解密《国家网络安全综合计划》(CNCI)完整内容
《网络安全管理员》技师理论知识题库
《网络安全管理员》技师理论知识题库一、单选题(共60题,每题1分,共60分)1、在信息安全技术中,时间戳的引入主要是为了防止()。
A、死锁B、拥塞C、丢失D、重放正确答案:D2、关于如何防范摆渡攻击以下哪种说法正确?()A、禁止在两个信息系统之间交叉使用U盘B、安装杀毒软件C、安装防火墙D、加密正确答案:A3、隔离装置独有的SQL防护规则库在默认配置情况下,可以阻断所有对数据库的管理操作,严格禁止在外网进行数据库的管理维护操作。
以下不属于默认配置下禁止的操作有()。
A、建立、修改、删除表空间B、建立、修改、删除配置策略C、建立、修改、删除用户D、建立、修改、删除存储过程正确答案:B4、1999年,我国发布的第一个信息安全等级保护的国家标准GB17859-1999,提出将信息系统的安全等级划分为()个等级,并提出每个级别的安全功能要求。
A、7B、8C、6D、5正确答案:D5、下面不属于网络钓鱼行为的是()A、网购信息泄露,财产损失B、以银行升级为诱饵,欺骗客户点击金融之家进行系统升级C、用户在假冒的网站上输入的信用卡号都进入了黑客的银行D、黑客利用各种手段,可以将用户的访问引导到假冒的网站上正确答案:A6、一个完整的密码体制,不包括以下()要素。
A、密钥空间B、密文空间C、明文空间D、数字签名正确答案:D7、可以被数据完整性机制防止的攻击方式是()。
A、数据中途篡改B、假冒***C、抵赖****D、数据中途窃取正确答案:A8、数字签名要预先使用单向Hash函数进行处理的原因是()。
A、缩小签名密文的长度,加快数字签名和验证签名的运算速度B、提高密文的计算速度C、保证密文能正确还原成明文D、多一道加密工序使密文更难破译正确答案:A9、按照密码系统对明文的处理方法,密码系统可以分为()。
A、分组密码系统和序列密码系统B、置换密码系统和易位密码系统C、对称密码系统和非对称密码系统D、密码学系统和密码分析学系统正确答案:A10、以下关于CA认证中心说法正确的是:()。
2016.12《移动互联网时代的信息安全与防护》期末考试答案
•《移动互联网时代(shídài)的信息安全与防护》期末考试(20)题量: 100 满分(mǎn fēn):100.0 截止(jiézhǐ)日期:2016-12-11 23:59一、单选题1衡量容灾备份(bèi fèn)的技术指标不包括()。
•A、恢复点目标•B、恢复时间目标•C、安全防护目标•D、降级运行目标我的答案:C2《福尔摩斯探案集之跳舞的小人》中福尔摩斯破解跳舞的小人含义时采用的方法是()。
•A、穷举攻击•B、统计分析•C、数学(shùxué)分析攻击•D、社会(shèhuì)工程学攻击我的答案(dá àn):B3一张快递单上不是(bù shi)隐私信息的是()。
•A、快递(kuài dì)公司名称•B、收件人姓名、地址•C、收件人电话•D、快递货品内容我的答案:A4关于U盘安全防护的说法,不正确的是()。
•A、U盘之家工具包集成了多款U盘的测试•B、鲁大师可以对硬件的配置进行查询•C、ChipGenius是USB主机的测试工具•D、ChipGenius软件不需要(xūyào)安装我的答案(dá àn):C5把明文信息变换(biànhuàn)成不能破解或很难破解的密文技术称为()。
•A、密码学•B、现代(xiàndài)密码学•C、密码(mì mǎ)编码学•D、密码分析学我的答案:C6特殊数字签名算法不包括()。
•A、盲签名算法•B、代理签名算法•C、RSA算法•D、群签名算法我的答案:C7伊朗核设施(shèshī)瘫痪事件是因为遭受了什么病毒的攻击?()•A、埃博拉病毒(bìngdú)•B、熊猫(xióngmāo)烧香•C、震网病毒(bìngdú)•D、僵尸(jiāngshī)病毒我的答案:C8日常所讲的用户密码,严格地讲应该被称为()。
