NIST发布2020年网络安全和隐私年度报告，聚焦9大领域

2021年9月30日，美国国家标准与技术研究院(NIST)发布了《2020年网络安全和隐私年度报告》。NIST强调，NIST信息技术实验室(ITL)网络安全和隐私计划成功应对了安全和隐私方面的众多挑战和机遇。

报告分为九个优先领域，包括：网络安全意识和教育；身份和访问管理；度量和测量；风险管理；隐私工程；新兴技术；密码标准和验证；值得信赖的网络和值得信赖的平台。

本文对报告中的重点内容进行了摘译。

摘译 | 韩昱/赛博研究院实习研究员

来源 | NIST

1.网络安全意识和教育

国家网络安全教育倡议

国家网络安全教育倡议（NICE）强调政府、学术界和私营部门之间的合作。NICE的使命是激发和促进网络安全教育、培训和劳动力发展的强大网络及生态系统，通过增加熟练网络安全专业人员的数量来帮助国家安全。

在2020财年，NICE最终确定了两份出版物。第一份是NIST机构间或内部报告（NISTIR）8287，建立了网络安全员工队伍的区域联盟和多利益攸关方伙伴关系的路线图，概述了如何创建生态系统和伙伴关系，以刺激网络安全教育和员工队伍发展；第二份是NIST特别出版物（SP）1500-16《改进退伍军人向民用网络安全角色的过渡：研讨会报告》，介绍了研讨会的调查结果和建议，内容涉及如何帮助转型军人在网络安全工作队伍中发现机遇。

NICE还为免费和低成本的在线网络安全学习内容策划了一个网页。在许多人正在过渡到远程学习或考虑工作或职业变化的时候，该资源提供了培训课程、实验室和课程的链接，以期在网络安全方面获得新的技能或证书。

提高网络安全可用性

NIST推广了“钓鱼量表”作为一种更好地描述组织网络钓鱼风险的方法。该量表考虑了网络钓鱼线索和用户环境，以帮助首席信息安全官和网络钓鱼培训实施者评估其组织网络钓鱼活动的难度，并解释相关点击率。

NIST还完成了一项深入的访谈研究，以了解消费者在智能家居安全和隐私方面面临的挑战、认知和体验。研究结果展示了物联网（IoT）信息通过识别用户体验中的当前差距，并建议如何设计智能家居设备以更好地集成可用性、隐私和安全性。

2.身份和访问管理

身份和访问管理（IAM）是一种基本的关键的网络安全能力，可确保合适的人员在适当的时间适当地访问适当的资源。为了推进身份和访问管理的状态，NIST：

•开展重点研究，以更好地了解新技术和新兴技术对现有标准的影响以及实施IAM解决方案的方法；

•领导制定国家和国际IAM标准、指南、最佳实践、概要文件和框架，以创建一套增强的、可互操作的安全、隐私增强解决方案；

•发展IAM标准、指南和资源；

•制作示例解决方案，将解决特定业务网络安全挑战所需的IAM要求结合在一起。

IAM是云计算安全的重要组成部分，NIST发布了各种云服务模型的访问控制特征和通用访问控制指南。NIST还进行了访问控制规则和方法的研究和开发。

云系统访问控制系统的指导与研究

NIST发布了SP 800-210《云系统通用访问控制指南》，以展示云服务模型的云访问控制特征和通用访问控制指南：IaaS（基础设施即服务）、PaaS（平台即服务）和SaaS（软件即服务）。主要关注访问控制的技术方面，而不考虑部署类型（例如，公共、私有、混合云）。它还关注信任和风险管理问题，这需要根据业务功能的安全要求或实施云系统的部署组织进行不同层次的讨论。目前，对实验工具、用户案例和语言特性的研究是研究工作的重点。

访问控制策略验证和开发工具

访问控制系统是最关键的网络安全组件之一。错误的策略、错误配置或软件实施中的缺陷可能导致严重的漏洞。为了解决这些问题，NIST开发并正在改进访问控制策略工具（ACPT），它允许用户编写、验证、测试和生成访问控制策略。NIST还开发了访问控制规则逻辑电路（ACRLC）模拟技术。NIST还研究了将量子算法应用于有限访问控制系统的理论（如物联网设备）。

3.度量和测量

NIST的倡议包括新技术领域的研究、风险管理工具和指导，以及组织成熟使用网络安全指标的方法。

信息安全措施

每个组织都希望通过有限的网络安全相关投资获得最大的价值和效果。这包括管理企业风险和优化网络安全政策、计划和行动的潜在回报。组织经常通过比较各种预计成本与潜在相关利益和风险降低的情景来做出决策。

