2022年11月7日，美国总统拜登在写给国会的信中指出，随着美国基础设施数字化和自动化的进程加快，本届政府将酌情审查和修订美国关键基础设施的主要政策。

更新后的政策将加强公私伙伴关系，并为执行部门明确关键基础设施系统的重要性提供指导。此外，还将明确风险管理机构和美国网络与基础设施安全局（CISA）的角色、责任及提供的服务，从国家层面进行协调，以保护关键基础设施安全并防范相关风险。信中强调，美国需要采取紧急行动来改善其关键基础设施的网络安全。本届政府将与国会合作，填补法定权力的空白，以确保美国关键基础设施免受网络攻击，保障更安全和更有弹性的基础设施。

2022年11月22日，美国防部（DOD）正式发布《国防部零信任战略和路线图》（Department of Defense Zero Trust Strategy and Roadmap），强调了该部门计划如何保护敏感信息免遭窥探，并预计于2027财年之前完成零信任部署。

该战略概述了四个高层次综合目标，并给出实现目标应采取的行动：

（1）采用零信任文化——所有国防部人员都了解、理解、接受过零信任相关培训，并致力于零信任部署工作。

（2）国防部信息系统的安全和防御——在新旧系统中纳入并实施零信任。

（3）技术加速——零信任技术部署的速度应等于或超越行业水平。

（4）零信任支持——部门内部程序、政策和资金都应与零信任原则和方法同步。

2022年11月17日，美国国家安全局（NSA）和美国网络与基础设施安全局（CISA）联合发布软件供应链系列指南第3部分，即《面向客户的软件供应链安全》（Securing the Software Supply Chain for Customers）。

该系列指南由持久安全框架（ESF）负责，分别关注软件开发人员、软件供应商与软件客户，具体内容如下：

（1）指南根据行业情况，制定软件开发人员的开发原则，包括安全需求规划、从安全角度设计软件架构、添加安全特性以及维护软件和底层基础设施（例如，环境、源代码审查、测试）的安全性；

（2）软件供应商负责联系客户和软件开发人员，需要通过合同协议、软件发布和更新、通知和漏洞缓解来确保软件的完整性和安全性；

（3）客户可以使用此指南作为描述、评估和度量与软件生命周期相关的安全实践的基础，并参考指南列出的实践建议，进行软件供应链的获取、部署和操作。

2022年11月22日，美国网络与基础设施安全局（CISA）发布新版“基础设施弹性规划框架”（Infrastructure Resilience Planning Framework，IRPF），为美国州、地方、部落和地区（SLTT）政府提供新的指导，强化区域间合作，进一步确保关键基础设施的网络安全。新版IRPF主要就以下4方面进行更新：

（1）提出识别关键基础设施的新工具，即关键基础设施识别指南数据集。该数据集为如何通过美国国土基础设施基金会数据（HIFLD）站点，查找关键基础设施资产上可公开访问的地理空间信息系统（GIS）提供指导；

（2）新版IRPF扩展了收集利益相关者意见的过程，旨在规划阶段收集所有合适的利益相关者，并尽可能将全部意见和利益纳入考量；

（3）通过CISA的“国家抗旱伙伴关系”（National Drought Resilience Partnership，NDRP）提供新的抗旱能力信息，建立一个新的指南，包括对干旱灾害的概述，干旱灾害对基础设施系统的直接和间接影响示例；

（4）修订弹性概念，将其纳入CISA“评估区域基础设施弹性方法”，该方法有助于提升规划者对社区内基础设施系统的理解。

2022年11月10日，欧洲议会通过了《网络与信息安全指令》（第二版）（NIS2），目前该法案正在等待欧盟理事会的批准。欧洲议会表示，NIS2将为风险管理、报告义务和信息共享设定更严格的网络安全义务，为私人和公共实体带来有关安全事件响应、供应链安全、加密和漏洞披露的新规定和新义务。具体包括：

（1）能源、交通、银行、卫生、数字基础设施、公共管理和空间部门等“基础部门”将被纳入新的安全条款；

（2）欧洲议会坚持为公司制定明确的规则，同时将尽可能多的政府和公共机构纳入指令的范围；

（3）邮政服务、废物管理、化学品、食品、医疗设备、电子、机械、机动车和数字供应商等“重要部门”将受到保护；

（4）新规则提出建立欧洲脆弱性数据库，以加强当局和成员国之间的合作和信息共享。

2022年11月11日，欧盟网络安全局（ENISA）发布信息图强调到2030年可能出现的主要网络安全威胁。ENISA在进行了为期8个月的前瞻性研究后，确定了到2030年将出现的十大网络安全威胁，并对其进行了排名：

