4月26日,美国国土安全部长吉尔斯腾.尼尔森(Kirstjen Nielsen)在参加美国国会预算听证会时指出,制订有偿漏洞披露政策、由该机构网络运营部门承担一部分研发活动和完成政府网络安全战略将是该机构近期在网络安全领域的三个工作重点。

尼尔森指出,目前国土安全部尚未制订一个正规的漏洞披露政策,如果白帽黑客在该机构公众网站或其他对外网络服务中发现安全漏洞,那么该机构下属的网络运营部门、国家网络安全与通信集成中心(National Cybersecurity and Communication Integration Center,NCCIC)和美国计算机应急响应小组(CERT)都有权接受相关漏洞信息的提交。但这个模糊不清的机制令白帽黑客们很难找到真正负责接收漏洞信息的联系人,同时也没有明确界定白帽黑客们挖掘国土安全部网络及信息系统漏洞时的合法行为边界。

美国国会今年4月通过了一个要求国土安全部设立有偿漏洞项目——国土安全部将向发现其互联网系统漏洞的白帽黑客提供奖励——的法案。尼尔森在听证会上表达了对该法案效果的怀疑,她认为有偿漏洞项目可能有助于发现国土安全部互联网系统的漏洞,但“这并非万灵药”,同时国土安全部也需要必要的预算来开展相关项目。之前国土安全部已有官员表示有偿漏洞项目将重复该机构已在开展的漏洞类项目。目前在该领域领先的美国国防部已启动四个有偿漏洞项目,其中五角大楼和美国陆军各有一个此类,而美国空军则有两个。

尼尔森在听证会上为特朗普政府将原本分配给该机构科技局的4100万研发经费转移到网络运营部门的决定进行了辩护。她认为该决定将更好地将研究活动和关键基础设施领域的网络安全需求进行对接,该机构网络运营部门已与美国能源、医疗、交通等关键基础设施行业建立合作关系。但议员们在听证会上表达了反对意见,理由是国土安全部网络运营部门的本职工作已经相当繁重,增加研究职能欠缺考虑,因此参议院版本的国土安全部预算法案将会要求将所有研发经费都保留在国土安全部科技局内。

尼尔森还指出,酝酿已久的美国政府网络安全战略将在未来两周内发布,该战略的核心元素包括启动一个向关键基础设施行业提供网络工具的项目、关注跨行业的系统性网络风险、加强美国政府与私营行业间的网络防御合作、增强数字系统应对网络打击的能力。

声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。