U.S. Government Accountability Office美国政府问责办公室(局),是美国国会的下属机构,负责调查、监督联邦政府的规划和支出,其前身是美国总审计局。

2018年9月6日,GAO发布了《Urgent Actions Are Needed to Address Cybersecurity Challenges Facing the Nation》(国家网络安全应急措施),全文共88页,文中指出4大主要的网络安全挑战和10个联邦政府和其他组织急需采取的关键行动。本文摘编了其中的主要内容,仅供参考。

GAO:美国网络安全的4大挑战和10项措施

来源:https://www.gao.gov

作者:plus评论员  张涛


近年来,网络安全相关事件频发,给国家安全、经济安全、个人隐私和安全带来严峻挑战。比如:

  • 2018年3月,亚特兰大(美国佐治亚州首府)受到勒索软件攻击。受勒索软件的影响,市民无法支付账单、访问法院的应用程序。

  • 2018年3月,司法部称9个伊朗人实施了大规模的网络窃取活动,从超过140个大学、30家美国公司、5家联邦政府机构等窃取超过31TB文档和数据。

  • ……

四大网络安全挑战

根据之前的研究,一共确定了四大主要的网络安全挑战:

1、建立全面的网络安全战略并进行有效监督;

2、确保联邦系统和信息安全;

3、保护网络关键基础设施;

4、保护隐私和敏感数据。

为了应对这些挑战,我们确定了联邦政府和其他实体需要采取的10项关键行动。 表格后面总结了解决这些问题所需的四大挑战和十大关键行动。 

十大应对措施

1、建立全面的网络安全战略并进行有效监督

联邦政府无论在建立全面的网络安全战略上,还是在联邦法律和政策要求下进行有效监督这两个方面,都面临巨大的挑战。比如,联邦政府在制定如何参与国内和国际安全相关事务的全面战略框架方面就面临挑战。联邦政府可以采取四项关键行动来改善国家对网络安全的战略和监督,

1)为国家安全和全球网络空间建立和实施更加综合和全面的联邦战略。

2)缓解全球供应链风险。虽然联邦政府已采取措施来解决之前发现的IT供应链问题,但该领域仍然是联邦政府的潜在威胁载体。

图:典型网络组件生产地图

3)解决网络安全人员管理挑战。联邦政府在确保国家网络安全工作人员具备相应的网络安全技能方面存在挑战。

4)确保新兴技术的安全性。新技术如物联网设备、智能汽车等给网络安全带来了全新的挑战。

图:典型的IoT攻击场景(美国国防部)

2、确保联邦系统和信息安全

联邦政府在保护信息系统和相关敏感信息方面受到了挑战。随着越来越多新的威胁和网络安全事件的产生,联邦信息系统中的弱点不断凸显,也突出了对信息安全的持续和迫切需求。联邦机构必须采取适当措施,更好地确保信息系统保护计划的实施。

5)改进政府范围内实施的网络安全措施;

6)解决联邦信息安全计划的弱点;

7)加强联邦对网络事件的反应能力。

3、保护网络关键基础设施

联邦政府在与私营企业协作保护关键基础设施过程中也面临巨大挑战。基础设施包括对国家安全和经济社会至关重要的系统,包括公共系统和非公共(私有)系统。随着针对这些信息系统的网络安全威胁持续增多,联邦机构需要保护的敏感数据量超过上百万。因此:

8)加强联邦政府在保护关键基础设施网络安全中的角色。为解决这一问题,美国国家标准与技术研究院(NIST)开发了一套网络安全框架,其中包含网络安全标准和程序,使用基于风险的方法来管理网络安全。

图:2017年联邦信息安全事件数量及分类

4、保护隐私和敏感数据

联邦政府在保护隐私和敏感数据方面也面临挑战。随着搜索技术和数据分析技术的发展,很容易可以将大量不同的数据库中的个人信息进行关联,而这类数据库的维护成本也很低。另外,无处不在的网络连接使得通过智能手机和健身追踪器等移动设备对个人及其活动进行追踪变成了可能。

联邦机构应采取两种措施来应对这方面挑战:

9)改善联邦政府保护隐私和敏感数据的能力。之前GAO撰写的报告中就指出了各机构在保护隐私和敏感数据方面存在的问题。

10)适当限制对个人隐私信息的收集和使用,并确保只在获得同意或授权的情况下收集。

声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。