今日頭條
官方微信
官方抖音
資訊頻道目錄
1 美網(wǎng)絡安全和基礎設施安全局發(fā)布《保護2020大選安全戰(zhàn)略規(guī)劃》
2 特朗普政府簽署《2020年5G安全保障法》保障未來5G安全
3 美國正式批準《安全可信通信網(wǎng)絡法案》
4 美國多部門發(fā)布《隱私、學生教育和健康記錄聯(lián)合指南》
5 美空軍使用數(shù)字孿生技術保障GPS衛(wèi)星網(wǎng)絡安全
6 美政府問責局發(fā)布報告分析5G的機遇與挑戰(zhàn)
7 美智庫建議美軍繼續(xù)提高網(wǎng)絡戰(zhàn)能力以應對大國競爭
8 美國數(shù)據(jù)保護機構關于COVID-19的個人數(shù)據(jù)保護意見簡析
美網(wǎng)絡安全和基礎設施安全局發(fā)布
《保護2020大選安全戰(zhàn)略規(guī)劃》
2019年2月14日,美國網(wǎng)絡安全和基礎設施安全局(CISA)發(fā)布了《保護2020大選安全戰(zhàn)略規(guī)劃》,旨在保證美國大選的安全性,為參加大選的團體和美國公眾提供必要的信息和工具,充分評估大選過程中的風險,保護大選秩序、監(jiān)測風險,以及開展遭遇風險后的恢復工作。
CISA在《規(guī)劃》中稱其將主要承擔協(xié)調(diào)者的角色,其協(xié)調(diào)活動分為以下四條工作路線,包括選舉基礎設施,競選和政治基礎設施,美國選民,以及警告和響應。
為確保數(shù)字和實體選舉基礎設施的安全,如投票機、選舉軟件系統(tǒng)、投票站等,CISA將為各州、各地方、供應商以及其他一線選舉部門提供支持,鼓勵這些部門借助外界幫助和聯(lián)邦資源采取更好的安全措施。
《規(guī)劃》還提到,CISA在與各州和當?shù)卣暮献髦校呀?jīng)將事件響應和報告定義為能力差距。為縮小能力差距,CISA在選舉站、選舉辦公室、倉儲設施等地張貼了一系列緊急事件響應指導海報,為其提供逐步指導,幫助當?shù)毓賳T在面對天氣、暴力事件、火災、網(wǎng)絡安全事件等變量導致的選舉中斷時聯(lián)系到相關人士。
此外,CISA還向美國各地委派了實體和網(wǎng)絡安全顧問,充當聯(lián)邦政府和選舉利益相關者之間的主要聯(lián)系點,并根據(jù)要求提供漏洞評估、滲透測試、網(wǎng)絡釣魚測試和事件響應服務。國會還提出立法要求CISA為全美五十個州指定網(wǎng)絡安全協(xié)調(diào)員。
最后,為保證威脅情報從聯(lián)邦政府到各地之間的傳遞暢通無阻,CISA還將為個人競選提供服務、測試和培訓,為競選活動提供最新的威脅活動聯(lián)合簡報,并與民主黨、共和黨的政黨組織會面。
特朗普政府簽署《2020年5G安全保障法》
保障未來5G安全
美國總統(tǒng)特朗普3月23日簽署了《2020年5G安全保障法》(The Secure 5G and Beyond Act of 2020),要求美國行政部門制定5G網(wǎng)絡的安全策略。
一、戰(zhàn)略目標
(1)確保美國境內(nèi)5G和未來幾代無線通信系統(tǒng)和基礎設施的安全;
(2)在符合美國安全和戰(zhàn)略利益的情況下,協(xié)助美國的盟國、戰(zhàn)略伙伴和其他國家,最大限度地保障其5G和未來幾代無線通信系統(tǒng)和基礎設施的安全;
