[美國下一屆政府網(wǎng)2022年4月26日報(bào)道] 代表美國最大互聯(lián)網(wǎng)服務(wù)提供商的貿(mào)易協(xié)會(huì)要求美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）將其里程碑式的網(wǎng)絡(luò)安全框架（一個(gè)用于組織自愿實(shí)施的安全控制菜單）與拜登政府要求NIST公布的關(guān)鍵基礎(chǔ)設(shè)施性能目標(biāo)相連接。

烏斯特萊科姆在給NIST的評論中寫道：“目前的網(wǎng)絡(luò)安全框架是有效的，因此變化應(yīng)該是最小的。然而，如果網(wǎng)絡(luò)安全框架不可避免的需要變更，那么NIST應(yīng)該解決向后兼容性問題，尤其是與美國政府的其他努力相關(guān)的問題。確保國土安全部、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局能夠制定其跨部門控制系統(tǒng)網(wǎng)絡(luò)安全績效目標(biāo)和部門特定績效尤其重要將目標(biāo)轉(zhuǎn)換為網(wǎng)絡(luò)安全框架，而不會(huì)在短時(shí)間內(nèi)使映射變得過時(shí)。”

NIST開啟了一個(gè)公眾評論期，以接收對最初于2014年發(fā)布的框架的反饋，該評論期于周一結(jié)束。與該機(jī)構(gòu)分享的意見還將影響NIST履行第14028號(hào)行政命令規(guī)定的其他義務(wù)的工作，包括那些專注于確保軟件供應(yīng)鏈安全的義務(wù)。

NIST在評論征集中寫道：“這種廣泛的公私合作關(guān)系將側(cè)重于為技術(shù)開發(fā)人員和供應(yīng)商確定工具和指導(dǎo)，以及為獲取此類技術(shù)的人員提供面向績效的指導(dǎo)”。

NIST已經(jīng)建議機(jī)構(gòu)將政府供應(yīng)商的說法作為政府“零信任”運(yùn)動(dòng)的一部分。

建立績效目標(biāo)是拜登政府的一項(xiàng)努力，目的是貫徹奧巴馬總統(tǒng)的設(shè)想，即私營部門實(shí)體可能已經(jīng)受到激勵(lì)，改善其網(wǎng)絡(luò)安全，因?yàn)槿绻唤鉀Q其弱點(diǎn)，它們的聲譽(yù)和一般業(yè)務(wù)運(yùn)營將面臨風(fēng)險(xiǎn)。國會(huì)現(xiàn)在也在考慮政府如何在管理“商業(yè)”信息和通信技術(shù)的安全方面應(yīng)用性能目標(biāo)或標(biāo)準(zhǔn)，這一類別通常包括主要的ISP和云服務(wù)提供商。當(dāng)奧巴馬下令建立網(wǎng)絡(luò)安全框架時(shí)，他還禁止將此類技術(shù)作為“關(guān)鍵基礎(chǔ)設(shè)施”進(jìn)行管理。

在網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局和網(wǎng)絡(luò)安全界一直強(qiáng)調(diào)網(wǎng)絡(luò)攻擊可能會(huì)產(chǎn)生非常真實(shí)的物理影響，以及總體而言——一種更全面的解決系統(tǒng)性風(fēng)險(xiǎn)的方法之際，烏斯特萊康的評論還建議在其他風(fēng)險(xiǎn)考慮的真空中使用網(wǎng)絡(luò)安全框架。

烏斯特萊康網(wǎng)絡(luò)安全高級總監(jiān)保羅·艾斯勒寫道：“網(wǎng)絡(luò)安全框架本身不應(yīng)擴(kuò)展到解決非網(wǎng)絡(luò)風(fēng)險(xiǎn)，因?yàn)檫@樣做可能會(huì)妨礙其網(wǎng)絡(luò)專用功能。企業(yè)面臨一系列財(cái)務(wù)、聲譽(yù)、勞動(dòng)力、新冠疫情相關(guān)風(fēng)險(xiǎn)和其他風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全框架不應(yīng)擴(kuò)大到解決其他風(fēng)險(xiǎn)，而應(yīng)作為自愿、靈活框架的模型”。（國家工業(yè)信息安全發(fā)展研究中心 張昇）