2021年2月2日,美国NIST发布了(SP)800-172,为联邦机构提供一套强化的安全要求(需要联邦官员批准才适用),以保护非联邦系统和组织中对受控非机密信息(CUI, Controlled Unclassified Information)的保密性、完整性和可用性,使其与关键项目或价值资产相关部分免受高级可持续威胁(APT, the advanced persistent threat)攻击。
强化安全要求只适用于联邦机构通过合同、拨款或者其他协议要求强制执行的非联邦系统或非联邦组织。要求适用于非联邦系统的组成部分,这些部分用于处理、存储或传输与关键方案或高价值资产有关的CUI,或为之提供保护。要求同样适用于服务,包括外部提供的服务。对特定服务的保护,包括在提供该服务期间处理、存储或传输的CUI,是通过对该服务或负责提供该服务的系统或系统组件实施强化的安全要求来实现的。
强化安全要求为多维度、深层防御的保护战略提供了基础。除了保护CUI免受不被授权的披露外,强化安全要求还旨在保护CUI的完整性和可用性。实现这一目标的办法是促进防渗透结构、限制损害性行为、设计实现网络弹性和生存能力。要求认为,尽管各组织采取了最好的保护措施,但APT仍可能突破主要边界防御,并在防御者的系统内部署恶意代码。当这种情况发生时,组织必须能够获得额外的保障和反向措施,以超越、迷惑、欺骗、误导和阻碍对手,即:夺走对手的战术优势,保护和保存组织的关键项目和高价值资产。
欢迎下载报告原文,方式如下:
关注本公众号,后台回复:800-172
(本报告下载有效期为7天,请及时保存)
联系咨询:谢老师 13771998064(微信同号)
资讯来源:数字丝路安全智库
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
