美國CISA近期推動雲端安全與關鍵基礎設施網路安全相關計畫 https://bit.ly/3vVeOWt CISA四月間發布「安全雲端商業應用指引」與「可擴展能見度參考架構」 早在2022年4月美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency，CISA)就針對安全雲端商業應用 (Secure Cloud Business Applications，SCuBA) 計畫建立指導文件1.技術參考架構 (Technical Reference Architecture，TRA)，這是一份安全指引目的在幫助聯邦機構採用技術進行雲端部署、調 適性(adaptive)解決方案、安全架構、零信任和靈活開發。2.可擴展能見度參考架構 (Extensible Visibility Reference Framework，eVRF) 指引，描述了一個架構，組織可 以使用該架構來識別可用於緩解能見度資料威脅的，並識別能見度差距。雖然這些資源主 要針對政府機構，但 CISA 建議所有組織皆可使用該指引來提高雲端安全性。 七月間美國眾院針對聯邦政府的安全雲端採用計畫(FedRAMP) 2022年7月美國眾議院通過了2023財政年度國防政策法案，其中包括制定一項新計畫，政 府機構和行業可以在該計畫中提交網絡威脅資訊，並為某些關鍵基礎設施提供額外的數位 保護。 美國眾議院通過聯邦風險與授權管理計畫FedRAMP 授權法案，將針對聯邦政府的安全雲端 採用計畫（聯邦風險和授權）的活動進行明文化(codify)和現代化改造管理計畫。眾院並 且通通過了 8390 億美元國防授權法案—比拜登政府尋求的軍費開支多 370 億美元。 眾院要求CIP營運商須制訂數位安全標準並分享威脅情報 美國眾議院並於今年7月通過的一系列與網絡相關的修正案，最引人注目的是通過退休眾 議員 Jim Langevin將「系統重要性實體」指定為美國最重要的關鍵基礎設施，這是由網 路空間日光室委員會(Cyberspace Solarium Commission)建議的一項政策。新規定將要求 營運商制定強大的數位安全標準並與政府共享威脅情報，以換取聯邦政府的支持。另外， 一項將為五角大樓領導人制定獎勵計畫，為軍事人員在數位作戰中的「創新」提供最高 2,500 美元的榮譽肯定和金錢獎勵。 基本上眾議院法案已經包含了另一個日光室的最高立法優先事項，即建立「網絡威脅環境 協作計畫」(Cyber Threat Environment Collaboration Program)，計畫目的在於增加 CISA新的聯合網絡防禦協作組織成員之間資料共享的入口網站(Portal)， 此外，修正案 將 CISA 主任的任期編為五年，並將該職位的任命程序納入法律。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 203.145.192.245 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Tech_Job/M.1660095331.A.B30.html