美国网络安全机构 CISA 宣布了一项新的具有约束力的操作指令,要求联邦机构遵守其云环境的安全控制基线。
《具有约束力的操作指令 25-01:实施云服务安全实践》旨在帮助联邦机构减少攻击面并提高抵御网络攻击的能力。
CISA 指出:“最近的网络安全事件凸显了配置错误和薄弱的安全控制所带来的重大风险,攻击者可以利用这些风险获取未经授权的访问权限、窃取数据或破坏服务。该指令将进一步减少联邦政府网络的攻击面。”
根据BOD 25-01,联邦机构必须识别云租户、实施评估工具并使其云环境符合 CISA 的安全云业务应用程序 (SCuBA) 安全配置基线。
该指令要求,到 2025 年 2 月 21 日,所有联邦机构都应创建并提供云租户清单,并每年更新。
该指令还要求,到 2025 年 4 月 25 日,各机构必须为范围内的云租户部署 SCuBA 评估工具,并开始持续报告该指令的要求。
到 2025 年 6 月 20 日,联邦机构应实施自 BOD 25-01 发布之日起生效的所有强制性 SCuBA 政策,即针对 Microsoft Office 365 的最终 SCuBA 安全云配置基线,详见 CISA 的必需配置列表。
“未来,CISA 可能会为其他云产品发布额外的 SCuBA 安全配置基线。发布适用的基线后,此类产品将属于本指令的范围。任何一年内未更新的基线将自动超出范围,并将从 SCuBA 安全配置基线目录中删除,”CISA 解释道。
BOD 25-01 要求联邦机构按照所需配置网站上发布的时间表,对强制性 SCuBA 政策进行未来更新,在实施强制性基线后监控新的云租户,并“在向 CISA 报告时识别并解释 SCuBA 评估工具输出中的偏差”。
根据该指令,网络安全机构将维护和更新范围内的政策列表;通知机构政策变化;为他们提供指导、帮助和支持;审查和解决偏差;评估机构进展并向国土安全部、管理和预算办公室和国家网络安全办公室报告。
“尽管 BOD 25-01 仅要求联邦民事行政部门机构采取行动,但 CISA 强烈建议所有利益相关者实施这些政策,并利用 CISA 的 SCuBA 评估工具和本页上的信息。这样做将降低重大风险并增强整个网络安全社区的集体韧性,”CISA 指出。
— 欢迎关注 往期回顾 —
>>>网络安全等级保护<<<
>>>关键信息基础设施安全保护<<<
>>>数据安全系列<<<
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<
网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?
网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?
