美国网络安全：NIST网络安全实践指南系列

全文约 1.9万 字  阅读约 50 分钟

NIST （美国国家标准与技术研究所）在安全行业几乎是无人不知吧。作为NIST的一部分， NCCoE 的名气虽然没有那么大，但其名称“ 国家网络安全卓越中心 ”也是够 大气。

在笔者心目中，NIST是典型的 标准派 ，而NCCoE则是典型的 实践派 。 作为 美国联邦 的 标准制定 机构，还同步开展 实践项目 ，这种 标准与实践相结合 的 方式 值得我们学习 。

NIST 在安全领域以几个系列的出版物而著称： FI P S （联邦信息处理标准 ） 系列； SP 800 （计算机/信息安全） 系 列 ； SP 1800 （网络安全实践指南） 系 列 ； SP 500 （计算机系统技术） 系列； NISTIR （ NIST机构间或内部报告）等 。本文要介绍的正是 其中的 SP 1800 （网络安全实践指南） 系 列，该系列正是 NCCoE 的作品 。

NCCoE以 实践 项目著称 ，而且每一个 实践项目 都计划产生一份可免费公开获取的 NIST网络安全实践指南 （NIST Cybersecurity Practice Guide），即SP 1800系列指南 。这些 实践指南 正是笔者的关切所在。

NCCoE的 实践项目包含两种类型：一是 积木 （Building Blocks）；二是 用例 （Use Cases）。积木是技术领域，用例是行业领域。 两者分别包含了十几个具体项目。

在本文中，笔者只是简单罗列这些实践项目的摘要内容，展示一下概貌。对于更详细具体的内容，可能会有选择性地在后期进行介绍。敬请关注。

关键词： NCCoE（国家网络安全卓越中心，National Cybersecurity Center of Excellence）、NIST（国家标准与技术研究所）、NISTIR（NIST机构间或内部报告） 、ZTA（零信任架构）

本文目录

一、 NCCoE 背景

二、NIST 实践指南列表

三、网络安全 积木列表

四、网络安全 积木 项目

1）零信任架构（ZTA）

2）基于属性的访问控制（ABAC）

3）人工智能：对手机器学习（AML）

4）消费者家庭物联网产品安全

5）IT基础架构持续监控

6）关键网络安全卫生：修复企业

7）密码灵活性：后量子密码学

8）数据保密性：数据泄露的检测、响应、恢复

9）数据保密性：识别和保护资产和数据，以防止数据泄露

10）数据完整性：检测和响应

11）数据完整性：识别和保护

12）数据完整性：恢复

13）派生的PIV凭据

14）基于DNS的安全电子邮件

15）提高托管服务提供商的网络安全性

16）物联网设备表征

17）移动设备安全：自带设备（BYOD）

18）移动设备安全：云和混合构建

19）移动设备安全：公司拥有个人启用

20）移动设备安全：移动威胁目录

21）准备向5G安全演进

22）隐私增强的身份联合

23）安全域间路由

24）使用MUD保护家庭物联网设备

25）物联网传感器网络的安全性

26）供应链保障

27）TLS服务器证书管理

28）可信云：VMware混合云IaaS环境

五、网络安全 用例 项目

1） 消费/零售业

2）能源行业

3）金融服务业

4）卫生IT部门

5）酒店业

6）公共安全和急救行业

7）制造业

8）交通运输业

一、NCCoE背景

国家网络安全卓越中心（NCCoE）是NIST的一部分，成立于2012年。NCCoE是一个 协作中心 ，行业组织、政府机构、学术机构 在此 共同应对企业最紧迫的网络安全挑战 。通过 政府机构与私营机构的合作 ，为特定行业和广泛的跨部门技术挑战，创建实用的网络安全解决方案。

作为“ 国家网络安全 卓越中心 ”， NCCoE发起了“ 国家网络安全 卓越伙伴 ”（NCEP）计划，与多家美国公司联手。这些合作伙伴承诺为合作项目提供硬件、软件、研究人员和专业知识，为 NCCoE的测试环境提供设备和产品， 以推动安全技术的迅速采用。

NCCoE应用 标准和最佳实践 ，使用 商用技术 ，开发了模块化、适应性强的 网络安全解决方案示例 。

NCCoE的每个项目，都会产生一个免费的 NIST网络安全实践指南（SP 1800 系列 ） 。NCCoE在 NIST SP 1800系列中记录了这些示例解决方案 ， SP 1800系列 将 能力映射到NIST网络安全框架（CSF） ，并详细说明了 其他实体重现示例解决方案所需的步骤 。

