解讀：NIST及其可借鑒的主要安全框架_IST

和咱們IT相關的工作都在ITL，也就是圖中藍色的部分。

ITL的組織架構如圖所示（2020/5/15更新)，可以看到計算機安全是一級部門，由MattScholl負責。

信息技術研究所ITL的研究領域一共有五個，可以理解為五大實驗室：1、網絡安全2、人工智能3、物聯網4、前沿計算技術及應用5、可信計算（尚無介紹鏈接)

咱們都是搞網絡安全的，就只關注第1個--“網絡安全實驗室”。網絡安全實驗室下設多個團隊，分別負責七個方向：1、ComputerSecurityResourceCenter，計算機安全資源中心，簡稱CSRCCSRC對外發布的材料主要是四大類：聯邦標準、特別出版物、內部報告、公告。黃色高亮的SP就是我們平常接觸最多的。

此外，CSRC還有一些工作是以項目的形式對外公布。后面會提到。

2、NationalcybersecuritycenterofExcellence，國家網絡安全卓越中心，簡稱NCCoE由NIST與馬里蘭州合作，于2012年成立。該部門與企業基于CRADAs展開合作，利用各個公司的產品整出一個“最佳實踐”，來為各個行業提供網絡安全解決方案。然后把這些解決方案記錄在NISTSP的1800系列中，該系列將功能映射到NIST的網絡安全框架（下面的第4點)。

動態 | 加密資產機構加大對軟件開發商投入，以通過算法解讀市場情緒:據cointelegraph消息，隨著近期比特幣波動性的加劇，加密資產管理公司和對沖基金正在加大對軟件開發商的投入，以通過算法研究解讀市場情緒。幫助他們解釋和利用市場情緒信號，獲得更高的收益。[2019/7/17]

簡單說就是一個政企合作的組織，帶有一定的商業性質，直接在所謂“最佳實踐”中給出具體廠商、產品。來張圖感受下，這是SP1800-5IT資產管理的數據信息采集流程圖，出現了諸如Splunk、Bro、WSUS等商業產品，也有諸如Snort、OpenVAS等開源產品。

3、PrivacyFramework，隱私框架4、CybersecurityFramework，網絡安全框架，簡稱CSF5、RiskManagementFramework，風險管理框架，簡稱RMF以上三個框架在代表成果中進行介紹。

6、Measurementsforinformationsecurity，網絡安全度量“如何給老板說清楚某一項安全投入的價值？”，這是所有安全人員都繞不開的問題。對于企業而言，安全投入也是投入，是投入就要講究ROI，投入的安全資源，到底減少了多少風險，是否滿足預期？以前都是靠感覺來回答，那是否有辦法“量化”呢？

網絡安全度量就是為了解決這個問題，旨在讓組織能更有效的管理網絡安全風險。

但是關于網絡安全度量，并沒有很成熟的標準，甚至對“網絡安全度量”這個詞的定義都還沒有。誰要是能制定“度量”的明確標準、給出靠譜的方法，那就是對經濟社會的重大貢獻。這里面涉及到的內容非常多，既要考慮網絡安全系統各個組件的價值，還要考慮整個系統對企業的價值。其最終目標是通過度量“識別、保護、監測、響應和恢復”的整體能力，從而度量出企業整體的網絡安全性，為高層決策提供依據。

聲音 | 最高人民法院工作報告解讀：探索司法區塊鏈等互聯網模式:據新華網消息，12日，最高人民法院辦公廳副主任陳志遠接受專訪，解讀最高人民法院工作報告中網民高度關注的熱點內容。陳志遠介紹，杭州互聯網法院通過全流程在線審理平臺，實現案件全流程在線辦理，讓當事人打官司“一次都不用跑”；采用司法區塊鏈等技術，讓存證取證更方便，讓電子證據更可靠。[2019/3/12]

以前君哥在信息安全框架中提出“信息安全度量”，和這個就不謀而合。

NIST也沒有標準答案，于是發起了一個倡議，在進行探索。

2008年的時候，NIST發布了一份SP800-55v1《信息安全度量指南》，目前正在征集v2修訂意見。舉個例子，下圖是v1中一份關于漏洞管理的度量表，度量高危漏洞在有效時間內的修復比例、修復效率，給出了度量方法、計算公式等，對于做安全運營工作，具有一定的借鑒意義。里面還有關于訪問控制、員工培訓、審計、配置管理等方面的測量表。

