压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　上月初，美國(guó)財(cái)政部副部長(zhǎng)薩拉·布魯姆·拉斯金(Sarah Bloom Raskin)在德克薩斯銀行家協(xié)會(huì)上發(fā)表了關(guān)于網(wǎng)絡(luò)安全規(guī)劃和準(zhǔn)備重要性的講話。在講話中，美國(guó)財(cái)政部會(huì)同證券交易委員會(huì)(SEC)、聯(lián)邦貿(mào)易委員會(huì)(FTC)、聯(lián)邦通信委員會(huì)(FCC)以及其他監(jiān)管機(jī)構(gòu)，表達(dá)了網(wǎng)絡(luò)安全必將成為金融服務(wù)機(jī)構(gòu)高管的頭等大事，網(wǎng)絡(luò)安全可能給社會(huì)經(jīng)濟(jì)帶來比恐怖主義還要大的威脅。因?yàn)榇笮徒鹑跈C(jī)構(gòu)如果發(fā)生嚴(yán)重的入侵事件，會(huì)引起用戶的信任危機(jī)，進(jìn)而導(dǎo)致金融服務(wù)機(jī)構(gòu)的癱瘓。

　　金融機(jī)構(gòu)高管面臨的十大網(wǎng)絡(luò)空間安全問題

　　拉斯金向金融機(jī)構(gòu)的高管和董事提出了十個(gè)需要解決的實(shí)際問題，以評(píng)估各自相應(yīng)機(jī)構(gòu)的網(wǎng)絡(luò)安全工作。盡管這些問題是面向金融行業(yè)提出的，但它們同樣適用于各個(gè)領(lǐng)域，并為各行各業(yè)的領(lǐng)導(dǎo)人提供了一個(gè)堅(jiān)實(shí)的網(wǎng)絡(luò)空間安全規(guī)劃的框架。

　　一、基礎(chǔ)保護(hù)措施的評(píng)估

　　前5個(gè)問題集中在機(jī)構(gòu)的基礎(chǔ)保護(hù)措施方面，即企業(yè)已經(jīng)建立起來的安全方面的政策、流程和控制。

　　1. 網(wǎng)絡(luò)空間風(fēng)險(xiǎn)是否屬于當(dāng)前風(fēng)險(xiǎn)管理框架中的一部分？

　　2. 我們遵循國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)空間安全框架》了嗎？

　　正如當(dāng)前大量的網(wǎng)絡(luò)攻擊事件所證明，網(wǎng)絡(luò)安全已經(jīng)不只是信息系統(tǒng)本身的問題，它已經(jīng)是一個(gè)至關(guān)重要的運(yùn)營(yíng)風(fēng)險(xiǎn)問題，因此是商業(yè)領(lǐng)導(dǎo)人需要解決的問題。對(duì)于評(píng)估機(jī)構(gòu)本身的網(wǎng)絡(luò)安全措施和基礎(chǔ)設(shè)施的管理者來說，NIST的網(wǎng)絡(luò)安全框架就是用來提供一個(gè)彈性的、確定優(yōu)先順序的，并兼顧成本效益的，來管理網(wǎng)絡(luò)空間的安全風(fēng)險(xiǎn)方法和重要的工具。

　　3. 我們知道我們的廠商和第三方服務(wù)提供商給我們帶來的網(wǎng)絡(luò)空間風(fēng)險(xiǎn)嗎？我們知道網(wǎng)絡(luò)空間控制的嚴(yán)格性嗎？

　　正如我們?cè)谌怂仓乃厝肭质录@示出來的，第三方廠商在保護(hù)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的防御系統(tǒng)上開了一個(gè)口子。如果第三方廠商和承包商不能給共享信息提供充分的保護(hù)，那么他們同樣會(huì)造成法律、財(cái)務(wù)和管理上的嚴(yán)重問題。如財(cái)政部副部長(zhǎng)拉斯金所言，解決這個(gè)問題有四個(gè)方面的組成部分：了解所有能夠訪問甲方系統(tǒng)和數(shù)據(jù)的廠商和第三方；確保第三方在保護(hù)甲方的系統(tǒng)和數(shù)據(jù)方面設(shè)置了恰當(dāng)?shù)姆雷o(hù)措施；實(shí)施持續(xù)性的監(jiān)控以防止保護(hù)措施的松懈；記錄承包商的保護(hù)措施和相關(guān)責(zé)任。

　　4. 我們有能滿足需要的網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)嗎？

　　解決這個(gè)問題，是風(fēng)險(xiǎn)管理的關(guān)鍵，因?yàn)榍‘?dāng)?shù)某斜７秶軌驕p輕網(wǎng)絡(luò)攻擊帶來的，與公共關(guān)系及其相關(guān)責(zé)任有關(guān)的經(jīng)濟(jì)風(fēng)險(xiǎn)。然而，大部分商業(yè)責(zé)任的政策并不覆蓋網(wǎng)絡(luò)空間安全和數(shù)據(jù)泄露相關(guān)的損失。因此，一個(gè)新的網(wǎng)絡(luò)空間保險(xiǎn)市場(chǎng)應(yīng)運(yùn)而生，以迎合這個(gè)正在增長(zhǎng)的需求。由于這是一個(gè)相對(duì)較新的保險(xiǎn)業(yè)務(wù)，企業(yè)需要仔細(xì)地評(píng)估他們的需求和潛在責(zé)任，以保證承保范圍滿足他們的風(fēng)險(xiǎn)需求。

