解讀：NIST及其可借鑒的主要安全框架_IST:IST幣ICE幣

和咱們IT相關的工作都在ITL，也就是圖中藍色的部分。

ITL的組織架構如圖所示（2020/5/15更新)，可以看到計算機安全是一級部門，由MattScholl負責。

信息技術研究所ITL的研究領域一共有五個，可以理解為五大實驗室：1、網絡安全2、人工智能3、物聯網4、前沿計算技術及應用5、可信計算（尚無介紹鏈接)

咱們都是搞網絡安全的，就只關注第1個--“網絡安全實驗室”。網絡安全實驗室下設多個團隊，分別負責七個方向：1、ComputerSecurityResourceCenter，計算機安全資源中心，簡稱CSRCCSRC對外發布的材料主要是四大類：聯邦標準、特別出版物、內部報告、公告。黃色高亮的SP就是我們平常接觸最多的。

此外，CSRC還有一些工作是以項目的形式對外公布。后面會提到。

2、NationalcybersecuritycenterofExcellence，國家網絡安全卓越中心，簡稱NCCoE由NIST與馬里蘭州合作，于2012年成立。該部門與企業基于CRADAs展開合作，利用各個公司的產品整出一個“最佳實踐”，來為各個行業提供網絡安全解決方案。然后把這些解決方案記錄在NISTSP的1800系列中，該系列將功能映射到NIST的網絡安全框架（下面的第4點)。

歐科云鏈解讀《海南自貿港總體方案》：區塊鏈產業的政策洼地與制度高地:6月1日，國務院印發了《海南自由貿易港建設總體方案》，其中在多個地方提到了區塊鏈產業相關政策。歐科云鏈研究院認為《方案》將推動海南自貿區成為我國區塊鏈產業的政策洼地與制度高地。從《方案》內容上看，海南自貿港的區塊鏈產業發展將分為兩個階段：在2025年前的第一階段，主要任務是推動區塊鏈和實體經濟深度融合，實現海南“貿易投資自由化便利化”，主要在“產權保護”和“新一代信息基礎設施”兩個方面深耕；在2035年前的第二個階段，將以海南自貿區作為先行試點，建立數據確權、數據交易、數據安全和區塊鏈金融的標準，確保我國在未來跨境數據的國際規則制定中不會處于被動位置。[2020/6/2]

簡單說就是一個政企合作的組織，帶有一定的商業性質，直接在所謂“最佳實踐”中給出具體廠商、產品。來張圖感受下，這是SP1800-5IT資產管理的數據信息采集流程圖，出現了諸如Splunk、Bro、WSUS等商業產品，也有諸如Snort、OpenVAS等開源產品。

3、PrivacyFramework，隱私框架4、CybersecurityFramework，網絡安全框架，簡稱CSF5、RiskManagementFramework，風險管理框架，簡稱RMF以上三個框架在代表成果中進行介紹。

6、Measurementsforinformationsecurity，網絡安全度量“如何給老板說清楚某一項安全投入的價值？”，這是所有安全人員都繞不開的問題。對于企業而言，安全投入也是投入，是投入就要講究ROI，投入的安全資源，到底減少了多少風險，是否滿足預期？以前都是靠感覺來回答，那是否有辦法“量化”呢？

動態 | “Ripple取消OTC交易模式”疑似為解讀錯誤，官方尚未宣布此消息:金色此前報道，推特賬戶XRP Research Center今日發推稱：“Ripple將不再支持OTC模式的代幣買賣，即機構購買者想要購買XRP同樣需要在二級市場上購買XRP。經金色查詢，目前Ripple官方目前還未發出取消OTC交易模式的公告。Twitter中提到的交易很有可能是在9月25日Bittrex與UPbit的合作關系破裂之后，雙方之間進行的正常資金返還。[2019/10/30]

網絡安全度量就是為了解決這個問題，旨在讓組織能更有效的管理網絡安全風險。

但是關于網絡安全度量，并沒有很成熟的標準，甚至對“網絡安全度量”這個詞的定義都還沒有。誰要是能制定“度量”的明確標準、給出靠譜的方法，那就是對經濟社會的重大貢獻。這里面涉及到的內容非常多，既要考慮網絡安全系統各個組件的價值，還要考慮整個系統對企業的價值。其最終目標是通過度量“識別、保護、監測、響應和恢復”的整體能力，從而度量出企業整體的網絡安全性，為高層決策提供依據。

