01背景
|
2023年1月19日,,美國政府問責(zé)局(GAO)發(fā)布網(wǎng)絡(luò)安全高風(fēng)險(xiǎn)系統(tǒng)報(bào)告:建立綜合網(wǎng)絡(luò)安全戰(zhàn)略和執(zhí)行有效監(jiān)管的挑戰(zhàn)(Challenges in Establishing a Comprehensive Cybersecurity Strategy and Performing Effective Oversight)。報(bào)告指出,,聯(lián)邦政府機(jī)構(gòu)在信息安全,、關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)、個(gè)人可識別信息隱私等高風(fēng)險(xiǎn)領(lǐng)域存在風(fēng)險(xiǎn),,且相關(guān)安全建議未被采納和實(shí)施,。GAO提出,聯(lián)邦政府應(yīng)從實(shí)施更加綜合性的聯(lián)邦戰(zhàn)略,、緩解全球供應(yīng)鏈風(fēng)險(xiǎn),、解決網(wǎng)絡(luò)安全人才不足挑戰(zhàn)、確保新興技術(shù)安全四個(gè)方面解決美國所面臨的網(wǎng)絡(luò)安全挑戰(zhàn),。  本文主要內(nèi)容及關(guān)鍵詞 1. 背景 2.聯(lián)邦政府如何解決網(wǎng)絡(luò)安全挑戰(zhàn):聯(lián)邦政府①如何實(shí)施綜合聯(lián)邦網(wǎng)絡(luò)戰(zhàn)略,?②如何緩解全球供應(yīng)鏈風(fēng)險(xiǎn),?③如何解決網(wǎng)絡(luò)安全人才不足的問題?④如何確保新興技術(shù)的安全,? 3. 評述 01背景 美國聯(lián)邦政府和能源,、交通、通信,、金融服務(wù)等關(guān)鍵基礎(chǔ)設(shè)施都依賴技術(shù)系統(tǒng)來實(shí)現(xiàn)基本操作,、處理、維護(hù)和報(bào)告重要信息,。這些系統(tǒng)和數(shù)據(jù)的安全性對于保護(hù)個(gè)人隱私和國家安全至關(guān)重要,。 隨著技術(shù)的發(fā)展,這些技術(shù)系統(tǒng)的風(fēng)險(xiǎn)逐漸增加,。聯(lián)邦機(jī)構(gòu),、關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營者有責(zé)任保護(hù)系統(tǒng)的機(jī)密性、完整性和可用性,,并有效應(yīng)對網(wǎng)絡(luò)攻擊,。GAO先后將信息安全、關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù),、個(gè)人可識別信息隱私列入高風(fēng)險(xiǎn)領(lǐng)域,。2010年以來,GAO先在高風(fēng)險(xiǎn)領(lǐng)域先后發(fā)布了335份建議,,但截至2022年12月,,仍有190份建議未被采納。 02GAO認(rèn)為聯(lián)邦政府應(yīng)該采取以下措施確保網(wǎng)絡(luò)安全 為國家網(wǎng)絡(luò)安全和全球網(wǎng)絡(luò)空間建立更加綜合性的聯(lián)邦戰(zhàn)略,; 緩解全球供應(yīng)鏈風(fēng)險(xiǎn),; 解決網(wǎng)絡(luò)安全人才管理挑戰(zhàn); 確保新興技術(shù)安全,,如人工智能,、物聯(lián)網(wǎng)。 2.1 聯(lián)邦政府如何實(shí)施更加綜合的聯(lián)邦網(wǎng)絡(luò)戰(zhàn)略,? 聯(lián)邦政府需要解決國家網(wǎng)絡(luò)戰(zhàn)略和實(shí)施方案中的缺失部分,。 2018年9月白宮發(fā)布的國家網(wǎng)絡(luò)戰(zhàn)略(2018 National Cyber Strategy)和2019年6月國家安全委員會發(fā)布的實(shí)施方案中,詳細(xì)介紹了管理國家網(wǎng)絡(luò)安全的方法,。國家網(wǎng)絡(luò)戰(zhàn)略和實(shí)施方案只解決了國家戰(zhàn)略中的3個(gè)目標(biāo):(1)目的,、意圖、方法,,組織角色,、職責(zé),融入和實(shí)現(xiàn),;(2)未解決問題定義和風(fēng)險(xiǎn)管理,;(3)目標(biāo),、子目標(biāo)、活動和效果度量,,資源,、投入和風(fēng)險(xiǎn)管理等3個(gè)目標(biāo),如下圖所示:  國會和白宮采取了一系列措施以確立其在網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)地位,。