新的政府网络指南缺乏，集团表示

美国国家标准与技术研究院（NIST）发布的一套新的网络安全指南缺乏政府系统所需的保护，网络安全分析和倡导组织指出。网络安全研究所表示，7月31日发布的针对民间机构的非分类数据让许多联邦IT系统脱离了最高安全要求。该组织在本周发表的一篇评论中称，被评为低影响力或中等影响力的目标的联邦系统的安全控制措施并非旨在支持熟练且资金充沛的黑客。

“现在所谓的高端威胁规范不是例外，“CSI在报告中说。 “联邦和私营部门的IT专业人士越来越多地报告说，他们经常遇到的攻击来自高技能，高度积极和资源丰富的行为者 - 从俄罗斯暴徒到中国军队，再到有组织的网络犯罪分子。”

[进一步阅读：如何从Windows PC中移除恶意软件]

问题是，许多敏感的联邦系统都属于中等影响类别，其中包括与联邦法律中“极度敏感”调查有关的信息执法机构，CSI代理执行董事Rob Housman说。他表示，电子健康数据似乎也属于中度影响类别。

“如果IRS [国内税收服务]调查不是您希望获得更高级别的保护老练的攻击者，我不知道是什么，“Housman说，他曾任白宫禁毒办公室战略规划助理主任，并在马里兰大学教授反恐和国土安全课程。 “几乎所有与公私营部门首席信息官，首席信息安全官员和其他人进行的对话中，他们所说的他们看到的都是……复杂的黑客。”

NIST建议要求低影响系统和中影响系统CSI的报告指出，“但是，罗斯是NIST的资深计算机科学家和信息安全研究员，他表示CSI的批评看起来是基于这样的观点的：因为误解了NIST的指导方针。首先，NIST准则是最低标准，个别机构必须进行风险评估并根据需要量身定制指导方针。“

联邦机构需要对自己的系统进行分类，高影响系统应该是那些罗斯说，如果他们失去了“严重的，灾难性的影响”。 “这些基准[在NIST建议中]是机构的最低起点，”他说。 “暗示不应该在那里，这对我们所看到的一些类型的攻击有足够的控制。”

一些被美国对手攻击的机构将不得不采取额外措施来保护他们的计算机系统，罗斯说，

有些风险是机构只能将工作量降到最低，罗斯说。但他将新的NIST指导方针称为“世界上任何地方最广泛，最丰富，最深入的控制系统”。他说，美国国防部和情报机构与NIST就这套指导方针进行了合作。如果NIST要遵循CSI的建议，那么指南中的每个安全控制措施都将建议用于每个联邦信息系统。 “很明显，这将会非常昂贵，而且对于我们拥有的许多系统而言，这将会过度。”他说。 “你投入系统的每一项控制……都会耗费机构资金。”

另外，这些指导方针还将继续发展，Ross说。虽然白宫管理和预算办公室将确定机构遵守第三版NIST网络安全指南的时间表，但NIST将继续完善这些建议，他表示。

豪斯曼承认，预算是联邦机构的一个大问题。尽管他说NIST的建议还远远不够，但他称之为与过去的努力“向前迈进了一大步”。然而，美国总统奥巴马在5月下旬的演讲中呼吁结束网络安全现状，Housman补充道，“这是一种现状加，我称之为黑客和补丁，”他说。 “我们已经变得自满了，我们接受这样一个事实，即将会有黑客入侵，而且他们将会取得成功，我们将不得不为他们打补丁。”