新闻快讯
< >

美国国会2018年网络安全工作重点解析

E安全1月17日文 2018年美国国会将拿出切实可行的措施,旨在维护网络安全,以防止数据泄露问题,抵御国外势力威胁,筹划关键机构在网络、政府信息技术采购相关事宜。专家普遍认为美国国会可能围绕以下几个方面展开工作:

加快“网络安全与基础设施保护局”的重组与重新命名

2018年,美国会将跟进美国土安全部(DHS)“网络安全与基础设施保护局”的重组与重新命名法案(H.R.3359)。这份法案已经于2017年12月在白宫众议院内得到投票通过,允许将美国国土安全部(DHS)的“国家保护与计划局”的部门重新命名为“网络安全与基础设施保护局”,以防止原有名称与缩写在私营企业以及其它部门处引起误解。

“网络安全与基础设施保护局”将有权指定一名局长直接向DHS部长报告;该部门还将设置一名网络安全与基础设施安全副局长,以及一名负责网络安全、基础设施保护与应急通信的副局长。“重组与重新命名法案(H.R.3359)”法案由美国国土安全委员会主席迈克尔·麦考尔力推,麦考尔2016年也曾经提出类似的立法申请,但却因当时各国会委员会间管辖权存在纠纷而未能实现。这一次,此项法案被递交至拥有同等管辖权的各委员会处,包括能源、商务、运输以及基础设施委员会,并最终由国土安全部于2017年7月正式宣布通过。麦考尔在演讲中指出,第一网络威胁需要加强数字化美国的安全水平与自身网络的弹性能力。

美国会2018年网络安全工作重点全解析-E安全

重点关注选举工作的网络安全问题

近日,美国多位参议员提出了一项法案,旨在推动出台针对美国选举投票系统的网络安全防护措施,以应对日益严峻的网络安全威胁。该法案提出应设立专家小组,起草风险管理指导方针和具体举措。该法案还将设立一个高达3.86亿美元(约合人民币24.8亿元)的拨款计划,以协助各州政府实施上述指导方针并替换老旧的电子投票系统。

网络安全问题一直伴随2016年美国大选的进程,成为左右选情的重要因素,并对最后的选举结果产生了重要的影响。黑客攻击的对象不仅包括政府机构和私营部门,也包括与选举关系密切的个人。由此引发的安全问题涉及网络系统安全、数据安全以及关键信息基础设施的安全。尽管俄罗斯政府坚决否认利用网络手段干涉美国大选,但美国不会轻易改变态度。

将大力提升侦查能力

如何保证数字时代“民主选举”的公平公正将是美国政府的长期议题。为了遏制黑客的攻击并维护自己在网络空间的有利地位,美国未来将努力提升网络防御、侦查和威慑能力。这三方面能力的提升将使美国可以更加主动地应对黑客入侵,并在数字空间展示美国在关键安全指标上的优势。

提高网络侦查能力:有助于尽早发现敌手并将其从网络系统中清除,从而减少损失。侦查水平的提高可以增加防御者对所有发生的情况的能见度。网络能见度的提升,有助于防御者监控自己的网络,及时发现入侵行为并进一步追踪到入侵者。

此外,美国政府将加大与私营机构的信息共享合作,并将优先解密高级外国攻击者的威胁情报,把这些数据提供给特定的信息共享和分析组织。当相关机构把共享的信息用于自己网络系统时,恶意网络行为的检测和溯源变得更加容易。

对于已经潜伏在美国某些关键基础设施网络中的黑客工具,美国政府将鼓励开展广泛的侦查工作。鉴于黑客往往拥有持续的网络收集能力,如何识别出已经发生的入侵并将其从网络系统中清除是对美国的考验。

美国会2018年网络安全工作重点全解析-E安全

加强物联网网络安全

2016年10月,恶意软件Mirai攻击物联网设备事件;2017年5月,“WannaCry”勒索病毒大规模暴发,这类事件给物联网的安全敲响了警钟。

不法分子利用物联网设备实施网络攻击的威胁,让美国政府意识到了物联网安全问题的严重性。无论是美国联邦政府还是国会,开始积极探讨和研究如何应对物联网面临的安全冲击。

法案建议“禁止使用硬编码”

