今日頭條
官方微信
官方抖音
資訊頻道目錄
1 美網絡安全和基礎設施安全局發布《保護2020大選安全戰略規劃》
2 特朗普政府簽署《2020年5G安全保障法》保障未來5G安全
3 美國正式批準《安全可信通信網絡法案》
4 美國多部門發布《隱私、學生教育和健康記錄聯合指南》
5 美空軍使用數字孿生技術保障GPS衛星網絡安全
6 美政府問責局發布報告分析5G的機遇與挑戰
7 美智庫建議美軍繼續提高網絡戰能力以應對大國競爭
8 美國數據保護機構關于COVID-19的個人數據保護意見簡析
美網絡安全和基礎設施安全局發布
《保護2020大選安全戰略規劃》
2019年2月14日,美國網絡安全和基礎設施安全局(CISA)發布了《保護2020大選安全戰略規劃》,旨在保證美國大選的安全性,為參加大選的團體和美國公眾提供必要的信息和工具,充分評估大選過程中的風險,保護大選秩序、監測風險,以及開展遭遇風險后的恢復工作。
CISA在《規劃》中稱其將主要承擔協調者的角色,其協調活動分為以下四條工作路線,包括選舉基礎設施,競選和政治基礎設施,美國選民,以及警告和響應。
為確保數字和實體選舉基礎設施的安全,如投票機、選舉軟件系統、投票站等,CISA將為各州、各地方、供應商以及其他一線選舉部門提供支持,鼓勵這些部門借助外界幫助和聯邦資源采取更好的安全措施。
《規劃》還提到,CISA在與各州和當地政府的合作中,已經將事件響應和報告定義為能力差距。為縮小能力差距,CISA在選舉站、選舉辦公室、倉儲設施等地張貼了一系列緊急事件響應指導海報,為其提供逐步指導,幫助當地官員在面對天氣、暴力事件、火災、網絡安全事件等變量導致的選舉中斷時聯系到相關人士。
此外,CISA還向美國各地委派了實體和網絡安全顧問,充當聯邦政府和選舉利益相關者之間的主要聯系點,并根據要求提供漏洞評估、滲透測試、網絡釣魚測試和事件響應服務。國會還提出立法要求CISA為全美五十個州指定網絡安全協調員。
最后,為保證威脅情報從聯邦政府到各地之間的傳遞暢通無阻,CISA還將為個人競選提供服務、測試和培訓,為競選活動提供最新的威脅活動聯合簡報,并與民主黨、共和黨的政黨組織會面。
特朗普政府簽署《2020年5G安全保障法》
保障未來5G安全
美國總統特朗普3月23日簽署了《2020年5G安全保障法》(The Secure 5G and Beyond Act of 2020),要求美國行政部門制定5G網絡的安全策略。
一、戰略目標
(1)確保美國境內5G和未來幾代無線通信系統和基礎設施的安全;
(2)在符合美國安全和戰略利益的情況下,協助美國的盟國、戰略伙伴和其他國家,最大限度地保障其5G和未來幾代無線通信系統和基礎設施的安全;
(3)保護美國公司的競爭力,美國消費者的隱私,無線通信系統和基礎設施相關的標準制定過程的完整性和公正性。
二、戰略應當包括的內容
(1)為促進國內5G和未來幾代無線通信系統的推出而所作努力的說明;
(2)5G和未來幾代無線通信系統的風險評估和核心安全原則的識別工作;
(3)描述在全球范圍內開發和部署5G和未來幾代無線通信設施期間,確保美國國家安全的努力。
(4)描述為促進5G和未來幾代無線通信系統的發展和部署的努力,包括通過強有力的國際參與、領導制定國際標準、提升無線通信市場的競爭力。
三、行動計劃
(1)描述與部署5G和未來幾代無線通信系統和基礎設施相關的美國國家和經濟安全利益;
(2)識別和評估基礎設施、設備、系統、軟件和虛擬網絡的潛在安全威脅和漏洞,以支持5G和未來幾代無線通信系統、基礎設施和新技術。評估應盡可能包括對5G和未來幾代無線通信系統和基礎設施所面臨的全部威脅和安全挑戰,以及公共和私營部門可以采取的緩解這些威脅的方法;
(3)評估美國國內供應商、盟國和美國的戰略合作伙伴供應5G和下一代無線通信系統和基礎設施的能力;
