- 综合排序
- 最热优先
- 最新优先
- 来自专栏时间之外沉浮事
NIST《网络靶场指南》浅析
NIST将网络靶场的技术框架划分为四层,分别是编排层、底层基础架构层、虚拟化层和目标基础设施层。其技术框架图如下所示: ? 图1 NIST定义的网络靶场技术框架 NIST的网络靶场的技术框架中,由于其主要围绕网络安全教育、认证和培训的使用案例、功能和类型来进行描述,所以其技术框架的主体是靶场学习管理系统(Range Learning NIST《网络靶场指南》指出具有两种通用方法:基于虚拟化管理程序的解决方案和软件定义的基础结构。 图2 NIST《网络靶场指南》的四层技术框架 NIST《网络靶场指南》除了上述的培训靶场技术要求的论述外,还着重描述了网络靶场的其他四个关键特征,包括真实性和逼真度、可访问性和可用性、可扩展性和弹性以及相关课程和学习成果 NIST《网络靶场指南》认为理想的靶场应该能够同时支持其所有潜在用户群,并可以根据要求立即增加支持其他用户的能力。
3.4K20发布于 2020-11-20 - 来自专栏FreeBuf
NIST,这些年都在研究些啥?
虽然说是为政府机构开发,但是,在美国,许多私营部门的网络安全从业人员、产品供应商和集成商、州和地方机构、以及其他看到NIST信息和服务价值的人也都在广泛地使用并依赖于NIST的研究成果。 因此,人这一安全要素也是NIST的研究重点,在网络安全意识、培训、教育和劳动力发展领域,NIST的主要成果如下。 CSRC是NIST访问量最大的网站之一,是NIST网络安全和隐私出版物、标准和指南的资源中心【我看NIST的资源就是通过该网站】; b)关注中小型企业网络安全。 身份和访问管理领域主要研究以下方向: 1)数字身份管理 a)NIST在数字身份管理方向的研究已有超过两年以上的经验,成果包括: NIST SP 800-63-3,《数字身份指南》; NIST SP 800 关于NIST SP 800-63-3的相关详细信息在NIST页面上已公开发布 ,参见网址:https://pages.nist.gov/800-63-FAQ/,以及https://github.com/
1.4K10编辑于 2023-04-26 - 来自专栏人工智能快报
美国NIST启动面部识别测试项目
美国国家标准与技术研究院(NIST)宣布将启动一项新的面部识别测试项目。 面部识别供应商测评(FRVT)允许开发人员提供生物识别系统由NIST进行正式的测试,NIST是因严格测试指纹识别系统而享有盛誉的组织。 与以前NIST的评估计划不同,FRVT将持续开放地评估面部识别系统,欢迎开发人员随时提交产品。 ? 由于NIST的标准已经成为指纹识别产品质量的重要标志,再加上政府机构的考虑和偏好,FRVT很快会成为面部识别开发过程的关键部分。 NIST计划进一步扩展测试计划,对指标进行专门测试,例如年龄和性别估计,面部检测和一对多识别。
1.4K70发布于 2018-03-14 - 来自专栏绿盟科技研究通讯
NIST网络安全框架2.0草案解读
简介 NIST的网络安全框架2.0(CSF2.0)草案的目的为行业、政府机构和其他组织提供指导,以降低网络安全风险。 NIST 还将在先前翻译工作的基础上,优先与组织合作开发 CSF 2.0 的翻译。NIST 鼓励提交 CSF 的国际翻译、改编和其他资源。 五. NIST网络安全框架的历程 在2013年2月的美国总统令13636“提升关键基础设施网络安全”下,NIST于2013年7月发布“提升关键基础设施网络安全框架:初始版”,并于2014年2月发布正式版(CSF NIST于2018 年对该文件进行了修订更新,发布CSF 1.1。美国网络安全框架的发展历程如图10所示。 图10. 此后,2022年8月,NIST组织了第一次研讨会,2023年2月,组织第二次研讨会,2023年8月发布2.0版草案。
2.4K20编辑于 2023-09-26 - 来自专栏程序那些事
密码学系列之:NIST和SHA算法
这三种算法都是由美国NIST制定的。 NIST的全称是美国国家标准与技术研究所,主要来制定各种标准。 本文将会讲解下NIST和SHA各种算法的关系。 NIST在2011年正式废止了SHA-1的使用,并在2013年不允许将其用于数字签名。 所有主要的网络浏览器厂商在2017年都停止接受SHA-1 SSL证书。 SHA3 2006年,NIST组织了NIST哈希函数竞赛,以创建一个新的哈希标准SHA-3。SHA-3并不是要取代SHA-2,因为目前还没有证明对SHA-2的重大攻击。 但是由于MD5、SHA-0和SHA-1的成功攻击,NIST认为需要一种可替代的、不同的加密哈希,这就是SHA-3。 在这个比赛中,最终Keccak算法胜出,被选为SHA3的标准。
