近日,美国国家标准与技术研究院发布《网络安全与隐私计划2024 财年年度报告》,本年度报告重点介绍了ITL网络安全与隐私项目在2024财年的研究活动。2024财年(FY 2024)期间(2023年10月1日至2024年9月30日),NIST信息技术实验室(ITL)网络安全与隐私项目成功应对了安全和隐私领域的诸多挑战和机遇。

本年度报告重点介绍了ITL网络安全与隐私项目在2024财年的研究活动,包括持续参与和制定国际标准、在几个关键优先领域(例如后量子密码学、NIST网络安全框架[CSF 2.0]和新的CSF配置文件)开展研究和实际应用、改进软件和供应链网络安全、制定物联网网络安全指南、开展国家网络安全卓越中心(NCCoE)项目、为NIST风险管理框架新建评论网站、发布网络钓鱼量表、在身份和访问管理项目方面取得进展,以及针对自动驾驶汽车的战略和新兴研究计划(SERI)。

回到未来。回顾上一财政年度在网络安全和隐私方面的工作,取得了许多成果,这些成果将使提升NIST的有利地位。NIST通过新的量子抗性加密算法、更新NIST网络安全框架以及建立人工智能计划、测试平台和研究议程,为确现在及未来的安全与隐私奠定了基础。研究还展示了工作在几个关键优先领域的实际应用,本报告将对这些领域进行概述,并提供超链接指向,帮助您深入挖掘和了解更多信息。

NIST的工作符合并支持许多旨在保护国家的国家倡议,包括《国家网络安全战略》及其相关实施计划、管理和预算办公室针对联邦机构的新政策、国家网络总监办公室的倡议以及国家安全委员会指导的应对行动。NIST领导着全球许多标准制定组织,并确保美国的优先事项、要求和技术处于标准活动的最前沿。使我们能够开发出满足需求且绝对安全的产品和服务。

密码学

密码学是安全和数据保护需求的基础。NIST密码学优先领域提供的标准、准则、建议和工具使现在和未来所有类型信息和技术的完整性和保密性都能得到值得信赖的保证。

2024财政年度的主要成就:

  • NIST发布了后量子加密的前三个联邦信息处理标准(FIPS)。这些标准规定了密钥建立和数字签名方案,旨在抵御未来量子计算机的攻击,因为量子计算机的攻击威胁到当前标准的安全性。这些标准中规定的三种算法分别来自向NIST 后量子加密技术(PQC)标准化项目提交的不同文件。

  • PQC团队于 2024 年4 月主办了第五届PQC 标准化会议。这次会议讨论了最初的PQC FIPS 的定稿,以及正在进行的第4 轮公钥加密和密钥建立算法和附加数字签名方案的评估,这些算法和方案正被考虑作为未来的标准化内容

  • 多方阈值密码学(MPTC) 和隐私增强密码学(PEC) 项目联合发布了NIST 内部报告(IR) 8214C 的初步公开草案,即NIST 首次征集多方阈值方案(MPTS)。该文件的范围包括先进技术,如完全同态加密、零知识证明和安全多方计算的构件。作为征求公众意见工作的一部分,NIST主办了 MPTS 2023 研讨会和隐私与公共可审计性专题(STPPA) 的三次活动。

  • NIST的密码出版物审查委员会完成了七项出版物审查,另有五项审查正在进行中,以更新密码标准组合并使其现代化。

教育与劳动力

教育和劳动力优先领域激励、促进和协调一个强大的社区,共同推进网络安全教育、培训和劳动力发展的综合生态系统。

2024财政年度的主要成就

  • 对 NICE 框架进行了重大更新,发布了1.0.0 版《组件》,对 NICE 框架结构的几乎每个层面都进行了修改,包括11 个以学习者为重点的能力领域。新的组件以多种数据格式发布,包括作为 NIST 网络安全和隐私参考工具的一部分。

