2023年5月30日,美国国家标准与技术研究院(NIST)发布SP 800-25《2022财年网络安全和隐私年度报告》(Fiscal Year 2022 Cybersecurity and Privacy Annual Report)。此报告重点介绍2022财年期间,NIST信息技术实验室(ITL)在网络安全和隐私保护领域的主要研究活动,包括:国际标准制定、关键优先技术的研究和应用、软件和供应链网络安全提升方面取得的成就,以及在物联网网络安全、密码标准化、风险管理框架等领域开展的项目等。
一、背景介绍
近年来,随着学术界和工业界对网络安全研究的愈发深入,NIST网络安全与隐私架构体系建设进程也逐步加快。自2020年起,NIST每年发布年度报告,总结其在网络安全与隐私保护领域的年度成果,分享相关技术、网络安全和隐私标准及指南,并为潜在的挑战和机遇提出应对策略。
2020年度报告聚焦网络安全意识和教育、身份识别与访问管理、测度和测量、风险管理、隐私工程、新兴技术、密码标准和验证、可信网络、可信平台九个关键领域,主要侧重身份识别与访问管理(IAM)标准、NIST网络安全测量计划、NIST风险管理框架(RMF)、隐私工程计划(PEP)等方面。
2021年度报告聚焦密码标准和验证、网络安全测量、教育和劳动力、身份识别与访问管理、隐私工程、风险管理、可信网络、可信平台八个关键领域,主要侧重密码技术、风险管理、受控非机密信息、系统工程和网络弹性、供应链和移动技术等方面。
2022年度报告聚焦密码技术、教育培训及劳动力开发、身份识别与访问管理、隐私、风险管理和测量、可信网络和平台、可用网络安全七个关键领域,主要侧重后量子密码标准化、NIST网络安全框架2.0、软件与供应链网络安全、物联网网络安全指南等方面。
对比三年的报告可知,密码技术、身份识别与访问管理、隐私保护、风险管理等NIST关注的核心领域几乎没有变化。2022年度在持续推进上述工作的同时,深化了对软件与供应链网络安全、物联网网络安全等领域的研究。
二、主要内容
NIST SP 800-25《2022财年网络安全和隐私年度报告》主要包括密码技术、教育培训及劳动力、身份识别与访问管理、隐私工程、风险管理、可信网络和平台、可用网络安全七个方面。
(一)密码技术
密码技术是信息技术和数据保护的基础。NIST在密码技术方面不断推出标准、指南、建议和工具,旨在为现在和未来所有类型的信息技术实现机密性、完整性、可用性提供保障。2022年密码技术方面主要成果如下:
(1)后量子密码算法
2022年7月,经过三轮评选,NIST公布了首批四种后量子密码算法。其中,对于一般加密,即用于保护通过公共网络交换的信息,NIST选择CRYSTALS-Kyber算法;对于数字签名(用于身份验证),NIST选择了CRYSTALS-Dilithium、Falcon、SPHINCS+三种算法;此外,为了保证算法的多样性,NIST选取BIKE、Classic McEliece、HQC、SIKE四种算法进行第四轮筛选。
(2)轻量级加密算法
为解决加密算法的性能在受限环境中难以应用等问题,2018年8月NIST启动了征求、评估和标准化轻量级加密算法的相关工作。NIST共征集到57份标准化材料,经过多轮公开审查及专家反复研讨后,2021年NIST宣布10份密码算法标准化提案进入第三轮审查。2023年2月NIST最终确立选定ASCON算法作为IoT设备轻量加密标准。
与此同时,2022年5月NIST召开了第五届轻量级密码技术研讨会,讨论候选算法的多方面性能以及轻量密码算法的标准化建议。2023年6月NIST举办了第六届轻量级密码技术研讨会,会议解释了算法的选择过程,并综合讨论轻量级密码标准化的工作任务。
(3)NIST加密出版审查委员会的工作进展
2022年NIST加密出版审查委员会(NIST’s Crypto Publication Review Board)完成了SP 800-22 Rev.1a《用于加密应用的随机和伪随机数生成器的统计测试套件》、FIPS 198-1《密钥散列消息鉴别码(HMAC)》、SP 800-106《数字签名的随机散列法》和SP 800-107 Rev. 1《推荐使用经过批准的散列算法应用程序》四项出版物的审查,目前SP 800-38E《针对块密码操作模式建议:用于存储设备机密性的XTS-AES模式》、SP 800-38D《针对分组密码操作模式的建议:GCM和GMAC》正在审查中。
