IST:解讀：NIST及其可借鑒的主要安全框架

和咱們IT相關的工作都在ITL，也就是圖中藍色的部分。

ITL的組織架構如圖所示（2020/5/15更新)，可以看到計算機安全是一級部門，由MattScholl負責。

信息技術研究所ITL的研究領域一共有五個，可以理解為五大實驗室：1、網絡安全2、人工智能3、物聯網4、前沿計算技術及應用5、可信計算（尚無介紹鏈接)

咱們都是搞網絡安全的，就只關注第1個--“網絡安全實驗室”。網絡安全實驗室下設多個團隊，分別負責七個方向：1、ComputerSecurityResourceCenter，計算機安全資源中心，簡稱CSRCCSRC對外發布的材料主要是四大類：聯邦標準、特別出版物、內部報告、公告。黃色高亮的SP就是我們平常接觸最多的。

此外，CSRC還有一些工作是以項目的形式對外公布。后面會提到。

2、NationalcybersecuritycenterofExcellence，國家網絡安全卓越中心，簡稱NCCoE由NIST與馬里蘭州合作，于2012年成立。該部門與企業基于CRADAs展開合作，利用各個公司的產品整出一個“最佳實踐”，來為各個行業提供網絡安全解決方案。然后把這些解決方案記錄在NISTSP的1800系列中，該系列將功能映射到NIST的網絡安全框架（下面的第4點)。

數據/機器智能美學先驅Refik Anadol推出解讀量子物理的藝術NFT:金色財經報道，根據德國知名畫廊“國王畫廊”（K?NIG GALERIE）披露，媒體藝術家、導演和數據/機器智能美學先驅Refik Anadol在misa.art平臺上已售出1000 NFT，這些NFT是Refik Anadol系列作品《QUANTUM MEMORIES : NOISE》的一部分，Refik Anadol使用 Google Quantum AI量子計算研究數據和算法來探索平行世界的可能性，并開發了一種定制的程序相干噪聲實現，利用超越經典測量的計算surflets（Surflets：包含平滑不連續性的多維函數的稀疏表示）。這件作品的靈感來自于量子物理學中的多世界解釋，并對其進行了推測——該理論認為有許多平行世界與我們自己的空間和時間存在于相同的時空。[2021/9/27 17:08:54]

簡單說就是一個政企合作的組織，帶有一定的商業性質，直接在所謂“最佳實踐”中給出具體廠商、產品。來張圖感受下，這是SP1800-5IT資產管理的數據信息采集流程圖，出現了諸如Splunk、Bro、WSUS等商業產品，也有諸如Snort、OpenVAS等開源產品。

3、PrivacyFramework，隱私框架4、CybersecurityFramework，網絡安全框架，簡稱CSF5、RiskManagementFramework，風險管理框架，簡稱RMF以上三個框架在代表成果中進行介紹。

6、Measurementsforinformationsecurity，網絡安全度量“如何給老板說清楚某一項安全投入的價值？”，這是所有安全人員都繞不開的問題。對于企業而言，安全投入也是投入，是投入就要講究ROI，投入的安全資源，到底減少了多少風險，是否滿足預期？以前都是靠感覺來回答，那是否有辦法“量化”呢？

歐科云鏈解讀《海南自貿港總體方案》：區塊鏈產業的政策洼地與制度高地:6月1日，國務院印發了《海南自由貿易港建設總體方案》，其中在多個地方提到了區塊鏈產業相關政策。歐科云鏈研究院認為《方案》將推動海南自貿區成為我國區塊鏈產業的政策洼地與制度高地。從《方案》內容上看，海南自貿港的區塊鏈產業發展將分為兩個階段：在2025年前的第一階段，主要任務是推動區塊鏈和實體經濟深度融合，實現海南“貿易投資自由化便利化”，主要在“產權保護”和“新一代信息基礎設施”兩個方面深耕；在2035年前的第二個階段，將以海南自貿區作為先行試點，建立數據確權、數據交易、數據安全和區塊鏈金融的標準，確保我國在未來跨境數據的國際規則制定中不會處于被動位置。[2020/6/2]

網絡安全度量就是為了解決這個問題，旨在讓組織能更有效的管理網絡安全風險。

但是關于網絡安全度量，并沒有很成熟的標準，甚至對“網絡安全度量”這個詞的定義都還沒有。誰要是能制定“度量”的明確標準、給出靠譜的方法，那就是對經濟社會的重大貢獻。這里面涉及到的內容非常多，既要考慮網絡安全系統各個組件的價值，還要考慮整個系統對企業的價值。其最終目標是通過度量“識別、保護、監測、響應和恢復”的整體能力，從而度量出企業整體的網絡安全性，為高層決策提供依據。

