美国2011年网络安全战略编辑本段回目录
报告在《四年国土安全评估报告》的基础上撰写,列出了两大行动领域:保护当前的关键信息基础设施,建设未来的网络生态系统。指出保护关键信息基础设施的四项目标是:减少网络安全风险;快速应对网络安全事件、提高网络恢复能力;共享网络安全信息;增强网络抗压能力。此外,报告提出加强网络生态系统建设的四项目标:提高个人和组织安全使用网络的能力;研发和应用更可信的网络协议、产品、服务、配置和架构;构建合作型网络社区;建立透明的安全流程。该报告的撰写意图是呼吁保护对美至关重要的关键基础设施,并在一段时间后开发出更强大的信息和通信技术,使政府、企业和个人更安全地使用互联网。
【本刊讯】美国国土安全部网站12月12日发表2011年网络安全战略报告,题为《确保未来网络安全的蓝图》,副题为《美国土安全相关实体网络安全战略报告》,全文如下:
部长致辞(美国国土安全部部长珍妮特纳波利塔诺)我很高兴公布《确保未来网络安全的蓝图———美国土安全相关实体网络安全战略报告》(以下简称报告)。报告是根据《四年国土安全评估报告》要求公布的,反映了网络空间对我们经济、安全以及生活方式的重要性。
我们致力于建设的网络具有以下作用:推动创新和繁荣,推进经济利益和国家安全,并将保护个人公民自由、隐私权纳入美国土安全部的网络活动当中。报告为打造这样的网络提供了蓝图。报告旨在保护对美国至关重要的关键基础设施,并在一段时间后开发出更强大的信息和通信技术,使政府、企业和个人更安全地使用互联网。
维护网络安全人人有责,我们每个人都需在这方面发挥作用。网络安全威胁日益严峻,需要整个社会———包括政府执法部门、私营企业乃至公众参与维护网络安全。当前,美面临多层次的网络安全威胁。构成网络安全威胁的主体既有黑客和有组织犯罪团体,也有拥有先进技术的国家。个人和组织严密的团体利用网络薄弱环节盗取美国的知识产权、个人信息及金融数据。网络窃密技术日益先进以及网络安全事件不断增多,对我们的经济竞争力构成潜在威胁,并削弱了公众获得基本网络服务的能力。政府、非政府组织、私营部门乃至个人、家庭以及社区必须同心协力,有效减少网络安全风险。
州及地方政府、产业界、学术界、非政府组织及许多具有奉献精神的个人都为报告的撰写做出了贡献。他们的参与使国土安全部获益良多,在此谨致谢意。国土安全部还与联邦政府各个部门密切协同,完善这一报告,并确保报告与《2010年国家安全战略报告》、《网络空间行动战略报告》以及《网络空间国际战略报告》保持一致。
我还想感谢国土安全部各位同仁、成千上万的网络科学家、系统工程师、执法人员以及为保护网络安全忘我工作的其他专业人员。我很高兴代表他们发布这份报告。
摘要
报告为建设可靠、安全及具有恢复能力的网络提供了一个明确方案。报告是在《四年国土安全评估报告》基础上撰写的。在该报告的指导下,美各级政府、私营部门以及国际伙伴能够密切合作,增强维护网络安全的能力。这些能力对于我们的经济、国家安全以及公共卫生和安全至关重要。报告列出了两大行动领域:保护当前的关键信息基础设施,建设未来的网络生态系统。报告旨在保护最为关键的系统和资产,并推动人机协同方式的根本转变,以确保网络安全。在维护网络安全活动过程中,保护公民自由及隐私权是国土安全部的一项基本要求。
报告列出了保护关键信息基础设施的四项目标:
减少网络安全风险
快速应对网络安全事件、提高网络恢复能力
共享网络安全信息
增强网络抗压能力报告将上述四项目标细化成九项具体目标。能否实现这九项目标取决于美国国土安全相关实体的能力建设情况,而这些能力在实际工作过程中将转化成具体措施。美国国土安全相关实体需要综合运用这些措施,以有效地预测和应对各种网络安全威胁。报告中介绍的一些措施在当前行之有效,而其他措施则需要进一步完善,还有一些措施需要进一步论证。为实现上述目标,有必要建立一个相互协作并能做出快速反应的网络安全社区。
报告还提出了加强网络生态系统建设的四项目标:
提高个人和组织安全使用网络的能力
研发和应用更可信的网络协议、产品、服务、配置和架构
构建合作型网络社区
建立透明的安全流程报告将上述四项目标细化成十一项具体目标。这些具体目标能否实现取决于报告中提到的一系列能力建设情况。
构建可靠、安全和具有恢复能力的网络环境的工作包括:评估网络安全能力建设的进展、确定这些能力能否有效应对不断演变的安全威胁。根据上述评估结果,我们将对每年工作表现进行对比。这种方法将指出我们在能力建设方面的成绩和不足,明确下一步努力方向。
网络空间支撑着美国生活的方方面面,并为美国经济、民用基础设施、公共安全及国家安全提供了重要支持。保护网络空间需要远见、强有力的领导及国土安全相关实体所有成员的共同努力。美国土安全部撰写这份报告的目的,就是为了探讨美国家安全相关实体如何更好确保网络安全。
引言根据2010年《四年国土安全评估报告》制定的战略框架,国土安全相关实体实施行动的共同目标是:确保美国本土的安全,并有能力抵御恐怖主义及其他危险。为实现这一目标,《四年国土安全评估报告》明确提出了五项核心任务,其中重点强调了网络安全对国家的重要性。
所有国土安全相关实体都有责任完成上述任务。来自各级政府、私营部门和非政府组织的个人都参与了上述任务。除国土安全部等正式肩负网络安全责任的机构外,每台电脑的所有者和关键基础设施的所有者及操作者都有责任维护网络安全。国土安全相关实体在维护网络安全过程中担负的责任和发挥的作用,反映出其规模庞大、丰富多样及相互依赖的特性。
《四年国土安全评估报告》将网络空间安全确定为核心任务的依据是总统发布的《国家安全战略报告》,该报告包括:
宣布数字基础设施是国家的战略资产;
将网络威胁视为最严重的国家安全、公共安全及经济挑战之一;
并将数字基础设施的防护作为国家安全的重点。国土安全部发布《确保未来网络安全的蓝图》的目的,是为国土安全相关实体落实《国家安全战略报告》相关内容和实现《四年国土安全评估报告》提出的目标提供一套明确的行动计划:
建立安全和有抗压能力的网络环境
推广网络安全知识和推进网络安全技术创新该报告的唯一指导原则是:在保护现有关键信息基础设施的同时,建设未来更为强大的网络生态系统。这一原则将指导资源的优化组合,从而系统地发展维护网络空间安全所需的多种能力。
范围
2002年《国土安全法》、第7号国土安全总统行政令、第54号国家安全总统行政令及《2002年联邦信息安全管理法》等文件指出,国土安全部在联邦各部门中负责牵头实施以下任务:保护联邦政府文职部门的信息和通信系统,与相关部门和企业合作保护关键基础设施,与各级政府合作保护其信息系统。“国家基础设施保护计划”、“国家快速反应框架”等文件描述了国土安全部及其他联邦政府部门在确认和保护国家关键基础设施中的作用。但联邦政府仅仅是国土安全相关实体中的一部分,该战略能否成功需要相关各方的共同努力。尤其要指出的是,网络安全需要公共和私营部门在信息共享、创新、推广经验等领域展开强有力的双向合作。
从上述内容看,本报告旨在向国土安全相关实体提供实际和有意义的指导,使其能够确保网络空间的安全,并使所有希望能安全使用信息及通信技术的人受益。
与其他重要政策和战略的关系本报告支持以“政府一盘棋”的方式维护国家安全,并在制定过程中充分考虑了当前的国家网络空间战略和政策,其中包括:《白宫网络空间政策评估报告》、《网络空间国际战略》、《打击跨国有组织犯罪战略》、《综合国家网络安全倡议》、第7号国土安全总统行政令、第54号国家安全总统行政令、《网络空间可信任身份国家战略》及《国防部网络空间行动战略》。
动机
美国高度依赖网络空间。网络空间是现代社会的支柱之一。但网络技术在丰富我们的专业和个人生活的同时,也赋予一些人扰乱或破坏我们生活方式的能力。保卫和控制网络空间隶属国土安全工作的范畴,是因为可能导致严重后果的大规模网络事件将损害公共和私有部门的重要功能与服务,影响我们的国家安全、经济活力及公共健康和安全。
由于恶意使用网络者正在使用越来越复杂的手段、技术及程序,网络事件的数量和复杂程度不断上升:
关键基础设施必须能够抵御复杂和持续的破坏行动,并做好应对更多破坏性攻击的准备。这种破坏行动可以削弱或扰乱我们所依赖的基本服务。
政府机构必须防备可能移除或损毁敏感数据并干扰重要服务的非法行为。
大型企业、小企业和非营利组织面临着技术日益复杂的入侵行为,其对象主要是上述机构的消费者和客户的知识产权及个人信息。
消费者面临的风险通常是个人信息被盗,入侵者主要通过互联网上无数的站点实施未经授权的入侵行为。
战略预想
尽管我们无法预测未来网络空间的具体情形,但我们必须制定一套充分掌握正在塑造未来网络空间的各种力量要素的相关战略,以确保美国拥有在网络空间中的领导、影响和应变能力。鉴此,该战略应建立在以下预想之上:
恶意网络行为的数量和复杂程度的不断提升,要求我们共享网络安全信息,快速应对网络安全事件,打造一支专业的网络安全人才队伍。
社会、经济和产业领域对信息和通信技术的依赖不断加深,不仅有助于提高生产力和促进创新,而且也增加了网络用户群、扩展了网络技术设施以及需要保护的网络路径。
