2014年2月12日，美國國家標準技術(shù)研究院（NIST）正式發(fā)布了《提升關(guān)鍵基礎設施網(wǎng)絡(luò )安全的框架》第1.0版本?！短嵘P(guān)鍵基礎設施網(wǎng)絡(luò )安全的框架》的基本思想，是一套著(zhù)眼于安全風(fēng)險，應用于關(guān)鍵基礎設施廣闊領(lǐng)域的安全風(fēng)險管控的流程。

該文件是奧巴馬總統頒布的第13636號行政命令的產(chǎn)物，其開(kāi)發(fā)目的是形成一套適用于各類(lèi)工業(yè)技術(shù)領(lǐng)域的安全風(fēng)險管控的“通用語(yǔ)言”，同時(shí)為確?？蓴U展性與開(kāi)展技術(shù)創(chuàng )新，此框架力求做到“技術(shù)中性化”，即：第一依賴(lài)于現有的各種標準、指南和實(shí)踐，使關(guān)鍵基礎設施供應商獲得彈性能力。第二依賴(lài)于全球標準、指南和實(shí)踐（行業(yè)開(kāi)發(fā)、管理、更新實(shí)踐），實(shí)現框架效果的工具和方法將適用于跨國界，承認網(wǎng)絡(luò )安全風(fēng)險的全球性，并隨著(zhù)技術(shù)發(fā)展和業(yè)務(wù)需求而進(jìn)一步發(fā)展框架。

因此，從某種角度上來(lái)觀(guān)察，該文件就是一份“用于關(guān)鍵基礎設施安全風(fēng)險管控的標準化實(shí)施指南”，以幫助那些負責提供國家金融、能源、醫療保健和其他關(guān)鍵系統的組織更好地保護其信息和資產(chǎn)安全，抵御網(wǎng)絡(luò )攻擊。

如今，在初始版本發(fā)布4年后，美國國家標準與技術(shù)研究院（NIST）再次發(fā)布了《提升關(guān)鍵基礎設施網(wǎng)絡(luò )安全的框架》1.1版本。

與初始版本一樣，框架1.1版本也是基于公眾意見(jiàn)征詢(xún)收集到的反饋、團隊成員收到的問(wèn)題，以及多次研討會(huì )做出的修改所產(chǎn)生的公私合作成果?？梢哉f(shuō)，新版本是對1.0版本的提煉、闡明和改進(jìn)。1.1版本仍具有靈活性，可滿(mǎn)足組織機構的業(yè)務(wù)或任務(wù)需求，并適用于各種技術(shù)環(huán)境，例如信息技術(shù)、工業(yè)控制系統和物聯(lián)網(wǎng)。

據悉，框架1.1版本中更新的內容包括：

身份驗證和身份；

自我評估網(wǎng)絡(luò )安全風(fēng)險；

供應鏈中的網(wǎng)絡(luò )安全風(fēng)險管理；

漏洞披露；

新版本的變化之處

首先，1.1版本已經(jīng)將“訪(fǎng)問(wèn)控制”類(lèi)別更新為“身份管理和訪(fǎng)問(wèn)控制”，以便更好地考慮身份驗證以及授權等內容。

此外，新版本中還增加了一個(gè)名為“第4.0節：使用框架自我評估網(wǎng)絡(luò )安全風(fēng)險”的新內容，解釋了組織如何使用該框架來(lái)理解和評估其網(wǎng)絡(luò )安全風(fēng)險，包括測量標準的使用等。

該文件指出，網(wǎng)絡(luò )安全性能標準的發(fā)展正在發(fā)生巨變，組織應該周到、富有創(chuàng )造性，并且謹慎地使用測量方法來(lái)優(yōu)化使用，力求在改善網(wǎng)絡(luò )安全風(fēng)險管理方面取得進(jìn)展。判斷網(wǎng)絡(luò )風(fēng)險需要準則指導，且這些準則必須定期評估和更新，以適應不斷變化的時(shí)代需求。

在供應鏈方面，擴展的第3.3節可以幫助用戶(hù)更好地理解這一領(lǐng)域的風(fēng)險管理，而新增的部分（3.4節）則側重于購買(mǎi)決策，以及使用框架來(lái)理解與“商用貨架產(chǎn)品”（Commercial-off-the-shelf，簡(jiǎn)稱(chēng)COTS，指可以采購到的具有開(kāi)放式標準定義的接口的軟件或硬件產(chǎn)品）相關(guān)的風(fēng)險。

該框架強調了“網(wǎng)絡(luò )供應鏈風(fēng)險管理在解決關(guān)鍵基礎設施和更廣泛的數字經(jīng)濟中的網(wǎng)絡(luò )安全風(fēng)險所起到的關(guān)鍵作用”。該框架的“實(shí)施層”為組織機構提供了機制，供其了解網(wǎng)絡(luò )安全風(fēng)險管理方法的特征，并提供網(wǎng)絡(luò )安全風(fēng)險審視方法和管理風(fēng)險的流程，以幫助組織機構確定優(yōu)先級并實(shí)現網(wǎng)絡(luò )安全目標。