CISP考试认证(习题卷23)
CISP考试认证(习题卷23)第1部分:单项选择题,共92题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]()第二十三条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照()实行分级保护.()应当按照国家保密标准配备保密设施、设备.()、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步).涉密信息系统应当按照规定,经()后,方可投入使用.A)《保密法》;涉密程度;涉密信息系统;保密设施;检查合格B)《安全保密法》;涉密程度;涉密信息系统;保密设施;检查合格C)《国家保密法》;涉密程度;涉密系统;保密设施;检查合格D)《网络保密法》;涉密程度;涉密系统;保密设施;检查合格答案:A解析:《保密法》第二十三条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护.涉密信息系统应当按照国家保密标准配备保密设施、设备.保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步).涉密信息系统应当按照规定,经检查合格后,方可投入使用.2.[单选题]在 P DR 模型的基础上,发展成为了(Poli Cy-Prote Ction- Dete Ction-Response,PP DR)模型,即策略-保护- 检测-响应。
模型的核心是:所有的防护、检测、响应都是依据安全策略实施的。
如图所示。
在 PP DR 模型中,策略指的是信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。
策略体系的建立包括安全策略的制定、()等;防护指的是通过部署和采用安全技术来提高网络的防护 能力,如()、防火墙、入侵检测、加密技术、身份认证等技术;检测指的是利用信息安全检测工具,监视、分析、审计网络活动,了解判断网络系统的()。
检测这一环节,使安全防护从被动防护演进到主动防御,5是整个模型动态性的体现,主要方法包括;实时监控、检测、报警等;响应指的是在检测到安全漏洞和安全事件,通过及时的响应措施将网络系统的()调整到风险最低的状态,包括恢复系统功能和数据,启动 备份系统等。
网络安全管理员模拟习题及参考答案
网络安全管理员模拟习题及参考答案一、单选题(共IOO题,每题1分,共100分)1、管理员通过Te1net成功登录路由器后,发现无法配置路由器的接口IP 地址。
那么可能的原因有()。
A、Te1net用户的认证方式配置错误B、Te1net用户的级别配置错误C、SNMP参数配置错误D、管理员使用的Te1net终端软件禁止相应操作正确答案:B2、针对恶意代码攻击,目前能起到最好的防护效果的设备是()。
A、防火墙B、抗DDOSC、WEB应用防火墙D、漏洞扫描器正确答案:C3、根据《信息系统安全等级保护基本要求》中应用安全要求,下列不属于信息系统资源控制防护措施的是OA、对单个帐户的多重并发会话进行限制B、对账户身份进行鉴别C、对空闲会话时间进行限制,并结束空闲会话连接D、对系统的最大并发会话连接数进行限制正确答案:B4、网络管理员在三层交换机上创建了V1AN1O,并在该V1AN的虚拟接口下配置了IP地址。
当使用命令α<I>disp1ayipinterfacebrief<∕I>w查看接口状态时,发现V1ANIF10接口处于down状态,则应该通过怎样的操作来使得V1AN1F10接口恢复正常()?A、在V1AN1F10接口下使用命令"undoshutdown wB、将一个状态必须为UP的物理接口划进V1AN1OC、将任意物理接口划进V1AN10D、将一个状态必须为UP且必须为Trurk类型的接口划进V1AN1O正确答案:B5、下面属于国家信息安全漏洞库的漏洞编号的是?OA、CNNVD-202302-1168B、CNVD-202302-1168C、CVE-2023-28500D、CNNVE-202302-1168正确答案:A6、基础电信企业、大型互联网企业、域名机构应O组织开展一次本单位网络安全应急演练,应急演练情况要向电信主管部门报告。