但聯(lián)邦政府在建立和實(shí)現(xiàn)綜合性的國家戰(zhàn)略前,,都沒有提出美國應(yīng)對網(wǎng)絡(luò)挑戰(zhàn)的清晰路線圖。GAO建議國家安全委員會與相關(guān)聯(lián)邦機(jī)構(gòu)協(xié)作,,更新網(wǎng)絡(luò)安全戰(zhàn)略文件,,包括目標(biāo)、度量,、資源信息等。2022年8月,,國家網(wǎng)絡(luò)總監(jiān)辦公室(Office of the National Cyber Director, ONCD)表示國家網(wǎng)絡(luò)安全戰(zhàn)略的確立正在推進(jìn)過程中,,并收到了包括國家安全委員會在內(nèi)的多個(gè)聯(lián)邦機(jī)構(gòu)的反饋。 2.2 聯(lián)邦政府如何緩解全球供應(yīng)鏈風(fēng)險(xiǎn),? 聯(lián)邦政府需要實(shí)現(xiàn)對供應(yīng)鏈風(fēng)險(xiǎn)的管理,。 聯(lián)邦政府依賴信息和通信技術(shù)產(chǎn)品和服務(wù)實(shí)現(xiàn)其職能。這就使其不得不面對信息通信技術(shù)供應(yīng)鏈風(fēng)險(xiǎn),,如,,敵對國家對供應(yīng)鏈漏洞的利用等。為幫助聯(lián)邦機(jī)構(gòu)有效管理信息通信技術(shù)供應(yīng)鏈風(fēng)險(xiǎn),,國家標(biāo)準(zhǔn)和技術(shù)研究所建立了包括基于風(fēng)險(xiǎn)實(shí)踐在內(nèi)的工作指南,。 2022年12月,GAO發(fā)現(xiàn)23個(gè)機(jī)構(gòu)沒有實(shí)現(xiàn)供應(yīng)鏈管理風(fēng)險(xiǎn)的7個(gè)基礎(chǔ)安全實(shí)踐,,14個(gè)機(jī)構(gòu)沒有實(shí)現(xiàn)任何安全實(shí)踐,。23個(gè)機(jī)構(gòu)中只有3個(gè)建立了產(chǎn)品部署前檢測信息通信技術(shù)產(chǎn)品是否安全的組織流程。23個(gè)機(jī)構(gòu)中沒有一個(gè)在機(jī)構(gòu)范圍建立了對信息通信技術(shù)供應(yīng)鏈風(fēng)險(xiǎn)的評估,。  GAO建議這23個(gè)機(jī)構(gòu)在組織范圍內(nèi),,盡快實(shí)現(xiàn)這些基本實(shí)踐以應(yīng)對信息通信技術(shù)供應(yīng)鏈風(fēng)險(xiǎn)管理。截止2022年12月,,145條建議中有130個(gè)仍然未實(shí)現(xiàn),,這23個(gè)機(jī)構(gòu)中沒有一個(gè)機(jī)構(gòu)完全實(shí)現(xiàn)了GAO的這些建議。 2.3 聯(lián)邦政府如何解決網(wǎng)絡(luò)安全人才不足的問題,? 管理和預(yù)算辦公室(OMB)應(yīng)建立規(guī)劃以解決網(wǎng)絡(luò)安全人才短缺的問題,。 2020年4月,GAO提出OMB和其他牽頭組織應(yīng)該實(shí)現(xiàn)改革以解決人才問題,,如,,識別現(xiàn)有網(wǎng)絡(luò)安全人才技能方面的不足,,并通過培訓(xùn)等措施縮小差距,建立招聘,、培訓(xùn)網(wǎng)絡(luò)安全專業(yè)人才的標(biāo)準(zhǔn)化建設(shè)等方法,。  GAO發(fā)現(xiàn)OMB和國土安全部解決了一部分人才短缺的問題。但OMB和國土安全部尚未建立在政府范圍內(nèi)建立實(shí)施方案,。這樣,,OMB和國土安全部可能無法在解決網(wǎng)絡(luò)安全人才短缺問題上取得明顯進(jìn)展。 在解決網(wǎng)絡(luò)安全人才不足挑戰(zhàn)上,,GAO建議建立政府范圍內(nèi)的人才規(guī)劃和一系列的支持舉措,,比如建立領(lǐng)導(dǎo)團(tuán)隊(duì)、制定實(shí)施方案,。2022年,,政府內(nèi)網(wǎng)絡(luò)人才問題的主要負(fù)責(zé)機(jī)構(gòu)從OMB和國土安全部轉(zhuǎn)移到了國家網(wǎng)絡(luò)總監(jiān)辦公室。轉(zhuǎn)移之后,,總監(jiān)將負(fù)責(zé)建立解決網(wǎng)絡(luò)培訓(xùn),、教育、網(wǎng)絡(luò)人才等問題的國家戰(zhàn)略,。 2.4 聯(lián)邦政府如何確保新興技術(shù)的安全,? 聯(lián)邦政府應(yīng)更好確保聯(lián)網(wǎng)設(shè)備的安全。