快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

“奥巴马时代”10大收集安全造诣解读

在过去的七年半时间里,奥巴马当局在收集安全领域下达了哪些行政命令,做出了哪些重大举措以及改革?一块儿来看一看奥巴马时期的收集安全造诣…

 Obama-SS-1.jpg

今年2月9日,美国总统Barack Obama推出《收集安天下家步履计划》( CNAP),并将其称为“奥巴马当局”历经 7年的思惟结晶。计划从加强收集基础举措措施建设、加强专业人才队伍建设、加强与企业的合作、加强民众收集安全意识宣扬和寻求长期解决方案5个方面入手,周全提高美国在数字空间的安全。

在奥巴马在朝的七年半的时间里,已经相继推出了大批的政策以及计划来构建收集安全空间,旨在增强当局对收集安全的防御气力和维护公民小我私人信息的能力等。

Tom Kellermann,收集安全战略&国际问题研究委员会成员,为奥巴马当局提供收集安全服务,该委员会创立的初衷是为第44任总统构建以及珍爱一个周全的收集安全策略。

Kellermann说:

“事情变得更糟了吗?是的。要是作为小我私人或公司,在收集安全方面需要奥巴马当局 的帮助,你会以为舒服吗 ?不!通过调查昨晚发生了什么, FBI能否阻止正在或将要发生在你身上的事吗?不能! ”   

要是警方来调查物理犯法,不仅会调查到罪犯,还可以防止这一罪行再次发生,然则,Kellermann指出,这类情形在收集空间内 是不会发生的。

在接下来的文章中,我们将总结奥巴马任职期间对收集安全领域作出的突出奉献。你是怎么样看待奥巴马总统的这些收集安全造诣的呢?

1. 为期60天的当局收集安全状况的周全评估工作,预备就绪

02-name.jpg

2009 年 2 月,奥巴马总统唆使美国国家安全委员会 (NSC) 以及国土安全委员会 ,针对美国的收集安全现状放开为期60天的审查工作,“自 上而下”地检查联邦当局部门维护秘要信息以及数据的措施 ,提出有用手段来确保这些体系能够为国家的收集安全以及繁荣提供保证。

四个月后,白宫发表一份讲演,题为《收集空间政策评估 》:《确保 拥有可靠的以及有韧性 的信息与通讯基础举措措施》。

2009年5 月 29 日,奥巴马在演讲中宣告计划订定一项新的、周全的国家收集安全战略,并在两党战略委员会的建议下,宣告任命 了一位当局收集安全和谐员,他将直接向总统讲演,将收集安全问题抬举为 美国当局治理工作的重中之重。

此外,战略中还呼吁着力推泛博型的收集安全教育 活动,为小我私人以及企业确立 更迅速的收集安全事故响应能力 ,抬举收集安全性能指标。

奥巴马指出:收集骗取者,心怀不满的 内部员工,千里之外的黑客 ,犯法构造, 工业间谍,外国情报机构越来越多,收集问题成为影响国家经济以及安全的致命身分。2008年, 收集罪犯偷窃 的全国各地的企业知识产权价值就高达1万亿美元 。奥巴马表示:

“简而言之,21 世纪美国的经济繁荣将取决于收集安全。”

2. 白宫任命Howard Schmidt为收集安全和谐员  

 03-name.jpg

2009年12月,奥巴马总统任命Howard Schmidt为首位收集安全和谐员 ,他在公共以及私营部门的安全治理领域 都有着丰富的经验,是收集安全界卓越的领袖。

Schmidt曾在乔治·布什(George W. Bush)时期担任症结基础举措措施维护 委员会副主席以及收集空间安全的特别顾问,而在此之前,他还 曾在eBay 以及微软任安全主管。

作为珍爱国家收集安全的症结成员,Schmidt的首要职责包括:为各构造 加强计算机安全防护,开发新手艺, 开铺收集安全意识教育活动。

2011 年,Schmidt牵头订定了旨在改善收集空间身份认证的国家战略,通过公私合作的方式 有用解决了在线欺诈以及身份信息窃取等问题。两年半后,Schmidt 宣告将在 2012 年 5 月底退休,把更多的时间用来陪伴家人以及进行收集安全教授教养。

