正是在这一年,美国联邦政府人事管理办公室管理的背景调查数据遭到大规模泄露,超过 2100 万人发现我们的个人数据(包括社保号码以及健康和财务记录)被盗。
此次泄密事件发生后,奥巴马政府最高 IT 政策官员、联邦首席信息官托尼·斯科特 (Tony Scott) 发起了一项为期 30 天的严格演习,旨在提高整个政府的网络安全标准。
在此期间,联邦机构解决了长期存在的安全漏洞,包括修补关键软件漏洞、审查和限制有权访问其授权系统的特权用户数量,以及大幅加快采用个人身份验证 (PIV) 卡来验证其网络上所有用户的身份。斯科特在去年 11 月的 FedScoop IT 会议上解释说,虽然这些都是基本步骤,但它们是尚未在政府范围内实施的关键步骤。
“不久前,我曾与一位同事共事,他对我说,‘一切都已经说过了,只是不是每个人都说过而已’,我认为这大体上是对的,”他说。“但我也知道,大多数事情都已经学到了,只是不是每个人都学到了。我们在网络安全方面的努力之一就是将我们每天学到的知识与我们一起工作和合作的社区广泛分享。”
这些情绪推动了政府在 2016 年推出许多重大网络安全举措,其中一些列示如下:
1. 改善联邦对重大网络事件的响应。各机构首次按照新的指导方针开展工作,这些指导方针更好地定义了什么是“重大事件”。这些指导方针包含在 去年 10 月发布的2016 财年《联邦信息安全现代化法案》(FISMA)和隐私管理报告指南中。要确定是否发生了重大事件,各机构应考虑事件是否涉及机密信息、受控非机密信息(CUI)专有信息;是否对机构的使命产生高度或中等功能 荷兰电话 影响;是否涉及信息或系统的泄露、修改、删除或未经授权的访问或无法使用。请查看本文档第 7 页上的完整注意事项列表。
2. 通过网络安全战略实施计划 (CSIP)。联邦首席信息官在去年我之前提到的为期 30 天的网络安全演习之后发布了该计划。该计划概述了一系列行动和最后期限,旨在通过更好地获取和招募网络人才、及时发现网络事件并快速应对这些事件来改善联邦网络安全。根据该计划,管理和预算办公室必须在 2016 年 1 月底之前发布一项计划,实施新的网络安全共享服务以增强现有的机构服务。这些服务将包括身份、身份验证和授权服务;移动安全服务;以及加密服务。在此处查看所有 CSIP 最后期限。
3. 招募网络人才。据斯科特称,联邦政府预计有 10,000 个网络专业人员的空缺,“我们很想填补这些空缺,但就是没有足够的人才”。 “我们目前正在考虑一些提案,无论是拨款还是特定培训,以及许多其他可以保证更稳定供应的措施,包括与私营部门合作。”CSIP 指示 OPM 和 OMB 在 2015 年 12 月之前澄清法律准则,并帮助各机构更好地了解他们可以利用的特殊招聘权限,以便更快地招募网络专业人员。
4. 实施新的网络安全立法。在为政府提供资金直至 9 月的巨额拨款法案中隐藏着 S.754,即2015 年网络安全信息共享法案 (CISA)。该法律要求制定新程序,以便各机构与私营部门共享和接收网络安全威胁信息。具体来说,国土安全部将成为接收私营部门共享的威胁指标和防御措施的重点机构,并确保适当的联邦实体以自动、实时的方式接收共享指标。
5. 在合同条款中加入安全措施。政府计划在本财年第一季度发布指导意见,明确在联邦采购中纳入安全要求。该指导意见基于公众反馈以及安全、隐私和联邦采购专家的意见。以下是正在进行的工作的一些背景信息。
6. 简化网络安全报告。从 2016 财年起,各机构应开始通过 CyberScope 报告其大部分网络安全绩效信息。各机构使用在线平台报告其在满足联邦信息安全要求方面的进展。向 CyberScope 的转变预计将减轻报告负担并整合与网络相关的信息收集。
要获取更多资源来帮助您了解联邦网络安全状况,请查看我们新的 GovLoop 信息图表《网络世界:安全之路》。