主席克拉克(Clarke)、高级成员加巴里诺(Garbarino)和小组委员会杰出成员,我是查尔斯·罗明(Charles Romine)博士,商务部国家标准与技术研究所(NIST)信息技术实验室(ITL)主任。感谢您今天有机会代表NIST就我们改善联邦政府网络安全的努力作证。
NIST是五位诺贝尔奖获得者的所在地,其项目侧重于国家重点领域,如人工智能、先进制造、数字经济、精密计量学、量子信息科学、生物科学,当然还有网络安全。NIST的使命是通过推进计量科学、标准和技术,以增强经济安全和提高我们的生活质量,从而促进美国的创新和产业竞争力。
在NIST信息技术实验室,我们致力于培养对信息技术和计量学的信任。对数字经济的信任建立在网络安全、隐私、互操作性、公平以及避免技术开发和部署中的偏见等关键原则之上。NIST进行基础和应用研究,提高理解和测量技术的标准,并开发评估此类测量的工具。技术标准以及支持其开发和使用的基础研究对于提高数字产品和服务之间的信任度和促进互操作性至关重要。至关重要的是,它们可以提供更高的保证,从而实现更安全、更私密和更维权的技术。
NIST在网络安全中的作用
今年,NIST将庆祝其网络安全工作50周年。NIST在应对网络安全和隐私挑战方面的作用包括开展研究,为公共和非公共组织制定广泛的基础标准、指南和工具。这些努力的重点是确保今天使用的技术,同时也进行了突破性的研究,以确保未来的技术。50年前,NIST的努力始于数据加密标准的发布,该标准实现了安全高效,就像我们今天都喜欢的电子银行一样。据估计,NIST高级加密标准在20年的时间内将提供超过2500亿美元的经济价值。今天,我们的工作包括从技术加密算法、建立强有力的网络安全和隐私控制、管理网络安全和保密风险的运营资源到网络安全教育和培训计划的所有方面。为了庆祝我们成立50周年,我们将举办一些活动和资源,以突出NIST多年来在网络安全方面取得的一些非凡进步,并鼓励您在我们的网站上查看。
作为一个非监管机构,NIST对我们与政府和私营部门建立的强大合作关系感到自豪。NIST寻求并依赖政府、行业、学术界和非营利实体之间的不同利益相关者反馈,以开发和改进我们的网络安全资源。NIST用于开发资源的协作、透明和开放过程产生了更有效和可用的资源,这些资源得到了广泛信任,因此被各个组织更广泛地使用。因此,NIST资源不仅被联邦机构使用,还被各种规模的私营部门组织、教育机构以及州、地方和部落政府使用。
网络安全对于完成联邦任务、保护联邦系统和信息以及确保获得美国人所依赖的重要项目和服务至关重要。我很高兴今天与管理与预算办公室和国家网络主管办公室的Chris DeRusha以及网络安全与基础设施安全局的Eric Goldstein一起作证,这是NIST在加强联邦机构网络安全方面的两个重要合作伙伴。根据《联邦信息安全现代化法案》(FISMA),NIST为非国家安全联邦机构系统制定了安全标准和指南,这对联邦机构可能是强制性的。NIST标准和指南为联邦机构开发和管理联邦系统的网络安全和隐私计划提供了基线和操作指南。NIST的工作也为OMB和CISA提供了信息,帮助联邦机构实施这些强有力的网络安全措施。联邦机构依靠NIST提供无偏见、技术可靠的信息,这些信息既可操作又灵活,以满足其独特的使命和业务需求,同时管理网络安全和隐私风险。NIST在为联邦机构制定安全指南方面的明确作用首次在1965年的《布鲁克斯自动数据处理法》(公法89-306)中确立。1987年《计算机安全法》(第100-235号公法)、2002年《联邦信息安全管理法》(第107-347号公法)加强了其作用1,并在2014年《联邦信息安全现代化法案》(FISMA 2014)(公法113-283)中重申。
