NIST发布《SP 800-53 第5版 信息系统和组织的安全和隐私控制》

        9月23日，NIST发布《SP 800-53 第5版 信息系统和组织的安全和隐私控制》，该文件一直被视作NIST信息安全的支撑性文件，本次更新旨在开发一个全面的安全和隐私控制目录，用于管理不同规模的组织从超级计算机到工业控制系统再到物联网（IoT）设备的所有类型的系统风险。这些控制措施提供了一种主动而又系统的方法，以确保关键的系统、组件和服务具有足够的可信度和必要的网络d性，从而维护美国的国家安全和经济利益。

      注SP800（SP，Special Publications）是美国国家标准与技术研究院（NIST）发布的一系列关于“信息安全的指南”。在NIST的标准系列文件中，虽然NIST SP并不作为正式法定标准，但在实际工作中，已经成为美国和国际安全界得到广泛认可的事实标准和权威指南。NIST SP800系列成为了指导美国信息安全管理建设的主要标准和参考资料。

        SP 800-53是信息安全风险管理框架的重要组成部分，为选择和规定信息系统安全控制措施提供了指导原则。主要介绍了安全控制措施选择和规范化的基本概念以及为信息系统选择和说明控制措施的过程，以帮助组织达到对信息系统安全和风险的有效管理。

         SP 800-53 是不定期更新的文档，第5版的重要变更如下：

         控制要求变为结果导向：从控制说明中删除了“由信息系统、组织满足控制要求”，强调通过应用来实现安全保障作用。为了与上版内容保持连贯，新版在附录C（控制的总结）中额外增加了内容为“由‘系统/组织’实现”的一列。

         合并控制目录：将信息安全和隐私控制集成到系统和组织的统一控制目录中。原修订版4附录J中的隐私控制已合并到新的隐私体系和现有的程序管理体系中。此外，一些隐私控制还被合并到当前的安全控制中，从而使这些控制既可以服务于安全又可以保护隐私，进一步提升了控制功能。

         整合供应链风险管理：建立了一个新的供应链风险管理（SCRM）控制体系，并将这个新的体系与已有体系相结合，以保护关键系统和基础设施中的系统组件、产品和服务。SCRM控制体系有助于解决国家乃至全球供应链在整个系统开发生命周期中的隐私安全和威胁问题。

         将选择控制过程与控制目录分离：新版本拥有一个统一的、独立的控制目录，可允许系统工程师、安全架构师、软件开发人员、企业架构师、系统安全和隐私工程师、业务所有者等各类人员根据组织策略和业务需要使用个性化的流程来选择控制，并使其更好地协作。

         将控制基线和裁剪指南转移到单独的出版物：将控制基线移到了新的NIST SP 800-53B《信息系统和组织的控制基线》中。这三条安全基线和一条隐私基线适用于联邦机构，反映了《联邦信息安全现代化法案（FISMA）》和《管理和预算办公室（OMB）A-130号通知》的具体要求。其他组织可根据其业务需要和组织风险承受能力，选择制定自己的定制基线。

         改进对内容关系的描述：澄清了要求和控制之间的关系，以及安全和隐私控制之间的关系。这些关系有助于用户判断是在企业级选择和实施控制，还是将其作为基于生命周期的系统工程过程的一部分。

         新增可实践控制：随着网络威胁的迅速发展，需要新的保障措施和对策来保护组织的重要资产，包括个人隐私和个人身份信息。版本5基于最新的威胁情报和网络攻击数据增加了新的控制（如支持网络d性、安全系统设计、安全和隐私治理等）。

         目前，NIST SP 800系列已经出版了近90本同信息安全相关的正式文件，形成了从计划、风险管 理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系，如：

NIST SP800-53和SP800-60描述了信息系统与安全目标及风险级别对应指南

NIST SP800-26和SP800-30分别描述了自评估指南和风险管理指南

NIST SP800-51描述通用缺陷和暴露（CVE）缺陷命名方案的使用

NIST SP800-30分别描述了自评估指南和风险管理指南

NIST SP800-34信息技术系统应急计划指南

NIST SP800-34安全内容自动化协议（SCAP）指南

         此外，NIST还陆续发布了多种框架来帮助用户选择和实施这些控制，包括风险管理框架（RMF）、网络安全框架（CSF）、隐私框架（PF）。这次新版控制目录的内容NIST将以不同格式陆续发布，详情可参见NIST官网：>

针对5G连网伴随的物联网应用加速趋势，ARM宣布针对蜂窝式连接物联网设备提出名为ARMKigen的整合式SIM功能设计，借此让借由整合式iSIM或嵌入式eSIM能有更安全、便利的使用模式。

伴随未来连网使用模式，以及物联网应用需求，传统SIM卡方式势必会被整合式iSIM，或是嵌入式eSIM使用模式取代，借此对应更具d性、便利且安全的使用体验。而配合此类市场趋势，ARM宣布推出名为ARMKigen的整合式SIM功能设计，借此让透过蜂窝式连接使用的物联网设备能有更便利的网路连接布署、管理，以及调整联网模式的使用体验，同时也能避免有心人士透过更换SIM卡等方式危害物联网设备使用安全。

此外，采用整合式SIM设计，也更能让装置设计体积缩减、轻薄，让物联网设计将能有更大d性。ARMKigen设计更基于ARM平台安全架构通用框架设计，借此确保装置系统安全性，同时也符合GSMA提出eSIM设计规范，更整合ARM旗下CryptoIsland安全机制，借此确保装置与使用者隐私安全。

除了提出Kigen硬体设计，ARM同时也推出KigenOS软体平台，让Kigen设计能在软硬体发挥更大使用效益，让开发者能以此建构更广泛的物联网应用。

物联网卡安全管理平台理念是基础通信能力。

物联网卡管理平台是无线传感网络与互联网之间重要的本地化中央信息处理中心。物联网云平台需具备的功能：业务受理、开通、计费功能、信息采集、存储、计算、展示功能、行业的灵活拓展应用模式。

基础通信能力包括GPRS通信能力和短信通信能力，短信可提供不同优先级服务（重发频次、储存时间），充分满足不同集团客户需求。

物联网卡的被广泛的应用的物联网硬件设备当中，起到连接物与物、人与物的枢纽功能，硬件设备通过联通物联卡将数据传输至管理平台，终端使用者也可以通过手机或移动设备发送指令到硬件设备，实现的远程控制功能。

物联网卡应用领域

1、物联网卡在无线POS机上的应用：物联网卡在无线POS中的应用可以说是非常早的，而且具有完整的设备数据链路。与传统的POS机相比，由于它只能安装在电话站附近，由于电缆的限制，不能有效地进行数据传输。

2、智能穿戴行业：智能穿戴主要是指智能手环，智能眼镜和智能手表等，主要功能有消息提醒、计步、时间、闹铃、找回手机。心率监测等。物联网卡是实现这些功能不可或缺的重要部件，是智能穿戴设备实现定位和数据传输等功能的重要支撑，能够帮助我们准确定位。

3、智能安防行业：随着物联网技术的发展，智能安防应运而生，智能安防能够大量节省人力和物力，并且实用性更强，更能提供保障。在整个智能安防系统中，物联网卡能够将安防系统中的设备进行连接，并且及时准确地传输信息。

---