(4)識別美國國內、盟國和戰略伙伴存在的安全漏洞,為5G和未來幾代無線通信系統和基礎設施提供安全可靠的通信設備供應商;
(5)出臺激勵措施和相關政策,用以幫助縮小或消除美國國內通信設備供應商的的安全差距,包括關鍵技術的研發與人才培養;
(6)通過激勵措施和其他配套機制來刺激來自盟國、戰略合作伙伴和其他國家的設備供應商,以確保私營企業在美國擁有足夠安全、有效、可靠的5G通信設備;
(7)與盟國、戰略伙伴和其他國家進行外交溝通,以共享5G和未來幾代無線通信系統和基礎設施設備有關的安全風險信息,并就降低這些風險進行合作;
(8)的計劃與私營部門合作通信基礎設施和系統設備開發人員和關鍵基礎設施所有者和經營者一個關鍵依賴通訊基礎設施共享信息,發現在5日和下一代無線通信系統和基礎設施設備標準安全平臺;與通信設施的私營部門、系統設備開發商、關鍵基礎設施的所有者與研發者進行深入合作,共享5G和未來幾代無線通信系統和基礎設施的研究發現與成果;
(9)與通信設施的私營部門、系統設備開發商進行合作,以鼓勵美國的公共和私營部門實體盡可能多地參與無線通信系統和基礎設施的標準制定工作;
(10)與盟國、戰略伙伴和其他國家進行外交交流,以共享5G和未來幾代無線通信系統和基礎設施的研究發現與成果,以最大程度地促進可操作性、競爭力、開放性和安全平臺的建設;
(11)與盟國、戰略合作伙伴和其他國家進行溝通交流、共享信息,最大程度地促進透明度、公開、公正、完整性和中立性;
(12)與盟國、戰略伙伴和其他國家進行聯合測試,以確保5G和未來幾代無線通信系統和基礎設施的可靠;
(13)由聯邦政府牽頭研究和規劃,與值得信任的供應商、盟友、戰略合作伙伴和其他國家進行合作,以維持美國在5G和未來無線通信市場的領導地位,包括識別安全漏洞的能力;
(14)識別并解決5G和未來無線通信系統的安全風險;
(15)說明行政部門協調戰略執行的作用和職責;
(16)確定執行戰略所需的關鍵外交、發展、情報、軍事和經濟資源,包括具體的預算要求;
(17)必要時,說明為執行戰略而采取的立法或行政行動。
美國正式批準《安全可信通信網絡法案》
美國特朗普總統近期簽署、現已批準的《安全可信通信網絡法案》(Secure and Trusted Communications Networks Act)禁止聯邦資金用于采購這些公司生產的設備。
該法案還制定了一項10億美元的補償計劃,名為“安全可信通信網絡補償計劃”,以幫助規模較小的提供商抵補丟棄并更換華為和中興的被禁止設備所產生的費用。
美國聯邦通信委員會(FCC)一直在收集來自使用華為和中興的網絡設備的美國運營商的數據,幫助向小規模農村運營商補償這些費用。
FCC主席Ajit Pai說:“這項新法案批準了FCC最近通過的倡議,以幫助小型農村電信公司擺脫對構成國家安全威脅的制造商的依賴。”
“現在,我希望國會在這個成果的基礎上有進一步的動作,迅速下撥必要的資金,補償運營商更換被發現對國家安全構成威脅的任何網絡設備或服務所產生的費用。”
華為目前正準備在法庭上反抗USF禁令,該公司已在12月對FCC提起了訴訟,指控FCC稱該公司構成國家安全威脅,涉嫌繞過了正當程序。
美國多部門發布
《隱私、學生教育和健康記錄聯合指南》
美國教育部(The U.S. Department of Education)和美國衛生與公共服務部民權辦公室(The Office for Civil Rights at the U.S. Department of Health and Human Services)于2019年12月19日發布了最新的聯合指南,內容涉及《家庭教育權利和隱私權法案》(FERPA)和《1996年健康保險攜帶與責任法案》(HIPAA)隱私規則,用于保存學生的記錄。新的說明和示例解決:
1.在什么情況下,受保護的健康資料(PHI)或個人身份資料(PII)可以與成年學生的家長共享?