(3)保護美國公司的競爭力,美國消費者的隱私,無線通信系統(tǒng)和基礎設施相關的標準制定過程的完整性和公正性。
二、戰(zhàn)略應當包括的內(nèi)容
(1)為促進國內(nèi)5G和未來幾代無線通信系統(tǒng)的推出而所作努力的說明;
(2)5G和未來幾代無線通信系統(tǒng)的風險評估和核心安全原則的識別工作;
(3)描述在全球范圍內(nèi)開發(fā)和部署5G和未來幾代無線通信設施期間,確保美國國家安全的努力。
(4)描述為促進5G和未來幾代無線通信系統(tǒng)的發(fā)展和部署的努力,包括通過強有力的國際參與、領導制定國際標準、提升無線通信市場的競爭力。
三、行動計劃
(1)描述與部署5G和未來幾代無線通信系統(tǒng)和基礎設施相關的美國國家和經(jīng)濟安全利益;
(2)識別和評估基礎設施、設備、系統(tǒng)、軟件和虛擬網(wǎng)絡的潛在安全威脅和漏洞,以支持5G和未來幾代無線通信系統(tǒng)、基礎設施和新技術。評估應盡可能包括對5G和未來幾代無線通信系統(tǒng)和基礎設施所面臨的全部威脅和安全挑戰(zhàn),以及公共和私營部門可以采取的緩解這些威脅的方法;
(3)評估美國國內(nèi)供應商、盟國和美國的戰(zhàn)略合作伙伴供應5G和下一代無線通信系統(tǒng)和基礎設施的能力;
(4)識別美國國內(nèi)、盟國和戰(zhàn)略伙伴存在的安全漏洞,為5G和未來幾代無線通信系統(tǒng)和基礎設施提供安全可靠的通信設備供應商;
(5)出臺激勵措施和相關政策,用以幫助縮小或消除美國國內(nèi)通信設備供應商的的安全差距,包括關鍵技術的研發(fā)與人才培養(yǎng);
(6)通過激勵措施和其他配套機制來刺激來自盟國、戰(zhàn)略合作伙伴和其他國家的設備供應商,以確保私營企業(yè)在美國擁有足夠安全、有效、可靠的5G通信設備;
(7)與盟國、戰(zhàn)略伙伴和其他國家進行外交溝通,以共享5G和未來幾代無線通信系統(tǒng)和基礎設施設備有關的安全風險信息,并就降低這些風險進行合作;
(8)的計劃與私營部門合作通信基礎設施和系統(tǒng)設備開發(fā)人員和關鍵基礎設施所有者和經(jīng)營者一個關鍵依賴通訊基礎設施共享信息,發(fā)現(xiàn)在5日和下一代無線通信系統(tǒng)和基礎設施設備標準安全平臺;與通信設施的私營部門、系統(tǒng)設備開發(fā)商、關鍵基礎設施的所有者與研發(fā)者進行深入合作,共享5G和未來幾代無線通信系統(tǒng)和基礎設施的研究發(fā)現(xiàn)與成果;
(9)與通信設施的私營部門、系統(tǒng)設備開發(fā)商進行合作,以鼓勵美國的公共和私營部門實體盡可能多地參與無線通信系統(tǒng)和基礎設施的標準制定工作;
(10)與盟國、戰(zhàn)略伙伴和其他國家進行外交交流,以共享5G和未來幾代無線通信系統(tǒng)和基礎設施的研究發(fā)現(xiàn)與成果,以最大程度地促進可操作性、競爭力、開放性和安全平臺的建設;
(11)與盟國、戰(zhàn)略合作伙伴和其他國家進行溝通交流、共享信息,最大程度地促進透明度、公開、公正、完整性和中立性;
(12)與盟國、戰(zhàn)略伙伴和其他國家進行聯(lián)合測試,以確保5G和未來幾代無線通信系統(tǒng)和基礎設施的可靠;
(13)由聯(lián)邦政府牽頭研究和規(guī)劃,與值得信任的供應商、盟友、戰(zhàn)略合作伙伴和其他國家進行合作,以維持美國在5G和未來無線通信市場的領導地位,包括識別安全漏洞的能力;
