美國國會2018年網路安全工作重點解析
E安全1月17日訊 2018年美國國會將拿出切實可行的措施,旨在維護網路安全,以防止數據泄露問題,抵禦國外勢力威脅,籌劃關鍵機構在網路、政府信息技術採購相關事宜。專家普遍認為美國國會可能圍繞以下幾個方面展開工作:
加快「網路安全與基礎設施保護局」的重組與重新命名
2018年,美國會將跟進美國土安全部(DHS)「網路安全與基礎設施保護局」的重組與重新命名法案(H.R.3359)。這份法案已經於2017年12月在白宮眾議院內得到投票通過,允許DHS的「國家保護與計劃局」的部門重新命名為「網路安全與基礎設施保護局」,以防止原有名稱與縮寫在私營企業以及其它部門處引起誤解。
「網路安全與基礎設施保護局」將有權指定一名局長直接向DHS部長報告;該部門還將設置一名網路安全與基礎設施安全副局長,另外還設置了一名負責網路安全、基礎設施保護與應急通信的副局長。「重組與重新命名法案(H.R.3359)」法案由美國國土安全委員會主席邁克爾·麥考爾力推,麥考爾2016年也曾經提出類似的立法申請,但卻因當時各國會委員會間管轄權存在糾紛而未能實現。
這一次,此項法案被遞交至擁有同等管轄權的各委員會處,包括能源、商務、運輸以及基礎設施委員會,並最終由國土安全部於2017年7月正式宣布通過。麥考爾在演講中指出,第一網路威脅需要加強數字化美國的安全水平與自身網路的彈性能力。
重點關注選舉工作的網路安全問題
近日,美國多位參議員提出了一項法案,旨在推動出台針對美國選舉投票系統的網路安全防護措施,以應對日益嚴峻的網路安全威脅。該法案提出應設立專家小組,起草風險管理指導方針和具體舉措。該法案還將設立一個高達3.86億美元(約合人民幣24.8億元)的撥款計劃,以協助各州政府實施上述指導方針並替換老舊的電子投票系統。
網路安全問題一直伴隨2016年美國大選的進程,成為左右選情的重要因素,並對最後的選舉結果產生了重要的影響。黑客攻擊的對象不僅包括政府機構和私營部門,也包括與選舉關係密切的個人。由此引發的安全問題涉及網路系統安全、數據安全以及關鍵信息基礎設施的安全。儘管俄羅斯政府堅決否認利用網路手段干涉美國大選,但美國不會輕易改變態度。
將大力提升偵查能力
如何保證數字時代「民主選舉」的公平公正將是美國政府的長期議題。為了遏制黑客的攻擊並維護自己在網路空間的有利地位,美國未來將努力提升網路防禦、偵查和威懾能力。這三方面能力的提升將使美國可以更加主動地應對黑客入侵,並在數字空間展示美國在關鍵安全指標上的優勢。
提高網路偵查能力:有助於儘早發現敵手並將其從網路系統中清除,從而減少損失。偵查水平的提高可以增加防禦者對所有發生的情況的能見度。網路能見度的提升,有助於防禦者監控自己的網路,及時發現入侵行為並進一步追蹤到入侵者。
此外,美國政府將加大與私營機構的信息共享合作,並將優先解密高級外國攻擊者的威脅情報,把這些數據提供給特定的信息共享和分析組織。當相關機構把共享的信息用於自己網路系統時,惡意網路行為的檢測和溯源變得更加容易。
對於已經潛伏在美國某些關鍵基礎設施網路中的黑客工具,美國政府將鼓勵開展廣泛的偵查工作。鑒於黑客往往擁有持續的網路收集能力,如何識別出已經發生的入侵併將其從網路系統中清除是對美國的考驗。
加強物聯網網路安全
2016年10月,惡意軟體Mirai攻擊物聯網設備事件;2017年5月,「WannaCry」勒索病毒大規模暴發,這類事件給物聯網的安全敲響了警鐘。
不法分子利用物聯網設備實施網路攻擊的威脅,讓美國政府意識到了物聯網安全問題的嚴重性。無論是美國聯邦政府還是國會,開始積極探討和研究如何應對物聯網面臨的安全衝擊。
法案建議「禁止使用硬編碼」