(4)多方门限密码技术
NIST通过研讨会、公开征集、定向征集等形式,不断探索多方门限密码技术的标准化方案。
2020年7月,NIST发布IR 8214A《NIST关于密码原语门限方案规范的路线图》,该文件为开发一种实现密码工具的新方法提供概要,开发人员可用这样的密码工具来保护他们的系统安全。随后,NIST发布多个关于门限密码的草案文件,并征求公众意见。2022年8月,NIST发布IR 8214B《关于EdDSA/Schnorr阈值签名的注释》(草案),该文件分析了秘密分享的门限方案,其中私有签名密钥在多方之间进行秘密分享,并且可以在双方不重构密钥的情况下生成签名。2023年1月,NIST发布IR 8214C《多方门限方案》(草案),该文件详细说明了已有门限方案的类别、子类别和要求,包括安全特性、技术描述、开源实现和性能评估等,旨在帮助NIST密码技术小组收集参考材料,支持NIST未来多方门限加密和隐私增强加密项目的研究,推进门限密码相关的密码学原语(Cryptographic Primitive)标准化。
(二)教育、培训和劳动力
激励、促进和协调员工队伍是NIST的重要工作之一。网络安全教育国家倡议(NICE)携手强大的社区,共同推进网络安全教育、培训和劳动力发展的综合生态系统建设。2022年教育、培训和劳动力方面主要成果如下:
(1)国家K12网络安全教育路线图
NICE发布了《国家K12网络安全教育路线图》,旨在建立一个协调、连贯的国家K12网络安全教育活动机制,以便高效地部署工作和管理资产。该路线图包含五个要素:1)增强网络安全职业意识;2)推动学生参与交叉学科学习;3)激发创新教育途径;4)优化网络安全职业路径;5)协调发展配套战略。通过制定和维护国家K12网络安全教育路线图将支持和指导社区进行K12网络安全教育,增加从事网络安全职业的学生数量和质量。
(2)NICE战略规划
2020年11月,NICE发布《2021—2025年网络安全教育国家倡议战略规划》。NICE战略规划包括五项目标:1)促进网络安全事业多路径发展;2)转变学习方式,建立和维持一支多样化、高技能的劳动力队伍;3)实现人才管理过程现代化,解决网络安全技能缺口;4)扩大网络安全劳动力框架(NICE框架)的使用;5)推动网络安全劳动力开发的有效实践研究。
(3)网络安全学徒项目
2022年7月,NICE与美国劳工部共同展开了为期120天的网络安全学徒冲刺项目。努力支持各行各业使用注册学徒制来发展和培训多样化的网络安全劳动力。
(4)网络安全劳动力能力报告及职业路径
作为对《2021财年国防授权法案》的回应,NICE向美国国会提交了一份报告,即《衡量网络安全劳动力能力:为NICE框架定义专业标度》(Measuring Cybersecurity Workforce Capabilities: Defining a Proficiency Scale for the NICE Framework)。该报告旨在通过使用熟练测量表及NICE框架衡量网络安全劳动力的专业能力。
此外,NICE公布了网络安全职业路径信息。期望从业者能够参考并合理利用多种教育、培训和学习经验的组合,获得更广泛的就业机会。
(5)小型企业网络安全
小型企业网络安全网站(Small Business Cybersecurity Corner)持续为小企业网络安全及风险管理提供帮助。小型企业及其代表可通过该网站向NIST寻求有效的解决方案。NIST在帮助小型企业解决网络安全管理困境的同时,也将帮助自身更好地了解小型企业的独特需求。2022年7月,NIST发布IR 8374《勒索软件风险管理:网络安全框架配置文件》,该配置文件可用作管理勒索软件事件风险的指南,用于指导组织如何应对勒索软件威胁和处理事件潜在影响。
(6)研讨会及社区合作
