尽管FITARA在2014年成为一项法律,然而政府网络安全仍在困难线上继续挣扎。在本文中,专家Mike O. Villegas讨论了该法律带来的影响。
尽管项目起于美政府,不过没有太多和其有关的说法。那么,FITARA界定了什么?它对美政府的网络安全造成了什么影响?
Mike O. Villegas:2014年12月,“联邦信息技术获取改革法案”(FITARA)签署成为法律。该法案要求许多政府机构的负责人确保其各自的CIO在所有信息技术决策中要发挥重要作用。这包括网络安全,鉴于近年来政府机构数据泄漏事故频发(如OPM和联邦存款保险公司事件),这一点显得尤为重要。
然而,FITARA并没有消除联邦机构的网络安全问题。例如,检察长办公室最近一份题为“2015年度DHS信息安全计划评估”的报告显示,国土安全部存在许多安全漏洞,如缺少安全补丁、密码较弱的组件、内部易受XSS和跨框架攻击、SQL注入、配置漏洞、缺乏对特权用户所需的专门培训、远程访问问题,监控不足,以及不测试应急计划。也有其他问题,当然让联邦政府坦陈其网络安全问题是非常不情愿的。
FITARA不是CIO采购网络安全工具或保护措施必须要完成的任务,这些购买如何分配显然由CIO自行决定。但如果这个明显的空白没有得到弥补,且政府机构继续有泄漏事故发生,那么每个受影响机构的首席信息官将需要给出多种说法,包括每个机构的负责人。
FITARA能否影响美国政府的网络安全?显然,答案是肯定的。该法案旨在将机构和部门推向更有效的新技术采购系统中去,同时摆脱过时的遗产产品,这肯定是有利于网络安全的。
本文转自d1net(转载)