  • NIST 发布了两项新资源,以支持NICE 战略计划目标 4.6:“扩大国际宣传,推广NICE 框架并记录其他国家正在使用的方法”。新的NICE框架组件已被翻译成五种语言,国际网络安全技能和劳动力框架清单现已发布。该清单包括来自世界各国的网络安全、网络相关、数字扫盲技能和劳动力框架的代表性样本。

  • NICE 社区协调委员会的促进职业发现工作组启动了网络安全职业大使计划。变革学习过程工作组发布了《网络安全中基于绩效的评估前景》。

  • 网络安全教育和劳动力小组发布了NIST 特别出版物(SP) 800-50r1(修订版1)《构建网络安全和隐私学习计划》的更新版。

  • “地区联盟和多方利益相关者合作促进(RAMPS)网络安全教育和劳动力发展计划 ”颁发了总额近 660 万美元的合作协议,旨在培养保护企业免受网络安全风险所需的劳动力。每笔约 20 万美元的赠款被分配给了 22 个州的 33 个教育和社区组织,这些组织正在努力解决全国熟练网络安全员工短缺的问题。了解有关RAMPS 社区的更多信息。

  • 在整个 2024 财年举办了多项活动,包括NICE 会议、K12会议、RICET、网络研讨会和FISSEA。

新兴技术

技术的快速发展带来了非凡的机遇和不可避免的挑战。NIST的网络安全研究人员对这些新兴技术进行研究,以了解其安全和隐私能力、漏洞、配置和整体结构,从而制定标准、指南和参考资料,以便在部署这些技术之前改进其方法。

2024财政年度的主要成就

  • NIST 发布了 AI 100-2 E2023 的最终版本《对抗性机器学习》:攻击和缓解的分类和术语》。

  • SP 800-218A,《生成式人工智能和两用基础模型的安全软件开发实践》:SP800-218A《生成式人工智能和两用基础模型的安全软件开发实践:SSDF简介》通过专门针对生成式人工智能和两用基础模型开发的建议、注意事项、注释和信息参考,增强了SP 800-218《安全软件开发框架 (SSDF)》中确定的安全软件开发实践

  • NIST 启动了一个项目,调查身临其境技术及其潜在的网络安全和隐私考虑因素。调查结果将为围绕这些技术的NIST 能力提供可能的路线图,重点关注网络安全和隐私风险管理。

  • NIST IR 8425A《消费级路由器产品的建议网络安全要求》将路由器网络安全标准规定全面映射到NIST 基线。

  • NIST 举办了一次公开讨论论坛,并发布了网络安全白皮书 (CSWP) 33《物联网产品制造商的产品开发网络安全手册》的初步公开草案,该草案描述了开发和部署跨行业和用例安全物联网产品的注意事项,并扩展了NIST 的工作,以考虑物联网产品组件配置的网络安全问题。

  • NIST领导了物联网机构间联邦工作组,并与物联网咨询委员会合作,就美国如何减少采用物联网技术的障碍提出了研究结果和建议。这些发现已记录在2024 年 9月的一份报告中。

以人为本的网络安全

以人为本的网络安全优先领域的使命是 “倡导网络安全中的以人为本”。通过研究和其他以人为本的项目,该计划团队力求更好地了解和改进人们的网络安全互动、认知和行为,使他们成为网络安全领域积极、知情的参与者。

2024财政年度的主要成就

  • 网络钓鱼项目组出版了《NIST 网络钓鱼量表用户指南》手册,介绍如何应用网络钓鱼量表,一种衡量社会工程电子邮件攻击的新方法。自发布以来,该指南已被下载 20,000 多次。世界各地的公共和私营部门组织都在使用 “钓鱼量表”,以帮助那些管理 “网络钓鱼 ”意识培训项目的人员提高培训效果和加强组织的安全态势。

