美國海關和邊境保護局 (CBP) 表示,通過嚴格測試處理生物識別數據和個人身份信息 (PII) 的應用程序,可以更好地確保這些系統安全有效地運行,從而保護敏感信息免受潛在威脅。
CBP 表示,自動化軟件測試的實施是其使命不可或缺的一部分,可增強其應用程序的可靠性和安全性,特別是那些處理生物識別數據和 PII 的應用程序。儘管如此,這個過程也並非沒有問題,並且需要跟上 IT 系統不斷變化的威脅。
美國海關邊境保護局 (CBP) 客運系統項目理事會執行主任肯·奧本海默 (Ken Oppenheimer) 在採訪和聯邦月刊見解“我們擁有大約 90 多個不同的應用程序組合,我們在現場操作、支持和支持任務,無論是陸地、海上還是空中進入,無論是在主要的、進入美國的初始進入點,甚至是我們在後端處理的一些系統。”
CBP 主要在基於 Java 的環境中運行,利用開源工具進行測試自動化。該機構表示,這一策略可以跨各種應用程序進行高效且一致的測試,確保軟件按預期運行。
CBP 認為,其自動化測試通過識別漏洞並確保合規性,在維護生物識別數據的安全方面發揮著至關重要的作用。它表示,自動化測試可以檢測處理生物識別數據的應用程序中的安全缺陷,以便及時修復,而定期測試可以驗證系統是否遵守安全標準和協議,從而降低數據洩露的風險。
例如,2019 年,國土安全部 (DHS) 監察長發現,CBP 沒有充分保護在其面部識別技術試點(稱為“車輛面部系統”)期間使用的未加密設備上的敏感數據。
參與該試點項目的分包商 Perceptics, LLC 將 CBP 的生物特徵數據副本(例如旅行者圖像)傳輸到自己的公司網絡。分包商在 2018 年 8 月至 2019 年 1 月期間在未經 CBP 授權或不知情的情況下獲取了這些數據。 2019 年晚些時候,國土安全部經歷了一起重大隱私事件,“分包商的網絡遭受惡意網絡攻擊”。
此次洩露破壞了大約 184,000 張旅行者圖像,其中至少 19。該事件凸顯了嚴格安全措施的必要性以及自動化測試在防止未經授權的數據訪問方面的作用。
DHS 監察長在 2020 年 9 月的一份報告中表示,“DHS 要求分包商保護個人身份信息免遭身份盜竊或濫用。然而,在本案中,Perceptics 工作人員從未加密的設備下載 CBP 的敏感 PII 並將其存儲在自己的網絡上,直接違反了 DHS 的安全和隱私協議。鑑於 Perceptics 擁有擁有 CBP 擁有的敏感數據的能力,CBP 在試點期間的信息安全實踐不足以防止分包商的行為。”
儘管如此,CBP 認為自動化測試可以通過驗證數據處理流程和監控數據完整性來保護 PII。測試確保應用程序根據既定的隱私策略管理 PII,防止未經授權的訪問或濫用。自動化測試還可以檢測數據處理中的異常或不一致,確保 PII 的準確性和完整性。
CBP 表示,數據安全性通過其企業分析計劃得到了進一步證明,該計劃採用先進的分析工具來解釋對運營至關重要的數據。這些工具有助於識別趨勢和模式,提高 CBP 任務的效率和有效性,同時確保安全處理 PII。
儘管如此,生物識別特定的複雜性給自動化測試帶來了獨特的挑戰。自動化系統必須驗證生物識別系統的實時處理能力,這與傳統 IT 應用程序相比增加了複雜性。由於許多生物識別系統涉及專用硬件(例如指紋掃描儀、面部識別攝像頭),因此自動化測試必須模擬用戶與該硬件的交互,從而需要復雜的測試工具。
CBP 在某些操作中還依賴於遺留 IT 系統,自動化測試框架必須將現代測試工具與舊系統連接起來,而舊系統可能缺乏標準化的 API 或文檔。
此外,出於測試目的而處理合成或真實 PII 的自動化測試需要強大的保護措施,以確保數據匿名或受到保護,即使在內部測試過程中也是如此。
儘管存在這些障礙,美國海關與邊境保護局表示,其在自動化測試流程方面正在取得重大進展。
該機構表示,自動化測試可確保生物識別系統以高精度和可用性運行,最大限度地減少誤報或漏報等錯誤。通過自動化驗證加密、匿名化和訪問控制的測試,CBP 降低了 PII 暴露的風險,符合隱私法規。
該機構表示,自動化測試加速了新功能和安全補丁的部署,使 CBP 能夠快速響應不斷變化的威脅和運營需求。雖然自動化測試的初始設置可能會佔用大量資源,但 CBP 表示,長期減少手動測試工作可以顯著節省成本。
CBP 的自動化測試策略也需要不斷發展,以應對抗量子密碼學等新興挑戰。自動化工具將需要能夠驗證後量子密碼算法的集成,以保護數據免受未來的影響量子計算威脅。人工智能驅動的工具將進一步優化測試用例生成、缺陷預測和系統監控。
此外,CBP 正在過渡到雲環境,以利用可擴展性、靈活性和改進的災難恢復能力等優勢,並且需要採用基於雲的測試方法來確保應用程序在雲設置中正常運行。基於雲的測試自動化通過提供按需測試環境、支持並行測試執行和減少測試時間來支持敏捷和 DevOps 實踐。
作為雲遷移戰略的一部分,CBP 正在將自動化測試集成到其開發流程中。這種集成可確保應用程序在遷移過程中得到徹底測試,從而在新環境中保持功能和安全性。雲中的自動化測試可實現持續集成和持續部署,促進快速開發週期和及時更新。
雲環境中的自動化測試使 CBP 能夠進行全面的安全評估,確保符合聯邦標準並保護敏感數據。通過自動化安全測試,CBP 可以在開發過程的早期識別漏洞,從而降低安全漏洞的風險。
CBP 計劃擴大自動化測試工具和框架的使用,以支持其基於雲的應用程序。這一擴展包括採用人工智能驅動的測試工具來提高測試覆蓋範圍和效率,以及實施持續的測試實踐以確保持續的應用程序可靠性和安全性。
通過這些舉措,CBP 正在加強其自動化測試能力,以有效應對與基於雲的環境相關的挑戰,確保 IT 系統的穩健和安全。
文章主題
|||||
