CIO如何看奥巴马的网络安全战略？

具体有效的解决方案

因此，该怎么办？引起华盛顿注意的一项建议书就是“共识稽核指南”。这是由Gilligan所集结，SANS安全研究暨培训机构、策略中心暨国际研究机构(Center for Strategic and International Studies)…等隶属政府单位或业界的安全专家所共同开发的指南。这份指南侧重简明易懂，并不深究技术，或者辩论哪些行政机关该监管哪些机关。指南提出20项基本的管理与流程的构想，其最奠基的原则，就是时常监控以及衡量你所做的事情，以防止最常见电脑网路攻击的模式。

Emagined Security顾问公司的CTO Eugene Schultz表示，这些指南“是关于你如何认知这些问题，以及你如何在有限的资源下管理这些问题。指南十分逼真反映了现实生活的情形。”

安全专家们说指南内容非常值得参考，因为电脑罪犯不间断地调整他们的攻击模式以及工具，而这些建议大部分都可以让CIO今天就立即采取的行动，不需花费庞大的金额投入。

20个控制项个别含有说明，解释骇客如何在该控制领域中入侵。此外，亦含有该采取的防御步骤，从快速获胜、简易步骤，到进阶的方法都有。

美国国务院已持续测试这些指南达数月之久。国务院的CISO兼代理CIO John Streufert已经将最近他所经历的真实安全攻击事件，对应到Gilligan指南所描述的控制项，据以判定若政府真正采行这些指南，是否会带来实际功效。Gilligan表示，目前尚未有私人公司验证这些指南，但他正与部分联邦的CIO研商如此作。核能管理委员会也已经开始试运行这些指南。

Streufert表示，恶意软体是国务院最近所面临的问题。第12号控制项—防御恶意软体—阐明使用者需进行的工作，例如每日检查是否已有最新的恶意程式定义档发布，然后再将这些定义档派送出去。IT人员应该设定机器，让每当可卸载的设备插入笔记型电脑或PC时，就对插入的设备进行扫描。该控制项亦建议需采取坚定的立场：部署网路存取控制工具，在授予使用者网路存取权之前，需要先验证使用者的电脑设定是否安全，以及是否遵循公司规范安装必要的修补程式。

国务院亦依据第1号及第2号控制项，针对其网路进行扫描，以了解内部是否存在非授权的软硬体。Streufert不愿说明他究竟发现了多少个恶意软体以及多少个非授权设备，亦不愿说明这些问题带来的费用。Streufert表示，但藉由使用Gilligan的20项方法，并透过定期的衡量，以及持续加强国务院员工安全管理的方法，国务院部分重要区域的内部风险评分在11个月内降低了83%。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友