（1）基于软件依赖关系的供应链妥协；

（2）高级虚假信息宣传活动；

（3）数字监控威权主义的兴起/隐私的丧失；

（4）网络生态系统中的人为错误和被利用的旧系统；

（5）通过智能设备数据增强的针对性攻击；

（6）缺乏对关键基础设施和物体的分析和控制；

（7）高级混合威胁的兴起；

（8）网络安全技能短缺；

（9）跨境ICT服务提供商发生单点故障；

（10）人工智能滥用。

2022年11月1日，欧盟委员会宣布《数字市场法》（Digital Markets Act，DMA）正式生效，旨在杜绝网络平台经济中充当守门人的公司的不公平行为。

DMA定义了大型在线平台何时具备“守门人”的资格。欧盟委员会详细说明了DMA将通过定义所述公司需要遵守的一系列义务，如禁止从事某些行为，来结束在在线平台经济中充当“看门人”的公司的不公平做法。

2022年11月16日，欧盟《数字服务法》（Digital Services Act，DSA）正式生效。DSA旨在建立更安全、负责的在线环境，适用于将消费者连接到商品、服务或信息内容的所有数字服务。该法为在线平台创造了全面的新义务，以降低在线服务可能造成的损害和应对风险，为用户的在线权利提供了强有力的保护，并将数字平台置于全新的透明度和责任框架之下。DSA将为欧盟提供一套统一的监管规则，为整个欧盟市场中的用户提供新的保护并为企业提高法律确定性。

2022年11月3日，NIST发布《混合卫星网络（HSN）网络安全框架概要》（Cybersecurity Framework Profile for Hybrid Satellite Networks），旨在确定一种评估混合卫星网络（HSN）系统网络安全态势的方法。

HSN包含了通信、定位、导航、计时、遥感、天气监测和成像等基于卫星系统的服务，可以与美国其他政府系统和国土安全部定义的关键基础设施相互支持，提供更强的安全弹性。该文件涵盖构成HSN的所有交互系统的网络安全，不仅包括美国政府获取卫星系统，也涉及卫星总线、有效载荷和地面系统。

此外，NIST正在研发一种统一的方法，以更好的理解混合卫星网络的集成安全，强化关键基础设施所有者和运营商，以及国防部或其他政府部门的安全弹性。

2022年11月14日，NIST发布SP 800-55《信息安全性能测量指南》（Performance Measurement Guide for Information Security）第2版草案。该文档为相关组织如何通过测量来确定现有安全控制、策略和程序的性能提供了指导，帮助管理层决定在何处投放额外的安全保护资源，确定和测量非生产性控制措施。

2022年11月15日，NIST发布NISTIR 8409《通用脆弱性评分系统基础方程》（Measuring the Common Vulnerability Scoring System Base Score Equation）。报告指出，脆弱性的严重程度对于确定系统修复优先级和了解可能造成的风险具有非常重要意义。通用脆弱性评分系统（CVSS）是一种广泛使用的方法，用于评估导致攻击成功的属性和带来的危害。报告指出，CVSS虽不完美，但却能很好地代表CVSS维护人员的专业意见，也证明了CVSS在测算脆弱性方面有一定成效。

2022年11月15日，NIST发布SP 800-188《政府数据集去标识》（De-Identifying Government Data Sets）第3版草案。文档指出，去标识会从数据集中删除标识信息，从而使剩余的数据无法链接到特定的个人。政府机构可以使用去标识来减少与收集、处理、归档、分发或发布政府数据相关的隐私风险。此前，NIST发布的NISTIR 8053《个人信息去标识》对去标识和重识别（Re-Identification）技术进行了总结，而NIST SP 800-188则为希望采用去标识技术的政府机构提供了具体指导。

2022年11月16日，NIST发布SP 800-160 Vol. 1《工程化可信赖安全系统》（Engineering Trustworthy Secure Systems）修订版。该文件描述了建立可信赖安全系统工程的原则、概念、活动和任务的基础，保证处于不同生命周期阶段的系统中均可有效地应用，提供通用的安全思维模式。此次修订进行了重要的设计变更与内容修改，主要更新内容包括：

