特朗普第一任期执政即将过半,在网络安全上可谓“毁誉参半”,指责其忽视网络安全的声音此起彼伏,肯定其在网络安全上“做实事”?“动真格”的也大有人在。如何审视特朗普这两年的网络安全政绩?美国政府问责局(GAO)的审计报告可作为重要参考。GAO是美国国会的下属机构,负责调查、监督联邦政府的规划和支出,其前身是美国总审计局。作为一个独立的审计机构,GAO于2018年9月6日发布审计报告“美国应对网安挑战的当务之急”,梳理了2017年2月特朗普执政以来的网络安全工作,评估了媒体与网络安全厂商报道的网络安全事件,认为网络安全仍然是美国政府面临的高风险威胁,并提出从四大方面、十条行动加以应对。

一、全面提升网络安全战略并有效监管其实施

1、制定并实施一项更为全面的国家网络安全与国际网络空间的联邦战略。

美国既有的网安战略往往缺乏可执行的措施与目标,以及实施所需的资源与可衡量的结果,再加上大多数战略文件没有明确规定责任机构,使得这些战略未有效帮助决策者分配资源、制定政策以及实施问责。因此GAO建议实施一项更为明确、协调和全面的战略,包括可操作的举措,足够的资源与明确的职能部门。

2、消减全球供应链风险。

美国政府的 IT供应链存在被外国政府控制的风险,如部分设备制造商、软件生产者、服务提供商的总部设置在对美存在网络威胁的国家(如中俄)。复杂的全球IT供应链存在多重风险,直接危及美国联邦政府信息系统以及数据的机密性、完整性和可用性,对联邦机构的运营、资产和雇员产生严重不利影响。美国政府已采取措施消减供应链安全,包括设立标准、采购限制、实施禁令等,但是供应链安全仍是恶意行为者攻击美国的潜在威胁源,这也凸显了联邦机构采取措施进行评估、管理和监控IT供应链风险的重要性和紧迫性。

3、解决网络安全人才管理挑战。

虽然已采取若干举措,但美国联邦政府仍面临着网络安全人才技能缺陷的问题,一是各机构还未对其网络安全人才进行有效的评估;二是国土安全部与国防部还未达到联邦法规制定的人才管理要求;三是部分机构还未采取措施弥补网络安全技能差距;四是在招聘和留住合格员工方面遇到了挑战;五是在改革联邦招聘进程中也存在困难。对此,GAO建议在实施国家网络安全教育计划中将教育培训与需求相结合,建立网络安全职业模范路径,成立信息共享中心等。

4、确保新兴技术的安全可控。

过去几年来,新兴技术的网络安全问题愈演愈烈,如物联网设备的漏洞对于联邦机构信息安全与个人隐私的威胁;人工智能对于网络安全的未知影响;以及加密货币与区块链技术的发展。GAO对于新兴技术的网安风险共提出过50条建议,包括解决与特定机构网络安全人员挑战相关的弱点,加强应对自动驾驶网络攻击的机构责任。

二、着力强化联邦政府系统与信息安全

5、改进全政府的网络安全倡议的实施。

为解决联邦政府的网络安全问题,国土安全部成立了国家网络安全和通讯整合中心(NCCIC),作为24/7网络监控、事件响应以及管理中心,其下属的互联网应急响应小组(US-CERT)负责实施国家网络安全保护系统(NCPS,俗称“爱因斯坦计划”),但是整个联邦政府的网络安全保障仍存在一些问题:一是国土安全部并不能确保NCPS能够覆盖所有的联邦设备,其入侵检测与信息共享技术存在缺陷;二是国土安全部没有制定措施来评估NCCIC的工作绩效。针对审计发现的问题,GAO提出如下建议:提高有效识别网络威胁的能力;建立强有力的配置标准;实施可持续监控流程;升级有漏洞的系统并淘汰不支持的软件;制定全面的安全检测和评估程序;定期进行检查等。

