和咱们IT相关的工作都在ITL,也就是图中蓝色的部分。
ITL的组织架构如图所示(2020/5/15更新),可以看到计算机安全是一级部门,由MattScholl负责。
信息技术研究所ITL的研究领域一共有五个,可以理解为五大实验室:1、网络安全2、人工智能3、物联网4、前沿计算技术及应用5、可信计算(尚无介绍链接)
咱们都是搞网络安全的,就只关注第1个--“网络安全实验室”。网络安全实验室下设多个团队,分别负责七个方向:1、ComputerSecurityResourceCenter,计算机安全资源中心,简称CSRCCSRC对外发布的材料主要是四大类:联邦标准、特别出版物、内部报告、公告。黄色高亮的SP就是我们平常接触最多的。
此外,CSRC还有一些工作是以项目的形式对外公布。后面会提到。
2、NationalcybersecuritycenterofExcellence,国家网络安全卓越中心,简称NCCoE由NIST与马里兰州合作,于2012年成立。该部门与企业基于CRADAs展开合作,利用各个公司的产品整出一个“最佳实践”,来为各个行业提供网络安全解决方案。然后把这些解决方案记录在NISTSP的1800系列中,该系列将功能映射到NIST的网络安全框架(下面的第4点)。
Velo实验室副董事Beam:解读Velo收购Interstellar背后布局:金色财经报道,3月17日下午16:00,金色财经与欧易OKEx联合举办“金色财经对话Beam:解读Velo收购Interstellar背后布局“,邀请Velo 实验室副董事长 Tridbodi Arunanondchai(Beam)作为嘉宾讲述背后故事。
在直播中,Beam表示,Velo的目标是建立一个赋能传统银行商业并将其与最新的中心化和去中心化商业相链接的桥梁。
在谈及本次收购的原因时,Beam解释道,Velo与Stellar有着共同的目标和愿景,并且双方在能力上互相补充互相赋能。Interstellar团队在提供更快、更低廉以及更稳定的给予Stellar网络的跨境支付方案中有着极深厚的经验。因此彼此的融合是一个非常自然的选择。这次合并将使其成为行业里更强、更有影响力的团队。[2021/3/18 18:56:33]
简单说就是一个政企合作的组织,带有一定的商业性质,直接在所谓“最佳实践”中给出具体厂商、产品。来张图感受下,这是SP1800-5IT资产管理的数据信息采集流程图,出现了诸如Splunk、Bro、WSUS等商业产品,也有诸如Snort、OpenVAS等开源产品。
3、PrivacyFramework,隐私框架4、CybersecurityFramework,网络安全框架,简称CSF5、RiskManagementFramework,风险管理框架,简称RMF以上三个框架在代表成果中进行介绍。
6、Measurementsforinformationsecurity,网络安全度量“如何给老板说清楚某一项安全投入的价值?”,这是所有安全人员都绕不开的问题。对于企业而言,安全投入也是投入,是投入就要讲究ROI,投入的安全资源,到底减少了多少风险,是否满足预期?以前都是靠感觉来回答,那是否有办法“量化”呢?
欧科云链解读《海南自贸港总体方案》:区块链产业的政策洼地与制度高地:6月1日,国务院印发了《海南自由贸易港建设总体方案》,其中在多个地方提到了区块链产业相关政策。欧科云链研究院认为《方案》将推动海南自贸区成为我国区块链产业的政策洼地与制度高地。从《方案》内容上看,海南自贸港的区块链产业发展将分为两个阶段:在2025年前的第一阶段,主要任务是推动区块链和实体经济深度融合,实现海南“贸易投资自由化便利化”,主要在“产权保护”和“新一代信息基础设施”两个方面深耕;在2035年前的第二个阶段,将以海南自贸区作为先行试点,建立数据确权、数据交易、数据安全和区块链金融的标准,确保我国在未来跨境数据的国际规则制定中不会处于被动位置。[2020/6/2]
网络安全度量就是为了解决这个问题,旨在让组织能更有效的管理网络安全风险。
但是关于网络安全度量,并没有很成熟的标准,甚至对“网络安全度量”这个词的定义都还没有。谁要是能制定“度量”的明确标准、给出靠谱的方法,那就是对经济社会的重大贡献。这里面涉及到的内容非常多,既要考虑网络安全系统各个组件的价值,还要考虑整个系统对企业的价值。其最终目标是通过度量“识别、保护、监测、响应和恢复”的整体能力,从而度量出企业整体的网络安全性,为高层决策提供依据。
以前君哥在信息安全框架中提出“信息安全度量”,和这个就不谋而合。
NIST也没有标准答案,于是发起了一个倡议,在进行探索。
