美国联邦人事管理局（The Office of Personnel Management）资料外泄案震惊了整个IT行业。为了确保不再发生这样的事件，是时候考虑该做些什么了。

从一个不同的角度来看待美国联邦人事管理局(OPM)资料外泄事件，我们可以汲取黑客带给我们的教训，知道如何避免类似事件的发生。

对于美国政府而言，最近人事管理局（The Office of Personnel Management，OPM）资料外泄事件无疑是“最坏的事情”，甚至超越了尴尬的外交电报泄露以及关键武器系统细节泄露事件带来的影响。

虽然高官发难政客指责，但人员、资金不足的IT系统如何能依赖处于自由世界的领导人来解决呢？这并不容易，还很昂贵。但是我仍旧认为联邦政府的IT系统可以达到要求的安全标准。

以下是为防止类似OPM网络泄露再次发生，我会采取的措施：

启动一个全面的内部培训。该内部培训的最低要求是，每个联邦雇员（无论是IT相关雇员或不相关雇员）都应该参加信息安全保障101意识培训。其次，每个直接涉及IT工作的员工应该进行更深入的培训。因为，不管花多少钱来提高数据安全性，一次又一次，个人的无知被证明是事件最薄弱的环节。虽然非武装联邦雇员的数量是惊人的，约270万人，但大规模训练也仅仅只是困难，并非做不到。

其次，要承认一个事实，花费在安全硬件上的成本和终端系统的实际安全性并不相关。一个安全控制平台的有效性的评估标准来自于其抗攻击的强度，表现为攻破它需要花费的时间和金钱。没有一个安全系统是无懈可击的，强大的控制也很容易被不良行为削弱。Web应用防火墙可能因为一个小小的漏洞而形同虚设；如果没有完善的认证系统，强大的安全传输通道也变得毫无意义。这就是为什么过去联邦认证计划现在必须全都要淘汰。现实情况是，安全技术比他们应该保护的的官僚政治，繁文缛节发展地快得多。在长达一年的过程中，拉着一个供应商来认证已经过时的代码，对谁都没有好处。这会耗费供应商的资源，扰乱市场竞争，并减少可提供给陷入困境的联邦IT经理的选择。通过消除这些限制，产品应该选择最适合实况的组合，而不是由拥有过时技术的垄断供应商提供。而唯一的例外是加密标准。

不得不承认，美国中央情报局的保密性，完整性和可用性是一个等边三角形，而不是等腰三角形。尽管系统可用性已经被赋予比它的孪生姐妹（完整性和保密性）更多的关注，但这也导致了系统可用性必须对得起期望。我不看好IT基础设施库(ITIL), 因为ITIL使实施维护计算机系统的完整性和机密性的改革变得艰难。通过更好地平衡这三个性能需求，关键系统补丁应该实现可以立即执行，而不是等到下一次董事会批准。

因此，我们已经放弃了强制认证和ITIL. 那么我们又如何确保部署的系统是最适合我们的目的呢？通过重新更新和重新迎战猛虎队的心态。主动自我进攻是防守的最佳形式。然而，一个坚不可摧的渗透测试并没有任何意义。减少网络攻击的渗透测试目标必须从“发现并报告”转变为“发现并修复”。这意味着，当机构发现攻击时可以自发地去处理。如果一个系统不能立即被修复，那么应该自动关闭，而不需要花费任何人力去授权关闭。

当然，改变不是一朝一夕的事，但是它是可能实现并且必须实现的。使用这些系统的公共部门雇员在短期内可能会收到一些困扰，但是绝对不会超过OPM安全漏洞给他们带来的影响。

最后，对于联邦IT工作人员来说，消除或减少网络攻击的配方和任何IT工作人员都是一样的。聘请优秀的人员，给予丰厚的薪酬，配备他们所需的工具，然后放开手来干活。