上周，美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)在美國圣地亞哥舉行了第三次網(wǎng)絡(luò)安全框架研討會，根據(jù)2013年2月12日美國總統(tǒng)奧巴馬所簽署的總統(tǒng)令，建立一個完善的網(wǎng)絡(luò)安全框架，以提高關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。這次研討會有將近500人參與，NIST意在從這些參與者中收集有效反饋信息，以填補初步框架草案內(nèi)容，初步框架將于10月初發(fā)布。

本次研討會召開之前，NIST就提供了一份基本框架草案大綱，讓研討會參與者填補框架的核心內(nèi)容，其中包括五項網(wǎng)絡(luò)安全功能：了解、檢測、預(yù)防、應(yīng)對和恢復(fù)。每一項功能需要歸類，比如“了解”功能，可以分為“了解企業(yè)資產(chǎn)和系統(tǒng)”，轉(zhuǎn)而還要將這些類別進(jìn)行再分類，比如“了解企業(yè)風(fēng)險架構(gòu)”。

參與者需要指出每個類別和子類別下的相關(guān)信息參考，比如現(xiàn)有的標(biāo)準(zhǔn)，這可能有助于實現(xiàn)類別和子類別的目標(biāo)。NIST提供了一個包含322個信息參考的綱要，這些參考大部分來源于國際標(biāo)準(zhǔn)化組織(ISO)、美國國家標(biāo)準(zhǔn)協(xié)會(ANSI)和全國環(huán)境研究委員會(NERC)等標(biāo)準(zhǔn)制定組織。

為了完成這項工作，NIST將研討會參與者分為了8個工作組，每個組同一個NIST協(xié)調(diào)者合作，在為期三天的研討會上評估和修改這五項功能并并行分類和再分類，同時設(shè)法將相關(guān)參考定位到核心內(nèi)容的恰當(dāng)部位。

NIST計劃在7月底完成整合8個工作組的成果，形成統(tǒng)一文件，并在8月底第四次研討會召開前發(fā)布一個更加完善的版本。第四次研討會將于9月11日在美國達(dá)拉斯召開。

盡管很少有參與者了解8個工作組在哪些工作領(lǐng)域上意見一致或者出現(xiàn)分歧，但是NIST很滿意于整個工作過程。“它看起來更像是一個非常豐富的工具箱，而規(guī)則管理程序則是教你怎樣使用這個工具箱”，NIST主管Patrick Gallagher研討會第二天說。

“大多數(shù)工作組已經(jīng)著手這項任務(wù)并開始準(zhǔn)備大綱、完成我們提出的工作”，Adam Sedgewick說。Adam Sedgewick是NIST資深信息技術(shù)政策顧問，同時也是這項框架建立程序的主要組織者之一。

“獨立概括總結(jié)8組的工作，這有點難”，一個大型政府公共設(shè)施網(wǎng)絡(luò)安全專家說，“我覺得，整合收集反饋信息會給NIST帶來一些有價值的見解，給完善框架草案核心內(nèi)容帶來一個良好的開端”。

事實上，三天的研討會進(jìn)展的非常順利，NIST為參與者提供了高質(zhì)量、專業(yè)以及便利的工作條件，從而贏得了參與者們的高度評價。即使如此，在10月***期限進(jìn)入了緊張的倒計時階段，框架開發(fā)工作也出現(xiàn)了一些裂痕。

比如一些聲音質(zhì)疑：“NIST是要推翻現(xiàn)有的網(wǎng)絡(luò)安全戰(zhàn)略重新創(chuàng)建嗎?”，對此，NISTSedgewick回應(yīng)說，現(xiàn)階段NIST著手開發(fā)的網(wǎng)絡(luò)安全框架，是不斷完善現(xiàn)有的網(wǎng)絡(luò)安全戰(zhàn)略，建立一個更高層次、更加靈活且應(yīng)用范圍更廣的網(wǎng)絡(luò)安全框架，而不是推翻重建。

同時，在網(wǎng)絡(luò)安全框架開發(fā)過程中，只有少數(shù)選定部門領(lǐng)域，如能源、金融和通訊等領(lǐng)域，對于開發(fā)工作表現(xiàn)出積極性，其他一些相對比較弱勢的領(lǐng)域可能會給網(wǎng)絡(luò)安全框架應(yīng)用的廣泛性拖后腿。

還有人對美國國土安全部和NIST能否更好的協(xié)調(diào)合作表示擔(dān)心，尤其在12日美國國土安全部部長Janet Napolitano宣布辭職，更加劇了參與者的這種擔(dān)心。但是，來自NIST和美國國土安全部的代表均表示，兩個組織在共享和相關(guān)任務(wù)中協(xié)調(diào)得很好。

還有人擔(dān)心這個基于自愿性基礎(chǔ)的網(wǎng)絡(luò)安全框架有可能會演變成為一種強制的規(guī)章制度，針對這一問題，參與者在研討會上強調(diào)并討論過，同時介紹了參議院商務(wù)委員會網(wǎng)絡(luò)安全法案的草案，草案中包含了網(wǎng)絡(luò)安全框架的相關(guān)內(nèi)容，現(xiàn)階段這個草案仍然基于自愿性的基礎(chǔ)。(王旋編譯)