  • 青少年安全与隐私项目组继续参与白宫儿童在线健康与安全(KOHS)特别工作组的工作。NIST 提供了专业技术知识,并在三个工作组中与多机构同事合作,提交了首份同类报告《家庭最佳做法和行业指南》。该报告包括(1) 父母和照顾者促进青少年在线健康、安全和隐私的最佳做法;(2) 推荐的行业做法;(3) 确定进一步调查领域的研究议程;(4)建议决策者采取的下一步措施。

  • NIST公布了从业人员和研究人员调查研究的结果,这些调查研究探讨了如何将以人为本的网络安全概念更好地融入实践,以及从业人员如何更好地为以人为本的网络安全研究提供信息。为了应对研究中发现的一些挑战,NIST 启动了 “以人为本的网络安全兴趣社区”,这是一个在线论坛,将从业人员和研究人员聚集在一起,分享观点,促进合作。NIST还共同赞助了ConnectCon,并担任其组织委员会成员。ConnectCon是一个互动式研讨会,汇集了来自学术界、工业界和政府的网络安全专家,共同确定和讨论组织当前面临的最紧迫的以人为本的网络安全挑战。

身份和访问管理

身份和访问管理(IAM)是数据保护、隐私和安全的基石。NIST的 IAM优先领域提供研究、指导方针和技术过渡活动,以帮助确保正确的人、设备、数据和流程能够在正确的时间访问正确的资源。

2024财政年度的主要成就

  • 在对近 4000条意见进行裁定后,NIST发布了SP 800-63-4《数字身份指南》全部四卷的第二份公开草案,为将新技术和新工艺纳入联邦 IAM 计划奠定了基础。

  • NIST 的 IAM团队发布了对 SP 800-73-5 系列文件的更新,其中规定了个人身份验证 (PIV) 证书的接口(第1 部分)、(第2 部分)和(第 3 部分),并完成了对SP 800-78-5(用于个人身份验证的加密算法和密钥大小)的更新。

  • NIST 不断更新人脸识别/分析技术评估(FRTE/FATE),为人脸识别和分析的新兴应用提供重要基准。NIST IR 8525:人脸分析技术评估:此外,还发布了《年龄估计与验证》,以评估人脸分析根据对象的人脸图像估计年龄的能力,这对新兴的年龄验证方案至关重要。

  • NIST 设立了一个NCCoE 项目和合作研究与开发协议(CRADA) 联盟,该联盟由20多个商业和政府合作伙伴组成,致力于为在线服务使用加密可验证数字证书制定实施指南。

  • NIST 的 IAM团队为移动驾驶执照应用标准(ISO/IEC 18013-7)的最终版本做出了贡献,并更新了该标准的参考实施,以促进产品的测试和认证。

隐私

隐私是支持数字经济增长和提高生活质量的信任不可或缺的一部分。NIST已将隐私工程列为优先事项,通过保护隐私和公民自由的框架、风险模型和准则来支持测量科学和系统工程原则。

2024财政年度的主要成就

  • NIST 发布了 SP 800-226《差异隐私保证评估准则》的初步公开草案。该出版物重点关注差别隐私,一种隐私增强技术,当个人的信息出现在数据集中时,该技术会量化个人隐私风险。

  • NIST 举办了 “准备、设置、更新 ”活动!隐私框架 1.1 + 数据治理和管理 (DGM) 简介研讨会,为更新NIST 隐私框架至1.1 版和开发 DGM 简介提供信息。在研讨会之前,NIST还发布了隐私框架 1.1 版和 DGM Profile 的概念文件。

  • NIST 发布了《用于数据隐私算法基准测试的多样化社区数据》(Diverse Community Data for Benchmarking Data Privacy Algorithms),以传播 “合作研究周期”(CRC)的主要发现,这是一项评估去身份识别算法的社区挑战。

  • NIST 发布了 “合作研究周期(CRC)数据和指标档案”,这是迄今为止规模最大的全球合成数据评估,也是一项引领合成数据技术进步的持续性计划。该计划已被引用十余次,并在多个会议和研讨会上进行了介绍。

