NIST发布网络安全劳动力框架

本文讲的是 NIST发布网络安全劳动力框架,美国国家标准与技术研究所(NIST)近日公布了一份网络安全劳动力框架,用以支持企业培养并维护有效网络安全员工的能力。

该框架定义了角色及角色所需的知识和技能;还定义了澄清网络安全教育者、培训者/认证者、雇主和雇员之间交流的通用语。该框架意图帮助公司企业发展其现有劳动力,并帮助学术机构持续培养未来劳动力。

与其他所有框架类似,使用的公司企业受益,而其他人无视。坦帕市信息安全官马丁·兹奈赫看出了其中的潜在好处。2015年,他将当前网络安全状态,与1972年美国东方航空401航班的缓慢下降并最终坠毁相提并论——机组人员仅仅是没分清应关注的主次。

在文章中,兹奈赫写道:“国家研究理事会在其2013年报告《为决策专业化国家网络安全劳动力标准》中,声明了网络安全依然是太过新兴的领域,无法为其实践者引入专业化标准。”

然而如今已是4年之后,NIST确实在提出教育性劳动力标准。我们正慢慢达到那一步。
NIST框架定义了7个主要的安全劳动力类别:安全供应;运营与维护;监管和治理;保护与防御;分析;收集与处理;调查。对于一些人来讲,这种解构主义是有其可取之处的;而其他人,则更多的是对潜在问题的担忧。

信息安全论坛(ISF)执行董事史蒂夫·德宾评论道:“尽管未来两年里,企业信息安全劳动力规模预计增加1/4以上;某些企业却是负担不起员工增长的。该框架可进一步帮助公司领导人为现有员工提供信息安全再培训和交流机会,以可承受的方式在一定程度上封堵不断拉大的技术缺口。”

内森·温斯勒,AsTech首席安全策略师,却对此不那么有信心。他认为,此框架适用于结构严谨相互独立的环境,比如联邦政府。但对广大已经挣扎于寻找适格网络安全人才的公司企业而言,通过该框架引入的人才只适应某个专门领域是不够的。大多数公司需要的是一专多能的安全人才。”

史蒂文·棱兹,三星美国研究院CSO兼信息安全总监,也有同样的顾虑。“网络安全劳动力框架是个好主意。但实际上,公司企业会不会采用,会不会关注,那是个很现实的问题。”

棱兹认为,其有效性取决于现有安全培训公司的接纳度。“当前安全培训认证网站,比如ISC^2、ISACA、SANS等等,会受到什么影响?他们会参与并帮助发展该NIST倡议吗?或者将之看作是短命的替代品?政府的备选?我们都需要继续培训,但培训合作伙伴需拧成一股绳来让我们这些实践者变得更强大。”

其他实践者还有更大的质疑。其中之一就是克里斯·罗伯茨,Acalvio首席安全架构师。“我不是证书爱好者,学历学位或任何正式培训都吸引不到我。我来自另一个时代,不是学徒工时代,但也相去不远了。我是在工作中学习的,我很庆幸自己遇到了一些极棒的导师,也有一颗渴望知识的心。这条路不适合所有人。我们需要以更好的方式适应。我不赞同‘只有获得学位才能成为专业人士’的想法。这种狗屁逻辑早就被世界上众多成功者证否了,应该被禁掉。我认同我们大家都是独立的个体,这个行业很善于适应并理解该领域众多从业者都没接受主流教育。”

罗伯茨的抗争或许是徒劳的。任何系统的成熟,都伴随着控制的集中化。个别银行经理不再能决定贷款,决策由总部控制。连锁店经理基本决定不了自己的库存——同样是集中控制的。政治管控一贯归于中央。网络安全教育国家倡议(NICE)网络安全劳动力框架,或许是集中化的又一个样本,目前以指南和辅导的形式存在,但最终会走向坚持要求的形式。它对某些人有用,其他人则不然。

史蒂夫·德宾对此毫不疑虑。“有些人可能会说该框架太过简单或不够彻底,但面对很多人预测的人才短缺程度,这至少能为企业提供努力吸引和留住网络人才的指南。”

时间: 2024-09-20 07:50:46

NIST发布网络安全劳动力框架的相关文章

NIST针对联邦机构发布网络安全框架草案

5月23日讯美国国家标准与技术研究院(NIST)发布指南草案,就联邦机构如何实施NIST<提升关键基础设施网络安全的框架>提出指导. 奥巴马政府于2014年发布了这份网络安全框架,描述了关键基础设施操作人员评估和提升防御能力.检测并响应网络攻击的流程. 特朗普上周签署网络安全行政令之前,NIST开始制定新指南草案"机构间8170报告",指导联邦机使用该框架. 美国国家安全顾问汤姆·博塞特宣布这项网络安全行政令时表示,私有部门被要求执行该框架,但对联邦机构没有强制要求.他建议

