《网络空间安全国家战略》编辑本段回目录
该战略分为综述、优先方面、结束语和附录四大部分,约5万字。它对美国网络空间面临的威胁和脆弱性进行了阐述,明确指出制定和实施网络空间安全保护计划的指导方针,提出了五大优先发展方面和47项行动建议,并规定了联邦政府有关部门在网络安全保护中的基本职责,也为州和地方政府、私人企业和机构以及普通公民指明了在改善网络安全方面的行动方向。该战略号召美国全民参与到他们所拥有、使用、控制和交流的网络空间安全保护中来,以实现“保护美国关键基础设施免遭网络攻击、降低网络的脆弱性、缩短网络攻击发生后的破坏和恢复时间”三大战略目标。
网络威胁和脆弱性
信息技术已悄悄地改变了美国企业和政府的运行方式,美国经济和国家安全对信息技术和信息基础设施依赖性越来越强,其中最重要的是互联网,网络直接支撑了各个经济领域的运行。在和平时期,敌人可能对美国的政府、大学研究中心和私人企业开展间谍活动,这些活动包括侦测和勾勒美国信息系统的全貌、明确关键目标和借助后门或其他接入方法侵入关键基础设施。在战争时期或危机时刻,他们就会通过攻击关键基础设施、主要经济命脉或者削弱公众对信息系统的信心等方式胁迫国家领导人。
对脆弱性问题,该战略从家庭用户、小型机构、大型机构、关键部门/基础设施、国家问题和全球五个层面对可能存在的脆弱性进行了分析。大型机构是网络攻击的主要目标,家庭用户和小型机构虽不是关键基础设施的一部分,但家庭用户和小型机构的计算机可以成为远程控制网络的一部分,第三方可利用这些机器群对主要的因特网节点、重要机构或关键基础设施发动拒绝服务攻击。如果不注重解决关键基础设施的脆弱性,只是一味等待即将到来的攻击消息,是一种冒险而不可取的战略,应该采取积极措施来识别脆弱性并提高恢复能力,不断进行脆弱性评估和恢复行动。
因此,没有一个单独的战略能够完全消除网络空间的脆弱性和相关威胁,国家必须进行风险管理,提高能力,将攻击造成的损失降到最低。
战略指导方针
该战略在综述部分“国家政策与指导方针”一章中详细论述了美国制定和实施网络空间安全保护计划的指导方针。
1.鼓励全国性合作
这是在整个战略中反复强调的一个重要方针。它的意思是,保护广泛分布的网络空间资源需要全体美国人的共同努力,仅靠联邦政府无法充分保护美国的网络安全。美国联邦制的传统和政府权力受限的现实需要非联邦政府的组织在许多方面担当领导角色。联邦政府欢迎公共和私人机构开展保护网络空间安全方面的诸多合作。
政府在网络安全保护中的作用主要体现在: 支持信息安全技术的研究与开发; 号召并促进政府与非政府组织以及非政府组织之间的对话和讨论; 确定影响国土、国家和经济安全的“公众悲剧”的发生; 共享有关网络空间威胁和脆弱性的信息,使非政府组织能够在适当的情况下调整风险管理战略和计划。政府参与网络安全保护行动的范围应限制在那些政府干预效果大于直接和间接成本的情形,在任何情况下,都应该考虑政府行动相对于其他替代行动的普遍成本和影响,同时还要考虑现有或潜在的私人机构的解决方案。
2.保护隐私权和公民自由权
网络空间的滥用将会侵犯隐私权和公民自由权。网络安全和个人隐私权的目标并不矛盾,网络空间安全计划必须加强而不是削弱对隐私权的保护,必须让公民相信对其自愿共享的、非公开的信息的处理将是正确的、保密的、可靠的。
3.发挥法律法规和市场的力量
制定法律法规不是保护网络安全的主要途径,以法律法规形式强制规定各机构信息系统配置的做法可能会对创造其他更成功的解决网络安全问题的方法产生影响,甚至会导致更不安全、更不融合的体系结构。市场是改善网络安全的主要推动力。
4.明确各部门的义务和责任