网络发达的互通性使其超越了地理边界,为国际合作提供了极大便利。但其存在的风险也从根本上改变了美国安全威胁的构成,这就要求我们调整现有的安全和威慑机制。
随着网络数据信息的急剧膨胀,分散和远程的网络管理既提供了新的机遇,也带来了更多的安全挑战。移动技术的发展使入侵者更容易获得敏感信息。网络风险的差异和个人、机构等对网络安全等级要求的不同,使以往“一刀切”式的安全防护措施不再有效。相关部门应制定一套基于风险的应对方案,使之能够随时进行调整、重点关注网络输出和运行情况、提高用户应对能力、促进创新和符合费效比原则。
信息和通信技术供应链的全球化为促进创新和鼓励竞争提供了机遇,同时也带来了更多风险。
第一章 我们所追求的未来
信息革命几乎改变了我们日常生活的方方面面。可靠的数字化基础设施将为创新和经济繁荣提供一个持续的平台,并使我们能够在遵循我们核心价值观的情况下,推进美国的经济和安全利益。为使我们的下一代发挥出信息革命的全部潜力,国土安全相关实体必须确保建立可靠、安全和具有抗压能力的网络空间,同时提升网络安全意识和创新能力。这一复杂而高强度的行动需要大量研发投入并经过实践的检验。本报告将为此提供强有力的基础。
根据《四年国土安全评估报告》的相关要求,国土安全相关实体应致力于创建:
一、安全的网络空间
保护美国及其民众、核心利益和生活方式未来,我们将在确保网络空间安全方面取得重大进展。国防和创新领域的敏感信息将得到进一步保护。美国民众在进行网上交易时将更有信心,影响关键信息基础设施的安全风险将被降至最低。个人和机构将具有较强的网络安全意识,并能采取相应的安全措施。美国国内及国际网络安全政策、法规将能及时反映当前的网络环境状况,并预见到未来的安全需求。监管机构拥有必要的网络工具和人才队伍,以确保各机构落实相应的安全措施。各国成为负责任的网络空间行为体,并拒绝为恶意使用网络者提供“庇护所”。一旦网络空间被恶意利用,各机构能使用必要的手段锁定入侵者并将其绳之于法。联邦机构和私营领域实体将拥有必要的网络安全专业技术人员,以满足其任务需求。
二、具有抗压能力的网络空间
提升个人、社区网络系统的活力、适应能力、快速反应能力和修复能力未来,我们打造的网络安全框架将能实时侦测网络威胁,并根据不同的突发事件制定相应的信息防护措施。包括通过模拟、仿真和演习,来确认和降低安全威胁等级。演习能定期检验关键基础设施的快速反应能力和计划的可持续性,并为决策者和投资者提供对策建议。国土安全相关实体将拥有灵活的信息分享机制———关于威胁、弱点和防护能力的重要内容将在公共和私营部门进行实时传输。在网络安全关键行动继续展开的同时,网络安全框架也将对重大事件做出快速反应。
三、鼓励创新的网络空间
通过合作创新,实现人、设施和市场的互联,以促进经济增长未来,美国人将拥有无处不在的网络接入设施。它将使个人、企业和市场之间的互联互通更加迅速和便捷。随着互联网用户使用新的网络设备,以往各自隔离的实体之间的交流将越来越多。新的信息和通信技术将把新兴市场与发达市场连接起来,并随着信息的加速流动,推动跨地区合作和促进欠发达地区的经济增长。以往的单机装置,如能源仪表和家用电器,将越来越具有通用性,消费者和企业将从中受益。更具活力的安全机制将降低消费者的风险,并使各机构获得更优质的服务和安全防护能力。在确保网络空间安全的同时,我们还要维护自由贸易原则、促进更广范围信息的自由流通、承担全球责任以及满足国家的需求。
四、保护公共安全的网络空间
确保美国民众的安全
未来,管控能源、交通运输、化工和关键制造业等关键基础设施部门的工业系统和控制系统,以及运行在各类医疗设备、交通工具和其他领域中的嵌入式系统,均能更好地抵御各类可能危害公共安全的网络破坏和攻击行为。在这一网络空间中,执法和应急反应等重要公共安全部门也能继续依赖完整且随时可以使用的信息和通信技术。
五、促进经济利益和国家安全的网络空间
增强美国的经济竞争力和国防安全
未来,安全、可靠的网络空间将为美国经济增加动力,使美继续保持经济强国地位。在该网络空间中,商业部门将更加充分地了解其面临的风险,对其知识产权的保密性、完整性和可用性也将充满信心。安全的网络空间能够支持国民经济有效运行,也可支持各类关键社会服务的开展。健康的网络空间还有利于国土安全部完成其他任务:预防恐怖主义、维护边境安全、执行移民法以及从事故灾难中迅速恢复。最后,通过同美国国防部合作,这一安全的网络空间将支持美国政府履行其保护国家安全的关键使命。
第二章 指导原则
美国人的价值观、基本原则和生活方式为报告提供了指导原则,其基础是保护隐私和公民自由。报告也体现了美国提出的“开放政府倡议”中的透明、参与和协作等理念。开放使民主变得更为强大,也可使政府的效能与效率得到提升。坚持上述原则是各利益攸关方增强本报告所述各种能力的关键。
一、隐私和公民自由
在确保网络空间安全的过程中,国土安全相关实体将保护公民权利和尊重隐私。每个公民都可了解其个人数据将如何被使用,并可相信其使用将是恰当的。美国国土安全相关实体将支持一个开放、互动的网络空间,个人可借此在全球范围内寻找、接收和影响各种信息和思想。信息的自由流动是互联网快速演变和成长的关键所在。网络空间也必须继续成为自由联接和自由表达的场所。
二、透明的安全流程
国土安全相关实体将在高度透明和负责任的流程下开展保护网络空间安全的活动。坚持“按需分享”和“谁提供谁负责”的合作原则,将使具体、可操作的网络安全信息得以传送给需要的人员,同时保护公民自由和隐私。美国政府、私营部门和国际伙伴之间的互动,可增进安全措施的效能,并提升决策质量。这既兼顾了公私利益,又有助于共享网络安全信息。
三、在分布式环境中共担责任
保护网络空间安全的各种力量散布在国土安全相关实体中,大量的网络安全专家也分布在诸多不同领域。因此,国土安全相关实体将利用网络空间这一分散性来保护网络自身。国土安全相关实体将继续努力增强地方政府和个人的能力,通过集体行动汇聚所有力量,以实现共同的安全利益。为确保所有人都处于安全的网络空间环境中,每个人都必须承担责任。国土安全相关实体将培养共同的责任感和公民义务意识,也将综合运用各种知识来处理安全问题和开展网络空间安全行动。
四、基于风险、费效比高且便于应用的安全政策措施
在个人、机构和国家等层面,网络空间的安全风险和对这些风险的承受能力各不相同。在确定网络空间中的关键系统及资产和必须应对的最主要风险的过程中,国土安全相关实体必须与他们分享见解。国土安全相关实体将区分网络空间安全行动的轻重缓急,以确保将资源持续地用于可最大程度降低风险的领域。有效降低网络空间的脆弱性,有赖于全面系统地评估各种网络空间安全政策措施的风险、成本和应用情况。在使用信息和通信技术的过程中,所有用户都面临某些风险。必须更好地了解这些风险,才能在参与网络活动和交流时做出明智的决定。
第三章 战略概念
报告体现的唯一且一致的战略概念是:在保护现有关键信息基础设施的同时,建设未来更为强大的网络生态系统。这一战略概念将指导美建立安全、可靠及具备抗压能力的网络空间,并形成各利益攸关方共同致力于提升美网络空间能力的局面。
一、重点关注领域
该战略概念包含两个互为补充的重点关注领域:保护关键信息基础设施。重点关注网络生态系统中软、硬件设施对美国至关重要。减少信息基础设施面临的威胁、确保其具备快速反应能力和网络安全信息共享能力,以及增强其快速恢复能力是保护信息基础设施的最佳途径。
提升网络生态系统的能力。此举旨在推动人机协同方式发生彻底改变,使人与设备能够更好地“融合”,以此确保网络空间的安全。这一革命性的改变将通过提高个人维护网络安全的能力、研发和使用更为可靠地网络协议、服务和产品、加强相关部门在维护网络安全方面的协作,以及建立透明的工作流程等方式实现。
二、成功的含义
国土安全相关实体的投入产出效益将通过量化的标准加以衡量。
(一)保护关键信息
基础设施在面临最严峻的威胁时,基于效果的衡量标准如果能够证实关键信息基础设施的所有者和经营者能够妥善管理风险,信息基础设施能够确保安全,我们认为关键信息基础设施得到了切实有效的保护。
(二)建设网络生态系统
当符合下列条件时,网络生态系统才是安全的:
用户能够充分认清、掌握和管理信息和通信技术风险;
机构和个人能够按规定执行安全和隐私条令;
个人、机构、网络、服务和设备满足网络安全标准;
信息和通信技术具备安全的通用性;
接近实时的端对端协作能够对网络安全事件发出警告并自动做出反应。
三、如何保护关键信息基础设施
确保国家关键信息基础设施的安全,需要联邦政府各个部门和机构之间的多边合作,也需要联邦,州和地方政府、非政府组织和私营部门之间业务合作。在联邦政府层面,国土安全部与军队、情报界和执法部门的协作是我们防范和有效应对网络威胁的基础。报告描述了国土安全部如何根据第7号国土安全总统行政令、第54号国家安全总统行政令及《2002年联邦信息安全管理法》,与合作伙伴共同采取防范措施。国土安全部将发挥坚强的领导作用,保护联邦政府中非保密的文职部门。
