注册  |  登录   |   加入收藏  |  设为首页

搜索

美国防科学委员会发布网络防御管理研究报告

  美国国防科学委员会(DSB)2017年1月在其网站公布了《国防科学委员会网络防御管理任务小组报告》,报告于2016年9月完成,全文共84页。
  
报告摘要
  
  立项背景
  2014年10月,美国防部负责采办、技术与后勤的副部长(USD(AT&L))要求DSB研究改进国防部整体管理程序、为国防部系统及网络提供网络安全的方式。DSB为此召集信息技术(IT)与网络安全领域高层领导人组成任务小组,承担以下四项具体任务:确定相关方法,评估并向国防部领导层提供改进的网络防护水平管理见解;设计相关手段或方法,评估系统对不同种类及水平网络攻击的弹性;研究相关方法,为国防部网络防御未来投资提供支持;开发相关方案,生成未来投资优先建议,以最大化网络威胁防御效果。
  
  美国网络安全现状
  曝光对政府及商业网络的攻击大幅提高了公众对网络威胁、系统漏洞、系统内存储个人信息丢失所致潜在损失的认识,并加剧了有关担忧。这种意识导致人们对更安全产品和服务的需求增加。近期,网络安全保险费率也大幅提高。在国防部内,美国网络司令部成立;有效的“红队”带来了各军兵种(尤其是海军)“网络唤醒”行动;国防高级研究计划局(DARPA)“网络大挑战赛”甄选出了自动化网络防御措施的一系列创新性方案。所有上述迹象都令人鼓舞,并且,美国每年在政府及商业系统网络安全方面的开支高达数十亿美元。然而,DSB任务小组认为,国防部大部分系统仍不足以应对网络威胁。
  
  网络防御立即行动领域
  过去十年来,网络安全防御策略与技术日趋成熟化。任务小组甄别出了应对国防部网络防御问题亟需立即行动的3个领域:
  (1)网络卫生。网络卫生(Cyber Hygiene)涉及以下方面:组织IT基础设施、硬件及设备以促进持续监控与报告;清除未经授权的软件与硬件;有效修补授权软件;将非正式信息安全控制正式化;加强安全管理员和用户的培训。当前,所有实行健全的网络卫生(机制)的组织机构都定义了一套明确的、能捕捉系统防御属性的量化指标。有充分证据表明,实行有效网络卫生的组织机构可以转移(Deflect)大部分攻击。
  (2)可视性。网络安全防御策略与技术的第二个主要进步表现在,系统管理员对其系统拥有可视性、知道攻击会在系统的哪一部分被探测到及弱化。他们可以做出关于何种安全应用代码能有效保护哪一具体系统的判断。
  (3)网络安全。大量不同的问题都可以纳入网络安全范畴,报告研究了其中很多问题,但国防部雇员在国防部使用的个人系统(如手机和平板电脑)、物联网(如灯泡、电池、恒温器)及供给链安全却未包含其中。
  
发现与建议
  
  DSB任务小组在报告中总结出7个方面的发现与建议:
  (1)收集并分析攻击数据。建议国防部首席信息官(CIO)与各军兵种及机构首席信息官协力研究如何最大化利用各网络已遭遇攻击的攻击数据,评估相关防御能力。
  (2)保持主要官员的知情与参与。建议CIO与各军兵种及机构首席信息官,在工业领域最佳实践的基础之上,协力扩展每月网络安全状况报告。扩大化的每月安全状况报告应包含以下主题:威胁的背景与趋势;防御系统的性能;安全控制;五大风险领域(覆盖每日面临的最大风险、与具备网络能力对手发生冲突时所面临的最大网络风险、最敏感的数据、需要立即投资的关键领域等内容);五大风险领域情况跟踪。
  (3)自动化网络管理行动。建议CIO与首席信息安全官(CISO)构建及规划日益自动化的网络管理行动,旨在减少网络受已知攻击影响的时间,增强可视性。
  (4)防护任务关键系统。建议创建国防部范围的行政监督小组,用于组织和管理相关评选和加固程序,确保最具任务关键性的系统受到了最高水平的防护。
  (5)将网络准备状态纳入国防战备性汇报。建议每一战区司令部(CCMD)在军兵种的支持下,将网络准备性与“国防战备性汇报系统”(DRRS)的其他元素一起进行汇报。相关评估数据的更新应遵循正常的“国防战备性汇报”程序。
  (6)利用建模工作为投资提供支持。建议国防部增加负责指挥、控制、通信与商业系统的副助理部长办公室(ODASD(C3CB))的可用资源,使其与负责研究与工程的助理部长(ASD(R&E))下辖建模与仿真协调办公室(M&SCO)协力,继续并扩大进行网络投资建模工作,纳入金融、试探及基于效果的评估模型。ODASD(C3CB)与M&SCO应主导建立一个执行指导委员会,作为国防部研发单一模型为国防部网络投资(重点关注作战系统)提供信息的多阶段方案的协调主体。
   (7)与高度重视产品安全性的商用现货供应商合作。建议USD(AT&L),与CIO、CISO协力,通过提高采购要求,来打造可提供更好网络安全的商业市场。(王璐菲)
 
顶一下
(0)
0%
踩一下
(0)
0%
杂志分类