以前君哥在信息安全框架中提出“信息安全度量”，和這個就不謀而合。

NIST也沒有標準答案，于是發起了一個倡議，在進行探索。

2008年的時候，NIST發布了一份SP800-55v1《信息安全度量指南》，目前正在征集v2修訂意見。舉個例子，下圖是v1中一份關于漏洞管理的度量表，度量高危漏洞在有效時間內的修復比例、修復效率，給出了度量方法、計算公式等，對于做安全運營工作，具有一定的借鑒意義。里面還有關于訪問控制、員工培訓、審計、配置管理等方面的測量表。

聲音 | 孫宇晨：陪我APP配合監管機構進行內容整改 不必過度解讀:孫宇晨剛剛發微博表示，“陪我APP第一時間配合監管機構進行凈網行動，對平臺部分由用戶自發產生的負能量內容進行整改，一切正常運營，新的實體成立，老的實體解散而已，不影響正常業務進行，完全是基于商業考慮。我們旗下公司繁多，基于商業考慮進行公司新設與注銷是正常經營行為，不必過度解讀。”[2019/7/24]

7、NationalInitiativeforCybersecurityEducation(NICE)，國家網絡安全教育計劃，簡稱NICE

主攻教育培訓。于2020年11月16日發布了《網絡安全人才隊伍框架》修訂版，編號sp800-181。

《NICE網絡安全人才隊伍框架》中核心內容如上圖，其中涉及7大類別的32個專業領域，38種工作角色的1007類任務所需的1180種知識、技能和能力。有興趣的讀者可以閱讀文獻了解詳情。

Part2、代表成果

弄清楚了組織架構、研究內容之后，再來看NIST的主要成果就比較清晰了。1、NIST《零信任架構》白皮書于2020年8月發布，從編號可以看出，屬于SP800，最佳實踐系列。白皮書包含零信任架構的抽象定義，并給出了零信任可以改進企業總體信息技術安全狀況的通用部署模型和使用案例。零信任的概念最近很火，筆者就不添油加醋了。

聲音 | 最高人民法院工作報告解讀：探索司法區塊鏈等互聯網模式:據新華網消息，12日，最高人民法院辦公廳副主任陳志遠接受專訪，解讀最高人民法院工作報告中網民高度關注的熱點內容。陳志遠介紹，杭州互聯網法院通過全流程在線審理平臺，實現案件全流程在線辦理，讓當事人打官司“一次都不用跑”；采用司法區塊鏈等技術，讓存證取證更方便，讓電子證據更可靠。[2019/3/12]

2、《隱私框架：通過企業風險管理來改善隱私的工具》隱私保護是這個時代迫切需要解決的問題。但值得注意的是，“隱私”的概念是寬泛的，隱私保護的方式是多樣的，侵犯個人隱私所造成的影響也是多層次的。因此NIST認為，“我們如今缺少一套通用的語言和工具，這套語言和工具要非常靈活，來應對各種各樣的隱私保護需求”。在這樣的背景下，美國NIST隱私框架V1.0應運而生。

對于這套隱私框架的定位和作用，NIST的野心可不小：“隱私框架可幫助任何規模和任何身份的機構管理隱私風險，并且對于任何一種技術、任何一個行業、任何一部法律、任何一塊法域都是中立和適用的。”

隱私框架的核心部分由5大功能板塊構成：1、識別板塊(ID-P)--識別機構內外部環境和現狀；2、治理板塊(GV-P)--建立公司內部治理體系；3、控制版塊--精細化管理數據；4、交流版塊--開展活動幫助機構和個人交流隱私風險相關問題；5、保護版塊--實施保護措施以防止網絡安全事件。

5大版塊又分成18個類別版塊，而每個類別版塊又再細分成若干個子類別版塊(例如ID.RA-P5風險回應板塊)。這些板塊的具體內容都是機構可以去追求的隱私保護相關目標和活動

本質上，可以將這些大大小小的版塊比做是一塊塊形狀各異的積木，NIST將這些積木提供給大家，由機構根據自身需求以及手中資源自由選擇積木的數量和種類，個性化地搭建企業內部隱私保護體系的“大廈”。

分析 | 2100ETH交易手續費事件不宜過分解讀:據獵豹區塊鏈安全中心輿情數據監控顯示，2100ETH交易手續費事件引起了超過20余家主流媒體關注報道。獵豹區塊鏈安全中心研究員對2月19日以太坊上的交易全面分析后發現，剔除這5筆異常交易后，平均交易手續費（總交易手續費/交易筆數）為0.000906ETH，約為0.13美元，與最近7日的數據相比沒有明顯異常。[2019/2/20]

