- 发布日期:2025-05-27 07:36 点击次数:184 https://www.trustqb.net
「印第安纳大学教授:构建透明的软件市场和提供充分的信息将有助于加强网络安全」
2022年6月24日,美国布鲁金斯学会(Brookings Institution)发布由美国印第安纳大学教授吉恩·坎普(Jean Camp)撰写的《拜登的网络安全令是否足够深入?(Does Biden’s cybersecurity order go far enough?)》。文章指出,拜登政府旨在改善国家网络安全的行政命令 (EO14028) 提出了一系列的运营和采购规则,旨在为创建安全的供应链体系提供其所需的额外信息,通过将人工智能与人类分析相结合,将数据转化为可用于支持决策的可操作信息。该项行政命令不仅为美国的供应链安全保驾护航,还给予了网络空间可持续的安全保护措施,并为智能制造的增长做出了杰出的贡献。尽管E014028行政命令对决策和分析起到了促进作用。例如要求在购买软件之时或之前以及在运行其的过程中获取相关信息,软件制造商应在已验证的开发环境中完成最佳实践,以及提供软件出处及软件组件的识别的证明。且该指令还命令美国国家标准与技术研究院(National Institute of Science and Technology,NIST)开发一个可访问和可接受的标签系统(labeling system),为不太了解相关信息的消费者传达此举蕴含的安全意义。但是这些信息的质量仍不被保障。
作者表示,尽管大量的数据要求需要人机系统相结合来进行评估,但是将可用的信息呈现给人类分析师至关重要。经历史实践可得出,单单使用人工智能进行分析并不能有效地保证网络系统的安全。例如在SolarWinds事件中,人工智能检查的唯一变量是登录请求的地理位置,攻击者利用此漏洞进行了登录,Trust钱包下载且未被识别为恶意登录, imtoken钱包下载这类型风险对该事件的恶化造成了推动作用。作者指出,在勒索软件已经成熟,且成为攻击者的一种常态化的利益获取方式之时,了解存在的漏洞、缺乏缓解措施、未能发现主动入侵且进行故障恢复是涉及网络安全的关键问题。而通过标签、代码质量信息和事件披露要求以及建立相应的漏洞披露规则、溯源通道以及数据池,可以实现有效的风险识别、沟通和缓解渠道。此外,还需建立一个完整的生态系统来舒缓单个基础设施面临的风险压力。通过提供软件材料清单、强制报告和标签要求来提高风险识别。而进行披露贼将可以使网络保险市场更加文件和准确。作者指出,EO14028行政命令解决了网络安全市场的核心信息不对称问题,即高质量的安全组件在购买时与最差的组件没有区别;哪些方面可以在操作过程中更新代码对操作者来说是不透明的;代码中嵌入的漏洞是未知的;以及任何一个被攻击者利用的可能性是未知的。而除了EO14028行政命令通过要求软件供应及服务商提供有关可被攻击的漏洞信息,为做出决策制定提供了所需的基本历史数据之外。NIST创建的软件标签计划也可以为消费者层面的购买决策提供信息鉴别。当前基于能源之星模型(Energy Star Model)的单一标签设立旨在为购买者提供其所需用来鉴别个体安全评级的信息,就像警告标签提醒所存在的风险一样。此外,软件物料清单 (Software Bill of Materials,SBOM) 提供了更加细微的数据透明度解决方案。SBOM要求列出购买的软件产品的所有组件信息,通过这些信息,软件购买者可以了解到代码中存在的已披露漏洞。但SBOM无法解决相关操作问题。然而,作者指出,现在的市场明显缺乏识别和预防网络攻击的意识和措施。一项涉及500名从业者的网络安全观念调查显示,受访者不具有可以帮助他们识别网络上的漏洞的必要信息。并且,当前的市场对将网络安全相关业务外包给企业也仍缺乏信任。
因此,作者最后强调,应建立透明的软件市场并且运营商和购买者提供信息。此举还是美国可以发挥的最大的竞争优势。作者指出,尽管新兴国家可以对其公民进行投资,以建立技术专长,但是,很多国家在构建信赖的法治体系和确保市场透明度方面都难以与美国竞争。作者认为,拜登政府关于改善国家网络安全的行政命令 (EO 14028) 不是一个提供安全供应链的万能地图,但如探路者一般点明了其未来建设方向。
吉恩·坎普(Jean Camp):美国印第安纳大学教授,专注于信息学和计算机科学领域。她同时是美国科学促进会(American Association for the Advancement of Science, AAAS)、电气电子工程师学会(Institute of Electrical and Electronics Engineers, IEEE)和美国计算机协会(Association for Computing Machinery, ACM)的会士。
原文链接:
https://www.brookings.edu/blog/techtank/2022/06/24/does-bidens-cybersecurity-order-go-far-enough/
- Trust钱包安卓版下载 Trust Wallet用户投资敏感度评估:你真的了解自己的风险承受能力吗?2026-01-02
- Trust钱包官网入口 Trust Wallet App:引爆市场,影响力飙升!2026-01-02
- Trust钱包app下载 Trust Wallet下载后必须设置的关键控制点,你真的知道吗?2026-01-01
- Trust钱包安卓版下载 Trust Wallet下载量暴跌?市场演变与现状揭秘!2026-01-01
- Trust钱包app下载 Trust Wallet新功能震撼登场,操作超简单!2026-01-01
- Trust钱包app下载 Trust Wallet最新版如何处理小额交易?快速攻略!2026-01-01