CIO如何看奥巴马的网络安全战略?

作者:kaiyun体育官方人口 卡亚
2009/12/4 13:07:15
kaiyun体育官方人口 :奥巴马矢言要修复美国的电脑网路安全漏洞,他的计划会成功吗?

分享到: 新浪微博 腾讯微博
本文关键字: 畅享原创 网络安全

条列式安全的结束

现存的联邦IT安全法规—亦即:联邦资讯安全管理法案(Federal Information Security Management Act, FISMA)常常有数以百计的安全查核项目,其中包括一些基本的项目,例如要利用密码保护敏感的应用程式。但FISMA并没有指引IT主管哪些类型的密码才是最好的。而《共识稽核指南》要求要以12个半随机字元当作密码,以及建置“双因素认证(two-factor authentication)”。

“结果是你填完了冗长的表格,证明你符合规范,但实际上你并不见得安全。”Emagined Security公司Schultz表示。他说了一个案例:一间国家图书馆没有依照规范建置保护网路的防火墙,但图书馆人员说服稽查人员,路由器可以替代防火墙,因此通过了稽核。

“FISMA浪费纳税人的钱。”Schultz表示:“这些标准并不能协助组织防御现今的攻击形式。”

Gilligan的20个重要控制项目没有一件是“高深的艺术之作”,这表示许多安全专家也可以提出类似的指南。但Gilligan的指南已被列为优先项目,而且可以有效防御IT系统,这些可以免除盲目的猜测。组织拥有明确的目标以供遵循,有详细的步骤可供建置、监控、以及测量,这些都可以强化正持续进行的安全防御。

那是与“条列式遵循”有别的。Gilligan表示:“这是我们正提倡的文化转移。”要能够衡量进度才是关键所在。CSC公司的Mintz补充:在许多的组织中,不论政府单位或私营企业,关于“安全”的基本定义仍争论不休,更遑论要如何才能达到安全。Mintz任职美国财政部CIO时说:“很明显的,目前仍不存在一致接受的标准,可以衡量我们有多安全。假如完全安全代表10,没有任何安全代表1,则我们知道我们的安全介于1和10之间,但仅知道这么多。”

这正是奥巴马所批判的情况。他于5月表示:“电脑安全威胁很明显是我们国家目前所面临最严峻的经济及国家安全挑战,而身为政府或国家高层的我们,很清楚知道我们并没有准备好。”

奥巴马说,我们需要更宏观的视野。“正如过去我们没有成功的投入实体基础建设,我们的马路、桥梁、以及铁路;我们在投入数位基础建设的安全也一样是失败了。”

Gilligan知道,他的指南是众多角逐奥巴马政府青睐的建议书之一,这些建议书来自业界不同的群组,其目的是要影响任何新崭露的法规。

责编:赵恒
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map