IST:解讀：NIST及其可借鑒的主要安全框架_NICIST價格

和咱們IT相關的工作都在ITL，也就是圖中藍色的部分。

ITL的組織架構如圖所示（2020/5/15更新)，可以看到計算機安全是一級部門，由MattScholl負責。

信息技術研究所ITL的研究領域一共有五個，可以理解為五大實驗室：1、網絡安全2、人工智能3、物聯網4、前沿計算技術及應用5、可信計算（尚無介紹鏈接)

咱們都是搞網絡安全的，就只關注第1個--“網絡安全實驗室”。網絡安全實驗室下設多個團隊，分別負責七個方向：1、ComputerSecurityResourceCenter，計算機安全資源中心，簡稱CSRCCSRC對外發布的材料主要是四大類：聯邦標準、特別出版物、內部報告、公告。黃色高亮的SP就是我們平常接觸最多的。

此外，CSRC還有一些工作是以項目的形式對外公布。后面會提到。

2、NationalcybersecuritycenterofExcellence，國家網絡安全卓越中心，簡稱NCCoE由NIST與馬里蘭州合作，于2012年成立。該部門與企業基于CRADAs展開合作，利用各個公司的產品整出一個“最佳實踐”，來為各個行業提供網絡安全解決方案。然后把這些解決方案記錄在NISTSP的1800系列中，該系列將功能映射到NIST的網絡安全框架（下面的第4點)。

動態 | 江卓爾解讀甘孜藏族自治州通知：冬天枯水期發電少，挖礦的就不要用了:金色財經報道，就甘孜藏族自治州發布《我州積極做好迎峰度冬保電工作》通知一事，江卓爾發微博稱，看標題，翻譯一下：雖然我們四川甘孜州，夏天豐水期棄水棄電很多，歡迎你們挖礦來用，增加我們收入，但是現在冬天枯水期了，發電少，你們挖礦的就不要用了，各電站要把大部分電賣給電網，不要自己礦場用光光，不然我們電就不夠用了，還要從外面買電。[2019/12/26]

簡單說就是一個政企合作的組織，帶有一定的商業性質，直接在所謂“最佳實踐”中給出具體廠商、產品。來張圖感受下，這是SP1800-5IT資產管理的數據信息采集流程圖，出現了諸如Splunk、Bro、WSUS等商業產品，也有諸如Snort、OpenVAS等開源產品。

3、PrivacyFramework，隱私框架4、CybersecurityFramework，網絡安全框架，簡稱CSF5、RiskManagementFramework，風險管理框架，簡稱RMF以上三個框架在代表成果中進行介紹。

6、Measurementsforinformationsecurity，網絡安全度量“如何給老板說清楚某一項安全投入的價值？”，這是所有安全人員都繞不開的問題。對于企業而言，安全投入也是投入，是投入就要講究ROI，投入的安全資源，到底減少了多少風險，是否滿足預期？以前都是靠感覺來回答，那是否有辦法“量化”呢？

網絡安全度量就是為了解決這個問題，旨在讓組織能更有效的管理網絡安全風險。

但是關于網絡安全度量，并沒有很成熟的標準，甚至對“網絡安全度量”這個詞的定義都還沒有。誰要是能制定“度量”的明確標準、給出靠譜的方法，那就是對經濟社會的重大貢獻。這里面涉及到的內容非常多，既要考慮網絡安全系統各個組件的價值，還要考慮整個系統對企業的價值。其最終目標是通過度量“識別、保護、監測、響應和恢復”的整體能力，從而度量出企業整體的網絡安全性，為高層決策提供依據。

動態 | 西秀區干部大講堂專題解讀區塊鏈:12月3日，2019年第六期西秀干部大講堂在西秀文化中心開講，邀請中誠區塊鏈研究院副院長、中國金融培訓中心專家講師、國家信息工程研究院專家講師馬強，為全區廣大干部職工專題解讀了區塊鏈相關內容。

講座上，主講人從什么是區塊鏈、區塊鏈核心技術的突破與發展、區塊鏈在各個行業的典型應用、區塊鏈在政務服務和政務監管中的典型應用、探索使用區塊鏈賦能誠信建設、政府部門如何有效參與和監管企業區塊鏈應用等方面，給大家做了詳細的講解，詳細介紹區塊鏈的發展歷程及所帶來的經濟效益，并就區塊鏈的現狀和未來進行具體的分析展望，還與現場的參會人員進行了互動解答。

通過這次講座，大家對區塊鏈在建設網絡強國、發展數字經濟、助力經濟社會發展等方面的作用，有了較為全面的認識，也為今后西秀區在提高運用和管理區塊鏈技術能力、加速推進以信息技術帶動全區經濟高質量發展奠定了一定的基礎。（西秀區委宣傳部）[2019/12/6]