关于改善国家网络安全的第14028号行政命令
2021年5月12日,拜登总统签署了“改善国家网络安全”(EO 14028)的行政命令,该命令旨在改善联邦政府和国家网络的网络安全。SolarWinds、Microsoft Exchange和Colonial Pipeline事件等网络安全事件提醒我们,美国公共和私营部门实体越来越多地面临来自国家行为者和网络犯罪分子的复杂恶意网络活动。这些事件具有共同点,包括软件和供应链网络安全防御不足,致使公共和私营部门实体易受事件影响。它强调了保护联邦机构已经使用的现有软件的重要性,以及采用强有力的安全软件开发和供应链风险管理原则来解决联邦机构采购的软件的安全问题。
该行政命令包括通过NIST向商务部长发出的几项指令,旨在加强软件供应链安全。我很高兴地报告,尽管时间紧迫,NIST已满足EO下的所有可交付成果。NIST通过公开、透明和包容的流程,与其他政府机构、私营和公共部门组织和个人密切合作,执行EO指令。这包括在过去一年举办了七次研讨会,征求利益相关者的意见。在EO发布三周后,于2021年6月2日和3日主办了首次研讨会,共有1400多名与会者和150份立场文件。此外,NIST还参加了两次白宫峰会,分别是网络安全供应链峰会和开源软件安全峰会,为我们的工作提供了信息。
加强软件安全和网络安全供应链风险管理
为了响应EO,NIST在过去一年里开展了开创性的工作,以识别和保护关键软件,建立安全的软件开发生命周期最佳实践,建立软件供应商或开发人员验证的最低标准,建立供应链安全指南,并制定技术标准,告知试点标签项目的启动,以帮助消费者了解软件产品和物联网设备的网络安全。根据EO制定的NIST指南提供了有效措施,以降低软件供应链的风险,同时允许安全软件生态系统内的未来创新和经济增长。在此过程中,NIST还协助管理和预算办公室、网络安全和基础设施安全局、总务管理局和其他机构履行EO规定的职责。附录中列出了NIST在EO 14028下所做的工作和可交付成果的完整列表,但我将在这里详细介绍一些关键工作。
定义和保护关键软件
EO的目标之一是协助制定联邦政府使用的关键软件产品的安全基线。将软件指定为EO-critical将推动其他活动,包括联邦政府如何购买和管理部署的关键软件。根据EO,NIST将EO-critical软件定义为对至少具有以下属性之一的一个或多个组件具有或具有直接软件依赖性的任何软件:设计为以提升权限或管理权限运行;直接或特权访问网络或计算资源;旨在控制对数据或操作技术的访问;履行对信任至关重要的职能;或者,在具有特权访问权限的正常信任边界之外运行。EO指示NIST发布关键软件安全措施指南,并进一步指示管理和预算办公室(OMB)要求联邦机构遵守该指南。NIST于2021年7月发布的指南概述了保护联邦机构使用的关键软件的核心网络安全措施。NIST制定的指南旨在补充而非替代NIST其他软件安全措施,包括供应链安全和零信任实践指南。
确保安全的软件开发
EO要求政府只购买安全开发的软件,并指示NIST“发布指导,确定增强软件供应链安全性的实践”。安全开发实践将有助于确保在软件产品的整个生命周期中考虑安全性。安全软件开发框架(SSDF)于2022年2月更新,以响应EO 14028,为安全软件开发提供了一套基本和良好的实践。SSDF是与整个软件行业的组织合作开发的。它旨在帮助软件生产商减少已发布软件中的漏洞数量,减少利用未检测或未解决漏洞的潜在影响,并解决漏洞的根本原因,以防止再次发生。此外,由于SSDF提供了一种描述安全软件开发实践的通用语言,软件生产商和收购商可以使用它来促进采购过程和其他管理活动的沟通。