笔者总结了一下NCCoE这家机构的特点：

• 应对紧迫问题：咨询IT安全专家和其他领导，以识别 最紧迫 的网络安全问题和挑战；

• 加速技术采用：加速企业 采用 基于 标准 的先进安全技术，加快安全技术创新步伐；

• 采用商业产品 ： 采用 基于标准的 商用产品 ，作为实验室示例解决方案中的模块；

• 提供实用方案：为企业提供 低成本、可重复、可扩展 的网络安全实用解决方案，以保护其数据和数字基础设施；

• 映射安全能力：将安全解决方案映射到NIST和行业标准及最佳实践中，特别是 将 能力映射到NIST网络安全框架（CSF） ；

• 构建安全积木：以项目方式，形成 模块化 的解决方案，作为 安全积木 ；

• 推出实践指南：推出 NIST网络安全实践指南（SP 1800 系列 ） ，详细说明重现示例解决方案的步骤。

简言之，NCCoE致力于利用商用技术，以实用、基于标准的解决方案，解决企业最紧迫的网络安全问题。

二、NIST实践指南列表

下表给出了NIST网络安全实践指南（SP-1800）系列目前已经发布的指南（倒序排列）：

表1-NIST网络安全实践指南（SP-1800系列 ）

SP编号	标题	状态	发布日期
1800-26	Data  Integrity: Detecting and Responding to Ransomware and Other Destructive  Events （检测和响应勒索软件和其他破坏性事件）	草案	1/27/2020
1800-25	Data  Integrity: Identifying and Protecting Assets Against Ransomware and Other  Destructive Events （识别和保护资产以防范勒索软件和其他破坏性事件）	草案	1/27/2020
1800-24	Securing  Picture Archiving and Communication System (PACS) （保护图像存档和通信系统（ PACS ））	草案	9/16/2019
1800-23	Energy Sector  Asset Management: For Electric Utilities, Oil & Gas Industry （能源部门资产管理：适用于电力、石油和天然气行业）	终版	5/20/2020
1800-21	Mobile Device  Security: Corporate-Owned Personally-Enabled (COPE) （移动设备安全：公司拥有个人启用（ COPE ））	草案	7/22/2019
1800-19	Trusted Cloud:  Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service  (IaaS) Environments （可信云： VMware 混合云 IaaS 环境的安全实践指南）	草案	4/13/2020
1800-18	Privileged  Account Management for the Financial Services Sector （金融服务业的特权账户管理）	草案	9/28/2018
1800-17	Multifactor  Authentication for E-Commerce: Risk-Based, FIDO Universal Second Factor  Implementations for Purchasers （电子商务的多因素认证：基于风险的、面向购买者的 FIDO 通用第二要素实现）	终版	7/30/2019
1800-16	Securing Web  Transactions: TLS Server Certificate Management （保护 Web 事务：传输层安全（ TLS ）服务器证书管理）	终版	6/16/2020
1800-15	Securing Small  Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based  Attacks Using Manufacturer Usage Description (MUD) （保护小型企业和家庭物联网（ IoT ）设备：使用制造商使用说明（ MUD ）来缓解基于网络的攻击）	草案	11/21/2019
1800-14	Protecting the  Integrity of Internet Routing: Border Gateway Protocol (BGP) Route Origin  Validation （保护 Internet 路由的完整性：边界网关协议（ BGP ）路由源验证）	终版	6/28/2019
1800-13	Mobile  Application Single Sign-On: Improving Authentication for Public Safety First  Responders (2nd Draft) （移动应用单点登录：改进公共安全急救者的身份验证（第二稿））	草案	5/29/2019
1800-12	Derived  Personal Identity Verification (PIV) Credentials （派生的个人身份验证（ PIV ）凭据）	终版	8/27/2019
1800-11	Data  Integrity: Recovering from Ransomware and Other Destructive Events （数据完整性：从勒索软件和其他破坏性事件中恢复）	草案	9/06/2017
1800-9	Access Rights  Management for the Financial Services Sector （金融服务业的访问权限管理）	草案	8/31/2017
1800-8	Securing  Wireless Infusion Pumps in Healthcare Delivery Organizations （保护医疗服务机构中的无线输液泵）	终版	8/17/2018
1800-7	Situational  Awareness for Electric Utilities （电力企业的态势感知）	终版	8/07/2019
1800-6	Domain Name  System-Based Electronic Mail Security （基于域名系统的电子邮件安全）	终版	1/19/2018
1800-5	IT Asset  Management （ IT 资产管理）	终版	9/07/2018
1800-4	Mobile Device  Security: Cloud and Hybrid Builds （移动设备安全：云和混合构建）	终版	2/21/2019
1800-3	Attribute  Based Access Control (2nd Draft) （基于属性的访问控制（第二版草案））	草案	9/20/2017
1800-2	Identity and  Access Management for Electric Utilities （电力企业的身份和访问管理（ IdAM ））	终版	7/13/2018
1800-1	Securing  Electronic Health Records on Mobile Devices （保护移动设备上的电子健康记录）	终版	7/27/2018

注：NIST SP 1800指南系列包含两种类型：一是积木（Building Blocks）；二是用例（Use Cases）。积木是技术领域，用例是行业领域。但从指南的编号顺序上看，并没有刻意区分，而是混在一起的。在本文的后文，将会区分出来。

三、网络安全积木列表

积木（Building Blocks）解决了影响多个部门的广泛技术差距。这些项目依赖于不同行业的成员的洞察力和激情，他们有着共同的目标，即满足特定的网络安全需求。

NCCoE的网络安全 积木项目 包括以下28项：

1. 零信任架构（ZTA）

2. 基于属性的访问控制（ABAC）（ SP ）

3. 人工智能：对手机器学习

4. 消费者家庭物联网产品安全

5. IT基础架构持续监控

6. 关键网络安全卫生：修复企业

7. 密码灵活性：后量子密码学

8. 数据机密性：数据泄露的检测、响应、恢复

9. 数据机密性：识别和保护资产和数据，以防止数据泄露

10. 数据完整性：检测和响应（ SP ）

11. 数据完整性：识别和保护（ SP ）

12. 数据完整性：恢复（ SP ）

13. 派生的PIV凭据（ SP ）

14. 基于DNS的安全电子邮件（ SP ）

15. 提高托管服务提供商的网络安全性

16. 物联网设备表征

17. 移动设备安全：自带设备（BYOD）

18. 移动设备安全：云和混合构建（ SP ）

19. 移动设备安全：公司拥有个人启用（ SP ）

20. 移动设备安全：移动威胁目录

21. 准备向5G安全演进

22. 隐私增强的身份联合

23. 安全域间路由（ SP ）

24. 使用MUD保护家庭物联网设备（ SP ）

25. 物联网传感器网络的安全性

26. 供应链保障

27. TLS服务器证书管理（ SP ）

28. 可信云：VMware混合云IaaS环境

注：上述列表中标题尾部带有 （SP） 的项目，表示 已经发布了NIST网络安全实践指南 ，即SP 1800系列，也出现在前文的 表1（ NIST网络安全实践指南 ）中。而其它的项目，还处于构建中， 尚未发布SP 1800指南。

笔者试着对上述积木进行了归类，如下图所示，仅供参考：

图2-网络安全积木项目分类

四、网络安全积木项目

01

零信任架构

近几年来，美国民间零信任技术的快速发展，促使美国联邦政府（包括国防部门）加快对零信任架构（ZTA）的研究和推进过程。 2018年，联邦首席信息官（CIO）委员会 与NIST NCCoE接洽，希望其帮助 联邦机构 围绕ZTA的定义达成一致，并了解零信任架构的好处和局限性。

美国官方发布 的权威零信任参考资料（以下均可 单击链接至 译文 ） ：

• 2019年4月 ：ACT-IAC（美国技术委员会-行业咨询委员会）发布 《零信任网络安全当前趋势》 ；

• 2019年7月：DIB（ 国防创新委员会 ）发布 《零信任之路》 ；

• 2019年9月 ：NIST（美国国家标准与技术研究院） 发布NIST SP 800-207 《零信任架构 （ 草案 ） 》 ；

• 2019年10月： DIB（ 国防创新委员会 ） 发布 《零信任架构（ZTA）建议》；

• 2020年2月 ：NIST 发布NIST SP 800-207《零信任架构（第2版草案）》，其主要变化可参见 《零信任架构（第2版草案）主要变化》 ；

• 2020年3月： NIST  NCCoE 发布 《实现零信任架构（草案）》 项目说明书。

NCCoE计划开展的 《实现零信任架构》 项目， 旨在瞄准零信任架构的落地实践，希望实现 安全性与用户体验的兼得 。

NCCoE项目将基于 NIST SP 800-207《零信任架构》 标准， 产生一个 零信任架构的示例实现 。该项目将在实验室环境中，构建一个模块化、端到端的 零信任架构 示例 ， 演示一种拟议的网络拓扑结构 ，以解决一系列与NIST CSF（网络安全框架）一致的网络安全挑战，使得分布在场内和云环境中的不同企业资源（如数据源、计算服务、物联网设备）可以发挥作用并继承零信任安全特性。该项目的另一个主要目标是：识别并尽可能减少由于采用ZTA策略而对 用户体验 造成的负面影响。因为一个成功的ZTA解决方案，应该尽可能少地给用户体验带来不愉快。

