IST:解讀：NIST及其可借鑒的主要安全框架

和咱們IT相關的工作都在ITL，也就是圖中藍色的部分。

ITL的組織架構如圖所示（2020/5/15更新)，可以看到計算機安全是一級部門，由MattScholl負責。

信息技術研究所ITL的研究領域一共有五個，可以理解為五大實驗室：1、網絡安全2、人工智能3、物聯網4、前沿計算技術及應用5、可信計算（尚無介紹鏈接)

咱們都是搞網絡安全的，就只關注第1個--“網絡安全實驗室”。網絡安全實驗室下設多個團隊，分別負責七個方向：1、ComputerSecurityResourceCenter，計算機安全資源中心，簡稱CSRCCSRC對外發布的材料主要是四大類：聯邦標準、特別出版物、內部報告、公告。黃色高亮的SP就是我們平常接觸最多的。

此外，CSRC還有一些工作是以項目的形式對外公布。后面會提到。

2、NationalcybersecuritycenterofExcellence，國家網絡安全卓越中心，簡稱NCCoE由NIST與馬里蘭州合作，于2012年成立。該部門與企業基于CRADAs展開合作，利用各個公司的產品整出一個“最佳實踐”，來為各個行業提供網絡安全解決方案。然后把這些解決方案記錄在NISTSP的1800系列中，該系列將功能映射到NIST的網絡安全框架（下面的第4點)。

動態 | 肖磊解讀特朗普“攻擊”Libra原因：Libra沒有明確跟美元掛鉤:7月13日消息，財經專欄作家、財經評論員肖磊解讀特朗普“攻擊”Libra原因，他認為特朗普說Libra不可靠，而且需要獲得一張銀行牌照，接受監管。其實這里隱含的意思是，Libra沒有明確跟美元掛鉤，所以不可靠，沒有美國監管機構的批準，就不能干金融的業務。[2019/7/13]

簡單說就是一個政企合作的組織，帶有一定的商業性質，直接在所謂“最佳實踐”中給出具體廠商、產品。來張圖感受下，這是SP1800-5IT資產管理的數據信息采集流程圖，出現了諸如Splunk、Bro、WSUS等商業產品，也有諸如Snort、OpenVAS等開源產品。

3、PrivacyFramework，隱私框架4、CybersecurityFramework，網絡安全框架，簡稱CSF5、RiskManagementFramework，風險管理框架，簡稱RMF以上三個框架在代表成果中進行介紹。

6、Measurementsforinformationsecurity，網絡安全度量“如何給老板說清楚某一項安全投入的價值？”，這是所有安全人員都繞不開的問題。對于企業而言，安全投入也是投入，是投入就要講究ROI，投入的安全資源，到底減少了多少風險，是否滿足預期？以前都是靠感覺來回答，那是否有辦法“量化”呢？

網絡安全度量就是為了解決這個問題，旨在讓組織能更有效的管理網絡安全風險。

但是關于網絡安全度量，并沒有很成熟的標準，甚至對“網絡安全度量”這個詞的定義都還沒有。誰要是能制定“度量”的明確標準、給出靠譜的方法，那就是對經濟社會的重大貢獻。這里面涉及到的內容非常多，既要考慮網絡安全系統各個組件的價值，還要考慮整個系統對企業的價值。其最終目標是通過度量“識別、保護、監測、響應和恢復”的整體能力，從而度量出企業整體的網絡安全性，為高層決策提供依據。

聲音 | 最高人民法院工作報告解讀：探索司法區塊鏈等互聯網模式:據新華網消息，12日，最高人民法院辦公廳副主任陳志遠接受專訪，解讀最高人民法院工作報告中網民高度關注的熱點內容。陳志遠介紹，杭州互聯網法院通過全流程在線審理平臺，實現案件全流程在線辦理，讓當事人打官司“一次都不用跑”；采用司法區塊鏈等技術，讓存證取證更方便，讓電子證據更可靠。[2019/3/12]

以前君哥在信息安全框架中提出“信息安全度量”，和這個就不謀而合。

NIST也沒有標準答案，于是發起了一個倡議，在進行探索。

2008年的時候，NIST發布了一份SP800-55v1《信息安全度量指南》，目前正在征集v2修訂意見。舉個例子，下圖是v1中一份關于漏洞管理的度量表，度量高危漏洞在有效時間內的修復比例、修復效率，給出了度量方法、計算公式等，對于做安全運營工作，具有一定的借鑒意義。里面還有關于訪問控制、員工培訓、審計、配置管理等方面的測量表。

7、NationalInitiativeforCybersecurityEducation(NICE)，國家網絡安全教育計劃，簡稱NICE

主攻教育培訓。于2020年11月16日發布了《網絡安全人才隊伍框架》修訂版，編號sp800-181。

《NICE網絡安全人才隊伍框架》中核心內容如上圖，其中涉及7大類別的32個專業領域，38種工作角色的1007類任務所需的1180種知識、技能和能力。有興趣的讀者可以閱讀文獻了解詳情。

