全文約 1.9萬 字  閱讀約 50 分鐘

NIST （美國國家標準與技術研究所）在安全行業幾乎是無人不知吧。作爲NIST的一部分， NCCoE 的名氣雖然沒有那麼大，但其名稱“ 國家網絡安全卓越中心 ”也是夠 大氣。

在筆者心目中，NIST是典型的 標準派 ，而NCCoE則是典型的 實踐派 。 作爲 美國聯邦 的 標準制定 機構，還同步開展 實踐項目 ，這種 標準與實踐相結合 的 方式 值得我們學習 。

NIST 在安全領域以幾個系列的出版物而著稱： FI P S （聯邦信息處理標準 ） 系列； SP 800 （計算機/信息安全） 系 列 ； SP 1800 （網絡安全實踐指南） 系 列 ； SP 500 （計算機系統技術） 系列； NISTIR （ NIST機構間或內部報告）等 。本文要介紹的正是 其中的 SP 1800 （網絡安全實踐指南） 系 列，該系列正是 NCCoE 的作品 。

NCCoE以 實踐 項目著稱 ，而且每一個 實踐項目 都計劃產生一份可免費公開獲取的 NIST網絡安全實踐指南 （NIST Cybersecurity Practice Guide），即SP 1800系列指南 。這些 實踐指南 正是筆者的關切所在。

NCCoE的 實踐項目包含兩種類型：一是 積木 （Building Blocks）；二是 用例 （Use Cases）。積木是技術領域，用例是行業領域。 兩者分別包含了十幾個具體項目。

在本文中，筆者只是簡單羅列這些實踐項目的摘要內容，展示一下概貌。對於更詳細具體的內容，可能會有選擇性地在後期進行介紹。敬請關注。

關鍵詞： NCCoE（國家網絡安全卓越中心，National Cybersecurity Center of Excellence）、NIST（國家標準與技術研究所）、NISTIR（NIST機構間或內部報告） 、ZTA（零信任架構）

本文目錄

一、 NCCoE 背景

二、NIST 實踐指南列表

三、網絡安全 積木列表

四、網絡安全 積木 項目

1）零信任架構（ZTA）

2）基於屬性的訪問控制（ABAC）

3）人工智能：對手機器學習（AML）

4）消費者家庭物聯網產品安全

5）IT基礎架構持續監控

6）關鍵網絡安全衛生：修復企業

7）密碼靈活性：後量子密碼學

8）數據保密性：數據泄露的檢測、響應、恢復

9）數據保密性：識別和保護資產和數據，以防止數據泄露

10）數據完整性：檢測和響應

11）數據完整性：識別和保護

12）數據完整性：恢復

13）派生的PIV憑據

14）基於DNS的安全電子郵件

15）提高託管服務提供商的網絡安全性

16）物聯網設備表徵

17）移動設備安全：自帶設備（BYOD）

18）移動設備安全：雲和混合構建

19）移動設備安全：公司擁有個人啓用

20）移動設備安全：移動威脅目錄

21）準備向5G安全演進

22）隱私增強的身份聯合

23）安全域間路由

24）使用MUD保護家庭物聯網設備

25）物聯網傳感器網絡的安全性

26）供應鏈保障

27）TLS服務器證書管理

28）可信雲：VMware混合雲IaaS環境

五、網絡安全 用例 項目

1） 消費/零售業

2）能源行業

3）金融服務業

4）衛生IT部門

5）酒店業

6）公共安全和急救行業

7）製造業

8）交通運輸業

一、NCCoE背景

國家網絡安全卓越中心（NCCoE）是NIST的一部分，成立於2012年。NCCoE是一個 協作中心 ，行業組織、政府機構、學術機構 在此 共同應對企業最緊迫的網絡安全挑戰 。通過 政府機構與私營機構的合作 ，爲特定行業和廣泛的跨部門技術挑戰，創建實用的網絡安全解決方案。

作爲“ 國家網絡安全 卓越中心 ”， NCCoE發起了“ 國家網絡安全 卓越夥伴 ”（NCEP）計劃，與多家美國公司聯手。這些合作伙伴承諾爲合作項目提供硬件、軟件、研究人員和專業知識，爲 NCCoE的測試環境提供設備和產品， 以推動安全技術的迅速採用。

NCCoE應用 標準和最佳實踐 ，使用 商用技術 ，開發了模塊化、適應性強的 網絡安全解決方案示例 。

NCCoE的每個項目，都會產生一個免費的 NIST網絡安全實踐指南（SP 1800 系列 ） 。NCCoE在 NIST SP 1800系列中記錄了這些示例解決方案 ， SP 1800系列 將 能力映射到NIST網絡安全框架（CSF） ，並詳細說明了 其他實體重現示例解決方案所需的步驟 。

