我们已经把网络安全确立为美国经济和国家安全的最大挑战,但我们无论是从国家还是从政府的角度来说,都没有做好迎接这场挑战的准备。因此,总统就职后不久便下令对信息和通讯基础设施的防护力量以及保护美国数字基础设施的综合方法进行全面性评估。
2009年5月,总统认可了《网络空间政策评估》中的建议。建议的大概内容有:1.任命一个可以与总统直接接触的行政部门网络安全协调员,这个行政部门直接与美国网络安全的关健部门紧密联系,包括国家、地方政府和民营机构,以有组织地、共同地应对网络突发事件;2.加强国家与个人的联系,以找到确保美国安全和经济繁荣的科学解决方案;3.为满足这个时代数字挑战的需求,保证对前沿科技的研究发展和创新发现进行必要的投资;4.在各行各业倡导数字文化,开展提升网络安全意识的运动,并建立起21世纪的数字劳动力大军。最后,总统要求这些建议的执行一定要与个人隐私和公民自由保持一致,此二者是宪法保障,也为美国人民所珍重。
《网络空间政策评估》建议的执行基于乔治。布仕总统于2008年1月签发的国家安全总统令54号和国土安全总统令23号中的《国家网络安全综合纲领》(CNCI)。奥巴马总统决定CNCI及其相关活动应该演变成美国国家网络安全战略最新的综合性的关健因素,并将在支撑《网络空间政策评估》的重要建议中扮演重要的角色。
CNCI由许多相互补充的纲领构成,共同维护美国的网络安全。
* 通过建立或加强联邦政府、州政府、地方政府、印第安部落和民营机构对网络漏洞、威胁和事件的共享态势感知以及迅速降低当前漏洞数量和防范入侵的能力,为应对目前的威胁,筑造第一道防线。
* 通过加强反侦察能力和关键信息技术的安全保障,以全方位的防范各种威胁。
* 通过扩展网络教育、协调修正整个联邦政府的研究发展方向、制定阻止敌对或恶意网络活动的发展战略,以巩固未来的网络安全环境。
在制订CNCI的过程中,我们很快的意识到,加强政府在关健基础战略方面的能力,是实现CNCI的保证。因此,CNCI包括了联邦执法部门、情报部门、社区保安的专项基金,以加强诸如犯罪调查、情报收集分析、确保关键信息保障网络安全之类的重要职能。
CNCI是在对个人隐私和公民自由的高度关注下,与政府个人隐私专家紧密配合,而设计出来的。CNCI的贯彻落实将会在保护公民自由和个人隐私权的前提下进行。
与奥巴马总统努力保证政府透明的意图相一致,《网络空间政策评估》认为加强信息共享是网络安全工作行之有效的重要因素。为了提升公众对联邦政府工作的认识和理解,网络安全协调员已经公布了下列CNCI纲要简述:
CNCI纲要
1号纲领:在可信互联网连接的基础上,将联邦政府机构网单独划分管理
可信互联网连接(TIC),由国土安全部管理预算办公室执导,旨在强化联邦政府的外部访问接口,包括互联网接口。此项工作将会制订出一个共同的安全解决方案,具体包括:降低由于减少外部访问接口的数量而带来的不便影响,构筑安全防范能力底线;确保各机构与安全防范能力的结合,这些机构即是TIC中的访问提供商(其数量上有限制,而且是具备自我运行能力的机构),同时又通过联邦总务局NETWORX1计划的合同商与“信任IP管理服务提供商”合作。
(注1:NETWORX计划的宗旨是为工业技术合作方提供综合的最优的通讯服务并成就一个高能、高效的政府。NETWORX允许各机构通过使用核心工业技术资料,集中自我资源建立无缝、安全的工作环境。)
2号纲领:在联邦政府机构网部署感应式入侵检测系统
使用被动感应技术的入侵检测系统,是美国政府网络安全防范的重要组成部分,它可以识别未授权用户对网络的访问。作为“爱因斯坦2”行动的一部分,国土安全部正在部署基于签名的感应系统,此系统能够检测出试图非法进入联邦网络系统的互联网流量和恶意程序。通过基于签名的入侵检测技术,对进出美国政府网络的流量进行自动的完整数据包检测,“爱因斯坦2”可以对网络通讯进行分析以识别潜在的恶意活动。在技术方面的投资与专业人才方面的投资并行,帮助国土安全部完成扩展网络安全的工作任务。
当联邦政府机构网络有恶意软件或其他有害的网络活动发生时, “爱因斯坦2”可以实时的通知美国计算机应急响应小组(UR-CERT),并可提供关联性的形象化的数据。凭借“爱因斯坦2”提供的数据,的专家可以极大的提高对网络环境的把握并增强认别网络漏洞及其脆弱性的能力。因此,应急响应小组可以提高“态势感知2” 意识,从而更有效的分析相关安全信息,更主动的与整个政府的网络安全人员、民营机构的安全专业人员和社会公众共享信息。针对“爱因斯坦2”,国土安全部个人隐私办公室已经执导并发布了一份《个人隐私影响评估》报告。
(注2:态势感知(Situation awareness),在一定的时间和空间下,对环境要素的感知能力。)
3号纲领:继续在整个联邦政府机构网络布署入侵防护系统
3号纲领代表着联邦负责保护民众的行政部门、机构的发展方向,这个方向称为“爱因斯坦3”。它将综合商业科技和政府专业科技的手段,对进出联邦行政部门的网络流量进行基于威胁的决策的完整数据包检测。“爱因斯坦3”的目标就是要识别和描述恶意网络流量,增强网络安全分析、态势感知和安全响应能力,它可以在危害发生前,自动检测并正确响应网络威胁,最终形成一个支持动态保护的入侵防护系统。
