《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 拜登发布关于关键基础设施的国家安全备忘录

拜登发布关于关键基础设施的国家安全备忘录

2021-07-30
来源: 网电空间战

  拜登总统说:“我认为,如果我们最终陷入一场战争——一场与一个大国的真正的枪战——这将是一场具有重大的网络入侵的后果,而且这种后果将呈指数级增长,那么我们很有可能会结束这场战争。”

  布拉德·威廉姆斯

  2021年7月28日

  华盛顿消息:拜登总统今天发布了一份关于改善关键基础设施网络安全的国家安全备忘录,旨在鼓励关键基础设施所有者和运营商自愿采用更好的网络安全标准。

  该备忘录旨在解决美国一位高级政府官员周二晚间所说的美国“严重不足”的网络安全态势,这离拜登的讲话还不到24小时。拜登说,网络攻击有朝一日可能导致一场“真正的射击战争”。

  拜登总统周二在访问国家情报总监办公室时表示:“我认为,如果我们最终爆发一场战争——一场与大国的真正枪战——那么我们很有可能最终会结束这场战争。

  这位高级行政官员表示,除其他事项外,国家安全备忘录将试图使目前”零敲碎打地通过的部门特定法规拼凑在一起,通常是针对某些引起公众关注的部门的离散安全威胁“。行政部门有权对私营部门规定长期网络要求。

  备忘录特别涉及工业控制系统(ICS),该系统监控、调节和自动化操作技术(OT)——一个涵盖硬件和软件的单元,可实现基础设施物理组件(如断路器、电机和阀门)的功能。从电网和电信网络到制造厂、公共交通系统和能源管道,OT 在关键基础设施环境中非常普遍。

  在某些情况下,受损害的 ICS/OT 可能会使攻击者对系统造成物理损坏,甚至造成大范围中断。也许最有名的例子是震网(Stuxnet)事件,发生于2010年。Stuxnet将矛头对准了控制伊朗纳坦兹核浓缩设施离心机的ICS,最终摧毁了离心机,使伊朗的核计划倒退了几年。人们普遍认为Stuxnet是美以合作,但两国政府都从未承认参与。

  5月对美国输油管道的勒索软件攻击说明了一个棘手的问题:传统信息技术和ICS/OT网络的融合。在管道事件中,该公司先发制人地关闭了管道的 ICS/OT 网络,以防止攻击者将 IT 网络传输到控制管道运营的 ICS 网络,这可能会对管道造成潜在的物理损坏。勒索软件没有直接针对管道的ICS/OT网络,但ICS网络关闭导致东海岸上下燃料普遍短缺,持续了数天。

  ICS/OT网络攻击也成为五角大楼日益关注的问题,五角大楼的基地在国内外都得到了潜在脆弱网络的支持。虽然备忘录不是针对美国农业部的,但支持军事基地所需的基础设施(如电力和水)通常来自公共事业,这些公用事业已被证明是威胁行为者的容易目标。五角大楼的规划人员已经承认,人们担心飞机会因为机库的门被锁上或者美军被被黑客入侵的供水系统毒害而无法使用。

  备忘录将部分通过”网络绩效目标“解决 ICS/OT 安全问题,美国政府希望关键基础设施所有者和运营商能够自愿采纳这些目标。美国国土安全部的网络领导,网络安全和基础设施安全局,以及国家标准与技术研究所将制定绩效目标。

  美国政府认为至关重要的基础设施中,大约80%至90%是由美国私营部门拥有和运营的。这使得政府保护政府安全的努力复杂化,因为私人实体历来不愿允许国家当局监控或主动干预其网络。为此,这位高级政府官员表示,确保关键基础设施的安全需要”全国“的方法,并指出”联邦政府不能单独做到这一点“。

  另一个复杂的因素是,私营部门实体和政府之间缺乏及时的网络信息共享。参议员马克·华纳、D-VA和其他许多人上周提出了两党立法,如果获得通过,要求关键的基础设施所有者和运营商在发现后24小时内向政府报告任何”构成国家威胁“的违规行为。

  由于美国行政部门对私营部门施加长期网络安全授权的权力有限,备忘录旨在鼓励自愿行动。永久授权需要美国国会通过。不过,这位官员表示,政府正在”探索我们为授权(网络)标准所能做的一切“,并举例说明运输安全管理局上周发布的新一轮管道网络安全规则。

  该备忘录只是政府在过去两年中一系列备受瞩目的网络攻击之后,为加强国家网络安全而作出的最新努力,包括管道、SolarWinds和微软交易所服务器黑客攻击,后者于7月19日正式归因于A国。

  备忘录之前,除其他行政行动外,5月的网络安全行政命令,美国国土安全部3月推出的60天勒索软件”冲刺“(在此期间,管道攻击发生),以及能源部4月推出的一项旨在网络安全的电力公用事业部门倡议。

  备忘录还遵循了其他政府实体的警告,如美国国家安全局在4月份呼吁审查OT安全。美国国家安全局在管道黑客攻击开始前一周发布了这一通报。

  这位高级官员说,该备忘录符合美国政府改善国家网络安全的三管齐下的做法。这种方法包括实现网络防御的现代化,制定针对网络的政策和政府资源,以及建立国际联盟来对抗实施网络攻击的国家和罪犯。这位高级官员说,该备忘录旨在直接解决政府战略的第一个部分,即网络防御的现代化。

  ”我认为我们表现出了做我们需要做的工作的意愿,“这位政府官员周二晚间表示,”我认为我们表现出了以新的方式分享信息的意愿,[以]自愿的方式提出,但我们也明确表示,鉴于威胁的严重性,我们需要紧急行动,我们需要研究所有选项——自愿和强制性的——以实现我们需要的快速进步。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。