风险管理

从加密算法标准到企业风险管理指南,实现有效的风险管理是整个NIST 网络安全和隐私产品组合的基础和目标。利用NIST 风险管理资源,各组织可以更好地了解风险,选择和实施适当的应对措施,衡量有效性,并实施持续监控和改进。

2024财政年度的主要成就

  • 经过利益相关者的广泛合作,NIST于 2024 年2 月发布了《网络安全框架》(CSF)2.0版。与该框架配套发布了新的实施资源,包括简介、快速入门指南和内容丰富的参考资料。NIST 还与世界各地的利益相关者合作,翻译和验证CSF 及相关资源的国际译文。

  • NIST 利用 SP 800-53 公众评论网站提出新的控制措施,举行公众评论期,并在30 天内发布经修订的控制措施和评估程序,以应对控制目录中的漏洞。

  • 为实施者发布了更多资源,包括一系列关于安全和隐私控制、评估程序、控制基线的免费、自定进度的在线入门课程,以及《NIST小型企业风险管理框架快速入门指南》(QSG)。

  • NIST继续通过软件与供应链保证论坛(SSCA)和工程生物学研究联合会研讨会,领导和支持社区参与网络安全供应链风险管理(C-SCRM),支持联邦采购安全委员会,并发布了两份 QSG,内容涉及使用CSF 2.0 建立 C-SCRM 能力以及在采购前对潜在供应商进行尽职调查。

  • NIST发布了网络事件数据分析库和网络供应链调查工具的测试版原型,供利益相关者反馈和改进。这些原型旨在匿名收集和共享网络安全事件和供应链数据,用于测量和指标分析,并为用户提供教育和信息资源,以改进他们的C-SCRM。

可信网络与平台

我们都依赖于构成数字生态系统的硬件、软件和网络。NIST的可信网络与平台优先领域支持基础研究和应用研究,以及实用的实施指南和标准,以确保各行业领域的技术安全、可靠、有弹性。

2024财政年度的主要成就

  • NIST启动了硬件安全计划,以确定现有的和新出现的网络安全威胁,并开发针对半导体的缓解技术,包括与半导体社区合作制定网络安全和供应链标准、准则和推荐做法。NIST 还举办了供应链研讨会,并发布了 NIST IR 8540《安全硬件保障参考数据集计划报告》。

  • 为支持数据保护,NIST发布了 NIST IR 8432《基因组数据的网络安全》、SP 1800-28《数据保密性》: SP 1800-28,《数据保密:识别和保护资产,防止数据泄露》;SP 1800-29,《数据保密: Detect, Respond to, and Recover from Data Breaches;以及NIST IR 8496,Data Classification Concepts and Considerations for Improving Data Protection。

  • NIST 发布了 SP 1800-38B,《向后量子加密 (PQC) 迁移的量子就绪状态》: 密码发现》和 SP 1800-38C《向PQC 量子就绪状态迁移》: 测试标准草案。

  • NIST发布了 SP 800-231《漏洞框架 (BF)》: 正式确定网络安全弱点和漏洞;SP 800-204D,《在 DevSecOps CI/CD 管线中集成软件供应链安全的策略》;SP 800-218A,《生成式人工智能和两用基础模型的安全软件开发实践》:SSDF 社区简介》;用静态分析工具博览会(SATE) VI 的四个测试套件增强了软件保证参考数据集(SARD)。NIST还改进了 AI Bug Finder,国家软件参考数据库增加了来自10,000 多个新的或更新的应用程序(总计超过4,200 万个文件)的数据,以协助计算机安全和数字取证分析。

  • NIST发布了 CSWP 36《应用 5G网络安全和隐私能力》: 白皮书系列介绍;CSWP 36A,《利用订阅隐藏标识符(SUCI)保护用户标识符》: 应用 5G 网络安全和隐私能力》;CSWP 36B,《利用硬件支持的安全性确保5G 系统平台完整性》: 应用 5G 网络安全和隐私能力;以及CSWP 36C,重新分配临时身份: 应用 5G 网络安全和隐私能力。