(14)識別并解決5G和未來無線通信系統(tǒng)的安全風險;
(15)說明行政部門協(xié)調(diào)戰(zhàn)略執(zhí)行的作用和職責;
(16)確定執(zhí)行戰(zhàn)略所需的關鍵外交、發(fā)展、情報、軍事和經(jīng)濟資源,包括具體的預算要求;
(17)必要時,說明為執(zhí)行戰(zhàn)略而采取的立法或行政行動。
美國正式批準《安全可信通信網(wǎng)絡法案》
美國特朗普總統(tǒng)近期簽署、現(xiàn)已批準的《安全可信通信網(wǎng)絡法案》(Secure and Trusted Communications Networks Act)禁止聯(lián)邦資金用于采購這些公司生產(chǎn)的設備。
該法案還制定了一項10億美元的補償計劃,名為“安全可信通信網(wǎng)絡補償計劃”,以幫助規(guī)模較小的提供商抵補丟棄并更換華為和中興的被禁止設備所產(chǎn)生的費用。
美國聯(lián)邦通信委員會(FCC)一直在收集來自使用華為和中興的網(wǎng)絡設備的美國運營商的數(shù)據(jù),幫助向小規(guī)模農(nóng)村運營商補償這些費用。
FCC主席Ajit Pai說:“這項新法案批準了FCC最近通過的倡議,以幫助小型農(nóng)村電信公司擺脫對構成國家安全威脅的制造商的依賴。”
“現(xiàn)在,我希望國會在這個成果的基礎上有進一步的動作,迅速下?lián)鼙匾馁Y金,補償運營商更換被發(fā)現(xiàn)對國家安全構成威脅的任何網(wǎng)絡設備或服務所產(chǎn)生的費用。”
華為目前正準備在法庭上反抗USF禁令,該公司已在12月對FCC提起了訴訟,指控FCC稱該公司構成國家安全威脅,涉嫌繞過了正當程序。
美國多部門發(fā)布
《隱私、學生教育和健康記錄聯(lián)合指南》
美國教育部(The U.S. Department of Education)和美國衛(wèi)生與公共服務部民權辦公室(The Office for Civil Rights at the U.S. Department of Health and Human Services)于2019年12月19日發(fā)布了最新的聯(lián)合指南,內(nèi)容涉及《家庭教育權利和隱私權法案》(FERPA)和《1996年健康保險攜帶與責任法案》(HIPAA)隱私規(guī)則,用于保存學生的記錄。新的說明和示例解決:
1.在什么情況下,受保護的健康資料(PHI)或個人身份資料(PII)可以與成年學生的家長共享?
2.根據(jù)HIPAA,如果成年學生的家庭成員擔心學生的心理健康,而學生又不同意披露他們的PHI值,他們有什么選擇?
3.HIPAA是否允許承保范圍的醫(yī)療服務提供者向未成年人的父母披露有關患有精神疾病或藥物濫用的未成年人的PHI?
4.當一個學生對自己或他人構成危險時,PHI或PII何時可以共享?
5.根據(jù)FERPA,教育機構是否可以在未經(jīng)事先書面同意的情況下,將學生的教育記錄(包括健康記錄)中的PII披露給教育機構或機構的執(zhí)法人員?
6.FERPA是否允許教育機構在未經(jīng)事先書面同意的情況下,向國家即時犯罪背景調(diào)查系統(tǒng)(NICS)披露學生教育記錄中的PII?
