美國CISA近期推動雲端安全與關鍵基礎設施網路安全相關計畫

關鍵字：()；()；(；)；(；)；()；；()；

瀏覽次數：2332｜歡迎推文：

科技產業資訊室 - Savant 發表於 2022年8月10日

圖、美國CISA近期推動雲端安全與關鍵基礎設施網路安全相關計畫

CISA四月間發布「安全雲端商業應用指引」與「可擴展能見度參考架構」
早在2022年4月美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency，CISA)就針對安全雲端商業應用 (Secure Cloud Business Applications，SCuBA) 計畫建立指導文件：
1. 技術參考架構 (Technical Reference Architecture，TRA)，這是一份安全指引目的在幫助聯邦機構採用技術進行雲端部署、調適性(adaptive)解決方案、安全架構、零信任和靈活開發。
2. 可擴展能見度參考架構 (Extensible Visibility Reference Framework，eVRF) 指引，描述了一個架構，組織可以使用該架構來識別可用於緩解能見度資料威脅的，並識別能見度差距。
雖然這些資源主要針對政府機構，但 CISA 建議所有組織皆可使用該指引來提高雲端安全性。

七月間美國眾院針對聯邦政府的安全雲端採用計畫(FedRAMP)
2022年7月美國眾議院通過了2023財政年度國防政策法案，其中包括制定一項新計畫，政府機構和行業可以在該計畫中提交網絡威脅資訊，並為某些關鍵基礎設施提供額外的數位保護。

美國眾議院通過聯邦風險與授權管理計畫FedRAMP 授權法案，將針對聯邦政府的安全雲端採用計畫（聯邦風險和授權）的活動進行明文化(codify)和現代化改造管理計畫。眾院並且通通過了 8390 億美元國防授權法案—比拜登政府尋求的軍費開支多 370 億美元。

眾院要求CIP營運商須制訂數位安全標準並分享威脅情報
美國眾議院並於今年7月通過的一系列與網絡相關的修正案，最引人注目的是通過退休眾議員 Jim Langevin將「系統重要性實體」指定為美國最重要的關鍵基礎設施，這是由網路空間日光室委員會(Cyberspace Solarium Commission)建議的一項政策。新規定將要求營運商制定強大的數位安全標準並與政府共享威脅情報，以換取聯邦政府的支持。另外，一項將為五角大樓領導人制定獎勵計畫，為軍事人員在數位作戰中的「創新」提供最高 2,500 美元的榮譽肯定和金錢獎勵。

基本上眾議院法案已經包含了另一個日光室的最高立法優先事項，即建立「網絡威脅環境協作計畫」(Cyber Threat Environment Collaboration Program)，計畫目的在於增加CISA新的聯合網絡防禦協作組織成員之間資料共享的入口網站(Portal)，此外，修正案將 CISA 主任的任期編為五年，並將該職位的任命程序納入法律。(789字；圖1)

參考資料：
House passes defense policy bill laden with cyber provisions. The Record，2022/07/15.
Proposed US Guidance, Legislation Show Increasing Importance of Cloud Security. Securityweek，2022/04/20.

相關文章：
1. 趨勢科技：2021年度網路資安報告從回顧看出五項趨勢
2. 2021年網絡安全研究顯示83%的組織遭受破壞相關資安人員低估網絡攻擊風險
3. 邊緣運算帶來的新挑戰
4. 雲端、邊緣和遠端等熱門工作需求興起7種新網絡工作
5. TriggerMesh協助ONUG資安平台建立雲端安全通知架構
6. 網路安全產業吸引新創投資2021年已誕生9家獨角獸
7. KPMG：供應鏈風險與網路安全成為2021年影響台灣企業五大風險之一

歡迎來粉絲團按讚！

--------------------------------------------------------------------------------------------------------------------------------------------