A、两年B、非必要C、每年D、半年正确答案:C7、针对TeInet、FtP的安全隐患,一般采用。
信息安全等级保护制度的主要内容和要求(PPT 134页)
英国信息安全保障的重点对象
• 英国国计民生不可或缺的许多关键服务依赖信息技术, 有10个部分被认为是在提供“基本服务”。
英国信息安全保障基本做法
其中银行和金融被全部24个接受CIIP调查的国家列 为国家关键基础设施。
分析总结——信息安全组织机构
少数国家在中央政府一级设立机构专门负责处理网络 信息安全问题,如美国;大多数国家信息安全管理职 能由不同政府部门的多个机构和单位共同承担;
机构单位的设立,以及机构在信息安全管理中的影响 力,受到民防传统、资源配置、历史经验以及决策者 对信息安全威胁总体认识程度的影响;
美国信息安全保障基本做法
• 1993年克林顿政府提出兴建“国家信息基础设施”(信息 高速公路),1998年首次提出信息安全的概念和意义; • 1998年5月国家安全局制定了《信息保障技术框架》; • 2000年公布首个《信息系统保护国家计划》; • 2002年下半年,以《国土安全战略》为引导,布什政府逐 步出台一系列国家安全政策,将信息保障战略纳入总体国家 战略之中:
•2001年10月16日, 布什政府意识到 了911之后信息安 全的严峻性,发 布了第13231号 行政令《信息时 代的关键基础设 施保护》,宣布 成立“总统关键 基础设施保护委 员会”,简称 PCIPB,代表政 府全面负责国家 的网络空间安全 工作
美国CNCI:网络“曼哈顿计划”
• 2008年1月2日发布的国家安全总统令54/国土安全总统令 23,建立了国家网络安全综合计划(CNCI)。 • 三道防线
PDD63
•98
美国大力推进网络安全态势感知能力
万方数据
50信息安全与通信保密・201
4.06
他山之石・Reference
Materials
分析当前网络和系统状态,成为协调指挥美国 网络安全各项行动的“中枢”。国土安全部代 表联邦政府制定并发布的《国家网络应急响应 计划》(NCIRP)是NCCIC协调网络安全的机制 框架和行动纲领。通过这一系列举措,形成了 国家层面上的协作机制,成为美国网络安全态 势感知的核心优势。 与此同时,美国在整个联邦政府范围内大 力推进“爱因斯坦”(Einstein)安全项目的实施, 分阶段地部署了“爱因斯坦一1”、“爱因斯 坦一2”、“爱因斯坦一3”系统。到2010年, “爱因斯坦”系统已被部署到19家美国主要 政府机构中的15个,其中包括美国国土安全 部、司法部、交通部、国务院、财政部和教育
算中,用于IT的经费达到820亿美元,秘密IT项目和 网络武器的开发还未包括在内。其中,五角大楼所占比 重最大,占到全部IT支出的48%。在技术发展上,美 国国家安全局(NSA)、国防高级研究局(DARPA)、国防 信息系统局(DISA)等在网络安全态势感知、网络防御和 攻击手段研发等方面取得了巨大进展,让其他国家难以 望其项背。除“棱镜”事件爆出的参与网络监控的所谓“8 大金刚”或“9大巨头”外,传统的国防承包商洛克希德・马 丁、波音、雷神、SAIC等也是美网络攻防技术研发的主力。 它们每年都能接到来自政府的大单合同,全面参与了“国 家网络靶场”、网络武器开发的各种项目。
48信息安全与通信保密・2014.06
网络空间安全对抗成为国家级对抗的一种重要手段
