本周,美国能源部宣布降低能源部门网络风险战略,并发布了未来五年的目标计划。
随着能源部门遭受的针对性攻击越来越多,美国能源部担心攻击者可能会引发大规模、长期的破坏性后果。为了改进能源服务的网络安全和弹性,能源部制定了《能源部制定能源部门网络安全的多年计划》,旨在为最近成立的网络安全、能源安全和紧急响应办公室 (CESER) 提供基础。
该计划集中于三大目标:增强网络安全准备、协调事件响应和恢复以及急速弹性能源交付系统 (EDS) 的研发和演示 (RD&D)。
在增强网络安全准备方面,能源部的目标包括增强信息共享和环境意识能力、增强风险管理能力、减少供应链漏洞、以及开发并改善信息共享工具。最后一个目标包括开发虚拟众筹恶意软件取证分析平台。
至于事件响应和恢复,能源部想要构建协调性的国家事件响应能力、为紧急事件响应者开展培训并改进事件报告进程以及开展演习。
能源部的第三个目标是加强对弹性能源交付系统的“改变格局的 RD&D”,包括检测、阻止和缓解网络事件的 RD&D。能源部还想要拥有能够预测未来攻击场景的工具和技术以及开发能够感知网络安全以及自动处理网络攻击的系统和组件。
VASCO 数据安全公司全球法规及标准主管 Michael Magrath 评论称,“能源部将提升网络安全能力成熟模型 (C2M2)。自从2014年2月公布后,市场就发生了改变。我们预计能源部将集成 NIST 的数字身份指南 (SP800-63-3)。该指南在2017年得到更新并促进基于风险的生物适应性认证技术保护国家的能源行业安全。”
Virsec 公司的首席运营官 Ray DeMeo 表示,“我们欢迎能源部提高人们对能源行业关键威胁的意识并发布战略。”他指出实施战略是真正的问题所在。并指出希望支付所提供的9600万美元只是首付,因为要好好保护基础设施的安全将耗费数十亿美元。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
