美国众议院能源和商业委员会发布报告，指出网络安全事件预防与缓解策略。作为众议院监督与调查委员会工作的一项总结，该报告囊括了来自众多简报、听证会、信件、报告和圆桌会议的结论，提出了改善漏洞防护的6项重点工作。

有效网络安全集成并未跟上互联网的快速发展，监督与调查委员会为期一年的分析发现了数种无关行业、规模和复杂程度的通用模式。

随着网络安全事件数量的增长，传统信息技术策略眼看着无法有效应对，监督与调查委员会聚焦网络安全事件两大根源，着眼找出公司企业可如何强化其网络安全能力的方法。

在新发布的报告中，委员会提出了6个应对网络安全事件的核心内联概念：

• 概念1：未知的未知总会存在。
• 概念2：你无法保护自己都不知道的所有物。
• 概念3：软件不再是编写出来的，而是集成的。
• 概念4：必须有一种通用的网络安全语言。
• 概念5：数字资产比实体资产衰老的速度更快，也更难预测。
• 概念6：网络安全需要动员“全社会”。

这6个概念引出了解决网络安全问题的6个重点：

• 重点1：广泛采纳协同披露项目。
• 重点2：实现联网技术软件材料清单。
• 重点3：支持与稳定开源软件生态系统。
• 重点4：保持通用漏洞与暴露(CVE)项目健康。
• 重点5：实现技术产品全生命周期支持策略。
• 重点6：强化公-私合作模式。

该报告对每个概念和重点都做了详尽的解释，也提供了委员会过去几年来一直关注的相关产品，可供作为实现这些策略的初始步骤使用。然而，正如委员会指出的，还有很多工作等待完成。

报告总结道：

每个概念和重点都代表着涵盖更广的一项网络安全挑战。单独实现其中一组概念-重点无疑能在某种程度上改善社会的整体网络安全状况，但委员会多年来的工作表明，每一组概念-重点互为补充，相互倚赖。

网络安全策略报告原文地址：

https://energycommerce.house.gov/wp-content/uploads/2018/12/12.07.18-Cybersecurity-Strategy-Report.pdf