-
  国际标准化战略 返回首页  

美商务部等提出加强网络安全的目标和措施


  1月5日,美国商务部和美国国土安全部联合发布了给特朗普总统的报告《增强互联网和通信生态系统对僵尸网络和其他自动、分布式威胁的恢复能力》(A Report to the President on Enhancing the Resilience of the Internet and Communications Ecosystem Against Botnets and Other Automated, Distributed Threats)[1],以响应2017年5月11日特朗普总统关于加强联邦网络和关键基础设施网络安全的行政命令。

报告认为,当存在减少自动、分布式攻击的威胁时,所面临的机遇和挑战可以概括为以下六个方面:

  (1)自动、分布式攻击是一个全球性问题。在最近的僵尸网络中,大多数被破坏的设备都位于美国以外。提高互联网和通信生态系统抵御这些威胁的能力需要与国际伙伴采取协调行动。

  (2)存在有效的工具,但这些工具没有被广泛使用。显著提高因特网和通信生态系统恢复力所需的工具、程序和实践是可以广泛获得的。然而,由于多种原因,它们不属于许多其它部门产品开发和部署的一般实践,包括(但不限于)缺乏认识、成本规避、技术专长不足以及缺乏市场激励措施。

  (3)产品应该在生命周期的各个阶段得到保护。在部署时易受攻击的设备、发现漏洞后缺乏修补工具的设备、或在供应商支持结束后仍继续服务的设备,都使得装配自动化、分布式威胁变得太容易。

  (4)需要教育和提高认识。家庭和企业客户、产品开发商、制造商和基础设施运营商之间的知识差距阻碍了使生态系统更具弹性的工具、流程和实践的部署。

  (5)市场激励失调。感知到的市场刺激与"大幅度减少自动化和分布式攻击所造成的威胁"的目标不一致。市场激励措施促使产品开发人员、制造商和供应商将成本和时间降至最低,而不是建立安全或提供有效的安全更新。在开发产品时,必须在安全性和便利性之间取得更好的平衡。

  (6)这是一个全生态系统的挑战。没有一个单一的利益相关者群体能够孤立地解决这个问题。

报告确定了五个将大大减少自动、分布式攻击,提高生态系统对威胁的恢复能力的目标,并提出了每个目标下的具体措施。分别是:

  目标1:为可适应、可持续和安全的技术市场找到一条明确的道路

  该目标下的措施包括:(1)为家庭和工业应用中的物联网设备建立广泛接受的基线安全配置,并通过双边安排和使用国际标准促进国际采用;(2)软件开发工具和流程可以显著减少商用软件中安全漏洞的发生率,因此必须被工业界更广泛地采用;(3)工业界应加快发展和部署创新技术,以防止和减轻分布式威胁。政府应优先考虑研发(R&D)基金的申请和技术转型工作,支持分布式拒绝服务(DDoS)的预防与减轻研发工作,并支持预防僵尸网络的基础性技术;(4)政府和工业界应进行合作,确保现有的最佳实践、框架、与物联网相关的指南以及确保透明度的程序在数字生态系统中得到更广泛采用。

  目标2:促进基础设施创新,以动态适应不断变化的威胁

  该目标下的措施包括:(1)互联网服务提供商和他们的合作伙伴应该扩大当前的信息共享,以便在国内和全球范围内更及时和有效地共享可操作的威胁信息;(2)利益相关者和主题专家在与NIST协商时,应领导开发一套用于DDoS预防与减轻的网络安全框架(CSF)概要文件;(3)联邦政府应以身作则,展示技术的实用性,为早期采用者创造市场激励机制;(4)产业界和政府应与所有利益相关者合作,继续加强和规范信息共享协议;(5)联邦政府应与美国和全球基础设施供应商合作,扩大整个生态系统网络流量管理的最佳实践。

  目标3:在网络的边缘促进创新,以防止、发现和减轻不良行为

  该目标下的措施包括:(1)网络行业应加大当前产品的开发和标准化工作,在家庭和企业环境中进行有效和安全的流量管理;(2)家庭IT和物联网产品的用户界面设计应最大限度地确保安全性,同时减少或消除对于管理的安全知识需求;(3)企业应使用有助于检测、破坏和缓解自动、分布式威胁的网络架构;(4)联邦政府应调查广泛的IPv6部署如何能改变攻击和防御的经济性。

   目标4:在国内和世界各地建立安全、基础设施、操作技术社区之间的联盟

  该目标下的措施包括:(1)因特网服务提供商(ISPs)和大型企业应加强与执法部门的信息共享,以提供更及时和可操作的关于自动化、分布式威胁的信息;(2)联邦政府应通过双边和多边国际合作促进国际采用最佳做法和相关工具;(3)监管机构应与行业合作,确保非欺骗性营销,建立适当的部门特定安全要求;(4)社区应该采取具体措施限制快速流量托管;(5)网络安全群体应继续与运营技术界接触,以提高认识和加快网络安全技术转让。

  目标5:提高整个生态系统的认识和教育

  该目标下的措施包括:(1)在一个可扩展和具有成本效益的评估过程的支持下,私营部门应建立和管理被消费者信任和理解的家庭物联网设备的自愿信息工具;(2)在一个可扩展和具有成本效益的评估过程的支持下,私营部门应制定工业物联网应用的自愿标签计划,为物联网关键基础设施的应用提供足够的保证;(3)政府应鼓励学术和培训部门充分地将安全编码实践纳入计算机科学和相关程序中;(4)学术界应该把网络安全作为所有工程学科的基本要求;(5)联邦政府应发起一场公众意识运动,以支持对家庭物联网设备安全配置文件的认可和采用。  

                                           (邓阿妹 编译)



[1]
原文标题:U.S. Departments of Commerce, Homeland Security Release Preliminary Report on Promoting Action Against Botnets and Other Automated Threats

来源:

https://www.nist.gov/news-events/news/2018/01/us-departments-commerce-homeland-security-release-preliminary-report