新闻快讯
< >

美国NIST《网络安全框架》v1.1版草案提议修改项

E安全7月28日讯 美国国家标准与技术研究所(NIST)《网络安全框架》发生了重大变化,例如协调披露漏洞(Coordinated Vulnerability Disclosure,CVD)内容可能会推迟到今后的修订版本中,而不会纳入在V 1.1.版本中。

美国NIST《网络安全框架》v1.1版草案提议修改项-E安全

这是上周NIST发布的5月公众征询研讨会结果之一。NIST在研讨中提出计划明年早些时候完成对《网络安全框架》的修订。

报告中提到“向后兼容”性,即确保现有版本V1.0的用户能使用新版本V1.1。也就是说,只会进行较小的调整,例如新增多因素身份验证或新增解决物联网风险的方法。

V1.1草案提议修改项

NIST在研讨报告中提出,计划推动对V1.1草案(今年1月发布的)中的提议修改项,包括:

  • 修改网络安全度量的内容。企业领导者希望明确这里指的是自我评估,而非审计或法律标准。

  • 在身份与访问管理中新增子节,即身份验证。包括基于风险身份验证方法的三层描述:单一、多因素和持续验证。

  • 将网络供应链风险管理实现层级(Cyber Supply Chain Implementation Tier)融入到其它三个实现层级内容中。

  • 删除第3.7节,联邦机构应用框架的部分。特朗普行政令EO13800已经解决了这个问题,联邦机构具有独立的框架指南。这份研讨报告暗示,这可能有助于推动国际上采用该框架。

  • 最根本的是,整个文件的评估和内容更新是为了更好地适应物联网和工控系统网络安全。

报告指出,参会者协调漏洞披露(CVD)达成一致意见,即企业创建渠道报告并修复自制软件的漏洞,这是一个成熟的做法。但有些参会者主张,在框架多次迭代中分阶段融合。

有些参会者认为,框架V1.1适合引入CVD,其它参与者则认为,通过更多时间研究CVD与次框架之间的交叉点,也许能将CVD全面纳入到在V2.0中。

报告称,NIST将于今年秋天发布新草案,明年发布最终版本V1.1.

相关阅读:

美国会议员提出“漏洞披露法案” 仍考虑非中立实体授权
美国政府本周发布第二份漏洞披露政策

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。