2.根據HIPAA,如果成年學生的家庭成員擔心學生的心理健康,而學生又不同意披露他們的PHI值,他們有什么選擇?
3.HIPAA是否允許承保范圍的醫療服務提供者向未成年人的父母披露有關患有精神疾病或藥物濫用的未成年人的PHI?
4.當一個學生對自己或他人構成危險時,PHI或PII何時可以共享?
5.根據FERPA,教育機構是否可以在未經事先書面同意的情況下,將學生的教育記錄(包括健康記錄)中的PII披露給教育機構或機構的執法人員?
6.FERPA是否允許教育機構在未經事先書面同意的情況下,向國家即時犯罪背景調查系統(NICS)披露學生教育記錄中的PII?
美空軍使用數字孿生技術
保障GPS衛星網絡安全
2020年3月18日,據美國《空軍雜志》報道,美國空軍正在使用GPS IIF衛星的數字副本來檢測任何網絡安全問題。
博茲·艾倫·漢密爾頓(Booz Allen Hamilton BAH)公司創建了洛克希德·馬丁公司(Lockheed Martin)建造的Block IIR GPS衛星的“數字孿生”,然后試圖入侵該系統。
BAH副總裁凱文·科金斯(Kevin Coggins)對《空軍雜志》表示:“GPS衛星本身在軌道上。” “因此,我們建立了這種數字模型……然后我們繼續尋找漏洞。我們進行了滲透測試,看到了我們可以發現的漏洞。”
該項目是為了響應國會的一項命令而開展的,目前就是測試GPS的網絡漏洞。測試范圍包括衛星、地面控制站以及它們之間的射頻鏈路。隨后,BAH對GPS衛星的通信鏈路進行了“中間人”攻擊,以識別衛星與其地面控制站之間的潛在弱點。
據稱,美國1997年至2004年之間發射的12批GPS IIR衛星的使用壽命為7.5年,但要退役還需要數年時間。
美政府問責局發布報告分析5G的機遇與挑戰
2020年3月16日,美政府問責局(GAO)發布題為《5G無線技術》的科技評估與分析報告(下稱《報告》),概述了5G的基本情況,總結了5G能夠帶來的機遇,最后分析了美國部署5G面臨的挑戰。《報告》指出,盡管5G主要由工業界部署,但美國政府和其他組織應明確頻譜等公共資源如何使用,以及相關網絡運營商的義務。
一、基本情況
5G是一系列第五代無線通信技術,可在多個方面顯著改善移動通信。相比4G,5G可提供更快的數據吞吐速率、更可靠的通信連接,以及更快的網絡響應時間,可應用于自動駕駛車輛、智能制造及遠程醫療等領域。
4G工作頻段低于2.6吉赫茲,而5G使用高達6吉赫茲的中頻段以及超過24吉赫茲的高頻段。由于更高的頻率能夠支持更快的數據吞吐速率,5G至少比4G快20倍。但信號頻率越高,則其穿透墻壁和其他障礙物的能力就越低。為解決該問題,5G可能需要部署更多更小的蜂窩天線。
5G不同頻段的特性差異較大,可視情選用。例如,中頻段由于傳輸范圍與數據容量的良好組合,適于需要超可靠低延遲通信的自動駕駛車輛等領域;而高頻段由于極高的數據容量,適于密集城市或體育場等領域。
二、機遇
《報告》指出,5G在通信網絡完善之前,可能難以實現重大創新。但是,5G確實能夠為美國帶來若干發展機遇:
①高帶寬應用。5G更快的通信連接與數據吞吐速率,將推動云服務、視頻流、大型游戲、虛擬與增強現實等應用發展。
②物聯網。5G的超高數據容量可同時連接大量設備,如支持智能交通與物流系統、智能工廠及智能城市的傳感器等。