2008年的时候,NIST发布了一份SP800-55v1《信息安全度量指南》,目前正在征集v2修订意见。举个例子,下图是v1中一份关于漏洞管理的度量表,度量高危漏洞在有效时间内的修复比例、修复效率,给出了度量方法、计算公式等,对于做安全运营工作,具有一定的借鉴意义。里面还有关于访问控制、员工培训、审计、配置管理等方面的测量表。
动态 | 区块链技术助力共建中国人群基因变异解读标准数据库发布:据央广网消息,5月27日,“区块链技术助力共建中国人群基因变异解读标准数据库”在2019数博会“生命大数据高峰论坛”上发布。华大集团大数据中心副主任杨梦表示,数据库的建立必须满足可公开、可溯源、不可篡改、迭代更新、临床信息溯源、符合伦理法规等条件,而利用区块链技术可以实现账本公开、所有历史信息留痕、哈希摘要上链、分布式共识、私有数据存证、细颗粒度权限控制等。[2019/5/28]
7、NationalInitiativeforCybersecurityEducation(NICE),国家网络安全教育计划,简称NICE
主攻教育培训。于2020年11月16日发布了《网络安全人才队伍框架》修订版,编号sp800-181。
《NICE网络安全人才队伍框架》中核心内容如上图,其中涉及7大类别的32个专业领域,38种工作角色的1007类任务所需的1180种知识、技能和能力。有兴趣的读者可以阅读文献了解详情。
Part2、代表成果
弄清楚了组织架构、研究内容之后,再来看NIST的主要成果就比较清晰了。1、NIST《零信任架构》白皮书于2020年8月发布,从编号可以看出,属于SP800,最佳实践系列。白皮书包含零信任架构的抽象定义,并给出了零信任可以改进企业总体信息技术安全状况的通用部署模型和使用案例。零信任的概念最近很火,笔者就不添油加醋了。
声音 | 最高人民法院工作报告解读:探索司法区块链等互联网模式:据新华网消息,12日,最高人民法院办公厅副主任陈志远接受专访,解读最高人民法院工作报告中网民高度关注的热点内容。陈志远介绍,杭州互联网法院通过全流程在线审理平台,实现案件全流程在线办理,让当事人打官司“一次都不用跑”;采用司法区块链等技术,让存证取证更方便,让电子证据更可靠。[2019/3/12]
2、《隐私框架:通过企业风险管理来改善隐私的工具》隐私保护是这个时代迫切需要解决的问题。但值得注意的是,“隐私”的概念是宽泛的,隐私保护的方式是多样的,侵犯个人隐私所造成的影响也是多层次的。因此NIST认为,“我们如今缺少一套通用的语言和工具,这套语言和工具要非常灵活,来应对各种各样的隐私保护需求”。在这样的背景下,美国NIST隐私框架V1.0应运而生。
对于这套隐私框架的定位和作用,NIST的野心可不小:“隐私框架可帮助任何规模和任何身份的机构管理隐私风险,并且对于任何一种技术、任何一个行业、任何一部法律、任何一块法域都是中立和适用的。”
隐私框架的核心部分由5大功能板块构成:1、识别板块(ID-P)--识别机构内外部环境和现状;2、治理板块(GV-P)--建立公司内部治理体系;3、控制版块--精细化管理数据;4、交流版块--开展活动帮助机构和个人交流隐私风险相关问题;5、保护版块--实施保护措施以防止网络安全事件。
5大版块又分成18个类别版块,而每个类别版块又再细分成若干个子类别版块(例如ID.RA-P5风险回应板块)。这些板块的具体内容都是机构可以去追求的隐私保护相关目标和活动
声音 | EOS pacific创始人解读EOS宪法2.0:删减多条目是为仲裁机构减轻压力:今天,EOS pacific创始人王栋在引力生态峰会上表示,BM推出的宪法2.0版最核心的有以下几个方面:
1、CODE IS LAW。所有的法律都应代码化,即使代码有BUG。
2、BM进一步诠释合约,把整个合约清晰定义。如果各方理解有不同,才需要仲裁员出现。仲裁机制主要的工作范围已经大幅度缩小。
3、私钥的丢失是个人的责任,不是通过仲裁可以解决的问题。
4、在智能合约定义的范围内,仲裁能冷冻Token的转移。
王栋还表示,EOS宪法从1.0版的20条减到9条,把很多东西去掉,就是让Token不要根据自己对宪法的理解套用自己的情形,无限的给仲裁机构施加压力。[2018/7/15]
本质上,可以将这些大大小小的版块比做是一块块形状各异的积木,NIST将这些积木提供给大家,由机构根据自身需求以及手中资源自由选择积木的数量和种类,个性化地搭建企业内部隐私保护体系的“大厦”。
有兴趣的读者可以进一步阅读参考文章。
