美國國家標準與技術研究院 (NIST) 發布了 NISTIR 8323 Rev. 2 的修訂草案，更新了其定位、導航和授時 (PNT) 網路安全基礎規範，使其與NIST 網路安全框架 2.0 保持一致。該指南旨在幫助組織管理影響依賴 PNT 服務的系統和資產的風險，這些服務包括 GPS、網路時間協議伺服器、商業授時服務和內部授時基礎設施。

根據美國國家標準與技術研究院 (NIST) 的說法，修訂後的規範擴展了識別 PNT 依賴型系統、保護用戶設備免受敵對干擾、檢測時間服務異常或篡改以及提高中斷期間的響應和恢復能力等方面的實用指導。該機構也就新興技術的影響徵求業界意見，包括人工智慧驅動的風險、第三方依賴性，以及在 2026 年 7 月 6 日意見徵集截止日期前是否應納入其他 CSF 2.0 類別或參考資料。

美國國家標準與技術研究院 (NIST) 在上週發布的草案中詳細闡述道：「CSF 2.0 可服務於所有組織，無論其所屬行業或規模大小，旨在為所有用戶提供易於獲取且切實可行的指導，包括但不限於關鍵基礎設施、私營企業和小企業。組織可以應用該規範，使其定位、服務和授予服務服務對現代服務和營運至關重要，因此與先前的版本相比，此次更新的關鍵內容包括整合 CSF 治理功能，以及對功能和類別進行更新，以體現高管層風險管理策略和監督對於實現 PNT 韌性的必要性。

該規範還提供了一個靈活的框架，用於管理影響定位、導航和授時 (PNT) 訊號和資料的風險，無論風險來源是自然事件、惡意活動還是人為失誤。美國國家標準與技術研究院 (NIST) 表示，該指南旨在為各組織提供一個起點，組織可以根據自身營運需求進行定制，從而實施最適合關鍵基礎設施應用可靠高效運行的措施、流程和資源優先級。

PNT概況旨在支援基於風險的PNT服務管理，幫助組織增強營運韌性，並降低訊號中斷或竄改對關鍵功能的影響。它為建立PNT服務和資料使用相關的治理機制、識別依賴PNT的系統和資產、評估營運和效能要求以及繪製PNT資料來源圖譜提供了指導。

PNT規範定義了在國家和經濟安全背景下負責任地使用PNT服務。負責任的使用包括採用基於風險的管理實踐，以確保在PNT訊號不可用或受損時，系統仍能保持運作或安全故障。該規範還提倡採用基於風險的方法來檢測效能下降，在位置或時間資料品質受到影響時向應用程式發出警報，並最大限度地減少PNT服務和資料中斷或篡改的影響。此外，該規範也強調在組織環境中對PNT服務進行週詳的規劃和安全的管理。

該規範旨在為依賴定位、導航和授時 (PNT) 服務的組織提供靈活的工具，以支援其任務和業務目標。它可以幫助組織評估與 PNT 服務中斷或被篡改相關的風險，並根據營運和業務需求確定網路安全活動的優先順序。此外，該規範還可以幫助組織識別在哪些方面需要額外的標準、實踐或指南來管理影響依賴 PNT 服務的系統的風險。美國國家標準與技術研究院 (NIST) 指出，該規範旨在補充而非取代目前已開展的、旨在促進負責任且安全地使用 PNT 服務的行業特定工作。

雖然該指南與已建立的網路安全計劃一起實施時效果最佳，但 NIST 指出，即使尚未建立正式的網路安全計劃，組織仍然可以採用 PNT 設定檔。

NIST 的這份文件概述了適用於 PNT 服務的相關功能、類別和子類別。文件中提供的參考資料包括網路安全指南、PNT 特定建議和實施方法的範例，但 NIST 指出，該列表僅為範例而非完整列表，可能不完全適用於所有行業。該文件僅關注與 PNT 用例最相關的 CSF 2.0 子類別，旨在支援以全面、基於風險的方式負責任地使用 PNT 服務。

治理職能定義了組織如何建立、溝通和監控其網路安全風險管理策略、預期和政策。它透過將網路安全成果與任務目標和利害關係人的期望保持一致，為應用設定檔中的其他職能奠定了基礎。美國國家標準與技術研究院 (NIST) 將治理職能描述為有效實施 PNT 設定檔的核心。

其目標包括明確組織環境、使網路安全活動與更廣泛的風險管理策略保持一致、建立清晰的角色和職責，以及保障網路安全供應鏈的安全。在 NIST 網路安全架構 2.0 中，「治理」職能包含六個類別，但 PNT 規範特別關注與負責任地使用和保護 PNT 資料和服務最相關的四個類別。

識別功能引導組織了解其定位、導航和授時 (PNT) 依賴關係以及與之相關的網路安全風險。這種了解使組織能夠根據其在治理功能下制定的風險管理策略和任務需求，優先考慮安全工作。

此功能著重於識別依賴 PNT 資料的運作環境和資產，繪製提供 PNT 資訊的來源和基礎設施，並評估脆弱性、威脅以及如果這些威脅成為現實可能造成的潛在運作影響。

保護職能著重於制定、實施和驗證各項措施，以協助防止因PNT服務中斷或被竄改而導致的功能喪失。它還支援各項準備活動，以便有效應對和恢復網路安全事件；而緩解措施的執行則由回應和復原職能負責。

此功能強調保護產生、傳輸和依賴定位、導航和授時 (PNT) 資料的系統，以維持所需的完整性、可用性和機密性。它還透過網路安全最佳實踐來促進 PNT 服務的安全部署和使用，包括了解 PNT 來源和資料的基線特徵和容差、分配充足的資源、管理系統開發生命週期以及實施培訓、授權和存取控制。在發生中斷時，該指南旨在幫助組織透過符合業務和營運需求的、經過驗證的回應和復原計劃來維持營運連續性。

檢測功能負責制定和部署適當的活動，以發現和分析潛在的網路安全攻擊。檢測功能以識別功能為資訊來源，並由保護功能在治理功能製定的策略和風險策略的指導下運作。

回應功能著重於在偵測到網路安全事件後採取的行動，旨在支援組織控制影響定位、導航和授時 (PNT) 服務或資料的中斷或篡改行為。它涵蓋事件管理、分析、緩解、報告和溝通活動。此功能由偵測功能的輸出觸發，並依賴保護功能下建立的準備措施，使組織能夠在事件發生期間有效執行預先定義的回應計畫。

2023年2月，美國國家標準與技術研究院 (NIST)發布了一份自願性定位、導航和授時 (PNT) 規範，該規範基於 NIST 網路安全框架創建，可作為風險管理計劃的一部分，幫助組織管理使用 PNT 服務的系統、網路和資產所面臨的風險。 PNT 規範為 PNT 使用者提供了一個靈活的框架，用於管理在產生和使用 PNT 訊號和資料時可能遇到的風險。這些訊號和數據容易受到各種干擾和篡改，這些干擾和篡改可能是自然發生的、人為造成的、有意的或無意的。

資料來源：https://industrialcyber.co/nist/nist-revises-pnt-services-cybersecurity-guidance-under-csf-2-0-to-address-gps-disruption-ai-risks-supply-chain-threats/