NCCoE项目计划实现以下主要场景：

• 场景1：员工访问公司资源；

• 场景2：员工访问互联网资源；

• 场景3：承包商访问公司和互联网资源；

• 场景4：企业内的服务器间通信；

• 场景5：与业务伙伴的跨企业协作；

• 场景6：利用公司资源建立信心水平。

NCCoE项目拟采用的零信任 组件架构 ，如下图所示：

图3-ZTA（零信任架构）高层级架构

NCCoE项目的组件清单包括：

• 核心组件：策略引擎、策略管理器、策略执行点；

• 支撑组件：CDM系统、行业合规系统、威胁情报、网络和访问日志记录系统、数据访问策略、PKI系统、身份管理系统、SIEM系统；

• 设备和网络基础设施组件：设备、网络基础设施组件；

关于 NCCoE项目 更加详细的内容，请参见 《实现零信任架构（草案）》 项目说明书。

另一个非常重要的预期成果是，该项目计划产生一份可公开获取的 NIST网络安全实践指南 。它将是一份详细的实施指南，说明实施零信任架构所需的实际步骤。

02

基于属性的访问控制（ABAC）

目前大多数企业使用基于角色的访问控制（RBAC），来根据工作职务或角色分配对网络和系统的访问。但是，如果员工改变角色或离开公司，管理员必须相应地在多个系统中手动改变访问权限。随着组织的扩张和收缩、与外部实体的合作、系统的现代化，这种管理用户访问的方法变得越来越困难和低效。

为了帮助应对日益增长的网络安全挑战并支持 下一代身份管理 ，NCCoE（国家网络安全卓越中心）的安全工程师，为基于属性的访问控制（ABAC）系统开发了一个 参考设计 。ABAC是一种高级方法，用于管理连接到网络和资产的人员和系统的访问权限，提供了更高的效率、灵活性、可扩展、安全性。

示例解决方案使用商用技术，来演示基于标准的ABAC平台，在该平台中，根据用户的属性（例如证书、原始IP地址、组、部门、在职状态）授予对组织网络或资产的访问权限。然后，根据整个组织或组织之间的系统可用的信息、关于一个人、她要执行的操作和她想要访问的资源的信息，来做出访问决策。ABAC基于个体属性为每个用户的访问请求启用恰当的权限和限制，并允许来自单一平台的多个系统管理这些权限，从而减少管理负担。

企业可以使用部分或全部指南，以使用标准和行业最佳实践来实现ABAC系统。像我们使用的那些基于标准的商业产品，很容易获得，并且可以与常用的信息技术基础设施和投资进行互操作。

03

人工智能：对手机器学习（AML）

NCCoE已经发布了 NISTIR 8269（对手机器学习的分类与术语）草案 。目前正在 审核 针对该草案提交的意见。

机器学习（ML）是人工智能（AI）的一个领域，它专注于计算机无需人工编程就能自行学习的能力。当这些系统被误导或被恶意输入时， 对手 机器学习（AML，Adversarial Machine Learning） 可能会被使用。AML由恶意行为体执行，以 破坏机器学习（ML）能力 ；而ML安全则侧重于了解这些攻击后果，以缓解恶意行为体的影响。

NISTIR 8269的开发是为了保护人工智能的应用，特别是AML，并以概念和术语的分类为特色。通过建立共同语言和对快速发展的AML前景的理解，该NISTIR可以为评估和管理ML安全性的未来标准和最佳实践提供信息。

04

消费者家庭物联网产品安全

消费者使用物联网设备简化任务，提供更大便利，并提高个人生产力。例如，一个智能门锁可以使房主允许维修人员进入家中，而不需要房主亲自在场。

由于许多IoT设备可通过互联网访问，恶意行为体可以利用漏洞来访问IoT设备。Mirai，一种分布式拒绝服务攻击，是利用物联网设备的最大网络安全事件之一。

消费者家庭物联网设备，如连接的安全摄像头和智能电视，可以收集一系列关于房主和其他用户的数据，方便地定制和个性化家庭和用户体验。不幸的是， 如果被未经授权的个人截获 ，这些信息可能会暴露或用于犯罪或破坏性活动。

NIST NISTIR 8267-消费者家庭物联网产品安全审查，是该项目的第一份报告，展示了一项研究的结果，该研究旨在研究几种消费者家庭物联网设备上可用的网络安全功能的 可观察 方面。审查的消费者家庭物联网设备类型包括：智能灯泡、安全灯、安全摄像头、门铃、插头、恒温器和电视。技术审查的目的是更好地了解消费者家庭物联网设备的 内置网络安全特性 ，并为改善消费者家庭物联网设备的网络安全提供一般考虑。观察和分析以NIST目前围绕网络安全的特性和实施的良好实践而开展的工作为指导，包括但不限于最近的草案 NISTIR 8259-安全物联网设备核心网络安全特性基线 ：物联网设备制造商的起点 。 NISTIR 8267是基础工作 ， NCCoE计划发布后续项目和文件 ，为消费者家庭物联网设备提供详细的网络安全考虑。

05

IT基础架构持续监控

NCCoE正在提议一个项目，探索持续监控能力，以有效、高效、自动地检测恶意行为体（无论是授权用户还是外部行为体），当其试图在组织的IT基础设施中执行可能会对组织造成财务、声誉、运营方面影响的行动时。

许多组织通过手动检查或计算机辅助审核，来监视业务IT基础设施，从而在事后发现恶意用户访问事件。

本项目将描述如何通过从IT基础设施收集适当的日志数据来解决这个问题。此外，还可以利用适当的信息自动分析和报告能力，对检测到的信息进行自动分析和记录，从而使人员能够采取措施来解决被检测到到问题。该项目 将产生一份免费的NIST网络安全实践指南 ，其中包括参考架构、完整实施的示例解决方案、实施解决方案所需实际步骤的详细指南。

06

关键网络安全卫生：修复企业

此项目当前处于 构建阶段（build phase） 。

许多数据泄露、恶意软件感染和其他安全事件都有一些 根本原因 。 实施一些相对简单的安全卫生实践，可以解决这些根本原因 ——阻止许多事件发生，并降低仍然发生的事件的潜在影响。换言之，安全卫生实践使攻击者更难成功并减少其可能造成的损害。

不幸的是， 安全卫生说起来容易做起来难 。几十年来，IT专家都知道，修复软件——操作系统和应用程序——可以消除漏洞。尽管人们普遍认为补丁是有效的，但它也是 资源敏感 的。打补丁本身会 降低系统和服务的可用性 。然而， 延迟补丁 部署 又给了攻击者更大的机会。

该项目将研究商业和开源 工具 如何帮助解决通用IT系统最具挑战的方面。我们正在使用商业和开源工具来帮助解决最具挑战性的方面，包括系统特性和优先级 排序 、补丁测试、补丁实施的跟踪和验证。我们将包括为整个补丁生命周期制定政策和流程的可操作、规范性指南，包括定义所有受影响人员的角色和责任，并制定包含针对破坏性恶意软件爆发的缓解措施的行动手册。

