上周，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)在美國(guó)圣地亞哥舉行了第三次網(wǎng)絡(luò)安全框架研討會(huì)，根據(jù)2013年2月12日美國(guó)總統(tǒng)奧巴馬所簽署的總統(tǒng)令，建立一個(gè)完善的網(wǎng)絡(luò)安全框架，以提高關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。這次研討會(huì)有將近500人參與，NIST意在從這些參與者中收集有效反饋信息，以填補(bǔ)初步框架草案內(nèi)容，初步框架將于10月初發(fā)布。

本次研討會(huì)召開(kāi)之前，NIST就提供了一份基本框架草案大綱，讓研討會(huì)參與者填補(bǔ)框架的核心內(nèi)容，其中包括五項(xiàng)網(wǎng)絡(luò)安全功能：了解、檢測(cè)、預(yù)防、應(yīng)對(duì)和恢復(fù)。每一項(xiàng)功能需要?dú)w類，比如“了解”功能，可以分為“了解企業(yè)資產(chǎn)和系統(tǒng)”，轉(zhuǎn)而還要將這些類別進(jìn)行再分類，比如“了解企業(yè)風(fēng)險(xiǎn)架構(gòu)”。

參與者需要指出每個(gè)類別和子類別下的相關(guān)信息參考，比如現(xiàn)有的標(biāo)準(zhǔn)，這可能有助于實(shí)現(xiàn)類別和子類別的目標(biāo)。NIST提供了一個(gè)包含322個(gè)信息參考的綱要，這些參考大部分來(lái)源于國(guó)際標(biāo)準(zhǔn)化組織(ISO)、美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI)和全國(guó)環(huán)境研究委員會(huì)(NERC)等標(biāo)準(zhǔn)制定組織。

為了完成這項(xiàng)工作，NIST將研討會(huì)參與者分為了8個(gè)工作組，每個(gè)組同一個(gè)NIST協(xié)調(diào)者合作，在為期三天的研討會(huì)上評(píng)估和修改這五項(xiàng)功能并并行分類和再分類，同時(shí)設(shè)法將相關(guān)參考定位到核心內(nèi)容的恰當(dāng)部位。

NIST計(jì)劃在7月底完成整合8個(gè)工作組的成果，形成統(tǒng)一文件，并在8月底第四次研討會(huì)召開(kāi)前發(fā)布一個(gè)更加完善的版本。第四次研討會(huì)將于9月11日在美國(guó)達(dá)拉斯召開(kāi)。

盡管很少有參與者了解8個(gè)工作組在哪些工作領(lǐng)域上意見(jiàn)一致或者出現(xiàn)分歧，但是NIST很滿意于整個(gè)工作過(guò)程。“它看起來(lái)更像是一個(gè)非常豐富的工具箱，而規(guī)則管理程序則是教你怎樣使用這個(gè)工具箱”，NIST主管Patrick Gallagher研討會(huì)第二天說(shuō)。

“大多數(shù)工作組已經(jīng)著手這項(xiàng)任務(wù)并開(kāi)始準(zhǔn)備大綱、完成我們提出的工作”，Adam Sedgewick說(shuō)。Adam Sedgewick是NIST資深信息技術(shù)政策顧問(wèn)，同時(shí)也是這項(xiàng)框架建立程序的主要組織者之一。

“獨(dú)立概括總結(jié)8組的工作，這有點(diǎn)難”，一個(gè)大型政府公共設(shè)施網(wǎng)絡(luò)安全專家說(shuō)，“我覺(jué)得，整合收集反饋信息會(huì)給NIST帶來(lái)一些有價(jià)值的見(jiàn)解，給完善框架草案核心內(nèi)容帶來(lái)一個(gè)良好的開(kāi)端”。

事實(shí)上，三天的研討會(huì)進(jìn)展的非常順利，NIST為參與者提供了高質(zhì)量、專業(yè)以及便利的工作條件，從而贏得了參與者們的高度評(píng)價(jià)。即使如此，在10月***期限進(jìn)入了緊張的倒計(jì)時(shí)階段，框架開(kāi)發(fā)工作也出現(xiàn)了一些裂痕。

比如一些聲音質(zhì)疑：“NIST是要推翻現(xiàn)有的網(wǎng)絡(luò)安全戰(zhàn)略重新創(chuàng)建嗎?”，對(duì)此，NISTSedgewick回應(yīng)說(shuō)，現(xiàn)階段NIST著手開(kāi)發(fā)的網(wǎng)絡(luò)安全框架，是不斷完善現(xiàn)有的網(wǎng)絡(luò)安全戰(zhàn)略，建立一個(gè)更高層次、更加靈活且應(yīng)用范圍更廣的網(wǎng)絡(luò)安全框架，而不是推翻重建。

同時(shí)，在網(wǎng)絡(luò)安全框架開(kāi)發(fā)過(guò)程中，只有少數(shù)選定部門(mén)領(lǐng)域，如能源、金融和通訊等領(lǐng)域，對(duì)于開(kāi)發(fā)工作表現(xiàn)出積極性，其他一些相對(duì)比較弱勢(shì)的領(lǐng)域可能會(huì)給網(wǎng)絡(luò)安全框架應(yīng)用的廣泛性拖后腿。

還有人對(duì)美國(guó)國(guó)土安全部和NIST能否更好的協(xié)調(diào)合作表示擔(dān)心，尤其在12日美國(guó)國(guó)土安全部部長(zhǎng)Janet Napolitano宣布辭職，更加劇了參與者的這種擔(dān)心。但是，來(lái)自NIST和美國(guó)國(guó)土安全部的代表均表示，兩個(gè)組織在共享和相關(guān)任務(wù)中協(xié)調(diào)得很好。

還有人擔(dān)心這個(gè)基于自愿性基礎(chǔ)的網(wǎng)絡(luò)安全框架有可能會(huì)演變成為一種強(qiáng)制的規(guī)章制度，針對(duì)這一問(wèn)題，參與者在研討會(huì)上強(qiáng)調(diào)并討論過(guò)，同時(shí)介紹了參議院商務(wù)委員會(huì)網(wǎng)絡(luò)安全法案的草案，草案中包含了網(wǎng)絡(luò)安全框架的相關(guān)內(nèi)容，現(xiàn)階段這個(gè)草案仍然基于自愿性的基礎(chǔ)。(王旋編譯)