Schmidt退休后,来自国家安整个门治理办公室以及情报处的Michael Daniel继任了 Schmidt的职位 。

3. 2010:扩铺收集政策审查年

Image-4.jpg

基于收集政策审查中提出的建议,美国当局提出了收集安全教育计划,旨在增强公众的安全意识。2010 年 3 月,当局公布了国家 收集安全教育计划(NICE) , 这个计划经过不断的完美以及推出,形成了一个完备的系统,触及到公众、在校门生,收集空间专业人员三大群体的教育。

根据白宫的阐释,NICE计划首要包含4个方面:美国国土安整个, 国家收集安全联盟以及其他联邦机构领导的天下公共意识 活动,正式的收集安全教育,联邦劳动力的发铺 和国家劳动力培训。

在此期间,加强收集安全成为了当局绩效治理议程的核心组成部分。联邦首席绩效官的目标就是抬举当局营业,其中包括:完成实时监测 和将收集安全集成进 体系设计中。

2010 年 4 月 21 日,NSS 以及 OMB 发布了联邦信息安全治理法案 (FISMA) ,该法案将 焦点从部门以及机构的 静态化发铺以及纸质合规讲演,转化为针对联邦机构收集的 连续、实时的监测。基于这类实时监测,确立基于危害的性能指标系统,这些指标被纳入高级 官 员绩效计划,旨在帮助机构更快地识别漏洞,踊跃地部署防御,阻止攻击举动。

4. 防范内部威胁计划

Slide-5.jpg

2011 年 10 月,为应答21世纪早期发生的一系列大规模的数据泄露事故,例如,布拉德利•曼宁(Bradley Manning) 主导的外交电报 泄露事故。奥巴马总统签署了第 13587号行政命令:《加强信息同享以及维护计算机收集中的秘要信息的结构性改革》 。

第13587号行政命令确立了几个新的跨机构和谐机构,以提高秘要收集的安全性,其中包括高级信息同享以及安全保证指导委员会、内部威胁特别工作组、和维护美国国家安全局以及国防部体系的执行机构。

条例指出,负责操作或走访机分类计算机收集的联邦机构 负责人,有责任适量地同享以及维护计算机收集上 的秘要信息。

作为职责的一部分,他们需要:

指定一名高级官员负责监督分类信息的同享以及珍爱工作;

根据内部威胁工作组订定的标准以及唆使,完成内部威胁检测以及防御计划。

遵循行政命令以及其他政策标准等进行自我评价,并将效果讲演给高级信息同享以及安全保证指导委员会。

提供相符规定的信息以及走访服务,保障执行代办署理能够在计算机收集中自力评估以及珍爱分类信息。 

5. 提高症结基础举措措施的收集安全

 Slide-6.jpg 

症结基础举措措施体系间的相互依靠,尤为是信息以及通讯手艺间的依靠加深了收集威胁,多种新型漏洞不断涌现,其中包括 物理以及收集威胁等。

为应答这一现状,2013 年 2 月 12 日,奥巴马总统签署第13636 号行政命令 : 《增强症结基础举措措施收集安全》,明确指出该政策作用为抬举国家症结基础举措措施并珍爱环境安全与恢复能力。

该行政命令首要聚焦三个症结领域:(1) 信息同享;(2)隐衷 ;(3) 采用收集安全措施 ;

症结基础举措措施是指对美国相等重要的,物理的抑或捏造的体系以及资产,一旦遭到破损将 会对国家的政治、经济、公共卫生 以及安全或是这些事项的任意组合 带来严重的影响。

条例鼓励国家标准以及手艺研究院(NIST)与私营部门合作,识别 现有的志愿共识性标准以及业界最好 实践,并将其融入到收集安全框架 中去。  

奥巴马当局承认,一些私营部门收集领导人已经在实施强盛的收集安全控制,政策 ,程序以及创新手艺,并请求这些公司 协助当局塑造跨症结基础举措措施的最好实践 。总统还请求国土安整个确立一个志愿项目,以推动框架实施 。

6. 当局推动信息同享以强化响应速率

 07-name.jpg 

快速的信息同享是有用收集安全的重要组成部分,它能帮助美国企业共同应答威胁,而不是孤军奋战。为推进这一进程,2015 年 2 月 12 日,奥巴马总统签署一项行政命令,鼓励以及促进私营部门 与当局之间 分享收集威胁情报。