在执行《网络空间安全国家战略》的过程中,成立不久的国土安全部应该担当核心角色,除了负责实施本部门所承担的计划项目外,还将充当联邦政府的主要联络点,为州和地方政府、私人机构以及美国公民就网络安全问题展开讨论提供沟通平台。此外,科学与技术政策办公室负责协调支持关键基础设施保护的技术研究与开发。管理与预算办公室负责监督联邦政府有关计算机安全计划的政策、规则、标准和方针的执行。国务院负责协调网络安全方面的国际事宜; 中央情报局负责评估针对美国网络和信息系统的国外威胁; 司法部与联邦调查局负责领导调查和打击网络犯罪。为了促进并加强合作,为每个容易受攻击的主要经济领域指定“领导部门”,如银行与金融领域的网络安全保护工作由财政部领导。
5.确保应对的灵活性
网络空间威胁的变化日新月异,因此,要确保应对网络攻击的灵活性,开展持续的脆弱性评估,使在网络威胁产生后重新评估、重新分配资源。
6.制定多年计划
新技术的不断涌现和新的脆弱性的不断出现使网络空间安全保护成为一项持续性工作。要求联邦机构及其他公共和私人机构制定一个多年计划来履行其职责。
“五大优先”的核心内容
该战略确定的第一个优先方面是提高对网络攻击事件的应对能力,并减小事件带来的潜在破坏,它涵盖了7项行动建议;第二个、第三个和第四个优先方面致力于降低网络攻击的威胁和脆弱性,分别包括15项、9项和6项行动建议;第五个优先方面旨在预防可能影响国家安全的网络攻击并提高对此类攻击的国际化管理和应对能力,涉及10项行动建议。以下是其核心内容。
优先一:国家网络空间安全响应系统
指定国土安全部负责领导和协调国家网络空间安全响应系统的建立。此系统是一个公共-私人合作机制,用来对网络攻击进行分析和告警、处理国家级重要事故、促进政府系统和私人部门基础设施的持续运行,增加机构间的信息共享以改善网络安全。
私人部门拥有的网络越来越成为攻击的目标,它们很可能成为对国家有重大影响的潜在网络攻击的最早发现者。因此,私人部门根据自身需求而建立的信息共享与分析中心(简称ISAC,运作资金由其成员单位提供)将在国家网络空间安全响应系统和国土安全的整体任务中发挥越来越重要的作用,国土安全部应加强同信息共享与分析中心的紧密合作,确保接收及时的威胁和脆弱性数据,并对突发性的计划任务进行协调。
同时,还需要将网络告警与信息网(简称CWIN)从联邦政府网络监测中心扩展到联邦政府的网络运行中心和私人部门的信息共享与分析中心,为政府部门和产业界提供一个共享网络告警信息的专用、安全通信网络,以支持国土安全部在网络空间危机管理中的协调作用。
另外,要成功地提高分析、指示和告警能力,需要在公共和私人部门之间实现自发的信息共享。该战略重申了《国土安全法》确定的双向信息共享机制:一方面,鼓励产业界与国土安全部共享信息,确保政府部门不会以损害提供者的方式透露产业界自愿提供的关于威胁和攻击的信息;另一方面,要求联邦政府在保护保密信息和其他敏感的国家安全信息的基础上,适当地将有关信息与私人部门共享。
优先二:国家网络空间安全威胁与脆弱性降低计划
危及网络安全的脆弱性大多出现在关键基础设施的信息资产和其外部支撑结构(如因特网设备)上,连接到互连网络上的安全性不高的网站也是重大的潜在隐患。脆弱性源于技术缺陷、操作不正确或技术产品的疏忽等。
在这一方面,该战略明确了需要开展的三项工作:通过有效的计划以减少威胁和阻止恶意攻击者,并对他们进行确认和惩罚;对那些已被发现的可能对关键系统造成重大损失的现存弱点进行确认并补救;开发脆弱性较小的新系统,对新技术的脆弱性进行评估。