1.1K11发布于 2021-06-09 - 来自专栏程序那些事
密码学系列之:NIST和SHA算法
这三种算法都是由美国NIST制定的。 NIST的全称是美国国家标准与技术研究所,主要来制定各种标准。 本文将会讲解下NIST和SHA各种算法的关系。 NIST在2011年正式废止了SHA-1的使用,并在2013年不允许将其用于数字签名。 所有主要的网络浏览器厂商在2017年都停止接受SHA-1 SSL证书。 我们看下SHA2的算法流程: 我们看下这几个函数表示什么意思: SHA3 2006年,NIST组织了NIST哈希函数竞赛,以创建一个新的哈希标准SHA-3。 但是由于MD5、SHA-0和SHA-1的成功攻击,NIST认为需要一种可替代的、不同的加密哈希,这就是SHA-3。 在这个比赛中,最终Keccak算法胜出,被选为SHA3的标准。
88540发布于 2021-05-10 - 来自专栏FreeBuf
NIST评估信息安全持续监控项目指南:评估方法
《NIST评估信息安全持续监控(ISCM)项目:评估方法》一文可用于: 为组织各风险管理级别(定义见NIST SP 800-39《管理信息安全风险:组织、任务与信息系统视角》)开展ISCM项目评估提供指导 ; 阐述了ISCM项目评估与重要安全概念和过程的相关性,如NIST风险管理框架(RMF)、全组织风险管理级别、组织治理、ISCM指标和持续授权; 介绍了有效的ISCM项目评估所具备的特点; 提出了ISCM 1.2 ISCM流程各阶段 NIST SP 800-137将ISCM流程分为六个阶段,如图1所示。具体信息见如下段落。 1.4 NIST风险管理框架与ISCM 根据SP800-37定义,RMF是一个结构化的有序过程,它将信息安全和风险管理活动融入到组织和系统的系统开发生命周期中。 所进行的控制措施评估(根据NIST SP 800-53A)是否足以按既定频率支持OA。 ISCM项目提供的指标是否足够稳定、可靠,可以支撑OA决策。
1.5K20发布于 2020-10-27 - 来自专栏网络安全观
美国网络安全 | NIST身份和访问管理(IAM)
(国家标准与技术研究所); 本文目录 一、NIST的IAM资源中心 二、项目(Projects) 1)NIST SP 800-63数字身份指南 2)个人身份验证(PIV) 3)NIST生物识别 4)NCCoE NIST信息技术实验室将在NIST IAM资源中心发布和更新该路线图。 这些路线图(参见后文中的表1-7)列出了对以下行动的里程碑活动、按财年季度的活动预计完成日期、解释性说明: NIST SP 800-63 NIST SP 800-63第4版 NIST SP 800-63 表1-NIST SP 800-63-4的路线图 2)NIST SP 800-63-3实施资源 NIST SP 800-63-3数字身份指南,是一个伞形出版物,介绍了SP 800-63-3文档集中描述的数字身份模型 表2-NIST SP 800-63-3实施资源的路线图 3)NIST SP 800-63-3一致性标准 根据OMB备忘录M-19-17,一致性标准(Conformance Criteria)提供了NIST
4.1K30发布于 2021-02-24 - 来自专栏FreeBuf
NIST 宣布 ASCON 为物联网数据保护加密算法
美国国家标准与技术研究所(NIST)宣布,名为Ascon的认证加密和散列算法系列将成为标准算法,用于轻量级密码学应用。 也就是说,NIST仍然推荐高级加密标准(AES)和SHA-256用于一般用途。 在此之前NIST 收到了 57 个提案,经过了几轮安全分析,最后一轮入围的 10 个候选算法都表现优异。 NIST团队下一步计划发布NIST IR8454,其中描述了选择和评估过程的细节;与Ascon设计师合作起草新的轻量级密码学标准以征求公众意见,最终确定标准化的细节;举办虚拟公共研讨会,进一步解释选择过程并讨论标准化的各个方面 参考链接: https://thehackernews.com/2023/02/nist-standardizes-ascon-cryptographic.html 精彩推荐