“爱因斯坦3”将协助应急响应小组防范、保护联邦行政部门网络系统,并减少系统漏洞。它还将支持加强国土安全部与联邦行政部门和机构之间的信息共享,赋予国土安全部在检测到网络入侵时自动警告的能力,如果有必要,国土安全部还会发送不包含通信具体内容的警告给国家安全局,以得到国家安全局对其工作的合法授权支持。
此纲领会投入大量长期的资金,以帮助情报机构发现国外网络威胁的关键信息,并实时地反应到“爱因斯坦3”系统中。国家安全局国外情报机构和国防部的信息保障工作决定“爱因斯坦3”使用的基于威胁的签名技术,以支持国土安全部的联邦网络系统的安全保障工作,国土安全部也将适应这一签名技术。网络入侵方面的信息共享,以及国土安全部、情报部、国防部的相关活动,都将在监督下依法进行,以保护个人隐私及公民权。
此纲领所描述的“爱因斯坦3”的能力,是基于国家安全局开发的技术,对收集到的危害联邦网络系统的入侵行为信息加强管理和保护的能力。国土安全部正在进行一项测试工作,对此能力进行测试。个人隐私和公民自由保护部门的政府人员正在与国土安全部和应急响应小组紧密合作,为“爱因斯坦3”的设计部署制订出恰当和必要的隐私保护方法。
4号纲领:协调、修正研究和发展方向
目前,政府信息安全部门和战略指挥中心迫切需要共享针对联邦政府网络系统的恶意网络活动信息,合理合法地保护个人隐私或其他受法律保护的信息,以较好的把握整个政府网络系统的威胁状况,并最大限度的利用每个组织各自特有的能力,尽可能地对国家信息网络采取全面的最佳的防护措施。
此纲领为负责美国网络行动的6个指挥中心共享态势感知信息提供了关键的必要的方法指导。其内容主要集中于在网络行动各关键要素之间建立关键的必要的联系,这些要素为:1. 基础能力和投资,如升级基础设施、扩大带宽、融合各工作单位的能力;2. 加强协作,包括通用的技术、工作和规程;3. 通过协调分析的手段加强共享态势感知信息。
国土安全部国家网络安全中心(NCSC)将在此纲领中担任重要角色,通过协调与融合6个指挥中心的信息,提供跨区域的态势感知能力,分析和报告网络系统状况,促进各机构间的协作和配合,以保护联邦政府网络系统的安全。
6号纲领:制定并实施一个针对政府的网络反侦察(CI)方案
为了协调联邦各机构的工作,发觉、制止、减轻国外情报活动对政府及民营机构信息系统的刺探和威胁,而制定此方案。完成这些目标,需要制定教育培训计划,扩大员工培训范围,将反侦察意识融合到日常工作中,加强工作人员的反侦察意识,增强政府所有部门之间的反侦察合作。《网络反侦察方案》与《美利坚合众国国家反侦察战略》一起,共同支持《国家网络安全综合纲领》(CNCI)中的其他纲领。
7号纲领:加强涉密网安全
涉密网包含着联邦政府最敏感的信息,保证着作战、外交、反恐、执法、情报和国土安全等工作的进行。涉密网一旦遭到入侵或破坏,将对国家安全造成巨大的严重的损失。我们务必要做好准备工作,确保涉密网及其数据内容的完整无缺。
8号纲领:扩展网络培训教育
尽管大量的资金投入到保护美国网络安全的新科技中,但其成功的关键还是要依靠能够实施这些技术的具备正确的相关知识、技能和能力的人。然而,在联邦政府和民营机构中,缺少可以贯彻《国家网络安全综合纲领》的网络安全专家,也没有建立起足够的安全职业划分领域。现有的网络安全培训和人员培养方案尽管不错,但在针对性和统一性上仍有不足。为了持续的有效的保证我们的技术优势,保卫网络安全,必须培养起一支用科技技能和网络知识武装起来的队伍,建立一套培养后备力量的模式。此纲领将类似于50年代改进科学和数学教育方面的国家战略,以满足新形势下的挑战。
9号纲领:确定并发展持续性的“超越(leap-ahead)”技术、战略和方案
《国家网络安全综合纲领》的一个目标就是发展技术,在5到10年内建立并部署远超当前数量级的网络安全系统。此纲领是为了发展战略和方案,巩固政府研发事务的有机组成部分,对重大网络安全问题实行“高风险,高回报”的解决方案。联邦政府已经开始勾勒“大挑战3” 的基本框架,帮助研究机构解决那些需要“跳出正常思维模式”的难点问题。在民营机构方面,政府正在确定与沟通双方的需求,以推动关键研究领域的共同投资。
(注3:大挑战(Grand Challenges),上个世纪八十年代美国政治用语,目标是资助高性能计算和通信方面的研究,一定程度上与日本的“第五代”10年规划相对应。)
当今世界,任何国家离不开网络的应用,我们国家的高层决策者必须通盘考虑并选择一个行之有效的长期战略规划。到目前为止,美国政府一直在使用传统手段来解决网络安全问题,但这些举措并未达到应有的安全级别。此纲领旨在建立一套网络防护战略方法,通过提高预警和告诫能力,明确民营机构和国际合作伙伴的角色,
11号纲领:形成一个多样化的供应链4风险管理办法
商务信息和通信技术市场的全球化,为渗透供应链系统,非法获取访问权,更改数据及阻断通信增加了可能性,从而危害国家安全。对产品、系统和服务的完整生命周期进行战略性的综合性的管理,以掌控国内及全球化的供应链带来的风险。风险管理需要具备对威胁、漏洞和采购政策后果的高度风险意识;开发及应用相关工具和资源,在整个产品生命周期(从始到终),技术的有效的减少风险;制订新的采购政策和操作规程,以应对全球市场的复杂化;与相关业界合作,制订一套适用于供应链的风险管理标准和最佳操作规程。