该项目将产生一份公开可用的 NIST网络安全实践指南 ，该指南描述了实施应对上述挑战的网络安全参考设计所需的实际步骤。

07

密码灵活性：后量子密码学

NCCoE正在着手开发实践，以简化从现有公钥密码算法到 抗量子计算机攻击的替代算法 的迁移过程。这项工作是对 “NIST后量子密码（PQC）标准化”行动 的补充。

挑战是什么？新的密码弱点的发现或密码分析技术的进步，常常导致需要替换旧的密码算法。量子计算技术的出现将危及现有的许多密码算法，特别是广泛用于保护数字信息的公钥密码。 算法替换非常具有破坏性，通常需要几十年才能完成 。算法替换通常需要：

• 识别遗留算法的存在；

• 了解加密库的数据格式和API，以支持必要的更改和替换；

• 开发实施验证工具；

• 发现实现或加速算法性能的硬件；

• 确定使用该算法的操作系统和应用程序代码；

• 识别所有使用脆弱协议的通信设备；

• 更新开发人员、实现者、用户的过程和流程。

为何重要？政府和工业界都在使用加密技术来保护静止或传输中信息的保密性和完整性。密码算法是这些加密技术的基础。随着量子计算技术的进步，公钥密码算法可能会受到破坏，不再提供设计者所期望的安全保护。这些算法已经在全球部署的计算机、移动设备、存储器和网络组件中实现。而大多数的密码学完整性和密钥建立协议都使用公钥加密。不幸的是， 一旦实用化的量子计算对网络对手是可用的，那么 基于一种称为Shor算法的攻击，将使目前广泛使用的所有公钥密码算法失效 。

对组织意味着什么？ 目前还不确定能否使用实际的量子计算机 。然而，一旦量子计算技术实用化，则信息的机密性和完整性将无法得到保证。因此，现在就应该计划更换使用公钥算法的硬件、软件、服务，以保护信息免受未来攻击。关于 后量子密码 标准和实施指南的工作，正在顺利进行。然而，经验表明， 如果已经提前启动重要的实施规划，那么 在发布抗量子密钥加密标准之后，至少需要5至15年甚至更长的时间来实施这些标准，以取代目前使用的大多数易受攻击的公钥系统 。因此，组织现在就可以而且也应该计划和准备这种转变，以便准备好在标准化过程结束时可以及早采用和实施新算法。

NIST如何应对？如NIST 2016年4月发布的 NISTIR 8105（后量子密码学研究报告） 所示，抗量子公钥密码标准的研发工作正在进行中，算法选择过程也在紧锣密鼓地进行中，算法选择预计在未来1至2年内完成(https://csrc.nist.gov/projects/post-quantum-cryptography )。为了配合正在进行的工作，NCCoE正在发起一项运动，让人们认识到迁移到后量子算法所涉及的问题，并开发白皮书、剧本、概念验证（POC）实现。NIST制定了一份 网络安全白皮书（为后量子密码术做准备） 。此外，NCCoE正在组建一个加密应用程序社区，以制定一个 迁移行动手册 ，该手册将解决前面描述的挑战，并提供建议的实践，为顺利的密码迁移做准备。最后，这些活动和未来研讨会的结果将推动NCCoE与社区合作开发实用的、可演示的实现。

08

数据保密性：数据泄露的检测、响应、恢复

此项目当前处于 构建阶段 。

NCCoE正在提议一个项目，来提供指导和参考架构，以帮助组织从数据保密性的威胁中检测、响应、恢复信息。

组织的数据是其最有价值的资产之一，必须加以保护，防止未经授权的访问和披露。由于运营和财务数据以及员工或客户的个人身份信息可能遭受损害，大数据和小数据的泄露都会影响组织的生存能力。这可能会破坏组织的工作和成功，并导致严重的声誉损害。

该 项目的目标是提供一个实用的解决方案，来检测、响应 影响数据保密性的事件并 从中恢复 。该项目还将提供与 “识别和保护资产和数据以防数据泄露”项目 并行的 数据保密性指南 。NCCoE选择在 两个并行项目 中解决数据保密性问题，以提供模块化的、适应性强的指南，而不是一个全有或全无的方法。此外，两个项目允许多个场景来防止和应对数据泄露或其他数据保密性损失事件。

该项目将产生一个公开的 NIST网络安全实践指南 ，它是一个为应对上述挑战而实施网络安全参考设计所需实际步骤的详细实施指南。

09

数据保密性：识别和保护资产和数据，以防止数据泄露

此项目当前处于 构建 阶段 。

NCCoE正在提议一个项目，以提供指导和参考架构，以帮助一个组织识别和保护信息免受数据保密性的威胁。

该项目的目标是提供一个实用的解决方案，来识别和保护企业数据的保密性。该项目还将提供与 “ 数据泄露的检测、响应、恢复 ”项目并行的 数据保密性指南 。NCCoE选择在两个并行项目中解决数据保密性问题，以提供模块化的、适应性强的指南，而不是一个全有或全无的方法。

该项目将产生一个公开的 NIST网络安全实践指南 ，它是一个为应对上述挑战而实施网络安全参考设计所需实际步骤的详细实施指南。

10

数据完整性：检测和响应

NCCoE近期发布了 网络安全实践指南 NIST SP 1800-26（检测和响应勒索软件和其他破坏性事件） 草案 。本实践指南可使管理人员、首席信息安全官、系统管理员或与保护其组织的数据、隐私和总体操作安全有利害关系的人员受益。

NCCoE提出了一个项目，可以帮助组织检测和响应跨多个行业的数据完整性事件。该项目包括开发一个参考设计，并使用商业技术来开发一个示例解决方案，以帮助不同的组织实施更强大的安全控制。

勒索软件、破坏性恶意软件、内部威胁，甚至诚实的误操作，都会对组织的基础设施构成持续的威胁。一旦发生攻击，数据库记录和结构、系统文件、配置、用户文件、应用程序代码和客户数据都将面临风险。

不实施检测和响应解决方案的组织，会使自己面临许多类型的数据完整性攻击的风险。这些风险可以通过以下能力降低：

• 完整性监控

• 事件检测

• 漏洞管理

• 报告能力

• 缓解和遏制

这个项目的 重点是可以检测、缓解和抑制企业网络组件中的数据完整性事件的详细方法和潜在工具集 。它还确定了帮助安全团队应对此类事件的工具和策略。该项目的范围回答了与检测和响应数据完整性事件有关的特定问题。

11

数据完整性：识别和保护

NCCoE近期发布了 网络安全实践指南 NIST SP 1800-25（识别和保护资产以防范勒索软件和其他破坏性事件） 草案 。本实践指南可使管理人员、首席信息安全官、系统管理员或与保护其组织的数据、隐私和总体操作安全有利害关系的人员受益。

NCCoE提出了一个项目，该项目可以帮助组织识别并保护其资产免受跨多个行业的数据完整性攻击。该项目包括开发一个参考设计，并使用商业技术来开发一个示例解决方案，以帮助不同的组织实施更强大的安全控制。