在下文中,报告列出了保护关键信息基础设施的四项目标,国土安全部将采取九项措施实现上述目标。实施过程中,各种措施需要相互配合以有效地预测和应对的各种威胁。下文中介绍的一些措施在当前行之有效,而其他一些措施则需进一步完善,还有一些措施需要进一步论证。为实现上述目标,有必要建立一个相互协作且能做出快速反应的网络安全社区。
每种能力都包含相应的人员、流程和技术因素。由于网络社会具有全球性,我们需要与国际伙伴共同建设和运用这些能力。报告的结语部分将详细介绍如何在后续的实施计划中对能力进行优化组合。
美国国土安全部支持通过新的立法,以促进在政府和私营部门之间自愿分享合法获取的网络安全信息。此外,相关立法行动应在现有指导原则之下,为私营部门分享网络安全信息提供免责保护。相关法案还应鼓励政府和私营部门以适当方式及时分享网络安全信息。
网络安全立法活动应在透明和充分吸收广大民众意见的基础上授予或加强国土安全部以下权力:
为加强网络安全,确定拥有或负责运行关键信息基础设施的实体;
确定需要应对的具体网络安全风险;
评估并确定应对上述风险的标准化程序;
要求相关实体完善维护网络安全的计划,确定应对上述网络安全风险的方法;
建立第三方评估机制,评估相关实体在管理和应对网络安全风险方面的效能。
国土安全部支持通过修正《联邦信息安全管理法》,使国土安全部担负起联邦文职行政部门信息安全的主要责任,这将赋予国土安全部以下权力:
公布必须执行的信息安全政策和命令;
评估相关机构的信息安全计划;
指定相关实体负责接收信息安全方面的报告,内容包括信息安全事件、威胁及影响信息系统的弱点等。
(一)减少网络安全风险
1.规避威胁:通过持续运用国土安全部国家网络安全保护系统,削弱国内外罪犯利用、损害、瘫痪或摧毁关键信息基础设施的能力。
国土安全相关实体应具备的核心能力包括:
防入侵系统及其他安全技术。可减少进出信息和通信系统的恶意流量。
在防止、调查和起诉网络犯罪行为过程中加强国内法和国际法的执法力度。
通过专门的技术训练、使用先进的调查手段、建立相关国际合作等方式,加强证据共享及将犯罪分子绳之以法的能力。
通过全源信息搜集和分析,确认相关威胁的实施者及其使用的策略、技术及步骤。
就关键信息基础设施面临的最严重威胁发布及时、有针对性和可操作性的信息。信息共享论坛、分析中心、工作小组、提供合作的门户网站、简报及其他机制的运行,有利于国土安全相关实体中的利益攸关方进行威胁信息的分发和交换。
组建与威胁信息的发布者和使用者进行接触的团体,从而确立描述、解读和自动处理威胁信息的标准。
将网络安全事件报告的指导方针和激励措施发放至适当的机构和个人,包括网络安全专家和各级政府,以及联邦执法部门和突发事件反应中心。
2.强化关键信息基础设施:采用适当的安全措施以管理关键系统和资产面临的风险。
国土安全相关实体应具备的核心能力包括:
确定在受到干扰、破坏或毁坏的情况下,最有可能对国家安全、经济安全和公共健康或安全造成影响的关键信息基础设施,其中包括网络互联节点、域名系统、卫星地面站、电缆平台、工业和监控系统、关键商业或交通系统和其他支持关键功能和服务的系统。
运用技术和相关指导原则对网络进行管理。
评估各类网络威胁并根据结果确定重点的领域,如某个特定的威胁会利用网络的脆弱性并引发严重的后果。在系统、组织、部门、区域、国家和国际层面的威胁评估将帮助公共和私营部门的相关实体了解其面临的风险,从而使其能确定优先行动领域以降低风险和进行投资。
借助相关网络安全标准有效应对威胁。运用具体的管理手段、技术和安保措施以降低风险,这已被写入联邦政府文件当中。
不间断地对内部网络进行监督和测定,确保风险管理根据技术或风险环境的变化实时进行调整。对风险管理的第三方评估将验证该行动是否符合标准。
上述措施将对关键基础设施的技术弱点进行界定、分类,并找出需关注的重点领域。
3.实现革新:寻找新方法以应对业已存在的问题,同时开发应对潜在安全挑战的新技术。
国土安全相关实体应具备的核心能力包括:
将研发重点放在需要优先考虑的关键安全领域。联邦网络和信息技术研究与开发计划列出以下研究重点:“内置式安全措施”、“定制可信的网络空间”、“移动目标”及“网络经济激励措施”。
迅速应用新开发的产品和工具,以应对不断变化的网络安全威胁。
整合国家网络研发活动,包括国防、执法、反情报部门等开展的研究活动。
(二)快速应对网络安全事件、提高网络恢复能力
1.鼓励相关实体优先采取行动:重大网络安全事件威胁公共安全、削弱公众信心、影响国民经济和国家安全。因此,一旦发生重大网络安全事件,相关实体应采取联合行动,迅速做出反应,恢复网络安全。
国土安全相关实体应具备的核心能力包括:
及时和准确查明、报告、分析网络安全事件并做出反应的能力:当网络安全事件发生时,应通过国家网络安全和通信中心等负责监视和预警部门,协调有关部门,搜集与汇总网络安全事件的信息,协调联邦、州、地方政府部门以及私营机构和国际伙伴的行动,以及时和准确地查明、报告、分析网络安全事件并做出反应。
制定成熟和操作性强的应对和恢复预案的能力:该预案不仅能应对网络安全事件造成的物理性后果,还要能消除物理破坏造成的网络影响。
建立强大伙伴关系的能力:为能迅速重建关键信息基础设施,国土安全相关实体需要建立强大的伙伴关系,包括与第一批做出反应的相关实体密切合作,以及在必要时政府或私营部门的专家提供远程或现场技术帮助。
网络威胁调查和分析能力:通过网络威胁调查和分析,确定恶意网络行为对基础设施的影响。通过提供法律行动所需的证据,为采取反制措施提供前瞻性分析,预测和防范未来可能发生的敌意行为。联邦调查局领导的国家网络调查联合特别工作组就是专门从事网络威胁调查和分析的跨部门机构,它具有扭转攻击造成的被动局面、确定攻击者的数字和物理特征等能力。
标准化的自动修复能力:将系统恢复至正常、安全的状态。
2.做好网络突发事件应急准备:举行网络安全演习,以检验应急计划并总结经验教训。
国土安全相关实体应具备的核心能力包括:
组织跨部门演习的能力:评估和验证各个部门在信息共享、事件反应和恢复等方面的准备情况。
组织在特定机构和部门内部举行演习的能力:在系统、组织、机构、地区、国家和国际等各种层面,检验其应对网络事件反应并从中恢复所需的步骤、程序、报告机制等。
整体规划能力:运用商业网站、与软硬件和网络服务供应商达成协议等手段,并综合考虑设施、人员、装备、软件、数据文件和系统构件的基本情况,进行整体规划。
建立相关机制的能力:该机制应包括对演习进行评估、总结经验教训和制订改进计划等内容。
(三)共享网络安全信息
共享网络安全信息是减少网络安全风险、快速应对网络事件和提高自我恢复能力的关键。
1.整合信息:对从不同机构、地域、国家和国际资源中获得的信息进行整理、归纳。
国土安全相关实体应具备的核心能力包括:
国家网络安全防护系统:该系统由人和传感器组成,可根据特定网络安全相关实体的需要搜集并实时交换信息,这些信息主要涉及网络威胁、弱点、后果、预警和反制措施的信息。
分析能力:迅速分析不同来源的相关信息,帮助各级决策者和网络安全设施防止恶意网络行为。为此,国土安全部应与其他联邦机构合作,向国土安全相关实体提供无差别的、有用的网络安全信息。
与可信赖的伙伴共享信息:这些伙伴包括同类和相互依赖的组织、政府机构和企业,将他们联系一起的机构是降低风险联合中心、特定部门信息共享和分析中心、部门协调委员会、安全和网络行动中心、计算机事件反应小组。
建立统一的标准:按照预定程序搜集和存取信息,根据相关协议或谅解备忘录、部门间协议等建立可信的信息共享环境;签署协议和建立国家层级的机制,如保护关键基础设施信息项目的信息标识,以保护私营机构与联邦政府所共享的信息。
2.有效分发信息:利用多种平台及时发布特定的、行动性信息。
国土安全相关实体应具备的核心能力包括:
及时交换网络预警信息:美国政府与各利益攸关方通过以下平台交换网络预警信息,如美国计算机应急小组预警系统、国防部网络态势预警系统、联邦调查局初级防护项目、美国特勤局电子犯罪特别小组、国家标准和技术数据研究所等。
建立强大的信息分发平台:该平台无论在平时,还是在发生重大网络事件时,均能向各利益攸关方持续分发网络威胁的特征、标识、弱点等信息,并提供应对威胁的具体方案。
有效的沟通战略:利用社会媒体进行沟通时,应努力确保时效性与沟通频率,保持沟通顺畅并能控制相关风险。
可方便使用数据信息的措施:在必要时或向更多公众提供信息时,该措施能保护信息来源、传播途径和平台安全。
经济激励等措施:通过赠予、补贴、税收优惠以及提供可靠的保护措施等手段以促进合作。
3.为网络从业人员提供专门的网络安全培训和认证:培训网络从业人员以提高其竞争力。
国土安全相关实体应具备的核心能力包括:
改进培训方法:使网络技术人员能够设计、建立安全且具有恢复能力的信息技术系统。
做网络安全专业知识的提供者:这种知识能够通过课堂或其他类似环境下的学习,以及在公共与私营部门之间进行人员轮岗的方式来实现。
发展并运用网络安全相关职业与领域的“成熟能力模式”:这些职业与领域包括信息技术管理、电子工程、计算机工程和通信业。“成熟能力模式”一词是用来描述在初、中、高三种等级从事特定任务所必需的技术能力。
