NIST網路安全控制目錄迎來新突破：去除「聯邦」表述，不再僅限於「網路」

E安全8月20日訊 美國國家標準與技術研究所（簡稱NIST）決定將「聯邦」一詞從其網路安全與隱私控制法規目錄當中去除，而此項舉措正是經歷了長期拖延之後，最終於本周提出的一系列整改建議之一

"絡安全與隱私控制法規"最新修訂

NIST研究員羅恩·羅斯解釋稱，這是因為「目前包括美國聯邦、各州以及地方政府與私營部門在內的各個方面都在使用同樣的技術方案，而且也面臨著同樣的網路威脅。」

經過長達半年的漫長過程，NIST的研究人員們意識到這份控制目錄除了對於美國聯邦政府機構等傳統「客戶群體」極具意義以外，其它各方也可能同樣從中獲得重要的啟發與指引。

因此，他們決定將這份名為《聯邦信息系統與各組織安全與隱私控制》的目錄（簡稱NIST SP-800-53）變更為《信息系統與各組織安全與隱私控制》，即刪去「聯邦」這一表述。

SP 800-53的上一次修訂發生在2015年，不過最後一次完整重寫則在2013年。

作為這份新草案的主要作者之一的羅斯在外媒採訪當中表示，「目前還有其它一些對此抱有興趣的社區可以自主利用本目錄中提供的控制手段，並藉此獲得助益。我們希望新草案能夠受到各行業以及學術界內新受眾的青睞」，甚至可以超越美國邊界，因為這類資料「在全球範圍內擁有大量受眾群體。」

羅斯同時指出，新目錄還對所有變更進行了標記，其中包括將隱私控制整合至目錄當中，這使其擁有了「獨一無二」的比較優勢。「沒有任何其它文件能夠如此全面地將網路安全與隱私」整合至同一份指南當中。

羅斯認為，這一點在物聯網技術蓬勃發展的背景之下顯得尤為重要。如果大家正在設計物聯網設備或者智能家居，意味著其將把所有計算能力推向邊緣網路。從傳統角度講，邊緣位置的安全性、保密性、完整性以及可訪問性一直受到高度關注，而如今物聯網與智能家居設備中駐留的個人數據同樣需要隱私保護，二者可以相互加強。

個人身份信息（簡稱PII），包括社保號碼或者出生日期，這將在網路安全控制機制的保護下變得更加安全。然而，在使用PII時需要提出一些不同於其它類型數據的安全保障問題，例如：

• 該如何收集用戶信息？

• 該以怎樣的周期進行保留？

• 該利用其做些什麼？」

新的目錄當中甚至包含聯合控制相關內容，即同時保護隱私性與安全性。

羅斯指出，「將隱私性與安全性作為獨立議題分別看待的時代早已經過去。我們將把網路安全工程師與隱私工程師兩大社區並作一處。」

不過他同時補充稱，在美國聯邦政府內部，隱私性與網路安全擁有著不同的立法基礎，「將在一定程度上有所區別。」

NIST 800-53特刊（第5版）的更新代表著一種迫切需求，即有必要利用積極且系統性方案為各類公共及私營部門開發及建立一套綜合性多計算平台防禦措施集合，具體包括通用型計算系統、網路物理系統、雲與移動系統、工業/流程式控制制系統以及物聯網設備等等。這些防禦措施中將包含一系列安全性與隱私性控制機制，旨在保護各組織機構、私營部門乃至個人所擁有的關鍵性與基礎性運營資產。其最終目標在於提升我們高度依賴的信息系統的攻擊應對彈性; 在攻擊出現時有效控制其危害水平; 同時實現系統彈性與承受能力。

本份NIST報告第5版經過一年努力修訂完成，旨在囊括完成上述目標所必需的下一代安全性與隱私性控制因素。其中包括面向各類組織機構的必要控制機制變更指導，例如企業任務實現與業務運營; 工程技術部門開發系統與其下各子系統; 以及各行業合作夥伴構建之系統組件、產品與服務。第5版中的主要修訂內容包括：

• 通過改變控制結構使得安全性與隱私性控制機制更注重實際結果;

• 將隱私性控制機制全面整合至安全控制目錄當中，旨在為信息系統與組織機構構建起一套一致且統一的控制方案集合，同時提供隱私性相關控制機制的摘要與映射表;

• 將控制選擇流程從實際控制當中分離出來，從而確保各項控制手段可由不同社區加以運用——具體包括系統工程師、軟體開發人員、企業架構師以及任務/業務擁有者等;

• 促進不同風險管理與網路安全方案及表述辭彙的融合，包括網路安全框架;

• 澄清安全性與隱私之間的關係，藉以改進必要控制措施選擇方式，從而解決各類安全性與隱私性風險;

• 將新型、基於威脅情報的實踐狀態控制措施與經驗性攻擊數據相結合，包括加強網路安全性與隱私性治理及問責制度。

NIST預計將於2017年10月生產本出版物的最終草案，並在2017年12月29日之前發布最終版本。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！