(注4:供应链风险管理(Supply Chain Risk Management),为防止商业金融危机或破坏制造业持续生产,提前认识潜在风险的学科。)
此纲领将加强联邦政府的决策和实施能力,从风险和危险程度的级别上,为相关部门和机构的系统及网络提供一整套强有力的管理办法,从而更好的管理供应链并减少风险。
12号纲领:规定政府职能,把网络安全扩展到各种重要基础设施中去
美国政府依赖民营基础设施以实施公众事务,同样地,这些重要基础设施的运转也需要高效的信息系统和网络来支撑,而这些系统和网络极易遭到恶意攻击。
此纲领由联邦政府与各种重要基础设施和关键资源5(包括公有和私有)的拥有者及管理者的合作关系所决定。国土安全部和民营企业,在许多重要事件及活动中的主动合作中,已经形成了一个共同的工作方案。方案包括短期和长期建议,尤其是融合及利用现有的工作及活动成果;处理所有网络基础设施中的安全问题和信息保全工作,增强重要基础设施和关键资源(CIKR)的抵抗力及正常运转的能力;强调公共部门与民营机构应该共享CIKR及政府网络系统中发生的网络事故和威胁方面的信息。
原文见:http://www.whitehouse.gov/cybersecurity/comprehensive-national-cybersecurity-initiative
奥巴马政府《网络空间政策评估》报告全文回目录
奥巴马政府《网络空间政策评估》报告全文(上)
网络安全保护不力成为奥巴马政府面临的最紧迫的国家安全问题之一。因此,报告通过对与信息和通信基础设施有关的所有任务和活动进行评估,就未来如何实现拥有可靠、有韧性和值得信赖的数字基础设施进行说明。报告主要以五个主题介绍调查结果和行动方案:一是最高层实施领导,二是打造数字化国家的能力,三是共同承担网络安全责任,四是建立有效信息共享和事件反应框架,五是构筑未来架构。此外,报告还就行动计划提出近期和中期建议。报告指出,保护网络空间需要有先见之明的领导,需要在政策、技术、教育乃至法律等方面进行变革。此外,政府最高领导层、产业界和民间社会要共同致力于网络安全,使美在加强国家安全和促进全球经济的同时,继续在创新和尖端技术运用方面保持领先地位。
前 言
网络空间几乎涉及到每个人和每件事。网络空间提供了一个创新与繁荣的平台,提供了全世界改善整体福利的方法与途径。但是由于很多人都可以轻而易举地触及到管控松散的数字基础设施,各种巨大的风险正在对国家、私营企业和个人权利构成威胁。美国政府有责任解决这些网络空间的战略缺陷及弱点,确保美国及其公民与世界更多的国家共同充分发挥潜力,实现信息技术革命。
主要以国际互联网为基础的国家数字基础设施架构并不具有安全性,或者说韧性比较差。如果这些系统在安全上没有取得重大进展,或在如何构建和运营上没有实现重大改观,很难让人相信美国能够保护自己免受网络犯罪日益严重的威胁,免遭由国家支持的入侵和军事行动的日益严重威胁。我们的数字基础设施早已经遭受到入侵,犯罪分子已经窃取了亿万美元,一些国家和机构团体盗取了知识产权和敏感的军事情报。还有的入侵可能会损坏我们部分关键基础设施。美国的经济和安全利益都是以信息系统为基础,这些形形色色的风险有可能会动摇国家对信息系统的信赖。联邦政府还没有组织起来有效地解决这个目前或在未来日益严重的问题。联邦政府很多部门和机构都担负有网络安全的责任,但存在职权重叠的问题,没有一个部门拥有足够的决策权来指挥行动,协调一致地去处理相互矛盾的问题。政府需要综合考虑各方竞争的利益,制定出一个全面设想和计划,以解决美国面临的网络安全问题。国家需要制定出必要的政策和程序,培养相关人才和发展相关技术,以降低网络安全所面临的风险。
无论是在美国国内还是在国际上,信息和通信网络基本上是归私营部门所有并经营的。因此,解决网络安全问题需要建立起政府和私营部门两者之间的伙伴关系,要进行国际合作并制订国际准则。美国需要拥有一个全面的架构,以确保政府、私营部门和我们的盟国在发生重大网络事件或威胁时,协调一致地做出反应和进行防御。
美国需要开展一次全国性的网络安全讨论,从而使更多的民众认识到网络威胁与网络风险,以确保拥有一套完整的办法来满足国家对网络安全的需要,并履行国家做出的承诺,维护受宪法和法律保护的公民个人隐私权和自由权。
确保信息和通信基础设施安全并具有较强的韧性,仅仅依靠研究新的办法是远远不够的。政府需要加大研究经费投入,这将有助于解决网络安全上存在的弱点,同时也能满足我们经济和国家安全的需要。
概 述
总统指示要在60天内完成一份全面、全新的评估报告,对美国网络安全政策和组织结构进行评估。网络安全政策包括网络空间安全和网络空间运行的战略、方针及标准,涵盖了所有的降低威胁、减少弱点、威慑、国际参与、应急反应、确保韧性及恢复能力的政策与行动,并包括计算机网络运行、信息安全保障、执法、外交、军事和情报工作等。这些要素与全球信息与通信基础设施的安全与稳定息息相关。评估报告研究的内容并不包括与国家安全或基础设施安全无关的其它信息与通信政策。由政府网络安全专家组成的评估小组负责汇总产业界、学术界、公民自由与隐私维权团体、州政府、国际合作伙伴,以及国家立法和行政部门提出的具有广泛代表性的意见和建议。本文对评估小组的结论进行了综述,并概括地说明了在未来如何开始实现拥有可靠、有韧性和值得信赖的数字基础设施。