条例订定了一个框架,旨在扩铺信息同享,帮助公司协作双赢 ,此外,还可以通过与联邦当局合作,力求 快速识别以及防范收集威胁。

条例鼓励成立信息分享以及阐发构造(ISAOs),以作为当局以及私营企业同享信息的联系点,和谐私营部门以及当局之间的收集安全信息同享、合作以及发铺。

7. 制裁收集攻击者

  Slide-8.jpg

2015 年 4 月 1 日,奥巴马总统发表了两年之内的第三个收集安全行政命令,以制裁以及 威慑那些以美国症结基础举措措施为目标的收集攻击者。  

奥巴马引用《国际紧急经济权力法》(International Emergency Economic Powers Act),允许 联邦当局对列入黑名单的重大恶意收集活动违后的 国外小我私人或机构实施制裁。

条例是美国对搅扰国家企业、构造以及小我私人的收集攻击者的有益反攻武器。它授权财政部部长、司法部长以及国务卿,提起制裁、袭击收集犯法、收集间谍以及其他损坏性收集攻击违后的实体。

总统称:

“这是我第一次授权对在收集空间实施攻击举动,造成国家安全、外交政策、经济健康或金融稳定等受到重大威胁的小我私人或实体实施制裁。我们首要 聚焦来自海外的收集威胁。在许多情形下,外交以及执法法律工具仍将 是我们最有用的反击武器。但 是,明智地运用有针对性的制裁,将赋予我们一个全新的、 有力 的方式来应答最最糟糕的情形。”

此项条例实施后,美国当局将有权解冻任何损坏美国症结基础举措措施的攻击者资产,或从美国企业窃取商业秘要、小我私人信息获取的利润。 这项条例无疑是深受欢迎的,然则问题是,联邦调查局怎么样能够正确识别攻击者。

此外,条例还授权对任何协助及指使与恶意收集活动相干的人实施制裁,恶意收集活动相干群体包括通过“财政、物质或手艺支持或商品以及服务支持的人群 “。银行或金融服务机构、手艺提供商或任何其他供应商,只需 被发现向攻击者提供支持的都可能会受到牵联。

8. 配置最后限期,推动美联邦网站配置HTTPS加密

 09-name.jpg

随着使用互联网加密成为一种新常态,2015 年 6 月 9 日,美国白宫订定了一项新政策,请求2016年底,所有联邦机构面向公众的网站必须 使用加密的 HTTPS (安全 超文本传输协定) 。

那时,只有31%的联邦机构使用HTTPS协定,包括:白宫网站(whitehouse.gov) ,cia.gov,nsa.gov 以及 omb.gov等,而dhs.gov 以及 fbi.gov 等机构网站却未启用 HTTPS。而目前,已经有 52%的联邦网站支持 HTTPS 加密, dhs.gov 以及 fbi.gov 等安全机构已经使用 HTTPS。

未加密的HTTP链接可能存在漏洞,造成联邦网站以及服务器上的潜伏用户 的敏感信息泄露。这些数据包括阅读器标识、网站内容、搜索词 以及其他用户提交的信息等。为了解决这些问题,许多商业构造已经采用了 https协定来维护其网站以及服务器中的用户安全。

2015 年 3 月,奥巴马首次以草案的情势发布仅使用 HTTPS的建议 ,并将2016 年 12 月 31 日,作为网站使用 HTTPS加密通讯的最后限期。为协助转换HTTPS, 用户可以通过https://https.cio.gov 网站获取来自全国各地的手艺专家 提供的 手艺援助以及最好方案。

联邦首席信息官Tony Scott在博客中写道:“HTTPS只保障两个体系之间的连接的完备性,而不是体系本身。它不是被设计来维护web服务器 免受攻击或损坏 的,也不能防止web服务在正常运行的情形下地下用户信息 。然而 HTTPS-only标准将消除不一致,能够判定出哪些内容或阅读活动在本质上是敏感的,为当局创建了一个更强的隐衷标准。

9. 中美杀青共识,不通过收集间谍举动获取经济利益

 image-10-flag.png 

2015 年 9 月17日,中国国家主席习近平以及美国总统奥巴马就收集安全问题杀青共识,无论中美都不会通过国家收集间谍活动谋取经济利益。

长期以来,中国都在针对美国的收集间谍构造的问题上“躺枪”,然则,中国一直强烈否认此类间谍活动源自中国。在一次消息发布会上,奥巴马称已与中国杀青初步“共识”,他表示,接下来的问题就是自相矛盾,付诸实际的过程了。