(四)增强网络抗压能力
1.提高网络的纠错能力:增强系统在网络安全环境恶化的情况下完成核心任务的能力。
国土安全相关实体应具备的核心能力包括:
全面理解关键基础设施存在的弱点和可能导致系统崩溃的潜在漏洞。
设立结构性指导原则和恢复能力标准,例如,减少多路通信过程中可能出现的单点阻塞、在正常状态下快速存储、出现错误时立即实行隔离并遏制扩散、建立恢复模式以最大限度减少损失。
与现有恢复能力标准和指导原则保持一致,包括符合美国国家标准与技术研究所出版的《信息技术系统的应急计划指导》、国际标准化与国际电子技术委员会颁布的《信息技术安全技能:信息与通信技术长期规划指针》的相关要求。
根据“网络与信息技术研究发展项目”,掌握在软件和网络方面自主创新的方法。
持续评估确保恢复能力的战略与项目的效果。
四、如何建设网络生态系统
如上文所说的“智能电网”一样,关键信息基础设施属于网络生态系统一部分。国土安全相关实体将在维护网络生态系统安全性方面取得阶段性进展。这需要我们增强个人与组织安全使用网络的能力;开发和使用值得信赖的协议、产品、服务、配置及架构;建设合作型网络社区以及确保进程透明。为加强网络生态系统建设,本报告提出以下四项目标以及11项具体目标。
(一)增强个人和组织安全使用网络的能力
1.增加公共与私营部门的网络从业人员:维持一支强大的网络安全专业队伍,其工作是开发和应用网络安全技术,以确保消除当前及未来的威胁。
国土安全相关实体应具备的核心能力包括:
发展一套严格的网络安全与软件学习课程,以保证能持续学习特殊领域的专业知识。相关科目应涉及科学、技术、工程及数学。美国国家网络安全教育机构将推出正式网络安全教育项目,通过设立从幼儿园开始的12级技能培训、更高等级的教育与职业项目等方式,提高相关人员的技术水平。此外,四年制及有资格授予研究生学位的大学应成为美国信息技术教育方面的学术研究中心。
通过提供奖学金、补贴及税务优惠等措施鼓励学生学习特定领域的专业知识。“联邦网络服务:公共事业项目奖学金”将向那些进入特定机构进行深入学习的学生提供奖学金,以资助其在书本、学费及住宿等方面的开支。
拴心留人。保留人才可通过以下方式进行:积极招募、快速录用、破格提拔、在职培训以及开展雇员满意程度调查。
具备必要技能。包括视情颁发网络安全专业合格证书。
2.为分布式安全建立基础:向个人提供与其地位相符的资源,如工具、建议、教育、培训等,使其能依据当前网络安全特性及协议、产品与服务情况维护各自网络安全。
国土安全相关实体应具备的核心能力包括:
在国家、社区及机构三个层面开展网络安全活动,为特定人群提供建议、资源、工具,帮助其理解网络安全威胁,并在加强网络生态系统建设方面发挥各自作用。这些活动在联邦、州、市、县、印第安人保留地及海外领土等各个层级展开,包括国土安全部的“停一停、想一想、再上网”活动,“国家网络安全意识月”等。
为个人采取网络安全措施提供最佳行动指导。
建立一套机制,提醒用户其使用的工具和系统存在漏洞或已被感染,并使用户能据此采取行动。
(二)开发并使用可信的网络协议、产品、服务、配置与架构
1.降低脆弱性:开发并应用专门用于减少漏洞的信息与通信技术,该技术能通过维持或强化系统安全态势,及时感知、应对及输送系统内部及周边系统安全态势所出现的变化。
国土安全相关实体应具备的核心能力包括:
在那些有权设立国际标准的组织和论坛上保持领导地位;
推广使用安全的软硬件产品;
树立贯穿于系统开发整个周期的安全意识;
建立安全产品的评估与认证制度;
增强开发技术、拟定标准的研究能力;
改革商业市场,缩短新技术应用周期,以应对不断出现的网络威胁;
整合供应链,提高值得信赖的产品与服务的应用效率。
2.提高可用性:开发值得信赖的技术,使之易于使用、易于管理,并能快速定制,发挥预期的效能。
国土安全相关部门应具备的核心能力包括:
提出需求和指导纲领,以阐明在部件组装、体系构造、运行管理、人机界面和可用性网络性能方面的主要特点。人机界面的标准由美国国家标准协会发布,而可用性网络标准是由欧盟发起制订的。
研究并确定有关用户社区内那些可被迅速采纳和标准化的安全技术,并使之融入研发进程。
(三)建设合作型网络社区
国土安全部白皮书《强化网络空间的分布式安全》提出了认证、兼容和自动控制等三种能力。
1.网络身份认证:采取基于风险的原则进行认证,提高参与网上信息交换的个人和机构的网络身份信任等级。
国土安全相关实体应具备的核心能力包括:
基于风险和敏感活动的认证和授权。上述敏感活动通过证明需求、属性/授权需求、远程进入准则和界定信任模型。
采取加密登录、数字证书和其他多种认证方法,以降低敏感信息交换的风险。
加强网络管理包括改进体系设计、基于用户的设计、基于政策的邮件路由和储备、确保内部关联和避免相互干扰、提高系统兼容性以及管理方法。
2.提高各技术设备之间的技术和政策兼容水平:在设备对设备层级,加强合作,促进创新,增强网络安全信息共享能力。
国土安全相关实体应具备的核心能力包括:
具备网络突发事件的预警能力。该工作借助有关重要信息要素的标准化参考文件展开,内容包括确认软件脆弱性、薄弱环节、网络攻击范式、恶意软件分类以及传输的安全内容,而后者是依据所需时自动分享原则而设置的。其信息来源包括“国家脆弱目标信息库”、“普通脆弱性和暴露性目标(信息库)”、以及属于“国家检验清单项目”的“信息确保清单”。
建立统一的界面标准,以使诸如公共关键密码系统标准、无线电频率识别器空中界面标准和数据格式标准能够实现技术兼容,实现辨别指纹、面部和其他生物特征信息。
3.自动化安全步骤:以接近实时反应的方式,通过自动化机制,预测和防止攻击事件,缩小事件在联网各设备之间的传播,将事件危害降至最低水平。
采取数字化政策,使所有者和用户能够采取可靠的安全行动,按照有关政策,将遭受病毒感染的设备脱离网络连接。经批准后,改变未受病毒感染设备的配置,使其更加强健,以应对网络入侵,并防止恶意软件攻击和未经授权的网络信息外流。
确立合作框架和程度,建立一致的网络安全目标、共同行动原则,从而提高反应速度,优化决策程序,以便于采取新的安全措施。
(四)建立透明的安全流程
1.公布网络空间的突发事件及原因:像卫生官员向公众通报健康和疾病信息一样,向公众提供详实的网络空间安全威胁信息,核实当前和未来网络地址(如.gov,.com和.edu)中攻击事件发生的位置,了解其原因、范围和影响。
国土安全相关实体应具备的核心能力包括:
设立信息共享机制,以使匿名化传输的事件数据能被当前事件监管部门兼容使用。
向国土安全相关实体和国际伙伴分发有关网络安全能力、态势、危险和事件爆发的信息,以使有关各方能自动采取预防措施。
与国防和情报界合作侦测网络威胁。
2.基于效果采取安全举措:同有关各方分享有关网络协议、产品、服务、配置、设计、供应链和组织流程的安全绩效信息。
国土安全相关实体应具备的核心能力包括:
向国土安全相关实体和国际伙伴分发有关网络协议、产品、服务、配置、设计、供应链和组织流程的安全绩效信息,以遏制网络危险的传播和影响。
建立一种机制,使投入优先向基于效果和能力的项目倾斜。这种效果和能力应被证明能将风险减至可接受的水平。
3.关注投资回报:评估网络安全投资对组织机构的影响,集中于运行成本、基本建设预算、业务灵活性、以及因数据侵权或未能履行服务协议而支付的赔偿支出。
国土安全相关实体应具备的核心能力包括:
通过使用量化网络安全投入和迅速确立投入产出比的方法,加快采取和执行网络安全措施的速度。
维护并共享数据,以便论证网络安全的投入产出效率。
4.激励履行职责:建立、维护并提高有关网络安全的目标和措施体系。
国土安全相关实体应具备的核心能力包括:
设定希望达成的目标和成果并积极采取行动,以使国土安全相关实体能明确其任务要求。
提出支持国土安全相关各方目标的需求、指导原则、政策方针、步骤流程和自愿性的行动守则。
建立相关程序和机制,评估检验其获得的进展。
分析网络安全措施、项目和计划的功效和影响,如发现不足,应努力重新设定目标,并不断取得进步。
结语
网络空间支撑着美国生活的方方面面,并为美国经济、民用基础设施、公共安全及国家安全提供了重要的支持。保护网络空间需要远见、强有力的领导及国土安全相关实体所有成员的共同努力。这种努力预见和增强了团队协作、相互负责、认可与支持的文化。
这一战略明确阐述了如何实现国家安全战略构想及《四年国土安全评估报告》目标的方式,即建立可靠、安全和具有恢复能力的网络环境,推广网络安全知识和创新。“保护关键信息基础设施”和“加强网络生态系统”两大任务重点将促进国土安全相关实体的能力、行动及资源的优化组合。在国土安全部,这一进程将有助于制定为期五年的“未来国土安全项目”。
国土安全部将与国土安全相关实体中的利益攸关方合作,共同制定一份能够合理安排行动、设定关键转折点和跟踪进程的实施计划,用以建设该战略所需的各种能力。此外,国土安全部将带领国土安全相关实体制定相关标准,用以衡量关键安全能力的有效性。国土安全部还将在国土安全相关实体内部设立相关基线,从而能将每年的成绩与上一年进行比较。这一行动将重点突出取得的成绩、存在的问题及额外需要的资源。为满足遂行网络安全任务的需要,国土安全部将继续根据相关法律和原则保护隐私及公民权利。