分析 | 肖颯律師解讀五部門風險提示:今日，大成律師事務所律師肖颯在其個人公眾號上發文，解讀銀保監會等五部門共同發布的《關于防范以\"虛擬貨幣\"\"區塊鏈\"名義進行非法集資的風險提示》。肖颯表示，風險提示中明確提出\"代為投資，極可能是詐騙活動\"。這句話具有重要的現實立案價值。這就意味著，ETH等也有望成為詐騙罪的犯罪對象，而不僅僅是2013年被定性的特定的虛擬商品一比特幣。也就是說，未來詐騙罪立案的范圍可能會較大幅度擴大，保護的范圍也在擴大。[2018/8/27]

Part2、代表成果

弄清楚了組織架構、研究內容之后，再來看NIST的主要成果就比較清晰了。1、NIST《零信任架構》白皮書于2020年8月發布，從編號可以看出，屬于SP800，最佳實踐系列。白皮書包含零信任架構的抽象定義，并給出了零信任可以改進企業總體信息技術安全狀況的通用部署模型和使用案例。零信任的概念最近很火，筆者就不添油加醋了。

2、《隱私框架：通過企業風險管理來改善隱私的工具》隱私保護是這個時代迫切需要解決的問題。但值得注意的是，“隱私”的概念是寬泛的，隱私保護的方式是多樣的，侵犯個人隱私所造成的影響也是多層次的。因此NIST認為，“我們如今缺少一套通用的語言和工具，這套語言和工具要非常靈活，來應對各種各樣的隱私保護需求”。在這樣的背景下，美國NIST隱私框架V1.0應運而生。

對于這套隱私框架的定位和作用，NIST的野心可不小：“隱私框架可幫助任何規模和任何身份的機構管理隱私風險，并且對于任何一種技術、任何一個行業、任何一部法律、任何一塊法域都是中立和適用的。”

真融寶吳雅楠解讀區塊鏈：風險與機遇共存:21日訊，真融寶董事長吳雅楠談到區塊鏈的重要性和關鍵地位，他表示，區塊鏈是互聯網金融的底層技術架構，互聯網金融的成熟在一定程度上依賴區塊鏈技術的成熟。同時，吳雅楠指出，人行在三年多以前，就組織關于數字貨幣的研討會，隨后成立了央行數字貨幣研究所。從投資角度而言，他表示，個人投資者要特別關注虛擬貨幣作為資產的巨大波動性，主要是技術應用沒有專注于數字貨幣在零售支付方面的應用，而跑到虛擬資產交易方面需要更加慎重；對于機構投資來說，應該著眼于以產業為背景，能夠用區塊鏈改變傳統產業痛點的、并且能建立生態的共鏈。[2018/3/21]

隱私框架的核心部分由5大功能板塊構成：1、識別板塊(ID-P)--識別機構內外部環境和現狀；2、治理板塊(GV-P)--建立公司內部治理體系；3、控制版塊--精細化管理數據；4、交流版塊--開展活動幫助機構和個人交流隱私風險相關問題；5、保護版塊--實施保護措施以防止網絡安全事件。

5大版塊又分成18個類別版塊，而每個類別版塊又再細分成若干個子類別版塊(例如ID.RA-P5風險回應板塊)。這些板塊的具體內容都是機構可以去追求的隱私保護相關目標和活動

本質上，可以將這些大大小小的版塊比做是一塊塊形狀各異的積木，NIST將這些積木提供給大家，由機構根據自身需求以及手中資源自由選擇積木的數量和種類，個性化地搭建企業內部隱私保護體系的“大廈”。

有興趣的讀者可以進一步閱讀參考文章。

3、《網絡安全框架v1.1》(2018年發布)英文名是《FrameworkforImprovingCriticalInfrastructureCybersecurity》，所以也翻譯為《提升關鍵基礎設施網絡安全框架》。現在國內提“關鍵信息基礎設施”顯然不是空穴來風，畢竟美國人早就這么干了。

金色財經獨家解讀：韓國區塊鏈協會自律控制案不具備法律效力，但協會可與商業銀行合作關閉不參加宣言的交易所的法幣兌換通道:今天韓國區塊鏈協會發布數字貨幣交易所自律控制案，金色財經第一時間對此方案進行了解析。其中對交易所最重要的一點便是，韓國區塊鏈協會自律控制案不具備法律效力，但介于協會與政府及商業銀行的友好關系，協會可以通過與商業銀行的協議關閉法幣-代幣轉換通道。而這便直接導致了大部分韓國大型交易所一致支持宣言，其中包括bithumb，korbit，coinone等。但upbit或因其主要業務為新幣種交易，拒絕接受宣言。在場的小型交易所也因為此方案對廣告限制的范圍過于廣義，而沒有同意宣言。

