其他
美国发布国家网络安全战略实施计划:69条举措 明年滚动更新
关注我们
带你读懂网络安全
该实施计划共计69个举措,为18家负责实施变革的联邦机构明确分配责任,并制订了近期期限;
举措包括增加网络安全预算、建立全球SBOM数据库、更新国家网络事件响应计划等。
前情回顾·美国网络安全战略推进动态
具体举措细节
实施计划的举措包括,如何更好地打击网络犯罪、大幅扩大专业网络人才规模,并简化监管指令,明确各联邦机构负责落实哪些网络安全目标。根据该计划,国家网络总监办公室将协调政府范围内的实施工作,并与管理和预算办公室(OMB)密切合作,确定支持该计划举措所需的资金。该计划指派网络安全和基础设施安全局(CISA)牵头更新《美国国家网络事件响应计划》,从而更充分地落实“对一个人的召唤就是对所有人的召唤”的政策,并让非政府伙伴更清楚地了解参与事件响应和恢复的各个联邦机构的“角色和能力”。关于备受关注的软件物料清单(SBOM)举措,该计划要求CISA改善软件透明度,使公司能够更好地应对供应链风险,并指示CISA研究建立一个可以全球访问的数据库,帮助追踪“寿命中止”的软件。该计划还指派国家标准与技术研究所(NIST)创建一个跨机构的全球性组织,负责完善技术和网络安全标准化。NIST被要求对一个或多个“抗量子攻击的公钥密码算法”进行标准化。此外,该计划还强调需要立法破坏网络犯罪,指派司法部领导多家政府机构推动立法,从而增强政府检测和破坏网络犯罪行动的能力。
明年滚动更新
Kemba Walden表示,计划中的一些举措已经完成,包括提交拟议法规正式成立网络安全审查委员会并授予其法定权限。她说,其他工作已在实施,并强调国家网络总监办公室即将发布一项全国网络人才和教育战略。Kemba Walden将该计划描述为一份“活的文件”,表示它将随着威胁形势的变化和已完成举措引发的新行动需求而不断演变。例如,随着计划得到落实,明年的计划将进一步要求管理和预算办公室领导行政机构的现代化工作。Kemba Walden强调,该计划将改善政府应对具体事件的能力,例如最近外国黑客利用微软云邮件服务漏洞获取美国和欧洲政府工作人员账户一事。她赞扬CISA与微软合作解决这一问题,并迅速与联邦调查局合作发布了公告来提醒公众。Kemba Walden说:“这正是国家网络安全战略的核心,更是实施计划的核心。公共部门和私营部门之间的合作,能够让故障时间最小化,避免灾难性影响。”一些专家认为,该计划在云计算安全方面应更加有力。最近,大西洋理事会发布最新报告,呼吁采取行动更好地保护云基础设施。这让云服务安全成为新闻焦点。前美国网络空间日光浴委员会执行董事Mark Montgomery表示,虽然他认为实施计划是将战略语言转化为有效的、可衡量的政策目标的“卓越努力”,但他希望看到“通过制定法规或者设立目标明确的集体标准,更全面地对待云计算安全”。计划发布前,一位高级政府官员对记者表示,计划中关于云安全的条款有助于早日实现最佳实践。“我们可以拿出这些条款,告诉服务提供商,这些配置就是我们希望的最佳实践。”
参考资料:therecord.media
推荐阅读