筆者總結了一下NCCoE這家機構的特點：

• 應對緊迫問題：諮詢IT安全專家和其他領導，以識別 最緊迫 的網絡安全問題和挑戰；

• 加速技術採用：加速企業 採用 基於 標準 的先進安全技術，加快安全技術創新步伐；

• 採用商業產品 ： 採用 基於標準的 商用產品 ，作爲實驗室示例解決方案中的模塊；

• 提供實用方案：爲企業提供 低成本、可重複、可擴展 的網絡安全實用解決方案，以保護其數據和數字基礎設施；

• 映射安全能力：將安全解決方案映射到NIST和行業標準及最佳實踐中，特別是 將 能力映射到NIST網絡安全框架（CSF） ；

• 構建安全積木：以項目方式，形成 模塊化 的解決方案，作爲 安全積木 ；

• 推出實踐指南：推出 NIST網絡安全實踐指南（SP 1800 系列 ） ，詳細說明重現示例解決方案的步驟。

簡言之，NCCoE致力於利用商用技術，以實用、基於標準的解決方案，解決企業最緊迫的網絡安全問題。

二、NIST實踐指南列表

下表給出了NIST網絡安全實踐指南（SP-1800）系列目前已經發布的指南（倒序排列）：

表1-NIST網絡安全實踐指南（SP-1800系列 ）

SP編號	標題	狀態	發佈日期
1800-26	Data  Integrity: Detecting and Responding to Ransomware and Other Destructive  Events （檢測和響應勒索軟件和其他破壞性事件）	草案	1/27/2020
1800-25	Data  Integrity: Identifying and Protecting Assets Against Ransomware and Other  Destructive Events （識別和保護資產以防範勒索軟件和其他破壞性事件）	草案	1/27/2020
1800-24	Securing  Picture Archiving and Communication System (PACS) （保護圖像存檔和通信系統（ PACS ））	草案	9/16/2019
1800-23	Energy Sector  Asset Management: For Electric Utilities, Oil & Gas Industry （能源部門資產管理：適用於電力、石油和天然氣行業）	終版	5/20/2020
1800-21	Mobile Device  Security: Corporate-Owned Personally-Enabled (COPE) （移動設備安全：公司擁有個人啓用（ COPE ））	草案	7/22/2019
1800-19	Trusted Cloud:  Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service  (IaaS) Environments （可信雲： VMware 混合雲 IaaS 環境的安全實踐指南）	草案	4/13/2020
1800-18	Privileged  Account Management for the Financial Services Sector （金融服務業的特權賬戶管理）	草案	9/28/2018
1800-17	Multifactor  Authentication for E-Commerce: Risk-Based, FIDO Universal Second Factor  Implementations for Purchasers （電子商務的多因素認證：基於風險的、面向購買者的 FIDO 通用第二要素實現）	終版	7/30/2019
1800-16	Securing Web  Transactions: TLS Server Certificate Management （保護 Web 事務：傳輸層安全（ TLS ）服務器證書管理）	終版	6/16/2020
1800-15	Securing Small  Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based  Attacks Using Manufacturer Usage Description (MUD) （保護小型企業和家庭物聯網（ IoT ）設備：使用製造商使用說明（ MUD ）來緩解基於網絡的攻擊）	草案	11/21/2019
1800-14	Protecting the  Integrity of Internet Routing: Border Gateway Protocol (BGP) Route Origin  Validation （保護 Internet 路由的完整性：邊界網關協議（ BGP ）路由源驗證）	終版	6/28/2019
1800-13	Mobile  Application Single Sign-On: Improving Authentication for Public Safety First  Responders (2nd Draft) （移動應用單點登錄：改進公共安全急救者的身份驗證（第二稿））	草案	5/29/2019
1800-12	Derived  Personal Identity Verification (PIV) Credentials （派生的個人身份驗證（ PIV ）憑據）	終版	8/27/2019
1800-11	Data  Integrity: Recovering from Ransomware and Other Destructive Events （數據完整性：從勒索軟件和其他破壞性事件中恢復）	草案	9/06/2017
1800-9	Access Rights  Management for the Financial Services Sector （金融服務業的訪問權限管理）	草案	8/31/2017
1800-8	Securing  Wireless Infusion Pumps in Healthcare Delivery Organizations （保護醫療服務機構中的無線輸液泵）	終版	8/17/2018
1800-7	Situational  Awareness for Electric Utilities （電力企業的態勢感知）	終版	8/07/2019
1800-6	Domain Name  System-Based Electronic Mail Security （基於域名系統的電子郵件安全）	終版	1/19/2018
1800-5	IT Asset  Management （ IT 資產管理）	終版	9/07/2018
1800-4	Mobile Device  Security: Cloud and Hybrid Builds （移動設備安全：雲和混合構建）	終版	2/21/2019
1800-3	Attribute  Based Access Control (2nd Draft) （基於屬性的訪問控制（第二版草案））	草案	9/20/2017
1800-2	Identity and  Access Management for Electric Utilities （電力企業的身份和訪問管理（ IdAM ））	終版	7/13/2018
1800-1	Securing  Electronic Health Records on Mobile Devices （保護移動設備上的電子健康記錄）	終版	7/27/2018

注：NIST SP 1800指南系列包含兩種類型：一是積木（Building Blocks）；二是用例（Use Cases）。積木是技術領域，用例是行業領域。但從指南的編號順序上看，並沒有刻意區分，而是混在一起的。在本文的後文，將會區分出來。

三、網絡安全積木列表

積木（Building Blocks）解決了影響多個部門的廣泛技術差距。這些項目依賴於不同行業的成員的洞察力和激情，他們有着共同的目標，即滿足特定的網絡安全需求。

NCCoE的網絡安全 積木項目 包括以下28項：

1. 零信任架構（ZTA）

2. 基於屬性的訪問控制（ABAC）（ SP ）

3. 人工智能：對手機器學習

4. 消費者家庭物聯網產品安全

5. IT基礎架構持續監控

6. 關鍵網絡安全衛生：修復企業

7. 密碼靈活性：後量子密碼學

8. 數據機密性：數據泄露的檢測、響應、恢復

9. 數據機密性：識別和保護資產和數據，以防止數據泄露

10. 數據完整性：檢測和響應（ SP ）

11. 數據完整性：識別和保護（ SP ）

12. 數據完整性：恢復（ SP ）

13. 派生的PIV憑據（ SP ）

14. 基於DNS的安全電子郵件（ SP ）

15. 提高託管服務提供商的網絡安全性

16. 物聯網設備表徵

17. 移動設備安全：自帶設備（BYOD）

18. 移動設備安全：雲和混合構建（ SP ）

19. 移動設備安全：公司擁有個人啓用（ SP ）

20. 移動設備安全：移動威脅目錄

21. 準備向5G安全演進

22. 隱私增強的身份聯合

23. 安全域間路由（ SP ）

24. 使用MUD保護家庭物聯網設備（ SP ）

25. 物聯網傳感器網絡的安全性

26. 供應鏈保障

27. TLS服務器證書管理（ SP ）

28. 可信雲：VMware混合雲IaaS環境

注：上述列表中標題尾部帶有 （SP） 的項目，表示 已經發布了NIST網絡安全實踐指南 ，即SP 1800系列，也出現在前文的 表1（ NIST網絡安全實踐指南 ）中。而其它的項目，還處於構建中， 尚未發佈SP 1800指南。

筆者試着對上述積木進行了歸類，如下圖所示，僅供參考：

圖2-網絡安全積木項目分類

四、網絡安全積木項目

01

零信任架構

近幾年來，美國民間零信任技術的快速發展，促使美國聯邦政府（包括國防部門）加快對零信任架構（ZTA）的研究和推進過程。 2018年，聯邦首席信息官（CIO）委員會 與NIST NCCoE接洽，希望其幫助 聯邦機構 圍繞ZTA的定義達成一致，並瞭解零信任架構的好處和侷限性。

美國官方發佈 的權威零信任參考資料（以下均可 單擊鏈接至 譯文 ） ：

• 2019年4月 ：ACT-IAC（美國技術委員會-行業諮詢委員會）發佈 《零信任網絡安全當前趨勢》 ；

• 2019年7月：DIB（ 國防創新委員會 ）發佈 《零信任之路》 ；

• 2019年9月 ：NIST（美國國家標準與技術研究院） 發佈NIST SP 800-207 《零信任架構 （ 草案 ） 》 ；

• 2019年10月： DIB（ 國防創新委員會 ） 發佈 《零信任架構（ZTA）建議》；

• 2020年2月 ：NIST 發佈NIST SP 800-207《零信任架構（第2版草案）》，其主要變化可參見 《零信任架構（第2版草案）主要變化》 ；

• 2020年3月： NIST  NCCoE 發佈 《實現零信任架構（草案）》 項目說明書。

NCCoE計劃開展的 《實現零信任架構》 項目， 旨在瞄準零信任架構的落地實踐，希望實現 安全性與用戶體驗的兼得 。

NCCoE項目將基於 NIST SP 800-207《零信任架構》 標準， 產生一個 零信任架構的示例實現 。該項目將在實驗室環境中，構建一個模塊化、端到端的 零信任架構 示例 ， 演示一種擬議的網絡拓撲結構 ，以解決一系列與NIST CSF（網絡安全框架）一致的網絡安全挑戰，使得分佈在場內和雲環境中的不同企業資源（如數據源、計算服務、物聯網設備）可以發揮作用並繼承零信任安全特性。該項目的另一個主要目標是：識別並儘可能減少由於採用ZTA策略而對 用戶體驗 造成的負面影響。因爲一個成功的ZTA解決方案，應該儘可能少地給用戶體驗帶來不愉快。