NIST继续通过联邦网络安全劳动力峰会和网络研讨会、联邦信息安全教育工作者论坛(FISSEA)、NICE网络研讨会系列、网络安全职业意识周等活动开展社区合作。
(三)身份识别与访问管理
身份识别与访问管理(IAM)是数据保护、隐私和安全的基石。NIST在IAM领域发布了多项研究和指导文件,旨在确保正确的人、设备、数据和过程在正确的时间访问正确的资源。2022年身份识别与访问管理方面主要成果如下:
(1)发布新版《联邦雇员个人身份验证标准》
2022年1月,NIST发布修订后的FIPS 201-3《联邦雇员和承包商的个人身份验证(PIV)》,该出版物为个人身份验证(PIV)系统建立了标准,它利用联邦政府向其雇员和承包商颁发的可靠的身份凭证,对需要访问联邦控制的设施、信息系统和应用程序的个人进行身份验证。此外,该标准详细描述了初始身份验证、支持身份凭证互操作性的基础设施以及颁发PIV凭证的组织和过程的要求。
(2)发布《数字身份指南》草案
2022年12月,NIST发布SP 800-63《数字身份指南》草案。该系列出版物介绍了对身份证明、身份鉴别、数字身份管理进行不同级别保证的过程和技术要求,包括安全和隐私的要求,以及促进数字身份解决方案和技术在公平性和可用性上的其他考虑因素。此次第四版SP 800-63强调数字身份服务需要支持多种身份验证选项,以满足不同的消费者需求和安全的账户恢复,并在第三版的基础上着重加强欺诈预防措施,更新风险和威胁模型,增加针对注册过程自动攻击的防护要求。
(3)发布《人脸识别算法测试》
2022年7月,NIST发布IR 8429《人脸识别算法测试(FRVT)第8部分:总结人口差异》。该文件汇编并分析了人脸识别错误率在不同年龄、性别和基于种族的人口统计群体中的差异。同时NIST表示该步骤可以用来总结人口差异,并支持测量性能的标准开发,推动人脸识别技术的改进。
(4)发布《使用服务网格实现基于微服务的应用程序的DevSecOps》
2022年3月,NIST发布SP 800-204C《使用服务网格实现基于微服务的应用程序的DevSecOps》。该文件指出,目前最新一代的软件应用程序—云原生应用程序,已经发展成为一种松散耦合组件的标准化架构,也被称为微服务,由用于提供应用程序服务(如服务网格)的基础设施支持。在上述架构中,应用程序环境所涉及的整套源代码类型可分为五种:应用程序代码、应用程序服务代码、基础设施代码、策略代码、可观察性代码。因此,不同应用程序类的独特体系结构需要更灵活、便捷的软件生命周期范式,而DevSecOps能够提供更快的部署和更新,同时在整个生命周期中集成安全性。此外,SP 800-204C为托管具有上述代码类型的云原生应用程序的参考平台实施DevSecOps提供指导,同时就该方法对高安全保证和持续授权运营的益处进行分析。
(5)参与《移动驾驶执照(mDL)应用》国际标准制定
NIST为ISO/IEC 18013-5:2021《个人识别 符合ISO标准的驾驶执照 第5部分:移动驾驶执照(mDL)应用》(Personal identification — ISO-compliant driving licence — Part 5: Mobile driving licence (mDL) application)国际标准的制定做出了贡献,提出了测试该标准的参考实施方案,并为mDL生态系统提供了安全和隐私方面的建议。
(四)隐私
隐私是支持数字经济增长和提高生活质量的重要组成部分。NIST将隐私工程置于优先地位,通过保护隐私和公民自由的框架、风险模型和指南来支持测量科学和系统工程原理。2022年隐私工程方面主要成果如下:
(1)NIST发布了多份隐私框架文件
2020年1月,NIST发布《隐私框架:通过企业风险管理改善隐私的工具》(1.0版)。隐私框架由核心、概要和实施层三部分组成。每个组成部分通过业务和任务驱动、组织角色和职责以及隐私保护活动之间的联系来加强隐私风险管理。
(2)NIST差分隐私博客系列(NIST’s differential privacy blog series)