③關鍵任務通信。5G可實現超可靠低延遲通信,能夠使自動駕駛汽車、工業設備、機器人和無人機等更可靠地運行。
④經濟效益。部署5G可為美國帶來大量新的就業機會,產生數十億美元的經濟效益。
三、挑戰
《報告》分析了發展5G將面臨的多方面挑戰:
①頻譜管理。為促進5G發展,美國聯邦機構需要確保頻譜可用,尤其在擁擠的中頻段,同時平衡現有用戶的續期。相關研究人員也在開發新技術以優化頻譜使用。
②基礎設施建設。低延遲高帶寬應用需要部署大量基礎設施,包括光纖和小型蜂窩。部署這些基礎設施可能代價高昂,且需要熟練工作人員。
③網絡安全。盡管5G有望增強網絡安全,但部署大量5G網絡組件增加了網絡漏洞的風險。此外,由于外國公司主導5G供應鏈,部署5G可能存在潛在國家安全隱患。
④數字鴻溝。5G可能主要在人口稠密的城市地區部署。這將使農村及低收入地區難以獲得5G帶來的收益,進而擴大數字鴻溝。
⑤隱私。5G基站比4G基站更為密集,這使5G網絡能夠提供更精確的位置數據,增加隱私暴露的風險。
美智庫建議美軍繼續提高網絡戰能力
以應對大國競爭
2020年3月23日,傳統基金會發表特別報告,站在使美國能夠更好應對大國競爭的角度,向國會和國防部提出有關如何制訂2021年《國防授權法案》和《國防撥款法案》的74條建議。報告重點就提高美軍網絡空間作戰能力提出四條建議,包括實施網絡安全成熟度模型認證、提高網絡任務部隊的戰備水平和能力、擴大特種作戰部隊網絡戰權限、擴大網絡工作人員受認可專業資格。報告內容摘譯如下,供讀者參考。
概要
2021年《國防授權法案》和《國防部撥款法案》是幫助國防部適應大國競爭的關鍵工具。為大國競爭做準備的過程不是一個快速的過程,也不是簡單地為國防部提供更多資源的問題。它需要優先考慮中國和俄羅斯帶來的長期挑戰,同時放棄對應對這些挑戰無濟于事的以往努力。即使美國將所有聯邦納稅人的錢都用于保衛國家,國防部仍將不得不做出艱難的決定,關于現在和將來需要哪些能力以及每支部隊的戰備水平。2021年《國防授權法案》和《國防撥款法案》是國會幫助國防部做出這些決定的絕好機會。
要點
1. 大國競爭新時代要求美國軍方在保持戰備和擴大現有能力的同時優先考慮中國和俄羅斯。
2.即將出臺的《國防授權法案》和《國防撥款法案》是國會幫助實施《國防戰略》和應對不斷上升的威脅的重要工具。
3.國會必須為軍方提供必要的資金和工具,以保持戰備狀態,同時在大國競爭中實現現代化。
74條給國會和軍方的建議
本特別報告概述了74條關于國會和軍方如何制定《國防授權法案》和《國防撥款法案》的建議,使美國和美國國防部更好地做好大國競爭準備。
國防部領導層一再表示,需要持續的預算增長才能實施國防戰略。但是,政治現實卻另有支配。國會和國防部需要共同努力,以適當方式將國防置于優先位置。
建議54:國會應支持網絡安全成熟度模型認證(CMMC)的推出和全面實施,并與可能受到影響的小型企業合作,以確保不會損害國防工業基礎(DIB)。對DIB的網絡威脅是對美國國家安全的重大威脅,因為知識產權的流失有可能進一步削弱美國軍事優勢,使敏感系統遭入侵,并為敵人提供情報搜集機會。國防供應鏈每個階段的軟件攻擊都在增加,生產過程的每個階段都有可能遭受惡意軟件侵蝕。安全程序松懈的公司經常成為對手攻擊的主要目標,并且漏洞可以在開發的最早階段被內置到系統中。國防部于2020年1月推出了CMMC,以應對上述威脅。CCMC是一套網絡安全指南,具有一系列取決于項目敏感性的安全級別。級別從基本的網絡衛生到復雜的網絡安全軟件和程序不等,能夠保護企業和網絡系統免遭最高級黑客攻擊。