国家网络安全卓越中心的活动

国家网络安全卓越中心(NCCoE) 的使命是加快安全技术的采用。NCCoE与业界和其他政府机构合作,通过示范商业技术和标准的使用,应对国家面临的网络安全挑战。

2024财政年度的主要成就

  • NIST 获准继续赞助国家网络安全联邦资助研发中心(FFRDC),该中心现已进入第十个年头。

  • 2024 年,NCCoE与行业、政府和学术组织签订了167 份有效的合作研发协议 (CRADA),为NCCoE项目提供技术和专业知识实物捐助。为水网络安全和移动驾驶执照项目成立了新的联盟,向后量子加密联盟的成员也增加到40 多个组织。NCCoE宣布与 SEMI就半导体制造网络安全开展新的合作,与Hudson Alpha 和位于亨茨维尔的阿拉巴马大学就基因组数据的网络安全和隐私问题开展新的合作。参与NCCoE 项目的合作者累计达758 家,制作网络安全指南和其他产品的公司和组织达26714 家。

  • NCCoE与39个国家网络安全卓越合作伙伴(NCEPs)合作,领导美国各组织就新出现的网络安全和隐私技术问题发表见解。国家网络安全卓越合作伙伴联席会议由NCCoE、戴尔和Cloudflare 主办。NCCoE还与美国国务院、美国海军和美国太空部队签订了机构间协议。

NCCoE发布了25种出版物,包括 NIST 1800 系列特别出版物、机构间报告、网络安全白皮书和新的GitHub 出版物,为数据安全、基因组数据网络安全和隐私、零信任架构、5G网络安全、后量子密码迁移、数据分类实践、供应链可追溯性、智能逆变器、水网络安全等提供指导。

NCCoE推出了一系列新的 5G网络安全白皮书,为更多受众提供易于消化的简短内容。其他成果包括NIST Dioptra AI 开源测试平台和多个项目的GitHub 页面。

国家网络安全卓越中心的活动

  • NCCoE 加大了 CSF 2.0 社区简介方面的工作力度,以帮助各组织实施新的CSF。

  • 2024 财政年度,NCCoE 举办了 17 次活动和网络研讨会,包括 CSF 2.0 社区概况网络研讨会,并继续与马里兰州(MD)和马里兰州蒙哥马利县合作,为小企业社区举办季度网络安全连接网络活动。NCCoE 还推出了新的 LinkedIn 页面和 NCCoE 发言角,以提高人们对中心的认识。

  • NCCoE 第 14年继续开展本科生和研究生暑期实习计划。NCCoE还参加了 NIST的暑期学院,为中学教师提供网络安全资源。

  • NCCoE 继续扩展其网络安全和隐私主题,包括后量子密码学、自然语言处理、可信物联网、关键基础设施和供应链的复原力,以及NIST 框架资源和工具。

活动与利益相关者参与

NIST的网络安全和隐私活动植根于合作、信息共享和透明度。通过举办活动,NIST可以与广大受众直接互动,并持续分享有关各种主题的信息。

  • 2024 财政年度,NIST网络安全与隐私计划主办了80多场活动,包括会议、研讨会、合作会议、网络研讨会、小组讨论、论坛和工作组。

  • NIST 与活动参与者密切合作,分享信息,与公众合作,并与各部门和行业的网络安全和隐私专家进行积极讨论。这些公开讨论和合作互动有助于为 NIST 的工作提供信息,而这些活动则简化了NIST与关键受众共享信息的能力。

  • NIST 的网络安全和隐私活动详情可在我们的NCCoE 活动页面、CSRC活动页面和 NIST活动概览页面上找到。

2024财政年度的活动主题包

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。