美空軍使用數(shù)字孿生技術
保障GPS衛(wèi)星網(wǎng)絡安全
2020年3月18日,據(jù)美國《空軍雜志》報道,美國空軍正在使用GPS IIF衛(wèi)星的數(shù)字副本來檢測任何網(wǎng)絡安全問題。
博茲·艾倫·漢密爾頓(Booz Allen Hamilton BAH)公司創(chuàng)建了洛克希德·馬丁公司(Lockheed Martin)建造的Block IIR GPS衛(wèi)星的“數(shù)字孿生”,然后試圖入侵該系統(tǒng)。
BAH副總裁凱文·科金斯(Kevin Coggins)對《空軍雜志》表示:“GPS衛(wèi)星本身在軌道上。” “因此,我們建立了這種數(shù)字模型……然后我們繼續(xù)尋找漏洞。我們進行了滲透測試,看到了我們可以發(fā)現(xiàn)的漏洞。”
該項目是為了響應國會的一項命令而開展的,目前就是測試GPS的網(wǎng)絡漏洞。測試范圍包括衛(wèi)星、地面控制站以及它們之間的射頻鏈路。隨后,BAH對GPS衛(wèi)星的通信鏈路進行了“中間人”攻擊,以識別衛(wèi)星與其地面控制站之間的潛在弱點。
據(jù)稱,美國1997年至2004年之間發(fā)射的12批GPS IIR衛(wèi)星的使用壽命為7.5年,但要退役還需要數(shù)年時間。
美政府問責局發(fā)布報告分析5G的機遇與挑戰(zhàn)
2020年3月16日,美政府問責局(GAO)發(fā)布題為《5G無線技術》的科技評估與分析報告(下稱《報告》),概述了5G的基本情況,總結了5G能夠帶來的機遇,最后分析了美國部署5G面臨的挑戰(zhàn)。《報告》指出,盡管5G主要由工業(yè)界部署,但美國政府和其他組織應明確頻譜等公共資源如何使用,以及相關網(wǎng)絡運營商的義務。
一、基本情況
5G是一系列第五代無線通信技術,可在多個方面顯著改善移動通信。相比4G,5G可提供更快的數(shù)據(jù)吞吐速率、更可靠的通信連接,以及更快的網(wǎng)絡響應時間,可應用于自動駕駛車輛、智能制造及遠程醫(yī)療等領域。
4G工作頻段低于2.6吉赫茲,而5G使用高達6吉赫茲的中頻段以及超過24吉赫茲的高頻段。由于更高的頻率能夠支持更快的數(shù)據(jù)吞吐速率,5G至少比4G快20倍。但信號頻率越高,則其穿透墻壁和其他障礙物的能力就越低。為解決該問題,5G可能需要部署更多更小的蜂窩天線。
5G不同頻段的特性差異較大,可視情選用。例如,中頻段由于傳輸范圍與數(shù)據(jù)容量的良好組合,適于需要超可靠低延遲通信的自動駕駛車輛等領域;而高頻段由于極高的數(shù)據(jù)容量,適于密集城市或體育場等領域。
二、機遇
《報告》指出,5G在通信網(wǎng)絡完善之前,可能難以實現(xiàn)重大創(chuàng)新。但是,5G確實能夠為美國帶來若干發(fā)展機遇:
①高帶寬應用。5G更快的通信連接與數(shù)據(jù)吞吐速率,將推動云服務、視頻流、大型游戲、虛擬與增強現(xiàn)實等應用發(fā)展。
②物聯(lián)網(wǎng)。5G的超高數(shù)據(jù)容量可同時連接大量設備,如支持智能交通與物流系統(tǒng)、智能工廠及智能城市的傳感器等。
③關鍵任務通信。5G可實現(xiàn)超可靠低延遲通信,能夠使自動駕駛汽車、工業(yè)設備、機器人和無人機等更可靠地運行。
④經(jīng)濟效益。部署5G可為美國帶來大量新的就業(yè)機會,產(chǎn)生數(shù)十億美元的經(jīng)濟效益。
三、挑戰(zhàn)
《報告》分析了發(fā)展5G將面臨的多方面挑戰(zhàn):
①頻譜管理。為促進5G發(fā)展,美國聯(lián)邦機構需要確保頻譜可用,尤其在擁擠的中頻段,同時平衡現(xiàn)有用戶的續(xù)期。相關研究人員也在開發(fā)新技術以優(yōu)化頻譜使用。
