FITARA給美政府網絡安全帶來的影響如何？

盡管FITARA在2014年成為一項法律，然而政府網絡安全仍在困難線上繼續掙紮。在本文中，專家Mike O. Villegas讨論了該法律帶來的影響。

盡管項目起于美政府，不過沒有太多和其有關的說法。那麼，FITARA界定了什麼？它對美政府的網絡安全造成了什麼影響？

Mike O. Villegas：2014年12月，“聯邦資訊技術擷取改革法案”（FITARA）簽署成為法律。該法案要求許多政府機構的負責人確定其各自的CIO在所有資訊技術決策中要發揮重要作用。這包括網絡安全，鑒于近年來政府機構資料洩漏事故頻發（如OPM和聯邦存款保險公司事件），這一點顯得尤為重要。

然而，FITARA并沒有消除聯邦機構的網絡安全問題。例如，檢察長辦公室最近一份題為“2015年度DHS資訊安全計劃評估”的報告顯示，國土安全部存在許多安全漏洞，如缺少安全更新檔、密碼較弱的元件、内部易受XSS和跨架構攻擊、SQL注入、配置漏洞、缺乏對特權使用者所需的專門教育訓練、遠端通路問題，監控不足，以及不測試應急計劃。也有其他問題，當然讓聯邦政府坦陳其網絡安全問題是非常不情願的。

FITARA不是CIO采購網絡安全工具或保護措施必須要完成的任務，這些購買如何配置設定顯然由CIO自行決定。但如果這個明顯的空白沒有得到彌補，且政府機構繼續有洩漏事故發生，那麼每個受影響機構的首席資訊官将需要給出多種說法，包括每個機構的負責人。

FITARA能否影響美國政府的網絡安全？顯然，答案是肯定的。該法案旨在将機構和部門推向更有效的新技術采購系統中去，同時擺脫過時的遺産産品，這肯定是有利于網絡安全的。

本文轉自d1net（轉載）