|
E安全8月20日讯 美国国家标准与技术研究所(简称NIST)决定将“联邦”一词从其网络安全与隐私控制法规目录当中去除,而此项举措正是经历了长期拖延之后,最终于本周提出的一系列整改建议之一 "络安全与隐私控制法规"最新修订 NIST研究员罗恩·罗斯解释称,这是因为“目前包括美国联邦、各州以及地方政府与私营部门在内的各个方面都在使用同样的技术方案,而且也面临着同样的网络威胁。” 经过长达半年的漫长过程,NIST的研究人员们意识到这份控制目录除了对于美国联邦政府机构等传统“客户群体”极具意义以外,其它各方也可能同样从中获得重要的启发与指引。 因此,他们决定将这份名为《联邦信息系统与各组织安全与隐私控制》的目录(简称NIST SP-800-53)变更为《信息系统与各组织安全与隐私控制》,即删去“联邦”这一表述。 SP 800-53的上一次修订发生在2015年,不过最后一次完整重写则在2013年。 作为这份新草案的主要作者之一的罗斯在外媒采访当中表示,“目前还有其它一些对此抱有兴趣的社区可以自主利用本目录中提供的控制手段,并借此获得助益。我们希望新草案能够受到各行业以及学术界内新受众的青睐”,甚至可以超越美国边界,因为这类资料“在全球范围内拥有大量受众群体。” 整合隐私控制罗斯同时指出,新目录还对所有变更进行了标记,其中包括将隐私控制整合至目录当中,这使其拥有了“独一无二”的比较优势。“没有任何其它文件能够如此全面地将网络安全与隐私”整合至同一份指南当中。 罗斯认为,这一点在物联网技术蓬勃发展的背景之下显得尤为重要。如果大家正在设计物联网设备或者智能家居,意味着其将把所有计算能力推向边缘网络。从传统角度讲,边缘位置的安全性、保密性、完整性以及可访问性一直受到高度关注,而如今物联网与智能家居设备中驻留的个人数据同样需要隐私保护,二者可以相互加强。 个人身份信息(简称PII),包括社保号码或者出生日期,这将在网络安全控制机制的保护下变得更加安全。然而,在使用PII时需要提出一些不同于其它类型数据的安全保障问题,例如:
新的目录当中甚至包含联合控制相关内容,即同时保护隐私性与安全性。 罗斯指出,“将隐私性与安全性作为独立议题分别看待的时代早已经过去。我们将把网络安全工程师与隐私工程师两大社区并作一处。” 不过他同时补充称,在美国联邦政府内部,隐私性与网络安全拥有着不同的立法基础,“将在一定程度上有所区别。” 附:NIST 800-53特刊(第5版)主要修订内容NIST 800-53特刊(第5版)的更新代表着一种迫切需求,即有必要利用积极且系统性方案为各类公共及私营部门开发及建立一套综合性多计算平台防御措施集合,具体包括通用型计算系统、网络物理系统、云与移动系统、工业/流程控制系统以及物联网设备等等。这些防御措施中将包含一系列安全性与隐私性控制机制,旨在保护各组织机构、私营部门乃至个人所拥有的关键性与基础性运营资产。其最终目标在于提升我们高度依赖的信息系统的攻击应对弹性; 在攻击出现时有效控制其危害水平; 同时实现系统弹性与承受能力。 本份NIST报告第5版经过一年努力修订完成,旨在囊括完成上述目标所必需的下一代安全性与隐私性控制因素。其中包括面向各类组织机构的必要控制机制变更指导,例如企业任务实现与业务运营; 工程技术部门开发系统与其下各子系统; 以及各行业合作伙伴构建之系统组件、产品与服务。第5版中的主要修订内容包括:
NIST预计将于2017年10月生产本出版物的最终草案,并在2017年12月29日之前发布最终版本。
|
|
|
