㈠ NIST 网络安全框架提供全面的指导和最佳实践
深入探索NIST网络安全框架:全面的指南与最佳实践
NIST网络安全框架(NIST CSF),作为由美国国家标准与技术研究所(NIST)精心构建的权威框架,已经成为全球网络安全领域的瑰宝。它的初衷是为那些寻求强化网络安全防护的机构提供清晰的指导,旨在通过其精心设计的IPDRR能力模型,帮助企业全方位地应对安全挑战。
经典IPDRR模型:网络安全的盾牌
NIST CSF的核心在于风险识别(Identify)、保护(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)五个关键能力。它如同一个盾牌,从风险识别的源头开始,帮助企业主动识别并管理资产,通过保护功能实施安全措施,确保在事件发生时能迅速检测并响应,最后在恢复阶段制定持久的复原计划。这个框架覆盖了网络安全的全生命周期,确保“预防、应对、恢复”三位一体的策略得以实施。
历史的里程碑
2013年,美国政府发布了第13636号行政命令,推动NIST与私营部门合作,共同构建了NIST网络安全框架的雏形V1.0。随着2014年《网络安全增强法案》的出台,NIST CSF的影响力进一步扩大,成为了美国乃至全球广泛应用的安全框架之一,见证了网络安全意识的提升与实践的迭代。
框架的架构:细致入微的指导
NIST网络安全框架以功能、类别、子类和参考资料的形式构建,层次分明。功能部分阐述了最佳实践的安全策略,强调的是持续执行和动态风险管理。类别和子类则提供了针对组织内部特定部门或流程的细化操作指南,例如:
总的来说,NIST网络安全框架不仅是一个全面的指导工具,更是推动组织提升网络安全水平的重要指南,为全球企业在日益复杂的网络环境中保驾护航。
㈡ 美国网络安全相关部门的整理
国土安全部 (DHS = Department of Homeland Security)有一项重要使命:保护国家免受面临的诸多威胁。这需要超过 240,000 名员工致力于从航空和边境安全到应急响应,从网络安全分析师到化学设施检查员的各种工作。DHS的职责范围很广,DHS的目标很明确——保护美国的安全。
网络安全和基础设施安全局( CISA=Cybersecurity and Infrastructure Security Agency) 领导国家努力了解、管理和降低我们的网络和物理基础设施的风险。CISA将行业和政府中的利益相关者相互联系起来,并与资源、分析和工具联系起来,以帮助他们建立自己的网络、通信和物理安全性和弹性,进而帮助确保为美国人民提供安全和有弹性的基础设施。
美国国家标准与技术研究院 (NIST=National Institute Standards and Technology) 成立于 1901 年,现在是美国商务部的一部分。NIST 制定网络安全标准、指南、最佳实践和其他资源,以满足美国行业、联邦机构和更广泛公众的需求。我们的活动范围从产生组织可以立即付诸实践的特定信息到预测技术进步和未来挑战的长期研究。
一些 NIST 网络安全任务由联邦法规、行政命令和政策定义。例如,管理和预算办公室 (OMB) 要求所有联邦机构实施 NIST 的网络安全标准和针对非国家安全系统的指南。我们的网络安全活动也受到美国行业和广大公众需求的推动。NIST积极与利益相关者合作,确定优先事项,并确保我们的资源解决他们面临的关键问题。
NIST 还增进了对隐私风险的理解并改进了管理,其中一些与网络安全直接相关。
NIST 贡献并计划更多关注的优先领域包括密码学、教育和劳动力、新兴技术、风险管理、身份和访问管理、测量、隐私、可信赖网络和可信赖平台。