以前君哥在信息安全框架中提出“信息安全度量”，和這個就不謀而合。

NIST也沒有標準答案，于是發起了一個倡議，在進行探索。

2008年的時候，NIST發布了一份SP800-55v1《信息安全度量指南》，目前正在征集v2修訂意見。舉個例子，下圖是v1中一份關于漏洞管理的度量表，度量高危漏洞在有效時間內的修復比例、修復效率，給出了度量方法、計算公式等，對于做安全運營工作，具有一定的借鑒意義。里面還有關于訪問控制、員工培訓、審計、配置管理等方面的測量表。

IMEOS 解讀 EOSIO Dawn 4.0 精校版出爐 代碼將于近日正式發布:據金色財經合作媒體 IMEOS 報道：今日， BM 在Medium上發布了關于EOSIO Dawn4.0 的版本介紹，從十余個方面介紹 EOSIO Dawn4.0。在過去的一個月里，block.one團隊一直在為EOSIO的精簡性和穩定性付出著努力。[2018/5/5]

7、NationalInitiativeforCybersecurityEducation(NICE)，國家網絡安全教育計劃，簡稱NICE

主攻教育培訓。于2020年11月16日發布了《網絡安全人才隊伍框架》修訂版，編號sp800-181。

《NICE網絡安全人才隊伍框架》中核心內容如上圖，其中涉及7大類別的32個專業領域，38種工作角色的1007類任務所需的1180種知識、技能和能力。有興趣的讀者可以閱讀文獻了解詳情。

Part2、代表成果

弄清楚了組織架構、研究內容之后，再來看NIST的主要成果就比較清晰了。1、NIST《零信任架構》白皮書于2020年8月發布，從編號可以看出，屬于SP800，最佳實踐系列。白皮書包含零信任架構的抽象定義，并給出了零信任可以改進企業總體信息技術安全狀況的通用部署模型和使用案例。零信任的概念最近很火，筆者就不添油加醋了。

金色財經獨家分析 巨人轉讓區塊鏈相關股份的兩種解讀:被投資公司盈利能力反映在巨人公司的投資損益項，盈利能力存在風險會直接對其財務報表產生風險，而這正是股東看重的地方。巨人公司出售OKC股份，從因“不確定性”而“保護投資者”理由解釋合理充分，轉讓對價2850萬美元占2%左右比例并不高，董事會在其職權范圍內作出決定也不用勞煩整個股東大會，巨人也按照程序做了相同的關聯方解釋，資產并未被低估賤賣，完全符合要求。

然而“不確定性”卻存在兩種解讀。如果解釋為風險，史玉柱等自然展現了擔當與無私；如果解釋為潛在收益，那么OKC成功轉型帶來的利潤巨人公司的廣大股東也是享受不到的。旁人并不知道史玉柱和董事會的想法，但至少，此次減少“區塊鏈”相關的股權，并不能說明OKC或區塊鏈概念的利空。如果真是巨大風險，就沒必要賣給“利益相關方”了，解釋為史玉柱與股東會的“分歧”更為準確。而且值得注意的是，OKC是從經營幣到搞區塊鏈“實業”，更符合政策，有理由是個正向消息。[2018/3/24]

2、《隱私框架：通過企業風險管理來改善隱私的工具》隱私保護是這個時代迫切需要解決的問題。但值得注意的是，“隱私”的概念是寬泛的，隱私保護的方式是多樣的，侵犯個人隱私所造成的影響也是多層次的。因此NIST認為，“我們如今缺少一套通用的語言和工具，這套語言和工具要非常靈活，來應對各種各樣的隱私保護需求”。在這樣的背景下，美國NIST隱私框架V1.0應運而生。

對于這套隱私框架的定位和作用，NIST的野心可不小：“隱私框架可幫助任何規模和任何身份的機構管理隱私風險，并且對于任何一種技術、任何一個行業、任何一部法律、任何一塊法域都是中立和適用的。”

隱私框架的核心部分由5大功能板塊構成：1、識別板塊(ID-P)--識別機構內外部環境和現狀；2、治理板塊(GV-P)--建立公司內部治理體系；3、控制版塊--精細化管理數據；4、交流版塊--開展活動幫助機構和個人交流隱私風險相關問題；5、保護版塊--實施保護措施以防止網絡安全事件。

尹振濤解讀數字貨幣政策：對數字貨幣的監管還可以更嚴厲:中國社會科學院金融研究所法與金融研究室副主任尹振濤認為：對數字貨幣的定位不明確，各國對數字貨幣的監管都在同一起跑線上；各國的監管差異體現了背后的經濟博弈；從效果上看，當前國內監管做的還不夠，在某些領域，我們還可以更嚴一點；禁止ICO不應是阻礙區塊鏈發展的借口；數字貨幣交易被禁止，風險仍留在國內；未來各國的監管會漸趨一致。[2018/3/22]

5大版塊又分成18個類別版塊，而每個類別版塊又再細分成若干個子類別版塊(例如ID.RA-P5風險回應板塊)。這些板塊的具體內容都是機構可以去追求的隱私保護相關目標和活動