NCCoE項目計劃實現以下主要場景：

• 場景1：員工訪問公司資源；

• 場景2：員工訪問互聯網資源；

• 場景3：承包商訪問公司和互聯網資源；

• 場景4：企業內的服務器間通信；

• 場景5：與業務夥伴的跨企業協作；

• 場景6：利用公司資源建立信心水平。

NCCoE項目擬採用的零信任 組件架構 ，如下圖所示：

圖3-ZTA（零信任架構）高層級架構

NCCoE項目的組件清單包括：

• 核心組件：策略引擎、策略管理器、策略執行點；

• 支撐組件：CDM系統、行業合規系統、威脅情報、網絡和訪問日誌記錄系統、數據訪問策略、PKI系統、身份管理系統、SIEM系統；

• 設備和網絡基礎設施組件：設備、網絡基礎設施組件；

關於 NCCoE項目 更加詳細的內容，請參見 《實現零信任架構（草案）》 項目說明書。

另一個非常重要的預期成果是，該項目計劃產生一份可公開獲取的 NIST網絡安全實踐指南 。它將是一份詳細的實施指南，說明實施零信任架構所需的實際步驟。

02

基於屬性的訪問控制（ABAC）

目前大多數企業使用基於角色的訪問控制（RBAC），來根據工作職務或角色分配對網絡和系統的訪問。但是，如果員工改變角色或離開公司，管理員必須相應地在多個系統中手動改變訪問權限。隨着組織的擴張和收縮、與外部實體的合作、系統的現代化，這種管理用戶訪問的方法變得越來越困難和低效。

爲了幫助應對日益增長的網絡安全挑戰並支持 下一代身份管理 ，NCCoE（國家網絡安全卓越中心）的安全工程師，爲基於屬性的訪問控制（ABAC）系統開發了一個 參考設計 。ABAC是一種高級方法，用於管理連接到網絡和資產的人員和系統的訪問權限，提供了更高的效率、靈活性、可擴展、安全性。

示例解決方案使用商用技術，來演示基於標準的ABAC平臺，在該平臺中，根據用戶的屬性（例如證書、原始IP地址、組、部門、在職狀態）授予對組織網絡或資產的訪問權限。然後，根據整個組織或組織之間的系統可用的信息、關於一個人、她要執行的操作和她想要訪問的資源的信息，來做出訪問決策。ABAC基於個體屬性爲每個用戶的訪問請求啓用恰當的權限和限制，並允許來自單一平臺的多個系統管理這些權限，從而減少管理負擔。

企業可以使用部分或全部指南，以使用標準和行業最佳實踐來實現ABAC系統。像我們使用的那些基於標準的商業產品，很容易獲得，並且可以與常用的信息技術基礎設施和投資進行互操作。

03

人工智能：對手機器學習（AML）

NCCoE已經發布了 NISTIR 8269（對手機器學習的分類與術語）草案 。目前正在 審覈 針對該草案提交的意見。

機器學習（ML）是人工智能（AI）的一個領域，它專注於計算機無需人工編程就能自行學習的能力。當這些系統被誤導或被惡意輸入時， 對手 機器學習（AML，Adversarial Machine Learning） 可能會被使用。AML由惡意行爲體執行，以 破壞機器學習（ML）能力 ；而ML安全則側重於瞭解這些攻擊後果，以緩解惡意行爲體的影響。

NISTIR 8269的開發是爲了保護人工智能的應用，特別是AML，並以概念和術語的分類爲特色。通過建立共同語言和對快速發展的AML前景的理解，該NISTIR可以爲評估和管理ML安全性的未來標準和最佳實踐提供信息。

04

消費者家庭物聯網產品安全

消費者使用物聯網設備簡化任務，提供更大便利，並提高個人生產力。例如，一個智能門鎖可以使房主允許維修人員進入家中，而不需要房主親自在場。

由於許多IoT設備可通過互聯網訪問，惡意行爲體可以利用漏洞來訪問IoT設備。Mirai，一種分佈式拒絕服務攻擊，是利用物聯網設備的最大網絡安全事件之一。

消費者家庭物聯網設備，如連接的安全攝像頭和智能電視，可以收集一系列關於房主和其他用戶的數據，方便地定製和個性化家庭和用戶體驗。不幸的是， 如果被未經授權的個人截獲 ，這些信息可能會暴露或用於犯罪或破壞性活動。

NIST NISTIR 8267-消費者家庭物聯網產品安全審查，是該項目的第一份報告，展示了一項研究的結果，該研究旨在研究幾種消費者家庭物聯網設備上可用的網絡安全功能的 可觀察 方面。審查的消費者家庭物聯網設備類型包括：智能燈泡、安全燈、安全攝像頭、門鈴、插頭、恆溫器和電視。技術審查的目的是更好地瞭解消費者家庭物聯網設備的 內置網絡安全特性 ，併爲改善消費者家庭物聯網設備的網絡安全提供一般考慮。觀察和分析以NIST目前圍繞網絡安全的特性和實施的良好實踐而開展的工作爲指導，包括但不限於最近的草案 NISTIR 8259-安全物聯網設備核心網絡安全特性基線 ：物聯網設備製造商的起點 。 NISTIR 8267是基礎工作 ， NCCoE計劃發佈後續項目和文件 ，爲消費者家庭物聯網設備提供詳細的網絡安全考慮。

05

IT基礎架構持續監控

NCCoE正在提議一個項目，探索持續監控能力，以有效、高效、自動地檢測惡意行爲體（無論是授權用戶還是外部行爲體），當其試圖在組織的IT基礎設施中執行可能會對組織造成財務、聲譽、運營方面影響的行動時。

許多組織通過手動檢查或計算機輔助審覈，來監視業務IT基礎設施，從而在事後發現惡意用戶訪問事件。

本項目將描述如何通過從IT基礎設施收集適當的日誌數據來解決這個問題。此外，還可以利用適當的信息自動分析和報告能力，對檢測到的信息進行自動分析和記錄，從而使人員能夠採取措施來解決被檢測到到問題。該項目 將產生一份免費的NIST網絡安全實踐指南 ，其中包括參考架構、完整實施的示例解決方案、實施解決方案所需實際步驟的詳細指南。

06

關鍵網絡安全衛生：修復企業

此項目當前處於 構建階段（build phase） 。

許多數據泄露、惡意軟件感染和其他安全事件都有一些 根本原因 。 實施一些相對簡單的安全衛生實踐，可以解決這些根本原因 ——阻止許多事件發生，並降低仍然發生的事件的潛在影響。換言之，安全衛生實踐使攻擊者更難成功並減少其可能造成的損害。

不幸的是， 安全衛生說起來容易做起來難 。幾十年來，IT專家都知道，修復軟件——操作系統和應用程序——可以消除漏洞。儘管人們普遍認爲補丁是有效的，但它也是 資源敏感 的。打補丁本身會 降低系統和服務的可用性 。然而， 延遲補丁 部署 又給了攻擊者更大的機會。

該項目將研究商業和開源工具如何幫助解決通用IT系統最具挑戰的方面。我們正在使用商業和開源工具來幫助解決最具挑戰性的方面，包括系統特性和優先級排序、補丁測試、補丁實施的跟蹤和驗證。我們將包括爲整個補丁生命週期制定政策和流程的可操作、規範性指南，包括定義所有受影響人員的角色和責任，並制定包含針對破壞性惡意軟件爆發的緩解措施的行動手冊。