外交安全局(DSS=Diplomatic Security Service)是美国国务院的联邦执法和安全局。外交安全局的任务是确保外交安全并保护美国旅行证件的完整性,在美国联邦执法机构中拥有最大的全球影响力,在美国 29 个城市和全球 270 多个地点设有办事处,并在全球 270 多个地点保护国务院的信息和信息技术 (IT) 资产。这包括保护由网络和移动设备组成的全球网络基础设施。
自 1986 年成立以来,DSS 不断扩展其网络安全能力,并于 2017 年 5 月成立了网络和技术安全局。该局使用先进的技术和运营安全专业知识来更好地识别和应对网络风险和威胁,包括来自黑客、流氓运营商、民族国家和内部威胁的安全挑战。
DSS 网络安全核心职责包括:
国家安全局/中央安全局 (NSA/CSS) 在密码学领域领导美国政府,包括信号情报 (SIGINT) 洞察和网络安全产品和服务,并使计算机网络运营能够为国家和我们的盟友获得决定性优势。在整个站点中,NSA/CSS 将统称为 NSA。
中央安全局 为军事密码学界提供及时准确的密码学支持、知识和帮助,同时促进国家安全局与武装部队密码学部门之间的伙伴关系。
cisa.gov
nist.gov/cybersecurity
state.gov/cybersecurity
dhs.gov
㈢ 美国近年来推进“新基建”的布局及启示
近年来,世界经济 呈现发展动能趋缓、下行风险上升、规则调整加快的特点。 为应对经济衰退,
美国推出了《美国重建基础设施立法纲要》,加快实施万亿基础设施重建计划,对交通,水资源、给水和排水系统,以及下一代能源基础设施,高速互联网等新型基础设施领域进行部署,以此帮助美国经济复苏。
美国近年来在新型基础设施建设方面的主要布局
受政治体制影响,美国在基础设施建设部署上存在较大不稳定性,但是对新型基础设施建设的投资却一直被作为推动经济增长的重要手段,相关战略部署立足长远、积极推进。
(一)主要战略部署
自2008年国际金融危机以来,美国先后实施了《美国复苏与再投资法案》《美国国家空间数据基础设施战略规划草案(2014-2016年)》《修复美国地面交通法基建法案》《联邦大数据研发战略计划》《增强联邦政府网络与关键型基础设施网络安全》《美国重建基础设施立法纲要》等战略计划,出台了《网络与信息技术研发计划》《大数据研究计划》《能源制造业系统伙伴关系计划》等具体的实施细则,旨在通过加大新型基础设施建设来摆脱经济危机,提升产业竞争力,实现经济复苏。其中 科技 领域新型基础设施建设主要包括下一代能源基础设施、高速互联网、科研基础设施、人工智能、大数据等方面。
(二)《美国重建基础设施立法纲要》的主要内容
2018年2月,特朗普政府出台《美国重建基础设施立法纲要》(以下简称《纲要》),从出台时间来看,《纲要》与我国“新基建”战略部署时间较为接近,面临着相似的国际背景和外部环境,建设领域上存在一定相似性。《纲要》更加偏重于融资,传统基础设施占比较大, 科技 领域的基础设施建设更多以其他的专项计划来部署。在技术领域上,《纲要》重点投资现代交通、新能源、5G通讯基站、智能电网、宽带网络、大数据等领域,注重对成熟技术的应用和推广。相比而言,根据国家发改委对“新基建”范围的界定,我国“新基建”包括信息基础设施、融合基础设施、创新基础设施,技术领域涉及5G、物联网、工业互联网、卫星互联网、人工智能、云计算、区块链等新兴技术,特别重视对重大 科技 基础设施、科教基础设施、产业技术创新基础设施等创新基础设施的投资。
美国推动新型基础设施建设的主要举措
自2008年以来,美国不断加强在新型基础设施建设领域的战略部署,主要包括五个方面的重要举措。
(一)加强对“新基建”的研发投入
