美国土安全部发布约束命令草案,要求国内机构制定漏洞披露政策

关注 2019-11-28 08:43:22 查看数 8118 ,评论数 0 资讯


美国土安全部网络安全与基础设施安全局(CISA)网络安全处发布了一份约束性操作指令(Binding Operational Directive 20-01)的草案,该草案要求联邦机构加强对网络漏洞的防御。


CISA是2018年11月16日在美国总统特朗普签署《2018年网络安全与基础设施安全局法案》的背景下成立、受国土安全部监管的一个独立的联邦执行单位,其延续了国土安全部之前的国家保护与项目局(NPPD)的职责,主要负责改进美各级政府的网络安全、协调各州网络安全项目、改进政府网络安全、抵御各类黑客的网络攻击。


CISA发布的这个草案强制美国内机构建立相关项目、与外部安全研究人员进行合作,查找并修补机构网站和应用的软件漏洞;同时,CISA还征集公众对此草案的评论,要求道德黑客对其进行改善。


草案之所以发布,是由于CISA注意到很多联邦机构没有建立起来一个接收和解决来自第三方企业或个人的漏洞信息流程,而缺乏这种流程标准可能“造成不及时向联邦政府上报潜在信息安全问题、或是消极对待这些信息的环境。”


CISA在其草案命令中称:“漏洞披露政策能够为各机构感知未知漏洞提供便利,能让机构为善意的安全研究授权、并对漏洞报告做出回应。”该机构强调,通过鼓励联邦机构和公众之间的协调配合,该命令会增强政府在线服务的弹性。如果该命令能生效,各机构将有180天的时间来发布各自的漏洞披露政策,公众在12月27日之前都能提交评论内容。


CISA副主任的Jeanette Manfra在单独的CISA博文中称:“我们想听到来自人民和机构的针对漏洞披露的呼声”。Manfra在DHS工作了12年,此前曾担任国土安全部长的网络安全事务高级顾问和国家安全委员会关键基础设施网络安全主任,就是她倡导建立一个整合的网络安全机构从而为CISA建立的立法打下了监视基础,其还执行了国土安全部“持续诊断和减缓”及“爱因斯坦计划”等,不过今年年底,其将离开CISA,有消息称其离职是国土安全部在2020总统大选的损失,当然这是题外话了。这个约束操作指令也是在Manfra的全力支持下制定的,目前已经得到美国防部等联邦机构的承认,美国商务部也发布了自己的漏洞披露计划,其他机构还在酝酿。


事情大概就是这样,但值得注意的是CISA对此类命令征集评论尚属首次,要求各企业维护漏洞披露政策这种事也是开风气之先。是不是受到特朗普推特治国的感召而开启的民意互动我们不得而知,政策所能产生多有利的影响现在也很难预见,但不得不说这一举动是“向善”的,值得效仿。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧

广告

关注我们 查看更多精彩文章

css.php
正在加载中...