NIST 为小型企业启动网络安全计划

对于小型组织而言，当前的网络威胁形势是残酷的。虽然大牌漏洞成为头条新闻，但小型企业受到勒索软件攻击的影响最大。此外，其他研究表明，只有一半的小型企业准备好应对网络攻击。面对这些挑战，NIST 正在制定一项新计划来提供帮助。

为了帮助小型组织应对日益增长的网络威胁，NIST 最近推出了小型企业网络安全利益共同体 (COI)。今天，这个新协会将如何帮助您的组织推进网络准备计划。

小型企业现在需要网络安全

小型企业网络安全 COI 将汇集多元化的公司、行业协会和其他专家，分享与小型企业网络安全相关的宝贵见解、挑战和观点。该合作旨在通过开展研究、鼓励合作和开发有用资源，帮助 NIST 有效解决小型企业的安全需求。

根据 NIST，小型组织面临网络安全管理困境。他们要么缺乏针对其独特需求和能力量身定制的充分指导，要么充斥着过多和复杂的信息。这使得很难知道从哪里开始或什么对足够的安全性最重要。因此，小型企业、非营利组织、教育机构和政府机构可能会感到不知所措，不愿采取行动来减轻安全风险。

通过 NIST 网络安全 COI，小公司及其代表将拥有一个平台，可以向 NIST 网络安全卓越中心 (NCCoE) 和整个 NIST 提供有价值的反馈。这种参与将帮助该机构更好地了解如何满足小型组织的独特需求。目标是引导努力为小型企业创建定制和实用的资源，以在保护数字资产的同时克服网络安全挑战。

• 每月或每季度一次的虚拟会议，以分享见解、提供反馈并报告与小型企业安全相关的问题

• 获得免费出版物和其他资源

• 与安全专家和社区成员密切联系，以协作的方式寻求解决方案。

地方政府

除了推出小型企业网络安全 COI 外，NIST还加强了与州和地方政府的共同努力。最近，NIST、马里兰州和马里兰州蒙哥马利县都重新建立了伙伴关系，以支持 NCCoE。

NCCoE 成立于 2012 年，通过基于行业标准、最佳实践和商用技术的实用解决方案帮助企业保护其 IT 系统。该中心与研究人员和技术供应商合作，针对特定行业的挑战提供指导，例如保护医疗保健数据、保护金融交易和保护关键基础设施。

更新后的马里兰州伙伴关系协议的目标之一是更好地满足州和县内公司和机构的需求，特别关注小企业、公立学校和学术机构。考虑到这一目标，该协议呼吁州和县政府加大力度促进 NCCoE 与马里兰州公司的关系。

小型企业的网络安全

对于小型企业网络安全，NIST 计划是朝着正确方向迈出的又一重要步骤。但是，较小的组织现在如何开始采取具体行动来改善他们的安全状况呢？

一个起点是易于使用的美国小型企业管理局(SBA) 网络安全战略指南。本指南提供的信息范围从基本安全概念到更高级的功能，例如网络安全规划工具。

SBA 的所有企业都可以采取的改善网络安全的措施清单包括以下建议：

• 制定网络安全计划： FCC 提供网络安全规划工具，以帮助根据独特的小型企业需求制定定制战略和网络安全计划。

• 进行网络弹性审查：国土安全部已与 CERT 合作创建网络弹性审查 (CRR)。这种非技术评估评估运营弹性和网络安全实践。

• 进行漏洞扫描： CISA 为小型企业提供免费的网络卫生漏洞扫描。各种扫描和测试服务可用于帮助组织评估威胁暴露程度。目标是通过解决已知漏洞和调整配置来保护系统。

• 管理信息通信技术 (ICT) 供应链风险：ICT 供应链风险管理工具包可以帮助保护商业信息和通信技术免受供应链攻击。该工具包由 CISA 开发，包括战略信息、社交媒体、视频和资源。它旨在帮助提高认识并减少供应链风险的影响。

• 免费网络安全服务和工具： CISA 编制了一份免费网络安全资源清单，包括 CISA 提供的服务、广泛使用的开源工具以及网络安全社区中私营和公共部门组织提供的免费服务。CISA 还为小型企业提供网络指导。

• 维护国防部行业合作伙伴合规性：联邦承包商和分包商应使用网络安全成熟度模型认证 (CMMC)计划。其目的是保护国防部共享的受控非机密信息 (CUI)。CMMC 是一个框架和评估员认证计划，为承包商提供了一个模型来满足一组网络安全标准和要求。

小型企业必须拥抱安全

后记：我国在网络安全领域的基本制度是网络安全等级保护制度，该制度原则上是针对所有的信息系统（个人、家庭自建自用的除外），不过在现阶段对小型企业关注度不是那么高，所以这块的相关的论述在互联网上探讨的也不是太多。本着它山之石可以攻玉，我们也可以在了解国外针对小型企业网络安全的方法论，在不违反现行法律法规及有关政策的前提下，吸收借鉴充分发挥鲁迅先生说的“拿来主义”！