|
U.S. Government Accountability Office美國(guó)政府問責(zé)辦公室(局),是美國(guó)國(guó)會(huì)的下屬機(jī)構(gòu),,負(fù)責(zé)調(diào)查,、監(jiān)督聯(lián)邦政府的規(guī)劃和支出,其前身是美國(guó)總審計(jì)局,。 2018年9月6日,,GAO發(fā)布了《Urgent Actions Are Needed to Address Cybersecurity Challenges Facing the Nation》(國(guó)家網(wǎng)絡(luò)安全應(yīng)急措施),全文共88頁,,文中指出4大主要的網(wǎng)絡(luò)安全挑戰(zhàn)和10個(gè)聯(lián)邦政府和其他組織急需采取的關(guān)鍵行動(dòng),。本文摘編了其中的主要內(nèi)容,僅供參考,。 GAO:美國(guó)網(wǎng)絡(luò)安全的4大挑戰(zhàn)和10項(xiàng)措施 來源:https://www. 作者:plus評(píng)論員 張濤 近年來,,網(wǎng)絡(luò)安全相關(guān)事件頻發(fā),,給國(guó)家安全、經(jīng)濟(jì)安全,、個(gè)人隱私和安全帶來嚴(yán)峻挑戰(zhàn),。比如:
四大網(wǎng)絡(luò)安全挑戰(zhàn) 根據(jù)之前的研究,一共確定了四大主要的網(wǎng)絡(luò)安全挑戰(zhàn): 1,、建立全面的網(wǎng)絡(luò)安全戰(zhàn)略并進(jìn)行有效監(jiān)督,; 2、確保聯(lián)邦系統(tǒng)和信息安全,; 3,、保護(hù)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施; 4,、保護(hù)隱私和敏感數(shù)據(jù),。 為了應(yīng)對(duì)這些挑戰(zhàn),我們確定了聯(lián)邦政府和其他實(shí)體需要采取的10項(xiàng)關(guān)鍵行動(dòng),。 表格后面總結(jié)了解決這些問題所需的四大挑戰(zhàn)和十大關(guān)鍵行動(dòng),。
十大應(yīng)對(duì)措施 1、建立全面的網(wǎng)絡(luò)安全戰(zhàn)略并進(jìn)行有效監(jiān)督 聯(lián)邦政府無論在建立全面的網(wǎng)絡(luò)安全戰(zhàn)略上,,還是在聯(lián)邦法律和政策要求下進(jìn)行有效監(jiān)督這兩個(gè)方面,,都面臨巨大的挑戰(zhàn)。比如,,聯(lián)邦政府在制定如何參與國(guó)內(nèi)和國(guó)際安全相關(guān)事務(wù)的全面戰(zhàn)略框架方面就面臨挑戰(zhàn),。聯(lián)邦政府可以采取四項(xiàng)關(guān)鍵行動(dòng)來改善國(guó)家對(duì)網(wǎng)絡(luò)安全的戰(zhàn)略和監(jiān)督, 1)為國(guó)家安全和全球網(wǎng)絡(luò)空間建立和實(shí)施更加綜合和全面的聯(lián)邦戰(zhàn)略,。 2)緩解全球供應(yīng)鏈風(fēng)險(xiǎn),。雖然聯(lián)邦政府已采取措施來解決之前發(fā)現(xiàn)的IT供應(yīng)鏈問題,但該領(lǐng)域仍然是聯(lián)邦政府的潛在威脅載體,。 圖:典型網(wǎng)絡(luò)組件生產(chǎn)地圖 3)解決網(wǎng)絡(luò)安全人員管理挑戰(zhàn),。聯(lián)邦政府在確保國(guó)家網(wǎng)絡(luò)安全工作人員具備相應(yīng)的網(wǎng)絡(luò)安全技能方面存在挑戰(zhàn)。 4)確保新興技術(shù)的安全性,。新技術(shù)如物聯(lián)網(wǎng)設(shè)備,、智能汽車等給網(wǎng)絡(luò)安全帶來了全新的挑戰(zhàn)。 圖:典型的IoT攻擊場(chǎng)景(美國(guó)國(guó)防部) 2,、確保聯(lián)邦系統(tǒng)和信息安全 聯(lián)邦政府在保護(hù)信息系統(tǒng)和相關(guān)敏感信息方面受到了挑戰(zhàn),。隨著越來越多新的威脅和網(wǎng)絡(luò)安全事件的產(chǎn)生,聯(lián)邦信息系統(tǒng)中的弱點(diǎn)不斷凸顯,,也突出了對(duì)信息安全的持續(xù)和迫切需求,。聯(lián)邦機(jī)構(gòu)必須采取適當(dāng)措施,更好地確保信息系統(tǒng)保護(hù)計(jì)劃的實(shí)施,。 5)改進(jìn)政府范圍內(nèi)實(shí)施的網(wǎng)絡(luò)安全措施,; 6)解決聯(lián)邦信息安全計(jì)劃的弱點(diǎn),; 7)加強(qiáng)聯(lián)邦對(duì)網(wǎng)絡(luò)事件的反應(yīng)能力。 3,、保護(hù)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施 聯(lián)邦政府在與私營(yíng)企業(yè)協(xié)作保護(hù)關(guān)鍵基礎(chǔ)設(shè)施過程中也面臨巨大挑戰(zhàn),。基礎(chǔ)設(shè)施包括對(duì)國(guó)家安全和經(jīng)濟(jì)社會(huì)至關(guān)重要的系統(tǒng),,包括公共系統(tǒng)和非公共(私有)系統(tǒng),。隨著針對(duì)這些信息系統(tǒng)的網(wǎng)絡(luò)安全威脅持續(xù)增多,聯(lián)邦機(jī)構(gòu)需要保護(hù)的敏感數(shù)據(jù)量超過上百萬,。因此: 8)加強(qiáng)聯(lián)邦政府在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全中的角色,。為解決這一問題,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)開發(fā)了一套網(wǎng)絡(luò)安全框架,,其中包含網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和程序,使用基于風(fēng)險(xiǎn)的方法來管理網(wǎng)絡(luò)安全,。 圖:2017年聯(lián)邦信息安全事件數(shù)量及分類 4,、保護(hù)隱私和敏感數(shù)據(jù) 聯(lián)邦政府在保護(hù)隱私和敏感數(shù)據(jù)方面也面臨挑戰(zhàn)。隨著搜索技術(shù)和數(shù)據(jù)分析技術(shù)的發(fā)展,,很容易可以將大量不同的數(shù)據(jù)庫(kù)中的個(gè)人信息進(jìn)行關(guān)聯(lián),,而這類數(shù)據(jù)庫(kù)的維護(hù)成本也很低。另外,,無處不在的網(wǎng)絡(luò)連接使得通過智能手機(jī)和健身追蹤器等移動(dòng)設(shè)備對(duì)個(gè)人及其活動(dòng)進(jìn)行追蹤變成了可能,。 聯(lián)邦機(jī)構(gòu)應(yīng)采取兩種措施來應(yīng)對(duì)這方面挑戰(zhàn): 9)改善聯(lián)邦政府保護(hù)隱私和敏感數(shù)據(jù)的能力。之前GAO撰寫的報(bào)告中就指出了各機(jī)構(gòu)在保護(hù)隱私和敏感數(shù)據(jù)方面存在的問題,。 10)適當(dāng)限制對(duì)個(gè)人隱私信息的收集和使用,,并確保只在獲得同意或授權(quán)的情況下收集。 (全文完) |
|
|