該項目將產生一份公開可用的 NIST網絡安全實踐指南 ，該指南描述了實施應對上述挑戰的網絡安全參考設計所需的實際步驟。

07

密碼靈活性：後量子密碼學

NCCoE正在着手開發實踐，以簡化從現有公鑰密碼算法到 抗量子計算機攻擊的替代算法 的遷移過程。這項工作是對 “NIST後量子密碼（PQC）標準化”行動 的補充。

挑戰是什麼？新的密碼弱點的發現或密碼分析技術的進步，常常導致需要替換舊的密碼算法。量子計算技術的出現將危及現有的許多密碼算法，特別是廣泛用於保護數字信息的公鑰密碼。 算法替換非常具有破壞性，通常需要幾十年才能完成 。算法替換通常需要：

• 識別遺留算法的存在；

• 瞭解加密庫的數據格式和API，以支持必要的更改和替換；

• 開發實施驗證工具；

• 發現實現或加速算法性能的硬件；

• 確定使用該算法的操作系統和應用程序代碼；

• 識別所有使用脆弱協議的通信設備；

• 更新開發人員、實現者、用戶的過程和流程。

爲何重要？政府和工業界都在使用加密技術來保護靜止或傳輸中信息的保密性和完整性。密碼算法是這些加密技術的基礎。隨着量子計算技術的進步，公鑰密碼算法可能會受到破壞，不再提供設計者所期望的安全保護。這些算法已經在全球部署的計算機、移動設備、存儲器和網絡組件中實現。而大多數的密碼學完整性和密鑰建立協議都使用公鑰加密。不幸的是， 一旦實用化的量子計算對網絡對手是可用的，那麼 基於一種稱爲Shor算法的攻擊，將使目前廣泛使用的所有公鑰密碼算法失效 。

對組織意味着什麼？ 目前還不確定能否使用實際的量子計算機 。然而，一旦量子計算技術實用化，則信息的機密性和完整性將無法得到保證。因此，現在就應該計劃更換使用公鑰算法的硬件、軟件、服務，以保護信息免受未來攻擊。關於 後量子密碼 標準和實施指南的工作，正在順利進行。然而，經驗表明， 如果已經提前啓動重要的實施規劃，那麼 在發佈抗量子密鑰加密標準之後，至少需要5至15年甚至更長的時間來實施這些標準，以取代目前使用的大多數易受攻擊的公鑰系統 。因此，組織現在就可以而且也應該計劃和準備這種轉變，以便準備好在標準化過程結束時可以及早採用和實施新算法。

NIST如何應對？如NIST 2016年4月發佈的 NISTIR 8105（後量子密碼學研究報告） 所示，抗量子公鑰密碼標準的研發工作正在進行中，算法選擇過程也在緊鑼密鼓地進行中，算法選擇預計在未來1至2年內完成(https://csrc.nist.gov/projects/post-quantum-cryptography )。爲了配合正在進行的工作，NCCoE正在發起一項運動，讓人們認識到遷移到後量子算法所涉及的問題，並開發白皮書、劇本、概念驗證（POC）實現。NIST制定了一份 網絡安全白皮書（爲後量子密碼術做準備） 。此外，NCCoE正在組建一個加密應用程序社區，以制定一個 遷移行動手冊 ，該手冊將解決前面描述的挑戰，並提供建議的實踐，爲順利的密碼遷移做準備。最後，這些活動和未來研討會的結果將推動NCCoE與社區合作開發實用的、可演示的實現。

08

數據保密性：數據泄露的檢測、響應、恢復

此項目當前處於 構建階段 。

NCCoE正在提議一個項目，來提供指導和參考架構，以幫助組織從數據保密性的威脅中檢測、響應、恢復信息。

組織的數據是其最有價值的資產之一，必須加以保護，防止未經授權的訪問和披露。由於運營和財務數據以及員工或客戶的個人身份信息可能遭受損害，大數據和小數據的泄露都會影響組織的生存能力。這可能會破壞組織的工作和成功，並導致嚴重的聲譽損害。

該 項目的目標是提供一個實用的解決方案，來檢測、響應 影響數據保密性的事件並 從中恢復 。該項目還將提供與 “識別和保護資產和數據以防數據泄露”項目 並行的 數據保密性指南 。NCCoE選擇在 兩個並行項目 中解決數據保密性問題，以提供模塊化的、適應性強的指南，而不是一個全有或全無的方法。此外，兩個項目允許多個場景來防止和應對數據泄露或其他數據保密性損失事件。

該項目將產生一個公開的 NIST網絡安全實踐指南 ，它是一個爲應對上述挑戰而實施網絡安全參考設計所需實際步驟的詳細實施指南。

09

數據保密性：識別和保護資產和數據，以防止數據泄露

此項目當前處於 構建 階段 。

NCCoE正在提議一個項目，以提供指導和參考架構，以幫助一個組織識別和保護信息免受數據保密性的威脅。

該項目的目標是提供一個實用的解決方案，來識別和保護企業數據的保密性。該項目還將提供與 “ 數據泄露的檢測、響應、恢復 ”項目並行的 數據保密性指南 。NCCoE選擇在兩個並行項目中解決數據保密性問題，以提供模塊化的、適應性強的指南，而不是一個全有或全無的方法。

該項目將產生一個公開的 NIST網絡安全實踐指南 ，它是一個爲應對上述挑戰而實施網絡安全參考設計所需實際步驟的詳細實施指南。

10

數據完整性：檢測和響應

NCCoE近期發佈了 網絡安全實踐指南 NIST SP 1800-26（檢測和響應勒索軟件和其他破壞性事件） 草案 。本實踐指南可使管理人員、首席信息安全官、系統管理員或與保護其組織的數據、隱私和總體操作安全有利害關係的人員受益。

NCCoE提出了一個項目，可以幫助組織檢測和響應跨多個行業的數據完整性事件。該項目包括開發一個參考設計，並使用商業技術來開發一個示例解決方案，以幫助不同的組織實施更強大的安全控制。

勒索軟件、破壞性惡意軟件、內部威脅，甚至誠實的誤操作，都會對組織的基礎設施構成持續的威脅。一旦發生攻擊，數據庫記錄和結構、系統文件、配置、用戶文件、應用程序代碼和客戶數據都將面臨風險。

不實施檢測和響應解決方案的組織，會使自己面臨許多類型的數據完整性攻擊的風險。這些風險可以通過以下能力降低：

• 完整性監控

• 事件檢測

• 漏洞管理

• 報告能力

• 緩解和遏制

這個項目的 重點是可以檢測、緩解和抑制企業網絡組件中的數據完整性事件的詳細方法和潛在工具集 。它還確定了幫助安全團隊應對此類事件的工具和策略。該項目的範圍回答了與檢測和響應數據完整性事件有關的特定問題。

11

數據完整性：識別和保護

NCCoE近期發佈了 網絡安全實踐指南 NIST SP 1800-25（識別和保護資產以防範勒索軟件和其他破壞性事件） 草案 。本實踐指南可使管理人員、首席信息安全官、系統管理員或與保護其組織的數據、隱私和總體操作安全有利害關係的人員受益。

NCCoE提出了一個項目，該項目可以幫助組織識別並保護其資產免受跨多個行業的數據完整性攻擊。該項目包括開發一個參考設計，並使用商業技術來開發一個示例解決方案，以幫助不同的組織實施更強大的安全控制。