保护网络空间是一项要求所有人都积极参与的复杂事业。通过利用这一报告提供的框架,我们将为实现我们的目标而努力进取。通过上述努力,国土安全相关实体能使网络空间成为推动美国生活方式繁荣永续的安全之所。(武益祖译)
部长致辞(美国国土安全部部长珍妮特纳波利塔诺)我很高兴公布《确保未来网络安全的蓝图———美国土安全相关实体网络安全战略报告》(以下简称报告)。报告是根据《四年国土安全评估报告》要求公布的,反映了网络空间对我们经济、安全以及生活方式的重要性。
我们致力于建设的网络具有以下作用:推动创新和繁荣,推进经济利益和国家安全,并将保护个人公民自由、隐私权纳入美国土安全部的网络活动当中。报告为打造这样的网络提供了蓝图。报告旨在保护对美国至关重要的关键基础设施,并在一段时间后开发出更强大的信息和通信技术,使政府、企业和个人更安全地使用互联网。
维护网络安全人人有责,我们每个人都需在这方面发挥作用。网络安全威胁日益严峻,需要整个社会———包括政府执法部门、私营企业乃至公众参与维护网络安全。当前,美面临多层次的网络安全威胁。构成网络安全威胁的主体既有黑客和有组织犯罪团体,也有拥有先进技术的国家。个人和组织严密的团体利用网络薄弱环节盗取美国的知识产权、个人信息及金融数据。网络窃密技术日益先进以及网络安全事件不断增多,对我们的经济竞争力构成潜在威胁,并削弱了公众获得基本网络服务的能力。政府、非政府组织、私营部门乃至个人、家庭以及社区必须同心协力,有效减少网络安全风险。
州及地方政府、产业界、学术界、非政府组织及许多具有奉献精神的个人都为报告的撰写做出了贡献。他们的参与使国土安全部获益良多,在此谨致谢意。国土安全部还与联邦政府各个部门密切协同,完善这一报告,并确保报告与《2010年国家安全战略报告》、《网络空间行动战略报告》以及《网络空间国际战略报告》保持一致。
我还想感谢国土安全部各位同仁、成千上万的网络科学家、系统工程师、执法人员以及为保护网络安全忘我工作的其他专业人员。我很高兴代表他们发布这份报告。
摘要
报告为建设可靠、安全及具有恢复能力的网络提供了一个明确方案。报告是在《四年国土安全评估报告》基础上撰写的。在该报告的指导下,美各级政府、私营部门以及国际伙伴能够密切合作,增强维护网络安全的能力。这些能力对于我们的经济、国家安全以及公共卫生和安全至关重要。报告列出了两大行动领域:保护当前的关键信息基础设施,建设未来的网络生态系统。报告旨在保护最为关键的系统和资产,并推动人机协同方式的根本转变,以确保网络安全。在维护网络安全活动过程中,保护公民自由及隐私权是国土安全部的一项基本要求。
报告列出了保护关键信息基础设施的四项目标:
减少网络安全风险
快速应对网络安全事件、提高网络恢复能力
共享网络安全信息
增强网络抗压能力报告将上述四项目标细化成九项具体目标。能否实现这九项目标取决于美国国土安全相关实体的能力建设情况,而这些能力在实际工作过程中将转化成具体措施。美国国土安全相关实体需要综合运用这些措施,以有效地预测和应对各种网络安全威胁。报告中介绍的一些措施在当前行之有效,而其他措施则需要进一步完善,还有一些措施需要进一步论证。为实现上述目标,有必要建立一个相互协作并能做出快速反应的网络安全社区。
报告还提出了加强网络生态系统建设的四项目标:
提高个人和组织安全使用网络的能力
研发和应用更可信的网络协议、产品、服务、配置和架构
构建合作型网络社区
建立透明的安全流程报告将上述四项目标细化成十一项具体目标。这些具体目标能否实现取决于报告中提到的一系列能力建设情况。
构建可靠、安全和具有恢复能力的网络环境的工作包括:评估网络安全能力建设的进展、确定这些能力能否有效应对不断演变的安全威胁。根据上述评估结果,我们将对每年工作表现进行对比。这种方法将指出我们在能力建设方面的成绩和不足,明确下一步努力方向。
网络空间支撑着美国生活的方方面面,并为美国经济、民用基础设施、公共安全及国家安全提供了重要支持。保护网络空间需要远见、强有力的领导及国土安全相关实体所有成员的共同努力。美国土安全部撰写这份报告的目的,就是为了探讨美国家安全相关实体如何更好确保网络安全。
引言根据2010年《四年国土安全评估报告》制定的战略框架,国土安全相关实体实施行动的共同目标是:确保美国本土的安全,并有能力抵御恐怖主义及其他危险。为实现这一目标,《四年国土安全评估报告》明确提出了五项核心任务,其中重点强调了网络安全对国家的重要性。
所有国土安全相关实体都有责任完成上述任务。来自各级政府、私营部门和非政府组织的个人都参与了上述任务。除国土安全部等正式肩负网络安全责任的机构外,每台电脑的所有者和关键基础设施的所有者及操作者都有责任维护网络安全。国土安全相关实体在维护网络安全过程中担负的责任和发挥的作用,反映出其规模庞大、丰富多样及相互依赖的特性。
《四年国土安全评估报告》将网络空间安全确定为核心任务的依据是总统发布的《国家安全战略报告》,该报告包括:
宣布数字基础设施是国家的战略资产;
将网络威胁视为最严重的国家安全、公共安全及经济挑战之一;
并将数字基础设施的防护作为国家安全的重点。国土安全部发布《确保未来网络安全的蓝图》的目的,是为国土安全相关实体落实《国家安全战略报告》相关内容和实现《四年国土安全评估报告》提出的目标提供一套明确的行动计划:
建立安全和有抗压能力的网络环境
推广网络安全知识和推进网络安全技术创新该报告的唯一指导原则是:在保护现有关键信息基础设施的同时,建设未来更为强大的网络生态系统。这一原则将指导资源的优化组合,从而系统地发展维护网络空间安全所需的多种能力。
范围
2002年《国土安全法》、第7号国土安全总统行政令、第54号国家安全总统行政令及《2002年联邦信息安全管理法》等文件指出,国土安全部在联邦各部门中负责牵头实施以下任务:保护联邦政府文职部门的信息和通信系统,与相关部门和企业合作保护关键基础设施,与各级政府合作保护其信息系统。“国家基础设施保护计划”、“国家快速反应框架”等文件描述了国土安全部及其他联邦政府部门在确认和保护国家关键基础设施中的作用。但联邦政府仅仅是国土安全相关实体中的一部分,该战略能否成功需要相关各方的共同努力。尤其要指出的是,网络安全需要公共和私营部门在信息共享、创新、推广经验等领域展开强有力的双向合作。
从上述内容看,本报告旨在向国土安全相关实体提供实际和有意义的指导,使其能够确保网络空间的安全,并使所有希望能安全使用信息及通信技术的人受益。
与其他重要政策和战略的关系本报告支持以“政府一盘棋”的方式维护国家安全,并在制定过程中充分考虑了当前的国家网络空间战略和政策,其中包括:《白宫网络空间政策评估报告》、《网络空间国际战略》、《打击跨国有组织犯罪战略》、《综合国家网络安全倡议》、第7号国土安全总统行政令、第54号国家安全总统行政令、《网络空间可信任身份国家战略》及《国防部网络空间行动战略》。
动机
美国高度依赖网络空间。网络空间是现代社会的支柱之一。但网络技术在丰富我们的专业和个人生活的同时,也赋予一些人扰乱或破坏我们生活方式的能力。保卫和控制网络空间隶属国土安全工作的范畴,是因为可能导致严重后果的大规模网络事件将损害公共和私有部门的重要功能与服务,影响我们的国家安全、经济活力及公共健康和安全。
由于恶意使用网络者正在使用越来越复杂的手段、技术及程序,网络事件的数量和复杂程度不断上升:
关键基础设施必须能够抵御复杂和持续的破坏行动,并做好应对更多破坏性攻击的准备。这种破坏行动可以削弱或扰乱我们所依赖的基本服务。
政府机构必须防备可能移除或损毁敏感数据并干扰重要服务的非法行为。
大型企业、小企业和非营利组织面临着技术日益复杂的入侵行为,其对象主要是上述机构的消费者和客户的知识产权及个人信息。
消费者面临的风险通常是个人信息被盗,入侵者主要通过互联网上无数的站点实施未经授权的入侵行为。
战略预想
尽管我们无法预测未来网络空间的具体情形,但我们必须制定一套充分掌握正在塑造未来网络空间的各种力量要素的相关战略,以确保美国拥有在网络空间中的领导、影响和应变能力。鉴此,该战略应建立在以下预想之上:
恶意网络行为的数量和复杂程度的不断提升,要求我们共享网络安全信息,快速应对网络安全事件,打造一支专业的网络安全人才队伍。
社会、经济和产业领域对信息和通信技术的依赖不断加深,不仅有助于提高生产力和促进创新,而且也增加了网络用户群、扩展了网络技术设施以及需要保护的网络路径。
网络发达的互通性使其超越了地理边界,为国际合作提供了极大便利。但其存在的风险也从根本上改变了美国安全威胁的构成,这就要求我们调整现有的安全和威慑机制。
随着网络数据信息的急剧膨胀,分散和远程的网络管理既提供了新的机遇,也带来了更多的安全挑战。移动技术的发展使入侵者更容易获得敏感信息。网络风险的差异和个人、机构等对网络安全等级要求的不同,使以往“一刀切”式的安全防护措施不再有效。相关部门应制定一套基于风险的应对方案,使之能够随时进行调整、重点关注网络输出和运行情况、提高用户应对能力、促进创新和符合费效比原则。