（1）重新制定可信赖安全系统的设计原则和概念，并将内容编排重新设计；

（2）将详细的系统生命周期过程和安全注意事项重新安排到单独的附录中；

（3）删除原先的两个设计原则，简化了可信赖安全系统的设计原则；

（4）对系统生命周期过程和各过程之间的关系进行全新描述；

（5）阐释关键系统工程和系统安全工程术语；

（6）简化系统生命周期流程、活动、任务和参考的结构；

（7）提供国际标准和技术指南的额外参考。

2022年11月17日，NIST发布内部报告NISTIR 8286D《使用业务影响分析告知风险优先级与响应》（Using Business Impact Analysis to Inform Risk Prioritization and Response）。报告指出，业务影响分析（BIA）通常用于业务连续性和灾难恢复（business continuity and disaster recovery，BC/DR）规划，以分析停机中断对IT基础架构的影响，并由此可扩展到网络风险引发的中断导致的保密性和完整性问题。NISTIR 8286D通过量化受损IT资产的对组织和企业的影响，扩展了BIA讨论范围，告知了风险优先级和响应，为审议企业风险提供了更多更细致的信息。

NIST《2021年网络安全和隐私年度报告》解读

2022年10月1日，美国国家标准与技术研究院（NIST）发布《2021年网络安全和隐私年度报告》（2021 Cybersecurity and Privacy Annual Report）。这份最新的“年度工作总结”全面回顾了NIST在后量子密码算法标准化、网络安全供应链研究、零信任架构改进等方面作出的努力和取得的成绩。

一、背景情况

根据《联邦信息安全管理法》（Federal Information Security Management Act，FISMA）规定，NIST每年会公布网络安全和隐私年度报告，除了回顾当年热点议题外，同时聚焦未来发展动向，预测可能面临的网络安全威胁。

二、NIST《2021年网络安全和隐私年度报告》主要内容

2021年度报告涵盖了密码标准和验证、网络安全测量、教育和人才、身份和访问管理、隐私工程、风险管理、可信网络和可信平台8个领域内容。

（一）密码标准和验证

密码标准、算法、加密方法、密钥建立、数字签名是网络安全的重要基础。NIST密码标准被采纳为保护通信安全和保障计算平台的基本工具，而NIST密码验证进一步确保硬件和软件的加密实现满足标准内安全需求。NIST认为，在当今的数字化环境中，加密机制将被运用在更多更广泛的平台上，对加密机制的安全要求比以往任何时候都高，因此本年度主要致力于以下5方面研究：

1. 后量子密码

近几年，NIST通过公开且类似竞争的方式筛选后量子密码（PQC）算法，经过3轮后量子密码标准化流程，共有4种加密算法成为首批NIST后量子密码标准，即CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON和SPHINCS+，NIST预计上述标准化工作将在2024年前完成。此外，考虑到算法多样性的需求，NIST启动第4轮后量子密码标准化流程，就Classic McEliece、Bike、HQC和SIKE开展进一步研究。

2. 轻量级密码

NIST为征求、评估和标准化轻量级关联数据的认证加密（AEAD）和哈希方案，启动了轻量级密码标准化过程。

2021年3月，NIST公布了最后一轮评估的10个最终候选，详细过程记录于NISTIR 8369《NIST第二轮轻量级密码标准化过程的状态报告》（Status Report on the Second Round of the NIST Lightweight Cryptography Standardization Process）。2022年5月，NIST在线举办第五届轻量级密码研讨会，对上述候选算法进行讨论，确认将10个算法全部作为新加密标准添加到NIST轻量级密码标准中。

3. 密码程序和实验室认证

密码安全测试实验室旨在确保政府系统使用的相关算法及密码模块满足FIPS 140-3要求。目前，全球有22个实验室通过国家实验室自愿认可程序（NVLAP）。为了更好地评估所有实验室测试人员能力，NIST修订了加密验证程序（CVP）认证考试，以更新旧的FIPS 140-2内容，增加FIPS 140-3标准的新要求。

4. 加密模块验证计划

联邦机构需创建加密模块验证计划（CMVP）以满足联邦用户对商用加密模块的需求。2021年，CMVP颁发了300多个FIPS 140-2证书，并要求2022年3月31日之后只接受满足FIPS 140-3的验证材料。未来，CMVP还将努力实现加密验证的现代化和自动化，提高CMVP操作流程的效率，同时加强与加密模块用户论坛（CMUF）合作，减少跨部门沟通。