以前君哥在信息安全框架中提出“信息安全度量”，和這個就不謀而合。

NIST也沒有標準答案，于是發起了一個倡議，在進行探索。

2008年的時候，NIST發布了一份SP800-55v1《信息安全度量指南》，目前正在征集v2修訂意見。舉個例子，下圖是v1中一份關于漏洞管理的度量表，度量高危漏洞在有效時間內的修復比例、修復效率，給出了度量方法、計算公式等，對于做安全運營工作，具有一定的借鑒意義。里面還有關于訪問控制、員工培訓、審計、配置管理等方面的測量表。

7、NationalInitiativeforCybersecurityEducation(NICE)，國家網絡安全教育計劃，簡稱NICE

聲音 | 證券日報：應正視區塊鏈信息服務備案編號的作用 不可過度解讀:據證券日報4月2日報道，日前，國家互聯網信息辦公室官網發布公告，披露第一批共197個境內區塊鏈信息服務名稱及備案編號。值得注意的是，“備案編號”并不能看做是給區塊鏈披上合法的“黃馬甲”，應正確認識“備案編號”的作用。網信辦表示，備案僅是對主體區塊鏈信息服務相關情況的登記，不代表對其機構、產品和服務的認可，并強調，任何機構和個人不得用于任何商業目的。[2019/4/2]

主攻教育培訓。于2020年11月16日發布了《網絡安全人才隊伍框架》修訂版，編號sp800-181。

《NICE網絡安全人才隊伍框架》中核心內容如上圖，其中涉及7大類別的32個專業領域，38種工作角色的1007類任務所需的1180種知識、技能和能力。有興趣的讀者可以閱讀文獻了解詳情。

Part2、代表成果

弄清楚了組織架構、研究內容之后，再來看NIST的主要成果就比較清晰了。1、NIST《零信任架構》白皮書于2020年8月發布，從編號可以看出，屬于SP800，最佳實踐系列。白皮書包含零信任架構的抽象定義，并給出了零信任可以改進企業總體信息技術安全狀況的通用部署模型和使用案例。零信任的概念最近很火，筆者就不添油加醋了。

2、《隱私框架：通過企業風險管理來改善隱私的工具》隱私保護是這個時代迫切需要解決的問題。但值得注意的是，“隱私”的概念是寬泛的，隱私保護的方式是多樣的，侵犯個人隱私所造成的影響也是多層次的。因此NIST認為，“我們如今缺少一套通用的語言和工具，這套語言和工具要非常靈活，來應對各種各樣的隱私保護需求”。在這樣的背景下，美國NIST隱私框架V1.0應運而生。

動態 | 媒體：螞蟻金服成立區塊鏈公司只是事務性公司 不要過度解讀:據上海黃埔2月25日報道，螞蟻金服旗下螞蟻區塊鏈科技（上海）有限公司在黃浦區正式揭牌成立。據了解，除螞蟻區塊鏈科技（上海）有限公司之外，螞蟻金服旗下另一創新企業螞蟻雙鏈科技（上海）有限公司也在同期成立。消息人士稱，螞蟻金服旗下的子公司眾多，而這些子公司往往跟注冊地有關，跟實際負責業務關聯不大。而成立這兩家公司只是屬于事務性的，為了當地辦事方便，不必做過分解讀。（財經網）[2019/2/26]

對于這套隱私框架的定位和作用，NIST的野心可不小：“隱私框架可幫助任何規模和任何身份的機構管理隱私風險，并且對于任何一種技術、任何一個行業、任何一部法律、任何一塊法域都是中立和適用的。”

隱私框架的核心部分由5大功能板塊構成：1、識別板塊(ID-P)--識別機構內外部環境和現狀；2、治理板塊(GV-P)--建立公司內部治理體系；3、控制版塊--精細化管理數據；4、交流版塊--開展活動幫助機構和個人交流隱私風險相關問題；5、保護版塊--實施保護措施以防止網絡安全事件。

5大版塊又分成18個類別版塊，而每個類別版塊又再細分成若干個子類別版塊(例如ID.RA-P5風險回應板塊)。這些板塊的具體內容都是機構可以去追求的隱私保護相關目標和活動

本質上，可以將這些大大小小的版塊比做是一塊塊形狀各異的積木，NIST將這些積木提供給大家，由機構根據自身需求以及手中資源自由選擇積木的數量和種類，個性化地搭建企業內部隱私保護體系的“大廈”。

有興趣的讀者可以進一步閱讀參考文章。

3、《網絡安全框架v1.1》(2018年發布)英文名是《FrameworkforImprovingCriticalInfrastructureCybersecurity》，所以也翻譯為《提升關鍵基礎設施網絡安全框架》。現在國內提“關鍵信息基礎設施”顯然不是空穴來風，畢竟美國人早就這么干了。