②基礎設施建設。低延遲高帶寬應用需要部署大量基礎設施,包括光纖和小型蜂窩。部署這些基礎設施可能代價高昂,且需要熟練工作人員。
③網(wǎng)絡安全。盡管5G有望增強網(wǎng)絡安全,但部署大量5G網(wǎng)絡組件增加了網(wǎng)絡漏洞的風險。此外,由于外國公司主導5G供應鏈,部署5G可能存在潛在國家安全隱患。
④數(shù)字鴻溝。5G可能主要在人口稠密的城市地區(qū)部署。這將使農(nóng)村及低收入地區(qū)難以獲得5G帶來的收益,進而擴大數(shù)字鴻溝。
⑤隱私。5G基站比4G基站更為密集,這使5G網(wǎng)絡能夠提供更精確的位置數(shù)據(jù),增加隱私暴露的風險。
美智庫建議美軍繼續(xù)提高網(wǎng)絡戰(zhàn)能力
以應對大國競爭
2020年3月23日,傳統(tǒng)基金會發(fā)表特別報告,站在使美國能夠更好應對大國競爭的角度,向國會和國防部提出有關如何制訂2021年《國防授權法案》和《國防撥款法案》的74條建議。報告重點就提高美軍網(wǎng)絡空間作戰(zhàn)能力提出四條建議,包括實施網(wǎng)絡安全成熟度模型認證、提高網(wǎng)絡任務部隊的戰(zhàn)備水平和能力、擴大特種作戰(zhàn)部隊網(wǎng)絡戰(zhàn)權限、擴大網(wǎng)絡工作人員受認可專業(yè)資格。報告內(nèi)容摘譯如下,供讀者參考。
概要
2021年《國防授權法案》和《國防部撥款法案》是幫助國防部適應大國競爭的關鍵工具。為大國競爭做準備的過程不是一個快速的過程,也不是簡單地為國防部提供更多資源的問題。它需要優(yōu)先考慮中國和俄羅斯帶來的長期挑戰(zhàn),同時放棄對應對這些挑戰(zhàn)無濟于事的以往努力。即使美國將所有聯(lián)邦納稅人的錢都用于保衛(wèi)國家,國防部仍將不得不做出艱難的決定,關于現(xiàn)在和將來需要哪些能力以及每支部隊的戰(zhàn)備水平。2021年《國防授權法案》和《國防撥款法案》是國會幫助國防部做出這些決定的絕好機會。
要點
1. 大國競爭新時代要求美國軍方在保持戰(zhàn)備和擴大現(xiàn)有能力的同時優(yōu)先考慮中國和俄羅斯。
2.即將出臺的《國防授權法案》和《國防撥款法案》是國會幫助實施《國防戰(zhàn)略》和應對不斷上升的威脅的重要工具。
3.國會必須為軍方提供必要的資金和工具,以保持戰(zhàn)備狀態(tài),同時在大國競爭中實現(xiàn)現(xiàn)代化。
74條給國會和軍方的建議
本特別報告概述了74條關于國會和軍方如何制定《國防授權法案》和《國防撥款法案》的建議,使美國和美國國防部更好地做好大國競爭準備。
國防部領導層一再表示,需要持續(xù)的預算增長才能實施國防戰(zhàn)略。但是,政治現(xiàn)實卻另有支配。國會和國防部需要共同努力,以適當方式將國防置于優(yōu)先位置。
建議54:國會應支持網(wǎng)絡安全成熟度模型認證(CMMC)的推出和全面實施,并與可能受到影響的小型企業(yè)合作,以確保不會損害國防工業(yè)基礎(DIB)。對DIB的網(wǎng)絡威脅是對美國國家安全的重大威脅,因為知識產(chǎn)權的流失有可能進一步削弱美國軍事優(yōu)勢,使敏感系統(tǒng)遭入侵,并為敵人提供情報搜集機會。國防供應鏈每個階段的軟件攻擊都在增加,生產(chǎn)過程的每個階段都有可能遭受惡意軟件侵蝕。安全程序松懈的公司經(jīng)常成為對手攻擊的主要目標,并且漏洞可以在開發(fā)的最早階段被內(nèi)置到系統(tǒng)中。國防部于2020年1月推出了CMMC,以應對上述威脅。CCMC是一套網(wǎng)絡安全指南,具有一系列取決于項目敏感性的安全級別。級別從基本的網(wǎng)絡衛(wèi)生到復雜的網(wǎng)絡安全軟件和程序不等,能夠保護企業(yè)和網(wǎng)絡系統(tǒng)免遭最高級黑客攻擊。