NIST的网络安全度量计划使组织能够管理网络安全风险。NIST正在实施一项关于网络安全措施的重点计划，以支持制定和调整技术措施，确定网络安全风险和应对措施对组织目标的影响。该倡议涉及与研究、商业和政府部门的合作。

网络风险分析

该项目推广技术解决方案，使组织能够连接新的和现有的数据集，以推进网络风险分析并增强报告趋势的能力。目标是促进风险所有人之间共享有关历史、当前和未来网络风险状况的信息。NIST将继续探索数据分析，以提高对网络安全风险的理解，并为管理实践提供信息。

其他软件保障项目包括：

•软件保障度量和工具评估（SAMATE）通过开发方法来实现软件工具评估，测量工具和技术的有效性，并识别工具和方法的差距，从而改进软件保证。

•缺陷框架（BF）提供了软件缺陷的精确定义和描述软件漏洞的独立于语言的分类法。2020财年，发布了BF模型和定义。

•软件保障参考数据集（SARD）是包含已知软件缺陷的大量程序集合。在2020财年，NIST通过国家安全局软件保障中心提供的大量测试用例集增强了SARD。

•静态分析工具展示（SATE）促进了静态分析工具的研究，以发现与安全相关的源代码弱点。

4.风险管理

只要有信息保护需要，风险管理就一直是组织的基本驱动力。当今风险管理资源的激增，加上技术的进步，越来越需要一种协作的方法来管理企业内特定于规程的风险。这包括需要确保管理人员、风险专业人员、开发人员和设计师共同实施安全工程实践。这些做法将有助于确保更安全的系统，包括由外部合作伙伴管理的系统，并为不断发展的一系列产品扩展风险管理应用程序。

风险管理框架更新

风险管理框架（RMF）是NIST最受欢迎和广泛使用的产品之一。它为管理安全和隐私风险提供了结构化和灵活的流程。在2020财年，NIST发布的SP 800-53，修订第5版《信息系统和组织的安全和隐私控制》是信息安全和隐私对策的第一个也是唯一的综合目录，它为保护组织、系统和个人的个人隐私提供了基础。

SP 800-53第5版最重要的修订包括：

•使控制基于结果

•整合控制目录，以解决信息安全、隐私和供应链风险管理问题

•增加实践状态控制，以支持网络弹性、安全系统设计、安全和隐私治理以及问责制

•转移控制基线，包括第一个联邦隐私控制基线，并将指南作为单独的出版物NIST SP 800-53B《信息系统和组织的控制基线》。

5.隐私工程

隐私工程计划（PEP）致力于提供可靠、严格的工具和资源，以支持创新和隐私。以下活动反映了2020财年的三大进展：推进隐私工程、风险管理指南和资源的开发；将NIST定位为隐私研究的领导者；推进隐私增强技术的开发和部署。

隐私框架

2020年1月，NIST发布了《NIST隐私框架：通过企业风险管理改善隐私的工具》（隐私框架）。隐私框架是帮助组织识别和管理隐私风险的工具。这有助于他们提供创新产品和服务，同时保护个人隐私。自发布以来，各组织已采用隐私框架来改进隐私计划，推动与安全计划的协调与合作，并更有效地与其领导层沟通隐私风险管理和资源分配。

差别隐私

取消身份识别技术对于组织降低隐私风险非常有用。虽然这方面的指导、标准、实践和工具已开始开发，但还需要做更多的工作来提高它们的市场准备度并协助组织实施。在2020财年，NIST发布了一系列关于差别隐私的博客，涵盖基础知识、适用用例和可用于实施的开源工具。

领导并参与制定国家和国际标准

在2020财年期间，NIST积极与国际标准制定组织合作，推动基于风险的标准的制定，以帮助组织保护个人隐私。NIST参与了国际标准化组织（ISO）317项目委员会，该委员会专注于制定ISO 31700《消费者保护：消费品和服务的设计隐私》；ISO/IEC 27557，组织隐私风险管理；电气和电子工程师协会（IEEE）P7002，数据隐私过程。在2021财年，NIST将继续支持这些工作，并在未来制定更多的技术隐私标准。

6.新兴技术

NIST一直致力于推动创新，支持新兴技术和重点领域的网络安全和隐私研究，如人工智能、物联网（IoT）和基于微服务架构的云原生应用。

物联网（IoT）的网络安全

NIST的物联网网络安全计划支持标准、指南和相关工具的开发和应用，以改善连接设备及其部署环境的网络安全。通过与政府、行业、国际机构和学术界的利益相关者合作，该项目旨在培养信任，营造一个能够在全球范围内实现创新的环境。

