奧巴馬最新“網路安全國家行動計劃(CNAP)”要點概覽

為了回應針對美國聯邦政府開展的一系列網路攻擊活動，奧巴馬總統正著手籌集190億美元作為網路安全預算——這一數字較上年增長35%，同時亦在物色一名政府CISO以監督全部已過時及安全性薄弱之網路基礎設施的升級工作。

自2006年到2014年，資訊保安事故總量增長超過11倍、達到全年67168起，而來自其它國家的攻擊活動亦呈現出逐步增多的態勢。

面向公眾的政府官方網站亦曾遭遇濫用，其中曝光度最高的當數美國國稅署的線上服務，總計33萬4千名納稅人的詳細稅務記錄流向黑客欺詐系統。

為了扭轉這一不利局面，奧巴馬總統公佈了網路安全國家行動計劃，其中對解決網路攻擊難題及推動政府數字網路現代化轉型提出了一系列針對性舉措。這項計劃將提升安全性水平，但同時亦需要配合行業專家之引導以確保各項既定目標得以順利實現。

下面來看該計劃中的各項要點：

分配31億美元用於對已過時及難於保護的網路基礎設施進行升級。

指派一名政府CISO以監督相關升級工作。其具體職責包括開發、管理並協調整個聯邦政府體系內的網路安全策略、政策以及操作事宜。

建立國家網路安全強化委員會——由商業與技術領導者組成，其中一部分由國會方面任命，共同勾勒出一份為期十年的網路安全發展路線圖以推廣各類最佳實踐。這項計劃將包含網路安全意識強化、隱私保護、公共安全維護、經濟安全維護、國家安全維護並保證美國擁有更為強大的數字安全控制能力。該委員會將受到國家標準與技術研究院(簡稱NIST)的全力支援。

網路安全總體支出達到190億美元，較上年全年增長35%。

建立聯邦政府隱私委員會以制定涵蓋各下轄政府機關之戰略與綜合性聯邦隱私政策。

通過國家網路安全聯盟對資訊消費者之網路安全意識進行培訓——國家網路安全聯盟為非營利性組織，其成員包括美國國土安全部(簡稱DHS)以及賽門鐵克、思科、微軟、SAIC與EMC等私營企業。其呼籲並鼓勵使用多因素驗證機制，同時實施一套尚未最終定名的“有效身份認證”方案。

要求各機構根據當前所負責之任務內容進行風險評估，而後制定一項計劃以提升其保護水平。

推進IT服務共享——例如雲服務——以提升執行效率，並以強制方式要求各政府機關建立自己的安全基礎設施體系。

擴充“愛因斯坦”專案，即國土安全部推出之用於記錄並分析網路流量並針對政府網路資訊進行入侵檢測之系統方案。其後續擴充套件包括通過少數集中位置執行全部政府網際網路流量，並配合入侵檢測系統對其加以監控。另外，擴充套件國土安全部之持續診斷與減災方案以實現網路風險評估自動化。

將國土安全部下轄之網路防禦團隊增加至48個，從而實現滲透測試、入侵活動搜尋並提供安全專業知識及事故響應服務。

增加國家網路安全學術卓越中心專案內所涵蓋的大學與高校數量，同時將獎學金數額同聯邦政府網路安全核心課程與網路安全水平掛鉤。作為回饋，獎學金接收方將作為政府網路安全計劃的參與者，並藉此提升學生助學貸款金額。這筆資助款項總值為6200萬美元。

在面向公眾的聯邦政府網站上利用身份驗證機制防止欺詐行為，例如駁回申請人提出的偽造退稅申請。

儘可能降低政府內部將社保號碼作為身份ID使用的頻率，從而防止身份竊取活動。

通過小型企業管理局、美國聯邦貿易委員會以及國家標準與技術研究院的多方協作為小型企業的區域性網路安全培訓提供支援。

建立一套測試平臺，旨在測試電網等關鍵性基礎設施的防禦能力水平。這項工作將由美國國土安全部、商務部以及能源部負責推進。

制定一套方案以證明物聯網裝置之安全性。

列舉與網路安全技術緊密相關的各戰略性研發目標。

與開源技術社群合作併為其提供資助，從而確保相關開發成果之安全性水平。

本文轉自d1net（轉載）