7、NationalInitiativeforCybersecurityEducation(NICE)，國家網絡安全教育計劃，簡稱NICE

主攻教育培訓。于2020年11月16日發布了《網絡安全人才隊伍框架》修訂版，編號sp800-181。

《NICE網絡安全人才隊伍框架》中核心內容如上圖，其中涉及7大類別的32個專業領域，38種工作角色的1007類任務所需的1180種知識、技能和能力。有興趣的讀者可以閱讀文獻了解詳情。

楊東教授解讀：央行開展對虛擬貨幣的清理整頓，切實保護金融消費者始終是基礎:楊東教授發文稱，當前虛擬貨幣交易存在一定風險與亂象，而投資者是風險的主要承擔者，因為區塊鏈技術應用于金融業態在包裝和銷售小額化金融資產的同時，也將金融風險擴散到了廣大小微投融資者之間。但值得注意的是，投資者是區塊鏈應用于金融業態的重要基礎，金融科技必然回歸到投資者保護。[2018/3/31]

Part2、代表成果

弄清楚了組織架構、研究內容之后，再來看NIST的主要成果就比較清晰了。1、NIST《零信任架構》白皮書于2020年8月發布，從編號可以看出，屬于SP800，最佳實踐系列。白皮書包含零信任架構的抽象定義，并給出了零信任可以改進企業總體信息技術安全狀況的通用部署模型和使用案例。零信任的概念最近很火，筆者就不添油加醋了。

2、《隱私框架：通過企業風險管理來改善隱私的工具》隱私保護是這個時代迫切需要解決的問題。但值得注意的是，“隱私”的概念是寬泛的，隱私保護的方式是多樣的，侵犯個人隱私所造成的影響也是多層次的。因此NIST認為，“我們如今缺少一套通用的語言和工具，這套語言和工具要非常靈活，來應對各種各樣的隱私保護需求”。在這樣的背景下，美國NIST隱私框架V1.0應運而生。

對于這套隱私框架的定位和作用，NIST的野心可不小：“隱私框架可幫助任何規模和任何身份的機構管理隱私風險，并且對于任何一種技術、任何一個行業、任何一部法律、任何一塊法域都是中立和適用的。”

隱私框架的核心部分由5大功能板塊構成：1、識別板塊(ID-P)--識別機構內外部環境和現狀；2、治理板塊(GV-P)--建立公司內部治理體系；3、控制版塊--精細化管理數據；4、交流版塊--開展活動幫助機構和個人交流隱私風險相關問題；5、保護版塊--實施保護措施以防止網絡安全事件。

真融寶吳雅楠解讀區塊鏈：風險與機遇共存:21日訊，真融寶董事長吳雅楠談到區塊鏈的重要性和關鍵地位，他表示，區塊鏈是互聯網金融的底層技術架構，互聯網金融的成熟在一定程度上依賴區塊鏈技術的成熟。同時，吳雅楠指出，人行在三年多以前，就組織關于數字貨幣的研討會，隨后成立了央行數字貨幣研究所。從投資角度而言，他表示，個人投資者要特別關注虛擬貨幣作為資產的巨大波動性，主要是技術應用沒有專注于數字貨幣在零售支付方面的應用，而跑到虛擬資產交易方面需要更加慎重；對于機構投資來說，應該著眼于以產業為背景，能夠用區塊鏈改變傳統產業痛點的、并且能建立生態的共鏈。[2018/3/21]

5大版塊又分成18個類別版塊，而每個類別版塊又再細分成若干個子類別版塊(例如ID.RA-P5風險回應板塊)。這些板塊的具體內容都是機構可以去追求的隱私保護相關目標和活動

本質上，可以將這些大大小小的版塊比做是一塊塊形狀各異的積木，NIST將這些積木提供給大家，由機構根據自身需求以及手中資源自由選擇積木的數量和種類，個性化地搭建企業內部隱私保護體系的“大廈”。

有興趣的讀者可以進一步閱讀參考文章。

3、《網絡安全框架v1.1》(2018年發布)英文名是《FrameworkforImprovingCriticalInfrastructureCybersecurity》，所以也翻譯為《提升關鍵基礎設施網絡安全框架》。現在國內提“關鍵信息基礎設施”顯然不是空穴來風，畢竟美國人早就這么干了。

CSF的核心就是這張表：

將五大功能細分出多個類別，都給出ID，方便后面進行索引，如下圖所示：

中國人民大學法學院教授楊東解讀《政府工作報告》:互聯網金融的核心是對移動互聯網技術、云計算、大數據、區塊鏈技術運用,這將導致我們的金融體系回歸金融的本質。目前互聯網金融更多地帶有金融科技的色彩，而監管科技的廣泛運用更是有望將互聯網金融信息不對稱的問題根本解決,而未來信息在網絡上的無障礙流動也必將導致人類生產方式的改變。[2018/3/10]