77810编辑于 2023-02-24 - 来自专栏网络安全观
网络安全架构|《零信任架构》NIST标准草案(下)
一、前言 本文介绍的是2019年9月发布的NIST《零信任架构》标准草案(《NIST.SP.800-207-draft-Zero Trust Architecture》)。 标准草案(上)》; 中篇参见《网络安全架构|《零信任架构》NIST标准草案(中)》; 这是下篇。 1)ZTA和NIST风险管理框架 ZTA部署涉及围绕指定任务或业务流程的可接受风险,制定访问策略。必须识别、评估和缓解与执行给定任务相关的风险。为此,NIST制定了风险管理框架(RMF)。 NIST隐私框架有助于开发一个正式的流程,以识别和缓解ZTA网络的任何隐私相关风险。 3)ZTA和联邦身份、凭证和访问管理架构(FICAM) 用户配置是ZTA的关键组成部分。 基于资产或工作流风险的资产或工作流的价值,可以使用NIST风险管理框架进行评估。 识别资产或工作流后,下一步是识别将受影响的用户集。这可能会影响作为第一次迁移到ZTA的候选者的选择。
1.2K10发布于 2021-02-26 - 来自专栏FreeBuf
注意,NIST更新了网络安全供应链风险指南
近日,美国国家标准与技术研究所(NIST)再次更新了《网络安全供应链风险管理》(C-SCRM)指南,提供了与供应链攻击相关的趋势和最佳实践,指导企业有效管理软件供应链风险,以及在遭受供应链攻击时该如何进行应急响应 目前,NIST发布了“系统和组织网络安全供应链风险管理实践”,以此响应“改善国家网络安全”的美国第14028号行政命令。 NIST 的Jon Boyens表示,管理供应链的网络安全是一项一直存在的需求,当供应链遭到勒索软件攻击时,制造商可能因缺乏重要组件而停摆,连锁商店也可能只是因为维护其空调系统的公司得以访问其共享资料而爆发资料外泄事件 NIST的专家们进一步强调了现代产品和服务供应链安全的重要性。 参考来源 https://securityaffairs.co/wordpress/131066/laws-and-regulations/nist-supply-chain-guidance.html
1K40编辑于 2022-06-08 - 来自专栏云计算D1net
美国NIST公布云计算路线图最终版本
美国国家标准与技术研究所(NIST)近期公布了《云计算技术路线图》卷一和卷二的最终版本。此前,NIST已经花了三年时间评估和为政府机构加快部署云计算设定目标。最终版本的公布使得这三年的时间没有白费。 NIST认为这些需求是在政府机构中持续进行创新性云部署所必不可少的。需求涉及互操作性、性能、可移植性和安全性,最大程度保留了2011年公布的路线图草案中的内容。 在NIST的路线图中,网络安全同样也与云有着复杂的联系。“云的高度外包、对网络的依赖性、共享(多租户)和规模都会带来某些独特的安全挑战。” NIST在文件中列举出了涉及这些挑战的项目,如国土安全部门的持续资产评估、态势感知和风险评分(CAESARS)项目和国家科学基金的未来互联网架构方案。 据悉NIST的报告代表了来自联邦政府部门、工业、高等教育和云计算标准研发组织等领域200多名专家的意见。
1.9K50发布于 2018-03-20 - 来自专栏FreeBuf
数据交换共享安全管理方案 :NIST SP 800-47干货
这个环节也是数据发挥价值的关键一环,很多企业由于业务需求,通常需要与一个或多个内部或外部的组织交换/共享数据,当数据从一个组织转移到另一个组织时,交换/共享的数据也需要相同或相似级别的安全保护,如何落实数据交换/共享环节的安全管理,NIST 本文梳理了NIST SP 800-47原文,结合作者对数据安全的理解,将主要内容简明的给大家做个介绍,本文的文档结构未按照原文的文档结构。
2K40发布于 2021-08-24 - 来自专栏网络安全观
网络安全架构|《零信任架构》NIST标准草案(上)
现在,开始介绍2019年9月发布的NIST《零信任架构》草案(《NIST.SP.800-207-draft-Zero Trust Architecture》)。
1.1K10发布于 2021-02-26 - 来自专栏FreeBuf
NIST发布物联网设备制造商网络安全指南