美国正处在十字路口。全球互联的数字信息与通信基础设施被称为“网络空间”。现代社会的方方面面几乎都离不开网络空间。网络空间对美国经济、民用基础设施、公共安全和国家安全提供了重要的支撑。这项技术已经使全球经济发生了改变,使人们以难以想象的方式联系在一起。然而,网络安全的风险也构成了二十一世纪最严峻的经济挑战和国家安全挑战。数字基础设施架构的构筑更多的是基于互通性和效率上的考虑,而不是从安全的角度进行考量的。因此,越来越多的国家和非国家行为体开始破坏、盗窃、篡改或毁坏信息,这会给美国的系统造成重大破坏。与此同时,传统的电信和互联网日益融为一体,而在其它基础设施领域,互联网正日益成为互联互通的主要手段。美国正面临着双重挑战,既要维护促进高效、创新、经济繁荣和自由贸易的良好环境,又要确保安全、保密,维护公民自由和隐私权。解决网络空间存在的战略漏洞,并确保美国和世界充分发挥潜能实现信息技术革命,这是我们政府的一个基本责任。
再也不能容忍目前的状况。美国必须向世界表明,美国将凭借强有力的领导和对远景的规划,严肃认真地迎接这一挑战。顶层领导应该得到加强,白宫应成为网络安全领导核心,提供指导,协调行动,并取得成效。此外,要落实联邦政府网络安全的领导责任制。这种方法要求明确联邦政府各部门和机构的网络安全任务和职责,同时提供相关政策、法律程序和必要的协调,使各部门能够各司其职。在过去的两年中,我们已经开始实施重大的计划,并通过对各机构的不同任务进行“衔接”而取得了长足的进步,但这样做并没有提供一个完备的解决办法。此外,这一问题超越了各个政府部门和机构的管辖范围。尽管每个部门和机构在网络安全方面都发挥着不可替代的作用,但任何一个部门都不具备足够广阔的视野或足够的权威,来彻底解决这个问题。
立即启动全国网络安全大讨论。美国政府应该与业界共同向民众解释清楚这个挑战的性质,并详细说明国家将通过何种方式来解决面临的问题。从某种程度上讲,也就是让美国公民充分认识采取行动的必要性。人们若不先了解网络问题的危急程度就不可能重视网络安全。因此,联邦政府应借鉴以往成功的宣传经验,发起一个全国性的网络空间安全公众意识教育运动。此外,与1957年10月苏联发射第一颗人造地球卫星后的一段时间类似,我们正面临一场全球数学和科学技能竞赛。我们继续拥有世界上最好的信息技术产业环境,但同时国家应培养参加全球竞争并保持领导地位所必需的劳动大军。
孤军奋战不可能保证网络空间安全。美国政府应加强与私营部门的合作。政府部门与私营部门的利益是交织在一起的,它们的共同责任就是确保拥有安全、可靠的基础设施。联邦政府在很多方面是可以与私营部门合作的。政府应该探究和开发那些可供选择的办法。政府与私营部门网络安全的合作伙伴关系必须得以发展,并清晰地界定这种关系的性质,包括明确各自的分工和职责。联邦政府应审查现有的政府与私营企业的合作伙伴关系,确定优先任务,采取具体行动,以发挥最大的效能。
美国还需要制定一个网络安全战略,以塑造国际环境,使志同道合的国家就领土管辖权、主权责任与动用军队的相关技术标准和公认法律规范等一系列问题达成共识。国际规范对于建立安全和繁荣的数字基础设施是至关重要的。此外,各个国家和地区不同的法律规定和做法也给创造安全、保密和值得信赖的网络环境带来严重挑战。这些法律上的差异对实现安全、可靠和有韧性的数字环境构成了挑战,并涉及到网络犯罪调查与起诉、数据保存、数据保护和数据隐私权、网络防御和应对网络攻击的反应等等一系列问题。只有通过与国际合作伙伴的共同努力,美国才有可能更好地应对这些挑战,加强网络安全,并全面享用数字时代带来的巨大利益。
在保护国家免遭网络事件或事故冲击方面,联邦政府既不能全部包办也不能回避职责。联邦政府担负有保卫国家的责任,各级政府担负着确保公民安全和福祉的责任。但是,私营部门设计、建造、拥有并经营着大部分的数字基础设施,为政府和私人使用者提供网络支持。美国需要有一个全面的框架方案,以确保在遇有重大事件发生时,联邦、州、地方和原住民保留地政府,以及私营部门和国际盟友做出协调一致的反应。执行本框架方案需要制订报告制度、针对不同情况的应急计划和灾后恢复计划,以及完成这些计划所必需的协调、信息共享和事件报告机制。
政府与重要的利益攸关方应共同努力,设计一个有效的机制以实现真正共同运作的构想,将政府和私营部门的信息整合成一体,并以此作为信息通畅、按轻重缓急顺序推进减灾工作和做出应急反应决策的基础。
与私营部门合作要求明确下一代基础设施的性能和安全目标。美国应充分利用技术优势满足国家经济和安全需要。即使面对敌人利用先进技术实施的攻击,联邦政府制定的政策也应该能够保证国家安全、知识产权保护和基础设施的不间断工作。联邦政府必须与私营部门及学术界合作,阐明协调一致的国家信息和通信基础设施的性能和安全目标。应与州、地方政府通力合作,制订有效的采购战略,推动市场制造更安全的产品并为公众提供各种有效的服务。政府还应探索另外的一些激励机制,包括调整法律责任(安全改善后责任减少,安全条件差则导致责任增加)、补偿及税收优惠、以及新的监管规定和执行机制等。