5. 加密算法验证程序

加密算法验证计划（CAVP）使用NIST自动加密验证测试系统（ACVTS）执行算法验证。2022年重点提供关于如何引用符合SP 800-90B《用于随机比特生成的熵源建议》的文档及说明。此外，基于ACVTS已有成功案例，将启动新的熵源验证测试系统。

（二）网络安全测量

NIST的网络安全测量计划旨在通过更精确的测量数据，帮助组织开发和调整相关技术，提升自身网络安全能力，扩大经济效益，主要包括以下几个项目：

1. 网络风险分析

网络风险分析（CRA）侧重于推广技术解决方案，旨在提高组织对网络安全风险的理解，为管理实践提供信息，并促进风险所有者之间的信息共享。CRA为SP 800-216《联邦漏洞披露指南》的建议草案做出贡献，提出关于信息系统安全漏洞披露流程的建议，以响应《2020年物联网网络安全改进法案》。

2. 软件保障度量和工具评估

软件保障度量和工具评估（SAMATE）通过制定软件工具评估方法，测量工具和技术的有效性，并识别现有工具和方法的差距，从而改进软件保证。2021年，为响应行政令EO 14028改善国家网络安全，NIST发布NISTIR 8397《软件开发者验证最低标准指南》。目前有以下3项软件保障项目：

1) 缺陷框架（BF）提供了软件缺陷的精确定义和描述软件漏洞的独立于语言的分类法。2021年，NIST发布了输入/输出检查错误模型、数据验证错误类。

2) 软件保障参考数据集（SARD）是包含已知软件缺陷的大量程序集合。2021年，NIST发布了增强功能的测试版SARD。

3) 静态分析工具展示（SATE）促进静态分析工具的研究，以发现源代码中的安全弱点。2021年，NIST继续研究工具SATE VI。

3. 自动化组合测试

自动化组合测试（ACT）重点是应用组合方法测量和保障人工智能（AI）和机器学习（ML）系统。NIST ACT研究团队与多部门合作推进开发了新的方法和工具，用于分析和解释AI/ML算法的决策。

4. 计算机取证工具测试

2021年，NIST特别项目办公室（Special Programs Office）和美国国土安全部（DHS）推出计算机取证工具测试（CFTT）项目，以帮助执法部门对各种数字取证工具进行严格而系统的评估，确保计算机取证工具的可靠性。

5. 国家软件参考库

国家软件参考库（NSRL）从各种来源收集软件，并将其配置文件合并到信息参考数据集（RDS）中，便于执法部门、政府和工业界通过匹配RDS中的配置文件进行查询，有助于提高电子设备取证效率。

（三）教育和人才

根据2014年网络安全增强法案的要求，NIST持续开展国家网络安全意识和教育计划活动，包括：

- 广泛传播网络安全技术标准和最佳实践；

- 致力于网络安全最佳实践的适用；

- 提高民众网络安全意识；

- 加深对有效风险管理方法及漏洞补救措施的了解；

- 支持各级网络安全教育项目，培养网络安全人才；

- 促进评估和预测未来网络安全劳动力的需求，制定招聘、培训和维系人才的战略。

1. 国家网络安全教育计划

国家网络安全教育计划（NICE）旨在共同努力建立网络安全教育、培训和劳动力发展的综合生态系统。2020年11月，NIST发布更新后的网络安全劳动力框架（SP 800-181）。2021年，为进一步扩展NICE框架，NIST举行了三场研讨会，即“能力：从概念到实施”、“发展保障操作技术（OT）的劳动力”和“发展安全意识和改变行为的劳动力”，根据讨论情况，NIST发布了8个NICE成功案例，这些案例展示了组织如何使用NICE框架，并强调了使用NICE后的收益和经验教训，以帮助提高组织对NICE框架的理解。

2. 联邦网络安全人才

NIST通过联邦网络安全劳动力峰会和联邦信息安全教育工作者（FISSEA）两大项目将联邦网络安全社区聚集在一起。联邦网络安全劳动力峰会涵盖了国家网络安全优先事项和政策举措以及联邦网络安全劳动力的战略愿景等主题，FISSEA论坛汇集了联邦政府信息安全专业人员，共同探讨如何提高联邦网络安全认知、增强网络安全培训。

3. 提升网络安全可用性

NIST可用网络安全（Usable Cybersecurity）团队关注青少年网络安全问题，研究并分析了家庭和学校环境中影响青少年网络安全、隐私知识和行为的因素。在2021年USENIX安全研讨会上，NIST公布了对美国各地学校的1505名3至12年级学生的调查结果。此外，NIST还开展了对联邦安全专业人员关于需求、挑战、实践和能力的研究，为联邦项目的资源提供信息，相关研究成果后续将以多份报告的形式发布。

