U.S. Government Accountability Office美國政府問責辦公室(局),是美國國會的下屬機構,負責調查、監督聯邦政府的規劃和支出,其前身是美國總審計局。
2018年9月6日,GAO發佈了《Urgent Actions Are Needed to Address Cybersecurity Challenges Facing the Nation》(國家網絡安全應急措施),全文共88頁,文中指出4大主要的網絡安全挑戰和10個聯邦政府和其他組織急需採取的關鍵行動。本文摘編了其中的主要內容,僅供參考。
GAO:美國網絡安全的4大挑戰和10項措施
來源:https://www.gao.gov
近年來,網絡安全相關事件頻發,給國家安全、經濟安全、個人隱私和安全帶來嚴峻挑戰。比如:
2018年3月,亞特蘭大(美國佐治亞州首府)受到勒索軟件攻擊。受勒索軟件的影響,市民無法支付賬單、訪問法院的應用程序。
2018年3月,司法部稱9個伊朗人實施了大規模的網絡竊取活動,從超過140個大學、30家美國公司、5家聯邦政府機構等竊取超過31TB文檔和數據。
……
四大網絡安全挑戰
根據之前的研究,一共確定了四大主要的網絡安全挑戰:
1、建立全面的網絡安全戰略並進行有效監督;
2、確保聯邦系統和信息安全;
3、保護網絡關鍵基礎設施;
4、保護隱私和敏感數據。
為了應對這些挑戰,我們確定了聯邦政府和其他實體需要採取的10項關鍵行動。 表格後面總結了解決這些問題所需的四大挑戰和十大關鍵行動。
十大應對措施
1、建立全面的網絡安全戰略並進行有效監督
聯邦政府無論在建立全面的網絡安全戰略上,還是在聯邦法律和政策要求下進行有效監督這兩個方面,都面臨巨大的挑戰。比如,聯邦政府在制定如何參與國內和國際安全相關事務的全面戰略框架方面就面臨挑戰。聯邦政府可以採取四項關鍵行動來改善國家對網絡安全的戰略和監督,
1)為國家安全和全球網絡空間建立和實施更加綜合和全面的聯邦戰略。
2)緩解全球供應鏈風險。雖然聯邦政府已採取措施來解決之前發現的IT供應鏈問題,但該領域仍然是聯邦政府的潛在威脅載體。
圖:典型網絡組件生產地圖
3)解決網絡安全人員管理挑戰。聯邦政府在確保國家網絡安全工作人員具備相應的網絡安全技能方面存在挑戰。
4)確保新興技術的安全性。新技術如物聯網設備、智能汽車等給網絡安全帶來了全新的挑戰。
圖:典型的IoT攻擊場景(美國國防部)
2、確保聯邦系統和信息安全
聯邦政府在保護信息系統和相關敏感信息方面受到了挑戰。隨著越來越多新的威脅和網絡安全事件的產生,聯邦信息系統中的弱點不斷凸顯,也突出了對信息安全的持續和迫切需求。聯邦機構必須採取適當措施,更好地確保信息系統保護計劃的實施。
5)改進政府範圍內實施的網絡安全措施;
6)解決聯邦信息安全計劃的弱點;
7)加強聯邦對網絡事件的反應能力。
3、保護網絡關鍵基礎設施
聯邦政府在與私營企業協作保護關鍵基礎設施過程中也面臨巨大挑戰。基礎設施包括對國家安全和經濟社會至關重要的系統,包括公共系統和非公共(私有)系統。隨著針對這些信息系統的網絡安全威脅持續增多,聯邦機構需要保護的敏感數據量超過上百萬。因此:
8)加強聯邦政府在保護關鍵基礎設施網絡安全中的角色。為解決這一問題,美國國家標準與技術研究院(NIST)開發了一套網絡安全框架,其中包含網絡安全標準和程序,使用基於風險的方法來管理網絡安全。
圖:2017年聯邦信息安全事件數量及分類
4、保護隱私和敏感數據
聯邦政府在保護隱私和敏感數據方面也面臨挑戰。隨著搜索技術和數據分析技術的發展,很容易可以將大量不同的數據庫中的個人信息進行關聯,而這類數據庫的維護成本也很低。另外,無處不在的網絡連接使得通過智能手機和健身追蹤器等移動設備對個人及其活動進行追蹤變成了可能。
聯邦機構應採取兩種措施來應對這方面挑戰:
9)改善聯邦政府保護隱私和敏感數據的能力。之前GAO撰寫的報告中就指出了各機構在保護隱私和敏感數據方面存在的問題。
10)適當限制對個人隱私信息的收集和使用,並確保只在獲得同意或授權的情況下收集。
(全文完)
《中國電子科學研究院學報》歡迎各位專家、學者賜稿!投稿鏈接
http://kjpl.cbpt.cnki.net
學報電話:010-68893411
學報郵箱:[email protected]
閱讀更多 信息與電子前沿 的文章
