摘要: 为了回应针对美国联邦政府开展的一系列网络攻击活动,奥巴马总统正着手筹集190亿美元作为网络安全预算——这一数字较上年增长35%,同时亦在物色一名政府CISO以监督全部已过时及安全性薄弱之网络基础设施的升级工作。 自2006年到2014年,信息安全事故总量增长超...
为了回应针对美国联邦政府开展的一系列网络攻击活动,奥巴马总统正着手筹集190亿美元作为网络安全预算——这一数字较上年增长35%,同时亦在物色一名政府CISO以监督全部已过时及安全性薄弱之网络基础设施的升级工作。
自2006年到2014年,信息安全事故总量增长超过11倍、达到全年67168起,而来自其它国家的攻击活动亦呈现出逐步增多的态势。
面向公众的政府官方网站亦曾遭遇滥用,其中曝光度最高的当数美国国税署的在线服务,总计33万4千名纳税人的详细税务记录流向黑客欺诈系统。
为了扭转这一不利局面,奥巴马总统公布了网络安全国家行动计划,其中对解决网络攻击难题及推动政府数字网络现代化转型提出了一系列针对性举措。这项计划将提升安全性水平,但同时亦需要配合行业专家之引导以确保各项既定目标得以顺利实现。
下面来看该计划中的各项要点:
- 分配31亿美元用于对已过时及难于保护的网络基础设施进行升级。
- 指派一名政府CISO以监督相关升级工作。其具体职责包括开发、管理并协调整个联邦政府体系内的网络安全策略、政策以及操作事宜。
- 建立国家网络安全强化委员会——由商业与技术领导者组成,其中一部分由国会方面任命,共同勾勒出一份为期十年的网络安全发展路线图以推广各类最佳实践。这项计划将包含网络安全意识强化、隐私保护、公共安全维护、经济安全维护、国家安全维护并保证美国拥有更为强大的数字安全控制能力。该委员会将受到国家标准与技术研究院(简称NIST)的全力支持。
- 网络安全总体支出达到190亿美元,较上年全年增长35%。
- 建立联邦政府隐私委员会以制定涵盖各下辖政府机关之战略与综合性联邦隐私政策。
- 通过国家网络安全联盟对信息消费者之网络安全意识进行培训——国家网络安全联盟为非营利性组织,其成员包括美国国土安全部(简称DHS)以及赛门铁克、思科、微软、SAIC与EMC等私营企业。其呼吁并鼓励使用多因素验证机制,同时实施一套尚未最终定名的“有效身份认证”方案。
- 要求各机构根据当前所负责之任务内容进行风险评估,而后制定一项计划以提升其保护水平。
- 推进IT服务共享——例如云服务——以提升执行效率,并以强制方式要求各政府机关建立自己的安全基础设施体系。
- 拓展“爱因斯坦”项目,即国土安全部推出之用于记录并分析网络流量并针对政府网络信息进行入侵检测之系统方案。其后续扩展包括通过少数集中位置运行全部政府互联网流量,并配合入侵检测系统对其加以监控。另外,扩展国土安全部之持续诊断与减灾方案以实现网络风险评估自动化。
- 将国土安全部下辖之网络防御团队增加至48个,从而实现渗透测试、入侵活动搜索并提供安全专业知识及事故响应服务。
- 增加国家网络安全学术卓越中心项目内所涵盖的大学与高校数量,同时将奖学金数额同联邦政府网络安全核心课程与网络安全水平挂钩。作为回馈,奖学金接收方将作为政府网络安全计划的参与者,并借此提升学生助学贷款金额。这笔资助款项总值为6200万美元。
- 在面向公众的联邦政府网站上利用身份验证机制防止欺诈行为,例如驳回申请人提出的伪造退税申请。
- 尽可能降低政府内部将社保号码作为身份ID使用的频率,从而防止身份窃取活动。
- 通过小型企业管理局、美国联邦贸易委员会以及国家标准与技术研究院的多方协作为小型企业的区域性网络安全培训提供支持。
- 创建一套测试平台,旨在测试电网等关键性基础设施的防御能力水平。这项工作将由美国国土安全部、商务部以及能源部负责推进。
- 制定一套方案以证明物联网设备之安全性。
- 列举与网络安全技术紧密相关的各战略性研发目标。
- 与开源技术社区合作并为其提供资助,从而确保相关开发成果之安全性水平。
稿源:E安全