热线电话
  • 010-88558925010-88558943
  • 010-88558955010-88558948
CMIC专家更多

中国半导体行业协会副

3月21日,SEMI产业创新投资论坛在上...更多>>

赛迪研究院未来产业研

近日,工业和信息化部、科技部、交通运输部...更多>>

中国市场情报中心 > CMIC研究 > 政策与设计
CMIC:借鉴美国经验强化我国政府网络安全能力

发布时间:2016-08-10 10:02:30

来源:赛迪智库

作者:闫晓丽

【打印】 【进入博客】 【推荐给朋友】

    政府网络安全一直是美国关注的重点。近两年来,随着新型网络安全威胁的出现,美国政府机构多次遭受大规模、有组织的网络攻击,造成敏感信息泄露、信息系统瘫痪等严重后果。为此,美国通过修订《联邦信息安全管理法》、制定《联邦政府网络安全战略和实施计划》、推出《网络安全国家行动计划》等,确立了一系列加强政府网络安全的新举措,包括确定并优先保护高价值资产、提高及时发现和快速响应能力等,对我国具有诸多启示。

    一、美国政府网络安全面临着较以往更严峻的形势

    政府网络安全事件高发,尤其是大规模、有组织的网络攻击后果严重。2007年以来,随着有组织网络攻击等新型威胁的出现,美国政府网络安全事件迅速增长。据政府问责机构的报告,2006年联邦政府网络安全事件为5503件,2014年则达到67168件,增长了1121%。其中,犯罪组织、黑客团体、外国政府、恐怖机构等支持或组织的网络攻击逐渐增多,这类攻击目标明确、潜伏时间长、运用多种手段,往往造成数据资源失窃、关键服务瘫痪、网络设施损坏等严重后果。近年来发生了几起典型事件,例如,2015年6月人事管理局计算机网络遭袭击,2100多万政府雇员社保号码和其他个人信息被盗取;2015年6月国税局网站被入侵,入侵者非法访问了22万纳税人账户。

    政府网络安全防护存在严重缺陷,使其在复杂的安全威胁面前更显脆弱。通过落实《联邦信息安全管理法》和相关政策标准要求,及部署爱因斯坦计划、持续诊断和缓解项目等,美国联邦政府网络安全能力大幅提升。但是,在系统安全控制、威胁监测发现、事件应急响应等方面仍然存在严重缺陷,使其在复杂的网络安全威胁面前更加脆弱。例如,2014 年,在全部24 家联邦机构中,仅有10家左右采用强安全认证手段,有20家使用了弱密码控制,不能准确识别和认证系统用户,接入等方面的安全控制存在缺陷;有16 家机构没有综合的应急响应计划,有15 家没有定期开展应急演练,应急和恢复能力明显不足。

    二、美国加强政府网络安全的新举措

    以提升政府网络安全能力为目标调整法律政策。2014年12月,美国公布《联邦信息安全现代化法》,对《联邦信息安全管理法》进行修订,确立了国土安全部负责监督联邦政府实施网络安全政策的职责,并对联邦政府提出安全威胁监控、信息共享、事件报告、应急响应等要求。2015年10月,美国发布《联邦政府网络安全战略和实施计划》,针对联邦政府在网络安全方面的薄弱环节提出了一系列强化计划和措施。2016年2月,白宫推出《网络安全国家行动计划》,在审视联邦政府网络安全传统做法的基础上,提出设立联邦政府首席信息安全官、投入31亿美元替代现有IT网络和系统等加强政府网络安全的行动。

