E安全8月24日讯 美国国家基础设施顾问委员会（简称NIAC）周二通过的一份报告，指出美国处于911前的紧迫时刻，在大型攻击到来之前，美国必须抓住稍纵即逝的微小机会有效协调资源。

报告警告称，美国未做好准备应对针对电网、通信系统等关键基础设施的灾难性网络攻击。

NIAC成员迈克·华莱士8月22日在白宫会议上警告称，美国目前处于911前的网络紧迫时刻。

顾问委员会成员包括公司高管和前政府高级官员投票通过这份报告，建议美国建立独立的通信网络以支持关键系统，并采取措施解密网络安全威胁信息，以便前线基础设施运营商可利用这些信息防御攻击。

报告提到的建议措施包括，强化劳动力、改进机器对机器信息共享并简化安全调查程序，从而消除私有部门和承包商担负的不对称工作积压。

华莱士表示，美国目前处于取得重要进展的关键时刻，报告及建议旨在使美国付诸实际行动，不希望将这份报告束之高阁…

NIAC建议由白宫国家安全顾问监督关键基础设施网络安全，此外还提到能源部的公共/私有网络安全风险信息共享计划和国土安全部网络信息共享与合作计划。

报告指出，当美国基础设施遭遇国家攻击时，私营企业在网络中处于防御第一线。

伊利诺伊大学关键基础设施弹性研究院主任大卫·尼科尔表示，一些能源企业已经将运营系统迁移至隔离网络。尽管隔离网络无法保证万无一失，比如美国军方的隔离网络SIPRNet就曾被渗透，但即便如此，隔离这些网络仍可以显著限制访问点。

报告提出的建议包括：

• 建立独立、安全的通信网络，尤其专门为关键网络而设的通信网络，包括控制关键控制系统流量的 “暗光纤”（Dark Fiber）网络，以及紧急情况下备份通信的预留频谱。

• 由电力和金融服务行业牵头促进私有部门机器对机器信息共享技术的试点项目，从而快速测试公共-私有的企业对企业网络威胁信息共享。

• 自费分摊网络漏洞扫描与评估计划，就地提供工具和专业知识，以帮助关键行业的企业使用一流的工具测试并清除系统的恶意软件。

• 赞助公共-私有机构专家互换计划从而提升网络从业人员的能力。

• 制定一套限时性市场激励机制，鼓励所有者和运营商升级网络基础设施，投资尖端技术，并满足行业标准或最佳实践。

• 政府必须简化并加速关键网络资产所有者的安全调查，建立新的敏感信息隔离中心（SCIF），确保通过安全调查的所有者和运营商能在重大威胁或事件发生一小时内访问安全的SCIF。

• 制定明确的协议，加速解密网络威胁信息，并主动与关键基础设施所有者与运营商共享信息。

• 在政府、电力、金融和通信行业实施专家特别小组（小组成员由能够确定优先级和调配资源的高管组成）试点计划，以网络威胁必需的敏捷性和速度根据国家优先网络需求采取决定性的行动。

• 使用国家级Gridex Iv演习（2017年11月）测试检验联邦机构在网络事件发生期间的执行情况与能力，并为具体机构提供建议协调并梳理联邦政府不明确的响应行动。

• 制定最优网络安全治理方法，以指导并协调国家网络防御，调配联邦机构的资源并整合专业知识。

• 由国家安全顾问审查报告中的建议实施情况，并在6个月内召集政府高级官员开会解决实施障碍，并确定即将推进的后续步骤。
  

虽然报告强调紧迫性，但联邦机构与行业之间存在待解决的顽固问题。

NIAC主席康斯坦丝·劳指出，例如，NIAC建议企业制定并采用一流的威胁检测与扫描技术，但这对中小型企业而言有难度，因此确保这些小型企业参与诸如网络安全风险信息共享计划（CRISP）会有帮助。

当被问及行业与联邦政府紧密合作的三大主要障碍时，华莱士称是“法律、责任和隐私”。这三大问题是私有行业与联邦机构在信息共享方面面临的持续问题。

他指出，这三大问题使得了解威胁形势的企业高管不愿意参与其中，因为他们需向股东解释。

白宫网络安全协调员罗伯特·乔伊斯表示，电信公司也不愿意让高管参加合作保护基础设施的会议。

华莱士表示，将基础设施保护升级至国家防御级别有助于使基础设施提供商和联邦机构加速实施优先事项。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1786486210.shtml

▼点击“阅读原文” 下载E安全APP