NIST利用去标识化工具中的差分隐私部分开发了博客系列,旨在帮助业务流程所有者和隐私计划人员了解有关差分隐私和适用用例的基本概念,并帮助隐私工程师和IT专业人员使用这些工具。该博客的长期目标是将其转化为关于差分隐私的更深入的指导方针。此外,NIST鼓励读者使用贡献部分提出问题并分享知识,以更好地为这些指南的制定提供信息。
(3)成立NIST隐私劳动力公共工作组
隐私劳动力公共工作组(Privacy Workforce Public Working Group,PWWG)旨在为公众(包括私营企业、公共部门、学术界和民间社会)提供一个交流平台,以创建和完善“NIST隐私劳动力分类”(NIST Privacy Workforce Taxonomy)。目前3个PWWG项目正在进行:治理风险管理、治理意识和培训、以及对照数据处理管理。
(4)隐私增强技术奖挑战
在NIST的赞助下,美国与英国数据伦理与创新中心合作发起了“隐私增强技术(PET)挑战”,以推进隐私保护的联邦学习。PET提供了一个机会,以保护隐私和知识产权的方式利用数据的力量,实现跨境和跨部门协作以解决共同的挑战。
(5)隐私研究与开发、隐私保护数据共享和分析小组
NIST将继续在隐私工程领域和优先技术领域展开合作。2022年6月,NIST推进隐私保护数据共享和分析快速通道行动委员会举行虚拟圆桌会议,讨论目前采用最佳实践和标准中存在的阻碍,如法律法规政策中存在差异的条款。此外,NIST就隐私保护数据共享方面现有的关键/新兴技术及其研发成熟度现状、尚未探索或未充分探索的方法/技术和问题展开讨论。
(五)风险管理与测量
在技术快速发展今天,组织必须平衡自身使命和业务需求与网络安全威胁和隐私风险间的关系。因此,NIST将风险管理集成到相关出版物和指南中,以帮助组织在更大的背景下更好地理解、测量、管理和降低网络安全威胁和隐私风险。2022年风险管理与测量方面主要成果如下:
(1)NIST《网络安全框架2.0核心》CSF 2.0
2022年2月,NIST发布了《评估和改进NIST网络安全资源:网络安全框架和网络安全供应链风险管理》的公开征求意见稿(RFI)。2022年6月,NIST发布了《对评估和改进网络安全资源的信息请求响应(RFI)的初步总结分析:网络安全框架和网络安全供应链风险管理》。NIST对每个RFI进行了分析:1)确定受访者信息,包括部门、规模和组织类型;2)确定框架更新的具体建议,包括框架的哪些部分或其他主题由响应解决;3)识别征集到的意见中的关键点、共同点和反复出现的内容。
(2)发布新版《评估信息系统和组织的安全与隐私控制》
2022年1月,NIST发布SP 800-53A Rev.5《评估信息系统和组织的安全与隐私控制》。该出版物提供了一套在风险管理框架内适用于系统和组织的安全和隐私评估方法和程序,帮助组织进行灵活、定制化的安全和隐私控制评估,进而支持组织的风险管理工作。此外,该出版物还为建立有效的安全和隐私评估计划提供指导。此次SP 800-53A修订版包括新的评估程序,解决了SP 800-53 Rev.5中新增和更新的隐私和供应链风险管理控制。SP 800-53A还引入了新的评估程序,以更好地支持自动化工具的使用,提高评估员和组织的控制评估效率,并支持连续监控和程序授权。
(3)发布安全软件和网络安全供应链指南
2022年2月,NIST发布SP 800-218《安全软件开发框架(SSDF)1.1版本:降低软件漏洞风险的建议》,落实第14028号行政令《改善美国国家网络安全》相关要求。该出版物取代了2020年4月发布的网络安全白皮书《通过采用安全软件开发框架(SSDF)降低软件漏洞风险》,详细描述了一组被称为“安全软件开发框架”(SSDF)的高级安全软件开发实践。通过将SSDF集成到软件开发生命周期,可以帮助软件开发商减少已发布软件中的漏洞数量,减轻未被发现或未被解决漏洞的潜在影响,并从根本上解决漏洞,防止其再次发生。此外,该出版物为安全软件开发提供了一个通用词汇表,以促进软件购买者及消费者在采购或其他活动中与软件供应商的沟通。