不实施识别和保护解决方案的组织，会使自己面临许多类型的数据完整性攻击的风险。这些风险可以通过以下能力降低：

• 安全存储

• 数据库、虚拟机和文件系统的备份能力

• 日志收集

• 资产清点

• 文件完整性检查机制

本项目的重点是有效识别可能成为数据完整性攻击目标的资产的方法。它还探讨了通过使用审计日志、漏洞管理、维护和其他潜在解决方案来保护这些资产免受数据完整性攻击的方法。

12

数据完整性：恢复

NCCoE最近发布了 NIST网络安全实践指南 SP 1800-11（数据完整性：从勒索软件和其他破坏性事件中恢复） 的草案。

破坏性恶意软件、勒索软件、恶意内部活动，甚至是诚实的误操作的不断威胁，使得组织必须能够从更改或破坏数据的事件中快速恢复。企业必须确信恢复的数据是准确和安全的。NCCoE与企业界成员和网络安全解决方案供应商合作，创建了一个解决这些复杂数据完整性挑战的示例解决方案。

多个系统需要协同工作，以阻止、检测、通知损坏数据的事件并从中恢复。本项目探索有效恢复操作系统、数据库、用户文件、应用程序和软件/系统配置的方法。它还探讨了审计和报告问题（用户活动监视、文件系统监视、数据库监视和快速恢复解决方案），以支持恢复和调查。为了解决与数据完整性相关的实际业务挑战，示例解决方案由开源组件和商用组件组成。

此积木工作的目标是帮助组织自信地识别：

• 更改的数据，以及更改的日期和时间

• 更改数据者的身份

• 与数据更改一致的其他事件

• 数据更改的任何影响

• 用于数据恢复的正确备份版本（没有损坏的数据）

13

派生的PIV凭据

NCCoE发布了 NIST网络安全实践指南SP 1800-12（派生的个人身份验证（PIV）凭据） 的最终版本。

2005年，个人身份验证（PIV）认证的重点，是通过台式机和笔记本电脑等传统计算设备进行身份验证，PIV卡将通过集成智能卡读卡器提供通用身份验证。今天，没有集成智能卡读卡器的移动设备的激增，使PIV凭证和身份验证复杂化。

派生的个人身份验证（PIV）凭据，帮助组织对使用移动设备并需要安全访问信息系统和应用程序的个人进行身份验证。

该项目展示了一个 基于联邦PIV标准 的可行的安全平台，该平台利用当前有效的PIV凭证的身份验证和审查结果，在满足政策准则的同时，通过移动设备实现对信息技术系统的 双因素认证 。虽然 PIV计划 和 NCCoE衍生的PIV凭证项目 主要针对联邦部门的需求 ，但两者都与商业部门中使用智能卡凭据或其他身份验证方式的的移动设备用户相关，并支持在 联邦（PIV）、非联邦关键基础设施（PIV互操作或PIV-I）和一般商业（PIV兼容或PIV-C）环境 中的操作。

NCCoE参考设计包括以下功能：

• 使用安全加密认证交换，对移动设备的用户进行身份验证

• 提供一个可行的基于联邦身份的安全平台

• 使用公钥基础设施（PKI）和来自PIV卡的凭据

• 支持在 PIV、PIV互操作（PIV-I）、PIV兼容（PIV-C）环境 中的操作

• 颁发在 认证器保证级别 （ AAL ，authenticator assurance level） 2 的基于PKI的派生PIV凭据

• 提供对数据中心或云中托管的远程资源的逻辑访问

14

基于DNS的安全电子邮件

NCCoE发布了 NIST网络安全实践指南1800-6 （基于域名系统的电子邮件安全）。

在低成本和快速交付的推动下，私营和公共部门的组织继续依赖电子邮件作为电子通信的主要方式。 确保这些业务的安全一直不是一个优先事项，这也是电子邮件攻击增加的原因之一 。

无论目标是验证电子邮件消息的来源，还是确保消息未被未授权方更改或披露给未授权方，组织都 必须采用某种加密保护机制 。规模经济和统一安全性实现的需要，促使 大多数企业依赖邮件服务器和/或互联网服务提供商（ISP）为企业的所有成员提供安全保障 。 目前许多基于服务器的电子邮件安全机制都容易受到攻击 ，并且已经被攻击所击败，而 这些攻击都是对它们所依赖的加密实现的完整性的攻击 。这些漏洞的后果通常涉及未经授权的各方能够读取或修改本应安全的信息，或引入恶意软件以访问企业系统或信息。 现有的协议能够提供所需的电子邮件安全性和隐私性，但由于缺乏易于实现的软件库和一些软件应用程序产生的操作问题等障碍，限制了现有安全和隐私协议的采用。

为了应对这一网络安全挑战，NCCoE安全工程师开发了一个示例解决方案，该方案允许组织提高电子邮件安全性，抵御基于电子邮件的攻击，如网络钓鱼和中间人攻击， 对电子邮件服务性能的影响最小 。本实践指南使用开放源代码和商用技术，演示了一个安全平台，该平台提供可靠的电子邮件交换和工具，帮助组织在邮件服务器之间加密电子邮件，允许个人电子邮件用户对电子邮件进行数字签名和/或加密，允许电子邮件用户识别有效的电子邮件发送者，发送数字签名的消息，并验证接收到的消息的签名。

15

提高托管服务提供商的网络安全性

NCCoE发表了指南，帮助 托管服务提供商 （ MSP ，Managed Service Providers）执行、维护和测试 备份文件 ，以减少数据泄露事件（如勒索软件）的影响。指南提供了实施建议、参考架构，并详细介绍了MSP应考虑部署的特定技术/能力。

许多中小型企业使用托管服务提供商（MSP）远程管理其组织的IT基础设施、网络安全和相关业务操作。因此， MSP已经成为网络犯罪分子的一个有吸引力的目标 。当MSP易受网络攻击时，它也会增加MSP所支持的中小型企业的脆弱性。本积木旨在为MSP提供通过实施关键安全控制来提高网络安全的指南，以减少网络攻击的漏洞。

NCCoE提出了一些建议，这些建议将使MSP能够采用网络安全技术来提高自身和中小企业客户的安全性。MSP可以应用或定制这些建议，以满足他们的网络安全需求。

备份计划：数据泄露事件，无论是勒索软件攻击、硬件故障，还是意外或故意的数据破坏，都可能对MSP及其客户造成灾难性影响。NCCoE制定的建议帮助MSP执行、维护和测试备份文件，以减少这些数据丢失泄露事件的影响。

16

物联网设备表征

NCCoE发布了 白皮书（物联网设备的网络行为表征方法论） 草案 。

本白皮书演示了如何使用 设备表征（device characterization）技术 来描述物联网（IoT）设备的通信需求，以支持 制造商使用说明（MUD，manufacturer usage description）项目 。

