韧性蓝图

统一关注危机和风险管理

保护关键信息系统免受未来风险在很大程度上依赖于现有风险管理的成熟度。风险管理不再是合规性演练的一部分，而需要在所有部门之间采取统一、一致和有纪律的方法。不同的政府职能或社区具有不同的响应机制，这与其各自的风险承受能力相对应，所有这些应当经过充分记录，以便进行持续监测和长期规划。

• 部门之间缺乏协调和合作。
• 危机期间关键服务和基础设施恢复的延迟。
• 经常成为攻击行为者的目标。
• 国家或国际声誉受损。
• 公众信任丧失，保护公众相关数据安全。

• 增强协作，促进信息共享，以建立对策和事件响应框架。
• 在各职能和行业之间标准化和集中风险评估框架。
• 设立一个机构或委员会，以监督和协调政府范围内的危机和风险管理工作。
• 将风险管理原则融入所有政府部门。

• 投资自动化，保护终端，以增强网络防御能力。
• 定义泄露准备、响应和恢复的标准与协议。
• 定期评估政府的准备情况，通过网络演习识别改进领域。
• 利用SIEM工具聚合来自各种安全源的数据，以实现集中监控、风险检测和更快速的事件响应。
• 优先保护关键云基础设施。

政府各个层面之间的战略协调

各政府部门和机构层级往往处于孤岛状态。这导致沟通和协作有限，最终造成低效、重复的工作，以及最重要的——错失机会。正如应急管理、公共卫生和基础设施机构之间的协作对于灾难响应至关重要，促进战略协调与规划可以帮助政府打破孤岛，朝着共同目标共同努力，最终更好地为公众服务。

• 上级部门向下级组织的知识传播几乎为零，导致知识分享受到限制。
• 孤立的方法可能阻碍信息部门找到复杂问题的创造性解决方案。
• 服务交付碎片化，导致用户体验下降。

• 组织多个部门人员参与的联合训练和研讨会。
• 建立明确、标准化的沟通协议，并如有必要——制定升级程序，以确保各级之间信息交流的及时和高效。

• 通过整合跨部门的网络专业知识和资源，鼓励协作和信息共享。一种方法是利用知识中心（政府或商业）来支持缺乏内部安全能力的不同IT团队。
• 对公共和供应商团队进行联合网络事件响应的培训，并结合演练以增强你们共同抵御网络攻击的能力，从而提高韧性。

通过治理确保供应商安全

您的供应链不是一夜之间建立的。它是一种随着时间推移而构建的网络，没有适当的治理，无法在长期内维持。通过实施强有力的治理措施，政府/公共实体可以建立一个更加灵活的供应链生态系统，以应对任何灾难和紧急情况。有效的治理使领导者拥有更多的责任，确保资源和服务能够到达最终用户——公众。

• 对自然灾害的响应延迟导致生命损失和基础设施损坏加剧。
• 关键公共信息系统超负荷运作。
• 关键服务和操作的中断。
• 缺乏监督和有限的可视化。

• 选择正确的治理手册。
• 建立信任是增强网络安全的关键。
• 在警报响起前识别关键角色和责任实体。
• 通过演练和联合演习加强个体实体，同时关注整体改进。
• 让供应商对齐安全标准。

• 部署一个适当的变更管理系统。
• 通过假设网络始终面临内部和外部风险来采用零信任框架。
• 评估和缓解与软件和硬件供应商相关的安全风险。
• 为所有参与IT采购和使用的利益相关者建立策略，定义角色和责任，包括政府机构、供应商。

确保合规管理

政府机构负责维护公众数据、公共记录、基础设施和敏感数据，这些对于国家安全至关重要。强有力的治理和合规确保数据保护，特别是在对抗黑客活动时。重要的是，通过提高意识和主动的风险管理，而不仅仅将其视为一项简单的检查项目或生产力的障碍。

• 缺乏合规性比表面合规性更糟糕——表面合规性源于对法规重要方面的忽视所导致的自满心态。
• 职工可能会将合规视为一种差事，而非一项长期责任。
• 合规差距可能导致组织在不知情的情况下产生意外违规，使其易受利用这些差距的攻击。

• 努力将复杂的合规主题分解为清晰、简明且易于理解的策略和程序。
• 通过强制性评估、测验和绩效评审将合规整合到日常工作流程中。在每个部门任命一位合规负责人。
• 培养领导意识对于建立合规文化至关重要，以便在长期重视其重要性。