减少脆弱性需要运用大量的资源。在识别和补救脆弱性方面必须讲究有效性和系统性,美国应重点在确保因特网机制的安全、推广可信赖的数字控制系统/监督控制和数据采集系统(DCS/SCADA)、降低并补救软硬件脆弱性和了解物理基础设施相互依赖性四个方面开展工作。另外,国家必须把网络安全研究放在优先位置,国家级研究必须优先发展那些能够支持在21世纪将网络空间转换成安全、高速的知识和通信基础设施的领域。新兴的研究领域也能对安全产生无法预料的后果。光学计算和智能工具的出现,或者从更长远来看,纳米技术、量子计算和其他领域的开发将重塑网络空间及其安全。在理解这些技术及对安全的含义时,国家必须走在前沿。
优先三:国家提高网络安全意识与培训计划
除了信息技术系统的脆弱性外,要提高网络的安全性至少还有其他两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。
在增强意识方面,由国土安全部负责领导提高家庭用户和小型企业、大型机构、高等教育机构、州和地方政府等关键用户网络安全意识行动,如制定提高中小学生网络安全意识计划、促使州和地方政府的关键决策者支持对信息系统安全保护措施投资等。在网络安全培训方面,进一步提高现有联邦网络安全培训计划的有效性,促进开展足够多的培训和教育计划。国土安全部还将与其他部门协作,鼓励实施网络安全职业培训计划。此外,该战略还指出了目前美国在网络安全专业人员资格认证方面存在的问题,如考核要求差异大、缺乏统一标准等,要求参考其他职业资格认证的成功管理模式(如医生、律师)制定国家承认的网络安全专业人员资格认证方法和指南。
优先四:政府网络空间安全保护
联邦政府应在重视和关心网络安全方面起到表率作用。在联邦政府网络安全建设上,管理与预算办公室主任负责确保各部门和机构的领导履行其在保护IT系统安全方面的职责,这些IT系统不包括国家安全部门和机构的保密系统,它们由国防部长和中央情报局局长负责。该战略重申了有关政府网络安全管理的六点不足,包括:1. 缺乏高级管理者的关注; 2. 缺乏绩效评估; 3. 安全教育与意识方面不足;4. 缺乏足够的资金支持和在资金计划和投资控制中没有充分考虑安全问题;5. 不能确保合同商所提供服务的安全性;6. 对信息网络脆弱性的监测、报告和信息共享方面的失败。为克服上述不足,要求将安全需求与预算和资金规划相结合,政府机构在联邦资金规划中应该考虑安全问题并报告每项IT投资的安全成本,在管理与预算办公室批准对IT系统进行投资前,政府机构必须证明已经解决了系统安全方面的重大问题,否则,该系统的投资将不予批准。
联邦政府在改善和维护网络安全时应围绕识别和验证体系结构、对威胁和脆弱性进行持续评估并了解其对机构运行和资产的潜在风险、进行网络安全控制和补救以减小风险并实施风险管理三个方面的工作展开。联邦政府还面临着对联邦系统用户的认证和授权、联邦无线局域网的安全、改善政府外包和采购的安全、为独立的安全检查和检查人员以及认证制定专门标准四个安全挑战。每个机构都应在适当的情况下配合管理与预算办公室做好这些挑战的应对工作。
此外,应鼓励州和地方政府为其所属部门和机构制定IT安全计划(包括意识、审计和标准等问题),并鼓励它们参与信息共享与分析中心。
优先五:国家安全与国际网络空间安全合作
确定的10项行动建议的核心内容包括加强网络空间的反间谍工作、促进并建立全球“安全文化”、推动调查和打击网络犯罪方面的国际性合作。此外,当国家、恐怖主义组织或其他敌对势力通过网络对美国进行攻击时,美国保留以适当方式进行反击的权利,美国已经做好应付一切可能事件的准备。
在保护美国信息基础设施的漫长道路上,《网络空间安全国家战略》的出台只是第一步。正如该战略最后指出的在不久的将来,美国将更加依赖网络空间,联邦政府将继续寻求广泛的、持续的合作。该战略并不是一成不变的,将随着技术进步、威胁和脆弱性的变化以及对网络安全问题认识的进一步清晰而不断更新。