美国国家标准与技术研究院(NIST)研究制定了面向物联网设备制造商的网络安全指南,为物联网产品的制造提供了安全控制的方向与指引。 作为物联网网络安全计划的一部分,NIST 最近发布了两份文件。 该指南是 NIST 于 2017 年开始实施的《加强联邦网络和关键基础设施网络安全行政令》的一部分。NIST 在这些文件中提供了一系列建议,物联网设备制造商应该考虑这些建议来改善物联网设备的安全性。 NIST 表示正在积极调整 NISTIR 8259 和 8259A,推动联邦政府机构能够使用更安全的 IoT 设备。 IoT 设备的制造商,特别是面向政府的设备制造商应该主动满足 NIST 的标准要求,在实际和制造新 IoT 设备时将这两个文件考虑进来。 参考来源 Lexology
1.2K30发布于 2020-07-15 - 来自专栏人工智能快报
美NIST研究表明新型指纹采集技术可提高图像采集水平
美国国家标准与技术研究院(NIST)发文称,根据其最近发布的《滚动指纹挑战赛:获奖分析》报告,指纹采集技术很快将可以快速提取高质量的滚动指纹,而无需设备操作员的人工协助。 比赛中,NIST负责了实验和评估标准的设计工作,以帮助IARPA确定获胜者名单。 NIST的报告为有意开发指纹采集设备或进行相关技术评估的人员提供了相关参考信息。 具体而言,NIST和IARPA将会发布200名研究参与人员的N2N基线及潜在指纹信息。这些人员同意公开其指纹信息,NIST也将清除所有可能关联到指纹所有者身份的识别信息。
65120发布于 2018-07-26 - 来自专栏人工智能快报
美NIST研制出可模拟神经网络的硅光芯片
美国国家标准技术研究院(NIST)的科研人员研制出一种硅光芯片,可精确模拟神经网络。 美国国家标准技术研究院(NIST)的科研人员研制出了一种硅光芯片,可精确地在微型类脑网络中传导光信号,是神经网络的一种潜在设计方案。
71020发布于 2018-10-08 - 来自专栏FreeBuf
小师妹浅谈NIST SP 800-35《信息技术安全服务》
这篇信息安全指南是去年翻译学习的,是我学习NIST SP 800系列出版物的第一篇文章,时隔半年,今天准备和大家聊聊具体内容。 对于NIST这个机构就不做介绍了(不知道的可以去百度一下),该出版物的目的是指导组织通过IT安全服务生命周期的各个阶段,为IT安全服务的选择、实现和管理提供帮助。
1.3K50发布于 2019-05-15 - 来自专栏FreeBuf
NIST发布里程碑式网络安全框架2.0版本
自2014年发布网络安全框架(CSF)1.0版本,时隔多年NIST发布了2.0版本,首次对网络安全框架进行重大更新。 核心要点: NIST网络安全框架进一步扩大了目标受众,不再只针对关键基础设施领域组织,而是让更多的企业/组织有效管理和降低安全风险。 风险管理框架(RMF)进行风险评估的指南; NIST 预计, CSF 2.0版本将由世界各地的志愿者翻译。 这些翻译将被添加到 NIST 不断扩大的 CSF 资源组合中。在过去 11 年中,NIST 与国际标准化组织 (ISO) 以及国际电工委员会 (IEC) 的合作帮助协调了多个网络安全文件。 https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
67510编辑于 2024-02-29 - 来自专栏安全乐观主义
【翻译】NIST IR 8151: 显著减少软件漏洞——致美国白宫科技政策办公室
关于计划和迁移的目的,联邦政府机构可能想要紧密跟踪由 NIST 提供的这些新出版物的进展。 我们鼓励组织机构在公开评论期间审阅所有出版物草案,并且向 NIST 提供反馈。 除了上述出版物以外,NIST 的众多计算机安全出版物可以从 https://csrc.nist.gov/publications 获取。 NIST 与软件担保社区协同工作以标识出 5 种有前途的方法。 •[Mell11] Peter Mell and Timothy Grance, “The NIST Definition of Cloud Computing,” NIST Special Publication References [1] paul.black@nist.gov: mailto:paul.black@nist.gov [2] rajeev.joshi@jpl.nasa.gov: mailto:
1.4K30发布于 2019-11-20
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号