白宫必须指明前进的道路。在过去15年里,国家采取的网络安全措施没能跟上威胁的发展变化。我们需要向国内外证明,美国是在认真地对待网络安全相关的问题、政策和活动。这就要求由白宫挂帅,充分利用整个国家的力量,做到集思广益。
导 言
什么是网络空间:第54号国家安全总统令暨第23号国土安全总统令将网络空间定义为:信息技术基础设施相互依存的网络,包括互联网、电信网、电脑系统以及重要产业中的处理器和控制器。常见的用法还指信息虚拟环境以及人与人之间的互动。
全球相互联接的数字信息和通信基础设施被称之为“网络空间”。它几乎成为现代社会各领域的基础,并为美国经济、民用基础设施、公共安全和国家安全提供重要的支撑。信息技术已经改变了全球的经济,并超乎想象地把人和市场联接在一起。为充分享用数字革命带来的好处,所有用户必须树立起坚强的信心,确信敏感信息是安全的,商业活动不会受到损害和基础设施不会遭到入侵。世界各国还需要树立信心,相信支持其国家安全和经济繁荣的网络是安全的、有韧性的。拥有可靠的通信与信息基础设施将会确保美国充分发挥信息技术革命的潜力。第四十四届总统网络安全委员会在2008年12月的报告中明确指出,“美国网络安全保护不力是新一届美国政府所面临的最紧迫的国家安全问题之一”。
保护网络空间需要具有卓越的先见之明和强有力的领导,需要在政策、技术、教育乃至法律等方面进行变革。政府最高领导层、产业界和民间社会共同致力于网络安全,这会使美国在加强国家安全和促进全球经济的同时,继续在创新和尖端技术运用方面保持领先地位。
评估的理由
网络威胁对21世纪美国和我们盟友的经济和国家安全构成了最严重的挑战。
越来越多的国家和非国家行为体,如恐怖分子和国际犯罪集团,开始把攻击目标对准了美国的公民、商业、重要的基础设施和政府。他们有能力危害、窃取、篡改或完全毁坏信息。持续非法利用信息网络和破坏敏感数据等行为,特别是由国家实施的破坏行动,使美国经济竞争力和军事技术优势蒙受损失。正如国家情报总监最近在国会作证时所陈述的那样:“信息系统、互联网和其它基础设施之间越来越多地联接在一起,为攻击者破坏电信、电力、能源管道、炼油厂、金融网和其它关键基础设施创造了机会”。情报界分析认为,一些国家早已拥有了实施这种攻击的技术能力。
日趋复杂、广泛的犯罪活动,以及网络事件所造成的危害凸显出网络空间恶意行为的危害性,包括损害美国的竞争力、降低对隐私和公民自由的有效防护、破坏国家的安全或使公众失去信任感,甚至瘫痪社会。例如:
关键基础设施失灵。根据中央情报局报告,针对信息技术系统进行的恶意活动,已经使海外多个地区的供电设施遭到破坏。在其中的一起案例中,恶意行为曾导致多个城市断电。
恶意利用全球金融服务。据媒体报道,2008年11月,一家国际银行付款处理器遭到恶意侵犯,导致遍布49个城市的130多台自动取款机非正常交易达半小时之久。在媒体报道的另一起案件中,一家美国零售商在2007年遭遇了数据被破坏和个人身份识别信息丢失的恶性事件,殃及4500万张信用卡和借记卡。
美国经济遭受全面损失。业界估计,知识产权与数据失窃在2008年给美国造成了高达1万亿美元的损失。
本报告中提及的网络安全政策,包括了网络空间安全和网络运营战略、政策和标准,并涵盖了全面降低威胁、减少弱点、实施威慑、国际参与、应急反应、韧性和恢复政策及行动;还包括与全球信息与通信基础设施的安全与稳定息息相关的计算机网络运行、信息安全保障、执法、外交、军事和情报活动,但并不包括与国家安全及基础设施安全无关的其它信息与通信政策。
全新的评估
因为认识到所面临的挑战与机遇,总统将网络安全确定为本届政府的优先议题,并指示对此进行60天的全面审查,以评估美国网络安全政策与结构。评估与信息和通信基础设施有关的所有任务和活动,包括计算机网络防御、执法调查、军事与情报活动,以及与之有关的信息安全、反间谍,反恐、电信政策和综合的关键基础设施保护等方面内容。由政府网络安全专家组成的评估小组彻查了相关的总统政策令、行政命令、国家战略和政府顾问委员会及私营部门提供的研究报告。评估小组还向政府部门和机构征求了意见,让它们按要求就各自与网络安全相关的特别活动、权限和能力提供材料,并要求政府部门和机构确认那些可能没有列入评估初稿之中的新的需求或已存在的需求。于是很多的法律问题浮出水面,如集中管理问题,政府使用什么样机构来保护私有重要基础设施,互联网监控软件的安装,自动攻击检测和预警的应用,联邦政府与第三方数据共享和私人信息的保护责任等。评估小组还与联邦政府内外广大利益攸关方进行了沟通。小组力争透明,与产业界、学术界、公民自由与隐私社团、州政府、国际合作伙伴以及立法和行政部门广泛沟通,分析与评估其它相关的计划和事务。面对各方———学术界、产业界和政府———一道努力建立值得信赖和富有韧性的通信与信息基础设施的难得机会,评估小组给这些利益攸关方规定了评估的范围,并要求它们就相关领域提供材料。这种沟通工作包括40多次会议,形成了100多份带有具体建议和目标的文件。相关各方的反馈和公开说明,如国会证词等有助于确定重大需求,指明政策差距,提出改进或合作的领域,并为与网络空间安全相关的政策决策提供了参考。
