一、NIST概况
NIST(美国国家标准和技术研究所)隶属于美国商务部,其工作是通过发展测量科学、制定标准和技术创新,来推动产业创新和竞争力的提升,目标是加强美国经济安全和改善民众生活质量。NIST研究领域包括:生物科学与健康、建筑和火灾、化学/数学/物理、电子与通信、能源、环境/气候、信息技术、制造业、材料科学、纳米技术、公共安全与财产安全、质量、交通运输等。
NIST通过实验室和项目开展工作,包括:信息技术实验室、通讯技术实验室、工程实验室、材料测量实验室、物理测量实验室、纳米科学与技术中心、中子科学与技术研究中心、波多里奇卓越绩效计划、霍林斯制造业拓展联盟、其它项目计划等。
NIST信息技术实验室下设计算机安全部(SCD),负责制定标准、指南、测试和测量,下辖的五个工作组分别开展研究与推广工作——密码技术组负责研究、制定、设计密码算法、方法和协议;安全系统与应用组负责将安全技术、标准、指南应用到信息系统,并将新技术向产业转化;安全组件与机制组负责研究、制定基础安全机制、协议和服务;安全推广组负责开发和推广特定的信息安全标准、指南、最佳实践和技术。安全测试检验与测量组负责推动信息安全测试、测量,检验密码算法、密码模块、安全内容自动协议(SCAP)合规产品。
二、NIST出版物
NIST信息安全出版物主要有:FIPS(联邦信息处理标准)、SP800(特别出版物)、NISTIR(跨机构报告)、ITL(信息技术实验室公告)。
FIPS由美国商务部长据FISMA(联邦信息安全管理法案)签署。典型FIPS出版物有:FIPS 140(加密模块安全要求)、FIPS 180(安全哈希标准)、FIPS 186(数字签名标准)、FIPS 201(联邦雇员身份验证)等。
SP800特别出版物报告了计算机安全研究成果,典型SP800特别出版物有:800-12(计算机安全概论:NIST手册)、800-30(风险评估实施指南)、800-34(联邦信息系统应急计划指南)、800-53(联邦信息系统及机构安全与隐私控制)、800-82(工控系统安全指南)、800-144(云计算安全和隐私指南)等。
三、美国13636号总统令
2013年2月,美国总统奥巴马签发了《提升关键基础设施网络安全》的13636号行政令,指示NIST制定一套减少关键基础设施网络安全风险的框架。框架核心由五部分组成:识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)、恢复(Recover)。2014年2月12日,NIST发布了《提升关键基础设施网络安全》第一版,该框架及后续的一揽子计划,是在美国政府推动下由NIST承担的一项重大工作计划,将对美国未来的网络与信息安全产生重大影响,也将会对全球的信息安全领域产生重要影响。