2017年8月,美国弗吉尼亚州民主党参议员马克·沃纳和科罗拉多州共和党参议员克里·加德纳提出新法案《物联网网络安全改进法案》,要求联邦政府的设备供应商遵循行业范围内的安全实践,例如确保可穿戴设备、智能传感器等设备能修复漏洞、更新密码、推向市场时不存在已知安全漏洞。这项法案将禁止厂商使用硬编码和无法更改的用户名和密码。

立法人员希望通过“最小限度的干预”解决“显而易见的市场失灵”状况。《物联网网络安全改进法案》将确保美国政府“以身作则”,防止因物联网领域缺乏重大创新使联邦系统遭遇进一步入侵。该法案2017年9月被提交到了美国立法机构,以确保向联邦政府出售和部署物联网的设备制造商满足经过安全标准筛选。其中还有一些条款规定,包括必须确保可修补性和避免默认密码等,所有这些都是一种积极的举动,或将促使其他国家政府也进行思考并采取类似行动。

《物联网网络安全改进法案》具体要求

《物联网网络安全改进法案》提出,联邦政府的物联网设备供应商要保证其设备采用政府认可的标准协议,不能包含硬编码密码,不能含有已知的安全漏洞,并且是可以打补丁的。该法案其他要求:

  • 如果供应商发现新的安全漏洞,必须向有关部门披露,并解释为什么设备存在这样的漏洞仍被认为是安全的,以及他们针对漏洞采取了哪些措施。

  • 美国联邦政府采购部门的首席信息官可以决定是否放弃采购这些设备。

  • 对于某些不能满足上述要求的设备,如果能证明可有效控制安全风险,采购部门可向美国政府管理预算局(OMB)申请,获准购买这样的设备。

  • 授权OMB和NIST与相关行业协调,确认政府机构可采取的特定安全防范措施,如网络分段、使用网关等是否有效。

  • 如果联邦政府机构有自己更严格的安全标准,或相关行业有更严格的第三方设备认证标准,可提供等效或更严格的安全保证(具体由NIST来认定),则可以不采纳该法案的建议。

  • 要求美国国土安全部计划司(NPPD)与相关行业合作开发物联网设备安全漏洞披露指南,免除《计算机欺诈与滥用法》和《数字千年版权法》规定的网络安全研究人员责任。同时,这些设备的安全漏洞一经发现,则应第一时间进行修补,或者更换设备。

美国会2018年网络安全工作重点全解析-E安全

建立数据泄露通告标准

数字空间身份问题是数字经济的核心问题。随着互联网身份数据不断扩充,每一次触目惊心的数据泄露事件的发生,都将进一步加剧数字空间身份危机。

美国众议院能源及商务小组委员会主席鲍勃·拉塔表示,数据泄露和消费者保护问题将是2018年的首要议程,该委员会目前正与大量利益相关方合作,以提出方案加强安全并防止数据泄露。美国民主党参议员也已提出一项严格的“数据泄露通知”法案。有消息称,两党参议院工作组已经草拟了政策方案。

数据泄露问题日益严峻

数据泄漏事件威胁严重,近年来犯罪分子已经趋于组织化、规模化、专业化,形成了一个非常完善的流水性作业,威胁着公民的身份和财产安全。黑客攻击、个人信息泄露、信用卡支付信息泄露、账户被盗等事件层出不穷。当一场事故中发生敏感,受保护或机密数据可能被未经授权的个人查看、偷窃或使用的事件,即可定义为数据泄露。数据泄露往往涉及支付卡信息(PCI),个人健康信息(PHI),个人身份信息(PII),商业秘密或知识产权。

随着科技的发展,互联网数据越来越多,也越来越详实,数据泄露好比现实世界的核泄漏,给人们带来巨大影响。

  • 对于个人,用户信息泄露,则用户账号面临被盗风险,个人隐私及财产安全难以保障。

  • 对于企业,信息泄露事件会导致其公信力下降,会直接使客户改变原有选择倾向。数据泄露事件可能会使企业失去一大批已有的或者潜在的客户。

2018将推出“数据被泄事件”披露法令

在数据信息的作用与地位日渐重要的今天,早有专家提出观点认为“随着企业组织存储的个人数据逐渐增多,美国民众有权利知晓他们的信息是否已被窃取或是不合时宜地披露出来。”鉴于此,美国国会或将在2018年颁布法令,创建一个全国性标准,以便在消费者数据遭到黑客攻击后,能够及时通知消费者本人。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。