    识别政府高价值IT资产并将其作为优先保护对象。《联邦政府网络安全战略和实施计划》、《网络安全国家行动计划》都要求联邦部门优先确定最有价值和面临最大风险的IT资产,采取专门措施提升其安全性。为此,美国明确了“高价值资产”的定义,即那些对潜在攻击者而言极具价值的资产、系统、设施、数据或数据集。行政管理与预算局将指导联邦政府识别高价值资产,各机构将本机构的高价值资产清单提交国土安全部。在保护高价值资产方面,上述计划要求联邦政府加快部署设备和工具识别安全风险,并强化对高价值资产的安全控制,重点包括:实施个人身份强验证,85%的普通用户、100%的特殊用户都实施强验证;到2016 年底所有政府网站使用HTTPS标准加密;收紧针对特殊用户的政策、措施和程序;解决所有关键软硬件漏洞等。

    部署技术项目以提高威胁发现和快速响应能力。美国已经部署实施了爱因斯坦计划、可信互联网连接计划、持续监控计划、持续诊断和缓解项目等项目,今后将进一步拓展已有项目:一是继续建设旨在记录、分析网络流量并对网络入侵进行检测的爱因斯坦平台,在所有联邦机构推行爱因斯坦3A1计划,加强对电子邮件和域名系统的保护;二是在开展试点的基础上发展基于用户行为分析的网络监控,有效识别利用零日漏洞的网络攻击;三是深入推进可信互联网连接计划,要求联邦机构确保移动和云的流量通过可信互联网连接;四是推进联邦机构之间、与私营机构之间共享安全威胁和脆弱性、最佳实践等信息;五是在政府采购过程中有效识别、评估和管理供应链安全风险;六是各联邦机构建立安全运作中心以对安全事件快速响应等。

    加强人员培训并加大力度招聘高素质人才。目前联邦政府普遍缺乏掌握网络安全技能的高素质人才。为此,美国一方面将投入资金,建立网络安全预备役(CyberCorps Reserve)计划,为在联邦政府服务、想获得网络安全教育的政府雇员提供奖学金;另一方面,针对联邦政府不同岗位提供网络安全工作规范,在联邦政府部署自动化网络安全职位招聘工具,帮助其加快网络安全人才招聘。

    三、对我国强化政府网络安全能力的启示

    将部署HTTPS、解决关键软硬件漏洞作为政府网站的基本要求。一是在政府网站全面推行HTTPS 加密。目前政府网站部署HTTPS的不足10%,为更好地保护用户敏感数据、避免政府网站被篡改、保障政府网络安全,建议政府网站启用HTTPS加密,选择国产SSL 证书实现HTTPS 加密传输。二是要求政府信息系统及时修补关键软硬件漏洞。调查显示,我国政府网站的漏洞修复率仅为1.8%,在所有备案网站中排名最低,甚至低于个人网站。关键软硬件漏洞不及时修补,将可能被恶意利用,造成严重后果,建议对关键软硬件漏洞修补提出明确要求。

    在现有政府部门互联网安全接入基础上部署统一系统监控和威胁监测。针对政府网站接入分散、安全管理薄弱等问题,深入开展政府部门互联网安全接入工程,通过统一接口实现政府部门互联网安全接入、信息系统集中监控和安全管理,利用大数据等技术发展基于用户行为的数据分析,及时发现安全威胁。严格落实信息系统信息安全等级保护的有关规定,采取边界防护、电磁泄露防护、终端主机防护、应用系统安全等技术措施,建立从网络层到终端层的纵深安全防御体系。加强对新兴技术安全性、可靠性的研究,对政府部门使用的云计算服务、智能终端等进行安全审查。

    创新政府部门高素质网络安全人才选拔和激励机制。允许政府部门通过黑客大赛或直接招聘等方式选拔网络安全岗位人员,创新网络安全岗位人员激励机制,提供高工资或其他补贴、创造通畅的晋升渠道,以更好地留住人才。建立优秀学生奖学金制度,资助网络安全专业方面的优秀学生,优先选拔获得奖学金的学生到政府部门工作。

(责任编辑:紫叶)

相关报道
  • --

联系我们:8610-8855 8955 zhouhl@staff.ccidnet.com

广告发布: 8610-88558925

方案、案例展示: 8610-88558925

Copyright 2000-2011 CCIDnet.All rights reserved.

京ICP000080号 网站-3