美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)《網(wǎng)絡(luò)安全框架》發(fā)生了重大變化，例如協(xié)調(diào)披露漏洞(Coordinated Vulnerability Disclosure，CVD)內(nèi)容可能會推遲到今后的修訂版本中，而不會納入在V 1.1.版本中。

這是上周NIST發(fā)布的5月公眾征詢研討會結(jié)果之一。NIST在研討中提出計劃明年早些時候完成對《網(wǎng)絡(luò)安全框架》的修訂。

報告中提到“向后兼容”性，即確保現(xiàn)有版本V1.0的用戶能使用新版本V1.1。也就是說，只會進(jìn)行較小的調(diào)整，例如新增多因素身份驗證或新增解決物聯(lián)網(wǎng)風(fēng)險的方法。

V1.1草案提議修改項

NIST在研討報告中提出，計劃推動對V1.1草案(今年1月發(fā)布的)中的提議修改項，包括：

修改網(wǎng)絡(luò)安全度量的內(nèi)容。企業(yè)領(lǐng)導(dǎo)者希望明確這里指的是自我評估，而非審計或法律標(biāo)準(zhǔn)。

在身份與訪問管理中新增子節(jié)，即身份驗證。包括基于風(fēng)險身份驗證方法的三層描述：單一、多因素和持續(xù)驗證。

將網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理實現(xiàn)層級(Cyber Supply Chain Implementation Tier)融入到其它三個實現(xiàn)層級內(nèi)容中。

刪除第3.7節(jié)，聯(lián)邦機(jī)構(gòu)應(yīng)用框架的部分。特朗普行政令EO13800已經(jīng)解決了這個問題，聯(lián)邦機(jī)構(gòu)具有獨立的框架指南。這份研討報告暗示，這可能有助于推動國際上采用該框架。

最根本的是，整個文件的評估和內(nèi)容更新是為了更好地適應(yīng)物聯(lián)網(wǎng)和工控系統(tǒng)網(wǎng)絡(luò)安全。

報告指出，參會者協(xié)調(diào)漏洞披露(CVD)達(dá)成一致意見，即企業(yè)創(chuàng)建渠道報告并修復(fù)自制軟件的漏洞，這是一個成熟的做法。但有些參會者主張，在框架多次迭代中分階段融合。

有些參會者認(rèn)為，框架V1.1適合引入CVD，其它參與者則認(rèn)為，通過更多時間研究CVD與次框架之間的交叉點，也許能將CVD全面納入到在V2.0中。

報告稱，NIST將于今年秋天發(fā)布新草案，明年發(fā)布最終版本V1.1.