為了回應針對美國聯邦政府開展的一系列網絡攻擊活動,奧巴馬總統正著手籌集190億美元作為網絡安全預算——這一數字較上年增長35%,同時亦在物色一名政府CISO以監督全部已過時及安全性薄弱之網絡基礎設施的升級工作。
自2006年到2014年,信息安全事故總量增長超過11倍、達到全年67168起,而來自其它國家的攻擊活動亦呈現出逐步增多的態勢。
面向公眾的政府官方網站亦曾遭遇濫用,其中曝光度最高的當數美國國稅署的在線服務,總計33萬4千名納稅人的詳細稅務記錄流向黑客欺詐系統。
為了扭轉這一不利局面,奧巴馬總統公布了網絡安全國家行動計劃,其中對解決網絡攻擊難題及推動政府數字網絡現代化轉型提出了一系列針對性舉措。這項計劃將提升安全性水平,但同時亦需要配合行業專家之引導以確保各項既定目標得以順利實現。
下面來看該計劃中的各項要點:
分配31億美元用于對已過時及難于保護的網絡基礎設施進行升級。
指派一名政府CISO以監督相關升級工作。其具體職責包括開發、管理并協調整個聯邦政府體系內的網絡安全策略、政策以及操作事宜。
建立國家網絡安全強化委員會——由商業與技術領導者組成,其中一部分由國會方面任命,共同勾勒出一份為期十年的網絡安全發展路線圖以推廣各類最佳實踐。這項計劃將包含網絡安全意識強化、隱私保護、公共安全維護、經濟安全維護、國家安全維護并保證美國擁有更為強大的數字安全控制能力。該委員會將受到國家標準與技術研究院(簡稱NIST)的全力支持。
網絡安全總體支出達到190億美元,較上年全年增長35%。
建立聯邦政府隱私委員會以制定涵蓋各下轄政府機關之戰略與綜合性聯邦隱私政策。
通過國家網絡安全聯盟對信息消費者之網絡安全意識進行培訓——國家網絡安全聯盟為非營利性組織,其成員包括美國國土安全部(簡稱DHS)以及賽門鐵克、思科、微軟、SAIC與EMC等私營企業。其呼吁并鼓勵使用多因素驗證機制,同時實施一套尚未最終定名的“有效身份認證”方案。
要求各機構根據當前所負責之任務內容進行風險評估,而后制定一項計劃以提升其保護水平。
推進IT服務共享——例如云服務——以提升執行效率,并以強制方式要求各政府機關建立自己的安全基礎設施體系。
拓展“愛因斯坦”項目,即國土安全部推出之用于記錄并分析網絡流量并針對政府網絡信息進行入侵檢測之系統方案。其后續擴展包括通過少數集中位置運行全部政府互聯網流量,并配合入侵檢測系統對其加以監控。另外,擴展國土安全部之持續診斷與減災方案以實現網絡風險評估自動化。
將國土安全部下轄之網絡防御團隊增加至48個,從而實現滲透測試、入侵活動搜索并提供安全專業知識及事故響應服務。
增加國家網絡安全學術卓越中心項目內所涵蓋的大學與高校數量,同時將獎學金數額同聯邦政府網絡安全核心課程與網絡安全水平掛鉤。作為回饋,獎學金接收方將作為政府網絡安全計劃的參與者,并借此提升學生助學貸款金額。這筆資助款項總值為6200萬美元。
在面向公眾的聯邦政府網站上利用身份驗證機制防止欺詐行為,例如駁回申請人提出的偽造退稅申請。
盡可能降低政府內部將社保號碼作為身份ID使用的頻率,從而防止身份竊取活動。
通過小型企業管理局、美國聯邦貿易委員會以及國家標準與技術研究院的多方協作為小型企業的區域性網絡安全培訓提供支持。
創建一套測試平臺,旨在測試電網等關鍵性基礎設施的防御能力水平。這項工作將由美國國土安全部、商務部以及能源部負責推進。
制定一套方案以證明物聯網設備之安全性。
列舉與網絡安全技術緊密相關的各戰略性研發目標。
與開源技術社區合作并為其提供資助,從而確保相關開發成果之安全性水平。