來源:E安全
為了回應(yīng)針對美國聯(lián)邦政府開展的一系列網(wǎng)絡(luò)攻擊活動,奧巴馬總統(tǒng)正著手籌集190億美元作為網(wǎng)絡(luò)安全預(yù)算——這一數(shù)字較上年增長35%���,同時亦在物色一名政府CISO以監(jiān)督全部已過時及安全性薄弱之網(wǎng)絡(luò)基礎(chǔ)設(shè)施的升級工作��。
自2006年到2014年����,信息安全事故總量增長超過11倍�、達(dá)到全年67168起,而來自其它國家的攻擊活動亦呈現(xiàn)出逐步增多的態(tài)勢���。
值得注意的是,中國方面已經(jīng)承認(rèn)其黑客接入到美國人事管理辦公室�����,并導(dǎo)致后者丟失與2200萬名政府雇員����、承包商以及求職者相關(guān)的信息記錄。
面向公眾的政府官方網(wǎng)站亦曾遭遇濫用����,其中曝光度最高的當(dāng)數(shù)美國國稅署的在線服務(wù)��,總計33萬4千名納稅人的詳細(xì)稅務(wù)記錄流向黑客欺詐系統(tǒng)�。
為了扭轉(zhuǎn)這一不利局面����,奧巴馬總統(tǒng)公布了網(wǎng)絡(luò)安全國家行動計劃,其中對解決網(wǎng)絡(luò)攻擊難題及推動政府?dāng)?shù)字網(wǎng)絡(luò)現(xiàn)代化轉(zhuǎn)型提出了一系列針對性舉措�����。這項計劃將提升安全性水平���,但同時亦需要配合行業(yè)專家之引導(dǎo)以確保各項既定目標(biāo)得以順利實現(xiàn)�����。
下面來看該計劃中的各項要點:
·分配31億美元用于對已過時及難于保護(hù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行升級�����。
·指派一名政府CISO以監(jiān)督相關(guān)升級工作�����。其具體職責(zé)包括開發(fā)����、管理并協(xié)調(diào)整個聯(lián)邦政府體系內(nèi)的網(wǎng)絡(luò)安全策略、政策以及操作事宜���。
·建立國家網(wǎng)絡(luò)安全強(qiáng)化委員會——由商業(yè)與技術(shù)領(lǐng)導(dǎo)者組成�����,其中一部分由國會方面任命��,共同勾勒出一份為期十年的網(wǎng)絡(luò)安全發(fā)展路線圖以推廣各類最佳實踐��。這項計劃將包含網(wǎng)絡(luò)安全意識強(qiáng)化���、隱私保護(hù)��、公共安全維護(hù)��、經(jīng)濟(jì)安全維護(hù)�����、國家安全維護(hù)并保證美國擁有更為強(qiáng)大的數(shù)字安全控制能力�����。該委員會將受到國家標(biāo)準(zhǔn)與技術(shù)研究院(簡稱NIST)的全力支持。
·網(wǎng)絡(luò)安全總體支出達(dá)到190億美元�,較上年全年增長35%。
·建立聯(lián)邦政府隱私委員會以制定涵蓋各下轄政府機(jī)關(guān)之戰(zhàn)略與綜合性聯(lián)邦隱私政策�����。
·通過國家網(wǎng)絡(luò)安全聯(lián)盟對信息消費者之網(wǎng)絡(luò)安全意識進(jìn)行培訓(xùn)——國家網(wǎng)絡(luò)安全聯(lián)盟為非營利性組織���,其成員包括美國國土安全部(簡稱DHS)以及賽門鐵克�����、思科�����、微軟��、SAIC與EMC等私營企業(yè)����。其呼吁并鼓勵使用多因素驗證機(jī)制�����,同時實施一套尚未最終定名的“有效身份認(rèn)證”方案。
·要求各機(jī)構(gòu)根據(jù)當(dāng)前所負(fù)責(zé)之任務(wù)內(nèi)容進(jìn)行風(fēng)險評估��,而后制定一項計劃以提升其保護(hù)水平��。
·推進(jìn)IT服務(wù)共享——例如云服務(wù)——以提升執(zhí)行效率�����,并以強(qiáng)制方式要求各政府機(jī)關(guān)建立自己的安全基礎(chǔ)設(shè)施體系��。
·拓展“愛因斯坦”項目��,即國土安全部推出之用于記錄并分析網(wǎng)絡(luò)流量并針對政府網(wǎng)絡(luò)信息進(jìn)行入侵檢測之系統(tǒng)方案��。其后續(xù)擴(kuò)展包括通過少數(shù)集中位置運(yùn)行全部政府互聯(lián)網(wǎng)流量���,并配合入侵檢測系統(tǒng)對其加以監(jiān)控。另外�,擴(kuò)展國土安全部之持續(xù)診斷與減災(zāi)方案以實現(xiàn)網(wǎng)絡(luò)風(fēng)險評估自動化。
·將國土安全部下轄之網(wǎng)絡(luò)防御團(tuán)隊增加至48個����,從而實現(xiàn)滲透測試�、入侵活動搜索并提供安全專業(yè)知識及事故響應(yīng)服務(wù)�。
·增加國家網(wǎng)絡(luò)安全學(xué)術(shù)卓越中心項目內(nèi)所涵蓋的大學(xué)與高校數(shù)量�,同時將獎學(xué)金數(shù)額同聯(lián)邦政府網(wǎng)絡(luò)安全核心課程與網(wǎng)絡(luò)安全水平掛鉤。作為回饋���,獎學(xué)金接收方將作為政府網(wǎng)絡(luò)安全計劃的參與者����,并借此提升學(xué)生助學(xué)貸款金額�����。這筆資助款項總值為6200萬美元��。
·在面向公眾的聯(lián)邦政府網(wǎng)站上利用身份驗證機(jī)制防止欺詐行為�,例如駁回申請人提出的偽造退稅申請。
·盡可能降低政府內(nèi)部將社保號碼作為身份ID使用的頻率��,從而防止身份竊取活動�。
·通過小型企業(yè)管理局、美國聯(lián)邦貿(mào)易委員會以及國家標(biāo)準(zhǔn)與技術(shù)研究院的多方協(xié)作為小型企業(yè)的區(qū)域性網(wǎng)絡(luò)安全培訓(xùn)提供支持���。
·創(chuàng)建一套測試平臺��,旨在測試電網(wǎng)等關(guān)鍵性基礎(chǔ)設(shè)施的防御能力水平�。這項工作將由美國國土安全部、商務(wù)部以及能源部負(fù)責(zé)推進(jìn)����。
·制定一套方案以證明物聯(lián)網(wǎng)設(shè)備之安全性。
·列舉與網(wǎng)絡(luò)安全技術(shù)緊密相關(guān)的各戰(zhàn)略性研發(fā)目標(biāo)���。
·與開源技術(shù)社區(qū)合作并為其提供資助���,從而確保相關(guān)開發(fā)成果之安全性水平。
