更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全4月25日訊 一年前, 美國運輸司令部(USTRANSCOM)司令達倫·麥克德烏曾向美國國會發出警告, 稱政府需要著力彌合軍用與民用環境之間的網路安全鴻溝。 2018年, 麥克德烏再次重申這一結論, 並主張制定一項國家網路安全標準, 為美國的安全水準設定一條“最低基準線”。
設置合作企業最低“基線”標準
網路安全標準將為各類企業制定必須遵守的最低指導原則、最佳實踐與標準, 以確保其能夠有效與政府及其它各方開展安全可靠的合作與業務往來。 美國國防部目前將國家標準與技術研究院的網路框架作為其實施標準。
2017年, 美國運輸司令部曾進行兩輪演習:
第一輪演習在於探索運輸司令部如何在美國無法繼續利用空中或海上環境時繼續保持運作;
第二輪演習則是探索運輸司令部如何在網路競爭環境中運作。
演習結果顯示美國運輸司令部高度依賴於商業企業, 這很可能成為其致命軟肋。 麥克德烏在2018年4月10日召開的參議院軍事委員會聽證會上指出, 目前, 90%的美國運輸司令部戰爭參與能力需要借助私營部門才能實現, 因此, 他呼籲美國國會與國防部採取一系列措施以彌補這一缺陷。
美國運輸司令部與企業合作要求
麥克德烏表示, “美國運輸司令部的每一份合約當中都納入了網路標準。 雖然這些標準在嚴格程度上還達不到預期要求, 但運輸司令部仍努力與行業開展合作。 如果沒有美國國會及國家標準作為依託, 快速推動過於嚴苛的要求往往會導致私營企業不再為運輸司令部提供支持。
合作方主動上報入侵活動
美國運輸司令部目前的合約著重強調各合作方必須主動上報入侵活動, 各合作企業在這方面一直缺少足夠的關注。 麥克德烏表示, 儘管在運輸司令部網路安全被視為指揮官的分內職責, 但縱觀美國的企業 CEO (首席執行官)們往往不會將網路安全保障當成自己的工作。
企業安全檢查以“自查”為主
美國運輸司令部最近剛剛獲得授權, 可以對其承包商的網路安全水準進行實際審查, 而作戰司令部目前還不具備這一權利, 實際上, 運輸司令部並不能以自己期望的速度實施安全性檢查, 因此要求各企業自行檢查其安全水準, 現在的問題在於不能確保每家企業都能掌握自身存在的問題。
美國運輸司令部目前正在召開網路圓桌會議,
企業董事會成員必須要有一名安全專家
美國參議院軍事服務評級員傑克·裡德(羅德島州民主黨人)表示, 參議院銀行委員會目前正努力要求各家與政府合作的企業至少在董事會當中引入一名網路專家。
最近, 美國運輸司令部方面意識到政府-企業網路安全鴻溝造成了多麼嚴重的問題。 約兩年之前, 美國運輸司令部曾經與學術界、商界領袖以及駭客人士在18個月內舉行了三場圓桌會議,
大小規模企業都應重視網路安全
麥克德烏在採訪中表示, “運輸司令部的協作方與其依賴的合作夥伴都使用 .com 以及 .mil 功能變數名稱。 各方對這些資產的處理態度有時會存在差別。 如果美國國土安全部(DHS)未能嚴格強調這些商用基礎設施屬於國家安全層面的重要組成部分, 那各方投入的保障力度也會參差不齊。 因此必須讓企業意識到網路安全問題不只是 IT 問題, 還是 CEO 的問題, 即需要指揮官的領導。 而"夫妻店"式的運輸企業顯然不可能具備與美國軍方對等的網路防禦能力,儘管如此,這類企業仍然有必要引入解決方案以提升自身網路安全水準。
而"夫妻店"式的運輸企業顯然不可能具備與美國軍方對等的網路防禦能力,儘管如此,這類企業仍然有必要引入解決方案以提升自身網路安全水準。