不實施識別和保護解決方案的組織，會使自己面臨許多類型的數據完整性攻擊的風險。這些風險可以通過以下能力降低：

• 安全存儲

• 數據庫、虛擬機和文件系統的備份能力

• 日誌收集

• 資產清點

• 文件完整性檢查機制

本項目的重點是有效識別可能成爲數據完整性攻擊目標的資產的方法。它還探討了通過使用審計日誌、漏洞管理、維護和其他潛在解決方案來保護這些資產免受數據完整性攻擊的方法。

12

數據完整性：恢復

NCCoE最近發佈了 NIST網絡安全實踐指南 SP 1800-11（數據完整性：從勒索軟件和其他破壞性事件中恢復） 的草案。

破壞性惡意軟件、勒索軟件、惡意內部活動，甚至是誠實的誤操作的不斷威脅，使得組織必須能夠從更改或破壞數據的事件中快速恢復。企業必須確信恢復的數據是準確和安全的。NCCoE與企業界成員和網絡安全解決方案供應商合作，創建了一個解決這些複雜數據完整性挑戰的示例解決方案。

多個系統需要協同工作，以阻止、檢測、通知損壞數據的事件並從中恢復。本項目探索有效恢復操作系統、數據庫、用戶文件、應用程序和軟件/系統配置的方法。它還探討了審計和報告問題（用戶活動監視、文件系統監視、數據庫監視和快速恢復解決方案），以支持恢復和調查。爲了解決與數據完整性相關的實際業務挑戰，示例解決方案由開源組件和商用組件組成。

此積木工作的目標是幫助組織自信地識別：

• 更改的數據，以及更改的日期和時間

• 更改數據者的身份

• 與數據更改一致的其他事件

• 數據更改的任何影響

• 用於數據恢復的正確備份版本（沒有損壞的數據）

13

派生的PIV憑據

NCCoE發佈了 NIST網絡安全實踐指南SP 1800-12（派生的個人身份驗證（PIV）憑據） 的最終版本。

2005年，個人身份驗證（PIV）認證的重點，是通過臺式機和筆記本電腦等傳統計算設備進行身份驗證，PIV卡將通過集成智能卡讀卡器提供通用身份驗證。今天，沒有集成智能卡讀卡器的移動設備的激增，使PIV憑證和身份驗證複雜化。

派生的個人身份驗證（PIV）憑據，幫助組織對使用移動設備並需要安全訪問信息系統和應用程序的個人進行身份驗證。

該項目展示了一個 基於聯邦PIV標準 的可行的安全平臺，該平臺利用當前有效的PIV憑證的身份驗證和審查結果，在滿足政策準則的同時，通過移動設備實現對信息技術系統的 雙因素認證 。雖然 PIV計劃 和 NCCoE衍生的PIV憑證項目 主要針對聯邦部門的需求 ，但兩者都與商業部門中使用智能卡憑據或其他身份驗證方式的的移動設備用戶相關，並支持在 聯邦（PIV）、非聯邦關鍵基礎設施（PIV互操作或PIV-I）和一般商業（PIV兼容或PIV-C）環境 中的操作。

NCCoE參考設計包括以下功能：

• 使用安全加密認證交換，對移動設備的用戶進行身份驗證

• 提供一個可行的基於聯邦身份的安全平臺

• 使用公鑰基礎設施（PKI）和來自PIV卡的憑據

• 支持在 PIV、PIV互操作（PIV-I）、PIV兼容（PIV-C）環境 中的操作

• 頒發在 認證器保證級別 （ AAL ，authenticator assurance level） 2 的基於PKI的派生PIV憑據

• 提供對數據中心或雲中託管的遠程資源的邏輯訪問

14

基於DNS的安全電子郵件

NCCoE發佈了 NIST網絡安全實踐指南1800-6 （基於域名系統的電子郵件安全）。

在低成本和快速交付的推動下，私營和公共部門的組織繼續依賴電子郵件作爲電子通信的主要方式。 確保這些業務的安全一直不是一個優先事項，這也是電子郵件攻擊增加的原因之一 。

無論目標是驗證電子郵件消息的來源，還是確保消息未被未授權方更改或披露給未授權方，組織都 必須採用某種加密保護機制 。規模經濟和統一安全性實現的需要，促使 大多數企業依賴郵件服務器和/或互聯網服務提供商（ISP）爲企業的所有成員提供安全保障 。 目前許多基於服務器的電子郵件安全機制都容易受到攻擊 ，並且已經被攻擊所擊敗，而 這些攻擊都是對它們所依賴的加密實現的完整性的攻擊 。這些漏洞的後果通常涉及未經授權的各方能夠讀取或修改本應安全的信息，或引入惡意軟件以訪問企業系統或信息。 現有的協議能夠提供所需的電子郵件安全性和隱私性，但由於缺乏易於實現的軟件庫和一些軟件應用程序產生的操作問題等障礙，限制了現有安全和隱私協議的採用。

爲了應對這一網絡安全挑戰，NCCoE安全工程師開發了一個示例解決方案，該方案允許組織提高電子郵件安全性，抵禦基於電子郵件的攻擊，如網絡釣魚和中間人攻擊， 對電子郵件服務性能的影響最小 。本實踐指南使用開放源代碼和商用技術，演示了一個安全平臺，該平臺提供可靠的電子郵件交換和工具，幫助組織在郵件服務器之間加密電子郵件，允許個人電子郵件用戶對電子郵件進行數字簽名和/或加密，允許電子郵件用戶識別有效的電子郵件發送者，發送數字簽名的消息，並驗證接收到的消息的簽名。

15

提高託管服務提供商的網絡安全性

NCCoE發表了指南，幫助 託管服務提供商 （ MSP ，Managed Service Providers）執行、維護和測試 備份文件 ，以減少數據泄露事件（如勒索軟件）的影響。指南提供了實施建議、參考架構，並詳細介紹了MSP應考慮部署的特定技術/能力。

許多中小型企業使用託管服務提供商（MSP）遠程管理其組織的IT基礎設施、網絡安全和相關業務操作。因此， MSP已經成爲網絡犯罪分子的一個有吸引力的目標 。當MSP易受網絡攻擊時，它也會增加MSP所支持的中小型企業的脆弱性。本積木旨在爲MSP提供通過實施關鍵安全控制來提高網絡安全的指南，以減少網絡攻擊的漏洞。

NCCoE提出了一些建議，這些建議將使MSP能夠採用網絡安全技術來提高自身和中小企業客戶的安全性。MSP可以應用或定製這些建議，以滿足他們的網絡安全需求。

備份計劃：數據泄露事件，無論是勒索軟件攻擊、硬件故障，還是意外或故意的數據破壞，都可能對MSP及其客戶造成災難性影響。NCCoE制定的建議幫助MSP執行、維護和測試備份文件，以減少這些數據丟失泄露事件的影響。

16

物聯網設備表徵

NCCoE發佈了 白皮書（物聯網設備的網絡行爲表徵方法論） 草案 。

本白皮書演示瞭如何使用 設備表徵（device characterization）技術 來描述物聯網（IoT）設備的通信需求，以支持 製造商使用說明（MUD，manufacturer usage description）項目 。

確保網絡安全是一項複雜的任務，當物聯網設備連接到網絡時，這項任務變得更加具有挑戰性。本白皮書深入 研究如何從物聯網設備捕獲網絡通信，以分析和生成MUD文件 。製造商和網絡管理員可以使用提議的表徵技術，來描述物聯網設備的通信需求，這可以允許 對這些設備的網絡訪問進行精確管理 。這有助於確保物聯網設備按照設備製造商或所有者的預期運行 。

配套工具：NCCoE創建了一個名爲MUD-PD的配套工具，用於描述物聯網設備的特性，特別是與MUD一起使用。該工具有助於生成MUD文件。

17

移動設備安全：自帶設備（BYOD）

此項目當前處於構建階段。

移動技術的快速發展要求對移動程序進行定期的重新評估，以確保其實現了安全性、隱私性、工作區功能。內置的移動保護可能不足以完全緩解與移動信息系統相關的安全挑戰。可用性、隱私性和法規要求都會影響哪些移動安全技術和安全控制將非常適合滿足組織的移動計劃的需要。

移動設備安全的目標： 自帶設備（BYOD）項目 提供一個示例解決方案，演示組織如何使用基於標準的方法和商用技術，來滿足使用移動設備訪問企業資源的安全需求。

該草案將以 BYOD架構和指南 爲特色，面向負責獲取、實施和維護移動企業技術的高管、安全經理、工程師、管理員和其他人，包括集中設備管理、安全設備/應用程序安全上下文、應用程序審查，以及端點保護系統。

本項目是一系列構建（build）中的第二個，該系列構建將關注企業的移動設備安全。第一次構建的草稿（ 移動設備安全：公司擁有個人啓用（COPE ，Corporate-Owned Personally-Enabled） ）已經出版。

18

移動設備安全：雲和混合構建

NCCoE發佈了NIST網絡安全實踐指南 SP 1800-4（移動設備安全：雲和混合構建） 的最終版本。

爲了提供最新的指南，NCCoE正在開發 兩個新的移動設備安全實踐指南 。

NIST網絡安全實踐指南“移動設備安全：雲和混合構建”演示了商用技術如何滿足組織的需要，幫助保護員工移動設備訪問和/或存儲的敏感企業數據。

在NCCoE實驗室，我們構建了一個基於典型移動設備和企業電子郵件、日曆和聯繫人管理解決方案的環境。此外，我們還演示瞭如何在整個移動設備生命週期中支持安全性，包括：

• 配置設備爲組織信任

• 保持 組織數據 和存儲在移動設備上或從移動設備訪問的 員工個人數據 之間的充分 隔離

• 取消不再具有企業訪問權限的移動設備的資源調配（例如，設備丟失或被盜、員工離職等）。

19

移動設備安全：公司擁有個人啓用

NCCoE最近發佈了 NIST SP 1800-21（移動設備安全：公司擁有個人啓用（COPE）） 的草案。

移動設備安全的目標： 企業擁有個人啓用（COPE）項目 提供一個示例解決方案，演示組織如何使用基於標準的方法和商用技術，來滿足使用移動設備訪問企業資源的安全需求。

此示例解決方案詳細介紹了用於 企業移動管理（EMM）能力的工具 ，包括場內部署、移動威脅防禦（MTD）、移動威脅智能（MTI）、應用程序審覈、安全引導/鏡像認證、虛擬專用網（VPN）服務。

該項目是一系列構建中的第一個，這些構建將關注企業的移動設備安全。第二個構建（移動設備安全：自帶設備（BYOD））正在開發中。

20

移動設備安全：移動威脅目錄

移動設備對企業構成了一系列獨特的威脅。典型的企業保護，例如隔離的企業沙箱和遠程擦除設備的能力，可能無法完全緩解與這些複雜的移動信息系統相關的安全挑戰。必須從更廣泛的角度看待移動生態系統的安全問題，從整體上解決移動安全問題。 這個觀點必須超越設備，以包括例如用於支持移動應用程序和本地移動服務的蜂窩網絡和雲基礎設施 。

移動威脅目錄識別了對移動設備和相關移動基礎設施的威脅，以支持開發和實施移動安全能力、最佳實踐和安全解決方案，以更好地保護企業IT。 威脅分爲幾大類 ，主要集中在 移動應用 程序和軟件、 網絡 棧和相關基礎設施、移動設備和軟件 供應鏈 以及更大的 移動生態 系統。識別出的每種威脅都與解釋性和脆弱性信息（如有可能）以及適用的緩解策略一起編目。

21

準備向5G安全演進

NCCoE最近發佈了最終的 項目描述（5G網絡安全：準備向5G安全演進） 。

隨着基於5G的網絡在世界各地的部署，給人類和機器在物理和虛擬世界中的通信、操作和交互方式帶來了巨大的希望。之所以有這種變化，是因爲5G網絡通過增加基於標準的特性和部署更現代的信息技術，來支持增強的網絡安全保護。

NCCoE正在與行業參與者合作啓動該項目，以展示5G架構的組件如何安全地降低風險，並滿足行業部門對多個5G用例場景的合規性要求。5G標準旨在通過網絡部署選項支持特定於用例的功能。擬議的概念驗證解決方案將整合商業和開源產品，這些產品利用網絡安全標準和推薦做法，展示5G強大的安全功能。

這個項目將產生一個 NIST網絡安全實踐指南 ，它是爲解決這一挑戰而提供的爲實施網絡安全參考設計所需的實際步驟的說明。

22

隱私增強的身份聯合

這個項目正在進入構建階段。

隨着企業將更多的服務轉移到網上，許多企業已經讓客戶可以選擇使用 第三方憑據 來訪問他們的服務。這種做法被稱爲 身份 聯合 ，可以節省企業管理身份的時間和資源，並防止客戶不得不創建和管理新帳戶。例如，您可以使用您的社交媒體帳戶登錄，來訪問您的健身追蹤器帳戶。社交媒體公司可以保證，每次登陸健身追蹤器網站的人都是同一個人。

身份代理通過管理組織和憑證提供者之間的集成，來幫助簡化此過程。 組織只需連接一次身份代理並接受多種類型的憑據，而不是分別管理每個集成 。但是，這個過程給用戶帶來了安全隱患，因爲這些連接可能會爲暴露個人信息或者爲代理跟蹤用戶的在線活動創造機會。

這個 隱私增強身份聯合項目 將研究如何利用市場主導的標準， 將隱私增強技術集成到身份聯合解決方案中 ，以滿足用戶和組織的隱私目標。這個項目是NCCoE和 網絡空間可信身份國家戰略 國家計劃辦公室（ NSTIC NPO ）的聯合項目。

最終，這個項目將產生一個 NIST網絡安全實踐指南 ，它是一個公開的描述實施網絡安全參考設計所需的實際步驟。

23

安全域間路由

NCCoE最近發佈了實踐指南 NIST SP 1800-14（保護Internet路由的完整性：邊界網關協議（BGP）路由源驗證） 的最終版本。

NCCoE認識到需要確保安全可靠的互聯網流量交換，最近完成了本項目系列的第一部分：保護Internet路由的完整性：邊界網關協議（BGP）路由源驗證。該項目使用商業技術來開發一個網絡安全參考設計，該設計可以提高互聯網路由的安全性和功能性。

邊界網關協議（BGP）是Internet採用的默認路由協議。BGP有助於路由信息的交換，確定數據從源到目的地的可行路徑。自治系統和因特網服務提供商使用BGP交換路由信息以實現互連。 當路由信息的交換不準確時（無論是惡意的還是意外的） ，流量要麼通過互聯網以低效的方式傳輸，要麼到達僞裝成合法目的地的惡意站點，要麼永遠無法到達目的地。

