近日对政府机构系统安全漏洞的攻击事故和泄漏事故的增多,网络安全已经成为政府部门的最高级别优先事项。政府机构必须确保正确的人对关键信息有限的控制权。通过建立和执行一致的安全措施,本文将探讨政府机构该如何部署积极的措施来防止安全数据泄漏。
尽管背负着重大的经济危机负担,但奥巴马政府仍然意识到网络安全对国家的重要性,并且计划对美国信息安全以及支持关键基础设施保护(CIP)的系统进行审查。这一行动也让政府机构认识到没有适当部署安全保护措施可能会带来内部和外部安全威胁,对国家的关键基础设施的保密性、完整性和可用性带来威胁。
2009年1月份,美国政府问责局(GAO)在其High-Risk Series报告中发布了GAO-09-271 update,其中概述了信息和网络CIP安全问题。该报告指出,保护政府的信息系统和关键基础设施是一个很大的挑战。
该报告还指出充分部署有效安全计划的重要性,以下就是部署安全措施面临的挑战问题。
挑战1:网络安全成为最高优先项目
对于有效管理威胁问题,确保中央和控制关键信息和系统的访问权问题等,获取高层的认可是非常关键的,
挑战2:建立和部署统一的安全措施
强制政策可能是一项复杂而艰巨的任务,并且由于部署的问责制程序的不充分性,又让机构很容易面临内部和外部的威胁。
挑战3:防止系统被中断
动态和复杂的技术环境,包括虚拟化、云计算或者以服务为导向的基础设施等,都使管理信息访问变得非常困难,这需要灵活的控制和解决方案来适应和预防系统中断问题。
挑战4:提高预警能力
对企业各个方面的关键信息资产的访问必须被监控和管理,部署积极的预警系统可以避免重大事故的发生,预防政府机构证书和重要信息暴露给所有人员以导致更加严重的问题。
挑战5:加强事件恢复能力
减少事故发生的几率是第一道防线,而迅速从事故中恢复过来而没有暴露关键信息和访问凭证的能力也需要加以改进。当事故发生时,在没有部署灾难恢复计划时,应该对受到损坏的信息和访问设置特权。
政府机构由于其本身的性质,必须始终保持警惕。
如何保护关键信息
通过采取以下三个简单的步骤,政府机构可以部署积极措施来预防安全问题和保护关键信息资产,避免破坏和严重破坏。这三个步骤如下:
第一步:知道谁能够访问特权信息
政府机构必须对可以访问关键信息的人进行管理,使他们能够理解和适当地管理访问权。
第二步:采用适当的政策以保护敏感信息
政府机构必须创建一个可操作的计划并予以执行,对每个级别的信息采用特权密码和访问管理控制。
第三步:定期更新安全和访问凭证以监测和维持控制
通过部署管制程序来自动化更新访问管理和密码,政府机构能够确保正确的人访问正确数量的关键信息。
总之,通过采取必要的措施来解决这些安全挑战,政府机构可以实现更好的管制、更低的风险和更好的合规。这将最终有利于保护公共财产的安全以及获取公众的信任。