论美国信息安全主导国家战略编辑本段回目录
十一年以前,我们就开始对美国的信息安全保障进行跟踪、学习,我们对美国的信息安全保障问题很重视,用科学发展的态度不断更新,不断提高。下面,由中国工程院沈昌祥院士为大家介绍这方面的问题,以下为谈话内容:
一、美国将网络空间安全由“政策”、“计划”提升到国家战略。
美国将网络安全列入国家计划开始规划,还认为不够又提升为国家战略。美国在克林顿政府时期就把建设信息保护作为根本政策,同时发现了很多的网络安全问题。
1998年5月,克林顿政府发布了第63号总统令(PDD63):《克林顿政府对关键基础设施保护的政策》,成为直至现在没有政府建设网络空间安全的指导性文件。
2000年1月,克林顿政府发布了《信息系统保护国家计划V1.0》,提出了没有政府在21世纪之初若干年的网络空间安全发展规划。
2001年10月16日,布什政府意识到了911之后信息安全的严峻性,发布了第13231号行政令《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会”,简称PCIPB,代表政府全面负责国家的网络空间安全工作。委员会由克拉克担任主席。
委员会成立以后,系统地总结了美国的信息网络安全问题,提出了无数个问题向国民广泛征求意见。征求意见以后,马上颁布了《保护网络空间的国家战略》,这个《战略》很有意思,主要从系统角度加以分辨保护,提出分为五级:第一级 家庭用户与小型商业;第二级:大型企业;第三级:关键部门;第四级:国家的优先任务;第五级全球。
2003年2月,在征求国民意见的基础上,发布了《保护网络空间的国家战略》的正式版本,对原草案版本做了大篇幅的改动,重点突出国家政府层面上的战略任务,这是一个非常大的跨越。
新的《保护网络空间的国家战略》提出了三大战略目标:
一是预防美国的关键基础设施遭到信息网络攻击;
二是减少国家对信息网络攻击的脆弱性;
三是减少国家在信息网络攻击中遭受的破坏,减少恢复时间。
五项重点任务:
一是国家网络空间安全响应系统;
二是国家网络空间威胁和脆弱性减少项目;
三是国家网络空间安全意识和培训项目;
四是国家网络空间安全保护政府网络空间的安全;
五是国家安全和国际网络空间安全合作。
2005年4月14日,美国政府公布了美国总统IT咨询委员会2月14日向总统布什提交的《网络空间安全:迫在眉睫的危机》的紧急报告,对美国2003年的信息安全战略提出不同看法,指出过去十年中美国保护国家信息技术基础建设工作是失败的。短期弥补修复不解决根本问题。GIG耗资一千亿美元,而安全问题没有解决,仍是漏洞百出。(他们认为是不能用的)
当时,提出了四个问题和建议:
1、政府对民间网络空间安全研究的资助不够,建议每年拨NSF九千万美金;
2、网络空间安全基础性研究团体规模小,七年时间团体规模扩大一倍;
3、安全研究成果的成功转化不够,政府加强在技术转让方面与企业的合作;
4、缺乏政府部门间协作与监管是安全对策无重点和无效率的根源;
5、建议成立“重要信息基础设施保护跨部门工作组”。
2006年4月,信息安全研究委员会发布的《联邦网络空间安全及信息保护研究与发展计划(CSIA)》确定了14个技术优先研究领域,13个重要投入领域。
为改变无穷无尽打补丁的封堵防御策略,从体系整体上解决问题,提出了十个优先研究项目,包括:认证、协议、安全软件、整体系统、监控检测、恢复、网络执法、模型和测试、评价标准、非技术原因。