此外,为了实现EO的目标,NIST还发布了相关的软件供应链安全指南,以帮助联邦机构在获取软件或包含软件的产品时,了解如何确保符合SSDF中概述的安全软件开发实践。该指南建议各机构应使用SSDF术语组织有关安全软件开发要求的沟通,要求认证涵盖整个软件生命周期的安全软件开发实践,接受符合SSDF实践的第一方证明,除非基于风险的方法确定需要第二方或第三方证明,并且在请求一致性工件时,请求高级工件。它还建议各机构实施NIST供应链网络安全指南中概述的实践,以提高供应链网络安保风险的可视性并缓解风险。
按照OMB 3月份的指示,根据EO,联邦机构现在需要实施SSDF和NIST的相关安全指导。NIST致力于在行政部门内协助OMB和机构实施本指南。未来,NIST将为组织提供更多关于实施SSDF的实用指南,以及如何利用该指南解决开源软件安全漏洞。
网络安全供应链风险管理
NIST与公共和私营部门利益相关者合作,研究和开发网络安全供应链风险管理(C-SCRM)工具和指标,编制案例研究和广泛使用的缓解策略指南。这些多个来源反映了复杂的全球市场,并有助于联邦机构、公司和其他机构管理供应链中的网络安全风险。《安全技术法案》授权NIST在制定网络安全供应链风险管理指南方面发挥特定作用。针对EO 14028,NIST最近发布了其基本指南《系统和组织的网络安全供应链风险管理实践》(SP 800-161修订版1)的更新,以指导组织在各级识别、评估和应对网络安全供应链条风险。NIST的指南提供了关于如何利用软件物料清单(SBOM)等新兴概念的额外信息。
根据根据EO 14028发布的这一基本网络安全供应链风险管理指南和可交付成果,NIST最近宣布了改善供应链网络安全国家倡议(NIICS),这是一种新的公私合作伙伴关系,旨在改善供应链的网络安全。该倡议将强调以技术开发商和供应商为重点的工具、技术和指导,并帮助组织建立、评估和评估其供应链中产品和服务的网络安全。NIST于2022年2月发布了《信息请求》,以进一步发展NIICS和其他NIST网络安全框架、标准和指南。
推进零信任体系结构
EO 14028指示联邦机构制定实施零信任架构的计划,以支持联邦网络安全现代化工作。机构迁移计划需要在适当情况下与NIST标准和零信任指南保持一致。NIST的技术指导定义了零信任,确定了基本的零信任原则,并分享了零信任可以改善企业整体信息技术安全态势的部署模型和用例。NIST还与业界启动了一个合作项目,以展示实施零信任架构的实用示例方法,以帮助机构和其他组织实施。
联邦机构面临的其他挑战
管理网络安全和隐私风险
联邦机构和其他组织比以往任何时候都必须在快速发展的网络安全和隐私威胁环境与满足企业级业务需求之间取得平衡。风险管理是NIST在网络安全和隐私方面所做一切工作的基础,也是其全套标准和指南的一部分。NIST为组织提供了一套统一的综合工具组合,以了解、衡量、管理和沟通风险,具体涉及企业环境中的各种风险领域,包括网络安全、隐私和供应链。
在众多风险管理资源中,NIST风险管理框架(RMF)提供了一个全面、灵活、可重复和可衡量的7步流程,以管理信息安全和隐私风险。RMF链接到一套NIST标准和指南,以支持联邦机构实施风险管理计划,以满足FISMA的要求。例如,RMF提供了一个选择和实施安全和隐私控制(SP 800-53)的过程,并评估这些控制是否按预期运行并实现预期结果(SP 800-5 3A)。