該項目演示瞭如何使用 資源公鑰基礎設施 （Resource Public Key Infrastructure）實現BGP路由源驗證，以應對和解決 網絡路由的錯誤交換 。該項目產生了一份NIST網絡安全實踐指南，該指南是對解決方案和實施網絡安全參考設計所需的實際步驟的公開描述，以應對這一挑戰。

24

使用MUD保護家庭物聯網設備

NCCoE發佈了NIST網絡安全實踐指南 SP 1800-15（保護小型企業和家庭物聯網（IoT）設備：使用製造商使用說明（MUD）來緩解基於網絡的攻擊） 的初稿。本實踐指南旨在向物聯網設備開發商和製造商、網絡設備開發商和製造商以及使用支持MUD組件的服務提供商展示，如何集成和使用MUD和其他工具，以滿足物聯網用戶的安全要求。

NCCoE及其合作者編制了本實踐指南，以證明使用互聯網工程任務組（IETF）的 製造商適用說明（MUD）RFC 8520 的的實用性和有效性，以保護家庭和小型企業網絡上的物聯網設備，並防止它們成爲網絡攻擊的受害者和作惡者。 MUD的工作原理是使網絡自動允許每個物聯網設備只發送和接收其按預期執行所需的流量，同時阻止與設備的未經授權的通信 。

用戶可以通過幾種不同的方法實現MUD。本實踐指南介紹了 四種MUD實施方法 ，其中三種是已完成的：

• 構建1（已完成）使用了來自Cisco Systems、DigiCert、Forescout和Molex的產品。

• 構建2（已完成）使用了來自MasterPeace Solutions Ltd.、Global Cyber Alliance（GCA）、ThreatSTOP和DigiCert的產品。

• 構建3（正在進行中）正在使用CableLabs提供的設備，並利用Wi-Fi聯盟的“輕鬆連接”（Easy Connect）規範將車載設備安全地連接到網絡。

• 構建4（已完成）使用了由NIST信息技術實驗室高級網絡技術部和DigiCert技術開發的軟件。

該項目可以幫助不同的利益相關者羣體，包括：

• 依賴互聯網的 組織 可以理解如何使用MUD來保護互聯網的可用性和性能，以抵禦基於網絡的攻擊。

• 物聯網設備製造商瞭解MUD如何保護其設備免受因其設備被利用以支持DDoS或其他基於網絡的攻擊而造成的聲譽損害。

• 服務提供商可以從物聯網設備數量的減少中獲益，這些設備可被惡意行爲體輕易用於參與針對其網絡的DDoS攻擊並降低其客戶的服務質量。

• 物聯網設備用戶能夠深入瞭解支持MUD的產品如何保護其內部網絡免受惡意行爲體的破壞。

25

物聯網傳感器網絡的安全性

隨着新產品和新技術的引入，物聯網（IoT）領域不斷發展壯大。 IoT傳感器網絡，即小型設備的網絡，或檢測、分析、傳輸物理數據的節點 ，是這種持續發展的最好例子。在更便宜、更小的傳感器的發展，以及用戶對更智能和可穿戴設備的渴望的推動下，無線傳感器網絡市場2016年的估值爲5.73億美元，預計到2023年將增至至少12億美元。

物聯網傳感器網絡對於組織監測和響應樓宇環境的物理特性（如溫度、污染和溼度水平以及電氣使用）特別有價值。人們不必在現場，傳感器通過將環境讀數轉換爲可能進行物理調整的電脈衝，來完成所有工作（例如，打開通風口以改變內部溫度）。 物聯網傳感器網絡是連接物理世界和數字世界的管道 。

越來越多的組織使用從他們的物聯網傳感器網絡獲取的數據，來進行決策和過程控制。在許多這樣的用例中，由傳感器網絡報告和監控的數據的準確性、完整性和可用性，對安全性至關重要。然而， 由於物聯網傳感器網絡具有有限的處理能力和有限的安全監控和維護能力，因此檢測和預防攻擊具有挑戰性 。

NCCoE正在提出一個 保護樓宇管理系統物聯網傳感器網絡 的項目。我們的研究結果可能適用於其他行業部門，並作爲未來NCCoE用例列出供考慮。我們將探討物聯網傳感器網絡安全組件的安全性要求。其他考慮因素（如物理安全）的詳細探索雖然重要，但不在本項目的範圍之內。

以下是項目的目標：

• 作爲傳感器網絡、未來物聯網項目或特定傳感器網絡用例的構建塊；

• 建立一個 安全架構 ，通過使用標準和最佳實踐來保護樓宇管理系統傳感器網絡，包括用於將傳感器數據傳輸到後端樓宇控制系統（主機）進行處理的通信信道/網絡；

• 探索網絡安全控制，以提高樓宇管理系統傳感器網絡的可靠性、完整性和可用性；

• 演練/測試樓宇管理系統傳感器網絡的網絡安全控制措施，以驗證其是否緩解了已識別的網絡安全問題/風險，並瞭解將這些控制措施添加到樓宇管理系統傳感器網絡的性能影響。

26

供應鏈保障

NCCoE最近發佈了最終 項目說明（驗證計算設備的完整性） 。

由於網絡供應鏈中的受損會增加風險，組織今天面臨着 識別可信賴產品 的挑戰。 網絡供應鏈風險管理 是實現IT系統現代化的一種不斷發展的方法，因爲信息和操作技術依賴於複雜、全球分佈和相互關聯的供應鏈生態系統，以提供高度精細、經濟高效和可重複使用的解決方案。

在該項目中，NCCoE將生成示例實現，來演示組織如何驗證其購買的計算設備的內部組件是真實的，並且在製造和分發過程中沒有被更改。此外，本項目還將演示如何檢查驗證計算設備中的組件與製造商聲明的屬性和度量值匹配的過程。

該項目將產生一份可公開獲取的 NIST網絡安全實踐指南 ，該指南詳細介紹了實施應對挑戰的網絡安全參考架構模型所需的實際步驟。

27

TLS服務器證書管理

NCCoE發佈了NIST網絡安全實踐指南 SP 1800-16（保護Web事務：傳輸層安全（TLS）服務器證書管理） 的最終版本。

本實踐指南可使管理人員、首席信息安全官、系統管理員或與保護其組織的數據、隱私和總體運營安全有利害關係的任何人受益。

NCCoE認識到 保護web事務和客戶機與服務器之間的其他通信 ，對於組織來說至關重要。本項目使用商用技術來演示依賴傳輸層安全性（TLS）的大中型企業，如何同時 保護面向客戶的應用程序和內部應用程序 ，從而更好地 管理TLS服務器證書 ：

• 定義操作和安全策略；確定角色和職責

• 建立全面的證書庫存和所有權跟蹤

• 持續監控證書的運行和安全狀態

• 自動化證書管理以最大限度地減少人爲錯誤並最大限度地提高效率

• 當發現加密機制薄弱、受到破壞或易受攻擊時，能夠快速遷移到新的證書和密鑰

本指南的A卷和B卷，爲企業提供了可操作的指導，幫助他們建立和實施正式的TLS服務器證書管理計劃。組織可以通過閱讀C捲來推進TLS管理工作，該卷解釋了我們的方法、架構和安全特性。D捲包含如何構建示例解決方案的指南。

