前情回顾·美国网络安全战略推进动态
安全内参7月14日消息,美国国家网络总监办公室(ONCD)昨日公布了《国家网络安全战略实施计划》,为18家联邦政府机构设定了最终期限,推动他们加强网络安全监管、简化监管流程。实施计划还增加了企业对保护关键基础设施免受网络攻击的责任。
在实施计划发布前,代理国家网络总监Kemba Walden告诉记者,实施计划共计57页,为实现国家网络安全战略的前瞻性目标提供了一份“路线图”。拜登政府表示,该计划有两个首要目标:确保公共和私营部门中“规模最大、能力最强、地位最有优势的实体”承担更多责任,以降低网络风险;并出台鼓励投资网络安全的长期激励措施。
实施计划十分具体,具有指导性。针对需落实的69个举措,计划为负责实施变革的各家机构明确分配责任,并制订近期期限。
Kemba Walden表示:“实施计划并未涵盖联邦政府的所有网络安全活动,这也不是计划的初衷。它的主要目的是确定我们在短期内必须完成的关键举措。” 她补充说,计划反映了政府的信念,即只有通过“全社会参与”才能增强网络安全。
具体举措细节
实施计划的举措包括,如何更好地打击网络犯罪、大幅扩大专业网络人才规模,并简化监管指令,明确各联邦机构负责落实哪些网络安全目标。
根据该计划,国家网络总监办公室将协调政府范围内的实施工作,并与管理和预算办公室(OMB)密切合作,确定支持该计划举措所需的资金。
该计划指派网络安全和基础设施安全局(CISA)牵头更新《美国国家网络事件响应计划》,从而更充分地落实“对一个人的召唤就是对所有人的召唤”的政策,并让非政府伙伴更清楚地了解参与事件响应和恢复的各个联邦机构的“角色和能力”。
关于备受关注的软件物料清单(SBOM)举措,该计划要求CISA改善软件透明度,使公司能够更好地应对供应链风险,并指示CISA研究建立一个可以全球访问的数据库,帮助追踪“寿命中止”的软件。
该计划还指派国家标准与技术研究所(NIST)创建一个跨机构的全球性组织,负责完善技术和网络安全标准化。NIST被要求对一个或多个“抗量子攻击的公钥密码算法”进行标准化。
此外,该计划还强调需要立法破坏网络犯罪,指派司法部领导多家政府机构推动立法,从而增强政府检测和破坏网络犯罪行动的能力。
明年滚动更新
Kemba Walden表示,计划中的一些举措已经完成,包括提交拟议法规正式成立网络安全审查委员会并授予其法定权限。她说,其他工作已在实施,并强调国家网络总监办公室即将发布一项全国网络人才和教育战略。
Kemba Walden将该计划描述为一份“活的文件”,表示它将随着威胁形势的变化和已完成举措引发的新行动需求而不断演变。例如,随着计划得到落实,明年的计划将进一步要求管理和预算办公室领导行政机构的现代化工作。
Kemba Walden强调,该计划将改善政府应对具体事件的能力,例如最近外国黑客利用微软云邮件服务漏洞获取美国和欧洲政府工作人员账户一事。她赞扬CISA与微软合作解决这一问题,并迅速与联邦调查局合作发布了公告来提醒公众。
Kemba Walden说:“这正是国家网络安全战略的核心,更是实施计划的核心。公共部门和私营部门之间的合作,能够让故障时间最小化,避免灾难性影响。”
一些专家认为,该计划在云计算安全方面应更加有力。最近,大西洋理事会发布最新报告,呼吁采取行动更好地保护云基础设施。这让云服务安全成为新闻焦点。
前美国网络空间日光浴委员会执行董事Mark Montgomery表示,虽然他认为实施计划是将战略语言转化为有效的、可衡量的政策目标的“卓越努力”,但他希望看到“通过制定法规或者设立目标明确的集体标准,更全面地对待云计算安全”。
计划发布前,一位高级政府官员对记者表示,计划中关于云安全的条款有助于早日实现最佳实践。“我们可以拿出这些条款,告诉服务提供商,这些配置就是我们希望的最佳实践。”
参考资料:https://therecord.media/national-cyber-director-roadmap-for-national-cyber-strategy-implementation
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。