第13800号行政命令还就网络安全向联邦机构提供了指导,并规定联邦机构应使用NIST的《改善关键基础设施网络安全框架》(网络安全框架)。NIST继续维护网络安全框架,以帮助组织(包括联邦机构)在其任务和业务目标的背景下更好地识别、评估和管理网络安全风险。网络安全框架被美国内外的私营和公共部门组织广泛使用,并被翻译成多种语言,这表明它作为一种常用资源在全球取得了成功。网络安全框架上次更新于2018年4月。网络安全形势在威胁、能力、技术、教育和劳动力以及帮助组织更好地管理网络安全风险的资源可用性方面发生了很大变化。NIST已经开始了更新过程,首先请求提供信息,以收集利益相关者对评估和改进网络安全框架的意见。
NIST认为,隐私应与其他风险(如网络安全和组织在其风险投资组合中管理的安全)同等考虑。隐私在维护人类自治和尊严以及公民权利和公民自由等基本价值方面发挥着关键作用。NIST将测量科学研究和保护隐私的框架、指南、工具和标准的创建放在首位。NIST的许多关键网络安全指南现在包括隐私考虑。此外,NIST维护以NIST网络安全框架为模型的NIST隐私框架,以帮助组织识别和管理隐私风险。NIST还与白宫科技政策办公室和国家科学基金会合作,通过今年与英国的双边奖项挑战,推进隐私保护数据共享和分析。
漏洞管理
保护信息技术至关重要,NIST通过维护所有已知和公开报告的信息技术漏洞库,即国家漏洞数据库(NVD),在这一领域发挥着关键作用。NVD是NIST定期更新的安全漏洞标准化信息的权威来源。
NVD中编目的漏洞是软件和硬件中的编码弱点,如果被利用,可能会影响信息或信息系统的机密性、完整性或可用性。NVD跟踪一段时间内的漏洞,并允许用户评估特定产品或特定类型漏洞中漏洞发现率的变化。NVD是NIST访问频率第二高的网站,仅次于NIST时间服务,在全国范围内被IT和网络安全行业、网络安全工具和扫描仪、其他国家和世界各地的计算机应急响应团队使用。
新兴技术
密码学
50年来,NIST通过一个开放的过程促进了加密技术和技术的发展,该过程将行业、政府和学术界聚集在一起,以开发可行的加密保护方法,实现实际安全。我们在密码学方面的工作不断发展,以满足不断变化的IT环境的需求。随着我们的电子网络日益开放和互联,拥有强大、可信的加密标准和指南、算法和加密方法至关重要,这些标准和指南为电子商务交易、移动设备对话和其他数据交换提供了基础。NIST有几项加密工作,但今天值得强调的一项是,当量子计算成为现实时,要确保我们的系统和数据保持加密,将需要艰难而漫长的过渡。如果建造大型量子计算机,它们将能够破解目前使用的许多公钥密码系统。这将严重损害互联网和其他地方数字通信的机密性和完整性。后量子密码术(也称为抗量子密码术)的目标是开发对量子计算机和经典计算机都安全的密码系统,并且可以与现有通信协议和网络进行互操作。
出于这些考虑,NIST正在通过一个公开的、类似竞争的过程来选择公钥(抗量子)加密算法。其目的是为了使新的公钥密码标准指定一个或多个额外的非保密、公开披露的数字签名、公钥加密和密钥建立算法,这些算法在全球范围内可用,能够在可预见的未来很好地保护敏感的政府信息,包括量子计算机出现之后。
与此同时,NIST与行业和政府合作伙伴在其国家网络安全卓越中心(NCCoE)启动了一个项目,以开发实践,帮助机构和其他组织现在就为未来的密码算法过渡做好准备。NCCoE成立于2012年,是一个协作中心,行业组织、政府机构和学术机构在这里共同解决企业最紧迫的网络安全问题。这种公私伙伴关系能够为特定行业以及广泛的跨部门技术挑战创建实用的网络安全解决方案。该项目将帮助机构和其他组织现在就做好迁移到后量子密码算法的准备,并计划更换现在使用公钥算法的硬件、软件和服务,以保护信息免受未来攻击。
物联网(IoT)的网络安全
