ICE:解读：NIST及其可借鉴的主要安全框架

和咱们IT相关的工作都在ITL，也就是图中蓝色的部分。

ITL的组织架构如图所示（2020/5/15更新)，可以看到计算机安全是一级部门，由MattScholl负责。

信息技术研究所ITL的研究领域一共有五个，可以理解为五大实验室：1、网络安全2、人工智能3、物联网4、前沿计算技术及应用5、可信计算（尚无介绍链接)

咱们都是搞网络安全的，就只关注第1个--“网络安全实验室”。网络安全实验室下设多个团队，分别负责七个方向：1、ComputerSecurityResourceCenter，计算机安全资源中心，简称CSRCCSRC对外发布的材料主要是四大类：联邦标准、特别出版物、内部报告、公告。黄色高亮的SP就是我们平常接触最多的。

此外，CSRC还有一些工作是以项目的形式对外公布。后面会提到。

2、NationalcybersecuritycenterofExcellence，国家网络安全卓越中心，简称NCCoE由NIST与马里兰州合作，于2012年成立。该部门与企业基于CRADAs展开合作，利用各个公司的产品整出一个“最佳实践”，来为各个行业提供网络安全解决方案。然后把这些解决方案记录在NISTSP的1800系列中，该系列将功能映射到NIST的网络安全框架（下面的第4点)。

动态 | BafeEx解读：欧洲央行对欧元稳定币态度较为乐观:1月3日，欧洲央行市场基础设施和支付总监Ulrich Bindseil发布了央行欧元稳定币CBDC工作总结。BafeEx交易所分析师Zoy表示，从文章来看，欧洲央行对欧元稳定币CBDC持较为乐观的态度，注意不是极度乐观。欧洲央行主要担心：1.金融脱媒（Disintermediation），储户和机构通过这种方式藏匿和转移欧元资产，规避欧洲央行监管；2.无法应对危机时期的银行的系统性建导（Facilitation）问题，即CBDC相对来说更难被央行调控。BafeEx分析师Zoy强调，CBDC的双层利率系统也许可以应对上述两个问题，CBDC得以顺利发行的可能性在逐渐提高。[2020/1/4]

简单说就是一个政企合作的组织，带有一定的商业性质，直接在所谓“最佳实践”中给出具体厂商、产品。来张图感受下，这是SP1800-5IT资产管理的数据信息采集流程图，出现了诸如Splunk、Bro、WSUS等商业产品，也有诸如Snort、OpenVAS等开源产品。

3、PrivacyFramework，隐私框架4、CybersecurityFramework，网络安全框架，简称CSF5、RiskManagementFramework，风险管理框架，简称RMF以上三个框架在代表成果中进行介绍。

6、Measurementsforinformationsecurity，网络安全度量“如何给老板说清楚某一项安全投入的价值？”，这是所有安全人员都绕不开的问题。对于企业而言，安全投入也是投入，是投入就要讲究ROI，投入的安全资源，到底减少了多少风险，是否满足预期？以前都是靠感觉来回答，那是否有办法“量化”呢？

分析 | 币安中签解读：最新中签率显示持仓逐步分散 机构投资者或有一定撤离:据TokenGazer观察BNB最新的中签信息，TokenGazer猜测机构投资者可能已经有一定程度撤离。

本次elrond中签率仅为11.07%，大幅度低于one的30%和matic的58%；

总签数10833，共计锁定978.5万BNB，约占BNB总体供应的10%，远远高于之前锁定2%左右的量，说明BNB的持仓已经有了一定程度的分散。

而币安自6月中宣布在9月隔离美国用户后出现较大幅度的跌幅，时间点上和本次Launchpad抽签时间段重合，可能说明机构投资者对监管有所顾虑已经出现一定程度撤离。[2019/7/2]

网络安全度量就是为了解决这个问题，旨在让组织能更有效的管理网络安全风险。

但是关于网络安全度量，并没有很成熟的标准，甚至对“网络安全度量”这个词的定义都还没有。谁要是能制定“度量”的明确标准、给出靠谱的方法，那就是对经济社会的重大贡献。这里面涉及到的内容非常多，既要考虑网络安全系统各个组件的价值，还要考虑整个系统对企业的价值。其最终目标是通过度量“识别、保护、监测、响应和恢复”的整体能力，从而度量出企业整体的网络安全性，为高层决策提供依据。

以前君哥在信息安全框架中提出“信息安全度量”，和这个就不谋而合。

NIST也没有标准答案，于是发起了一个倡议，在进行探索。

2008年的时候，NIST发布了一份SP800-55v1《信息安全度量指南》，目前正在征集v2修订意见。举个例子，下图是v1中一份关于漏洞管理的度量表，度量高危漏洞在有效时间内的修复比例、修复效率，给出了度量方法、计算公式等，对于做安全运营工作，具有一定的借鉴意义。里面还有关于访问控制、员工培训、审计、配置管理等方面的测量表。