4. 小型企业网络安全

为确保小型企业安全，NIST设立专门的网站向其提供网络安全基础知识、指导、解决方案和培训。2021年，该网站进行了更新，更新了包括来自NIST和其他联邦合作伙伴的最新材料，对网络钓鱼、社会工程、击键记录、加密和数据泄露等案例进行研究。

（四）身份和访问管理

身份和访问管理（IdAM）是一种基础且关键的网络安全能力，以保障正确的资源访问权限。NIST从以下方面推进IdAM研究：

- 开展重点研究，更好地了解新技术和新兴技术对现有标准的影响，以及实现IdAM解决方案的方法;

- 通过主导制定国家和国际IdAM标准、指南、最佳实践、配置文件和框架，创建一套增强的、可互操作的隐私增强解决方案;

- 发展自身IdAM标准、指南和资源;

- 通过结合解决特定业务网络安全挑战所需的IdAM要求，提供解决方案示例。

1. 个人身份验证

根据第12号美国国土安全总统指令的要求，NIST开发并根据联邦部门和机构不断变化的业务要求维护FIPS 201《联邦雇员和承包商的个人身份验证》。2020年，NIST发布了FIPS 201的公开草案，并于2021年进行裁决。该标准扩展了PIV身份验证集，同时解决了跨机构的问题。2022年，PIV团队进一步明确标准的技术细节，并与联邦利益相关方保持联系。

2. 数字身份指南

NIST SP 800-63-3《数字身份指南》于2017年发布，在2020进行修订，并计划于2022年公布SP 800-63第4版修订草案。SP 800-63-3为机构提供了通过网络对联邦系统的主体进行数字身份验证的技术指南。

3. 移动驾驶执照

NIST为移动驾驶执照（Mobile Driver’s License，mDL）的国际标准的制定做出贡献。mDL是驾驶执照（DL）数据的安全数字表示，它被提供到智能移动设备上，如智能手机或平板电脑，以供合适的、预期的mDL持有者使用。该标准为阅读设备和mDL之间的互操作接口提供了规范，并适用于其他多种身份证件，例如护照、旅行证件、出生证明等。

4. 访问控制策略验证和开发工具

传统的访问控制策略验证方法因受到应用技术限制，存在准确性和复杂性等方面问题。为了应对这些挑战，NISTIR 8360《机器学习访问控制策略验证方法》提出了一种高效、直接的访问控制策略验证方法，它应用了机器学习的分类算法，直接检查策略规则的逻辑，相较于传统方法更有可行性。

5. 基于微服务应用程序的属性访问控制

云原生应用程序由微服务的松散耦合组件组成，所有应用程序服务都通过服务网格专用基础设施提供，而服务网格独立于应用程序代码。此环境中的授权服务需要对零信任概念、基于鲁棒的访问控制机制进行构建。2021年8月发布SP 800-204B《使用服务网格对基于微服务的应用进行基于属性的访问控制》，提供了在满足上述需求的服务网格中构建基于属性的访问控制模型的部署指导。

（五）隐私工程

隐私工程（PEP）致力于提供可信赖且严格的工具和资源，以支持创新和隐私保护。2021年NIST主要在推进隐私工程和风险管理指南及资源的开发、推进隐私增强技术的开发和部署、定位NIST为隐私研究的领导者三个方面取得进展。

1. 隐私框架

2021年NIST在众多国内国际会议、网络研讨会上开展隐私框架推广和提高意识的工作。积极与利益相关方合作，开发资源和指导方针，协助隐私框架的出版，重点关注中小企业和其他隐私资源有限的组织。

2. 提升劳动力

2021年4月，NIST为应对利益相关者在隐私劳动力招募和发展方面的挑战，根据隐私框架配套路线图，启动了隐私劳动力公共工作组（Privacy Workforce Public Working Group，PWWG）计划。PWWG提供了一个论坛，来自公众的参与者可以参与构建与NIST隐私框架和NIST国家网络安全教育计划（NICE）一致的相关研究工作，以支持隐私风险管理的劳动力发展。目前，PWWG拥有来自世界各地的600多名成员。