互联网连接设备的迅速普及和物联网的兴起都令人大吃一惊。互联设备带来了提高业务效率和提高客户满意度的承诺。物联网设备可能包括可穿戴的健身跟踪器、“智能”电视、无线输液泵和汽车等。互联网连接设备通常感知、收集、处理和传输广泛的数据,从消费者个人识别信息到专有公司数据,再到用于做出关键实时决策或影响物理世界变化的基础设施数据。正如有各种新用途一样,物联网生态系统的性质也带来了新的安全考虑。
NIST的物联网网络安全计划进行研究并制定指南,以帮助设备制造商和用户了解和管理物联网设备在其操作环境中的风险。NIST为制造商及其支持的第三方在其客户范围内构思、设计、开发、测试、销售和支持物联网设备提供指导。
2020年《物联网网络安全改进法案》要求NIST为联邦机构提供关于“机构对与信息系统相连的[IoT]设备的适当使用和管理”的指导。NIST为联邦组织发布了物联网特定指南,以了解和定义其物联网网络安全要求,包括物联网设备作为联邦系统要素的作用,并为解决此类设备可能存在的独特风险提供了指导。本指南包括一系列技术和非技术网络安全控制,定义了广泛的物联网设备功能,并支持机构在记录其物联网网络安全要求时可以应用的非技术行动。
人工智能
像人工智能(AI)这样的交叉技术日益影响着我们生活的方方面面,这给网络安全带来了许多新的、独特的挑战。随着人工智能和机器学习的出现,今天的机器被设计用于历史上只有人才能处理的复杂决策。
信任是实现人工智能(AI)作为促进创新、增强经济安全和提高生活质量的工具的全部承诺的关键。为了帮助建立这种信任,NIST正在开发人工智能风险管理框架,为更好地管理与人工智能相关的个人、组织和社会的风险提供指导。该框架对人工智能采取“维权方法”,将个人权利的保护放在人工智能开发和使用的首位。NIST于3月发布了该框架的初稿,供公众评论。AI RMF概述了一个处理准确性、稳健性、弹性和可靠性等传统技术措施的过程。它还承认,在评估系统的整体风险时,系统的社会技术特征——如隐私、可解释性、安全性和偏见等与人类和社会行为密不可分的特征——同样重要。
作为负责任的人工智能开发漫长道路上的第一步,NIST最近制定了指导意见,以帮助识别和管理人工智能偏见。这项工作强调,对偏见的全面理解必须考虑到人类和系统偏见。
NIST在设计适当的指标、测量工具和挑战问题以支持技术发展方面有着悠久的历史。这些评估加强了研究团体,确立了研究方法,并促进了技术转让。NIST正在寻求将社区评估的这些益处用于构建可信的人工智能系统。这些评估将从社区输入开始,以确定选定人工智能技术在环境中的潜在危害,以及人工智能信任评估的数据要求。
结论
推进网络安全研究和标准,确保安全、私有和可互操作的数字经济是NIST的一项重要优先任务。我们的经济日益全球化、复杂化和相互关联。它的特点是技术进步迅速。及时提供国际网络安全标准和指导是确保网络安全和技术进步的恢复力的一个动态和关键组成部分。NIST与政府、行业、国际机构和学术界的利益相关者进行了强有力的合作,旨在培养信任,并营造一个能够在全球范围内实现创新的环境。今天讨论的网络安全挑战和供应链软件安全挑战是一个复杂的问题。网络安全必须与组织和最高级别领导层处理的所有其他类型的风险一起考虑。NIST致力于确保组织有这样做的指导和工具。
我在NIST的员工是世界上顶尖的网络安全和标准专家。我们将与其他联邦机构(如OMB和CISA)、私营部门、学术界和其他联盟国家的合作伙伴合作,并在国会的支持下,不懈努力应对当前和未来的网络安全挑战。
感谢您有机会介绍NIST通过执行第14028号行政命令改善联邦网络网络安全的活动。我期待着您的提问。
1FISMA作为2002年《电子政务法》第三章(公法107-347)颁布。