当前,信息安全已经从“信息获取”、“信息共享”进入“信 息控制”的新阶段,网络空间成为“信息控制”的全域空间, 同时已发展成为生存新空间和作战新领域,网络空间安全之 于国家安全、国防安全的重要性凸显。各国对网络空间的争 夺Et趋激烈,网络空间安全对抗呈现新态势。 2013年“棱镜门”事件的爆发,再次清晰地表明:网络 空间的安全对抗正日益成为一种国家级对抗的重要手段。斯 诺登爆出的以美国为首实施的一系列秘密网络监控/监听项 目,无不是举美国国家之力精心策划的结果。其攻击手法和 能力包括大数据分析、零El漏洞利用、在骨干网上实施中间 人攻击、利用特工植入后门、对海底光缆实施窃听,等等。 这些手段和能力,绝非一般黑客和组织所能及,而项目规模 也异常庞大,牵涉面极广,以多个国家乃至政府首脑为攻击 对象。这些特征反映了国家层面的网络空间安全对抗已经变
国家网络安全计划
国家网络安全计划近年来,随着互联网的迅猛发展,网络安全问题也日益突出,成为国家安全与发展的重要组成部分。
为了加强网络安全,保护国家网络安全,我国政府提出了国家网络安全计划。
国家网络安全计划旨在建设网络强国,保障国家的信息安全和网络空间的安全稳定。
该计划将重点加强网络安全法律法规的制定与完善,建立健全网络安全管理体系,加强网络安全技术研究与应用推广,提升网络安全保障能力。
首先,在法律法规方面,国家网络安全计划将加强网络安全法律法规的制定与完善,健全网络安全法律体系。
制定关于网络安全的基本法律,明确网络安全的基本原则和政府的责任,规范网络安全行为。
此外,还将制定网络安全风险防控管理办法,建立健全网络安全评估与监测机制,及时发现和处理网络安全隐患。
其次,在网络安全管理体系方面,国家网络安全计划将加强对网络安全的管理和监督。
建立健全网络安全管理机构,加强对网络运行商和互联网企业的监管,减少网络安全风险。
加强协同配合,建立网络危机应对机制,提升国家的网络安全防御能力。
再次,在网络安全技术研究与应用推广方面,国家网络安全计划将加大网络安全技术研究与应用推广的力度。
加强对网络安全的关键技术研发,提升网络安全防护系统的能力。
同时,鼓励互联网企业开展网络安全技术研究和人才培养,提高网络安全保障级别。
最后,在网络安全保障能力方面,国家网络安全计划将提升国家的网络安全保障能力。
加强网络安全人才培养,建立健全网络安全人才培养体系。
支持企业和学术界在网络安全领域的技术研究和人才培养,培养一批具有国际竞争力的网络安全专业人才,为国家的网络安全保障提供有力支持。
综上所述,国家网络安全计划旨在建设网络强国,保障国家的信息安全和网络空间的安全稳定。
通过加强网络安全法律法规的制定与完善,建立健全网络安全管理体系,加强网络安全技术研究与应用推广,提升网络安全保障能力,国家网络安全计划将有效提升我国的网络安全水平,保护国家的网络安全。
尔雅《移动互联网时代的信息安全与防护》答案.
《移动互联网时代的信息安全与防护》答案1 在公钥基础设施环境中,通信的各方首先需要()。
A、检查对方安全B、验证自身资质C、确认用户口令D、申请数字证书正确答案: D2 机箱电磁锁安装在()。
A、机箱边上B、桌腿C、电脑耳机插孔D、机箱内部正确答案: D3 信息流动的过程中,使在用的信息系统损坏或不能使用,这种网络空间的安全威胁被称为()。
A、中断威胁B、截获威胁C、篡改威胁D、伪造威胁正确答案: A4 震网病毒攻击针对的对象系统是()。
A、WindowsB、AndroidC、iosD、SIMATIC WinCC正确答案: D5 美国“棱镜计划”的曝光者是谁?()A、斯诺德B、斯诺登C、奥巴马D、阿桑奇正确答案: B6 信息系统中的脆弱点不包括()。
A、物理安全B、操作系统C、网络谣言D、TCP/IP网络协议正确答案: C7 计算机软件可以分类为()。
A、操作系统软件B、应用平台软件C、应用业务软件D、以上都对正确答案: D8 现代密码技术保护数据安全的方式是()。