证券时报发文解读比特币价格暴力拉升的背后原因: 证券时报发文称，这次拉升从各交易所分钟级时间差来看，是从Bitfinex开始拉，然后被套利交易者迅速扩散到了其他平台上。据币圈一位专业投资者介绍，由于Bitfinex自己发行了USDT，然后用自己发行的USDT买入BTC，短时间内拉升比特币价格，同时平台上的空仓悉数爆仓，从而获得大量BTC，接着再以BTC交换海量增发出去的USDT进而回收大部分的增发，并盈余大量BTC。[2018/4/15]

7、NationalInitiativeforCybersecurityEducation(NICE)，国家网络安全教育计划，简称NICE

主攻教育培训。于2020年11月16日发布了《网络安全人才队伍框架》修订版，编号sp800-181。

《NICE网络安全人才队伍框架》中核心内容如上图，其中涉及7大类别的32个专业领域，38种工作角色的1007类任务所需的1180种知识、技能和能力。有兴趣的读者可以阅读文献了解详情。

Part2、代表成果

弄清楚了组织架构、研究内容之后，再来看NIST的主要成果就比较清晰了。1、NIST《零信任架构》白皮书于2020年8月发布，从编号可以看出，属于SP800，最佳实践系列。白皮书包含零信任架构的抽象定义，并给出了零信任可以改进企业总体信息技术安全状况的通用部署模型和使用案例。零信任的概念最近很火，笔者就不添油加醋了。

韩国强监管信号解读：政府尚未形成统一意见:金色财经独家采访了韩国几大主流交易所负责人，他们向金色财经透露本次强监管信号的形成原因。其中提到，由于韩国近期比特币价格高于其他国家交易所，促使更多投机者进入韩国市场搬砖，这加大了外汇场外交易风险，为防止某些换汇公司铤而走险进行违法行为，故发布了此条公告。同时，据韩国相关人士透露，政府不同机构对加密货币的立场不一，法务部对加密货币态度最严格，其他政府部门虽强调了加密货币监管的重要性，但仍对其持开放态度。因此有专家认为，韩国政府部门的意见不统一，不会立即出台强监管政策。[2017/12/28]

2、《隐私框架：通过企业风险管理来改善隐私的工具》隐私保护是这个时代迫切需要解决的问题。但值得注意的是，“隐私”的概念是宽泛的，隐私保护的方式是多样的，侵犯个人隐私所造成的影响也是多层次的。因此NIST认为，“我们如今缺少一套通用的语言和工具，这套语言和工具要非常灵活，来应对各种各样的隐私保护需求”。在这样的背景下，美国NIST隐私框架V1.0应运而生。

对于这套隐私框架的定位和作用，NIST的野心可不小：“隐私框架可帮助任何规模和任何身份的机构管理隐私风险，并且对于任何一种技术、任何一个行业、任何一部法律、任何一块法域都是中立和适用的。”

隐私框架的核心部分由5大功能板块构成：1、识别板块(ID-P)--识别机构内外部环境和现状；2、治理板块(GV-P)--建立公司内部治理体系；3、控制版块--精细化管理数据；4、交流版块--开展活动帮助机构和个人交流隐私风险相关问题；5、保护版块--实施保护措施以防止网络安全事件。

金色财经独家解读：韩国区块链协会自律控制案不具备法律效力，但协会可与商业银行合作关闭不参加宣言的交易所的法币兑换通道:今天韩国区块链协会发布数字货币交易所自律控制案，金色财经第一时间对此方案进行了解析。其中对交易所最重要的一点便是，韩国区块链协会自律控制案不具备法律效力，但介于协会与政府及商业银行的友好关系，协会可以通过与商业银行的协议关闭法币-代币转换通道。而这便直接导致了大部分韩国大型交易所一致支持宣言，其中包括bithumb，korbit，coinone等。但upbit或因其主要业务为新币种交易，拒绝接受宣言。在场的小型交易所也因为此方案对广告限制的范围过于广义，而没有同意宣言。

一家小型交易所对金色财经表态，他们认为这样的宣言内容会对中小型交易所造成不利的竞争环境，希望协会能够重新斟酌此方案。[2017/12/15]

5大版块又分成18个类别版块，而每个类别版块又再细分成若干个子类别版块(例如ID.RA-P5风险回应板块)。这些板块的具体内容都是机构可以去追求的隐私保护相关目标和活动

本质上，可以将这些大大小小的版块比做是一块块形状各异的积木，NIST将这些积木提供给大家，由机构根据自身需求以及手中资源自由选择积木的数量和种类，个性化地搭建企业内部隐私保护体系的“大厦”。