2020财年的成就包括编制以下出版物：

•NISTIR 8259《物联网设备制造商的基础网络安全活动》建议了六项基础网络安全活动。

•NISTIR 8259A《物联网设备网络安全能力核心基线》，为制造商确定了技术网络安全能力的核心基线。

•NIST发布了一份在线设备网络安全能力目录，并支持在联邦环境中应用NIST SP 800-53控制所需的非技术制造商能力。

•NISTIR 8267《消费者家庭物联网（IoT）设备的安全审查》，帮助更好地了解消费者物联网设备中常见的安全架构和核心基线能力的典型范围。

区块链安全

区块链是防篡改的数字账本，以分布式方式实施（即没有中央存储库），通常没有中央机构（即银行、公司或政府）。

NIST持续研究和开发区块链的使用、应用、标准化和互操作性，以及它们为培养信任所带来的潜力。2020财年，NIST扩大了以下领域的出版物和研究：

•NISTIR 8301《区块链网络：代币设计和管理概述》

•NIST白皮书《了解新兴区块链身份管理系统的分类方法》

•会议论文，实施协议本机管理加密货币

人工智能

NIST致力于推进可信人工智能（AI）的开发、使用和治理所需的研究、标准、评估和数据。NIST旨在通过改善计量科学、技术、标准和相关工具，以增强经济安全和提高生活质量的方式，培养对人工智能技术和系统的设计、开发和使用的信任。

人工智能和机器学习（ML）已经改变了社会应对经济和国家安全挑战及机遇的方式，这些技术必须以可信和负责任的方式开发和使用。支持可信度的特征包括准确性、可解释性、可靠性、隐私性、鲁棒性、安全性、弹性和减少有害偏见等，应考虑透明度、公平性和问责制等原则，特别是在部署和使用过程中。

NIST的人工智能工作符合五大目标：

1. 进行基础研究，以推进值得信赖的人工智能技术。

2. 在NIST实验室项目中应用人工智能研究和创新。

3. 建立基准并开发数据和指标以评估AI技术。

4. 领导并参与技术人工智能标准的制定。

5. 参与AI政策的讨论和制定。

7.密码标准和验证

密码学是一个不断发展的领域，推动着研究和创新。数据加密标准（DES）是一项突破性的标准，但远低于当今所需的保护水平。以下成就表明NIST在近50年来一直致力于发挥其作用——领导公共和私人合作，促进密码技术和技术的持续改进和可靠性。

后量子密码技术

近年来，量子计算机的建设取得了稳步进展。当能够建立大规模量子计算机时，它们将能够破解目前使用的许多公钥密码系统。这将严重损害互联网和其他地方数字通信的机密性和完整性。后量子密码学（PQC）（也称为量子抵抗或量子安全密码学）的目标是开发对量子和经典计算机都安全的密码系统，并且可以在不大幅改变现有通信协议和网络的情况下进行部署。

NIST正在通过公开的、类似竞争的过程选择公钥（抗量子）加密算法。其目的是制定新的公钥密码标准，以规定一个或多个额外的非保密、公开披露的数字签名、公钥加密和密钥建立算法，这些算法在全球范围内可用，并能够在可预见的未来保护敏感的政府信息，包括量子计算机出现之后。

2020财年，根据公众反馈和候选人的内部审查，NIST宣布了将进入第三轮分析的15种算法，并在NISTIR 8309《NIST后量子密码标准化过程第二轮状态报告》中进行了描述。NIST将继续与加密社区合作，分析这些算法的性能，以了解它们在现实世界中的性能。

加密模块验证程序（CMVP）

如果需要使用加密技术来保护敏感的非机密信息，联邦机构必须使用经过验证的加密模块。创建加密模块验证计划（CMVP）是为了支持联邦用户社区对强大、独立测试和商用加密模块的需求。2020财年，CMVP颁发了180份新的验证证书。除了与美国和加拿大机构合作外，NIST还开始纳入国际组织标准，这些国际组织代表加密社区内的公共和私营部门。