6、解决联邦政府机构信息安全项目中的不足和短板。

过去两年来,GAO发现由于信息安全政策与实践的低效实施,各机构在保护信息与信息设备保护上面临挑战,如《首席财务官法》涉及的24家机构在信息系统控制的五大类中(即访问控制、配置管理控制、职责划分、应急计划和整个机构的安全管理)存在不足,美国证券交易委员会、美国联邦存款保险公司和美国食品和药物管理局等机构没有有效地实施信息安全规定;国防部对于其网络战略实施的监督不足;各机构没有按照“联邦信息安全现代化法案”(FISMA)的要求设置或定义首席信息安全官员的角色。

7、加强联邦政府应对网络事件的反应能力。

根据2016年7月26日第41号总统行政令(美国网络事件协调)中,联邦政府应承担应对网络突发事件的主要责任,但是GAO在审视联邦政府的工作时,仍发现以下问题:人事管理办公室(OPM)未完全履行网络突发事件应急响应措施;国防部还未正式确定国民警卫队的网络能力(如计算机网络防御小组),也未确立和实施其应急响应项目;国土安全部的国家网络安全保护系统(NCPS)在监测入侵软件、共享信息上存在缺陷。

三、持续加强对网络关键基础设施的保护

8、加强联邦政府在保护关键基础设施网络安全上的责任。

美联邦政府一直以来都在呼吁联合私营企业共同保护关键基础设施的安全,美国国家标准与技术研究院(NIST)也制定了网络安全框架,但仍存在一系列问题:一是国土安全部未能有效衡量高风险化学部门减少网络风险的举措的影响;各机构未有效处理其系统和它们所维护的信息所面临的风险;保护电网免受网络威胁方面存在重大挑战;国土安全部和其他机构需要加强海上环境的网络安全;特定行业的机构缺乏衡量其网络安全进展的指标。

四、高度重视个人隐私和敏感数据的保护

9、改进联邦政府在保护个人隐私和敏感数据方面的工作。

GAO观察到各机构在保护个人隐私和敏感数据方面存在问题,如美国医保与医助服务中心(CMS)面临着损害医疗保险受益人数据的风险;教育部联邦学生援助办公室缺乏监督其学校合作伙伴的记录或信息安全项目;卫生与公众服务部在其关于保护电子健康信息的安全和隐私的指导方针中没有有效处理一些关键的安全因素。这主要是因为无序的规划和无效的监测导致了联邦数据保护举措的低效实施。

10、对个人信息的收集与利用加以适当的限制,确保数据主体的知情权与同意权。

对个人信息的收集与利用问题主要存在于:物联网设备极易在缺乏数据主体知情权与同意权的情况下收集个人信息;联邦法律对于智能手机跟踪应用程序的规定未很好地执行;联邦调查局在使用面部识别技术时未保护个人隐私。对此,GAO建议国会修改法律,如隐私法和《电子政务法》,以及加强消费者隐私框架。

针对上述四方面网络安全挑战, GAO呼吁采取紧急行动来应对持续的网络安全和隐私挑战。具体来说,联邦政府需要实施更全面的网络安全战略并有效监管其实施,包括留住合格的网络安全人才;解决联邦系统和信息中的安全弱点,加强网络事件应对工作;提升对网络关键基础设施的保护;优先保护个人隐私。

从这份88页的报告我们也可以看出,美国十分重视网络安全方面的审计监督工作,围绕网络关键基础设施建设、相关政策落实、项目绩效、信息系统控制等方面,给美国联邦政府网络安全工作“把脉开方”,具有十分完备的网络安全审计监督体系,相关经验值得我国借鉴。在报告中,GAO表示自2010年以来已经向相应机构提出了超过3000条建议,但截至2018年8月,有近1000条建议没有得到实施,也间接反映了国会对于行政机构网络安全工作进展的不满。

获取更多网络安全行业资讯,请关注e安在线微信公众号:

e讯丨美国政府问责局(GAO)发布网安审计报告 提出美应对网安挑战的十条行动相关推荐

  1. 美国政府已关闭 5800 个数据中心,计划关闭 1400 个

    据CNBC报道:美国行政管理和预算局原本旨在年底前省下27亿美元的技术成本,但由于赤字庞大,政府机构在考虑采用更多的云合同. 美国行政管理和预算局(OMA)原本旨在年底前省下27亿美元的技术成本. 但 ...