2022年5月,NIST发布SP 800-161《系统和组织的网络安全供应链风险管理实践指南》。该文件更新了有关识别、评估和应对组织各级供应链中网络安全风险的指导。有助于履行NIST在第14028号行政令下关于改善国家网络安全的职责,解决整个供应链中不断增加的软件安全风险。SP 800-161为组织提供了关键实践,供其在提高管理供应链内部和整个供应链的网络安全风险能力时采用。此外,NIST还鼓励组织不仅需要考虑他们正在使用的成品的安全脆弱性,还需要考虑其单个组件及组件完成任务过程中的安全脆弱性。
(六)可信网络和平台
NIST在可信网络和可信平台领域持续发布实施指南,以确保跨工业部门的安全性、可靠性和弹性。2022年可信网络和平台方面主要成果如下:
(1)软件供应链安全性和完整性指南
为支持第14028号行政令《改善美国国家网络安全》,NIST陆续出版了SP 800-161《系统和组织的网络安全供应链风险管理实践指南》、NIST IR 8397《软件开发人员验证最低标准指南》以及系统安全工程和安全软件开发指南等文件。这些文件旨在增强软件供应链安全性和完整性,加强指导体系的完备性。
(2)硬件安全机制和治理保障指导
2022年5月,NIST发布IR 8320B《硬件支持的安全:可信容器平台中基于策略的治理》。该报告解释了一种基于硬件支持的安全技术和方法,用于保护多租户云环境中的容器部署过程。
(3)物联网网络安全计划
2022年2月,NIST发布《消费类物联网产品网络安全标签推荐标准》,能够为个人、家庭使用的物联网产品提供建议。2022年9月,NIST发布了“在NIST基础上:物联网网络安全的下一步计划”研讨会总结报告。本报告总结了2022年6月在一个虚拟研讨会上NIST收到的关于物联网网络安全计划和物联网产品网络安全标准的工作反馈。
(七)可用网络安全
可用性团队聚焦网络安全和心理学交叉领域,其工作目标是寻求更好理解和改善用户网络安全交互的方案,并促进用户参与网络安全建设的积极性,提高用户的知情权。
(1)“网络钓鱼量表”(Phish Scale)临时专利
NIST获得了“网络钓鱼量表”临时专利,这是一种帮助组织统计网络钓鱼培训点击率的方法。2021年3月,NIST基于四年以上的网络钓鱼训练数据发布《网络钓鱼量表:评估人为网络钓鱼检测难度的方法》,主要用于评估人为网络钓鱼检测难度,了解网络钓鱼点击率变化。2023年4月,NIST举办网络钓鱼和安全意识会议,讨论解决网络钓鱼检测中的人为因素影响,并针对环境和员工定制个性网络钓鱼培训方案,以提高组织的风险承受能力。
(2)青少年网络安全认识研究
2022年8月,NIST发布了一项考察青少年网络安全和隐私认知、知识和行为的亲子研究,《调查青少年向他人学习在线安全和隐私的情况:研究设计和统计分析考虑因素的讨论》。该研究发现,父母的交谈是青少年获得关于安全及隐私等知识的关键来源。
(3)意识和培训
2022年3月,NIST发布NIST IR 8420系列研究文件,如:《联邦网络安全意识劳动力:专业背景、知识、技能和发展活动》《联邦网络安全意识计划的方法和挑战》等。这些文件采用定性及定量的方法确定联邦政府内部安全意识计划的方法和挑战。从这些研究结果中NIST可以获得指导信息,以有计划的帮助联邦组织建立有效的安全意识。
(4)智能家居设备
2022年5月,NIST发布《消费者对非智能家居设备的看法》报告,介绍了非智能家居设备可能潜在的安全和安保隐患。通过对智能家居用户进行调查,深入了解了用户对智能家居系统更新的重要性、安全性和隐私的看法。
三、总结
NIST发布的《2022财年网络安全和隐私年度报告》列举了其在2022-2023财年间多个关键领域取得的工作进展和成就。它是一份总结性的概览文件,能够从多维度追踪NIST多个项目组在网络安全及隐私保护技术、标准和指南方面的工作进展。同时,NIST年度报告也是一份指示性文件,能够为后续网络安全研究和应用提供方向。近年来,我国也陆续开展网络安全与隐私方面的标准化研究工作,这份年度报告对我国工作计划安排和推进有重要的参考价值。(完)
声明:本文来自全国信安标委,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。