2018年,特朗普政府出台的《美国重建基础设施立法纲要》提出设立200亿元的创新转型项目计划,发展自动驾驶技术和车辆、新轨道运输技术、无人机、模块化基础设施技术等。在2019-2021财年特朗普政府美国工业发展领域研发优先事项中,人工智能、量子信息、通信网络、自动驾驶、智能制造、工业机器人等技术领域成为优先布局事项。
(二)开展基础研究和关键核心技术研发
(三)强化关键基础设施技术的自主可控
对关系国家战略安全、影响国家竞争优势的基础设施领域,美国支持本国企业主导建设全过程,强化技术自主可控。美国颁布了《增强联邦政府网络与关键型基础设施网络安全》的行政指令,从联邦政府、关键基础设施和国家三个方面,要求采取一系列措施确保联邦政府及关键基础设施的技术安全。对于国外企业投资美国关键基础设施项目,尤其对高度敏感的国家安全项目,要接受美国外国投资委员会、美国国会美中经济和安全审查委员会、美国联邦能源监管委员会等机构的层层监管,确保技术安全可控。
(四)发挥杠杆效应支持引导企业参与
在新型基础设施建设中,美国十分重视发挥民营企业的作用。在《美国重建基础设施立法纲要》中,除政府拨款的2000亿美元外,其余2万亿美元的基础设施建设资金大部分来源于私营企业投资和债券,基础设施具体建设也由私人企业承担,该计划以融资为主,广泛吸收私营企业和个人的资金。采取公开招标方式,鼓励民营企业采用新技术,通过基础设施建设推进制造业回流,促进新兴产业发展和培育。
(五)加强科研基础设施设施建设
美国高度重视科研基础设施(包括大科学装置)建设。如在《美国复苏与再投资法案》中提出,支持用于科学研究、基础设施以及实验室大型仪器设备的更新,启动《民用超级计算机计划》,为能源部的生物能源中心和联合基因组研究所购置新的设备,为国家实验室和大学核聚变研究提供设备升级或购置新的设备等。近年来,美国能源部提出实施“前路计划”,设立“百亿亿次计算项目”,部署百亿亿次超级计算机,解决并行性、内存和存储问题,为推进基础设施建设提供运算支撑;在南达科他洲开工建设长基线中微子设施,开展地下深层中微子试验场所。为提高国家生物安全,美国开始新建5家生物安全四级实验室,包括美国国家过敏和传染病研究所、加尔维斯顿国家实验室、美国国家生物卫生分析与对策中心等。在人工智能领域,美国发布《国家人工智能研发战略规划》,提出要开发人工智能共享数据集和测试环境平台,开发开源软件库和工具集等。
对策和建议
通过总结美国近年来在推进基础设施建设方面的经验和做法,结合我省发展现状和需求,提出如下对策建议。
一是制定出台“新基建” 科技 支撑行动计划。 强化统筹安排与顶层设计,从 科技 创新支撑“新基建”发展角度,提出具体的行动方案和实施细则。设立“新基建”工程技术研发专项,围绕我省“新基建”过程中遇到的工程技术难题,组织省内外高层次团队进行攻关,推动工程 科技 发展。
二是构建多元化融资模式。 加快 科技 债券、融资租赁、PPP等融资模式在“新基建”中的应用,为推动我省创新基础设施建设提供资金支持。以建设国际风投创投中心为契机,引进风险投资进入 科技 类基础设施建设领域,发挥金融杠杆撬动作用,扩大市场化资金规模。
三是提高 科技 园区基础设施建设水平。 以高新区、专业镇、 科技 小镇等区域创新平台为依托,加快提升5G基建、特高压、城际高速铁路和城际轨道交通等基础设施建设,高水平打造智慧园区、 科技 园区、创新园区,提升 科技 对园区发展的支撑带动作用。在省级高新区动态评估中,引入新型基础设施建设指标,引导高新区提升新型基础设施建设水平。
四是加快科研基础设施和实验室建设。 以企业实际应用需求为导向,新建一批中小型科研基础设施,以应对大型科研基础设施(大科学装置)需求不足、成本过高、效能不匹配的问题。如中等性能超级计算机、低强度中子源、P3级生物安全实验室等。加快推进省实验室建设步伐,瞄准5G、大数据、工业互联网需求,建设一批工程领域省实验室。
转自丨三思派