3. 隐私领导者

NIST在关键隐私安全组织中担任领导地位，帮助推动隐私问题的优化和标准化。NIST作为隐私保护领域重要代表，共同主持隐私跨机构工作组（Interagency Working Group，IWG）内的美国网络和信息技术研究与开发（NITRD）项目，以及NIST隐私劳动力公共工作组（PWWG），担任联邦计算机安全管理人员论坛（FCSM）的首位隐私联合主席。

4. 隐私增强技术

NIST致力于促进隐私保护技术的理解和应用。2021年，联邦机构希望能利用技术实现在保持安全和隐私的情况下访问机构数据集的研究。

5. 差异化隐私

差异化隐私是对包含个人信息的数据集进行调整，使个人信息不易识别。2021年，NIST发布了一个关于差异化隐私和适用案例的系列文件，涵盖基础知识、适用案例和可用的开源工具，旨在帮助业务流程所有者和隐私规划人员理解基本概念。

6. 隐私增强加密

隐私增强加密提倡使用加密协议，保证各方能够进行安全且有效的交互，但不向彼此或第三方透露私人信息。2021年，出于需要执行与当前疫情相关的自动追踪通知，NIST开发了一种保护隐私的方法，以衡量人群内的互动程度。

（六）风险管理

2021年，NIST在推进网络安全、系统工程和隐私保护风险管理方面取得了重大进展。

1. 风险管理框架更新

NIST持续更新风险管理相关文件，以支持SP 800-37第2版修订中描述的NIST风险管理框架实施。2021年主要发布了以下4项成果：

1) SP 800-47《管理信息交换的安全》；

2) NISTIR 8212《ISCMA：信息安全持续监测计划评估》；

3) 重新设计和扩展NIST风险管理框架网站；

4) 可供利益相关者参与SP 800-53《联邦信息系统和组织的安全和隐私控制》开发的在线工具。

2. 保护受控非密信息

受控非密信息（CUI）通常与非联邦组织共享，并且必须受到其保护。2021年，NIST制定了新的指导方针，以保护关键程序和系统中的CUI免受高级持续性威胁（APT）。SP 800-172《保护受控非机密信息的增强安全要求：NIST特别出版物800-171》补充了在信息暴露风险高于通常情况下处理CUI的额外建议；SP 800-172A《CUI增强安全要求评估》协助组织规划和实施SP 800-172增强安全要求的高效、有效和具有成本效益的评估。

3. 将网络安全风险管理集成到ERM中

信息和技术是每个企业最宝贵的资源，因此将网络安全风险管理与企业风险管理（ERM）相结合至关重要。NIST在2020年发布的NISTIR 8286《整合网络安全与企业风险管理》基础上，创建了一系列出版物：

1) NISTIR 8286A详细说明了网络安全风险的可能性和影响背景、场景识别和分析；

2) NISTIR 8286B描述了应用风险分析的方法，以帮助确定网络安全风险的优先级，评估和选择适当的风险应对措施；

3) NISTIR 8286C描述了从整个企业的网络安全风险管理活动中聚合信息的过程。

4. 推进NIST网络安全框架应用

为继续推进NIST网络安全框架的应用，NIST发布了SP 1271《网络安全框架快速入门指南》，以帮助各类试图通过使用网络安全框架改善网络安全风险管理的组织。

NIST还参与网络安全风险管理和网络安全框架国际标准化工作，特别是2021年发布的ISO/IEC TS 27110:2021《信息技术、网络安全和隐私保护 网络安全框架开发指南》，该技术规范明确了开发网络安全框架的指导原则，并指出所有网络安全框架应具有五大功能：识别、保护、检测、响应和恢复。

5. 网络安全供应链风险管理计划

网络安全供应链风险管理（C-SCRM）是指识别、评估和响应与产品和服务供应链风险的过程。本年度C-SCRM开展了如下工作：

1) 启动了改善供应链网络安全的国家倡议（NIICS），希望能为开发可用有效的供应链风险管理实践做出贡献；

2) 对NIST基础供应链风险管理指南进行了两次修订。第一份修订草案为组织提供了最新的指南及路线图，以减轻供应链中的网络安全风险，帮助其发展和增长C-SCRM能力。第二份修订草案增加了新的附录，就供应链风险评估的优先次序提供指导，建立基线风险因素，以提高C-SCRM风险评估和响应功能之间的一致性；

