㈠ NIST 網路安全框架提供全面的指導和最佳實踐
深入探索NIST網路安全框架:全面的指南與最佳實踐
NIST網路安全框架(NIST CSF),作為由美國國家標准與技術研究所(NIST)精心構建的權威框架,已經成為全球網路安全領域的瑰寶。它的初衷是為那些尋求強化網路安全防護的機構提供清晰的指導,旨在通過其精心設計的IPDRR能力模型,幫助企業全方位地應對安全挑戰。
經典IPDRR模型:網路安全的盾牌
NIST CSF的核心在於風險識別(Identify)、保護(Protect)、檢測(Detect)、響應(Response)和恢復(Recovery)五個關鍵能力。它如同一個盾牌,從風險識別的源頭開始,幫助企業主動識別並管理資產,通過保護功能實施安全措施,確保在事件發生時能迅速檢測並響應,最後在恢復階段制定持久的復原計劃。這個框架覆蓋了網路安全的全生命周期,確保「預防、應對、恢復」三位一體的策略得以實施。
歷史的里程碑
2013年,美國政府發布了第13636號行政命令,推動NIST與私營部門合作,共同構建了NIST網路安全框架的雛形V1.0。隨著2014年《網路安全增強法案》的出台,NIST CSF的影響力進一步擴大,成為了美國乃至全球廣泛應用的安全框架之一,見證了網路安全意識的提升與實踐的迭代。
框架的架構:細致入微的指導
NIST網路安全框架以功能、類別、子類和參考資料的形式構建,層次分明。功能部分闡述了最佳實踐的安全策略,強調的是持續執行和動態風險管理。類別和子類則提供了針對組織內部特定部門或流程的細化操作指南,例如:
總的來說,NIST網路安全框架不僅是一個全面的指導工具,更是推動組織提升網路安全水平的重要指南,為全球企業在日益復雜的網路環境中保駕護航。
㈡ 美國網路安全相關部門的整理
國土安全部 (DHS = Department of Homeland Security)有一項重要使命:保護國家免受面臨的諸多威脅。這需要超過 240,000 名員工緻力於從航空和邊境安全到應急響應,從網路安全分析師到化學設施檢查員的各種工作。DHS的職責范圍很廣,DHS的目標很明確——保護美國的安全。
網路安全和基礎設施安全局( CISA=Cybersecurity and Infrastructure Security Agency) 領導國家努力了解、管理和降低我們的網路和物理基礎設施的風險。CISA將行業和政府中的利益相關者相互聯系起來,並與資源、分析和工具聯系起來,以幫助他們建立自己的網路、通信和物理安全性和彈性,進而幫助確保為美國人民提供安全和有彈性的基礎設施。
美國國家標准與技術研究院 (NIST=National Institute Standards and Technology) 成立於 1901 年,現在是美國商務部的一部分。NIST 制定網路安全標准、指南、最佳實踐和其他資源,以滿足美國行業、聯邦機構和更廣泛公眾的需求。我們的活動范圍從產生組織可以立即付諸實踐的特定信息到預測技術進步和未來挑戰的長期研究。
一些 NIST 網路安全任務由聯邦法規、行政命令和政策定義。例如,管理和預算辦公室 (OMB) 要求所有聯邦機構實施 NIST 的網路安全標准和針對非國家安全系統的指南。我們的網路安全活動也受到美國行業和廣大公眾需求的推動。NIST積極與利益相關者合作,確定優先事項,並確保我們的資源解決他們面臨的關鍵問題。
NIST 還增進了對隱私風險的理解並改進了管理,其中一些與網路安全直接相關。
NIST 貢獻並計劃更多關注的優先領域包括密碼學、教育和勞動力、新興技術、風險管理、身份和訪問管理、測量、隱私、可信賴網路和可信賴平台。