一家小型交易所對金色財經表態，他們認為這樣的宣言內容會對中小型交易所造成不利的競爭環境，希望協會能夠重新斟酌此方案。[2017/12/15]

CSF的核心就是這張表：

將五大功能細分出多個類別，都給出ID，方便后面進行索引，如下圖所示：

然后每個子類別該如何執行，就需要自行查找參考文獻。大家不要小看了參考文獻的這些編號，假設，我們單位內部要寫一份規范，對里面每一個規則都要寫出參考文獻，比如對應等保2.0的第幾章、第幾節、第幾小點，你會覺得很煩。現在難度加大，不僅是等保2.0，還要對應ISO27001、GB/Txxx等等文件，你是不是要瘋掉？所以CSF的框架核心就是一本字典，可以串起各類規范，這里的NISTSP詳細大家通過前面的介紹已經知道是什么了。而CIS將在后續文章進行介紹。

考慮到不同企業，網絡安全成熟度不同，因此將執行的水平分為四級：

1級：局部2級：具有風險意識3級：可復用4級：自適應圍繞不同成熟度的企業，如何實現以上控制措施，也給出了建議。

4、SCAPv1.3這是個好東西，想想看，現在國外有各種漏洞披露平臺，比如CVE、CVSS、CPE等，國內有CNVD、CNNVD，同時，各個廠家也有一套自己的漏洞披露編號：

對于一個心臟滴血漏洞，如果你把這些披露平臺數據梳理起來，會發現亂七八糟。如果拿個爬蟲去爬，都不確定他們描述的是不是同一個漏洞:

既然你們互相不待見，“那我給所有漏洞做一個統一索引吧”，這大概就是SCAP的野心。

當然了，SCAP的目標并不止于此，這里只是做個簡單的、粗暴的理解，有興趣的讀者可以從文獻做進一步了解。

可惜的是，野心很大，但做不起來。筆者覺得一來這事兒太復雜，二來屬于看不見回報的苦活，很難得到其他組織和廠家的響應，最后估計是不了了之的命運。

Part3、如何使用

NIST有這么多可以參考的資料，能否整個清單，讓讀者能快速索引呢？

其實NIST官網已經這么做了，對外發布了一份動態更新的材料清單：https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/NIST-Cybersecurity-Publications.xlsx

但是自己搜索之前，還是來對NIST的材料分類做個進一步了解，這里主要參考的介紹。

NIST在信息技術與網絡安全方面主要有九大重點研究領域，圖有點看不清楚，筆者把這些領域及主要內容列出來。

1、網絡安全和隱私保護

主導和參與制定國家及國際標準加強在物聯網標準化工作方面的參與度2、風險管理

下一代風險管理框架，第二章已經介紹隱私工程和風險管理NIST網絡安全框架，第二章已經介紹受控非機密信息系統安全工程網絡供應鏈風險管理（C-SCRM)3、密碼算法及密碼驗證

后量子密碼輕量級密碼密碼模塊測試4、前沿網絡安全研究及應用開發安全

使用虛擬機管理程序的漏洞數據進行取證分析智能電網網絡安全電子投票系統的安全性區塊鏈技術和算法安全5、網絡安全意識、培訓、教育和勞動力發展

國家網絡安全教育倡議網絡安全資源共享網絡安全可用性6、身份和訪問管理

數字身份管理個人身份驗證7、通信基礎設施保護

蜂窩和移動技術安全5G安全國家公共安全寬帶網零信任架構改善安全衛生安全域間路由傳輸層安全8、新興技術

物聯網網絡安全人工智能9、先進的安全測試和測量工具

自動化組合測試國家漏洞數據庫開放式安全控制評估語言網絡風險分析計算機取證工具測試

讀者可以根據自己關心的領域，去NIST官網拿編號、關鍵詞搜索相關內容：

關于NIST的介紹到此為止，后續將陸續介紹CIS、MITRE、SANS，以及Part4相互關系，敬請關注。

參考

新出爐的“美國NIST隱私框架”，到底在講啥？,網絡法實務圈，https://www.shangyexinzhi.com/article/531819.html通用漏洞管理與SCAP，Fooying，https://www.fooying.com/common_vulnerability_management_and_scap/NIST，這些年都在研究些啥，Freebuf，https://www.freebuf.com/articles/others-articles/254872.html

美國NICE計劃和《NICE網絡安全人才隊伍框架》，sbilly，https://sbilly.github.io/post/nist-nice-and-nice-cybersecurity-workforce-framework/

Tags：ISTICENICIST價格IST幣ICE幣ICE價格NIC幣NIC價格

pepe最新價格