美国海关和边境保护局 (CBP) 表示,通过严格测试处理生物识别数据和个人身份信息 (PII) 的应用程序,可以更好地确保这些系统安全有效地运行,从而保护敏感信息免受潜在威胁。
CBP 表示,自动化软件测试的实施是其使命不可或缺的一部分,可增强其应用程序的可靠性和安全性,特别是那些处理生物识别数据和 PII 的应用程序。尽管如此,这一过程也并非没有问题,并且需要跟上 IT 系统不断变化的威胁。
美国海关边境保护局 (CBP) 客运系统项目理事会执行主任肯·奥本海默 (Ken Oppenheimer) 在采访和联邦月刊见解“我们拥有大约 90 多种不同的应用程序组合,我们在现场操作、支持和部署这些应用程序来支持任务,无论是陆地、海上还是空中进入,无论是在主要的、初始的进入点进入美国,甚至是我们在后端处理的一些系统。”
CBP 主要在基于 Java 的环境中运行,利用开源工具进行测试自动化。该机构表示,这一策略可以跨各种应用程序进行高效且一致的测试,确保软件按预期运行。
CBP 认为,其自动化测试通过识别漏洞并确保合规性,在维护生物识别数据的安全方面发挥着至关重要的作用。它表示,自动化测试可以检测处理生物识别数据的应用程序中的安全缺陷,以便及时修复,而定期测试可以验证系统是否遵守安全标准和协议,从而降低数据泄露的风险。
例如,2019 年,国土安全部 (DHS) 监察长发现,CBP 没有充分保护在其面部识别技术试点(称为“车辆面部系统”)期间使用的未加密设备上的敏感数据。
参与该试点项目的分包商 Perceptics, LLC 将 CBP 的生物特征数据副本(例如旅行者图像)传输到自己的公司网络。分包商在 2018 年 8 月至 2019 年 1 月期间在未经 CBP 授权或不知情的情况下获取了这些数据。 2019 年晚些时候,国土安全部经历了一起重大隐私事件,“分包商的网络遭受恶意网络攻击”。
此次泄露破坏了大约 184,000 张旅行者图像,其中至少 19。该事件凸显了严格安全措施的必要性以及自动化测试在防止未经授权的数据访问方面的作用。
国土安全部监察长在 2020 年 9 月的一份报告中表示,“国土安全部要求分包商保护个人身份信息免遭身份盗窃或滥用。然而,在本案中,Perceptics 工作人员从未加密的设备下载 CBP 的敏感 PII 并将其存储在自己的网络上,直接违反了 DHS 的安全和隐私协议。鉴于 Perceptics 拥有 CBP 拥有的敏感数据的能力,CBP 在试点期间的信息安全实践不足以阻止分包商的行为。”
尽管如此,CBP 认为自动化测试可以通过验证数据处理流程和监控数据完整性来保护 PII。测试确保应用程序根据既定的隐私策略管理 PII,防止未经授权的访问或滥用。自动化测试还可以检测数据处理中的异常或不一致,确保 PII 的准确性和完整性。
CBP 表示,数据安全性通过其企业分析计划得到了进一步证明,该计划采用先进的分析工具来解释对运营至关重要的数据。这些工具有助于识别趋势和模式,提高 CBP 任务的效率和有效性,同时确保安全处理 PII。
尽管如此,生物识别特定的复杂性给自动化测试带来了独特的挑战。自动化系统必须验证生物识别系统的实时处理能力,这与传统 IT 应用程序相比增加了复杂性。由于许多生物识别系统涉及专用硬件(例如指纹扫描仪、面部识别摄像头),因此自动化测试必须模拟用户与该硬件的交互,从而需要复杂的测试工具。
CBP 在某些操作中还依赖于遗留 IT 系统,自动化测试框架必须将现代测试工具与旧系统连接起来,而旧系统可能缺乏标准化的 API 或文档。
此外,出于测试目的而处理合成或真实 PII 的自动化测试需要强大的保障措施,以确保数据匿名或受到保护,即使在内部测试过程中也是如此。
尽管存在这些障碍,美国海关与边境保护局表示,其在自动化测试流程方面正在取得重大进展。
该机构表示,自动化测试可确保生物识别系统以高精度和可用性运行,最大限度地减少误报或漏报等错误。通过自动化验证加密、匿名化和访问控制的测试,CBP 降低了 PII 暴露的风险,符合隐私法规。
该机构表示,自动化测试加速了新功能和安全补丁的部署,使 CBP 能够快速响应不断变化的威胁和运营需求。虽然自动化测试的初始设置可能会占用大量资源,但 CBP 表示,长期减少手动测试工作可以显着节省成本。
CBP 的自动化测试策略也需要不断发展,以应对抗量子密码学等新兴挑战。自动化工具将需要能够验证后量子密码算法的集成,以保护数据免受未来的影响量子计算威胁。人工智能驱动的工具将进一步优化测试用例生成、缺陷预测和系统监控。
此外,CBP 正在过渡到云环境,以利用可扩展性、灵活性和改进的灾难恢复能力等优势,并且需要采用基于云的测试方法来确保应用程序在云设置中正常运行。基于云的测试自动化通过提供按需测试环境、支持并行测试执行和减少测试时间来支持敏捷和 DevOps 实践。
作为云迁移战略的一部分,CBP 正在将自动化测试集成到其开发流程中。这种集成可确保应用程序在迁移过程中得到彻底测试,从而在新环境中保持功能和安全性。云中的自动化测试可实现持续集成和持续部署,促进快速开发周期和及时更新。
云环境中的自动化测试使 CBP 能够进行全面的安全评估,确保符合联邦标准并保护敏感数据。通过自动化安全测试,CBP 可以在开发过程的早期识别漏洞,从而降低安全漏洞的风险。
CBP 计划扩大自动化测试工具和框架的使用,以支持其基于云的应用程序。这一扩展包括采用人工智能驱动的测试工具来提高测试覆盖范围和效率,以及实施持续的测试实践以确保持续的应用程序可靠性和安全性。
通过这些举措,CBP 正在加强其自动化测试能力,以有效应对与基于云的环境相关的挑战,确保 IT 系统的稳健和安全。
文章主题
|||||
