新闻快讯
< >

NIST网络安全控制目录迎来新突破:去除“联邦”表述,不再仅限于“网络”

E安全8月20日讯 美国国家标准与技术研究所(简称NIST)决定将“联邦”一词从其网络安全与隐私控制法规目录当中去除,而此项举措正是经历了长期拖延之后,最终于本周提出的一系列整改建议之一。

"络安全与隐私控制法规"最新修订

NIST研究员罗恩·罗斯解释称,这是因为“目前包括美国联邦、各州以及地方政府与私营部门在内的各个方面都在使用同样的技术方案,而且也面临着同样的网络威胁。”

经过长达半年的漫长过程,NIST的研究人员们意识到这份控制目录除了对于美国联邦政府机构等传统“客户群体”极具意义以外,其它各方也可能同样从中获得重要的启发与指引。

因此,他们决定将这份名为《联邦信息系统与各组织安全与隐私控制》的目录(简称NIST SP-800-53)变更为《信息系统与各组织安全与隐私控制》,即删去“联邦”这一表述。

NIST网络安全控制目录迎来新突破:去除“联邦”表述,不再仅限于“网络”-E安全

SP 800-53的上一次修订发生在2015年,不过最后一次完整重写则在2013年。

作为这份新草案的主要作者之一的罗斯在外媒采访当中表示,“目前还有其它一些对此抱有兴趣的社区可以自主利用本目录中提供的控制手段,并借此获得助益。我们希望新草案能够受到各行业以及学术界内新受众的青睐”,甚至可以超越美国边界,因为这类资料“在全球范围内拥有大量受众群体。”

整合隐私控制

罗斯同时指出,新目录还对所有变更进行了标记,其中包括将隐私控制整合至目录当中,这使其拥有了“独一无二”的比较优势。“没有任何其它文件能够如此全面地将网络安全与隐私”整合至同一份指南当中。

罗斯认为,这一点在物联网技术蓬勃发展的背景之下显得尤为重要。如果大家正在设计物联网设备或者智能家居,意味着其将把所有计算能力推向边缘网络。从传统角度讲,边缘位置的安全性、保密性、完整性以及可访问性一直受到高度关注,而如今物联网与智能家居设备中驻留的个人数据同样需要隐私保护,二者可以相互加强。

NIST网络安全控制目录迎来新突破:去除“联邦”表述,不再仅限于“网络”-E安全

个人身份信息(简称PII),包括社保号码或者出生日期,这将在网络安全控制机制的保护下变得更加安全。然而,在使用PII时需要提出一些不同于其它类型数据的安全保障问题,例如:

  • 该如何收集用户信息?

  • 该以怎样的周期进行保留?

  • 该利用其做些什么?”

新的目录当中甚至包含联合控制相关内容,即同时保护隐私性与安全性。

罗斯指出,“将隐私性与安全性作为独立议题分别看待的时代早已经过去。我们将把网络安全工程师与隐私工程师两大社区并作一处。”

不过他同时补充称,在美国联邦政府内部,隐私性与网络安全拥有着不同的立法基础,“将在一定程度上有所区别。”

附:NIST 800-53特刊(第5版)主要修订内容

NIST 800-53特刊(第5版)的更新代表着一种迫切需求,即有必要利用积极且系统性方案为各类公共及私营部门开发及建立一套综合性多计算平台防御措施集合,具体包括通用型计算系统、网络物理系统、云与移动系统、工业/流程控制系统以及物联网设备等等。这些防御措施中将包含一系列安全性与隐私性控制机制,旨在保护各组织机构、私营部门乃至个人所拥有的关键性与基础性运营资产。其最终目标在于提升我们高度依赖的信息系统的攻击应对弹性; 在攻击出现时有效控制其危害水平; 同时实现系统弹性与承受能力。

本份NIST报告第5版经过一年努力修订完成,旨在囊括完成上述目标所必需的下一代安全性与隐私性控制因素。其中包括面向各类组织机构的必要控制机制变更指导,例如企业任务实现与业务运营; 工程技术部门开发系统与其下各子系统; 以及各行业合作伙伴构建之系统组件、产品与服务。第5版中的主要修订内容包括:

  • 通过改变控制结构使得安全性与隐私性控制机制更注重实际结果;

  • 将隐私性控制机制全面整合至安全控制目录当中,旨在为信息系统与组织机构构建起一套一致且统一的控制方案集合,同时提供隐私性相关控制机制的摘要与映射表;

  • 将控制选择流程从实际控制当中分离出来,从而确保各项控制手段可由不同社区加以运用——具体包括系统工程师、软件开发人员、企业架构师以及任务/业务拥有者等;

  • 促进不同风险管理与网络安全方案及表述词汇的融合,包括网络安全框架;

  • 澄清安全性与隐私之间的关系,借以改进必要控制措施选择方式,从而解决各类安全性与隐私性风险;

  • 将新型、基于威胁情报的实践状态控制措施与经验性攻击数据相结合,包括加强网络安全性与隐私性治理及问责制度。

NIST预计将于2017年10月生产本出版物的最终草案,并在2017年12月29日之前发布最终版本。

相关阅读:

从NIST修订的SP 800-53文件内容预测美国未来安全趋势
NIST网络安全指南SP.800-184 强调恢复与还原计划

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。