• 为关键基础设施建立适当的基准，填补规定和监管框架中的空白。
• 基于现实场景和数据保护最佳实践开发安全意识培训，涵盖合规检查清单的范围。
• 通过实施自动化工具进行漏洞评估、配置管理和报表来简化合规要求，从而释放IT人员的压力。

改善沟通和公共参与

公众参与对确保政府策略和成果的成功交付至关重要。这增强了信任，并大幅改善了服务交付，尤其是那些需要IT作为载体的服务。

• 公共部门获取公众过程的数据安全。
• 公共数据的使用、存储和归档面临安全风险的考验。
• 数据隐私保护，防止数据泄露。

• 规划数据传输到途径，保证数据传输的通道安全。
• 采用严格的数据访问权限管理，审计终端安全，加密存储设备。
• 识别敏感数据，设置数据传输边界，建立全面的数据隐私保护和泄漏保护策略。

• 建立数据采集、传输和存储的安全通道。
• 控制数据访问、存储的所有终端行为。
• 策划数据泄露应对策略。

促进创新，加速问题解决

根据以往的社会动态和IT安全事件，教会了IT管理员很多，那就是大规模的冲击和挫折并不意味着可以不提前准备并根据官方优先事项采取行动。在一个不确定的世界中，韧性是关键，唯一的前进之路是通过创建一个框架，不断创新并改善内部流程来让你的终端管理更加坚韧。

• 缺乏对变化的适应能力，逐渐导致无法解决关键公共问题。
• 政府IT服务系统达不到服务公众的需求。
• 未能创新可能导致在和供应商之间的合作出现延迟。

• 通过采用敏捷方法进行服务交付，优先考虑终端用户满意度，使其以公众为中心，而不仅仅是行政手续。
• 通过衡量新想法和方法在组织、文化和社区的各个层面的影响来跟踪和奖励创新。这反过来为评估创新解决方案的有效性提供了框架和机会。

• 通过主动风险检测、攻击面可视化和自动补丁部署，结合更强的早期风险识别与缓解，来加强您的IT安全。
• 引入数据泄漏防护解决方案，以防止敏感数据从终端设备意外或恶意外泄。

重新分配资源，提升职工技能

保护关键基础设施、敏感数据和公众信息需要双管齐下的方法：引入合适的工具和优秀的人才。然而，由于预算有限，IT部门更需要发挥创新精神。

• 由于缺乏资源或资源分配系统，无法提供基本服务和对事件的关键响应。
• 成本和服务中断可能会损害声誉并影响公信力。例如，由于勒索软件袭击而造成的负面新闻可能会损害公信力。

• 在引入新的人才之前，提升和再培训职工的IT安全知识，例如建立基本技能知识库和指定系统的培训计划。
• 采取措施提高IT管理的效率，从人工向自动化转变。
• 识别IT的核心能力，创建可在关键任务期间扩展的灵活团队。

• 通过进行全面的风险评估，优先考虑需求，以识别最关键的可改进的领域。首先为满足这些具体需求引入工具并合理分配资源。
• 弥补技能差距，丰富人才库，应对网络安全人员配备的挑战。
• 为前线工作人员提供合适的技术支持——知识管理、隐私保护、终端用户体验、终端安全。

结束语：为终端安全建立坚实基础

数字环境充满了不确定性。

不断演变的网络风险、新漏洞的发现和终端数量的增加可能对IT安全造成重大冲击，并阻碍有效管理。

支撑关键政府任务的IT基础设施同样容易受到网络攻击。这种情况影响到IT资产或终端，敏感数据、关键基础设施等等并作为重要政府服务的入口，被统称为“攻击面”。一个被攻陷的终端可能产生涟漪效应，干扰操作、泄露机密数据，并对公众信任造成不可逆转的损害。在充满风险的世界中，终端安全不再是一种奢侈，而是一种必需。

构建强大的终端安全基础需要多层次的方法。除了依赖工具来自动修补漏洞和执行最低权限外，IT还必须对职工灌输安全意识文化，使他们能够识别和报告可疑活动。除了技术解决方案外，促进IT与其他部门之间的合作也至关重要。

优先考虑终端安全，政府IT可以构建其网络韧性——抵御、适应和从网络攻击中恢复的能力。这构建一个更加安全和可靠的IT，能够高效地提供基本服务，并在面临不断存在的不确定性时保护敏感数据。

简而言之，终端韧性等同于政府韧性。