评估小组发现,在整个信息和通信基础设施发展过程中,各部门和机构的任务与职权是依据当时管理多样化和分散的技术及产业的法律和政策确定的。而由此产生的各项计划主要是用于处理当时的特定问题,未必适应今天对数字化信息高度依赖的现实。
技术对国家和经济安全的影响促使联邦政府调整法律和组织机构,以适应形势发展。例如:
在1918年的一个联合决议案中,国会授权总统掌控美国所有电报系统,并根据需要在第一次世界大战期间使用电报系统。
1934年《通信法》决定由联邦无线电通信委员会组建联邦通信委员会,并为所有电报和无线电通信建立完备的规章制度,对此类技术的后继发展产生了深远的影响。
1965年《布鲁克斯法案》规定国家标准局———现在的商务部国家标准与技术研究院———负责制定自动数据处理标准和联邦计算机系统相关准则。
1984年,第12472号行政命令重新将美国国家通信系统特许经营权赋予联邦政府,作为满足国家安全和应急备用之需的联邦电信财产。2003年,美国国土安全部接管了美国国家通信系统的经营权。
1994年,美国国务院根据《对外关系授权法》,负责管理与国际通信和信息政策有关的外交政策。
要解决“谁负责”的问题,就必须解决政府部门和机构间任务和职权分配问题,特别是在电信网络和互联网相互融合,以及其它基础设施部门日益依赖互联网,以实现互联互通的背景下,情况更是如此。将已经发展了一个多世纪的任务职责统一起来,这就要求联邦政府详细阐明政策,分清政府各部门和机构在网络安全方面各自任务和责任。评估小组对20多个联邦政府部门和机构的反馈意见进行了分析,查明了网络安全相关政策存在的漏洞、重叠的任务职能和相互协作的机会。
随着威胁日益复杂,应对网络空间风险以及部门和机构间的沟通协作也因时而变。1998年5月签署的第63号总统令规定,在白宫的直接领导下设立了一个机构,指定牵头部门和机构,协调相关行动,并与私营企业相应部门合作,以“消除我们重要基础设施———特别是我们的网络系统———在防范和抵御物理和网络攻击方面存在的任何漏洞”。这项政策在2003年的《确保网络空间安全国家战略》文件中又进行了修订。
2003年底的第7号国家安全总统令进一步增强了这项工作。该命令赋予国土安全部全面协调国家重要基础设施———包括网络基础设施———的保护工作;可跨越所有部门与行政部门指定的具体机构进行合作。这两项政策的重点是防御性措施,第7号国家安全总统令并未包括保护联邦政府的信息系统。2007年,《国家网络安全综合计划》采取了不同的方略,其核心是把过去分散的网络防御任务与执法、情报、反间谍和军事能力“衔接”起来,解决各种各样来自远程网络入侵和内部违规操作所造成的网络威胁,以弥补存在的一系列不足。《国家网络安全综合计划》的策略在第54号和第23号国家安全总统令中被定为法律,主要针对行政部门的网络安全。但行政部门的网络在美国所依赖的全球信息与通信基础设施中仅仅占很小的份额。
本文总结了评估小组的调查结果,并介绍了有助于美国未来实现更可靠、有韧性、值得信赖的数字基础设施的一些初步步骤。它并未对各种选择或诸多计划的审核提供深入的分析。相反,它提出了需要加强协调和综合发展的政策。文章用5个主题详细地介绍了调查结果和行动方案:一是顶层领导,二是建设数字化国家的能力,三是共同负责网络安全,四是加强信息共享和应急反应,五是构筑未来架构。
第一章 从最高层实施领导
确保网络空间拥有足够韧性并值得信赖,以支持美国的经济增长、公民自由与隐私保护、国家安全和民主体制的完善,需要把网络安全列为国家头等大事。只有在政府最高层领导下才能完成这一重要而复杂的任务。
由白宫实施领导由白宫掌握网络安全相关政策的领导权并提升领导的层级,会向美国和国际社会发出明确的信号,即我们对网络安全问题的态度是非常严肃认真的。许多政府的部门和机构,以及总统办事机构将需要协调不同的职责和权限,以有效地促进网络安全。目前,没有一个人或一个组织专门担负着协调联邦政府网络安全相关活动的职责。如果没有一个中央协调机制、没有更新的国家战略、没有各行政部门制定和协调的行动计划,以及没有国会的支持,靠单打独斗的工作方式不足以应付这一挑战。
政府行政部门早已经设立了一个由国家安全委员会和国土安全委员会共同领导的信息和通信基础设施跨部门政策委员会,作为解决有关网络问题的主要政策协调机构,以便获得可信、可靠、安全和长久的全球信息和通信基础设施及相关能力。
美国总统应该考虑再任命一名白宫网络安全政策官,该官员应向国家安全委员会和国家经济委员会报告,以协调全国范围内与网络安全有关的政策和活动。此官员将主管信息和通信基础设施跨部门政策委员会工作,加强与总统办事机构其它部门协调领导工作,解决各种优先任务和协调政府部门间网络安全政策和战略的发展。网络安全政策官应该参与所有相关的经济、反恐和科学与技术政策的讨论和研究,并制定网络安全长远规划。