美国国防部2007年2月4日公布的《四年一度防务评审》报告非常关注网络空间安全,提出加强网络空间安全研究作为未来重点发展的作战力量之一。
报告指出,网络不仅是一种企业资产,还应作为一种武装系统加以保护,如同国家其他的关键基础设施那样受到保护。针对当前和未来可能的网络攻击,报告重点提出了“设计、运行和保护网络”,确保联合作战的需求。
美国总统签署命令,扩大网络监控范围。
美国总统2008年1月8日签署一项扩大情报机构监控因特网通信范围的联合保密指令,以防御对联邦政府计算机系统日益增多的攻击,这项指令授权以国家安全局为首的情报部门监控整个联邦机构计算机网络。指令的具体内容保密。这项行动将花费数十亿美金,资金将列入2009年财政预算中。
国土安全局将收集和监控入侵的数据,配置防御攻击和加密数据的技术。另外国土安全局还将致力于把政府因特网端口从2000个减少至50个。
同时,为了进一步加强政府核心部分的防范,发布了总统54号令,这个令是保密的。我们了解到主要是“设立了综合性国家网络安全计划”,主要对政府系统加以进一步地防范。还拓展了国家安全局对政府信息系统安全的主管权力。
内容导航二、美国网络空间安全当前的战略
(一)美国网络空间安全战略
网络空间指全球互联的数字信息,也是对通信技术设施的总称,称为四大空间以外的第五空间。
布什总统在信息安全上弄得焦头烂额,他的任期快到了,也解决不了问题,他希望下一届总统解决这个问题。因此,就成立了《第44届总统网络空间安全委员会》,经过一年半的工作,形成了《提交第44届总统的保护网络空间安全的报告》。
报告引言:暗战,以二战时期“阿尔发和英格玛”事件为警示,提出:网络安全是美国在一个竞争更加激烈的新国际环境中面临的最大安全挑战之一,美国处于英格玛被破境地。
报告认为,过去20年来,美国一直在努力设计一种战略来应对这些新型威胁和保护自身利益,但始终都不算成功。无效的网络安全以及信息基础设施在激烈竞争中受到攻击,削弱了美国力量,使国家处于风险之中。
报告提出了十二项、25条建议,分别从制定战略、设立部门、制定法律法规、身份管理、技术研发等方面进行了阐述。
尤其是第一条,建议设定一条基本原则,即网络空间是国家一项关键资产,美国将动用国家力量的所有工具对其施以保护,以确保国家和公众安全、经济繁荣以及关键服务对美国公众的顺畅提供。
报告认为:仅仅靠自愿采取行动是远远不够的。美国必须评估风险并按重要性对各种风险进行等级划分,在此基础上制定出保护网络空间的最低标准,以确保网络空间的关键服务即便在美国遭受攻击的情况下也能不间断地工作。
提出12项建议:
1、制定一项全面的网络空间国家安全战略
2、构建网络空间安全机构
3、与私营部门的合作伙伴关系
4、网络安全法规
5、保护工业控制系统和SCADA(监督、控制和数据采集系统)的安全
6、通过采购规则提高安全性
7、身份管理
8、法律法规现代化
9、修订联邦网络空间安全管理法案
10、消除民用系统与国家安全系统的区别
11、网络教育和劳动力发展培训
12、网络空间安全研发
(二)奥巴马政府的战略举措
2008年12月,为了加深奥巴马政府对信息安全现状的认识,美国开展了为期2天的“模拟网络战”,总计有230名来自军方、政府和企业的代表参与了这次演习活动。
演习结果认为,美国在网络攻击前抵抗能力很差,这为奥巴马政府敲响了警钟。
2009年5月26日,发布《总统关于白宫国土安全和反恐组织的声明》,宣布一种将增强国家安全和国家保障的新方法。
主要决定重点解决机构问题
对白宫官员进行全面整合,以支持国家和国土安全。成立“国家安全参谋部”,由国家安全协调官领导,统一支持国土安全委员会和国家安全委员会。