但是,人們擔心這將給小型承包商帶來巨大的財務負擔。根據(jù)五角大樓的說法,“目標是使CMMC經(jīng)濟實惠,使小型企業(yè)能夠實施較低的CMMC級別。”這將是安全優(yōu)先與利潤微薄的小型承包商現(xiàn)實之間的平衡。鑒于美國在網(wǎng)絡領域的對手的范圍和決心,以及遭入侵系統(tǒng)的潛在風險,改善供應鏈中的網(wǎng)絡安全是當務之急。這種威脅不容忽視。CMMC應該由國防部完全實施并得到國會的支持。
建議55:國會應繼續(xù)對美國網(wǎng)絡司令部進行投資,以提高其網(wǎng)絡任務部隊的戰(zhàn)備水平和能力。133支網(wǎng)絡任務部隊于2018年5月達到完全作戰(zhàn)能力,這些部隊開展網(wǎng)絡作戰(zhàn),并承擔進攻和防御行動的任務。網(wǎng)絡司令部司令兼國家安全局局長保羅·中曾根將軍作證稱,當前工作重點已從組建部隊轉向加強訓練和戰(zhàn)備。
美國政府問責辦公室(GAO)發(fā)現(xiàn),跨軍種網(wǎng)絡部隊培訓存在問題,一些訓練有素的部隊需要進一步培訓,2019年各軍種缺乏一致的培訓指針。人員能力是網(wǎng)絡領域的關鍵因素,國會應確保有足夠的資金來訓練一支精英網(wǎng)絡部隊,以滿足網(wǎng)絡領域不斷增長的需求。
建議56:國會應擴大特種作戰(zhàn)部隊(SOF)的權限,以開展進攻性網(wǎng)絡作戰(zhàn)。目前,只有特種任務部隊(Special Mission Units)會定期從美國情報界獲得進攻性網(wǎng)絡作戰(zhàn)的國家級支持,而戰(zhàn)區(qū)特種作戰(zhàn)部隊則通常不享受上述優(yōu)先支持,并且被明確禁止開展進攻性網(wǎng)絡作戰(zhàn)。
但是,隨著戰(zhàn)場繼續(xù)數(shù)字化,上述禁令過度限制了特種作戰(zhàn)部隊完成其任務的能力,并使其承擔更高的作戰(zhàn)風險。國會應審查上述授權。具體來說,2021年《國防授權法案》應該責成國防部審查并提供建議,對法案第10編的相關部分以及任何其他相關法規(guī)、授權或政策進行更改。
建議57:國防部應擴大其網(wǎng)絡工作人員受認可專業(yè)資格。美國的網(wǎng)絡人才需求旺盛,供不應求。在試圖填補其關鍵的網(wǎng)絡勞動力時,國防部應該接受非傳統(tǒng)的專業(yè)證書和教育,從而顯著擴大其吸收人員的人才庫。具體來說,只要候選人符合必要的技術標準,在傳統(tǒng)的教育要求外,還應認可從所謂的技術訓練營和大規(guī)模的在線公開課程(MOOC)獲得的與網(wǎng)絡相關的證書。此外,國防部還應允許軍事人員適用軍人安置法案(GI Bill)和網(wǎng)絡替代方案的相關福利。
美國數(shù)據(jù)保護機構關于COVID-19的個人數(shù)據(jù)保護意見簡析
2020年3月18日,美國平等就業(yè)機會委員會為雇主提供了相關立法(《美國殘疾人法案》(ADA)和《康復法案》等)的指導,以明確疫情相關的要求。
疫情期間,雇主可以詢問雇員是否具有病毒感染癥狀,但雇主必須按照ADA的要求將所有有關員工疾病的信息作為機密醫(yī)療記錄進行維護。
雇主在疫情期間可以測量員工的體溫。
雇主可以要求患有COVID-19癥狀的員工應離開工作場所。
當員工重返工作崗位時,雇主可以要求提供相關證據(jù)以證明個人沒有感染病毒。
如果雇主正在招聘,可以對申請人進行COVID-19癥狀篩查。
雇主招聘時可以對申請人進行病毒癥狀篩查,包括測體溫。
如果申請人感染病毒,而雇主需要其立即開始工作的可以撤回工作機會。
來源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號