有兴趣的读者可以进一步阅读参考文章。

3、《网络安全框架v1.1》(2018年发布)英文名是《FrameworkforImprovingCriticalInfrastructureCybersecurity》，所以也翻译为《提升关键基础设施网络安全框架》。现在国内提“关键信息基础设施”显然不是空穴来风，毕竟美国人早就这么干了。

CSF的核心就是这张表：

将五大功能细分出多个类别，都给出ID，方便后面进行索引，如下图所示：

然后每个子类别该如何执行，就需要自行查找参考文献。大家不要小看了参考文献的这些编号，假设，我们单位内部要写一份规范，对里面每一个规则都要写出参考文献，比如对应等保2.0的第几章、第几节、第几小点，你会觉得很烦。现在难度加大，不仅是等保2.0，还要对应ISO27001、GB/Txxx等等文件，你是不是要疯掉？所以CSF的框架核心就是一本字典，可以串起各类规范，这里的NISTSP详细大家通过前面的介绍已经知道是什么了。而CIS将在后续文章进行介绍。

考虑到不同企业，网络安全成熟度不同，因此将执行的水平分为四级：

1级：局部2级：具有风险意识3级：可复用4级：自适应围绕不同成熟度的企业，如何实现以上控制措施，也给出了建议。

4、SCAPv1.3这是个好东西，想想看，现在国外有各种漏洞披露平台，比如CVE、CVSS、CPE等，国内有CNVD、CNNVD，同时，各个厂家也有一套自己的漏洞披露编号：

对于一个心脏滴血漏洞，如果你把这些披露平台数据梳理起来，会发现乱七八糟。如果拿个爬虫去爬，都不确定他们描述的是不是同一个漏洞:

既然你们互相不待见，“那我给所有漏洞做一个统一索引吧”，这大概就是SCAP的野心。

当然了，SCAP的目标并不止于此，这里只是做个简单的、粗暴的理解，有兴趣的读者可以从文献做进一步了解。

可惜的是，野心很大，但做不起来。笔者觉得一来这事儿太复杂，二来属于看不见回报的苦活，很难得到其他组织和厂家的响应，最后估计是不了了之的命运。

Part3、如何使用

NIST有这么多可以参考的资料，能否整个清单，让读者能快速索引呢？

其实NIST官网已经这么做了，对外发布了一份动态更新的材料清单：https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/NIST-Cybersecurity-Publications.xlsx

但是自己搜索之前，还是来对NIST的材料分类做个进一步了解，这里主要参考的介绍。

NIST在信息技术与网络安全方面主要有九大重点研究领域，图有点看不清楚，笔者把这些领域及主要内容列出来。

1、网络安全和隐私保护

主导和参与制定国家及国际标准加强在物联网标准化工作方面的参与度2、风险管理

下一代风险管理框架，第二章已经介绍隐私工程和风险管理NIST网络安全框架，第二章已经介绍受控非机密信息系统安全工程网络供应链风险管理（C-SCRM)3、密码算法及密码验证

后量子密码轻量级密码密码模块测试4、前沿网络安全研究及应用开发安全

使用虚拟机管理程序的漏洞数据进行取证分析智能电网网络安全电子投票系统的安全性区块链技术和算法安全5、网络安全意识、培训、教育和劳动力发展

国家网络安全教育倡议网络安全资源共享网络安全可用性6、身份和访问管理

数字身份管理个人身份验证7、通信基础设施保护

蜂窝和移动技术安全5G安全国家公共安全宽带网零信任架构改善安全卫生安全域间路由传输层安全8、新兴技术

物联网网络安全人工智能9、先进的安全测试和测量工具

自动化组合测试国家漏洞数据库开放式安全控制评估语言网络风险分析计算机取证工具测试

读者可以根据自己关心的领域，去NIST官网拿编号、关键词搜索相关内容：

关于NIST的介绍到此为止，后续将陆续介绍CIS、MITRE、SANS，以及Part4相互关系，敬请关注。

参考

新出炉的“美国NIST隐私框架”，到底在讲啥？,网络法实务圈，https://www.shangyexinzhi.com/article/531819.html通用漏洞管理与SCAP，Fooying，https://www.fooying.com/common_vulnerability_management_and_scap/NIST，这些年都在研究些啥，Freebuf，https://www.freebuf.com/articles/others-articles/254872.html

美国NICE计划和《NICE网络安全人才队伍框架》，sbilly，https://sbilly.github.io/post/nist-nice-and-nice-cybersecurity-workforce-framework/

标签：ISTICENICIST价格IST币ICE币ICE价格NIC币NIC价格

USDC热门资讯