來源:E安全
為了回應針對美國聯(lián)邦政府開展的一系列網(wǎng)絡攻擊活動,奧巴馬總統(tǒng)正著手籌集190億美元作為網(wǎng)絡安全預算——這一數(shù)字較上年增長35%����,同時亦在物色一名政府CISO以監(jiān)督全部已過時及安全性薄弱之網(wǎng)絡基礎設施的升級工作。
自2006年到2014年���,信息安全事故總量增長超過11倍�、達到全年67168起,而來自其它國家的攻擊活動亦呈現(xiàn)出逐步增多的態(tài)勢����。
值得注意的是,中國方面已經(jīng)承認其黑客接入到美國人事管理辦公室��,并導致后者丟失與2200萬名政府雇員�、承包商以及求職者相關的信息記錄。
面向公眾的政府官方網(wǎng)站亦曾遭遇濫用����,其中曝光度最高的當數(shù)美國國稅署的在線服務,總計33萬4千名納稅人的詳細稅務記錄流向黑客欺詐系統(tǒng)�����。
為了扭轉(zhuǎn)這一不利局面����,奧巴馬總統(tǒng)公布了網(wǎng)絡安全國家行動計劃,其中對解決網(wǎng)絡攻擊難題及推動政府數(shù)字網(wǎng)絡現(xiàn)代化轉(zhuǎn)型提出了一系列針對性舉措�。這項計劃將提升安全性水平,但同時亦需要配合行業(yè)專家之引導以確保各項既定目標得以順利實現(xiàn)�。
下面來看該計劃中的各項要點:
·分配31億美元用于對已過時及難于保護的網(wǎng)絡基礎設施進行升級。
·指派一名政府CISO以監(jiān)督相關升級工作。其具體職責包括開發(fā)�、管理并協(xié)調(diào)整個聯(lián)邦政府體系內(nèi)的網(wǎng)絡安全策略、政策以及操作事宜�����。
·建立國家網(wǎng)絡安全強化委員會——由商業(yè)與技術領導者組成�����,其中一部分由國會方面任命��,共同勾勒出一份為期十年的網(wǎng)絡安全發(fā)展路線圖以推廣各類最佳實踐����。這項計劃將包含網(wǎng)絡安全意識強化、隱私保護�、公共安全維護、經(jīng)濟安全維護�、國家安全維護并保證美國擁有更為強大的數(shù)字安全控制能力���。該委員會將受到國家標準與技術研究院(簡稱NIST)的全力支持�����。
·網(wǎng)絡安全總體支出達到190億美元�����,較上年全年增長35%�。
·建立聯(lián)邦政府隱私委員會以制定涵蓋各下轄政府機關之戰(zhàn)略與綜合性聯(lián)邦隱私政策。
·通過國家網(wǎng)絡安全聯(lián)盟對信息消費者之網(wǎng)絡安全意識進行培訓——國家網(wǎng)絡安全聯(lián)盟為非營利性組織�����,其成員包括美國國土安全部(簡稱DHS)以及賽門鐵克�����、思科�、微軟、SAIC與EMC等私營企業(yè)���。其呼吁并鼓勵使用多因素驗證機制����,同時實施一套尚未最終定名的“有效身份認證”方案����。
·要求各機構根據(jù)當前所負責之任務內(nèi)容進行風險評估,而后制定一項計劃以提升其保護水平。
·推進IT服務共享——例如云服務——以提升執(zhí)行效率���,并以強制方式要求各政府機關建立自己的安全基礎設施體系�����。
·拓展“愛因斯坦”項目����,即國土安全部推出之用于記錄并分析網(wǎng)絡流量并針對政府網(wǎng)絡信息進行入侵檢測之系統(tǒng)方案����。其后續(xù)擴展包括通過少數(shù)集中位置運行全部政府互聯(lián)網(wǎng)流量,并配合入侵檢測系統(tǒng)對其加以監(jiān)控�����。另外���,擴展國土安全部之持續(xù)診斷與減災方案以實現(xiàn)網(wǎng)絡風險評估自動化��。
·將國土安全部下轄之網(wǎng)絡防御團隊增加至48個,從而實現(xiàn)滲透測試���、入侵活動搜索并提供安全專業(yè)知識及事故響應服務�����。
·增加國家網(wǎng)絡安全學術卓越中心項目內(nèi)所涵蓋的大學與高校數(shù)量�,同時將獎學金數(shù)額同聯(lián)邦政府網(wǎng)絡安全核心課程與網(wǎng)絡安全水平掛鉤。作為回饋�����,獎學金接收方將作為政府網(wǎng)絡安全計劃的參與者�����,并借此提升學生助學貸款金額�����。這筆資助款項總值為6200萬美元��。
·在面向公眾的聯(lián)邦政府網(wǎng)站上利用身份驗證機制防止欺詐行為��,例如駁回申請人提出的偽造退稅申請��。
·盡可能降低政府內(nèi)部將社保號碼作為身份ID使用的頻率���,從而防止身份竊取活動�����。
·通過小型企業(yè)管理局�、美國聯(lián)邦貿(mào)易委員會以及國家標準與技術研究院的多方協(xié)作為小型企業(yè)的區(qū)域性網(wǎng)絡安全培訓提供支持。
·創(chuàng)建一套測試平臺����,旨在測試電網(wǎng)等關鍵性基礎設施的防御能力水平。這項工作將由美國國土安全部��、商務部以及能源部負責推進�。
·制定一套方案以證明物聯(lián)網(wǎng)設備之安全性。
·列舉與網(wǎng)絡安全技術緊密相關的各戰(zhàn)略性研發(fā)目標�����。
·與開源技術社區(qū)合作并為其提供資助����,從而確保相關開發(fā)成果之安全性水平。