  2. 美国政府签署网络安全行政令 将全面加强网络安全建设

    5月11日,美国总统特朗普签署一项行政指令,要求采取一系列措施来增强联邦政府及关键基础设施的网络安全.随后,负责国土安全和反恐事务的总统国家安全事务助理波塞特在白宫新闻发布会上称,美国当前在网络空间安 ...

  3. 华为鸿蒙商标被驳回复审;小米起诉美国政府诉讼达成和解;腾讯防大量群消息骚扰专利获授权 | EA周报...

    EA周报 2021年5月14日 每个星期7分钟,元宝带你喝一杯IT人的浓缩咖啡,了解天下事.掌握IT核心技术. 周报看点 1.腾讯防大量群消息骚扰专利获授权 2.受黑客攻击关闭的美国能源管道重启运营 ...

  4. 不平等加剧与问责机制:纽约大学AI Now研究所2018 AI现状报告 | 报告

    来源:AI NOW Institute 编译:机器之心 微胖 摘要:纽约大学 AI Now 研究所发布了第三份关于人工智能现状的年度报告.2018 年 AI Now 报告重点关注行业 AI 丑闻和不平 ...

  5. 华为起诉美国政府新进展;小米空调对董明珠“没有压力”;扎克伯格:后悔没早点学微信 | 极客头条...

    如何利用几个月时间学会Python? https://edu.csdn.net/topic/python115?utm_source=cxrs_bw 「CSDN 极客头条」,是从 CSDN 网站延伸至 ...

  6. 问责制Accountability

    问责制是西方政治的产物,国外学者韦伯斯特(Webster,D.S.)把该词解释为负有义务并自愿承担对行为的说明责任.国内学者把社会公责(Accountability)译作"问责制" ...

  7. 委内瑞拉石油币至今连“一毛钱”都没筹到,腾讯投资的轻松筹入局区块链 | 区块链日报

    [Weiss:委内瑞拉石油币至今连"一毛钱"都没筹到] 今日消息,评级机构Weiss经济学家Juan M. Villaverde称,Weiss目前不会给委内瑞拉发行的石油币Petr ...

  8. EMC首席数据治理官:“受托人”是数据湖问责的关键

    据EMC公司自己的首席数据治理官Barbara Latulippe称,今天的首席数据官(CDO)想要成功的话就需要得到高级管理层的认可和接受.今年在美国麻省理工学院举行的首席数据官CDO论坛上,Lat ...

  9. 美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全...

     聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...

最新文章

  1. HashTable和HashMap的区别详解
  2. 基于iscsi实现文件存储共享
  3. volatile的学习总结
  4. 审计日志删除 oracle,oracle audit,怎么审计ORACLE日志
  5. Windows下安装Redmine
  6. zabbix 3.2.3 appliance默认用户名及密码
  7. 百度音乐怎么转换格式?MP3格式转换为wav的方法分享
  8. 超参数调整——网格搜索
  9. 10-4 linux可视化界面卡住问题等
  10. svn 回滚文件修改
  11. LYNC 2010 中文测试版已经可以下载
  12. 灵遁者组诗:无数个存在的可能
  13. gmail登陆提示密码不正确
  14. Windows下定时运行程序
  15. gas费用测试优化:hardhat-gas-reporter
  16. 用计算机术语写毕业寄语,大学毕业寄语(精选50句)
  17. 计算机exo乐谱,History钢琴简谱-数字双手-EXO
  18. Linux systemd启动流程
  19. 网工浓缩笔记以及考点(第四章 无线通信网)
  20. jqfactor_analyzer源代码解读02

热门文章

  1. JTA Error creating bean with name 'transactionManager' defin
  2. Word 自动编号时设置一级标题为“第一章”,二级标题为“1.1”
  3. 安装sql server 2000:以前的某个程序安装已在安装计算机上创建挂起的文件
  4. C++: goto语句详解
  5. 地理空间数据格式——OGC-GML
  6. AndroidStudio导入Android源码
  7. 社交软件Soul撤回IPO申请:上市只差临门一脚 腾讯是大股东
  8. 元旦抽空修了一下自己家的优步YB-530多功能家用静音跑步机
  9. 当生活真的过得很艰难的时候,你是怎么熬过来的?(内容来自知乎,用于自省)...
  10. linux qt5.7下打地鼠源程序,QT实现简单打地鼠游戏