但是,人們擔心這將給小型承包商帶來巨大的財務負擔。根據五角大樓的說法,“目標是使CMMC經濟實惠,使小型企業能夠實施較低的CMMC級別。”這將是安全優先與利潤微薄的小型承包商現實之間的平衡。鑒于美國在網絡領域的對手的范圍和決心,以及遭入侵系統的潛在風險,改善供應鏈中的網絡安全是當務之急。這種威脅不容忽視。CMMC應該由國防部完全實施并得到國會的支持。
建議55:國會應繼續對美國網絡司令部進行投資,以提高其網絡任務部隊的戰備水平和能力。133支網絡任務部隊于2018年5月達到完全作戰能力,這些部隊開展網絡作戰,并承擔進攻和防御行動的任務。網絡司令部司令兼國家安全局局長保羅·中曾根將軍作證稱,當前工作重點已從組建部隊轉向加強訓練和戰備。
美國政府問責辦公室(GAO)發現,跨軍種網絡部隊培訓存在問題,一些訓練有素的部隊需要進一步培訓,2019年各軍種缺乏一致的培訓指針。人員能力是網絡領域的關鍵因素,國會應確保有足夠的資金來訓練一支精英網絡部隊,以滿足網絡領域不斷增長的需求。
建議56:國會應擴大特種作戰部隊(SOF)的權限,以開展進攻性網絡作戰。目前,只有特種任務部隊(Special Mission Units)會定期從美國情報界獲得進攻性網絡作戰的國家級支持,而戰區特種作戰部隊則通常不享受上述優先支持,并且被明確禁止開展進攻性網絡作戰。
但是,隨著戰場繼續數字化,上述禁令過度限制了特種作戰部隊完成其任務的能力,并使其承擔更高的作戰風險。國會應審查上述授權。具體來說,2021年《國防授權法案》應該責成國防部審查并提供建議,對法案第10編的相關部分以及任何其他相關法規、授權或政策進行更改。
建議57:國防部應擴大其網絡工作人員受認可專業資格。美國的網絡人才需求旺盛,供不應求。在試圖填補其關鍵的網絡勞動力時,國防部應該接受非傳統的專業證書和教育,從而顯著擴大其吸收人員的人才庫。具體來說,只要候選人符合必要的技術標準,在傳統的教育要求外,還應認可從所謂的技術訓練營和大規模的在線公開課程(MOOC)獲得的與網絡相關的證書。此外,國防部還應允許軍事人員適用軍人安置法案(GI Bill)和網絡替代方案的相關福利。
美國數據保護機構關于COVID-19的個人數據保護意見簡析
2020年3月18日,美國平等就業機會委員會為雇主提供了相關立法(《美國殘疾人法案》(ADA)和《康復法案》等)的指導,以明確疫情相關的要求。
疫情期間,雇主可以詢問雇員是否具有病毒感染癥狀,但雇主必須按照ADA的要求將所有有關員工疾病的信息作為機密醫療記錄進行維護。
雇主在疫情期間可以測量員工的體溫。
雇主可以要求患有COVID-19癥狀的員工應離開工作場所。
當員工重返工作崗位時,雇主可以要求提供相關證據以證明個人沒有感染病毒。
如果雇主正在招聘,可以對申請人進行COVID-19癥狀篩查。
雇主招聘時可以對申請人進行病毒癥狀篩查,包括測體溫。
如果申請人感染病毒,而雇主需要其立即開始工作的可以撤回工作機會。
來源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號