“實(shí)施層”指的是組織機構安全風(fēng)險管理實(shí)踐的程度，衡量標準包括風(fēng)險與威脅意識、可重復和自適應等要素。實(shí)施層通過(guò)四個(gè)層級范圍描述組織機構的實(shí)踐程度，各層級（從部分的層級1到自適應的層級4）反映了從非正式、被動(dòng)響應到自適應的表現。該框架指出，在確定實(shí)施層級的過(guò)程中，組織機構應考慮當前的風(fēng)險管理實(shí)踐、威脅環(huán)境、法律法規要求、業(yè)務(wù)/任務(wù)目標和限制條件。

其他更新內容還包括對實(shí)施層和配置文件之間關(guān)系的更好解釋?zhuān)豢紤]到組織機構使用框架的具體方式非常多樣，所以圍繞“合規性”這一術(shù)語(yǔ)增加了更多細化解釋?zhuān)徊⒃黾恿伺c漏洞披露生命周期相關(guān)的子類(lèi)別。

關(guān)于新框架的討論和后續考慮

該框架的執行摘要寫(xiě)道：

因此，其目標是保持足夠的靈活性，以便所有行業(yè)部門(mén)的大小企業(yè)和組織，以及聯(lián)邦、州和地方政府都能夠自愿采用。此外，值得注意的是，該框架不僅僅只是涉及技術(shù)和流程，而是全面涵蓋了人員、流程和技術(shù)。

到目前為止，該框架的采用率已經(jīng)相當可觀(guān)。根據Gartner提供的數據顯示，2015年只有30%的美國組織使用該框架，但到2020年這一數字預計將增加到50%。

與幾乎所有數據安全標準一樣，NIST網(wǎng)絡(luò )安全框架是非強制性的。雖然網(wǎng)絡(luò )專(zhuān)業(yè)人員經(jīng)常需要采用這些標準和框架文檔作為工具來(lái)并幫助構建所需的保護性架構，但是專(zhuān)業(yè)人員通常會(huì )根據自身情況（如企業(yè)規模、具體網(wǎng)絡(luò )環(huán)境等）選擇適用的工具。

然而，特朗普簽署的名為“增強聯(lián)邦政府網(wǎng)絡(luò )和關(guān)鍵基礎設施網(wǎng)絡(luò )安全”的行政命令，從聯(lián)邦政府網(wǎng)絡(luò )、關(guān)鍵基礎設施和國家整體安全三個(gè)層面提出增強網(wǎng)絡(luò )安全措施。此舉可以理解為，要求聯(lián)邦機構遵守NIST網(wǎng)絡(luò )安全框架。因為該行政命令要求機構負責人向OMB（行政管理和預算局 ）提交風(fēng)險管理報告，并描述其實(shí)施該框架的具體計劃。

鑒于目前的指令，所有主要政府承包商也可能會(huì )面臨類(lèi)似的要求。

針對同一個(gè)問(wèn)題，公共政策講師兼哈佛大學(xué)Belfer科學(xué)與國際事務(wù)中心聯(lián)合主任Eric Rosenbach在一份書(shū)面陳詞中告訴參議員：國會(huì )應該要求所有關(guān)鍵基礎設施提供商采用該框架。

Rosenbach引用了最近針對亞特蘭大市和波音公司的勒索軟件攻擊事件，強調了關(guān)鍵基礎設施領(lǐng)域存在明顯的威脅需要解決。

“網(wǎng)絡(luò )風(fēng)險影響著(zhù)我們經(jīng)濟和社會(huì )的各個(gè)方面。這是一個(gè)全國性的威脅。只有通過(guò)全國的共同努力才能成功解決這個(gè)問(wèn)題。當然，在此過(guò)程中，政府必須發(fā)揮主導作用。但是最終，私營(yíng)企業(yè)和非政府組織的行動(dòng)才是決定我們成功與否的關(guān)鍵所在。

今年晚些時(shí)候，NIST計劃發(fā)布更新的配套文件——《改進(jìn)關(guān)鍵基礎設施網(wǎng)絡(luò )安全路線(xiàn)圖》，該文件描述了開(kāi)發(fā)、協(xié)調和協(xié)作的關(guān)鍵領(lǐng)域。

正如網(wǎng)絡(luò )安全框架項目經(jīng)理Matt Barrett所說(shuō)：

“網(wǎng)絡(luò )安全框架需要隨著(zhù)威脅、技術(shù)和行業(yè)的發(fā)展而發(fā)展。通過(guò)此次更新，我們已經(jīng)證明，我們有一個(gè)良好的流程來(lái)將利益相關(guān)者聚集在一起，以確保該框架仍然是管理網(wǎng)絡(luò )風(fēng)險的一個(gè)很好的工具。