美国一样坚持否认通过收集间谍活动为美国企业谋取经济利益,此次习近平主席以及奥巴马总统就制裁入侵本国企业以及构造,窃取资产以及知识产权的国外攻击者方面杀青共识,共同惩治收集犯法。

FireEye Mandiant公司的创始人兼总裁Kevin Mandia认为,奥巴马总统以及习近平主席间杀青的这一历史性协定将预示着收集安全进入了一个新篇章。

Mandia表示,中美杀青的“无收集间谍”协定可能会有三种结局:最坏的一种是,中国仅口头承诺,然则继续盗取美国的 IP;中国缩减此类黑客举动;中国制约此类活动。他认为,这将推动中美两个大国在环球经济的违景下合力袭击环球收集犯法举动。 

10.  总统呼吁将收集安全支出增添到2017年的190亿美元

  Slide-11.jpg

2016年2月9日,奥巴马总统将总额高达4.1万亿美元的2017财年当局预算提交国会 ,呼吁将 收集安全支出增添到 2017年的190亿美元,较2016财年增进35% 。

奥巴马指出,必须付诸更多的起劲来提高收集安全能力,让公民拥有本人需要的工具来维护本人,公司有能力捍卫自身收集以及信息安全,当局也有气力维护美国公民委托的小我私人信息。

这也是美国总统唆使当局实施《收集安天下家步履计划》(CNAP)的缘故起因地点。《收集安天下家步履计划》是美国当局七年来的经验总结,吸纳了来自收集安全趋向、威胁、入侵等方面的教训。 通过短期以及长期战略提高收集安全意识,加强维护,确保公共安全,支持经济以及国家安全。 CNAP的一些要点包括:

● 确立“国家收集安全促进委员会”(Co妹妹ission on Enhancing National Cybersecurity)——由顶尖的企业与手艺专家组成,部分人员由国会任命,共同谱写出一份为期十年、涵盖公私两方面的收集安全手艺、政策发铺蓝图 ,以推行各类最好实践。这项计划将包含:强化收集安全意识,维护隐衷、公共安全,珍爱经济、国家安全并保障美国拥有更强盛的数字安全控制能力,促进联邦、州以及内陆当局和企业间的合作。

● 专程调配31亿美元的信息手艺当代化基金,用于升级已过时或难珍爱的当局IT以及收集安全治理基础举措措施。同时设立联邦首席信息安全官(the Federal Chief Information Security Officer),监督当局部门实施这些工作。其详细职责包括开发、治理并和谐全部联邦当局系统内的收集安全政策,和操作的执行。

● 加强在线账户的维护,除暗码外,辅以指纹、短信发送一次性暗码等更多安全措施。通过“国家收集安全联盟”(the National Cyber Security Alliance)提议新的国家收集安全宣扬步履(National Cybersecurity Awareness Campaign),专注多重认证,以抬举、培养信息损耗者的收集安全意识。

“国家收集安全联盟”为非营利性构造,其成员包括美国国土安整个(DHS)和赛门铁克、思科、微软、SAIC与EMC等私营企业。其呼吁并鼓励使用多重验证机制,同时实施一套还没有终极定名的“有用身份认证”方案。合作者包括Google、Facebook、DropBox、Microsoft等顶尖手艺公司,和MasterCard、Visa、PayPal以及Venmo等交易服务公司。

● 2017财年预算中,收集安全团体支出达190亿美元,较2016财年增进35%。

美国的收集霸主位置是无可否认的,绝管已经与中国杀青了“收集安全共识”,然则可以预测的是,美国尽不会轻易抛却收集空间的“霸权”统治,通过总结奥巴马总统任职期间的收集安全造诣,不仅对美国未来在朝人提供参考以及学习的依据,工控黑客 ,同时对我们国家也有很强的借鉴作用,通过“师夷长技”不断抬举自身收集安全总体气力,共建安全、融合、同享的收集安全空间。  

 *原文链接:darkreading、米雪儿编译,

您可能还会对下面的文章感兴趣: