NIST发布《SP 800-53 第5版 信息系统和组织的安全和隐私控制》

        9月23日，NIST发布《SP 800-53 第5版 信息系统和组织的安全和隐私控制》，该文件一直被视作NIST信息安全的支撑性文件，本次更新旨在开发一个全面的安全和隐私控制目录，用于管理不同规模的组织从超级计算机到工业控制系统再到物联网（IoT）设备的所有类型的系统风险。这些控制措施提供了一种主动而又系统的方法，以确保关键的系统、组件和服务具有足够的可信度和必要的网络d性，从而维护美国的国家安全和经济利益。

      注SP800（SP，Special Publications）是美国国家标准与技术研究院（NIST）发布的一系列关于“信息安全的指南”。在NIST的标准系列文件中，虽然NIST SP并不作为正式法定标准，但在实际工作中，已经成为美国和国际安全界得到广泛认可的事实标准和权威指南。NIST SP800系列成为了指导美国信息安全管理建设的主要标准和参考资料。

        SP 800-53是信息安全风险管理框架的重要组成部分，为选择和规定信息系统安全控制措施提供了指导原则。主要介绍了安全控制措施选择和规范化的基本概念以及为信息系统选择和说明控制措施的过程，以帮助组织达到对信息系统安全和风险的有效管理。

         SP 800-53 是不定期更新的文档，第5版的重要变更如下：

         控制要求变为结果导向：从控制说明中删除了“由信息系统、组织满足控制要求”，强调通过应用来实现安全保障作用。为了与上版内容保持连贯，新版在附录C（控制的总结）中额外增加了内容为“由‘系统/组织’实现”的一列。

         合并控制目录：将信息安全和隐私控制集成到系统和组织的统一控制目录中。原修订版4附录J中的隐私控制已合并到新的隐私体系和现有的程序管理体系中。此外，一些隐私控制还被合并到当前的安全控制中，从而使这些控制既可以服务于安全又可以保护隐私，进一步提升了控制功能。

         整合供应链风险管理：建立了一个新的供应链风险管理（SCRM）控制体系，并将这个新的体系与已有体系相结合，以保护关键系统和基础设施中的系统组件、产品和服务。SCRM控制体系有助于解决国家乃至全球供应链在整个系统开发生命周期中的隐私安全和威胁问题。

         将选择控制过程与控制目录分离：新版本拥有一个统一的、独立的控制目录，可允许系统工程师、安全架构师、软件开发人员、企业架构师、系统安全和隐私工程师、业务所有者等各类人员根据组织策略和业务需要使用个性化的流程来选择控制，并使其更好地协作。

         将控制基线和裁剪指南转移到单独的出版物：将控制基线移到了新的NIST SP 800-53B《信息系统和组织的控制基线》中。这三条安全基线和一条隐私基线适用于联邦机构，反映了《联邦信息安全现代化法案（FISMA）》和《管理和预算办公室（OMB）A-130号通知》的具体要求。其他组织可根据其业务需要和组织风险承受能力，选择制定自己的定制基线。

         改进对内容关系的描述：澄清了要求和控制之间的关系，以及安全和隐私控制之间的关系。这些关系有助于用户判断是在企业级选择和实施控制，还是将其作为基于生命周期的系统工程过程的一部分。

         新增可实践控制：随着网络威胁的迅速发展，需要新的保障措施和对策来保护组织的重要资产，包括个人隐私和个人身份信息。版本5基于最新的威胁情报和网络攻击数据增加了新的控制（如支持网络d性、安全系统设计、安全和隐私治理等）。

         目前，NIST SP 800系列已经出版了近90本同信息安全相关的正式文件，形成了从计划、风险管 理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系，如：

NIST SP800-53和SP800-60描述了信息系统与安全目标及风险级别对应指南

NIST SP800-26和SP800-30分别描述了自评估指南和风险管理指南

NIST SP800-51描述通用缺陷和暴露（CVE）缺陷命名方案的使用

NIST SP800-30分别描述了自评估指南和风险管理指南

NIST SP800-34信息技术系统应急计划指南

NIST SP800-34安全内容自动化协议（SCAP）指南

         此外，NIST还陆续发布了多种框架来帮助用户选择和实施这些控制，包括风险管理框架（RMF）、网络安全框架（CSF）、隐私框架（PF）。这次新版控制目录的内容NIST将以不同格式陆续发布，详情可参见NIST官网：>说起智能工厂，人们总是将其与无人化工厂相联系，其实智能工厂并不一定是“黑灯工厂”，或者说，智能工厂也不应该仅仅是“黑灯工厂”。对于现在大部分存量工厂而言，如何变成智能工厂，其实就是要弄清楚对于存量工厂而言，其痛点是什么；或者说，什么方式可以帮助其智能化转型，并为其所用。在 科技 进化到一定阶段之前，存量工厂如何智能化？

那么，在探讨存量工厂智能化转型之前，我们首先要知道几个概念：物联网是什么？工业互联网又是什么？

简单来说，工业互联网由工业物联网和产业互联网组成。

工业物联网是物联网（IoT）在工业场景的应用，可以打通工业“人机物法环测”六大要素。

产业互联网使产业链上下游互联互通。

工业互联网+云计算+大数据处理+人工智能，构成针对工业的综合性技术。

对于单体工厂来说，IoT是变成智能工厂的第一步，只有迈出了这第一步，才能实现数字化、智能化。

阿尔卑斯系统集成（大连）有限公司（简称“ALSI”）为制造业提供多元化智能工厂规划方案。其中，ALSI大连IoT解决方案主要根据制造现场实际情况，完成“人机物法环测”六要素有效数据的自动采集与上传，并进行数据分析与管理。

总体来说，ALSI大连IoT解决方案有五大特点：

1适用范围广。无论是由专用设备组成的产线，还是通用设备，都可以采用。

2具有强大的兼容性。无论一条产线上有多少种不同品牌、型号的设备，都可以统一入网进行全自动数据采集。

3接口完全开放，可与各种管理软件无缝衔接。如MES、PLM、WMS，都可调用ALSI的IoT解决方案采集的数据，也可以通过ALSI直接定制智能产线控制系统，实现现场管理的智能化转型。

4传感器技术先进。ASLI大连的集团公司ALPSALPINE，是世界知名的传感器研发生产企业，品质卓越，技术领先。“稳定”、“安全”是它的特点；“精准”、“可靠”是客户对它的评价。ALSI大连在IoT解决方案中根据应用场景需求选用最适合的传感器，完成向智能工厂转型的坚不可摧“基建”工作。

5成本相对较低、实施难度小。以生产设备智能管理为例，其成本仅为PLC的1/3，加装数采设备时不用停产，而且数采设备可以随时更换，或用于其它设备或产线，自由、方便、灵活。

对于存量工厂而言，一味地追求智能工厂建设不科学，而直接转变为“黑灯工厂”更是不现实的事情，在一定的 历史 时期，我们要考虑智能工厂的目的是什么，或者说，对于存量工厂来说，什么才是“智能工厂”，那一定是落地的、切实可行、将影响降到最小的解决方案，才是其智能化的切入点。

更多智能制造解决方案详见

ALSI大连_精益生产_智能工厂_设备监控系统_阿尔卑斯系统集成（大连）有限公司

---