CIO如何看奥巴马的网络安全战略？

条列式安全的结束

现存的联邦IT安全法规—亦即：联邦资讯安全管理法案(Federal Information Security Management Act, FISMA)常常有数以百计的安全查核项目，其中包括一些基本的项目，例如要利用密码保护敏感的应用程式。但FISMA并没有指引IT主管哪些类型的密码才是最好的。而《共识稽核指南》要求要以12个半随机字元当作密码，以及建置“双因素认证(two-factor authentication)”。

“结果是你填完了冗长的表格，证明你符合规范，但实际上你并不见得安全。”Emagined Security公司Schultz表示。他说了一个案例：一间国家图书馆没有依照规范建置保护网路的防火墙，但图书馆人员说服稽查人员，路由器可以替代防火墙，因此通过了稽核。

“FISMA浪费纳税人的钱。”Schultz表示：“这些标准并不能协助组织防御现今的攻击形式。”

Gilligan的20个重要控制项目没有一件是“高深的艺术之作”，这表示许多安全专家也可以提出类似的指南。但Gilligan的指南已被列为优先项目，而且可以有效防御IT系统，这些可以免除盲目的猜测。组织拥有明确的目标以供遵循，有详细的步骤可供建置、监控、以及测量，这些都可以强化正持续进行的安全防御。

那是与“条列式遵循”有别的。Gilligan表示：“这是我们正提倡的文化转移。”要能够衡量进度才是关键所在。CSC公司的Mintz补充：在许多的组织中，不论政府单位或私营企业，关于“安全”的基本定义仍争论不休，更遑论要如何才能达到安全。Mintz任职美国财政部CIO时说：“很明显的，目前仍不存在一致接受的标准，可以衡量我们有多安全。假如完全安全代表10，没有任何安全代表1，则我们知道我们的安全介于1和10之间，但仅知道这么多。”

这正是奥巴马所批判的情况。他于5月表示：“电脑安全威胁很明显是我们国家目前所面临最严峻的经济及国家安全挑战，而身为政府或国家高层的我们，很清楚知道我们并没有准备好。”

奥巴马说，我们需要更宏观的视野。“正如过去我们没有成功的投入实体基础建设，我们的马路、桥梁、以及铁路；我们在投入数位基础建设的安全也一样是失败了。”

Gilligan知道，他的指南是众多角逐奥巴马政府青睐的建议书之一，这些建议书来自业界不同的群组，其目的是要影响任何新崭露的法规。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友