三十多年来,互联网彻底改变了我们创新、交流和分享信息的方式。开辟一条通往数字革命的可能性和机会之路,将我们的日常生活、经济和社会与系统和技术相结合,解锁 物联网(IoT)。
有了物联网,我们现在有了进一步提高工业环境和家庭环境的效率和安全性的基础。同时提供了利用数据和计算能力来解锁更多新发现的机会。
互联未来的愿景取决于底层技术和系统的弹性和安全性,虽然在保护数字生态系统方面已经取得了重大进展,但我们仍有很长的路要走。就目前而言,技术仍然容易受到威胁,使坏人能够利用系统并最终造成破坏。
在本博客中,我们将探讨白宫国家网络安全战略的目的,以及该战略中提出的五大支柱方法,以打造步入数字化未来的途径。
确立网络空间安全愿景
2023年3月初,白宫发布了《国家网络安全战略》,旨在“为一个安全的网络空间建立一个积极的愿景,为实现我们的集体愿望创造机会”。
该战略需要两个根本转变;责任的再平衡和激励的重新调整有利于长期投资。为了推动这些转变,该战略由五个支柱构成。
国家网络安全战略的五大支柱
国家网络安全战略由五个支柱组成:
- 保卫关键基础设施
- 扰乱和解散威胁行为者
- 塑造市场力量,推动安全和弹性
- 投资于一个有弹性的未来
- 建立国际伙伴关系,追求共同目标
1. 保卫关键基础设施
在过去的一年里,在通过标准化保护关键基础设施方面取得了改进,但仍然缺乏强制性要求——导致结果不一致。该战略概述了应该有一些要求,以提供对支撑经济和日常生活的服务的信心。
为了改进防御,现有的法律权威将被用于为关键基础设施组织设置基于性能和网络安全要求,并将利用诸如国家标准和技术研究所(NIST)网络安全框架等框架。
这一支柱还包括加强公私合作以改善网络安全,促进政府机构和部门更好地整合网络安全,创建更更新的联邦事件响应计划,以及实现国防现代化。
2. 扰乱和解散威胁行为者
第二个支柱的目标是使恶意行为者无法升级威胁美国国家安全的网络活动。
一项发展和更新国防部战略的计划被阐明,以阐明网络空间行动将如何主动防御对美国构成战略层面威胁的行为体。通过国家网络调查联合任务组(NCIJTF),目标是使持续的协调行动成为可能。
在这一战略中,勒索病毒被认为是对国家安全的威胁,有一种致力于增加破坏活动的承诺。此外,还考虑加强公私部门之间的合作,以提高情报共享和通知的速度和规模,以全面打击网络犯罪和勒索病毒威胁。
3. 塑造市场力量,推动安全和弹性
第三个支柱是责任的转移。特别是那些最有能力降低风险的企业,其目标是建立一个现代数字经济,在保持创新和竞争的同时促进安全性和弹性。
该调查指出,在产品开发过程中,有许多供应商“忽视安全开发的最佳实践,发布带有不安全默认配置或已知漏洞的产品,并集成未知或未经验证的第三方软件”。安全性——应该通过设计原则或发布前测试来降低风险,但通常软件和物联网制造商没有动力这样做,因为他们能够通过利用其市场地位来通过合同免责。
该策略提出将责任转移给软件制造商,以防止最终用户承担不安全软件的后果。预计将创建一个框架,以保护那些开发和维护自己产品的公司。
为什么要等它生效呢?今天就确保你的产品安全。
支柱中进一步概述的是,期望鼓励所有技术的协同漏洞披露,开发在广泛使用的无支持软件中识别和降低风险的过程,继续寻求物联网安全性的改进,以及其他安全激励措施。
4. 投资于一个有弹性的未来
第四个支柱代表着“从今天的投资开始,明天的数字化繁荣”。
人们呼吁对创新的战略公共投资与教育一起发挥杠杆作用,以推动符合国家利益的可持续经济成果。这既指向了现有项目,也指向了与其他国家合作优化网络安全技术的观点。
第四支柱的一个值得注意的方面是加强网络安全工作队伍并使其多样化的计划。考虑到这一点,国家网络安全办公室主任将领导、制定和实施国家网络劳动力和教育战略——这将建立在国家网络安全教育倡议(NICE)和其他机构制定的现有工作的基础上。
这部分战略中的另一个目标是支持发展数字身份生态系统。虽然数字身份能够实现更创新、更安全和更高效的数字经济,但需要投资于健壮、可验证的数字身份解决方案,以促进安全性、可访问性和互操作性。
战略中概述的其他计划包括;一项“清理”努力,以缓解困扰互联网基础技术的一些最紧迫的问题,将脆弱的公共网络系统过渡到抗量子技术,并加速实施技术,以提供一个清洁能源的未来。
5. 建立国际伙伴关系,追求共同目标
几十年来,通过国际机构,我们一直在努力界定和推动网络空间负责任的行为。在第五个也是最后一个支柱中,该战略着眼于通过建立对抗威胁的联盟并以此扩大和加强伙伴关系来进一步推进这一目标。
该支柱还寻求通过汇集公共和私营部门,并鼓励与国家网络取证和培训联盟等组织开展合作,从而提高知名度。
复杂的、全球相互关联的供应链生产着驱动美国经济的信息、通信和运营技术产品,这种依赖带来了日益增长的国际供应商网络。有必要降低风险,但需要公共部门和私营部门(包括国内和国外)之间的长期战略合作,以实现平衡、弹性和安全。
雄心勃勃的议程与现实主义相平衡
《国家网络安全战略》是一份有一些实质内容的文件,提出了一项雄心勃勃的议程来应对未来的艰巨任务——但它现实吗?在讨论实施方法时,行政当局应注意:
- 用数据评估有效性
- 吸取网络事件的教训
- 拟进行的投资
为了实现这一雄心勃勃的议程,政府将面临一场战斗,但在不到两年的时间内,我们将出台一项要求新的立法和监管的新战略,这不会在一夜之间或短期内发生。
但作为一个组织,你们现在能做些什么来加强网络安全防御吗?
使用GlobalSign加强网络安全
在GlobalSign,我们拥有超过25年的可靠经验,为组织机构提供安全接入、网络和设备的解决方案。通过我们一系列的管理、自动化和集成解决方案,您可以在整个组织内快速有效地部署公钥基础设施(PKI)技术。