信息和通信技术供应链的全球化为促进创新和鼓励竞争提供了机遇,同时也带来了更多风险。
第一章 我们所追求的未来
信息革命几乎改变了我们日常生活的方方面面。可靠的数字化基础设施将为创新和经济繁荣提供一个持续的平台,并使我们能够在遵循我们核心价值观的情况下,推进美国的经济和安全利益。为使我们的下一代发挥出信息革命的全部潜力,国土安全相关实体必须确保建立可靠、安全和具有抗压能力的网络空间,同时提升网络安全意识和创新能力。这一复杂而高强度的行动需要大量研发投入并经过实践的检验。本报告将为此提供强有力的基础。
根据《四年国土安全评估报告》的相关要求,国土安全相关实体应致力于创建:
一、安全的网络空间
保护美国及其民众、核心利益和生活方式未来,我们将在确保网络空间安全方面取得重大进展。国防和创新领域的敏感信息将得到进一步保护。美国民众在进行网上交易时将更有信心,影响关键信息基础设施的安全风险将被降至最低。个人和机构将具有较强的网络安全意识,并能采取相应的安全措施。美国国内及国际网络安全政策、法规将能及时反映当前的网络环境状况,并预见到未来的安全需求。监管机构拥有必要的网络工具和人才队伍,以确保各机构落实相应的安全措施。各国成为负责任的网络空间行为体,并拒绝为恶意使用网络者提供“庇护所”。一旦网络空间被恶意利用,各机构能使用必要的手段锁定入侵者并将其绳之于法。联邦机构和私营领域实体将拥有必要的网络安全专业技术人员,以满足其任务需求。
二、具有抗压能力的网络空间
提升个人、社区网络系统的活力、适应能力、快速反应能力和修复能力未来,我们打造的网络安全框架将能实时侦测网络威胁,并根据不同的突发事件制定相应的信息防护措施。包括通过模拟、仿真和演习,来确认和降低安全威胁等级。演习能定期检验关键基础设施的快速反应能力和计划的可持续性,并为决策者和投资者提供对策建议。国土安全相关实体将拥有灵活的信息分享机制———关于威胁、弱点和防护能力的重要内容将在公共和私营部门进行实时传输。在网络安全关键行动继续展开的同时,网络安全框架也将对重大事件做出快速反应。
三、鼓励创新的网络空间
通过合作创新,实现人、设施和市场的互联,以促进经济增长未来,美国人将拥有无处不在的网络接入设施。它将使个人、企业和市场之间的互联互通更加迅速和便捷。随着互联网用户使用新的网络设备,以往各自隔离的实体之间的交流将越来越多。新的信息和通信技术将把新兴市场与发达市场连接起来,并随着信息的加速流动,推动跨地区合作和促进欠发达地区的经济增长。以往的单机装置,如能源仪表和家用电器,将越来越具有通用性,消费者和企业将从中受益。更具活力的安全机制将降低消费者的风险,并使各机构获得更优质的服务和安全防护能力。在确保网络空间安全的同时,我们还要维护自由贸易原则、促进更广范围信息的自由流通、承担全球责任以及满足国家的需求。
四、保护公共安全的网络空间
确保美国民众的安全
未来,管控能源、交通运输、化工和关键制造业等关键基础设施部门的工业系统和控制系统,以及运行在各类医疗设备、交通工具和其他领域中的嵌入式系统,均能更好地抵御各类可能危害公共安全的网络破坏和攻击行为。在这一网络空间中,执法和应急反应等重要公共安全部门也能继续依赖完整且随时可以使用的信息和通信技术。
五、促进经济利益和国家安全的网络空间
增强美国的经济竞争力和国防安全
未来,安全、可靠的网络空间将为美国经济增加动力,使美继续保持经济强国地位。在该网络空间中,商业部门将更加充分地了解其面临的风险,对其知识产权的保密性、完整性和可用性也将充满信心。安全的网络空间能够支持国民经济有效运行,也可支持各类关键社会服务的开展。健康的网络空间还有利于国土安全部完成其他任务:预防恐怖主义、维护边境安全、执行移民法以及从事故灾难中迅速恢复。最后,通过同美国国防部合作,这一安全的网络空间将支持美国政府履行其保护国家安全的关键使命。
第二章 指导原则
美国人的价值观、基本原则和生活方式为报告提供了指导原则,其基础是保护隐私和公民自由。报告也体现了美国提出的“开放政府倡议”中的透明、参与和协作等理念。开放使民主变得更为强大,也可使政府的效能与效率得到提升。坚持上述原则是各利益攸关方增强本报告所述各种能力的关键。
一、隐私和公民自由
在确保网络空间安全的过程中,国土安全相关实体将保护公民权利和尊重隐私。每个公民都可了解其个人数据将如何被使用,并可相信其使用将是恰当的。美国国土安全相关实体将支持一个开放、互动的网络空间,个人可借此在全球范围内寻找、接收和影响各种信息和思想。信息的自由流动是互联网快速演变和成长的关键所在。网络空间也必须继续成为自由联接和自由表达的场所。
二、透明的安全流程
国土安全相关实体将在高度透明和负责任的流程下开展保护网络空间安全的活动。坚持“按需分享”和“谁提供谁负责”的合作原则,将使具体、可操作的网络安全信息得以传送给需要的人员,同时保护公民自由和隐私。美国政府、私营部门和国际伙伴之间的互动,可增进安全措施的效能,并提升决策质量。这既兼顾了公私利益,又有助于共享网络安全信息。
三、在分布式环境中共担责任
保护网络空间安全的各种力量散布在国土安全相关实体中,大量的网络安全专家也分布在诸多不同领域。因此,国土安全相关实体将利用网络空间这一分散性来保护网络自身。国土安全相关实体将继续努力增强地方政府和个人的能力,通过集体行动汇聚所有力量,以实现共同的安全利益。为确保所有人都处于安全的网络空间环境中,每个人都必须承担责任。国土安全相关实体将培养共同的责任感和公民义务意识,也将综合运用各种知识来处理安全问题和开展网络空间安全行动。
四、基于风险、费效比高且便于应用的安全政策措施
在个人、机构和国家等层面,网络空间的安全风险和对这些风险的承受能力各不相同。在确定网络空间中的关键系统及资产和必须应对的最主要风险的过程中,国土安全相关实体必须与他们分享见解。国土安全相关实体将区分网络空间安全行动的轻重缓急,以确保将资源持续地用于可最大程度降低风险的领域。有效降低网络空间的脆弱性,有赖于全面系统地评估各种网络空间安全政策措施的风险、成本和应用情况。在使用信息和通信技术的过程中,所有用户都面临某些风险。必须更好地了解这些风险,才能在参与网络活动和交流时做出明智的决定。
第三章 战略概念
报告体现的唯一且一致的战略概念是:在保护现有关键信息基础设施的同时,建设未来更为强大的网络生态系统。这一战略概念将指导美建立安全、可靠及具备抗压能力的网络空间,并形成各利益攸关方共同致力于提升美网络空间能力的局面。
一、重点关注领域
该战略概念包含两个互为补充的重点关注领域:保护关键信息基础设施。重点关注网络生态系统中软、硬件设施对美国至关重要。减少信息基础设施面临的威胁、确保其具备快速反应能力和网络安全信息共享能力,以及增强其快速恢复能力是保护信息基础设施的最佳途径。
提升网络生态系统的能力。此举旨在推动人机协同方式发生彻底改变,使人与设备能够更好地“融合”,以此确保网络空间的安全。这一革命性的改变将通过提高个人维护网络安全的能力、研发和使用更为可靠地网络协议、服务和产品、加强相关部门在维护网络安全方面的协作,以及建立透明的工作流程等方式实现。
二、成功的含义
国土安全相关实体的投入产出效益将通过量化的标准加以衡量。
(一)保护关键信息
基础设施在面临最严峻的威胁时,基于效果的衡量标准如果能够证实关键信息基础设施的所有者和经营者能够妥善管理风险,信息基础设施能够确保安全,我们认为关键信息基础设施得到了切实有效的保护。
(二)建设网络生态系统
当符合下列条件时,网络生态系统才是安全的:
用户能够充分认清、掌握和管理信息和通信技术风险;
机构和个人能够按规定执行安全和隐私条令;
个人、机构、网络、服务和设备满足网络安全标准;
信息和通信技术具备安全的通用性;
接近实时的端对端协作能够对网络安全事件发出警告并自动做出反应。
三、如何保护关键信息基础设施
确保国家关键信息基础设施的安全,需要联邦政府各个部门和机构之间的多边合作,也需要联邦,州和地方政府、非政府组织和私营部门之间业务合作。在联邦政府层面,国土安全部与军队、情报界和执法部门的协作是我们防范和有效应对网络威胁的基础。报告描述了国土安全部如何根据第7号国土安全总统行政令、第54号国家安全总统行政令及《2002年联邦信息安全管理法》,与合作伙伴共同采取防范措施。国土安全部将发挥坚强的领导作用,保护联邦政府中非保密的文职部门。
在下文中,报告列出了保护关键信息基础设施的四项目标,国土安全部将采取九项措施实现上述目标。实施过程中,各种措施需要相互配合以有效地预测和应对的各种威胁。下文中介绍的一些措施在当前行之有效,而其他一些措施则需进一步完善,还有一些措施需要进一步论证。为实现上述目标,有必要建立一个相互协作且能做出快速反应的网络安全社区。
每种能力都包含相应的人员、流程和技术因素。由于网络社会具有全球性,我们需要与国际伙伴共同建设和运用这些能力。报告的结语部分将详细介绍如何在后续的实施计划中对能力进行优化组合。
