用户名: 密码: 注册|忘记密码?
 
已有188位权威婴幼儿专家,签约为本站提供专业育儿知识!
2016-3-14 | 发布者:admin | 热度: | 评论:0
导读: 编者按:2月9日,奥巴马公布《网络安全国家行动计划》,将从提升网络基础设施水平、加强专业人才队伍建设、增进与企业的合作等五个方面入手,...

编者按:2月9日,奥巴马公布《网络安全国家行动计划》,将从提升网络基础设施水平、加强专业人才队伍建设、增进与企业的合作等五个方面入手,全面提高美国在数字空间的安全。该行动计划中的多项决策值得关注,包括:提议在国会2017财政年度预算中拿出190亿美元用于加强网络安全,第一次设立联邦首席信息安全官(CISO),下令成立国家网络安全促进委员会、联邦政府隐私委员会等。

中国信通院数据研究中心第一时间将该行动计划的内容进行了较为详细的编译,供参考。

正文摘译:

从上任之初,奥巴马总统就将网络安全视作美国面临的最大挑战之一,并采取了各种应对举措。如在刚刚过去的2015年,和国会一起发布了《网络安全法》(the Cybersecurity Act of 2015),提供必要的网络安全工具,尤其是使私营企业与政府间可以更轻松地共享网络威胁信息。

但奥巴马政府认为,还应该采取更多举措,使公民有必要的工具保护自己,使企业能够安全地运营和保护信息,政府也能够保护民众及提交的信息,这恰恰是此次发布《网络安全国家行动计划》(CNAP)的目的,它既提供了短期行动计划,也给出了长期战略目标,包括提高对网络安全的关注和保护,保护隐私,保证公众安全以及经济和国家安全,使美国民众能够更好地掌控数字安全。

(一)面临的挑战

从网上购物到公司运营,再到与我们喜爱的人沟通,网络世界已经从根本上重塑了人们的生活。但是,数字世界在给人们、企业、经济提供无限机遇的同时,也带来新的威胁。罪犯、恐怖主义者以及一些国家都意识到,较之面对面的攻击,在线攻击更为容易。越来越多的敏感数据被存储在网上,受到的网络攻击也愈演愈烈。当前,身份窃取成为美国增长最快的犯罪行为。创新者和企业促进美国经济增长并使得美国在全球居于领先位置,但是著名企业被黑或被欺骗的事情屡屡发生,使得越来越多的美国人不禁怀疑:技术带来的好处是否要被其带来的风险吞没?

尽管美国可以应对、掌控威胁,但确实需要采取更积极的行动。如果要融入网络,就要有适当的保护措施。这需要政府、企业、公民共同努力。为此,美国政府发布《网络安全国家行动计划》。

(二)主要举措

《网络安全国家行动计划》(CNAP)包含一系列短期举措,以提高联邦政府内部乃至整个美国的网络安全。但鉴于问题的复杂性和严峻性,总统要求政府外顶尖的战略、企业和技术专家研究和汇报:如何提高网络安全意识,保护隐私,保障公共安全以及经济、国家安全。奥巴马表示,需要采取一些大胆的行动,提升美国在全球数字经济中的竞争力。

《网络安全国家行动计划》是美国政府七年来的经验总结,吸纳了来自网络安全趋势、威胁、入侵等方面的教训。这一计划既包含联邦政府近期行动,也有长期改进举措,旨在全面提升联邦政府、私营企业以及个人生活的网络安全。CNAP的一些要点包括:

● 建立“国家网络安全促进委员会”(Commission on Enhancing National Cybersecurity)——由顶尖的企业与技术专家组成,部分人员由国会任命,共同勾勒出一份为期十年、涵盖公私两方面的网络安全技术、政策发展路线图,以推广各类最佳实践。这项计划将包含:强化网络安全意识,保护隐私、公共安全,维护经济、国家安全并保证美国拥有更强大的数字安全控制能力,促进联邦、州和本地政府以及企业间的合作。

● 专门分配31亿美元的信息技术现代化基金,用于升级已过时或难维护的政府IT和网络安全管理基础设施。同时设立联邦首席信息安全官(the Federal Chief Information Security Officer),监督政府部门实施这些工作。其具体职责包括开发、管理并协调整个联邦政府体系内的网络安全政策,以及操作的执行。