要取得成功,总统网络安全政策官必须得到总统的全力支持、拥有权威和足够的资源,以便在政策制定和协调部门间的网络安全相关活动中有效地开展工作。其手下至少有国家安全委员会的两名资深主任和适当的工作人员辅佐,并至少有一名国家经济委员会的资深主任和适量的工作人员为其工作。这些资深主任应通过网络安全政策官向上汇报工作,并共同致力于达成本报告所设定的目标及其它国家政策。此外,为促进国家安全委员会内部的整合,委员会中的每个地区主管局和职能局应当专设一名工作人员,负责本单位职能范围内的网络安全事务,并与国安会新设的网络安全局协调工作。
网络安全政策官不应拥有管理网络运营的责任或权力,也没有权力自己制定政策。网络安全政策官应当利用政府部门和机构间的协调程序,一切工作都要与联邦政府的首席技术官和首席信息官,以及管理与预算局、科学与技术政策办公室和国家经济委员会等相关部门进行商议,协调整个联邦政府有关网络安全的政策和技术工作,确保在总统的预算中能反映出网络安全工作是联邦政府的优先工作,并进入立法议程。
该网络安全政策官亦可被任命担任白宫网络应急反应行动官(其职能与白宫监控恐怖袭击和自然灾害的行动官员相类似),这一任命也将使美国更有效地进行危机管理;政府部门和机构将继续担负各自的网络运营职责。
为了便于协调,所有联邦政府部门和机构应该在各自内部设立一名联络官,负责协助白宫处理网络安全事务。
通过政府跨部门政策制定程序,网络安全政策官为总统起草准备新的国家战略,以确保信息和通信基础设施安全。这项战略应包括对《国家网络安全综合计划》的落实情况的后继评估,并适当汲取其成功的经验。新国家战略应侧重使高层领导集中精力和时间,消除阻挡美国实现拥有可信、可靠、安全和富有韧性的全球信息与通信基础设施以及相关能力的障碍。该战略将帮助政府努力提高公众意识,恢复和建立国际联盟及公私部门之间的伙伴关系,建立一个更加周全的国家网络应急反应与恢复计划,并采取积极的研究与发展计划,催生提高网络安全的新技术。
联邦政府应继续落实《国家网络安全综合计划》提出的“任务衔接”原则。政府各部门和机构应加强网络防御单位与负责美国网络空间作战的情报、军事和执法单位的合作,就网络威胁、网络交易、网络技术和网络存在弱点等问题进行交流,扩大网络经验、知识和观点看法的共享。此外,网络安全政策官应当帮助协调涉及网络空间的情报、军事政策和战略———包括打击网络恐怖主义,确保所有的任务有机融合在一起。网络安全政策官还应当与外部的咨询机构保持联系。许多咨询机构都涉足与网络安全相关的问题,这些机构包括国家安全和电信咨询委员会、国家基础设施咨询委员会、重要基础设施合作咨询委员会以及信息安全与隐私咨询委员会。网络安全政策官应审查这些机构的职能,并提出必要的改革建议使其咨询服务最优化,并杜绝不必要的重复。
为确保公民自由和隐私权利得到保护,还需要得到其它组织的帮助。这些组织将可以在政府网络安全计划和公民自由与隐私团体以及公众之间建立起信任,显示网络安全计划的透明,这在网络计划开始实施之初尤为重要。当务之急是要建立隐私与公民自由监督委员会,加快委员会成员的选举工作,并考虑是否寻求修订法案以扩大其工作范围———包括处理与网络安全有关事务。其它可行的办法还包括:加强政府负责公民自由事务部门与隐私顾问们就网络安全的政策问题进行定期沟通,或在国家安全委员会内任命一名负责隐私与公民自由事务的官员(或范围再大一些,在总统办事机构内任命一名负责隐私和公民自由权利的官员),与私营部门隐私与公民自由团体、隐私与公民自由监督委员会和政府负责隐私与公民自由事务的官员进行协商。
与制定网络安全政策同样重要的是确保有效地执行和落实这项政策,以实现更远大的战略目标。因此,网络安全政策官同管理与预算局、总统办事机构其它部门协商,必须确保有效地落实网络安全相关政策和采取相关行动。在60天的评估期间,有关各方就协调和监督网络安全活动提出了各种各样的办法。一些评论家确信,强有力的行政领导,以及多年来政府部门和机构的努力,是确保美国政府拥有可以有效执行网络安全计划机制的重要基础。目前,一些网络安全监督职能都不是在总统办事机构领导下实现的。例如,归属国家情报总监领导的跨部门联合网络特遣队,目前负责协调和监督执行《国家网络安全综合计划》。网络安全政策官通过管理与预算局和总统办事机构其它部门协商,应该就组织机制调整提出建议,以实现相应的监督、执行和其它的一些职能,包括在管理与预算局或总统办事机构建立一个类似拥有跨部门联合网络特遣队功能的机构,创立一个类似艾森豪威尔总统行动协调委员会的实体,或建立一些可协助评估联邦政府部门与机构表现和监督联邦政府网络安全标准遵守情况的组织机构。在这样一个办公室成立之前,跨部门联合网络特遣队将继续执行其任务。
评估相关法律和政策
总统的网络安全政策官应与政府部门和机构合作,提供协调一致的政策指导,并在必要时详细说明整个联邦政府确保网络安全相关活动的职权、作用和责任。适用于信息和通信网络的法律是由宪法、国内法、国外法和国际法拼凑而成的一个复杂法律体系,这一体系制约着政策选择。在美国,这种拼凑在一起的法律混合体之所以存在,是因为联邦政府在整个信息和通信基础设施发展过程中,颁布了诸多法律和政策,以控制多样化的产业和技术。