发布一个消息框架

问题描述 发布一个消息框架,该框架由奕和工作室封装.版本v1.0:制定所有信息模板式发送,接收,持久化存储,消息过滤器功能现支持email发送,接收,过滤器功能.正在扩展:短信猫,短信通道,MQ,mina等信息发送主键功能由于该框架还在测试阶段,希望大家能为我们提出宝贵意见.也希望大家能将该框架完善.喜欢研究的朋友,请加QQ群:138531876群里有最新源码,API,调用包集中国人的智慧,建中国人自己的完善的框架.我们不比老外差,泱泱大国.我们的智慧无穷无尽 解决方案 解决方案二:不用QQ解决

NIST发布企业移动应用安全建议参考指南

美国商务部的美国国家标准与技术研究院(NIST)发布了最新指南,旨在帮助企业提高移动设备使用的安全性,越来越多的员工开始使用智能手机和平板电脑等移动设备来用于工作. 这个<审查移动应用安全(Vetting the Security of Mobile Applications)>为各行各业(包括医疗保健)提供了评估移动应用程序相关的安全和隐私风险的建议,同时包括内部开发或从移动应用商店下载的应用程序. 对于医疗机构,该指南可以帮助他们使用移动应用程序安全地访问或收集患者信息,NIST计算机科学

抢先看:DHS和NIST发布IoT安全指南

在一系列利用IoT设备默认安全设置的大规模分布式拒绝服务攻击发生后,美国两个政府机构发布了有关IoT安全的安全指导文件. 美国国土安全部(DHS)和国家标准与技术研究所(NIST)同时发布了针对IoT的安全建议.专家称,DHS的IoT安全指南侧重于基础部分,而NIST为企业提供了更多操作方法. DHS的IoT安全指南提出了六项战略原则,旨在为IoT开发人员.制造商.服务提供商和消费者"提供方法以帮助他们在开发.制造.部署或使用联网设备时全面确保安全性".DHS建议在设计阶段部署IoT安

网站发布后Bootstrap框架引用woff字体无法正常显示的解决方法_javascript技巧

网站发布到IIS后,发现网站使用的Bootstrap框架所引用的woff字体无法正常显示.于是跟踪http请求,发现woff字体请求出现GET .woff 404 (Not Found)的问题,但是项目中woff字体的文件并未丢失.后经排查,原来是服务器上IIS没有添加woff字体的MIME类型,导致发送HTTP请求时,IIS无法处理和识别此类型的文件. 解决方法1:在Web.config配置文件中添加woff字体的MIME类型 解放方法2:在IIS中添加woff字体的MIME类型 woff字体

英国电信和毕马威发布网络安全报告,强调网络安全陷阱问题

  雷锋网消息,全球性勒索软件攻击(如WannaCry 和Petya勒索软件)日益猖獗,英国电信(BT)和毕马威(KPMG)7月10日发布了一份新的网络安全报告.这份报告为不同规模的企业就如何最优化的管理网络安全之路和如何将此转化为商业机遇提供了建议. 这份名为"网络安全之路--从规避风险到把握机遇"的报告指出,当企业面临保护一家数字企业这种复杂情况时,应该时刻注意各种危险陷阱.通常企业会陷入两个极端,有的企业可能会规避风险,之后陷入恐慌,有的企业则盲目自信,最终教训惨痛. 该报告强调

Apache Hama 0.6.3 发布,并行计算框架

http://www.aliyun.com/zixun/aggregation/14417.html">Apache Hama 0.6.3 发布,该版本兼容 Hadoop 2,增加了基于 BSP 的机器学习算法.动态图形 API 等. Hama 是个计算框架,基于BSP (Bulk Synchronous Parallel大容量同步并行)计算技术,主要针 对大规模科学的计算.

澳大利亚发布网络安全指南

澳大利亚电子情报机构澳大利亚信号局近日发布了新版网络安全指南,旨在实施四大网络安全策略,减少网络入侵行为.据悉,这四大网络安全策略分别是:应用白名单.应用补丁.操作系统补丁和用户管理权限限制. 澳大利亚信号局称,实施四大安全策略,可阻止至少85%的网络入侵行为.为配合实施四大安全策略,澳大利亚信号局也发布了一系列建议和准则,如微软办公软件宏安全准则.企业PowerShell脚本(命令行外壳程序和脚本环境)安全维护建议.严格限制管理权限和白名单应用准则等.此外,澳大利亚信号局还重新修订了Linux

八大网络安全开源框架

网络安全是一件不容忽视的大事,这里向大家推荐八款简单实用的八大网络安全框架,可以最大限度的帮助你保证网络安全不受侵犯威胁. 能帮助构建.操作安全系统的开源项目多到数不清,尤其是随着对工具的安全监控和事件反应的要求不断加强的情况下,开源安全软件不得不提高自己的性能. 下面为你介绍10款开源的安全软件. 1. Bro Bro 是一款很强大的框架,用于网络分析和安全监控,它和常见的IDS有所不同.与通用的网络传输分析工具相比它侧重于网络安全监控和提供一个完整的平台化工具. 2. Moloch molo