外交安全局(DSS=Diplomatic Security Service)是美國國務院的聯邦執法和安全局。外交安全局的任務是確保外交安全並保護美國旅行證件的完整性,在美國聯邦執法機構中擁有最大的全球影響力,在美國 29 個城市和全球 270 多個地點設有辦事處,並在全球 270 多個地點保護國務院的信息和信息技術 (IT) 資產。這包括保護由網路和移動設備組成的全球網路基礎設施。
自 1986 年成立以來,DSS 不斷擴展其網路安全能力,並於 2017 年 5 月成立了網路和技術安全局。該局使用先進的技術和運營安全專業知識來更好地識別和應對網路風險和威脅,包括來自黑客、流氓運營商、民族國家和內部威脅的安全挑戰。
DSS 網路安全核心職責包括:
國家安全局/中央安全局 (NSA/CSS) 在密碼學領域領導美國政府,包括信號情報 (SIGINT) 洞察和網路安全產品和服務,並使計算機網路運營能夠為國家和我們的盟友獲得決定性優勢。在整個站點中,NSA/CSS 將統稱為 NSA。
中央安全局 為軍事密碼學界提供及時准確的密碼學支持、知識和幫助,同時促進國家安全局與武裝部隊密碼學部門之間的夥伴關系。
cisa.gov
nist.gov/cybersecurity
state.gov/cybersecurity
dhs.gov
㈢ 美國近年來推進「新基建」的布局及啟示
近年來,世界經濟 呈現發展動能趨緩、下行風險上升、規則調整加快的特點。 為應對經濟衰退,
美國推出了《美國重建基礎設施立法綱要》,加快實施萬億基礎設施重建計劃,對交通,水資源、給水和排水系統,以及下一代能源基礎設施,高速互聯網等新型基礎設施領域進行部署,以此幫助美國經濟復甦。
美國近年來在新型基礎設施建設方面的主要布局
受政治體制影響,美國在基礎設施建設部署上存在較大不穩定性,但是對新型基礎設施建設的投資卻一直被作為推動經濟增長的重要手段,相關戰略部署立足長遠、積極推進。
(一)主要戰略部署
自2008年國際金融危機以來,美國先後實施了《美國復甦與再投資法案》《美國國家空間數據基礎設施戰略規劃草案(2014-2016年)》《修復美國地面交通法基建法案》《聯邦大數據研發戰略計劃》《增強聯邦政府網路與關鍵型基礎設施網路安全》《美國重建基礎設施立法綱要》等戰略計劃,出台了《網路與信息技術研發計劃》《大數據研究計劃》《能源製造業系統夥伴關系計劃》等具體的實施細則,旨在通過加大新型基礎設施建設來擺脫經濟危機,提升產業競爭力,實現經濟復甦。其中 科技 領域新型基礎設施建設主要包括下一代能源基礎設施、高速互聯網、科研基礎設施、人工智慧、大數據等方面。
(二)《美國重建基礎設施立法綱要》的主要內容
2018年2月,特朗普政府出台《美國重建基礎設施立法綱要》(以下簡稱《綱要》),從出台時間來看,《綱要》與我國「新基建」戰略部署時間較為接近,面臨著相似的國際背景和外部環境,建設領域上存在一定相似性。《綱要》更加偏重於融資,傳統基礎設施佔比較大, 科技 領域的基礎設施建設更多以其他的專項計劃來部署。在技術領域上,《綱要》重點投資現代交通、新能源、5G通訊基站、智能電網、寬頻網路、大數據等領域,注重對成熟技術的應用和推廣。相比而言,根據國家發改委對「新基建」范圍的界定,我國「新基建」包括信息基礎設施、融合基礎設施、創新基礎設施,技術領域涉及5G、物聯網、工業互聯網、衛星互聯網、人工智慧、雲計算、區塊鏈等新興技術,特別重視對重大 科技 基礎設施、科教基礎設施、產業技術創新基礎設施等創新基礎設施的投資。
美國推動新型基礎設施建設的主要舉措
自2008年以來,美國不斷加強在新型基礎設施建設領域的戰略部署,主要包括五個方面的重要舉措。
(一)加強對「新基建」的研發投入
