美国国家标准技术研究院(NIST)信息安全文件之一的更新提供了一些策略，可以帮助保护存储在支持关键政府计划和高价值资产的计算机中的敏感信息。

　　该文件名为草案NIST特别出版物(SP)800-171修订2：保护控制的未分类信息的非联邦系统和组织，现在有一个新的伴侣草案公布，NIST SP 800-171B，这 提供了处理控制的非机密信息的附加建议(CUI)，如果这些信息的风险要比平常高。CUI包括各种各样的信息类型，从个人的姓名或社会安全号码到重要的国防信息。

　　当CUI成为关键计划或诸如武器系统之类的高价值资产的一部分时，它可能成为高端，复杂对手的重要目标。近年来，这些程序和资产一直遭受严重的网络攻击，促使国防部要求NIST提供更多指导。

　　NIST的作者之一罗恩·罗斯(Ron Ross)说：“我们需要提供可以抵御这些攻击的保障措施和对策。” “我们要求对此初步公开草案发表评论，我们希望这将有助于组织保护CUI免受我们最先进和持久的攻击。”

　　NIST正在接受对SP 800-171 Rev. 2(已接受较小的编辑更新)和SP 800-171B的评论，直到2019年8月2日为止。将来，NIST计划发布两个出版物的最终版本。我 ñ此外，以前提供的配套文件， NIST SP 800-171A，将与增强的安全性要求的新的评估程序进行更新。

　　SP 800-171的原始版本于2015年出现，并提供了110条建议要求，以确保驻留在承包商和与政府互动的其他组织的计算机上的CUI的机密性。SP 800-171中的指南支持整个联邦政府供应链上更一致，更可靠的安全实施。要求超过60,000个充当国防承包商的独特商业实体实施NIST SP 800-171，  以保护其系统和网络中的CUI。(NIST 在2018年10月举办了为期一天的CUI网络研讨会，提供了原始NIST SP 800-171要求的背景知识。)

　　为了解决支持关键程序或构成高价值资产一部分的非联邦系统和组织中的CUI，NIST创建了SP 800-171B，它提供了32条建议的增强安全性要求。这本新的伴随出版物不会改变2015年版本中的原始指南，而只是提供其他工具来帮助应对所谓的“持续不断的威胁”，即那些拥有专门知识和资源来应对长期网络战的对手。他们常常试图在目标的基础架构中建立长期立足点，以窃取信息或破坏其任务的关键方面，有时甚至是在最初违规后的几年。

　　罗斯说：“一旦发生这种情况，您就需要采取其他保护措施和对策来迷惑，欺骗，误导和阻碍对手。” “ SP 800-171B中的策略可以帮助您摆脱对手的战术优势，即使对手已经渗透到您的系统中，也可以保护和保留组织的高价值资产和关键程序。”

　　他说：“在最初的渗透或破坏之后，游戏不会输掉。” “这才刚刚开始。”

　　SP 800-171B 中的要求主要来自其他两个出版物草案NIST SP 800-160 Vol。NIST SP 2和NIST SP 800-53 Rev. 5，NIST都在开发这两种软件以帮助将安全性设计到信息系统中。

　　罗斯警告说，只有一小部分组织需要采用新要求。

　　他说：“认识到这些要求只会对一小部分计划和资产征收，这一点很重要，” “确定这些内容取决于各个联邦部门和机构。”

　　修订后的草案认识到许多承包商没有内部资源来完全实施要求，因此，该草案指出了组织如何使用适当的第三方承包商来执行特定任务，例如评估组织对网络攻击的弹性或提供安全运营中心能力。

　　罗斯还说，这些要求可以自​​愿应用，远远超出了政府合同的范围，包括在关键基础设施系统中。

　　他说：“从小型企业到财富500强企业，每个人都有高价值的资产，” 这些增强的防御是任何人都可以使用的出色工具。我们主要为联邦政府开展工作，但每个人都可以利用NIST的网络安全指南。”