编辑: f19970615123fa | 2015-08-05 |
1 月5日,美国商务部和美国国土安全部联合发布了给特朗普总统的报告《增 强互联网和通信生态系统对僵尸网络和其他自动、分布式威胁的恢复能力》(A Report to the President on Enhancing the Resilience of the Internet and Communications
2 来源:http://www.sac.gov.cn/xw/bzhxw/201801/t20180116_341375.htm (采集日期:2018-01-19) 中国科学院武汉文献情报中心 标准化信息快报
2018 年第
1 期3Ecosystem Against Botnets and Other Automated, Distributed Threats)3 ,以响应
2017 年5月11 日特朗普总统关于加强联邦网络和关键基础设施网络安全的行政命令. 报告认为,当存在减少自动、分布式攻击的威胁时,所面临的机遇和挑战可以 概括为以下六个方面: (1)自动、分布式攻击是一个全球性问题.在最近的僵尸网络中,大多数被 破坏的设备都位于美国以外.提高互联网和通信生态系统抵御这些威胁的能力需要 与国际伙伴采取协调行动. (2)存在有效的工具,但这些工具没有被广泛使用.显著提高因特网和通信 生态系统恢复力所需的工具、 程序和实践是可以广泛获得的. 然而, 由于多种原因, 它们不属于许多其它部门产品开发和部署的一般实践, 包括 (但不限于) 缺乏认识、 成本规避、技术专长不足以及缺乏市场激励措施. (3)产品应该在生命周期的各个阶段得到保护.在部署时易受攻击的设备、 发现漏洞后缺乏修补工具的设备、或在供应商支持结束后仍继续服务的设备,都使 得装配自动化、分布式威胁变得太容易. (4)需要教育和提高认识.家庭和企业客户、产品开发商、制造商和基础设 施运营商之间的知识差距阻碍了使生态系统更具弹性的工具、流程和实践的部署. (5)市场激励失调.感知到的市场刺激与 大幅度减少自动化和分布式攻击 所造成的威胁 的目标不一致.市场激励措施促使产品开发人员、制造商和供应商 将成本和时间降至最低,而不是建立安全或提供有效的安全更新.在开发产品时, 必须在安全性和便利性之间取得更好的平衡. (6)这是一个全生态系统的挑战.没有一个单一的利益相关者群体能够孤立 地解决这个问题. 报告确定了五个将大大减少自动、分布式攻击,提高生态系统对威胁的恢复能 力的目标,并提出了每个目标下的具体措施.分别是: 目标 1:为可适应、可持续和安全的技术市场找到一条明确的道路 该目标下的措施包括:(1)为家庭和工业应用中的物联网设备建立广泛接受 的基线安全配置,并通过双边安排和使用国际标准促进国际采用;
(2)软件开发 工具和流程可以显著减少商用软件中安全漏洞的发生率,因此必须被工业界更广泛 地采用;
(3)工业界应加快发展和部署创新技术,以防止和减轻分布式威胁.政 府应优先考虑研发(R&
D)基金的申请和技术转型工作,支持分布式拒绝服务 (DDoS)的预防与减轻研发工作,并支持预防僵尸网络的基础性技术;
(4)政府
3 原文标题:U.S. Departments of Commerce, Homeland Security Release Preliminary Report on Promoting Action Against Botnets and Other Automated Threats 来源: https://www.nist.gov/news-events/news/2018/01/us-departments-commerce-homeland-security-release-preliminary-rep ort (采集日期:2018-01-19) 中国科学院武汉文献情报中心 标准化信息快报
2018 年第
1 期4和工业界应进行合作,确保现有的最佳实践、框架、与物联网相关的指南以及确保 透明度的程序在数字生态系统中得到更广泛采用. 目标 2:促进基础设施创新,以动态适应不断变化的威胁 该目标下的措施包括:(1)互联网服务提供商和他们的合作伙伴应该扩大当 前的信息共享,以便在国内和全球范围内更及时和有效地共享可操作的威胁信息;