● 加强在线账户的保护,除密码外,辅以指纹、短信发送一次性密码等更多安全措施。通过“国家网络安全联盟”(the National Cyber Security Alliance)发起新的国家网络安全宣传行动(National Cybersecurity Awareness Campaign),专注多重认证,以提升、培育信息消费者的网络安全意识。“国家网络安全联盟”为非营利性组织,其成员包括美国国土安全部(DHS)以及赛门铁克、思科、微软、SAIC与EMC等私营企业。其呼吁并鼓励使用多重验证机制,同时实施一套尚未最终定名的“有效身份认证”方案。合作者包括Google、Facebook、DropBox、Microsoft等顶尖技术公司,以及MasterCard、Visa、PayPal和Venmo等交易服务公司。

● 2017财年预算中,网络安全总体支出达190亿美元,较2016财年增长35%。

(三)设立“国家网络安全促进委员会”

经过40多年的发展,计算机技术和互联网给美国国家、民众及其盟友带来战略性优势。但是如果基本的网络安全、身份问题得不到解决,美国对数字基础设施的依赖将成为战略风险的来源。为此,必须了解和消除网络脆弱性的根源,而不仅仅是解决现有问题,这需要长期的、国家层面的解决方案。

由此,总统成立“国家网络安全促进委员会”,成员既包括政府外的战略、企业和技术专家,也包括议会任命的两党议员。委员会的任务是制定未来十年的详细行动建议,包括提高网络安全意识,增强私有领域和政府部门的保护,保护隐私,维护公共安全以及经济、国家安全,使美国更好地掌控数字时代的安全。该委员会将受到美国国家标准与技术研究所(NIST)的全力支持。委员会将在2016年底前将相关发现和建议向总统汇报,并给出未来行动的路线图。

(四)提升国家整体网络安全水平

1.加强联邦政府网络安全

联邦政府的网络安全能力得到极大提升,但仍有很多工作要做。为延续已有进步和解决联邦网络安全长久以来面临的系统性挑战,需重新审视联邦政府网络安全和信息技术的传统做法——它要求各部门建立和维护自己的网络。这些行动建立在《网络安全跨部门优先目标》(Cybersecurity Cross-Agency Priority Goals)和《2015年网络安全战略和实施计划》(2015 Cybersecurity Strategy and Implementation Plan)奠定的基础之上。

● 总统在2017年预算中专门设立 31 亿美元的信息技术现代化基金,用以报废、替换那些急需现代化的功能差、难以维护和保证安全的既有IT网络和系统。

● 设立联邦政府首席信息安全官( Federal Chief Information Security Officer),用于监督联邦政府部门的网络安全政策、计划和实施。这是美国首次设立专职的高级政府职位,致力于制定、管理和协调整个联邦政府范围内的网络安全战略、政策和运行。

● 要求相关部门确定、优先考虑最有价值和面临最大风险的IT资产,采取专门措施提升其安全性。

● 国土安全部、总务署等联邦部门应该推动政府部门间IT和网络安全共享服务的可用性,目标是使每个机构从业务建设、拥有和运行自己的IT设施中解放出来,提供更加高效、有效和安全的选择,使他们免受最复杂的威胁。

● 拓展“爱因斯坦”项目,即国土安全部用于记录、分析网络流量并针对政府网络信息进行入侵检测的系统方案。总统的 2017年预算中支持所有联邦民事机构都具备这些能力。

● 从联邦政府和企业招聘最优秀的网络安全人才,将国土安全部下辖的民用网络防御团队增至48个,这些团队将保护整个联邦政府的民用网络、系统和数据安全,实现渗透测试,主动跟踪入侵者,并提供安全专业知识及事故响应服务。

● 联邦政府将通过网络空间安全教育国家法案等,加强网络空间安全教育和全国培训,雇用更多的网络空间安全专家,以确保联邦机构安全。

● 作为CNAP的一部分,总统预算在网络空间安全人员方面投资6200 万美元。这主要用于:

1) 通过建立网络安全预备役(CyberCorps Reserve)计划,为想获得网络安全教育,并在民事联邦政府服务的美国人提供奖学金;

2) 开设网络安全的核心课程,以确保想就职联邦政府的网络安全的毕业生,有必要的知识和技能;

3) 加强《国家网络空间安全学术卓越中心计划》(National Centersfor Academic Excellence in Cybersecurity Program),以增加参与的学术机构和学生数量,通过程序和课程的演变,丰富学生的知识;

4) 增加国家网络安全学术卓越中心项目内所涵盖的大学与高校数量,同时将奖学金数额同联邦政府网络安全核心课程与网络安全水平挂钩。作为回馈,奖学金接收方将作为政府网络安全计划的参与者,并借此提升学生助学贷款金额。