3、《网络安全框架v1.1》(2018年发布)英文名是《FrameworkforImprovingCriticalInfrastructureCybersecurity》,所以也翻译为《提升关键基础设施网络安全框架》。现在国内提“关键信息基础设施”显然不是空穴来风,毕竟美国人早就这么干了。
CSF的核心就是这张表:
将五大功能细分出多个类别,都给出ID,方便后面进行索引,如下图所示:
然后每个子类别该如何执行,就需要自行查找参考文献。大家不要小看了参考文献的这些编号,假设,我们单位内部要写一份规范,对里面每一个规则都要写出参考文献,比如对应等保2.0的第几章、第几节、第几小点,你会觉得很烦。现在难度加大,不仅是等保2.0,还要对应ISO27001、GB/Txxx等等文件,你是不是要疯掉?所以CSF的框架核心就是一本字典,可以串起各类规范,这里的NISTSP详细大家通过前面的介绍已经知道是什么了。而CIS将在后续文章进行介绍。
考虑到不同企业,网络安全成熟度不同,因此将执行的水平分为四级:
1级:局部2级:具有风险意识3级:可复用4级:自适应围绕不同成熟度的企业,如何实现以上控制措施,也给出了建议。
4、SCAPv1.3这是个好东西,想想看,现在国外有各种漏洞披露平台,比如CVE、CVSS、CPE等,国内有CNVD、CNNVD,同时,各个厂家也有一套自己的漏洞披露编号:
对于一个心脏滴血漏洞,如果你把这些披露平台数据梳理起来,会发现乱七八糟。如果拿个爬虫去爬,都不确定他们描述的是不是同一个漏洞:
既然你们互相不待见,“那我给所有漏洞做一个统一索引吧”,这大概就是SCAP的野心。
当然了,SCAP的目标并不止于此,这里只是做个简单的、粗暴的理解,有兴趣的读者可以从文献做进一步了解。
可惜的是,野心很大,但做不起来。笔者觉得一来这事儿太复杂,二来属于看不见回报的苦活,很难得到其他组织和厂家的响应,最后估计是不了了之的命运。
Part3、如何使用
NIST有这么多可以参考的资料,能否整个清单,让读者能快速索引呢?
其实NIST官网已经这么做了,对外发布了一份动态更新的材料清单:https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/NIST-Cybersecurity-Publications.xlsx
但是自己搜索之前,还是来对NIST的材料分类做个进一步了解,这里主要参考的介绍。
NIST在信息技术与网络安全方面主要有九大重点研究领域,图有点看不清楚,笔者把这些领域及主要内容列出来。
1、网络安全和隐私保护
主导和参与制定国家及国际标准加强在物联网标准化工作方面的参与度2、风险管理
下一代风险管理框架,第二章已经介绍隐私工程和风险管理NIST网络安全框架,第二章已经介绍受控非机密信息系统安全工程网络供应链风险管理(C-SCRM)3、密码算法及密码验证
后量子密码轻量级密码密码模块测试4、前沿网络安全研究及应用开发安全
使用虚拟机管理程序的漏洞数据进行取证分析智能电网网络安全电子投票系统的安全性区块链技术和算法安全5、网络安全意识、培训、教育和劳动力发展
国家网络安全教育倡议网络安全资源共享网络安全可用性6、身份和访问管理
数字身份管理个人身份验证7、通信基础设施保护
蜂窝和移动技术安全5G安全国家公共安全宽带网零信任架构改善安全卫生安全域间路由传输层安全8、新兴技术
物联网网络安全人工智能9、先进的安全测试和测量工具
自动化组合测试国家漏洞数据库开放式安全控制评估语言网络风险分析计算机取证工具测试
读者可以根据自己关心的领域,去NIST官网拿编号、关键词搜索相关内容:
关于NIST的介绍到此为止,后续将陆续介绍CIS、MITRE、SANS,以及Part4相互关系,敬请关注。
参考
新出炉的“美国NIST隐私框架”,到底在讲啥?,网络法实务圈,https://www.shangyexinzhi.com/article/531819.html通用漏洞管理与SCAP,Fooying,https://www.fooying.com/common_vulnerability_management_and_scap/NIST,这些年都在研究些啥,Freebuf,https://www.freebuf.com/articles/others-articles/254872.html
美国NICE计划和《NICE网络安全人才队伍框架》,sbilly,https://sbilly.github.io/post/nist-nice-and-nice-cybersecurity-workforce-framework/
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。