美国CSC 2.0报告:加强网络安全建设的十条建议

2024-09-24 17:43

近日,美国网络空间智囊委员会(CSC)发布了44页的CSC 2.0报告,报告引用了白宫在过去一年推出的一些网络安全举措,同时强调了集体努力在提升国家网络韧性方面的重要性,呼吁在下一届国会和政府中,继续关注和强化网络安全的战略和政策,并提了网络安全强化的十条建议。


这十条建议主要包括:

1、为系统重要实体设定利益与责任(5.1)

2、进行强有力的经济连续性规划(3.2)

3、立法明确威胁信息共享的联合协作环境(5.2)

4、加强CISA内的综合网络中心(5.3)

5、制定云安全认证(4.5)

6、组建网络统计局(4.3)

7、建立最终产品组装商的责任制度(4.2)

8、制定网络保险认证(4.4)

9、确立国民警卫队的网络安全职能(3.3.6)

10、增强社会对网络信息行动的抵御能力(3.5)


其中,第七条明确表示“为最终产品组装商建立责任制度将使制造商对其产品中被利用的网络安全漏洞负责,激励他们从一开始就开发安全的产品设计。这一责任框架不仅会增强产品安全,还会通过要求制造商在产品到达消费者之前进行全面的安全测试,确保整个行业的改进。”

这意味着,供应商也应当为产品的安全负责,要建立SDLC安全开发的流程和制度,借助代码审核软件成分分析软件物料清单、模糊测试等测试手段,为软件产品的设计、开发、测试、上线、运维等全生命周期开展充分的安全测试。