上周,康涅狄格州官方公布了一份文件,向外界介绍了该州正在执行的最强网络安全计划。此文件共41页,简称为《网络安全行动计划》,凸显了政府在网络安全和跨部门合作方面不断增长的需求,也提升了学术关注以填补网络安全人力空白。该计划以去年号召康涅狄格州部署一系列新计划和政策的网络安全战略提案为基础,这些计划和政策影响着政府办公室,执法,高等教育和当地经济。
新计划的主要作者是首席网络安全风险官亚瑟·豪斯(Arthur House)和首席信息官马克·雷蒙德(Mark Raymond),他们认为这份文件吹响了该州网络安全的“战争号令”(一款即时战略游戏的名称)。
这份报告得到了州长达奈尔·马洛伊(Dannel Malloy)的支持,他表示,网络入侵威胁着康涅狄格州所有人和所有机构的安全。
除了围绕网络安全响应,恢复,通信推荐改进的计划和政策,该文件还号召在该州政府部门创建新的办公室和计划。可能出现的结果包括,将网络安全课程覆盖到K-12学段(幼儿园到高三),成立一个专门的网络执法部门,供新的州政府上报需求。
雷蒙德表示,很难说清该计划有多少条款是要求而非建议,但是州政府将会努力实践文件的内容。
雷蒙德称,由于没有额外资金支持,所以任务比较艰巨。州政府目前在从已有资源中获取资金支持,所以能否在此计划上取得进展就依赖于我们筹措资金的能力。
康涅狄格州最新的收益报告显示有二十亿美金,其中有近13亿来自意外收入所得税的征收。虽然按照要求,这些钱应作为该州的紧急储备金,但是康涅狄格州短期的经济状况并不乐观,因为立法机构试图平衡预算,既要考虑如何解决该地区有争议的赌场收益问题,又因为州府哈特福德欠债5.5亿,要考虑给予州府资助以免该市破产。
立法会于5月9日结束,立法者正在努力缩小两亿美元的预算缺口。去年,民主党人马洛伊号召立法者们在12月初堵上开支缺口,但是两党很难达成共识。
尽管预算不足,但是马洛伊一直大力支持该州的网络安全工作,特别是今年早些时候该州160台政府电脑遭遇Wannacry勒索软件攻击时。虽然没有文件被攻击者加密,也没有数据丢失,但是据马洛伊透露,这一事件给许多州府领导人留下了深刻印象,使他们意识到了防范网络攻击于未然的重要性。
该州新的网络安全计划凸显出“领导知情并参与”是网络安全的首要任务。文件写明,最高级别的州领导必须“加强网络安全和防御意识”。
雷蒙德说:“所有人都需要关注,” “从领导者,立法者到商人。”
雷蒙德称,许多政府和非政府实体都不知道如何开始,但这个计划提供了一个开头。
在州政府中,这个计划强调了数据读写能力和员工用多因素验证进入关键系统的重要性。
该文件列出了九个步骤表述康涅狄格州应如何预防破坏性攻击,包括该州紧急事件管理和国土安全部门制订的网络破坏响应计划。
该文件还号召所有的州立机构在年底时满足以下两点:第一,在互联网安全中心(CIS) 20个关键安全控制措施中,至少满足前五个要求。第二,所有机构都要完成其所有数据的目录编订和分类。
光说防御和恢复计划在加强是不够的,该计划要求用新方法验证该州的网络安全措施是否奏效。州政府技术办公室——企业系统和技术行政服务局(DAS/BEST)——负责审计公共账户,以找到有效的验证程序,并将其纳入州政府的年度机构报告中。
DAS/BEST还需要收集每个机构的报告,然后向州长,州最高法院的首席法官以及州议会提供年度网络安全状态报告。
此计划还包括一些章节供市政府,高等教育,商业和执法领域的人参考,但同样是在推广紧急响应的理念,因为这些领域的规范性比州政府还弱一些。
文件中写道:“我们对于市政府的目标是创建严肃的,有效的网络安全项目来保护市民和市政府,并且帮助康涅狄格州成为全国范围内网络安全防御的领先者。”
豪斯和雷蒙德负责指导该州教育部门制订一个新的12学年课程计划,旨在推广安全的运算理念和实践。该计划还要求就该州人力投入情况进行更直接的对话。
该报告指出,在康涅狄格州应进行坦诚的讨论,看是否需要通过本州的高等教育体系满足网络安全专家的需求。如果确有需要,就要制定具体的计划来解决网络人才问题,网络安全课程需如何重组并扩展的问题以及计划在地理区域上的可用性。
建议可建设一个网站,上面显示康涅狄格各高校在网络安全领域能提供哪些专业选择。
对于执法部门,此报告援引了几个目标,包括在康涅狄格州警局内建立一个专门的网络犯罪小组。至于该小组的资金来源,规模以及如何与其他机构合作则“随发展状况而定”。“核心网络安全培训”也会成为新学员和现任警察的必修课。
可在该州州政府网站查看此计划的完整内容。
本文由安全内参翻译自StateScoop
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