在国家安全参谋部中新增人员和职务,用以处理21世纪所面临的新挑战,包括网络安全、大规模杀伤性武器、恐怖主义,跨国界安全,信息共享和弹性政策,这些人员和职务具有对事件进行预防和响应的职能。
2009年2月9日,奥巴马指示美国国家安全委员会和国土安全委员会负责网络空间事务的代理主管梅利萨?哈撒韦主持组织对美国的网络安全状况展开为期60天的全面评估。
经过几个月的工作,2009年5月29日,奥巴马在白宫东厅公布了名为《网络空间政策评估——保障可信和强健的信息和通信基础设施》的报告,并发表重要讲话。
奥巴马在演讲词中强调,美国21世纪的经济繁荣将依赖于网络空间安全。
他将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项。”
报告全长76页,除前言、内容提要、简介外,正文包括6个章节,分别是:
1、加强顶层领导。通过以下事项来加强对网络空间安全的领导:设立一个总统的网络空间安全政策官员和支持机构;审查法律和政策;加强联邦对网络空间安全的领导力,强化对联邦的问责制;提升州、地方和部落政府的领导力。
2、建立数字国家的能力。提升公众的网络安全意识,加强网络安全教育,扩大联邦信息技术队伍,使网络安全成为各级政府领导人的一种责任。
3、共担网络安全责任。改进私营部门和政府的合作关系,评估公私合作中存在的潜在障碍,与国际社会有效合作。
4、建立有效的信息共享和应急响应机制。建立事件响应框架,加强事件响应方面的信息共享,提高所有基础设施的安全性。
5、鼓励创新。通过创新来解决网络空间安全问题,制定全面、协调并面向新一代技术的研发框架,建立国家的身份管理战略,将全球化政策与供应链安全综合考虑,保持国家安全/应急战备能力。
6、行动计划。提出了近期行动计划10项和中期行动计划14项。
此外,美国政府发布的这份报告还在附录回顾了现代通信技术在美国的发展情况以及信息安全相关法律和法规框架的制定情况。
报告强调:
1、国家现在处于一个十字路口;
2、现状已不能再接受;
3、必须从今天开始全国性的网络空间安全对话;
4、如果孤立地工作美国不可能成功地确保网络空间的安全;
5、联邦政府不能完全委托或取消其保护国家免受网络事件或事故影响的角色;
6、与私营部门合作,必须定义下一代基础设施的性能和安全目标;
7、白宫必须领导前进的道路。
内容导航三 、思考与启示
1、充分认识信息安全国家战略地位,全面落实27号文件各项工作,加快信息安全保障体系建设。应总结评估27号文件贯彻落实情况,提出新的战略对策。
2、加强国家信息安全统一领导和协调,既要各职能部门做好本职工作,更要相互配合。国家必须统一领导和协调。国家应恢复国家网络与信息安全协调小组和办公室。
3、加快推进信息安全等级保护,从整体提高信息安全保障能力。技术与管理并重,控制源头,内外兼防,克服盲目封堵、打补丁的被动局面。
4、加强以密码技术为基础的信息安全防护和网络信任体系的建设。加大研发投入,从基础技术上做到自主创新、自主可控。加快制定信息安全国家标准,加大力度推进可信计算技术等核心产业发展。
5、加快人才培养,增强全民安全意识。确定信息安全人才教育和培训体系。信息安全应列为一级学科,培养各级专门人才,同时开展社会化的培训和普及教育。
只有这样,才能使我国的网络安全做得越来越好,我讲这么多,谢谢大家!
参考文献编辑本段回目录
http://www.ccw.com.cn/applic/forum/htm2003/20030408_09J7W_2.htm
http://tech.sina.com.cn/s/2009-10-22/17561106184.shtml