WATCH: President Trump Signs Executive Orders on Cybersecurity (FNN)
【3S Market】這篇文章是提供大家參考,美國政府是如何面對網路安全的作為。如果在台灣,恐怕又是藍綠吵翻天!不管藍綠主事者或支持者,應該都是要與全民福祉為基礎,難道要等全台灣網路全癱瘓、一顆飛彈打進來,我們才像美國一樣,一致對國家安全有警覺?
來源:科技日报社-中国科技网 作者:刘海英
2016年10月,發生了惡意軟體 Mirai攻擊物聯網設備事件;今年5月,「Wanna Cry」勒索病毒大規模爆發。不法分子利用物聯網設備,實施網路攻擊的威脅,讓美國聯邦部門意識到了,物聯網安全問題的嚴重性。無論是聯邦政府還是國會,開始積極探討和研究,如何應對物聯網面臨的安全衝擊。
除國會推出法案外,政府部門也有所行動,雖然還沒有最終的政策性文件頒布,但這些舉措足見,美國聯邦部門對物聯網安全的重視。
美國總統令要求政府部門增強網路恢復能力
今年5月11日,川普簽署13800號總統行政命令——《加強聯邦網路和關鍵基礎設施的網路安全》,其中內容之一就是要增強美國應對僵屍網路;及其他自動化和分布式威脅的能力。
行政命令要求商務部和國土安全部,共同研究如何改善網路和通信系統的彈性,降低自動化和分布式攻擊威脅,並在2018年1月10日前提交初步報告,在2018年5月前提交最終報告。
為了響應13800號行政命令,美商務部下屬的國家電信和資訊管理局(NTIA),於6月13日發佈徵求評議文件《促進利益相關者對僵屍網路和其他自動威脅的行動》,向私人企業、研究機構、社會團體等徵求意見建議,以應對物聯網安全,尤其是僵屍網路分布式拒絕服務(DDoS)攻擊威脅。
NTIA要求各方圍繞減少僵屍網路威脅,和維護物聯網終端設備安全問題,提出法律、政策、標準、技術等方面的建議,闡明目前存在的差距,以及彌補這些差距應採取的辦法,並就政府與各方協調、加強國際合作、對物聯網終端用戶進行安全教育等問題提出意見。
截至7月31日,NTIA已收到包括谷歌、微軟、賽門鐵克、美國商會、美國電信學會等46個機構的評估文件。
除NTIA外,美國國家標準與技術研究所(NIST),為了執行13800號行政命令,也於7月11日至12日召開了專門研討會,探討在物聯網環境下,增強網路彈性,及應對僵屍網路威脅的解決方案。
Surprising New Password Guidelines from NIST - PasswordPing |
參加研討會的既有微軟、思科、賽門鐵克、AT&T等公司的代表,也有美國衛生和人類服務部、國土安全部、聯邦調查局、聯邦貿易委員會等政府機構人員,還有來自馬里蘭大學等學術機構的專家。
研討會上,與會人員就當前加強物聯網安全,降低僵屍網路威脅的標準、技術及做法,物聯網設備開發,互聯網用戶的自我保護,物聯網安全研究,以及政府角色等問題,進行了集中討論。NIST稱,他們將整合研討會討論意見,形成材料供政府決策參考。
國會議員推動物聯網安全法案
物聯網安全問題,也引起一些國會議員的重視。8月1日,民主黨參議員馬克·華納、羅恩·維登和共和黨參議員史蒂夫·戴恩斯、科里·加德納攜手,向國會提交了一項關於物聯網安全的法案《2017物聯網網路安全改進法》,希望透過設定聯邦政府採購物聯網設備安全標準,來改善美政府所面臨的物聯網安全問題。
NIST and NIACAP phases |
該法案提出,聯邦政府的物聯網設備供應商,要保證其設備採用政府認可的標準協議,不能包含硬編碼密碼,不能含有已知的安全漏洞,並且是可以打補丁的。
如果供應商發現新的安全漏洞,必須向有關部門披露,並解釋為什麼設備存在這樣的漏洞,仍被認為是安全的,以及他們針對漏洞採取了哪些措施。
據此資訊,聯邦政府採購部門的首席資訊官,可以決定是否放棄採購這些設備。對於某些不能滿足上述要求的設備,如果能證明可有效控制安全風險,採購部門可向美國政府管理預算局(OMB)申請,獲准購買這樣的設備。
法案授權OMB和NIST與相關行業協調,確認政府機構可採取的特定安全防範措施,如網路分段、使用網管等是否有效。
法案還提出,如果聯邦政府機構有自己更嚴格的安全標準,或相關行業有更嚴格的第三方設備認證標準,可提供等效或更嚴格的安全保證(具體由NIST來認定),則可以不採納該法案的建議。
法案還要求國土安全部計劃司(NPPD),與相關行業合作開發物聯網設備安全漏洞披露指南,免除《電腦欺詐與濫用法》和《數位千年版權法》規定的網路安全研究人員責任。同時,這些設備的安全漏洞一經發現,則應第一時間進行修補,或者更換設備。
此外,法案還要求聯邦政府機構,要保留物聯網設備使用清單。OMB要在5年後向國會提交指南有效性,和更新建議的報告。
這一法案受到包括哈佛大學伯克曼克萊因網路與社會中心、民主與科技中心(CDT)等團體以及賽門鐵克、威睿(VMware)等公司的支持。儘管該法案只是著眼於聯邦政府設備採購方面,且距離成為真正的法律還需時日,但意義重大。
威睿公司副總裁兼首席技術官雷·奧法雷爾稱,該法案安全建議合理,是兩黨推進物聯網生態系統安全的重要一步。美國軟體公司Sonatype則認為,這一法案有助於推動整個物聯網安全標準的發展,會受到所有物聯網企業的重視。
沒有留言:
張貼留言