2017年8月,美國弗吉尼亞州民主党參議員馬克·沃納和科羅拉多州共和党參議員克里·加德納提出新法案《物聯網網路安全改進法案》,要求聯邦政府的設備供應商遵循行業範圍內的安全實踐,例如確保可穿戴設備、智能感測器等設備能修復漏洞、更新密碼、推向市場時不存在已知安全漏洞。這項法案將禁止廠商使用硬編碼和無法更改的用戶名和密碼。
立法人員希望通過「最小限度的干預」解決「顯而易見的市場失靈」狀況。《物聯網網路安全改進法案》將確保美國政府「以身作則」,防止因物聯網領域缺乏重大創新使聯邦系統遭遇進一步入侵。該法案2017年9月被提交到了美國立法機構,以確保向聯邦政府出售和部署物聯網的設備製造商滿足經過安全標準篩選。其中還有一些條款規定,包括必須確保可修補性和避免默認密碼等,所有這些都是一種積極的舉動,或將促使其他國家政府也進行思考並採取類似行動。
《物聯網網路安全改進法案》具體要求
《物聯網網路安全改進法案》提出,聯邦政府的物聯網設備供應商要保證其設備採用政府認可的標準協議,不能包含硬編碼密碼,不能含有已知的安全漏洞,並且是可以打補丁的。該法案其他要求:
如果供應商發現新的安全漏洞,必須向有關部門披露,並解釋為什麼設備存在這樣的漏洞仍被認為是安全的以及針對漏洞採取了哪些措施。
美國聯邦政府採購部門的首席信息官可以決定是否放棄採購這些設備。
對於某些不能滿足上述要求的設備,如果能證明可有效控制安全風險,採購部門可向美國政府管理預算局(OMB)申請,獲准購買這樣的設備。
授權OMB和NIST與相關行業協調,確認政府機構可採取的特定安全防範措施,如網路分段、使用網關等是否有效。
如果聯邦政府機構有自己更嚴格的安全標準,或相關行業有更嚴格的第三方設備認證標準,可提供等效或更嚴格的安全保證(具體由NIST來認定),則可以不採納該法案的建議。
要求美國國土安全部計劃司(NPPD)與相關行業合作開發物聯網設備安全漏洞披露指南,免除《計算機欺詐與濫用法》和《數字千年版權法》規定的網路安全研究人員責任。同時,這些設備的安全漏洞一經發現,則應第一時間進行修補,或者更換設備。
建立數據泄露通告標準
數字空間身份問題是數字經濟的核心問題。隨著互聯網身份數據不斷擴充,每一次觸目驚心的數據泄露事件的發生,都將進一步加劇數字空間身份危機。
美國眾議院能源及商務小組委員會主席鮑勃·拉塔表示,數據泄露和消費者保護問題將是2018年的首要議程,該委員會目前正與大量利益相關方合作,以提出方案加強安全並防止數據泄露。美國民主党參議員也已提出一項嚴格的「數據泄露通知」法案。有消息稱,兩党參議院工作組已經草擬了政策方案。
數據泄露問題日益嚴峻
數據泄漏事件威脅嚴重,近年來犯罪分子已經趨於組織化、規模化、專業化,形成了一個非常完善的流水性作業,威脅著公民的身份和財產安全。黑客攻擊、個人信息泄露、信用卡支付信息泄露、賬戶被盜等事件層出不窮。當一場事故中發生敏感,受保護或機密數據可能被未經授權的個人查看、偷竊或使用的事件,即可定義為數據泄露。數據泄露往往涉及支付卡信息(PCI),個人健康信息(PHI),個人身份信息(PII),商業秘密或知識產權。
隨著科技的發展,互聯網數據越來越多,也越來越詳實,數據泄露好比現實世界的核泄漏,給人們帶來巨大影響。
對於個人,用戶信息泄露,則用戶賬號面臨被盜風險,個人隱私及財產安全難以保障。
對於企業,信息泄露事件會導致其公信力下降,會直接使客戶改變原有選擇傾向。數據泄露事件可能會使企業失去一大批已有的或者潛在的客戶。
2018將推出「數據被泄事件」披露法令
在數據信息的作用與地位日漸重要的今天,早有專家提出觀點認為「隨著企業組織存儲的個人數據逐漸增多,美國民眾有權利知曉他們的信息是否已被竊取或是不合時宜地披露出來。」鑒於此,美國國會或將在2018年頒布法令,創建一個全國性標準,以便在消費者數據遭到黑客攻擊後,能夠及時通知消費者本人。
註:本文由E安全編譯報道,轉載請註明原文地址
https://www.easyaq.com/news/893127674.shtml
TAG:E安全 |