3) 发布了SP 1800-34《验证计算设备完整性的初步草案》，帮助组织验证其购买的计算设备的真实性，确保没有在制造和分发过程中被更改。

6. 物联网网络安全计划

2021年度NIST工作主要集中在为物联网设备制造商提供指导、制定消费者物联网网络安全指南、为使用物联网设备的联邦机构提供网络安全指导三个方面。

7. 开放安全控制评估语言

2021年7月，NIST发布了开放安全控制评估语言（OSCAL），是一组基于XML和JSON的标准化格式，用于报告、实施和评估系统安全控制。OSCAL将安全文档作为代码应用，以集成到安全评估、审计和监视活动中，同时提供了整个风险管理过程的跟踪。欧盟网络安全局（ENISA）使用OSCAL自动化其合格评定过程，ISO/IEC JTC1/SC27下属WG1批准在OSCAL中使用ISO/IEC 27002:2022《信息安全、网络安全和隐私保护 信息安全控制》。

8. 人工智能

NIST为推进可信赖AI技术的开发、使用和治理，在AI研究、标准、评估和数据方面做出了诸多贡献，旨在实现以下五个目标：

1) 开展基础研究，推进可信赖的AI技术；

2) 在NIST实验室项目中应用AI研究和创新；

3) 建立基准，开发数据和指标，以评估人工智能技术；

4) 领导和参与人工智能技术标准的研制；

5) 协助讨论和制定人工智能政策。

（七）可信网络

NIST与行业伙伴合作开展可信网络计划，加深对提高网络系统的安全性、隐私性健壮性和其他性能所必需的技术研究、标准化和采用。这包括解决现有和新兴关键网络基础设施的系统性漏洞，了解潜在破坏性创新技术发展趋势，以提高未来网络的可信度。

1. 互联网基础设施保护

解决互联网基础协议和基础设施中的系统性漏洞已被列为国家级优先事项。NIST互联网基础设施保护工作旨在加快新技术的设计、标准化、商业化和部署，以解决现代互联网核心基础设施中的系统性漏洞。2021年，鲁棒域间路由项目（Robust Inter Domain Routing project）开发了一种旨在监测互联网路由动态的测量系统“NIST RPKI（资源公钥基础设施）监视器”，为研究、标准化和运营社区提供测量数据和分析。

2. IPv6网络过渡

2020年11月，OMB发布了M-21-07《完成向互联网协议版本6（IPv6）的过渡》备忘录，要求CISA加强可信互联网连接（TIC）计划，以确保IPv6是在联邦IT系统内实施。该备忘录赋予NIST两项重要任务：

1) 更新USGv6标准概要文件和测试程序，以促进USG获得安全和可互操作的IPv6产品及服务；

2) 进行示范试点项目，重点关注企业内部IPv6网络的安全部署。

为了响应这两项任务，2021年NIST发布了对USGv6配置文件和测试程序的重大修订，对USGv6产品测试框架的增强提供了必要的一致性、互操作性和功能测试。同时启动了一个新的项目，专注于企业中IPv6的安全实现。

3. 零信任网络

2021年，NIST与行业参与者合作启动了一个项目，以演示将零信任体系架构应用于传统的、通用的企业内部和云端IT基础设施的几种方法，该体系结构将根据SP 800-207《零信任体系架构》中的概念和原则进行设计和部署。

4. 5G及其下一代安全

2021年10月，NIST开展了5G网络安全技术项目。该项目提供了5G网络安全的整体方法，关注标准定义的网络安全功能和云技术，对实现现有5G安全架构范围之外的网络安全功能进行预测。

5. 物联网网络安全

NIST致力于推进新技术的设计、标准化、商业化和采用，以提高新兴物联网的安全和弹性，其近期的工作重点是消费者和企业网络环境安全。NIST在新兴物联网安全技术方面的持续工作重点是推进可信物联网设备接入和全生命周期管理。

6. 工业和操作技术网络

NIST致力于改善跨越多个应用领域的工业和操作技术网络的安全和弹性，包括通用工业控制系统和制造环境。工业控制系统环境中，通过演示各类保护信息和系统完整性的解决方案，制造商可以了解如何保护自身系统免受破坏性恶意软件、内部威胁、高级持续威胁和未授权软件的伤害。

7. 人工智能在网络安全中的应用

2021年，NIST的可信智能网络项目研究了AI技术在数据中心和公共互联网中检测恶意僵尸网络流量的应用，并开发了深度学习技术检测利用域名系统的僵尸网络命令和控制通道。

（八）可信平台

NIST将平台定义为可以在其上安装或运行软件的计算机或硬件设备、操作系统或虚拟环境。可信平台的目标是通过为安全平台（包括软件、硬件和固件）的开发和使用提供技术和指导，提高平台上对系统和基础设施的安全和隐私的信任。

