NIST針對聯邦機構發布網路安全框架草案
E安全5月23日訊美國國家標準與技術研究院(NIST)發布指南草案,就聯邦機構如何實施NIST《提升關鍵基礎設施網路安全的框架》提出指導。
奧巴馬政府於2014年發布了這份網路安全框架,描述了關鍵基礎設施操作人員評估和提升防禦能力、檢測並響應網路攻擊的流程。
特朗普上周簽署網路安全行政令之前,NIST開始制定新指南草案「機構間8170報告」,指導聯邦機使用該框架。
美國國家安全顧問湯姆·博塞特宣布這項網路安全行政令時表示,私有部門被要求執行該框架,但對聯邦機構沒有強制要求。他建議聯邦部門和機構應踐行,並採用同樣的NIST框架管理以降低風險。
本文系E安全官網獨家編譯報道
框架作用何在?
NIST這份草案指出,聯邦機構可以使用這份網路安全框架補充現有的NIST安全和隱私風險管理標準,以及為響應《聯邦信息安全管理法案》制定的指導方針和實踐。
華盛頓州健康保險交易所的首席信息官柯特·夸克表示,實施這份行政令是政府機構一貫處理網路安全的方式。他肯定了將某框架作為基準是一件好事,尤其涉及到與NIST一致的要求時。
然而並非所有專家都認為,框架是保護組織機構數字資產的有效過程。
FBI網路部前副助理總監兼白宮無黨派國家網路安全委員會委員史蒂文·查彬斯基指出,執行框架相當困難、並且成本昂貴。這並不是因為NIST框架不夠好,恰恰相反,面對如今不斷變化的威脅格局,美國政府缺乏指標衡量NIST框架是否或在某種程度上能實現成本效益。如果漏洞緩解耗資少,並且易於實施,當然他不會反對,然而事實卻並非如此。
八大用例
指南草案提供了八大政府用例,描述機構如何使用該框架:
將企業和網路安全風險管理進行整合;
管理網路安全要求;
整合并調整網路安全和採集流程;
評估組織機構的網路安全;
管理網路安全計劃;
全面了解網路安全風險;
報告網路安全風險;
通知適當的流程;
NIST正在徵求新草案意見,包括徵求機構使用該指南的方式的建議。
E安全註:本文系E安全官網獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考。
※看CNCERT運行部主任嚴寒冰如何分析未來中國互聯網網路安全
※比WannaCry還厲害的Adylkuzz挖礦殭屍網路
※2017年上半年11大知名惡意軟體
TAG:E安全 |
※TBOX網路安全解決方案
※BAT齊聚ASRC:呼籲共建網路安全白色產業鏈
※無線網路將會更安全,Wi-Fi 聯盟正式發布WPA3 新加密標準
※甲骨文MICROS系統再曝漏洞 POS終端網路安全誰買單?
※針對複雜場景,「甲蟲網路」結合LoRa和NB-IoT特性,開發低功耗廣域物聯網組網傳輸技術
※來自CISO的5條管理網路安全威脅的建議
※歐盟網路安全法案:建通用網路安全認證系統;美國NCSC:警惕俄羅斯等國瞄準這十幾項技術
※SDN網路IPv6組播機制研究
※萬物互聯 聯發科發布NB-IoT網路發展前景
※基於SSM架構的網路租車系統
※AT&T 被曝協助 NSA:監控網路流量
※RBTC ROBOTCHAIN 未來安全可信機器人區塊鏈網路 機器人幣
※TFBOYS組合打臉網路騙局,斥「TFBOYS飯票」為非法牟利活動!
※AT&T推出FirstNet公共安全網路的基礎支持
※「MD PHOTO」韓國男團EXO三名成員出席 網路綜藝節目發布會
※用區塊鏈技術打擊網路黑產,APUS聯合數字聯盟、DataVisor成立「反欺詐聯盟」
※Mac OS使用手機USB共享網路
※國際互聯網協會呼籲IXP協助解決網路路由問題
※AT&T正對FirstNet公共安全網路展開最終測試
※顛覆傳統網路管理 Aruba新一代網路解決方案發布