國家的關(guān)鍵基礎(chǔ)設(shè)施依賴電子系統(tǒng),,包括物聯(lián)網(wǎng)(IoT)和OT(操作技術(shù))設(shè)備和系統(tǒng),。目前,能源部,、國土安全部,、交通部、衛(wèi)生和公眾服務(wù)部等關(guān)鍵基礎(chǔ)設(shè)施單元都在創(chuàng)建網(wǎng)絡(luò)安全計(jì)劃,,以幫助關(guān)鍵基礎(chǔ)設(shè)施更好地使用IoT和OT設(shè)備和系統(tǒng),。但沒有機(jī)構(gòu)及時(shí)建立評估有效性的度量標(biāo)準(zhǔn)。此外,,相關(guān)機(jī)構(gòu)也未進(jìn)行IoT和OT網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估,。GAO建議能源部、國土安全部,、交通部,、衛(wèi)生和公眾服務(wù)部及時(shí)建立和使用度量標(biāo)準(zhǔn)來評估IoT和OT網(wǎng)絡(luò)安全工作的有效性以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。截止2022年12月,,以上建議尚未被實(shí)現(xiàn),。 量子計(jì)算可能會帶來重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。量子計(jì)算機(jī)可以加速機(jī)器學(xué)習(xí)和信息解密等應(yīng)用的計(jì)算速度,,也可能會對安全和密碼學(xué)技術(shù)帶來潛在風(fēng)險(xiǎn)和挑戰(zhàn),。比如,,量子計(jì)算機(jī)有可能破解標(biāo)準(zhǔn)加密技術(shù),并因此帶來巨大信息安全風(fēng)險(xiǎn),。因此,,聯(lián)邦政府的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施應(yīng)解決這一威脅。 人工智能技術(shù)持續(xù)發(fā)展,,應(yīng)加強(qiáng)監(jiān)管,。人工智能技術(shù)的發(fā)展和應(yīng)用可能會帶來一系列的挑戰(zhàn)和風(fēng)險(xiǎn)。比如,,如果人工智能使用的數(shù)據(jù)是有偏見的或被黑客破壞過的,,那么產(chǎn)生的結(jié)果也可能是有偏見的。2021年3月,,美國人工智能國家安全委員會發(fā)布報(bào)告分析了與人工智能相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及解決措施,。報(bào)告同時(shí)指出人工智能技術(shù)可以使得網(wǎng)絡(luò)攻擊更加復(fù)雜,使網(wǎng)絡(luò)戰(zhàn)加速和自動化,,使網(wǎng)絡(luò)武器更加隱蔽,,使網(wǎng)絡(luò)攻擊活動更加高效。聯(lián)邦政府應(yīng)該采取更多的措施來解決這些威脅,。 03評述 近年來,美國高度重視網(wǎng)絡(luò)安全,,尤其是關(guān)鍵基礎(chǔ)設(shè)施的保護(hù),。GAO在原有信息安全的基礎(chǔ)上,將關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù),、個(gè)人信息隱私等列入高風(fēng)險(xiǎn)領(lǐng)域,。2010年以來,GAO在高風(fēng)險(xiǎn)領(lǐng)域先后發(fā)布的網(wǎng)絡(luò)安全建議,,有近200份建議未被實(shí)現(xiàn),,因此存在重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。GAO提出建議,,聯(lián)邦政府解決國家網(wǎng)絡(luò)戰(zhàn)略和實(shí)施方案中的缺失部分以實(shí)施更加綜合的網(wǎng)絡(luò)戰(zhàn)略,、實(shí)現(xiàn)供應(yīng)鏈風(fēng)險(xiǎn)管理的全部實(shí)踐以緩解全球供應(yīng)鏈風(fēng)險(xiǎn)、建立政府范圍規(guī)劃解決網(wǎng)絡(luò)安全人才短缺的問題,、從物聯(lián)網(wǎng)設(shè)備,、人工智能、量子計(jì)算等方面確保新興技術(shù)的安全,,最終實(shí)現(xiàn)應(yīng)對美國所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)的目的,。 (全文完) 參考鏈接: https://www./products/gao-23-106415 |
|
|
