美國NIST《網路安全框架》v1.1版草案提議修改項

關注E安全 關注網路安全一手資訊

E安全7月28日訊 美國國家標準與技術研究所（NIST）《網路安全框架》發生了重大變化，例如協調披露漏洞（Coordinated Vulnerability Disclosure，CVD）內容可能會推遲到今後的修訂版本中，而不會納入在V 1.1.版本中。

這是上周NIST發布的5月公眾徵詢研討會結果之一。NIST在研討中提出計劃明年早些時候完成對《網路安全框架》的修訂。

報告中提到「向後兼容」性，即確保現有版本V1.0的用戶能使用新版本V1.1。也就是說，只會進行較小的調整，例如新增多因素身份驗證或新增解決物聯網風險的方法。

V1.1草案提議修改項

NIST在研討報告中提出，計劃推動對V1.1草案（今年1月發布的）中的提議修改項，包括：

• 修改網路安全度量的內容。企業領導者希望明確這裡指的是自我評估，而非審計或法律標準。

• 在身份與訪問管理中新增子節，即身份驗證。包括基於風險身份驗證方法的三層描述：單一、多因素和持續驗證。

• 將網路供應鏈風險管理實現層級（Cyber Supply Chain Implementation Tier）融入到其它三個實現層級內容中。

• 刪除第3.7節，聯邦機構應用框架的部分。特朗普行政令EO13800已經解決了這個問題，聯邦機構具有獨立的框架指南。這份研討報告暗示，這可能有助於推動國際上採用該框架。

• 最根本的是，整個文件的評估和內容更新是為了更好地適應物聯網和工控系統網路安全。

報告指出，參會者協調漏洞披露（CVD）達成一致意見，即企業創建渠道報告並修復自製軟體的漏洞，這是一個成熟的做法。但有些參會者主張，在框架多次迭代中分階段融合。

有些參會者認為，框架V1.1適合引入CVD，其它參與者則認為，通過更多時間研究CVD與次框架之間的交叉點，也許能將CVD全面納入到在V2.0中。

報告稱，NIST將於今年秋天發布新草案，明年發布最終版本V1.1.

28

E安全推薦文章

官網：www.easyaq.com

2017年7月

01

02

03

04

05

06

07

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！