A、把可读信息转变成不可理解的乱码B、能够检测到信息被修改C、使人们遵守数字领域的规则D、以上都是正确答案: D9 影响移动存储设备安全的因素不包括()。
A、设备质量低B、感染和传播病毒等恶意代码C、设备易失D、电源故障正确答案: D10 下列关于网络政治动员的说法中,不正确的是()A、动员主体是为了实现特点的目的而发起的B、动员主体会有意传播一些针对性的信息来诱发意见倾向C、动员主体会号召、鼓动网民在现实社会进行一些政治行动D、这项活动有弊无利正确答案: D11 日常所讲的用户密码,严格地讲应该被称为()。
A、用户信息B、用户口令C、用户密令D、用户设定正确答案: B12 网络的人肉搜索、隐私侵害属于()问题。
A、应用软件安全B、设备与环境的安全C、信息内容安全D、计算机网络系统安全正确答案: C13 关于常用文档安全防护的办法,下列选项错误的是()A、对文档加密B、隐藏文档C、进行口令认证、修改权限保护D、粉碎文档正确答案: D14 造成计算机系统不安全的因素包括()。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解密《国家网络安全综合计划》(CNCI)内容一份完整的关于CNCI的说明奥巴马政府2010年3月2日对前总统布什制定的一份美国网络防御战略,即《国家网络安全综合计划》(CNCI)的部分内容进行解密。
白宫互联网安全协调官霍华德‧斯密特对该计划的一些内容进行了具体描述,他表示,这一解密是兑现奥巴马总统有关执政透明的承诺。
CNCI包括了许多互助性的提议,以实现下面3个重要目标,进而保护美国的网络空间安全:1.通过在联邦政府(最终将在州、地方和部族政府以及私营领域合作者)内部创建和增强对网络漏洞、威胁和事件的共享态势感知能力和对减少当前漏洞及防止入侵的快速反应能力,进而建立一个防御线以抵御当前面临的威胁;2.通过增强美国的反情报能力和增进关键信息技术供应链的安全,进而实现应对全方位威胁的防御能力;3.通过扩大网络教育、协调和重新定位整个联邦政府内的研发工作,以及致力于明确和制定相关战略,以阻止敌对和恶意的网络空间行动等措施,进而巩固未来的网络空间环境安全。
该计划共列出了12项提议,具体内容如下:1.将现有的美国联邦政府各部门的网络合并成单一的、接入“可信任互联网连接”的政府网络。
由美国国土安全部、美国行政管理和预算局牵头的“可信互联网连接计划”(TIC)将合并美国联邦政府部门网站的外部接入点,包括美国联邦政府网络与外部互联网的连接。
这一合并将为美国联邦政府的网络提供一个共同的安全解决方案,包括推动减少外部接入口、建立安全基线的能力、为遵守安全规则的相关机构提供验证等。
2.在联邦政府组织中部署一个传感器入侵监测系统,称为“爱因斯坦2计划”。
当未经授权的用户试图进入联邦政府部门的网络时,入侵监测系统将会发出预警,这将成为保护美国政府网络的一个重要组成部分。
为此,美国国土安全部正在部署建设基于签名的传感器入侵监测繫统,这种传感器通过对进入联邦政府的网络流量进行监测,能够发现未经授权进入美国联邦政府网络的潜在恶意活动。
在对技术进行投资的同时,该计划还提出加大对网络人员专业基础培训的投入,以满足完成国土安全部网络安全扩展任务的需要。
“爱因斯坦2计划”能够向美国计算机应急响应组织(US-CERT)实时报告联邦政府网络流量中的恶意行为或可能的恶意行动,并可提供源数据的相关性和可辨性,这将极大地提高US-CERT分析师对网络环境的认知能力,增强其处置联邦政府网络安全的弱点和漏洞的能力,并使US-CERT能够更加有效地与美国各级政府的网络安全防御部门、私营部门的安全专家以及美国公众分享相关的安全信息。
3.寻求在联邦政府组织中部署入侵防范系统,称为“爱因斯坦3计划”。
这一提议旨在保护美国民用部门和联邦行政机构的网络安全。
它将吸收商业技术和专门的政府技术,对进出联邦行政机构网络的所有数据包进行实时监测,并判断其是否具有威胁性。