确保网络安全是一项复杂的任务，当物联网设备连接到网络时，这项任务变得更加具有挑战性。本白皮书深入 研究如何从物联网设备捕获网络通信，以分析和生成MUD文件 。制造商和网络管理员可以使用提议的表征技术，来描述物联网设备的通信需求，这可以允许 对这些设备的网络访问进行精确管理 。这有助于确保物联网设备按照设备制造商或所有者的预期运行 。

配套工具：NCCoE创建了一个名为MUD-PD的配套工具，用于描述物联网设备的特性，特别是与MUD一起使用。该工具有助于生成MUD文件。

17

移动设备安全：自带设备（BYOD）

此项目当前处于构建阶段。

移动技术的快速发展要求对移动程序进行定期的重新评估，以确保其实现了安全性、隐私性、工作区功能。内置的移动保护可能不足以完全缓解与移动信息系统相关的安全挑战。可用性、隐私性和法规要求都会影响哪些移动安全技术和安全控制将非常适合满足组织的移动计划的需要。

移动设备安全的目标： 自带设备（BYOD）项目 提供一个示例解决方案，演示组织如何使用基于标准的方法和商用技术，来满足使用移动设备访问企业资源的安全需求。

该草案将以 BYOD架构和指南 为特色，面向负责获取、实施和维护移动企业技术的高管、安全经理、工程师、管理员和其他人，包括集中设备管理、安全设备/应用程序安全上下文、应用程序审查，以及端点保护系统。

本项目是一系列构建（build）中的第二个，该系列构建将关注企业的移动设备安全。第一次构建的草稿（ 移动设备安全：公司拥有个人启用（COPE ，Corporate-Owned Personally-Enabled） ）已经出版。

18

移动设备安全：云和混合构建

NCCoE发布了NIST网络安全实践指南 SP 1800-4（移动设备安全：云和混合构建） 的最终版本。

为了提供最新的指南，NCCoE正在开发 两个新的移动设备安全实践指南 。

NIST网络安全实践指南“移动设备安全：云和混合构建”演示了商用技术如何满足组织的需要，帮助保护员工移动设备访问和/或存储的敏感企业数据。

在NCCoE实验室，我们构建了一个基于典型移动设备和企业电子邮件、日历和联系人管理解决方案的环境。此外，我们还演示了如何在整个移动设备生命周期中支持安全性，包括：

• 配置设备为组织信任

• 保持 组织数据 和存储在移动设备上或从移动设备访问的 员工个人数据 之间的充分 隔离

• 取消不再具有企业访问权限的移动设备的资源调配（例如，设备丢失或被盗、员工离职等）。

19

移动设备安全：公司拥有个人启用

NCCoE最近发布了 NIST SP 1800-21（移动设备安全：公司拥有个人启用（COPE）） 的草案。

移动设备安全的目标： 企业拥有个人启用（COPE）项目 提供一个示例解决方案，演示组织如何使用基于标准的方法和商用技术，来满足使用移动设备访问企业资源的安全需求。

此示例解决方案详细介绍了用于 企业移动管理（EMM）能力的工具 ，包括场内部署、移动威胁防御（MTD）、移动威胁智能（MTI）、应用程序审核、安全引导/镜像认证、虚拟专用网（VPN）服务。

该项目是一系列构建中的第一个，这些构建将关注企业的移动设备安全。第二个构建（移动设备安全：自带设备（BYOD））正在开发中。

20

移动设备安全：移动威胁目录

移动设备对企业构成了一系列独特的威胁。典型的企业保护，例如隔离的企业沙箱和远程擦除设备的能力，可能无法完全缓解与这些复杂的移动信息系统相关的安全挑战。必须从更广泛的角度看待移动生态系统的安全问题，从整体上解决移动安全问题。 这个观点必须超越设备，以包括例如用于支持移动应用程序和本地移动服务的蜂窝网络和云基础设施 。

移动威胁目录识别了对移动设备和相关移动基础设施的威胁，以支持开发和实施移动安全能力、最佳实践和安全解决方案，以更好地保护企业IT。 威胁分为几大类 ，主要集中在 移动应用 程序和软件、 网络 栈和相关基础设施、移动设备和软件 供应链 以及更大的 移动生态 系统。识别出的每种威胁都与解释性和脆弱性信息（如有可能）以及适用的缓解策略一起编目。

21

准备向5G安全演进

NCCoE最近发布了最终的 项目描述（5G网络安全：准备向5G安全演进） 。

随着基于5G的网络在世界各地的部署，给人类和机器在物理和虚拟世界中的通信、操作和交互方式带来了巨大的希望。之所以有这种变化，是因为5G网络通过增加基于标准的特性和部署更现代的信息技术，来支持增强的网络安全保护。

NCCoE正在与行业参与者合作启动该项目，以展示5G架构的组件如何安全地降低风险，并满足行业部门对多个5G用例场景的合规性要求。5G标准旨在通过网络部署选项支持特定于用例的功能。拟议的概念验证解决方案将整合商业和开源产品，这些产品利用网络安全标准和推荐做法，展示5G强大的安全功能。

这个项目将产生一个 NIST网络安全实践指南 ，它是为解决这一挑战而提供的为实施网络安全参考设计所需的实际步骤的说明。

22

隐私增强的身份联合

这个项目正在进入构建阶段。

随着企业将更多的服务转移到网上，许多企业已经让客户可以选择使用 第三方凭据 来访问他们的服务。这种做法被称为 身份 联合 ，可以节省企业管理身份的时间和资源，并防止客户不得不创建和管理新帐户。例如，您可以使用您的社交媒体帐户登录，来访问您的健身追踪器帐户。社交媒体公司可以保证，每次登陆健身追踪器网站的人都是同一个人。

身份代理通过管理组织和凭证提供者之间的集成，来帮助简化此过程。 组织只需连接一次身份代理并接受多种类型的凭据，而不是分别管理每个集成 。但是，这个过程给用户带来了安全隐患，因为这些连接可能会为暴露个人信息或者为代理跟踪用户的在线活动创造机会。

这个 隐私增强身份联合项目 将研究如何利用市场主导的标准， 将隐私增强技术集成到身份联合解决方案中 ，以满足用户和组织的隐私目标。这个项目是NCCoE和 网络空间可信身份国家战略 国家计划办公室（ NSTIC NPO ）的联合项目。

最终，这个项目将产生一个 NIST网络安全实践指南 ，它是一个公开的描述实施网络安全参考设计所需的实际步骤。

23

安全域间路由

NCCoE最近发布了实践指南 NIST SP 1800-14（保护Internet路由的完整性：边界网关协议（BGP）路由源验证） 的最终版本。

NCCoE认识到需要确保安全可靠的互联网流量交换，最近完成了本项目系列的第一部分：保护Internet路由的完整性：边界网关协议（BGP）路由源验证。该项目使用商业技术来开发一个网络安全参考设计，该设计可以提高互联网路由的安全性和功能性。