美国国土安全部支持通过新的立法,以促进在政府和私营部门之间自愿分享合法获取的网络安全信息。此外,相关立法行动应在现有指导原则之下,为私营部门分享网络安全信息提供免责保护。相关法案还应鼓励政府和私营部门以适当方式及时分享网络安全信息。
网络安全立法活动应在透明和充分吸收广大民众意见的基础上授予或加强国土安全部以下权力:
为加强网络安全,确定拥有或负责运行关键信息基础设施的实体;
确定需要应对的具体网络安全风险;
评估并确定应对上述风险的标准化程序;
要求相关实体完善维护网络安全的计划,确定应对上述网络安全风险的方法;
建立第三方评估机制,评估相关实体在管理和应对网络安全风险方面的效能。
国土安全部支持通过修正《联邦信息安全管理法》,使国土安全部担负起联邦文职行政部门信息安全的主要责任,这将赋予国土安全部以下权力:
公布必须执行的信息安全政策和命令;
评估相关机构的信息安全计划;
指定相关实体负责接收信息安全方面的报告,内容包括信息安全事件、威胁及影响信息系统的弱点等。
(一)减少网络安全风险
1.规避威胁:通过持续运用国土安全部国家网络安全保护系统,削弱国内外罪犯利用、损害、瘫痪或摧毁关键信息基础设施的能力。
国土安全相关实体应具备的核心能力包括:
防入侵系统及其他安全技术。可减少进出信息和通信系统的恶意流量。
在防止、调查和起诉网络犯罪行为过程中加强国内法和国际法的执法力度。
通过专门的技术训练、使用先进的调查手段、建立相关国际合作等方式,加强证据共享及将犯罪分子绳之以法的能力。
通过全源信息搜集和分析,确认相关威胁的实施者及其使用的策略、技术及步骤。
就关键信息基础设施面临的最严重威胁发布及时、有针对性和可操作性的信息。信息共享论坛、分析中心、工作小组、提供合作的门户网站、简报及其他机制的运行,有利于国土安全相关实体中的利益攸关方进行威胁信息的分发和交换。
组建与威胁信息的发布者和使用者进行接触的团体,从而确立描述、解读和自动处理威胁信息的标准。
将网络安全事件报告的指导方针和激励措施发放至适当的机构和个人,包括网络安全专家和各级政府,以及联邦执法部门和突发事件反应中心。
2.强化关键信息基础设施:采用适当的安全措施以管理关键系统和资产面临的风险。
国土安全相关实体应具备的核心能力包括:
确定在受到干扰、破坏或毁坏的情况下,最有可能对国家安全、经济安全和公共健康或安全造成影响的关键信息基础设施,其中包括网络互联节点、域名系统、卫星地面站、电缆平台、工业和监控系统、关键商业或交通系统和其他支持关键功能和服务的系统。
运用技术和相关指导原则对网络进行管理。
评估各类网络威胁并根据结果确定重点的领域,如某个特定的威胁会利用网络的脆弱性并引发严重的后果。在系统、组织、部门、区域、国家和国际层面的威胁评估将帮助公共和私营部门的相关实体了解其面临的风险,从而使其能确定优先行动领域以降低风险和进行投资。
借助相关网络安全标准有效应对威胁。运用具体的管理手段、技术和安保措施以降低风险,这已被写入联邦政府文件当中。
不间断地对内部网络进行监督和测定,确保风险管理根据技术或风险环境的变化实时进行调整。对风险管理的第三方评估将验证该行动是否符合标准。
上述措施将对关键基础设施的技术弱点进行界定、分类,并找出需关注的重点领域。
3.实现革新:寻找新方法以应对业已存在的问题,同时开发应对潜在安全挑战的新技术。
国土安全相关实体应具备的核心能力包括:
将研发重点放在需要优先考虑的关键安全领域。联邦网络和信息技术研究与开发计划列出以下研究重点:“内置式安全措施”、“定制可信的网络空间”、“移动目标”及“网络经济激励措施”。
迅速应用新开发的产品和工具,以应对不断变化的网络安全威胁。
整合国家网络研发活动,包括国防、执法、反情报部门等开展的研究活动。
(二)快速应对网络安全事件、提高网络恢复能力
1.鼓励相关实体优先采取行动:重大网络安全事件威胁公共安全、削弱公众信心、影响国民经济和国家安全。因此,一旦发生重大网络安全事件,相关实体应采取联合行动,迅速做出反应,恢复网络安全。
国土安全相关实体应具备的核心能力包括:
及时和准确查明、报告、分析网络安全事件并做出反应的能力:当网络安全事件发生时,应通过国家网络安全和通信中心等负责监视和预警部门,协调有关部门,搜集与汇总网络安全事件的信息,协调联邦、州、地方政府部门以及私营机构和国际伙伴的行动,以及时和准确地查明、报告、分析网络安全事件并做出反应。
制定成熟和操作性强的应对和恢复预案的能力:该预案不仅能应对网络安全事件造成的物理性后果,还要能消除物理破坏造成的网络影响。
建立强大伙伴关系的能力:为能迅速重建关键信息基础设施,国土安全相关实体需要建立强大的伙伴关系,包括与第一批做出反应的相关实体密切合作,以及在必要时政府或私营部门的专家提供远程或现场技术帮助。
网络威胁调查和分析能力:通过网络威胁调查和分析,确定恶意网络行为对基础设施的影响。通过提供法律行动所需的证据,为采取反制措施提供前瞻性分析,预测和防范未来可能发生的敌意行为。联邦调查局领导的国家网络调查联合特别工作组就是专门从事网络威胁调查和分析的跨部门机构,它具有扭转攻击造成的被动局面、确定攻击者的数字和物理特征等能力。
标准化的自动修复能力:将系统恢复至正常、安全的状态。
2.做好网络突发事件应急准备:举行网络安全演习,以检验应急计划并总结经验教训。
国土安全相关实体应具备的核心能力包括:
组织跨部门演习的能力:评估和验证各个部门在信息共享、事件反应和恢复等方面的准备情况。
组织在特定机构和部门内部举行演习的能力:在系统、组织、机构、地区、国家和国际等各种层面,检验其应对网络事件反应并从中恢复所需的步骤、程序、报告机制等。
整体规划能力:运用商业网站、与软硬件和网络服务供应商达成协议等手段,并综合考虑设施、人员、装备、软件、数据文件和系统构件的基本情况,进行整体规划。
建立相关机制的能力:该机制应包括对演习进行评估、总结经验教训和制订改进计划等内容。
(三)共享网络安全信息
共享网络安全信息是减少网络安全风险、快速应对网络事件和提高自我恢复能力的关键。
1.整合信息:对从不同机构、地域、国家和国际资源中获得的信息进行整理、归纳。
国土安全相关实体应具备的核心能力包括:
国家网络安全防护系统:该系统由人和传感器组成,可根据特定网络安全相关实体的需要搜集并实时交换信息,这些信息主要涉及网络威胁、弱点、后果、预警和反制措施的信息。
分析能力:迅速分析不同来源的相关信息,帮助各级决策者和网络安全设施防止恶意网络行为。为此,国土安全部应与其他联邦机构合作,向国土安全相关实体提供无差别的、有用的网络安全信息。
与可信赖的伙伴共享信息:这些伙伴包括同类和相互依赖的组织、政府机构和企业,将他们联系一起的机构是降低风险联合中心、特定部门信息共享和分析中心、部门协调委员会、安全和网络行动中心、计算机事件反应小组。
建立统一的标准:按照预定程序搜集和存取信息,根据相关协议或谅解备忘录、部门间协议等建立可信的信息共享环境;签署协议和建立国家层级的机制,如保护关键基础设施信息项目的信息标识,以保护私营机构与联邦政府所共享的信息。
2.有效分发信息:利用多种平台及时发布特定的、行动性信息。
国土安全相关实体应具备的核心能力包括:
及时交换网络预警信息:美国政府与各利益攸关方通过以下平台交换网络预警信息,如美国计算机应急小组预警系统、国防部网络态势预警系统、联邦调查局初级防护项目、美国特勤局电子犯罪特别小组、国家标准和技术数据研究所等。
建立强大的信息分发平台:该平台无论在平时,还是在发生重大网络事件时,均能向各利益攸关方持续分发网络威胁的特征、标识、弱点等信息,并提供应对威胁的具体方案。
有效的沟通战略:利用社会媒体进行沟通时,应努力确保时效性与沟通频率,保持沟通顺畅并能控制相关风险。
可方便使用数据信息的措施:在必要时或向更多公众提供信息时,该措施能保护信息来源、传播途径和平台安全。
经济激励等措施:通过赠予、补贴、税收优惠以及提供可靠的保护措施等手段以促进合作。
3.为网络从业人员提供专门的网络安全培训和认证:培训网络从业人员以提高其竞争力。
国土安全相关实体应具备的核心能力包括:
改进培训方法:使网络技术人员能够设计、建立安全且具有恢复能力的信息技术系统。
做网络安全专业知识的提供者:这种知识能够通过课堂或其他类似环境下的学习,以及在公共与私营部门之间进行人员轮岗的方式来实现。
发展并运用网络安全相关职业与领域的“成熟能力模式”:这些职业与领域包括信息技术管理、电子工程、计算机工程和通信业。“成熟能力模式”一词是用来描述在初、中、高三种等级从事特定任务所必需的技术能力。
(四)增强网络抗压能力
1.提高网络的纠错能力:增强系统在网络安全环境恶化的情况下完成核心任务的能力。
国土安全相关实体应具备的核心能力包括:
全面理解关键基础设施存在的弱点和可能导致系统崩溃的潜在漏洞。
设立结构性指导原则和恢复能力标准,例如,减少多路通信过程中可能出现的单点阻塞、在正常状态下快速存储、出现错误时立即实行隔离并遏制扩散、建立恢复模式以最大限度减少损失。