2018年,特朗普政府出台的《美國重建基礎設施立法綱要》提出設立200億元的創新轉型項目計劃,發展自動駕駛技術和車輛、新軌道運輸技術、無人機、模塊化基礎設施技術等。在2019-2021財年特朗普政府美國工業發展領域研發優先事項中,人工智慧、量子信息、通信網路、自動駕駛、智能製造、工業機器人等技術領域成為優先布局事項。
(二)開展基礎研究和關鍵核心技術研發
(三)強化關鍵基礎設施技術的自主可控
對關系國家戰略安全、影響國家競爭優勢的基礎設施領域,美國支持本國企業主導建設全過程,強化技術自主可控。美國頒布了《增強聯邦政府網路與關鍵型基礎設施網路安全》的行政指令,從聯邦政府、關鍵基礎設施和國家三個方面,要求採取一系列措施確保聯邦政府及關鍵基礎設施的技術安全。對於國外企業投資美國關鍵基礎設施項目,尤其對高度敏感的國家安全項目,要接受美國外國投資委員會、美國國會美中經濟和安全審查委員會、美國聯邦能源監管委員會等機構的層層監管,確保技術安全可控。
(四)發揮杠桿效應支持引導企業參與
在新型基礎設施建設中,美國十分重視發揮民營企業的作用。在《美國重建基礎設施立法綱要》中,除政府撥款的2000億美元外,其餘2萬億美元的基礎設施建設資金大部分來源於私營企業投資和債券,基礎設施具體建設也由私人企業承擔,該計劃以融資為主,廣泛吸收私營企業和個人的資金。採取公開招標方式,鼓勵民營企業採用新技術,通過基礎設施建設推進製造業迴流,促進新興產業發展和培育。
(五)加強科研基礎設施設施建設
美國高度重視科研基礎設施(包括大科學裝置)建設。如在《美國復甦與再投資法案》中提出,支持用於科學研究、基礎設施以及實驗室大型儀器設備的更新,啟動《民用超級計算機計劃》,為能源部的生物能源中心和聯合基因組研究所購置新的設備,為國家實驗室和大學核聚變研究提供設備升級或購置新的設備等。近年來,美國能源部提出實施「前路計劃」,設立「百億億次計算項目」,部署百億億次超級計算機,解決並行性、內存和存儲問題,為推進基礎設施建設提供運算支撐;在南達科他洲開工建設長基線中微子設施,開展地下深層中微子試驗場所。為提高國家生物安全,美國開始新建5家生物安全四級實驗室,包括美國國家過敏和傳染病研究所、加爾維斯頓國家實驗室、美國國家生物衛生分析與對策中心等。在人工智慧領域,美國發布《國家人工智慧研發戰略規劃》,提出要開發人工智慧共享數據集和測試環境平台,開發開源軟體庫和工具集等。
對策和建議
通過總結美國近年來在推進基礎設施建設方面的經驗和做法,結合我省發展現狀和需求,提出如下對策建議。
一是制定出台「新基建」 科技 支撐行動計劃。 強化統籌安排與頂層設計,從 科技 創新支撐「新基建」發展角度,提出具體的行動方案和實施細則。設立「新基建」工程技術研發專項,圍繞我省「新基建」過程中遇到的工程技術難題,組織省內外高層次團隊進行攻關,推動工程 科技 發展。
二是構建多元化融資模式。 加快 科技 債券、融資租賃、PPP等融資模式在「新基建」中的應用,為推動我省創新基礎設施建設提供資金支持。以建設國際風投創投中心為契機,引進風險投資進入 科技 類基礎設施建設領域,發揮金融杠桿撬動作用,擴大市場化資金規模。
三是提高 科技 園區基礎設施建設水平。 以高新區、專業鎮、 科技 小鎮等區域創新平台為依託,加快提升5G基建、特高壓、城際高速鐵路和城際軌道交通等基礎設施建設,高水平打造智慧園區、 科技 園區、創新園區,提升 科技 對園區發展的支撐帶動作用。在省級高新區動態評估中,引入新型基礎設施建設指標,引導高新區提升新型基礎設施建設水平。
四是加快科研基礎設施和實驗室建設。 以企業實際應用需求為導向,新建一批中小型科研基礎設施,以應對大型科研基礎設施(大科學裝置)需求不足、成本過高、效能不匹配的問題。如中等性能超級計算機、低強度中子源、P3級生物安全實驗室等。加快推進省實驗室建設步伐,瞄準5G、大數據、工業互聯網需求,建設一批工程領域省實驗室。
轉自丨三思派