美国土安全部发布约束命令草案,要求国内机构制定漏洞披露政策 安全响应中心

admin 9月前 168

发布时间:2019-11-29     来源:MottoIN   

       美国土安全部网络安全与基础设施安全局(CISA)网络安全处发布了一份约束性操作指令(Binding Operational Directive 20-01)的草案,该草案要求联邦机构加强对网络漏洞的防御。

       CISA是2018年11月16日在美国总统特朗普签署《2018年网络安全与基础设施安全局法案》的背景下成立、受国土安全部监管的一个独立的联邦执行单位,其延续了国土安全部之前的国家保护与项目局(NPPD)的职责,主要负责改进美各级政府的网络安全、协调各州网络安全项目、改进政府网络安全、抵御各类黑客的网络攻击。

       CISA发布的这个草案强制美国内机构建立相关项目、与外部安全研究人员进行合作,查找并修补机构网站和应用的软件漏洞;同时,CISA还征集公众对此草案的评论,要求道德黑客对其进行改善。

       草案之所以发布,是由于CISA注意到很多联邦机构没有建立起来一个接收和解决来自第三方企业或个人的漏洞信息流程,而缺乏这种流程标准可能“造成不及时向联邦政府上报潜在信息安全问题、或是消极对待这些信息的环境。”

       CISA在其草案命令中称:“漏洞披露政策能够为各机构感知未知漏洞提供便利,能让机构为善意的安全研究授权、并对漏洞报告做出回应。”该机构强调,通过鼓励联邦机构和公众之间的协调配合,该命令会增强政府在线服务的弹性。如果该命令能生效,各机构将有180天的时间来发布各自的漏洞披露政策,公众在12月27日之前都能提交评论内容。

       CISA副主任的Jeanette Manfra在单独的CISA博文中称:“我们想听到来自人民和机构的针对漏洞披露的呼声”。Manfra在DHS工作了12年,此前曾担任国土安全部长的网络安全事务高级顾问和国家安全委员会关键基础设施网络安全主任,就是她倡导建立一个整合的网络安全机构从而为CISA建立的立法打下了监视基础,其还执行了国土安全部“持续诊断和减缓”及“爱因斯坦计划”等,不过今年年底,其将离开CISA,有消息称其离职是国土安全部在2020总统大选的损失,当然这是题外话了。这个约束操作指令也是在Manfra的全力支持下制定的,目前已经得到美国防部等联邦机构的承认,美国商务部也发布了自己的漏洞披露计划,其他机构还在酝酿。

       事情大概就是这样,但值得注意的是CISA对此类命令征集评论尚属首次,要求各企业维护漏洞披露政策这种事也是开风气之先。是不是受到特朗普推特治国的感召而开启的民意互动我们不得而知,政策所能产生多有利的影响现在也很难预见,但不得不说这一举动是“向善”的,值得效仿。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:微软披露恶意挖矿软件Dexphot完整信息:全球已有8万台设备受感染
下一篇:美商用短信服务商TrueDialog数据泄露 涉数千万条短信
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回