与现有恢复能力标准和指导原则保持一致,包括符合美国国家标准与技术研究所出版的《信息技术系统的应急计划指导》、国际标准化与国际电子技术委员会颁布的《信息技术安全技能:信息与通信技术长期规划指针》的相关要求。
根据“网络与信息技术研究发展项目”,掌握在软件和网络方面自主创新的方法。
持续评估确保恢复能力的战略与项目的效果。
四、如何建设网络生态系统
如上文所说的“智能电网”一样,关键信息基础设施属于网络生态系统一部分。国土安全相关实体将在维护网络生态系统安全性方面取得阶段性进展。这需要我们增强个人与组织安全使用网络的能力;开发和使用值得信赖的协议、产品、服务、配置及架构;建设合作型网络社区以及确保进程透明。为加强网络生态系统建设,本报告提出以下四项目标以及11项具体目标。
(一)增强个人和组织安全使用网络的能力
1.增加公共与私营部门的网络从业人员:维持一支强大的网络安全专业队伍,其工作是开发和应用网络安全技术,以确保消除当前及未来的威胁。
国土安全相关实体应具备的核心能力包括:
发展一套严格的网络安全与软件学习课程,以保证能持续学习特殊领域的专业知识。相关科目应涉及科学、技术、工程及数学。美国国家网络安全教育机构将推出正式网络安全教育项目,通过设立从幼儿园开始的12级技能培训、更高等级的教育与职业项目等方式,提高相关人员的技术水平。此外,四年制及有资格授予研究生学位的大学应成为美国信息技术教育方面的学术研究中心。
通过提供奖学金、补贴及税务优惠等措施鼓励学生学习特定领域的专业知识。“联邦网络服务:公共事业项目奖学金”将向那些进入特定机构进行深入学习的学生提供奖学金,以资助其在书本、学费及住宿等方面的开支。
拴心留人。保留人才可通过以下方式进行:积极招募、快速录用、破格提拔、在职培训以及开展雇员满意程度调查。
具备必要技能。包括视情颁发网络安全专业合格证书。
2.为分布式安全建立基础:向个人提供与其地位相符的资源,如工具、建议、教育、培训等,使其能依据当前网络安全特性及协议、产品与服务情况维护各自网络安全。
国土安全相关实体应具备的核心能力包括:
在国家、社区及机构三个层面开展网络安全活动,为特定人群提供建议、资源、工具,帮助其理解网络安全威胁,并在加强网络生态系统建设方面发挥各自作用。这些活动在联邦、州、市、县、印第安人保留地及海外领土等各个层级展开,包括国土安全部的“停一停、想一想、再上网”活动,“国家网络安全意识月”等。
为个人采取网络安全措施提供最佳行动指导。
建立一套机制,提醒用户其使用的工具和系统存在漏洞或已被感染,并使用户能据此采取行动。
(二)开发并使用可信的网络协议、产品、服务、配置与架构
1.降低脆弱性:开发并应用专门用于减少漏洞的信息与通信技术,该技术能通过维持或强化系统安全态势,及时感知、应对及输送系统内部及周边系统安全态势所出现的变化。
国土安全相关实体应具备的核心能力包括:
在那些有权设立国际标准的组织和论坛上保持领导地位;
推广使用安全的软硬件产品;
树立贯穿于系统开发整个周期的安全意识;
建立安全产品的评估与认证制度;
增强开发技术、拟定标准的研究能力;
改革商业市场,缩短新技术应用周期,以应对不断出现的网络威胁;
整合供应链,提高值得信赖的产品与服务的应用效率。
2.提高可用性:开发值得信赖的技术,使之易于使用、易于管理,并能快速定制,发挥预期的效能。
国土安全相关部门应具备的核心能力包括:
提出需求和指导纲领,以阐明在部件组装、体系构造、运行管理、人机界面和可用性网络性能方面的主要特点。人机界面的标准由美国国家标准协会发布,而可用性网络标准是由欧盟发起制订的。
研究并确定有关用户社区内那些可被迅速采纳和标准化的安全技术,并使之融入研发进程。
(三)建设合作型网络社区
国土安全部白皮书《强化网络空间的分布式安全》提出了认证、兼容和自动控制等三种能力。
1.网络身份认证:采取基于风险的原则进行认证,提高参与网上信息交换的个人和机构的网络身份信任等级。
国土安全相关实体应具备的核心能力包括:
基于风险和敏感活动的认证和授权。上述敏感活动通过证明需求、属性/授权需求、远程进入准则和界定信任模型。
采取加密登录、数字证书和其他多种认证方法,以降低敏感信息交换的风险。
加强网络管理包括改进体系设计、基于用户的设计、基于政策的邮件路由和储备、确保内部关联和避免相互干扰、提高系统兼容性以及管理方法。
2.提高各技术设备之间的技术和政策兼容水平:在设备对设备层级,加强合作,促进创新,增强网络安全信息共享能力。
国土安全相关实体应具备的核心能力包括:
具备网络突发事件的预警能力。该工作借助有关重要信息要素的标准化参考文件展开,内容包括确认软件脆弱性、薄弱环节、网络攻击范式、恶意软件分类以及传输的安全内容,而后者是依据所需时自动分享原则而设置的。其信息来源包括“国家脆弱目标信息库”、“普通脆弱性和暴露性目标(信息库)”、以及属于“国家检验清单项目”的“信息确保清单”。
建立统一的界面标准,以使诸如公共关键密码系统标准、无线电频率识别器空中界面标准和数据格式标准能够实现技术兼容,实现辨别指纹、面部和其他生物特征信息。
3.自动化安全步骤:以接近实时反应的方式,通过自动化机制,预测和防止攻击事件,缩小事件在联网各设备之间的传播,将事件危害降至最低水平。
采取数字化政策,使所有者和用户能够采取可靠的安全行动,按照有关政策,将遭受病毒感染的设备脱离网络连接。经批准后,改变未受病毒感染设备的配置,使其更加强健,以应对网络入侵,并防止恶意软件攻击和未经授权的网络信息外流。
确立合作框架和程度,建立一致的网络安全目标、共同行动原则,从而提高反应速度,优化决策程序,以便于采取新的安全措施。
(四)建立透明的安全流程
1.公布网络空间的突发事件及原因:像卫生官员向公众通报健康和疾病信息一样,向公众提供详实的网络空间安全威胁信息,核实当前和未来网络地址(如.gov,.com和.edu)中攻击事件发生的位置,了解其原因、范围和影响。
国土安全相关实体应具备的核心能力包括:
设立信息共享机制,以使匿名化传输的事件数据能被当前事件监管部门兼容使用。
向国土安全相关实体和国际伙伴分发有关网络安全能力、态势、危险和事件爆发的信息,以使有关各方能自动采取预防措施。
与国防和情报界合作侦测网络威胁。
2.基于效果采取安全举措:同有关各方分享有关网络协议、产品、服务、配置、设计、供应链和组织流程的安全绩效信息。
国土安全相关实体应具备的核心能力包括:
向国土安全相关实体和国际伙伴分发有关网络协议、产品、服务、配置、设计、供应链和组织流程的安全绩效信息,以遏制网络危险的传播和影响。
建立一种机制,使投入优先向基于效果和能力的项目倾斜。这种效果和能力应被证明能将风险减至可接受的水平。
3.关注投资回报:评估网络安全投资对组织机构的影响,集中于运行成本、基本建设预算、业务灵活性、以及因数据侵权或未能履行服务协议而支付的赔偿支出。
国土安全相关实体应具备的核心能力包括:
通过使用量化网络安全投入和迅速确立投入产出比的方法,加快采取和执行网络安全措施的速度。
维护并共享数据,以便论证网络安全的投入产出效率。
4.激励履行职责:建立、维护并提高有关网络安全的目标和措施体系。
国土安全相关实体应具备的核心能力包括:
设定希望达成的目标和成果并积极采取行动,以使国土安全相关实体能明确其任务要求。
提出支持国土安全相关各方目标的需求、指导原则、政策方针、步骤流程和自愿性的行动守则。
建立相关程序和机制,评估检验其获得的进展。
分析网络安全措施、项目和计划的功效和影响,如发现不足,应努力重新设定目标,并不断取得进步。
结语
网络空间支撑着美国生活的方方面面,并为美国经济、民用基础设施、公共安全及国家安全提供了重要的支持。保护网络空间需要远见、强有力的领导及国土安全相关实体所有成员的共同努力。这种努力预见和增强了团队协作、相互负责、认可与支持的文化。
这一战略明确阐述了如何实现国家安全战略构想及《四年国土安全评估报告》目标的方式,即建立可靠、安全和具有恢复能力的网络环境,推广网络安全知识和创新。“保护关键信息基础设施”和“加强网络生态系统”两大任务重点将促进国土安全相关实体的能力、行动及资源的优化组合。在国土安全部,这一进程将有助于制定为期五年的“未来国土安全项目”。
国土安全部将与国土安全相关实体中的利益攸关方合作,共同制定一份能够合理安排行动、设定关键转折点和跟踪进程的实施计划,用以建设该战略所需的各种能力。此外,国土安全部将带领国土安全相关实体制定相关标准,用以衡量关键安全能力的有效性。国土安全部还将在国土安全相关实体内部设立相关基线,从而能将每年的成绩与上一年进行比较。这一行动将重点突出取得的成绩、存在的问题及额外需要的资源。为满足遂行网络安全任务的需要,国土安全部将继续根据相关法律和原则保护隐私及公民权利。
保护网络空间是一项要求所有人都积极参与的复杂事业。通过利用这一报告提供的框架,我们将为实现我们的目标而努力进取。通过上述努力,国土安全相关实体能使网络空间成为推动美国生活方式繁荣永续的安全之所。(武益祖译)