本質上，可以將這些大大小小的版塊比做是一塊塊形狀各異的積木，NIST將這些積木提供給大家，由機構根據自身需求以及手中資源自由選擇積木的數量和種類，個性化地搭建企業內部隱私保護體系的“大廈”。

有興趣的讀者可以進一步閱讀參考文章。

3、《網絡安全框架v1.1》(2018年發布)英文名是《FrameworkforImprovingCriticalInfrastructureCybersecurity》，所以也翻譯為《提升關鍵基礎設施網絡安全框架》。現在國內提“關鍵信息基礎設施”顯然不是空穴來風，畢竟美國人早就這么干了。

CSF的核心就是這張表：

將五大功能細分出多個類別，都給出ID，方便后面進行索引，如下圖所示：

然后每個子類別該如何執行，就需要自行查找參考文獻。大家不要小看了參考文獻的這些編號，假設，我們單位內部要寫一份規范，對里面每一個規則都要寫出參考文獻，比如對應等保2.0的第幾章、第幾節、第幾小點，你會覺得很煩。現在難度加大，不僅是等保2.0，還要對應ISO27001、GB/Txxx等等文件，你是不是要瘋掉？所以CSF的框架核心就是一本字典，可以串起各類規范，這里的NISTSP詳細大家通過前面的介紹已經知道是什么了。而CIS將在后續文章進行介紹。

考慮到不同企業，網絡安全成熟度不同，因此將執行的水平分為四級：

1級：局部2級：具有風險意識3級：可復用4級：自適應圍繞不同成熟度的企業，如何實現以上控制措施，也給出了建議。

4、SCAPv1.3這是個好東西，想想看，現在國外有各種漏洞披露平臺，比如CVE、CVSS、CPE等，國內有CNVD、CNNVD，同時，各個廠家也有一套自己的漏洞披露編號：

對于一個心臟滴血漏洞，如果你把這些披露平臺數據梳理起來，會發現亂七八糟。如果拿個爬蟲去爬，都不確定他們描述的是不是同一個漏洞:

既然你們互相不待見，“那我給所有漏洞做一個統一索引吧”，這大概就是SCAP的野心。

當然了，SCAP的目標并不止于此，這里只是做個簡單的、粗暴的理解，有興趣的讀者可以從文獻做進一步了解。

可惜的是，野心很大，但做不起來。筆者覺得一來這事兒太復雜，二來屬于看不見回報的苦活，很難得到其他組織和廠家的響應，最后估計是不了了之的命運。

Part3、如何使用

NIST有這么多可以參考的資料，能否整個清單，讓讀者能快速索引呢？

其實NIST官網已經這么做了，對外發布了一份動態更新的材料清單：https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/NIST-Cybersecurity-Publications.xlsx

但是自己搜索之前，還是來對NIST的材料分類做個進一步了解，這里主要參考的介紹。

NIST在信息技術與網絡安全方面主要有九大重點研究領域，圖有點看不清楚，筆者把這些領域及主要內容列出來。

1、網絡安全和隱私保護

主導和參與制定國家及國際標準加強在物聯網標準化工作方面的參與度2、風險管理

下一代風險管理框架，第二章已經介紹隱私工程和風險管理NIST網絡安全框架，第二章已經介紹受控非機密信息系統安全工程網絡供應鏈風險管理（C-SCRM)3、密碼算法及密碼驗證

后量子密碼輕量級密碼密碼模塊測試4、前沿網絡安全研究及應用開發安全

使用虛擬機管理程序的漏洞數據進行取證分析智能電網網絡安全電子投票系統的安全性區塊鏈技術和算法安全5、網絡安全意識、培訓、教育和勞動力發展

國家網絡安全教育倡議網絡安全資源共享網絡安全可用性6、身份和訪問管理

數字身份管理個人身份驗證7、通信基礎設施保護

蜂窩和移動技術安全5G安全國家公共安全寬帶網零信任架構改善安全衛生安全域間路由傳輸層安全8、新興技術

物聯網網絡安全人工智能9、先進的安全測試和測量工具

自動化組合測試國家漏洞數據庫開放式安全控制評估語言網絡風險分析計算機取證工具測試

讀者可以根據自己關心的領域，去NIST官網拿編號、關鍵詞搜索相關內容：

關于NIST的介紹到此為止，后續將陸續介紹CIS、MITRE、SANS，以及Part4相互關系，敬請關注。

參考

新出爐的“美國NIST隱私框架”，到底在講啥？,網絡法實務圈，https://www.shangyexinzhi.com/article/531819.html通用漏洞管理與SCAP，Fooying，https://www.fooying.com/common_vulnerability_management_and_scap/NIST，這些年都在研究些啥，Freebuf，https://www.freebuf.com/articles/others-articles/254872.html

美國NICE計劃和《NICE網絡安全人才隊伍框架》，sbilly，https://sbilly.github.io/post/nist-nice-and-nice-cybersecurity-workforce-framework/

Tags：ISTICENICIST價格IST幣ICE幣ICE價格NIC幣NIC價格

Polygon