　　5. 我們關(guān)注基礎(chǔ)性的網(wǎng)絡(luò)空間健康了嗎？

　　拉斯金指出，“網(wǎng)絡(luò)空間的健康”是指“基礎(chǔ)性的安全支撐和網(wǎng)絡(luò)及系統(tǒng)的承受力，”比如按時(shí)打補(bǔ)丁，限制具有管理權(quán)限的用戶數(shù)量，實(shí)施網(wǎng)絡(luò)漏洞評(píng)估等。拉斯金建議企業(yè)要關(guān)注由互聯(lián)網(wǎng)安全中心和國(guó)土安全部發(fā)起的“網(wǎng)絡(luò)空間健康活動(dòng)”，該活動(dòng)為企業(yè)提供提供網(wǎng)絡(luò)空間安全方面的建議和指導(dǎo)。

　　二、信息共享機(jī)制

　　網(wǎng)絡(luò)攻擊很少是孤立事件，尋找漏洞的作惡者通常要搶在開發(fā)者和安全人員做出響應(yīng)前，盡大可能的利用漏洞獲利。例如，在最近的一次針對(duì)大型金融機(jī)構(gòu)(譯者注：指摩根大通)的攻擊中，調(diào)查發(fā)現(xiàn)至少另有10家金融服務(wù)機(jī)構(gòu)成為同一黑客組織的目標(biāo)。類似的事件還有，一組名為FIN4的黑客，最近協(xié)作攻擊了許多美國(guó)的生物科技公司。

　　據(jù)此，共享關(guān)于威脅、漏洞和其他實(shí)時(shí)事件的知識(shí)和經(jīng)驗(yàn)，會(huì)給整個(gè)行業(yè)都帶來益處。另外，由于入侵是一個(gè)正在進(jìn)行中的犯罪過程，F(xiàn)BI和其他執(zhí)法部門需要獲悉有關(guān)威脅或其他攻擊的信息，而且如果能夠迅速的發(fā)布通知，可能會(huì)幫助企業(yè)及時(shí)響應(yīng)或是減少網(wǎng)絡(luò)攻擊的損害。下面的第6個(gè)問題則是關(guān)于信息分享的重要性：

　　6. 我們要與行業(yè)組織共享事件信息嗎？如果答案為是的話，什么時(shí)候？如何共享？

　　這個(gè)問題很難回答。雖然我們知道在業(yè)內(nèi)和執(zhí)法部門共享信息的益處，但同時(shí)也要考慮到這樣做會(huì)產(chǎn)生嚴(yán)重的問題。企業(yè)必需考慮與競(jìng)爭(zhēng)者共享敏感信息的合適限度，針對(duì)用戶數(shù)據(jù)的攻擊則會(huì)令共享信息涉及到隱私問題。另外，與執(zhí)法部門共享信息更是會(huì)涉及到更為廣泛的信息披露問題。企業(yè)還必需考慮是否以及何時(shí)共享自己的客戶被黑客入侵的信息，如果處理不當(dāng)，則可能引起信任危機(jī)。因此，需要一種危機(jī)發(fā)生前分析和處理問題的機(jī)制。

　　三、響應(yīng)和恢復(fù)

　　網(wǎng)絡(luò)空間安全的威脅永遠(yuǎn)處在變化之中，沒有任何企業(yè)能夠真正完全的避免之。因此，拉斯金敦促研究機(jī)構(gòu)要集中力量于攻擊前的響應(yīng)和恢復(fù)計(jì)劃上。最后的四個(gè)問題則是關(guān)于如何組織這些計(jì)劃的：

　　7. 我們有網(wǎng)絡(luò)空間事件的應(yīng)對(duì)手冊(cè)嗎？誰(shuí)是管理響應(yīng)和恢復(fù)計(jì)劃的直接負(fù)責(zé)人？

　　8. 高級(jí)管理人員和董事會(huì)在管理和監(jiān)管網(wǎng)絡(luò)空間事件響應(yīng)中的角色是什么？

　　9. 入侵發(fā)生后，我們何時(shí)并如何與執(zhí)法部門合作？

　　10. 網(wǎng)絡(luò)事件發(fā)生后，我們何時(shí)并如何通知我們的客戶、投資者，和公眾？

　　所有的這些問題都意味著，應(yīng)對(duì)攻擊需要事先許可和具備行之有效的計(jì)劃。在發(fā)生攻擊事件之后，利益相關(guān)者的各種問題開始出現(xiàn)。例如，品牌管理和公共關(guān)系部門可能反對(duì)信息披露。而建立一個(gè)應(yīng)對(duì)手冊(cè)，會(huì)將應(yīng)對(duì)網(wǎng)絡(luò)攻擊引起的內(nèi)部爭(zhēng)執(zhí)、混亂和延誤等問題最小化。

　　四、網(wǎng)絡(luò)空間安全是一個(gè)行進(jìn)過程

　　上述十個(gè)問題，為董事會(huì)和高級(jí)管理人員在評(píng)估其公司網(wǎng)絡(luò)安全和準(zhǔn)備工作方面提供了一個(gè)有用的指南。然而，正如拉斯金副部長(zhǎng)所言：“網(wǎng)絡(luò)空間威脅在不斷進(jìn)化中，我們的警惕和安全工作也必須如此。”董事會(huì)和管理人員應(yīng)當(dāng)把這十個(gè)問題看作是，為了改變威脅環(huán)境而持續(xù)地重新評(píng)估和調(diào)整過程的開始，而不是一張?jiān)谏厦娲蛲陮?duì)勾即可的事件列表。

　　網(wǎng)絡(luò)空間事件帶給企業(yè)的后果，其嚴(yán)重性和影響范圍仍然不得而知。但是主動(dòng)采取控制措施去防止、檢測(cè)和彌補(bǔ)網(wǎng)絡(luò)攻擊的企業(yè)，在嚴(yán)重的入侵事件發(fā)生后，在保護(hù)各種業(yè)務(wù)和法律風(fēng)險(xiǎn)方面將處于最有利的位置。