Page 49 - 清流雙月刊 NO.34
P. 49
MJIB CI 學堂
總之,政府的主要政策是指對網路事 人員保持對其軟體更高的可見度和公開安 七、 強化聯邦政府網路安全弱點及事件的 八、 強化聯邦政府的調查和復原能力
件(Incident)的預防、檢測、評估和復原。 全數據。它建立了一個並行(Concurrent) 檢測
本項要求為聯邦部門和機構制定了網
政府必須以身作則,所有政府資訊系統都 的公私部門合作營運計畫(流程),研發
本項要求藉由啟用政府網路上的端點 路安全事件日誌要求。日誌記錄的精準與
應滿足或超過本指令規定和發布的網路安 新的創新方法來保護軟體開發,並利用聯
檢測和應變系統以及改進聯邦政府內部的 否將影響組織對於檢測入侵以及事後確定
全標準和要求。 邦採購的力量來推動。例如創建「能源之
資訊共享,將可提高檢測聯邦網路上惡意 事件程度的能力。穩健且一致的日誌記錄
1
星」 類型的標籤,以便政府以及廣大群眾
二、 消除公私部門之間共享威脅情資的障礙 活動的能力。組織對於基礎網路安全工具 將可解決大部分問題。
可以快速確定軟體開發是否安全。
及作業實務的建置,若採取懈怠與不一致
確保 IT 服務供應商能夠與政府共享威
五、 建立網路安全審查委員會 的態度,將給予敵人可趁之機。政府應在 結論
脅情資,並要求供應商分享某些不願公開
網路安全檢測方面作為領導者,進行完整
或系統安全漏洞的情資。由於合約的規定, 因應本項要求,將成立由政府和私營 經過 25 年的研析及 8 屆政府的努力,
的政府網路端點檢測和響應(EDR)部署,
IT 供應商常常猶豫或非自願共享此等訊息; 部門共同主持的網路安全審查委員會,可 美國政府對關鍵基礎設施防護的戰略思維
而精準且完整的政府內部情資共享將扮演
也有一種情況是供應商可能只是不願分享 能會在發生重大網路事件後召開會議,分 已與資訊科技的發展同步精進與成熟,「他
重要的角色。
有關自身安全漏洞的情資。因此,政府必 析發生的事件並提出具體建議以改善網路 山之石,可以攻錯」,美國所走過的路,
須消除任何合約障礙並要求供應商分享可 安全。一直以來,組織經常重複過去的錯 應可供我們借鏡。
能造成政府網路資訊外洩的情資。 誤,並無從重大網路事件中吸取教訓。因
此,當發生問題時,政府和私營部門需要
三、 聯邦政府精確落實更現代化的網路安
面對問題並進行必要的改進。
全標準
六、 建立網路弱點事件之緊急應變的標準
過時的安全模型和未加密的數據將導
手冊
致公私部門的系統受到損害。政府必須帶
頭並增加對安全最佳實務的採用,諸如採 組織不能等到他們受到威脅才思考如
用零信任安全模型、加速移動到安全雲服 何因應攻擊。由最近的事件顯示,政府內
務以及持續建置多因子身分驗證和加密等 部緊急應變計畫的成熟度差異很大。該手
基礎安全工具。 冊將確保所有聯邦機構達到一定的門檻,
並準備採取統一措施來識別和減輕威脅,
四、 強化軟體供應鏈安全性
此外亦可為私營部門提供標準作業程序
政府須建立一套軟體開發之安全標 (SOP)。
準,以提高軟體的安全性,包括要求開發
參考資料 1. 黃俊泰。美國關鍵基礎設施威脅資訊分享框架簡介。
2. 李中生。「國家關鍵基礎設施防護」的思維工作面向。
3. 陳佩修。九一一事件後美國國土安全任務與反恐聯盟建構:兼論對東南亞安全情勢的影響。
1
提高能源效率的計畫。該計畫使用不同的標準化方法提供有關產品和設備能耗的訊息。 4. 莫大華。增進關鍵基礎建設防護機制,強化國土安全。
46 清流雙月刊 No.34 JUL. 2021 47
