E安全7月28日讯 美国国家标准与技术研究所（NIST）《网络安全框架》发生了重大变化，例如协调披露漏洞（Coordinated Vulnerability Disclosure，CVD）内容可能会推迟到今后的修订版本中，而不会纳入在V 1.1.版本中。

这是上周NIST发布的5月公众征询研讨会结果之一。NIST在研讨中提出计划明年早些时候完成对《网络安全框架》的修订。

报告中提到“向后兼容”性，即确保现有版本V1.0的用户能使用新版本V1.1。也就是说，只会进行较小的调整，例如新增多因素身份验证或新增解决物联网风险的方法。

NIST在研讨报告中提出，计划推动对V1.1草案（今年1月发布的）中的提议修改项，包括：

• 修改网络安全度量的内容。企业领导者希望明确这里指的是自我评估，而非审计或法律标准。

• 在身份与访问管理中新增子节，即身份验证。包括基于风险身份验证方法的三层描述：单一、多因素和持续验证。

• 将网络供应链风险管理实现层级（Cyber Supply Chain Implementation Tier）融入到其它三个实现层级内容中。

• 删除第3.7节，联邦机构应用框架的部分。特朗普行政令EO13800已经解决了这个问题，联邦机构具有独立的框架指南。这份研讨报告暗示，这可能有助于推动国际上采用该框架。

• 最根本的是，整个文件的评估和内容更新是为了更好地适应物联网和工控系统网络安全。

报告指出，参会者协调漏洞披露（CVD）达成一致意见，即企业创建渠道报告并修复自制软件的漏洞，这是一个成熟的做法。但有些参会者主张，在框架多次迭代中分阶段融合。

有些参会者认为，框架V1.1适合引入CVD，其它参与者则认为，通过更多时间研究CVD与次框架之间的交叉点，也许能将CVD全面纳入到在V2.0中。

报告称，NIST将于今年秋天发布新草案，明年发布最终版本V1.1.