其后续扩展包括,通过少数集中位置运行全部政府互联网流量,并配合入侵检测系统对其加以监控。另外,扩展国土安全部之持续诊断与减灾方案,以实现网络风险评估自动化。

2.提升个人网络安全防护能力

所有在线美国人日常生活的隐私和安全,与国家安全和经济状况越来越紧密相关。新行动计划基于总统的 2014年安全购买倡议(2014 BuySecure Initiative),旨在加强消费者数据的安全性:

● 总统呼吁当登录在线账户时,不要仅仅使用密码,要利用多重身份验证。私营企业、非营利组织以及联邦政府共同努力,通过新一轮的宣传活动,重点是广泛采用多重身份验证,建立“一停二想再连接”的观念,以及实施网络空间可信身份国家战略(National Strategy for Trusted Identities in Cyberspace),帮助更多的美国人实现联机安全。国家网络安全联盟将与领先的技术公司和民间社团共同发力,使数以百万用户更容易保证自己的在线账户安全。这将提升公众对个人网络安全角色的认识。

● 在面向公民提供的数字服务中,联邦政府正在加强多重身份验证和身份证明。美国总务署将建立一个新计划,当公民到联邦政府部门办理事务时,将更好地保护和保障数据和个人信息安全,包括税收数据和福利信息交互。

● 政府当局正系统地评估,在哪些方面可以减少将社会安全号码作为公民身份标识符的使用频率。

● 美国联邦贸易委员会最近重新启动IdentityTheft.Gov网站,为受害者报告身份信息被盗事项提供一站式资源服务,可以创建个人信息的恢复计划,打印预填充的信函,以及发送给征信机构、商业和债主的表格。

● 小企业管理局(SBA)与联邦贸易委员会、美国国家标准和技术研究所(NIST)、能源部将通过68个SBA小企业管理局区域办公室、9个国家标准和技术研究所NIST制造业扩展合作中心和全国其他区域网络,为140万个小企业和小企业利益相关者提供网络安全培训。

政府当局在总统安全购买倡议中设立里程碑举措,以确保金融交易安全。到今天为止,联邦政府已提供超过250万张更安全的芯片加密码的支付卡,财政部可以管理所有读卡器完成向这个新技术的过度。在政府和私营部门带领下,美国对更安全的芯片卡的发行量超过了世界上任何国家。

3.增强关键基础设施安全性和恢复能力

美国的国家和经济安全取决于国家关键基础设施的可靠运行。关键基础设施的业主与运营商的持续合作将提高网络和国家安全。这项工作基于之前有关网络安全的 2013年关键基础设施行政令(Executive Orders on Critical Infrastructure(2013))和2015年信息共享的行政令(Executive Orders on InformationSharing)。

● 国土安全部、商务部和能源部正在调度资源和能力,以建立“国家网络安全恢复能力中心”(National Center for Cybersecurity Resilience),公司和行业组织可以在一个 闭的环境中测试系统的安全性,例如电网遭受网络攻击的抗压能力。

● 国土安全部将网络安全顾问数翻倍,协助私营部门组织开展有针对性的网络安全评估和最佳实践。

● 国土安全部正在与UL等行业伙伴合作,制订网络空间安全保障计划(Cybersecurity Assurance Program),以检验和证明“物联网”中的联网设备——无论是冰箱还是医用输液泵,使得用户购买产品时,可以肯定它已获认证,符合安全标准。

● 美国国家标准和技术研究所正在为进一步发展其网络安全框架征求反馈意见。该框架的目标是提高关键基础设施的网络安全,这项工作已在美国及世界各地组织开展两年。

2月8日,新的国家网络空间安全卓越中心(National Cybersecurity Center of Excellence)剪彩,它是政府、企业合作的研究与发展平台,将开发和部署高优先级的网络安全技术解决方案,并将新发现与更广泛的团体共享。

政府当局呼吁主要医疗保险公司和医疗利益攸关者,帮助他们采取新的、重大的步骤,加强数据管理工作实践,确保消费者可以信任他们,保证敏感的健康数据是安全、可靠和可用于指导临床决策。

4.促进安全技术发展

虽然美国如今已经在着力改善网络防御,但未来国家还必须大力投资科学、技术、工具和基础设施,确保这些技术工程应用时能够满&atil

下一篇:没有了!
 我要评论:
环球科技 - 全球第一科技门户,展示最新科技动态 - 凯娜科技
环球科技 全球第一科技门户,展示最新科技动态 服务QQ:790646582 e-mail:zk8312@163.com
Copyright @ 环球科技 2014 All Rights Reserved | 吉ICP备11002400号
本站部分资源来自网友上传,如果无意之中侵犯了您的版权,请联系本站,本站将在3个工作日内删除。