“爱因斯坦3计划”的目标是确认恶意网络流量并鋻别其特性,以增强网络安全分析能力、安全态势感知及安全响应能力。
“爱因斯坦3计划”将协助国土安全部和US-CERT降低联邦行政部门网络及系统的脆弱性。
美国政府将对这一计划进行大量和长期的投资,以增强发现外国网络攻击的国家情报能力。
国土安全部目前正在对“爱因斯坦3计划”进行测试工作,以检验其是否具备该计划所描述的基于美国国家安全局开发的技术的能力。
政府公民自由和隐私官员也正与国土安全部及US-CERT密切合作,以在“爱因斯坦3计划”制订和应用部署中建立适当和必需的隐私保护措施。
4.协调并指导相关的研究开发活动。
任何个体或组织都没有意识到所有与网络相关的研发工作都得到了政府的资助。
本提议正制定策略和建立架构以协调所有美国政府资助或进行的网络研发工作,包括涉密的和非涉密的,并对所需的研发工作进行重新定向。
这个提议将有助于消除联邦政府对网络安全研究的重复投资,并有助于确定研究差距、突出研发重点,并确保在制订战略投资计划时使美国纳税人的钱能够落到实处。
5.连接现有的网络运行中心,以增强对网络安全态势的认知能力。
由于目前针对联邦系统的恶意行动日益增多,因而保证政府信息安全办公室与战略运行中心能够实现信息共享,只有这样才能更好地了解针对政府系统的整体威胁状况,并在保护个人隐私及其他受保护信息法律法规允许的情况下,最大限度地利用每个部门特有的能力以形成最佳的网络防御。
该提议将为负责开展美国网络活动的6个中心提供必要的手段,使他们彼此之间能够实现对网络安全态势认知的共享及协作。
在这个提议中,隶属于美国国土安全部的国家网络安全中心(NCSC)将在确保美国政府网络和繫统安全中发挥主导作用。
NCSC将根据这一提议,对上述6个中心进行协调和整合,以提供跨领域安全情况认知,并对美国国家网络和系统进行分析与报告,促进机构内部的合作和协调。
6.制订和推行泛政府各部门的网络反情报(CI)计划,以便协调联邦各政府部门进行监测,阻止和减少外国网络间谍机构对美国政府及私人领域进行网络情报威胁。
为达到上述目的,该计划将建立和扩展网络反情报教育及认知项目,并增加工作人员,从而将CI整合进所有的网络运作和分析中,增强雇员对网络反情报威胁的意识,并增强各级政府部门的反情报协作。
7.增强涉密网络的安全性。
涉密网络存储了联邦政府最敏感的信息,并能够确保至关重要的战争、外交、反恐、立法、情报及国土安全行动的实施。
对这些网络的入侵和破坏将给国家安全带来难以估量的严重后果。
因此必须对涉密网络及其存储的数据进行审慎评估,以确保涉密网络及其数据的安全性。
8.加强网络教育及培训。
尽管美国政府在新科技上投入数以亿计的资金以确保美国政府在网络空间的安全,但只有拥有正确的知识、技巧及能力的人来运用这些科技才是成功的关键。
然而,美国联邦政府、私营行业都缺乏足够的网络安全专家来落实《国家网络安全综合计划》,而且也未充分形成联邦网络安全职业制度。
现有的网络安全培训和人员发展计划在总体上是良好的,但关注范围过于局限且缺乏行动的统一性。
为了继续保持美国的科技优势和未来的网络安全,美国必须培养精通科技和网络的人才,并为未来的员工提供有效的人才输送通道。
这就需要制定类似于20世纪50年代升级科学和数学教育的国家战略,以迎接这一挑战。
9.明确和制定持久的“跨越式前进”技术、战略和项目。
CNCI的目标之一就是开发新技术,从而在现有系统的基础上不断加强网络安全的数量级并能在未来五至十年内部署。
这个提议寻求制定战略和计划,以强化政府在研发方面对关键网络安全问题追求高风险、高回报解决方案的职责。
联邦政府已经开始为研究机构勾勒挑战框架,以寻求外部智囊的帮助来解决这些难题。
在与民营企业打交道的时候,美国政府与其进行交流并确认双方的共同需求,以推动双方在重点研究领域均进行投资。
10.制定和发展持久的震慑战略与计划。