边界网关协议（BGP）是Internet采用的默认路由协议。BGP有助于路由信息的交换，确定数据从源到目的地的可行路径。自治系统和因特网服务提供商使用BGP交换路由信息以实现互连。 当路由信息的交换不准确时（无论是恶意的还是意外的） ，流量要么通过互联网以低效的方式传输，要么到达伪装成合法目的地的恶意站点，要么永远无法到达目的地。

该项目演示了如何使用 资源公钥基础设施 （Resource Public Key Infrastructure）实现BGP路由源验证，以应对和解决 网络路由的错误交换 。该项目产生了一份NIST网络安全实践指南，该指南是对解决方案和实施网络安全参考设计所需的实际步骤的公开描述，以应对这一挑战。

24

使用MUD保护家庭物联网设备

NCCoE发布了NIST网络安全实践指南 SP 1800-15（保护小型企业和家庭物联网（IoT）设备：使用制造商使用说明（MUD）来缓解基于网络的攻击） 的初稿。本实践指南旨在向物联网设备开发商和制造商、网络设备开发商和制造商以及使用支持MUD组件的服务提供商展示，如何集成和使用MUD和其他工具，以满足物联网用户的安全要求。

NCCoE及其合作者编制了本实践指南，以证明使用互联网工程任务组（IETF）的 制造商适用说明（MUD）RFC 8520 的的实用性和有效性，以保护家庭和小型企业网络上的物联网设备，并防止它们成为网络攻击的受害者和作恶者。 MUD的工作原理是使网络自动允许每个物联网设备只发送和接收其按预期执行所需的流量，同时阻止与设备的未经授权的通信 。

用户可以通过几种不同的方法实现MUD。本实践指南介绍了 四种MUD实施方法 ，其中三种是已完成的：

• 构建1（已完成）使用了来自Cisco Systems、DigiCert、Forescout和Molex的产品。

• 构建2（已完成）使用了来自MasterPeace Solutions Ltd.、Global Cyber Alliance（GCA）、ThreatSTOP和DigiCert的产品。

• 构建3（正在进行中）正在使用CableLabs提供的设备，并利用Wi-Fi联盟的“轻松连接”（Easy Connect）规范将车载设备安全地连接到网络。

• 构建4（已完成）使用了由NIST信息技术实验室高级网络技术部和DigiCert技术开发的软件。

该项目可以帮助不同的利益相关者群体，包括：

• 依赖互联网的 组织 可以理解如何使用MUD来保护互联网的可用性和性能，以抵御基于网络的攻击。

• 物联网设备制造商了解MUD如何保护其设备免受因其设备被利用以支持DDoS或其他基于网络的攻击而造成的声誉损害。

• 服务提供商可以从物联网设备数量的减少中获益，这些设备可被恶意行为体轻易用于参与针对其网络的DDoS攻击并降低其客户的服务质量。

• 物联网设备用户能够深入了解支持MUD的产品如何保护其内部网络免受恶意行为体的破坏。

25

物联网传感器网络的安全性

随着新产品和新技术的引入，物联网（IoT）领域不断发展壮大。 IoT传感器网络，即小型设备的网络，或检测、分析、传输物理数据的节点 ，是这种持续发展的最好例子。在更便宜、更小的传感器的发展，以及用户对更智能和可穿戴设备的渴望的推动下，无线传感器网络市场2016年的估值为5.73亿美元，预计到2023年将增至至少12亿美元。

物联网传感器网络对于组织监测和响应楼宇环境的物理特性（如温度、污染和湿度水平以及电气使用）特别有价值。人们不必在现场，传感器通过将环境读数转换为可能进行物理调整的电脉冲，来完成所有工作（例如，打开通风口以改变内部温度）。 物联网传感器网络是连接物理世界和数字世界的管道 。

越来越多的组织使用从他们的物联网传感器网络获取的数据，来进行决策和过程控制。在许多这样的用例中，由传感器网络报告和监控的数据的准确性、完整性和可用性，对安全性至关重要。然而， 由于物联网传感器网络具有有限的处理能力和有限的安全监控和维护能力，因此检测和预防攻击具有挑战性 。

NCCoE正在提出一个 保护楼宇管理系统物联网传感器网络 的项目。我们的研究结果可能适用于其他行业部门，并作为未来NCCoE用例列出供考虑。我们将探讨物联网传感器网络安全组件的安全性要求。其他考虑因素（如物理安全）的详细探索虽然重要，但不在本项目的范围之内。

以下是项目的目标：

• 作为传感器网络、未来物联网项目或特定传感器网络用例的构建块；

• 建立一个 安全架构 ，通过使用标准和最佳实践来保护楼宇管理系统传感器网络，包括用于将传感器数据传输到后端楼宇控制系统（主机）进行处理的通信信道/网络；

• 探索网络安全控制，以提高楼宇管理系统传感器网络的可靠性、完整性和可用性；

• 演练/测试楼宇管理系统传感器网络的网络安全控制措施，以验证其是否缓解了已识别的网络安全问题/风险，并了解将这些控制措施添加到楼宇管理系统传感器网络的性能影响。

26

供应链保障

NCCoE最近发布了最终 项目说明（验证计算设备的完整性） 。

由于网络供应链中的受损会增加风险，组织今天面临着 识别可信赖产品 的挑战。 网络供应链风险管理 是实现IT系统现代化的一种不断发展的方法，因为信息和操作技术依赖于复杂、全球分布和相互关联的供应链生态系统，以提供高度精细、经济高效和可重复使用的解决方案。

在该项目中，NCCoE将生成示例实现，来演示组织如何验证其购买的计算设备的内部组件是真实的，并且在制造和分发过程中没有被更改。此外，本项目还将演示如何检查验证计算设备中的组件与制造商声明的属性和度量值匹配的过程。

该项目将产生一份可公开获取的 NIST网络安全实践指南 ，该指南详细介绍了实施应对挑战的网络安全参考架构模型所需的实际步骤。

27

TLS服务器证书管理

NCCoE发布了NIST网络安全实践指南 SP 1800-16（保护Web事务：传输层安全（TLS）服务器证书管理） 的最终版本。

本实践指南可使管理人员、首席信息安全官、系统管理员或与保护其组织的数据、隐私和总体运营安全有利害关系的任何人受益。

NCCoE认识到 保护web事务和客户机与服务器之间的其他通信 ，对于组织来说至关重要。本项目使用商用技术来演示依赖传输层安全性（TLS）的大中型企业，如何同时 保护面向客户的应用程序和内部应用程序 ，从而更好地 管理TLS服务器证书 ：

• 定义操作和安全策略；确定角色和职责

• 建立全面的证书库存和所有权跟踪

• 持续监控证书的运行和安全状态

• 自动化证书管理以最大限度地减少人为错误并最大限度地提高效率

• 当发现加密机制薄弱、受到破坏或易受攻击时，能够快速迁移到新的证书和密钥

本指南的A卷和B卷，为企业提供了可操作的指导，帮助他们建立和实施正式的TLS服务器证书管理计划。组织可以通过阅读C卷来推进TLS管理工作，该卷解释了我们的方法、架构和安全特性。D卷包含如何构建示例解决方案的指南。

