和政策变化,代表客户提出诉讼,不限于广泛的书面和口头工作产品(包括法律简报和诉讼)。 |
| 培训,教育和意识(ED) | 对相关主题领域的人员进行培训。 培训、计划、协调、交付和/或评估培训课程,方法和技巧。 |
|
| 网络安全管理(MG) | 监督信息系统或网络的网络安全计划; 包括在组织,具体计划或其他责任领域管理信息安全的影响,包括战略、人员、基础设施、要求、政策执行、应急计划、安全意识和其他资源。 |
|
| 战略规划和政策(PL) | 支持组织网络空间安全改进和增强,制定政策、计划、倡导变更。 | |
| 网络安全领导(EX) | 监督、管理和/或领导工作和执行网络安全工作的工作人员 | |
| 获取和计划/项目管理(PM) | 应用知识(数据、信息、流程、组织交互、技能和分析人员)以及系统、网络和信息交换功能来管理程序。 执行管理职责,管理硬件、软件和信息系统采购计划及其他计划。 为采用信息技术(IT)(包括国家安全系统),采用IT相关法律和政策的采购提供直接支持,并在整个采购周期内提供IT相关指导。 |
|
| 保护和防御(PR) | 网络安全防范分析(DA) | 使用多源的的防御措施和信息,识别、分析和报告网络中发生或可能发生的事件,以保护信息、信息系统和网络免受威胁。 |
| 网络安全防御基础设施支持(INF) | 测试、实施、部署、维护、审查和管理有效管理基础设施硬件和软件,有效管理计算机网络防御服务提供商的网络和资源,监控网络积极修复未经授权的活动。 | |
| 事件响应(IR) | 响应危机或紧急情况,以缓解即时和潜在的威胁。根据需要使用缓解,准备和响应和恢复方法,最大限度地延长生命的生存,维护财产和信息安全。调查和分析所有相关响应活动。 | |
| 脆弱性评估和管理(VA) | 对威胁和漏洞进行评估;确定与可接受的配置、企业或地方政策差距;评估风险水平;制定和/或推荐适当的缓解对策。 | |
| 分析(AN) | 威胁分析(TA) | 识别和评估网络安全罪犯或外国情报机构的能力和活动; 产生调查结果,以帮助初步化或支持执法和反情报调查或活动。 |
| 利用分析(XA) | 分析收集的信息,以确定脆弱性和开发潜力。 | |
| 多源分析(AN) | 分析来自多个来源的情报社区,学科和机构的威胁信息。 放置情报信息形成上下文; 了解可能的影响。 | |
| 目标(TD) | 适用于一个或多个地区、国家、非国家实体的知识或技术。 | |
| 语言分析(LA) | 应用语言、文化和技术专长来支持其他地区的信息收集,分析和安全活动。 | |
| 搜集和运营(CO) | 收集操作(CL) | 使用适当的策略并通过收集管理流程确定的优先级执行收集。 |
| 网络运营规划(PL) |
执行深入的联合针对性和网络安全规划流程。 收集信息并制定详细的运行计划和订单。 在综合信息和网络空间业务的全方位业务中进行战略和业务层面的规划。 |
|
| 网络行动(OP) | 执行活动,收集犯罪或外国情报机构的证据,以减轻可能的或实时的威胁,防止间谍或内部威胁、外来破坏、国际恐怖主义活动或支持其他情报活动。 | |
| 调查(IN) | 网络调查(CI) | 适用于多种调查工具和过程的策略,技术和程序, 包括但不限于面试和讯问技巧,监视,反监视和监视检测,并适当平衡起诉与情报收集。 |
| 数字取证(FO) | 收集、处理、保存、分析和呈现计算机相关证据, 以支持网络脆弱性减轻和/或犯罪,欺诈,反间谍或执法调查。 |
3、NCWF 角色
| 类别 | 专业领域 | 角色 | NCWF ID | 角色描述 |
| 安全供应(SP) | 风险管理(RM) | 授权官员/指定代表 |
SP-RM-001 | 高级官员或执行机构正式承担职责,确保组织在信息系统运营中有关的行动(包括使命,职能,形象或声誉)、组织资产、个人、其他组织和国家在可接受的风险级别上。(CNSSI) |
| 安全控制评估员 | SP-RM-002 | 对信息技术(IT)系统内部的管理、操作和技术安全控制和控制增强措施进行独立的综合评估,以确定控制的整体有效性(NIST SP 800-37中定义)。 | ||
| 软件开发(DEV) | 软件开发人员 | SP-DEV-001 | 开发、创建、维护和写入/编码新的(或修改现有的)计算机应用程序,软件或专用实用程序。 | |
| 安全软件评估员 | SP-DEV-002 | 分析新的或现有的计算机应用程序,软件或专用实用程序的安全性,并提供可操作的结果。 | ||
| 系统架构(ARC) | 企业架构师 | SP-ARC-001 | 开发和维护业务,系统和信息流程,以支持企业的任务需求; 开发描述基线和目标架构的信息技术(IT)规则和要求。 | |
| 安全架构师 | SP-ARC-002 | 在整个开发生命周期内设计企业和系统安全; 将技术和环境条件(例如法律和法规)转化为安全设计和过程。 | ||
| 技术研发(RD) | 研发专员 | SP-RD-001 | 开展软件和系统工程和软件系统研究,以开发新功能,确保网络安全得到充分整合。 进行全面的技术研究,以评估网络空间系统的潜在漏洞。 | |
| 系统需求计划(RP) | 系统需求计划员 | SP-RP-001 | 与客户协商评估功能需求并将功能需求转化为技术解决方案。 | |
| 测试和评估(TE) | 系统测试和评估专家 | SP-TE-001 | 计划,准备和执行系统测试,以根据规格和要求评估结果,并分析/报告测试结果。 | |
| 系统开发(SYS) | 信息系统安全开发人员 | SP-SYS-001 | 在整个系统开发生命周期中设计,开发,测试和评估信息系统的安全性。 | |
| 系统开发人员 | SP-SYS-002 | 在整个系统开发生命周期中设计,开发,测试和评估信息系统。 |
4、角色任务
这个角色任务表太多了,共计928行,有兴趣可以看标准。
5、技能描述
本指南列出的skill也很多,共359个
6、NCWF Ability Descriptions
9、人员角色详细列表
本指南针对每个人员角色,给出了角色ID、角色名字,例如对于SP-DEV-002来说
角色名称:安全软件评估员
角色描述:分析新的或现有的计算机应用、软件或专用实用程序的安全性,并提供可操作的结果。
角色需要完成的任务:25个任务。
需要的skill是:
-
执行漏洞扫描和漏洞识别。
-
对明确的安全隐患进行加固措施。
-
开发和应用安全系统访问控制的技能。
-
明确信息系统和网络的保护的需求(即安全控制)。
-
将黑匣子安全测试工具集成到软件版本的质量保证过程中。
-
掌握安全测试计划设计(例如单元、集成、系统、验收)。
-
将应用中的公钥基础设施(PKI)加密和数字签名功能用于应用程序(例如S / MIME电子邮件,SSL流量)。
-
熟练使用代码分析工具。
-
执行根本原因分析。
需要的Ability是:
-
能够使用和理解复杂的数学概念(例如离散数学)。