美国的高级决策者必须考虑可供政府参考的多种长期战略选择,以确保网络空间不对美国的安全造成影响。
当下,美国政府在网络安全问题上一直采取传统的方法,但这些方法并没能达到所需的安全保障级别。
本提议目的在于通过改善预警能力、明晰私营企业和国际伙伴所扮演的角色、强化国有和非国有部门的响应能力等来建立网络防卫战略,以阻止对网络空间的干扰和攻击。
11.制定多管齐下的全球供应链风险管理模式。
商业信息和通信科技市场的全球化,给企图损害美国利益的国家、个人提供了更多的机会,他们可以在未经授权的情况下,通过渗透供应链对数据进行获取和更改,或对通信进行干扰。
应对这种来自国内和全球化供应链中产生的风险,必须在产品、系统和服务的整个生命周期中采取一种战略性和综合性的方式。
为应对这种风险,美国需提高对威胁、脆弱性以及与采购决定相关的后果的认知;开发和应用各种工具及资源,从技术上和运作上减少在产品整个生命周期(从设计到退出市场)中产生的风险;制定新的采购政策和运作方式以反映市场全球化的復杂性;与工业界合作发展和应用供应链风险管理标准及最佳操作方式。
这一提议将促进联邦政府的技能、政策能力和处理流程的优化,为各部门和机构提供管理及减少供应链风险的更好的办法,从而减少联邦政府部门和机构所面临的系统及网络风险。
12.确定联邦政府在将网络安全融入关键基础设施工作中的职责。
美国政府与控制关键基础设施的私营企业互有需求,不可分割。
本提议是建立在联邦政府与关键基础设施和重要资源(CIKR)的公私营领域所有者及运营商之间现存的或正在发展中的伙伴关系之上的。
国土安全部与其私营企业合作方已制定了一个具有里程碑意义的积极的共享行动计划,包括短期和长期建议,特别是吸收和利用以前取得的成就及现实经验,从而增强关键基础设施和重要资源部门的安全弹性及运作能力。
一旦政府部门、关键基础设施和重要资源遭受网络威胁或发生网络安全事故,政府部门和私营企业将进行信息共享。
美国国家网络安全综合计划:法律授权和政策考虑2009年3月,美国国会研究服务局发布了《国家网络安全综合计划:法律授权和政策考虑》报告。
2月奥巴马总统发起了一个为期60天的机构间网络安全的审查,以制定一个战略框架,确保国家网络安全综合计划能够恰当地整合资源,并协调与国会和私营部门之间的关系。
该报告是一份关于美国信息化战争与国防的法律和政策问题的报告,根据联邦政府的三个分支机构分别综述了相关问题。
报告中讨论了三个政府部门的不同角色和责任,建议国会采取行动,明确和加强政府采取行动的法律基础。
1、国会行动建议(1)确定最恰当和有效的组织实体,承担国家网络安全的预防、应对和修复责任;(2)要求负责所有国家网络安全综合计划有关活动的美国政府高级官员站在参议院可证实的立场上,促进这一计划进展状况和遇到的困难等信息交流;(3)颁布法令认识和界定国家网络安全综合计划机密和非机密的内容,还需要更大程度的透明度和包容性;(4)需要新政府制定机密和非机密的国家网络安全战略,并每年修正。
和需要情报界完成“国家情报评估”,为国会、电信行业和与美国民众提供国家网络安全综合计划、国家当前面临的网络威胁、正在实施的项目等相关信息,以便为不断变化的技术风险做好准备;(5)国家网络安全综合计划的所有方面都需要考虑界定隐私和公民自由的含义;(6)立法适用授权法案,建立国家网络安全综合计划相关项目的一个纲领性基础,建议设立基金资助当年和未来的行动;(7)制定和编纂有关法律,确定对美国网络的攻击、进攻与防守的网络行动以及国会先于美国进行攻击或反击网络行为的国家安全。
2、结论由于网络威胁的新颖性与分散性,政策需要与行政主导的对网络安全的响应相一致,为了响应执行行动的要求,出现了是否有足够的理由支持当局对网上威胁进行反应的立法问题。
虽然现有的法规可能会支持一些行政措施,但目前的法律框架不能解决所有的行动。
因此,宪法第二条规定的固有的权力范围与其余两个权利机构在这个新兴的国家安全领域中的作用成为相关的因素。