美众议院网络安全战略报告:未知的未知总会存在

美国众议院能源和商业委员会发布报告,指出网络安全事件预防与缓解策略。作为众议院监督与调查委员会工作的一项总结,该报告囊括了来自众多简报、听证会、信件、报告和圆桌会议的结论,提出了改善漏洞防护的6项重点工作。

有效网络安全集成并未跟上互联网的快速发展,监督与调查委员会为期一年的分析发现了数种无关行业、规模和复杂程度的通用模式。

随着网络安全事件数量的增长,传统信息技术策略眼看着无法有效应对,监督与调查委员会聚焦网络安全事件两大根源,着眼找出公司企业可如何强化其网络安全能力的方法。

在新发布的报告中,委员会提出了6个应对网络安全事件的核心内联概念:

  • 概念1:未知的未知总会存在。
  • 概念2:你无法保护自己都不知道的所有物。
  • 概念3:软件不再是编写出来的,而是集成的。
  • 概念4:必须有一种通用的网络安全语言。
  • 概念5:数字资产比实体资产衰老的速度更快,也更难预测。
  • 概念6:网络安全需要动员“全社会”。

这6个概念引出了解决网络安全问题的6个重点:

  • 重点1:广泛采纳协同披露项目。
  • 重点2:实现联网技术软件材料清单。
  • 重点3:支持与稳定开源软件生态系统。
  • 重点4:保持通用漏洞与暴露(CVE)项目健康。
  • 重点5:实现技术产品全生命周期支持策略。
  • 重点6:强化公-私合作模式。

该报告对每个概念和重点都做了详尽的解释,也提供了委员会过去几年来一直关注的相关产品,可供作为实现这些策略的初始步骤使用。然而,正如委员会指出的,还有很多工作等待完成。

报告总结道:

每个概念和重点都代表着涵盖更广的一项网络安全挑战。单独实现其中一组概念-重点无疑能在某种程度上改善社会的整体网络安全状况,但委员会多年来的工作表明,每一组概念-重点互为补充,相互倚赖。

网络安全策略报告原文地址:

https://energycommerce.house.gov/wp-content/uploads/2018/12/12.07.18-Cybersecurity-Strategy-Report.pdf

上一篇:Equifax的问题出在哪里:34项控制与过程失误

下一篇:思维木马:人们心中的特洛伊