1. 加强软件供应链的安全性——实施EO 14028

第14028号行政令《改善国家网络安全》，要求包括NIST在内的多个机构共同加强软件供应链安全。为此，NIST发布了“关键软件”的定义，提出了关键软件使用的安全措施，并为供应商或开发者验证软件推荐了最低标准。此外，NIST还发布了SP 800-161《针对系统和组织的网络供应链风险管理实践》（草案）和SP 800-218《安全软件开发框架（SSDF) 1.1：减少软件漏洞风险的建议》。

2. 安全软件开发框架

安全软件开发框架（SSDF）是一组基本的安全软件开发实践。遵循SSDF实践有助于软件生产者减少已发布软件中的漏洞数量，减轻潜在未检测到或未解决漏洞的影响，并帮助其寻找解决漏洞的方法。2021年发布SP 800-218《安全软件开发框架1.1：减少软件漏洞风险的建议》，2022年NIST继续更新SSDF，以响应公众的反馈和软件开发中不断变化的威胁、漏洞、实践和自动化能力。

3. 改善供应链的网络安全

2021年8月，NIST启动了改善供应链网络安全国家倡议，以帮助组织构建、评估供应链中产品和服务的网络安全。

4. 硬件启用安全

任何数据中心或边缘计算安全策略都应以保护执行、访问数据及工作负载为基础。2021年，NIST继续开发和研制基于硬件支持的安全技术，相继发布NISTIR 8320《硬件启用的安全：为云和边缘计算用例启用分层的平台安全方法》及NISTIR 8320A《硬件启用的安全：容器平台安全原型》。

5. 控制系统与操作技术安全

NIST对SP 800-82《工业控制系统（ICS）安全指南》进行更新，将范围从ICS扩展到控制系统，应用新的网络安全功能，增加针对中小型控制系统所有者和运营商的指导，修改控制系统威胁、漏洞、标准和建议实践。

6. 勒索软件和数据安全

勒索软件威胁个人或商业敏感信息，可能导致组织瘫痪。NIST开展了以下活动，以帮助组织免受勒索软件攻击，并使其从攻击中恢复：

1) 新的勒索软件保护和响应网页汇集了直接解决勒索软件挑战的建议；

2) 与行业专家共同起草了NISTIR 8374《勒索软件风险管理的网络安全框架配置文件》；

3) 发布两个实践指南：SP 1800-25《数据完整性：识别和保护资产免受勒索软件和其他破坏性事件的威胁》和SP 1800-26《数据完整性：检测和响应勒索软件和其他破坏性事件的威胁》。

7. 分布式能源安全

2021年，NIST制定了与分布式能源安全（DER）相关的SP 1800-32《保护工业物联网：分布式能源的网络安全》，解决所有能源运营商和所有者面临的关键挑战，确保其命令的执行和所需数据的安全性。

8. 系统安全工程

NIST系统安全工程项目对SP 800-160 Volume 2《开发网络弹性系统：一种系统安全工程方法》进行更新，这次更新为组织提供了防御攻击的新内容和支持工具。同时，NIST继续更新SP 800-160 Volume 1《系统安全工程：值得信赖的安全系统工程的多学科方法的考虑》，增加了帮助组织开发“设计安全”系统的内容，强调使用值得信赖的安全系统的设计原则。

三、小结

NIST《2021年网络安全和隐私年度报告》聚焦于八个关键领域，回顾了2021年开展的相关活动和研究工作。其中，密码标准和验证、身份和访问管理是保证网络安全的重要基础，网络安全测量是有效管理网络安全风险的前提，隐私工程和风险管理是保护安全和隐私的具体实践。这份年度报告从多种维度总结了NIST在网络安全和隐私保护层面付出的努力，并预示了未来技术发展的方向。报告中许多领域研究的广度和深度仍在扩展，充分展示了美国过去及将来网络安全和隐私保护的发展脉络，我国可借鉴其研究路径，在相关领域开展标准化工作研究。（完）

本期《网络安全国际动态》内容得到了公安部第三研究所、北京天融信网络安全技术有限公司、北京亿赛通科技发展有限责任公司、浙江垦丁（广州）律师事务所、用友网络科技股份有限公司等单位的大力支持，特此致谢。

全国信息安全标准化技术委员会（TC260）秘书处

联系地址：北京市东城区安定门东大街1号（100007）

联 系 人：上官晓丽 林阳荟晨 

电  话：010-64102731