然后每個子類別該如何執行，就需要自行查找參考文獻。大家不要小看了參考文獻的這些編號，假設，我們單位內部要寫一份規范，對里面每一個規則都要寫出參考文獻，比如對應等保2.0的第幾章、第幾節、第幾小點，你會覺得很煩。現在難度加大，不僅是等保2.0，還要對應ISO27001、GB/Txxx等等文件，你是不是要瘋掉？所以CSF的框架核心就是一本字典，可以串起各類規范，這里的NISTSP詳細大家通過前面的介紹已經知道是什么了。而CIS將在后續文章進行介紹。

考慮到不同企業，網絡安全成熟度不同，因此將執行的水平分為四級：

1級：局部2級：具有風險意識3級：可復用4級：自適應圍繞不同成熟度的企業，如何實現以上控制措施，也給出了建議。

4、SCAPv1.3這是個好東西，想想看，現在國外有各種漏洞披露平臺，比如CVE、CVSS、CPE等，國內有CNVD、CNNVD，同時，各個廠家也有一套自己的漏洞披露編號：

對于一個心臟滴血漏洞，如果你把這些披露平臺數據梳理起來，會發現亂七八糟。如果拿個爬蟲去爬，都不確定他們描述的是不是同一個漏洞:

既然你們互相不待見，“那我給所有漏洞做一個統一索引吧”，這大概就是SCAP的野心。

當然了，SCAP的目標并不止于此，這里只是做個簡單的、粗暴的理解，有興趣的讀者可以從文獻做進一步了解。

可惜的是，野心很大，但做不起來。筆者覺得一來這事兒太復雜，二來屬于看不見回報的苦活，很難得到其他組織和廠家的響應，最后估計是不了了之的命運。

Part3、如何使用

NIST有這么多可以參考的資料，能否整個清單，讓讀者能快速索引呢？

其實NIST官網已經這么做了，對外發布了一份動態更新的材料清單：https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/NIST-Cybersecurity-Publications.xlsx

但是自己搜索之前，還是來對NIST的材料分類做個進一步了解，這里主要參考的介紹。

NIST在信息技術與網絡安全方面主要有九大重點研究領域，圖有點看不清楚，筆者把這些領域及主要內容列出來。

1、網絡安全和隱私保護

主導和參與制定國家及國際標準加強在物聯網標準化工作方面的參與度2、風險管理

下一代風險管理框架，第二章已經介紹隱私工程和風險管理NIST網絡安全框架，第二章已經介紹受控非機密信息系統安全工程網絡供應鏈風險管理（C-SCRM)3、密碼算法及密碼驗證

后量子密碼輕量級密碼密碼模塊測試4、前沿網絡安全研究及應用開發安全

使用虛擬機管理程序的漏洞數據進行取證分析智能電網網絡安全電子投票系統的安全性區塊鏈技術和算法安全5、網絡安全意識、培訓、教育和勞動力發展

國家網絡安全教育倡議網絡安全資源共享網絡安全可用性6、身份和訪問管理

數字身份管理個人身份驗證7、通信基礎設施保護

蜂窩和移動技術安全5G安全國家公共安全寬帶網零信任架構改善安全衛生安全域間路由傳輸層安全8、新興技術

物聯網網絡安全人工智能9、先進的安全測試和測量工具

自動化組合測試國家漏洞數據庫開放式安全控制評估語言網絡風險分析計算機取證工具測試

讀者可以根據自己關心的領域，去NIST官網拿編號、關鍵詞搜索相關內容：

關于NIST的介紹到此為止，后續將陸續介紹CIS、MITRE、SANS，以及Part4相互關系，敬請關注。

參考

新出爐的“美國NIST隱私框架”，到底在講啥？,網絡法實務圈，https://www.shangyexinzhi.com/article/531819.html通用漏洞管理與SCAP，Fooying，https://www.fooying.com/common_vulnerability_management_and_scap/NIST，這些年都在研究些啥，Freebuf，https://www.freebuf.com/articles/others-articles/254872.html

美國NICE計劃和《NICE網絡安全人才隊伍框架》，sbilly，https://sbilly.github.io/post/nist-nice-and-nice-cybersecurity-workforce-framework/

Tags：ISTICENICIST價格IST幣ICE幣ICE價格NIC幣NIC價格

加密貨幣