尽管TLS中可以选择使用客户端证书来执行相互身份验证，但是 管理客户端证书不在该项目的范围之内 。

28

可信云：VMware混合云IaaS环境

此项目处于构建阶段。

NCCoE认识到需要解决在混合云架构中使用共享云服务的安全和隐私挑战，并启动了该项目。本项目可为云安全技术的商业化开发提供参考。

本项目将展示 可信计算池 （trusted compute pools）的实现和使用，不仅可以保证云计算中的 工作负载在可信硬件上运行 ，而且可以 改善对工作负载内和工作负载之间流动的数据的保护 。

该项目将产生一份NIST网络安全实践指南，该指南是一份公开可用的解决方案描述，以及实施解决该挑战的网络安全参考设计所需的实际步骤。

五、网络安全用例项目

用例解决 特定于行业 的网络安全挑战，这些挑战由行业技术专业人员和企业领导人共同定义。以下是NCCoE有实践项目的行业。

01

消费/零售业

NCCoE的一个 关键优先事项 是与面向消费者的企业合作，优先安排有助于更好地保护公司和客户信息和资产的项目。这一行业是 美国经济的支柱 。因其广度和深度，改善这些企业的网络安全态势，将产生巨大影响。

1）项目：电子商务的多因素认证

使用 与web分析和上下文风险计算相关 的多因素身份验证，降低电子商务交易中的 虚假在线识别和身份验证欺诈风险 。

NCCoE发布了 NIST SP 1800-17（电子商务的多因素认证：基于风险的、面向购买者的FIDO通用第二要素实现） 的最终版本。

02

能源行业

作为国家关键基础设施的一部分，能源组织和公用事业公司都知道他们必须解决网络安全问题，但许多公司都在为如何实施更安全的技术而挣扎。 NCCoE能源团队 开发示例解决方案，帮助能源组织采用先进的安全技术。

1）保护工业物联网（IIoT）

一种提高分布式能源系统和配电设施之间信息交换整体安全性的方法。

此项目当前处于构建阶段。

2）资产管理

为了正确评估运营技术网络中的网络安全风险，能源公司必须能够识别其所有资产，尤其是最关键的资产。

NCCoE发布了NIST网络安全实践指南 SP 1800-23（能源部门资产管理：适用于电力、石油和天然气行业） 的最终版本。

3）身份和访问管理（IdAM）

一种集中的系统，用于验证个人对信息技术、操作资源和系统的访问权限，并以高度的确定性控制他们的访问。

NCCoE发布了NIST网络安全实践指南 SP 1800-2（电力企业的身份和访问管理（IdAM）） 的最终版本。

4）态势感知

跨能源公司网络系统捕获、传输、分析和存储实时和近实时数据的机制。

NCCoE发布了NIST网络安全实践指南 SP 1800-7（电力企业的态势感知） 的最终版本。

03

金融服务业

美国金融服务业每天都成为网络攻击的目标。为了帮助这些企业抵御对其数字基础设施和资产的威胁， NCCoE金融服务团队 与行业领袖合作确定项目，并与技术专业人士合作构建参考设计，以应对重要的网络安全挑战。

1）访问权限管理

通过一个统一的身份和访问控制系统来获取信息。

NCCoE发布了NIST网络安全实践指南 SP1800-9（金融服务业的访问权限管理） 的草案。

2）IT资产管理

使软件更改和网络漏洞更容易识别。

NCCoE发布了NIST网络安全实践指南 SP 1800-5（IT资产管理） 的最终版本。

3）特权帐户管理

对特权帐户安全实施更强有力的控制，使组织能够强制执行访问策略。

NCCoE最近发布了NIST SP  1800-18（金融服务业的特权账户管理） 的草稿。

04

卫生IT部门

病人的健康信息，在黑市上比失窃的信用卡信息更有价值。但要保护一个健康组织，就需要理解提供者的独特需求，例如技术或工具的可访问性和可用性。NCCoE健康IT团队考虑了这些需求，以应对网络安全挑战。

1）保障远程医疗远程病人监控生态系统

帮助确保医疗机构和患者家庭环境的远程医疗生态系统安全。

这个项目正在进入构建阶段。

2）保护图像存档和通信系统

为确保医疗保健行业组织的PACS生态系统安全提供指导。

NCCoE发布了NIST网络安全实践指南 SP 1800-24（保护图像存档和通信系统（PACS）） 的草案。

3）保护无线输液泵

帮助医疗机构在企业网络上保护无线输液泵。

NCCoE发布了NIST网络安全实践指南 SP 1800-8（保护医疗服务机构中的无线输液泵） 的最终版本。

4）保护移动设备上的电子健康记录

医疗保健提供商的一个平台，用于在移动设备之间安全地记录、维护和交换电子患者信息。

NCCoE发布了NIST网络安全实践指南 SP 1800-1（保护移动设备上的电子健康记录） 的最终版本。

05

酒店业

美国酒店业为美国经济贡献了大笔财富和税收。保护酒店业及其大量的金融交易和相关的个人身份信息不受客户数据的影响，是其持续成功的关键。

1）保护物业管理系统

NCCoE提出了一个解决方案，以更好地保护酒店IT系统中的财产管理系统（PMS）及其连接，实现多层次安全，如点到点加密、数据遮蔽、远程和合作伙伴访问的多因素身份验证、网络和用户行为分析、仅限业务使用的限制。

此项目当前处于构建阶段。

06

公共安全和急救行业

NCCoE的 公共安全和急救（PSFR）计划 正在与急救社区合作，以实施基于标准的解决方案，以使公共安全系统具有抵御攻击的能力，并确保在急救期间立即访问关键资产。

1）移动应用单点登录

帮助公共安全和急救人员在紧急情况下通过移动设备和应用程序高效、安全地访问任务数据。

NCCoE发布了NIST网络安全实践指南 SP1800-13（移动应用单点登录：改进公共安全急救者的身份验证） 的第二稿。

07

制造业

制造业相当广泛，包括汽车、纺织、电子和制药公司。这些组织通常使用依赖网络基础设施的电动机器或物料处理设备。随着这些机器通过互联网的连接越来越紧密，网络攻击的新机会就出现了。

1）在工业控制系统环境中保护信息和系统完整性

利用行为异常检测和安全事件和事件监视等功能保护工业控制系统。

这个项目正在进入构建阶段。

2）保护制造工业控制系统：行为异常检测

实施行为异常检测，以帮助确保制造工业控制系统的安全。

NCCoE发布了 NISTIR 8219（保护制造工业控制系统：行为异常检测） 的最终版。

08

交通运输业

运输原材料、货物和资源的能力对美国经济至关重要，这一领域日益增长的数字化提高了效率，但也带来了新的网络安全风险。

1）海运：石油和天然气

在NCCoE的帮助下，美国海岸警卫队（USCG）与工业界合作，开发了 自愿网络安全框架概要（CFP） ，以缓解其联合任务区的风险。

文章来源：网络安全观