为了保持有效，CMVP的努力包括：

•重组自动化工具，以简化验证过程并提高审查一致性；

•通过新的改进技术指导和方案问题进行合作，加强与加密模块用户论坛（CMUF）的关系；

•支持国际密码模块会议（ICMC）委员会与供应商和实验室建立关系，并参加2020年ICMC会议；

•制定支持新的FIPS 140-3标准文件和流程，随着FIPS 140-2开始逐步淘汰，继续向FIPS 140-3标准过渡。

8.值得信赖的网络

NIST与业界合作开发必要的测量科学和标准。研究重点在于理解、预测和控制互联网规模的网络信息系统行为所需的测量和建模技术。NIST工作人员利用这些见解指导新技术的设计、分析和标准化，以提高全球通信基础设施的稳健性和可靠性。大部分研究和行业合作是由NIST的国家网络安全卓越中心（NCCoE）进行的。

零信任网络

NIST SP 800-207《零信任体系结构》于2020年8月出版，讨论了构成ZTA的核心原则和逻辑组件。SP 800-207包含零信任体系结构（ZTA）定义，并描述了零信任可以改善企业总体信息技术安全状况的一般部署模型和用例。SP 800-207发布后，NCCoE启动了一个新的ZTA构建块示范项目，计划于2021财年启动。

NIST的软件定义和虚拟网络项目推动了网络虚拟化、网络服务功能链、软件定义网络（SDN）的发展，以解决虚拟化网络服务的安全性问题。最近的工作探索了网络功能虚拟化（NFV）和SDN在网络安全和入侵检测、云计算、机器对机器通信和高级移动性等实践中的新应用。一个关键的研究组成部分是可编程测量技术的开发，该技术能够以先进的网络规模和速度高效运行。

推进公共安全认证技术

长期演进（LTE）移动通信技术的应用已经对公共安全的重大网络构成了安全挑战，包括身份验证和身份管理。消费类设备中使用的机制不能充分满足公众的安全需求。为了刺激认证技术的创新，研究人员实施了一项开放式创新挑战：扩大SIM卡的使用范围，以实现公共安全。

公共安全传播研究(PSCR)与NCCoE合作，确定了可能在不久的将来影响公共安全技术的关键技术领域。在过去的一年中，该团队为利益相关者提供了一些信息和指导资源，这些资源描述了技术影响、考虑因素和最佳实践。这些出版物将在各个公共安全机构开始在身份联盟、身份即服务（IDaaS）和生物认证中实施安全解决方案之前，为该领域奠定共同基础。PSCR/NCCoE合作伙伴还向佐治亚理工研究所（GTRI）授予了一笔赠款，以进一步支持其信任标志项目，该项目旨在建立一个系统，通过确定身份提供者的要求和能力来支持身份联盟和信息共享。

9.值得信赖的平台

NIST将平台定义为可以安装或运行软件的计算机或硬件设备、相关操作系统或虚拟环境。可信平台重点领域的目标是通过为安全平台（包括软件、硬件和固件）的开发和使用提供指导和技术，提高对这些系统和基础设施的安全和隐私的信任。可信平台是一个动态的生态系统，它依赖于多种安全和隐私技术，以便向用户可靠地提供服务。

安全软件开发框架

软件开发生命周期（SDLC）是一种设计、创建和维护软件的方法。尽管有许多SDLC模型，但大多数都没有明确地解决软件安全问题。

安全软件开发实践应整合到整个SDLC模型中，原因有三：

1. 为了减少已发布软件中的漏洞数量；

2. 减轻利用未发现或未解决漏洞的潜在影响；

3. 解决漏洞的根本原因，防止未来再次发生。

2020年4月，NIST发布了最终版的《关于安全软件开发实践的网络安全白皮书》，通过采用安全软件开发框架（SSDF）降低了软件漏洞风险。白皮书建议在每个SDLC中添加一组核心的高级安全软件开发实践，称为安全软件开发框架（SSDF）。

自NIST发布SSDF以来，工业界和NIST的其他人对如何将SSDF应用于特定SDLC模型，特别是将DevOps实现转换为DevSecOps，产生了极大的兴趣。NIST将继续更新和发展SSDF，以响应公众反馈以及软件开发中不断变化的威胁、漏洞、实践和自动化能力。

保护虚拟基础设施的方法

微服务是一种使用独立但相互连接的软件开发方法，它简化了软件的可扩展性、可用性和有效性，这种架构在基于云的大型企业应用程序中变得十分常见，但也带来了更大的安全挑战。例如，微服务的数量之多导致了更多的互连和更多需要保护的通信链路。对于基于微服务的应用程序来说，面对其特点以及相关的安全挑战，终端安全解决方案（如身份验证、授权、安全监控）是不够的。2020财年，NIST发布了SP 800-204A《使用服务网格结构构建安全的基于微服务的应用程序》为基于代理的服务网格结构组件提供了部署指导，并提供了涵盖整个应用基础设施空间的安全配置建议。

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。