美国《国家网络安全应急措施》发布4大挑战

作者：plus评论员  张涛

来源：学术plus

GAO：美国网络安全的4大挑战和10项措施

近年来，网络安全相关事件频发，给国家安全、经济安全、个人隐私和安全带来严峻挑战。比如：

• 2018年3月，亚特兰大（美国佐治亚州首府）受到勒索软件攻击。受勒索软件的影响，市民无法支付账单、访问法院的应用程序。

• 2018年3月，司法部称9个伊朗人实施了大规模的网络窃取活动，从超过140个大学、30家美国公司、5家联邦政府机构等窃取超过31TB文档和数据。

• ……

根据之前的研究，一共确定了四大主要的网络安全挑战：

1、建立全面的网络安全战略并进行有效监督；

2、确保联邦系统和信息安全；

3、保护网络关键基础设施；

4、保护隐私和敏感数据。

为了应对这些挑战，我们确定了联邦政府和其他实体需要采取的10项关键行动。 表格后面总结了解决这些问题所需的四大挑战和十大关键行动。

1、建立全面的网络安全战略并进行有效监督

联邦政府无论在建立全面的网络安全战略上，还是在联邦法律和政策要求下进行有效监督这两个方面，都面临巨大的挑战。比如，联邦政府在制定如何参与国内和国际安全相关事务的全面战略框架方面就面临挑战。联邦政府可以采取四项关键行动来改善国家对网络安全的战略和监督，

1）为国家安全和全球网络空间建立和实施更加综合和全面的联邦战略。

2）缓解全球供应链风险。虽然联邦政府已采取措施来解决之前发现的IT供应链问题，但该领域仍然是联邦政府的潜在威胁载体。

图：典型网络组件生产地图

3）解决网络安全人员管理挑战。联邦政府在确保国家网络安全工作人员具备相应的网络安全技能方面存在挑战。

4）确保新兴技术的安全性。新技术如物联网设备、智能汽车等给网络安全带来了全新的挑战。

 图：典型的IoT攻击场景（美国国防部）

2、确保联邦系统和信息安全

联邦政府在保护信息系统和相关敏感信息方面受到了挑战。随着越来越多新的威胁和网络安全事件的产生，联邦信息系统中的弱点不断凸显，也突出了对信息安全的持续和迫切需求。联邦机构必须采取适当措施，更好地确保信息系统保护计划的实施。

5）改进政府范围内实施的网络安全措施；

6）解决联邦信息安全计划的弱点；

7）加强联邦对网络事件的反应能力。

3、保护网络关键基础设施

联邦政府在与私营企业协作保护关键基础设施过程中也面临巨大挑战。基础设施包括对国家安全和经济社会至关重要的系统，包括公共系统和非公共（私有）系统。随着针对这些信息系统的网络安全威胁持续增多，联邦机构需要保护的敏感数据量超过上百万。因此：

8）加强联邦政府在保护关键基础设施网络安全中的角色。为解决这一问题，美国国家标准与技术研究院（NIST）开发了一套网络安全框架，其中包含网络安全标准和程序，使用基于风险的方法来管理网络安全。

图：2017年联邦信息安全事件数量及分类

4、保护隐私和敏感数据

联邦政府在保护隐私和敏感数据方面也面临挑战。随着搜索技术和数据分析技术的发展，很容易可以将大量不同的数据库中的个人信息进行关联，而这类数据库的维护成本也很低。另外，无处不在的网络连接使得通过智能手机和健身追踪器等移动设备对个人及其活动进行追踪变成了可能。

联邦机构应采取两种措施来应对这方面挑战：

9）改善联邦政府保护隐私和敏感数据的能力。之前GAO撰写的报告中就指出了各机构在保护隐私和敏感数据方面存在的问题。

10）适当限制对个人隐私信息的收集和使用，并确保只在获得同意或授权的情况下收集。

感谢作者的辛苦付出与创作，版权归属原作者。如涉及版权等问题，可在本公号后台留言，我们将在第一时间处理，非常感谢！文章观点仅代表作者本人，不代表本公众号立场。