儘管TLS中可以選擇使用客戶端證書來執行相互身份驗證，但是 管理客戶端證書不在該項目的範圍之內 。

28

可信雲：VMware混合雲IaaS環境

此項目處於構建階段。

NCCoE認識到需要解決在混合雲架構中使用共享雲服務的安全和隱私挑戰，並啓動了該項目。本項目可爲雲安全技術的商業化開發提供參考。

本項目將展示 可信計算池 （trusted compute pools）的實現和使用，不僅可以保證雲計算中的 工作負載在可信硬件上運行 ，而且可以 改善對工作負載內和工作負載之間流動的數據的保護 。

該項目將產生一份NIST網絡安全實踐指南，該指南是一份公開可用的解決方案描述，以及實施解決該挑戰的網絡安全參考設計所需的實際步驟。

五、網絡安全用例項目

用例解決 特定於行業 的網絡安全挑戰，這些挑戰由行業技術專業人員和企業領導人共同定義。以下是NCCoE有實踐項目的行業。

01

消費/零售業

NCCoE的一個 關鍵優先事項 是與面向消費者的企業合作，優先安排有助於更好地保護公司和客戶信息和資產的項目。這一行業是 美國經濟的支柱 。因其廣度和深度，改善這些企業的網絡安全態勢，將產生巨大影響。

1）項目：電子商務的多因素認證

使用 與web分析和上下文風險計算相關 的多因素身份驗證，降低電子商務交易中的 虛假在線識別和身份驗證欺詐風險 。

NCCoE發佈了 NIST SP 1800-17（電子商務的多因素認證：基於風險的、面向購買者的FIDO通用第二要素實現） 的最終版本。

02

能源行業

作爲國家關鍵基礎設施的一部分，能源組織和公用事業公司都知道他們必須解決網絡安全問題，但許多公司都在爲如何實施更安全的技術而掙扎。 NCCoE能源團隊 開發示例解決方案，幫助能源組織採用先進的安全技術。

1）保護工業物聯網（IIoT）

一種提高分佈式能源系統和配電設施之間信息交換整體安全性的方法。

此項目當前處於構建階段。

2）資產管理

爲了正確評估運營技術網絡中的網絡安全風險，能源公司必須能夠識別其所有資產，尤其是最關鍵的資產。

NCCoE發佈了NIST網絡安全實踐指南 SP 1800-23（能源部門資產管理：適用於電力、石油和天然氣行業） 的最終版本。

3）身份和訪問管理（IdAM）

一種集中的系統，用於驗證個人對信息技術、操作資源和系統的訪問權限，並以高度的確定性控制他們的訪問。

NCCoE發佈了NIST網絡安全實踐指南 SP 1800-2（電力企業的身份和訪問管理（IdAM）） 的最終版本。

4）態勢感知

跨能源公司網絡系統捕獲、傳輸、分析和存儲實時和近實時數據的機制。

NCCoE發佈了NIST網絡安全實踐指南 SP 1800-7（電力企業的態勢感知） 的最終版本。

03

金融服務業

美國金融服務業每天都成爲網絡攻擊的目標。爲了幫助這些企業抵禦對其數字基礎設施和資產的威脅， NCCoE金融服務團隊 與行業領袖合作確定項目，並與技術專業人士合作構建參考設計，以應對重要的網絡安全挑戰。

1）訪問權限管理

通過一個統一的身份和訪問控制系統來獲取信息。

NCCoE發佈了NIST網絡安全實踐指南 SP1800-9（金融服務業的訪問權限管理） 的草案。

2）IT資產管理

使軟件更改和網絡漏洞更容易識別。

NCCoE發佈了NIST網絡安全實踐指南 SP 1800-5（IT資產管理） 的最終版本。

3）特權帳戶管理

對特權帳戶安全實施更強有力的控制，使組織能夠強制執行訪問策略。

NCCoE最近發佈了NIST SP  1800-18（金融服務業的特權賬戶管理） 的草稿。

04

衛生IT部門

病人的健康信息，在黑市上比失竊的信用卡信息更有價值。但要保護一個健康組織，就需要理解提供者的獨特需求，例如技術或工具的可訪問性和可用性。NCCoE健康IT團隊考慮了這些需求，以應對網絡安全挑戰。

1）保障遠程醫療遠程病人監控生態系統

幫助確保醫療機構和患者家庭環境的遠程醫療生態系統安全。

這個項目正在進入構建階段。

2）保護圖像存檔和通信系統

爲確保醫療保健行業組織的PACS生態系統安全提供指導。

NCCoE發佈了NIST網絡安全實踐指南 SP 1800-24（保護圖像存檔和通信系統（PACS）） 的草案。

3）保護無線輸液泵

幫助醫療機構在企業網絡上保護無線輸液泵。

NCCoE發佈了NIST網絡安全實踐指南 SP 1800-8（保護醫療服務機構中的無線輸液泵） 的最終版本。

4）保護移動設備上的電子健康記錄

醫療保健提供商的一個平臺，用於在移動設備之間安全地記錄、維護和交換電子患者信息。

NCCoE發佈了NIST網絡安全實踐指南 SP 1800-1（保護移動設備上的電子健康記錄） 的最終版本。

05

酒店業

美國酒店業爲美國經濟貢獻了大筆財富和稅收。保護酒店業及其大量的金融交易和相關的個人身份信息不受客戶數據的影響，是其持續成功的關鍵。

1）保護物業管理系統

NCCoE提出了一個解決方案，以更好地保護酒店IT系統中的財產管理系統（PMS）及其連接，實現多層次安全，如點到點加密、數據遮蔽、遠程和合作夥伴訪問的多因素身份驗證、網絡和用戶行爲分析、僅限業務使用的限制。

此項目當前處於構建階段。

06

公共安全和急救行業

NCCoE的 公共安全和急救（PSFR）計劃 正在與急救社區合作，以實施基於標準的解決方案，以使公共安全系統具有抵禦攻擊的能力，並確保在急救期間立即訪問關鍵資產。

1）移動應用單點登錄

幫助公共安全和急救人員在緊急情況下通過移動設備和應用程序高效、安全地訪問任務數據。

NCCoE發佈了NIST網絡安全實踐指南 SP1800-13（移動應用單點登錄：改進公共安全急救者的身份驗證） 的第二稿。

07

製造業

製造業相當廣泛，包括汽車、紡織、電子和製藥公司。這些組織通常使用依賴網絡基礎設施的電動機器或物料處理設備。隨着這些機器通過互聯網的連接越來越緊密，網絡攻擊的新機會就出現了。

1）在工業控制系統環境中保護信息和系統完整性

利用行爲異常檢測和安全事件和事件監視等功能保護工業控制系統。

這個項目正在進入構建階段。

2）保護製造工業控制系統：行爲異常檢測

實施行爲異常檢測，以幫助確保製造工業控制系統的安全。

NCCoE發佈了 NISTIR 8219（保護製造工業控制系統：行爲異常檢測） 的最終版。

08

交通運輸業

運輸原材料、貨物和資源的能力對美國經濟至關重要，這一領域日益增長的數字化提高了效率，但也帶來了新的網絡安全風險。

1）海運：石油和天然氣

在NCCoE的幫助下，美國海岸警衛隊（USCG）與工業界合作，開發了 自願網絡安全框架概要（CFP） ，以緩解其聯合任務區的風險。

文章來源：網絡安全觀