楊東教授解讀：央行開展對虛擬貨幣的清理整頓，切實保護金融消費者始終是基礎:楊東教授發文稱，當前虛擬貨幣交易存在一定風險與亂象，而投資者是風險的主要承擔者，因為區塊鏈技術應用于金融業態在包裝和銷售小額化金融資產的同時，也將金融風險擴散到了廣大小微投融資者之間。但值得注意的是，投資者是區塊鏈應用于金融業態的重要基礎，金融科技必然回歸到投資者保護。[2018/3/31]

CSF的核心就是這張表：

將五大功能細分出多個類別，都給出ID，方便后面進行索引，如下圖所示：

然后每個子類別該如何執行，就需要自行查找參考文獻。大家不要小看了參考文獻的這些編號，假設，我們單位內部要寫一份規范，對里面每一個規則都要寫出參考文獻，比如對應等保2.0的第幾章、第幾節、第幾小點，你會覺得很煩。現在難度加大，不僅是等保2.0，還要對應ISO27001、GB/Txxx等等文件，你是不是要瘋掉？所以CSF的框架核心就是一本字典，可以串起各類規范，這里的NISTSP詳細大家通過前面的介紹已經知道是什么了。而CIS將在后續文章進行介紹。

考慮到不同企業，網絡安全成熟度不同，因此將執行的水平分為四級：

1級：局部2級：具有風險意識3級：可復用4級：自適應圍繞不同成熟度的企業，如何實現以上控制措施，也給出了建議。

4、SCAPv1.3這是個好東西，想想看，現在國外有各種漏洞披露平臺，比如CVE、CVSS、CPE等，國內有CNVD、CNNVD，同時，各個廠家也有一套自己的漏洞披露編號：

對于一個心臟滴血漏洞，如果你把這些披露平臺數據梳理起來，會發現亂七八糟。如果拿個爬蟲去爬，都不確定他們描述的是不是同一個漏洞:

既然你們互相不待見，“那我給所有漏洞做一個統一索引吧”，這大概就是SCAP的野心。

當然了，SCAP的目標并不止于此，這里只是做個簡單的、粗暴的理解，有興趣的讀者可以從文獻做進一步了解。

可惜的是，野心很大，但做不起來。筆者覺得一來這事兒太復雜，二來屬于看不見回報的苦活，很難得到其他組織和廠家的響應，最后估計是不了了之的命運。

Part3、如何使用

NIST有這么多可以參考的資料，能否整個清單，讓讀者能快速索引呢？

其實NIST官網已經這么做了，對外發布了一份動態更新的材料清單：https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/NIST-Cybersecurity-Publications.xlsx

但是自己搜索之前，還是來對NIST的材料分類做個進一步了解，這里主要參考的介紹。

NIST在信息技術與網絡安全方面主要有九大重點研究領域，圖有點看不清楚，筆者把這些領域及主要內容列出來。

1、網絡安全和隱私保護

主導和參與制定國家及國際標準加強在物聯網標準化工作方面的參與度2、風險管理

下一代風險管理框架，第二章已經介紹隱私工程和風險管理NIST網絡安全框架，第二章已經介紹受控非機密信息系統安全工程網絡供應鏈風險管理（C-SCRM)3、密碼算法及密碼驗證

后量子密碼輕量級密碼密碼模塊測試4、前沿網絡安全研究及應用開發安全

使用虛擬機管理程序的漏洞數據進行取證分析智能電網網絡安全電子投票系統的安全性區塊鏈技術和算法安全5、網絡安全意識、培訓、教育和勞動力發展

國家網絡安全教育倡議網絡安全資源共享網絡安全可用性6、身份和訪問管理

數字身份管理個人身份驗證7、通信基礎設施保護

蜂窩和移動技術安全5G安全國家公共安全寬帶網零信任架構改善安全衛生安全域間路由傳輸層安全8、新興技術

物聯網網絡安全人工智能9、先進的安全測試和測量工具

自動化組合測試國家漏洞數據庫開放式安全控制評估語言網絡風險分析計算機取證工具測試

讀者可以根據自己關心的領域，去NIST官網拿編號、關鍵詞搜索相關內容：

關于NIST的介紹到此為止，后續將陸續介紹CIS、MITRE、SANS，以及Part4相互關系，敬請關注。

參考

新出爐的“美國NIST隱私框架”，到底在講啥？,網絡法實務圈，https://www.shangyexinzhi.com/article/531819.html通用漏洞管理與SCAP，Fooying，https://www.fooying.com/common_vulnerability_management_and_scap/NIST，這些年都在研究些啥，Freebuf，https://www.freebuf.com/articles/others-articles/254872.html

美國NICE計劃和《NICE網絡安全人才隊伍框架》，sbilly，https://sbilly.github.io/post/nist-nice-and-nice-cybersecurity-workforce-framework/

Tags：ISTICENICIST價格IST幣ICE幣ICE價格NIC幣NIC價格

XMR