一、NIST概況
?
NIST(美國國家標準和技術研究所)隸屬于美國商務部,其工作是通過發展測量科學、制定標準和技術創新,來推動產業創新和競爭力的提升,目標是加強美國經濟安全和改善民眾生活質量。NIST研究領域包括:生物科學與健康、建筑和火災、化學/數學/物理、電子與通信、能源、環境/氣候、信息技術、制造業、材料科學、納米技術、公共安全與財產安全、質量、交通運輸等。
?
NIST通過實驗室和項目開展工作,包括:信息技術實驗室、通訊技術實驗室、工程實驗室、材料測量實驗室、物理測量實驗室、納米科學與技術中心、中子科學與技術研究中心、波多里奇卓越績效計劃、霍林斯制造業拓展聯盟、其它項目計劃等。
?
NIST信息技術實驗室下設計算機安全部(SCD),負責制定標準、指南、測試和測量,下轄的五個工作組分別開展研究與推廣工作——密碼技術組負責研究、制定、設計密碼算法、方法和協議;安全系統與應用組負責將安全技術、標準、指南應用到信息系統,并將新技術向產業轉化;安全組件與機制組負責研究、制定基礎安全機制、協議和服務;安全推廣組負責開發和推廣特定的信息安全標準、指南、最佳實踐和技術。安全測試檢驗與測量組負責推動信息安全測試、測量,檢驗密碼算法、密碼模塊、安全內容自動協議(SCAP)合規產品。
?
二、NIST出版物
?
NIST信息安全出版物主要有:FIPS(聯邦信息處理標準)、SP800(特別出版物)、NISTIR(跨機構報告)、ITL(信息技術實驗室公告)。
?
FIPS由美國商務部長據FISMA(聯邦信息安全管理法案)簽署。典型FIPS出版物有:FIPS 140(加密模塊安全要求)、FIPS 180(安全哈希標準)、FIPS 186(數字簽名標準)、FIPS 201(聯邦雇員身份驗證)等。
?
SP800特別出版物報告了計算機安全研究成果,典型SP800特別出版物有:800-12(計算機安全概論:NIST手冊)、800-30(風險評估實施指南)、800-34(聯邦信息系統應急計劃指南)、800-53(聯邦信息系統及機構安全與隱私控制)、800-82(工控系統安全指南)、800-144(云計算安全和隱私指南)等。
?
三、美國13636號總統令
?
2013年2月,美國總統奧巴馬簽發了《提升關鍵基礎設施網絡安全》的13636號行政令,指示NIST制定一套減少關鍵基礎設施網絡安全風險的框架。框架核心由五部分組成:識別(Identify)、保護(Protect)、檢測(Detect)、響應(Respond)、恢復(Recover)。2014年2月12日,NIST發布了《提升關鍵基礎設施網絡安全》第一版,該框架及后續的一攬子計劃,是在美國政府推動下由NIST承擔的一項重大工作計劃,將對美國未來的網絡與信息安全產生重大影響,也將會對全球的信息安全領域產生重要影響。
?