有興趣的讀者可以進一步閱讀參考文章。

3、《網絡安全框架v1.1》(2018年發布)英文名是《FrameworkforImprovingCriticalInfrastructureCybersecurity》，所以也翻譯為《提升關鍵基礎設施網絡安全框架》。現在國內提“關鍵信息基礎設施”顯然不是空穴來風，畢竟美國人早就這么干了。

CSF的核心就是這張表：

將五大功能細分出多個類別，都給出ID，方便后面進行索引，如下圖所示：

然后每個子類別該如何執行，就需要自行查找參考文獻。大家不要小看了參考文獻的這些編號，假設，我們單位內部要寫一份規范，對里面每一個規則都要寫出參考文獻，比如對應等保2.0的第幾章、第幾節、第幾小點，你會覺得很煩。現在難度加大，不僅是等保2.0，還要對應ISO27001、GB/Txxx等等文件，你是不是要瘋掉？所以CSF的框架核心就是一本字典，可以串起各類規范，這里的NISTSP詳細大家通過前面的介紹已經知道是什么了。而CIS將在后續文章進行介紹。

考慮到不同企業，網絡安全成熟度不同，因此將執行的水平分為四級：

1級：局部2級：具有風險意識3級：可復用4級：自適應圍繞不同成熟度的企業，如何實現以上控制措施，也給出了建議。

4、SCAPv1.3這是個好東西，想想看，現在國外有各種漏洞披露平臺，比如CVE、CVSS、CPE等，國內有CNVD、CNNVD，同時，各個廠家也有一套自己的漏洞披露編號：

對于一個心臟滴血漏洞，如果你把這些披露平臺數據梳理起來，會發現亂七八糟。如果拿個爬蟲去爬，都不確定他們描述的是不是同一個漏洞:

既然你們互相不待見，“那我給所有漏洞做一個統一索引吧”，這大概就是SCAP的野心。

當然了，SCAP的目標并不止于此，這里只是做個簡單的、粗暴的理解，有興趣的讀者可以從文獻做進一步了解。

可惜的是，野心很大，但做不起來。筆者覺得一來這事兒太復雜，二來屬于看不見回報的苦活，很難得到其他組織和廠家的響應，最后估計是不了了之的命運。

Part3、如何使用

NIST有這么多可以參考的資料，能否整個清單，讓讀者能快速索引呢？

其實NIST官網已經這么做了，對外發布了一份動態更新的材料清單：https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/NIST-Cybersecurity-Publications.xlsx

但是自己搜索之前，還是來對NIST的材料分類做個進一步了解，這里主要參考的介紹。

NIST在信息技術與網絡安全方面主要有九大重點研究領域，圖有點看不清楚，筆者把這些領域及主要內容列出來。

1、網絡安全和隱私保護

主導和參與制定國家及國際標準加強在物聯網標準化工作方面的參與度2、風險管理

下一代風險管理框架，第二章已經介紹隱私工程和風險管理NIST網絡安全框架，第二章已經介紹受控非機密信息系統安全工程網絡供應鏈風險管理（C-SCRM)3、密碼算法及密碼驗證

后量子密碼輕量級密碼密碼模塊測試4、前沿網絡安全研究及應用開發安全

使用虛擬機管理程序的漏洞數據進行取證分析智能電網網絡安全電子投票系統的安全性區塊鏈技術和算法安全5、網絡安全意識、培訓、教育和勞動力發展

國家網絡安全教育倡議網絡安全資源共享網絡安全可用性6、身份和訪問管理

數字身份管理個人身份驗證7、通信基礎設施保護

蜂窩和移動技術安全5G安全國家公共安全寬帶網零信任架構改善安全衛生安全域間路由傳輸層安全8、新興技術

物聯網網絡安全人工智能9、先進的安全測試和測量工具

自動化組合測試國家漏洞數據庫開放式安全控制評估語言網絡風險分析計算機取證工具測試

讀者可以根據自己關心的領域，去NIST官網拿編號、關鍵詞搜索相關內容：

關于NIST的介紹到此為止，后續將陸續介紹CIS、MITRE、SANS，以及Part4相互關系，敬請關注。

參考

新出爐的“美國NIST隱私框架”，到底在講啥？,網絡法實務圈，https://www.shangyexinzhi.com/article/531819.html通用漏洞管理與SCAP，Fooying，https://www.fooying.com/common_vulnerability_management_and_scap/NIST，這些年都在研究些啥，Freebuf，https://www.freebuf.com/articles/others-articles/254872.html

美國NICE計劃和《NICE網絡安全人才隊伍框架》，sbilly，https://sbilly.github.io/post/nist-nice-and-nice-cybersecurity-workforce-framework/

Tags：ISTICENICIST價格IST幣ICE幣ICE價格NIC幣NIC價格

火必下載