由于传统的电信网络和互联网日益融为一体,以及其它基础设施领域日益将互联网作为互联互通的主要手段,法律和政策应当继续找寻出一种综合性方法,将保护公民自由、隐私权利、公共安全、国家和经济安全的利益与灵活多样的网络应用和网络服务所带来的好处结合起来。在一些领域中缺乏司法裁定既带来了机遇也带来了危险,决策者对此应充分理解———法院可以介入并规范法律的应用,特别是涉及到宪法权利的领域。制订政策必然受到法律框架的规范和制约,而且在政策上深思熟虑有助于找出现行法律中存在的差距和争议,让我们知道必须要做出的法律改进。这一过程可能会根据美国的法律原则提议组建新的立法框架,对加之于信息、通信、网络和技术上的相互重叠的法律进行合理调整,或会对已有的法律进行新的诠释,使之适应技术变革与实现政治目标。不过,采用其中任何方式都会有风险,可能使联邦政府保护信息和通信基础设施的一些活动更加困难。
政府应适当地与国会进行有效合作,以确保拥有完备的法律、政策和资源用于完成美国网络安全相关工作。国会已对国家有关网络安全的需求表示关注,并决定由两党共同担任领导,政府将会从国会的知识和经验中获益。与政府部门和机构共同工作的网络安全政策官应与产业界进行协商,以便了解法律和政策给网络运营方面带来的影响。
加强网络安全工作的联邦政府领导和责任制
在数字化时代,仅仅依靠白宫将不足以领导美国实现广泛的目标,整个联邦政府都必须担负起领导职责。将网络安全列入总统议事日程的优先项目、根据既定的目标审查政府部门和机构的网络安全工作进展等,有助于落实责任和推动工作进度。网络安全政策官———与国家安全委员会、管理与预算局、国家经济委员会和科学与技术政策办公室协商———将界定工作进度和成功的标准,提高网络安全工作在所有机构预算中的“能见度”。
要使网络安全工作透明并对整个网络安全投资进行有效管理,管理与预算局应利用其项目评估机制,确保政府部门和机构在追求网络安全目标时有效使用预算。正规的网络安全项目评估机制可以使政府部门和机构详细说明每个计划的意图与目标,并建立是否达成目标的统一标准。《国家网络安全综合计划》已经成功地运用了一种类似的做法。
根据2002年《联邦信息安全管理法》要求,政府部门和机构的领导人必须承担起责任。政府与国会共同努力,更新并强化这项法规。政府部门和机构的领导执行计划要求各部门和机构及时汇报在确保网络系统安全方面的工作进展情况。美国联邦政府应制定备选方案,支持政府部门和机构落实遵守网络安全政策的领导责任制,坚决执行相应的网络安全程序。
提升各级地方政府网络安全事务的领导层级州、地方和原住民保留地政府应考虑把网络安全当成一件大事来抓,指定一名领导人专门负责,以确保首席信息官、首席信息安全官与州国土安全顾问之间的有效协调。评估小组从美国州长协会的代表那里听到一些反映,说网络安全是他们在保护各州重要基础设施资产工作中最薄弱的环节。州国土安全顾问可以从若干国土安全部批准的项目中开支,用于网络安全工作。但从历史上看,所提供的资金在很大程度上并没有优先用来确保网络安全。州、地方和原住民保留地政府应考虑是否应把网络安全当成一个大问题,并确保首席信息官、首席信息安全官与州国土安全顾问协调一致,保持强大的防御态势。
第二章 打造数字化国家的竞争力
国家正处于一个十字路口。计算机几乎改变了日常生活的一切,不论是在家中还是工作场所。网上银行、网上购物和报税等都已是司空见惯。国家的基础设施正在经历一场革命,数字化和网络技术不断通过大型系统进行整合,如智能电网和下一代空中交通系统。近期颁布的《美国复苏与再投资法案》中的内容鼓励发展现代信息和通信设施,以便提高美国的竞争能力,并使用技术来解决国家所面临的最为紧迫的问题。美国面临着双重挑战:在维护一个促进创新、开放式互联、经济繁荣、自由贸易及自由环境的同时,也要保证公众安全、公民自由和隐私。
大众需要明确了解技术的安全使用。另外,美国需要一个技术先进的工作组来维持其在21世纪的经济竞争力。在学校,数学和科学必须成为首选学科。美国应发起一项K-12(注:指从幼儿园到高中的教育)网络安全教育计划,以便进行数字安全、道德和保护教育;扩展大学课程;并且为培养一支数字化时代的称职的劳动力队伍创造条件。正如总统曾提到的,“美国所面临的挑战中,让我们的孩子为全球经济竞争做好准备最为紧迫。”为了帮助完成这些目标,国家应该:
提高全民的网络安全风险意识;建立一个教育系统以促进对网络安全的了解,并让美国继续在信息技术的科研、工程和市场领域保持和扩大领先地位;
扩展并培训用于保护国家竞争优势的劳动力队伍;帮助组织和个人在风险管理上做出明智的选择。
提高公众意识
形成对网上活动风险以及如何对其进行管理的广泛的公众意识,需要制定一个有效的战略。联邦政府应该与教育者及产业界部门一起,引导国家网络安全的公共意识和教育。总统网络安全政策官员应该负责这一公众意识战略的制定并指导其执行,并且应寻求国会、联邦政府、地方与原住民保留地政府、私营部门及公民自由与隐私组织的支持。战略应该涉及对公众进行关于威胁和怎样提高数字化安全及道德的教育。恶意行为体经常利用人们通过互联网接受信息或提交个人信息的行为。因此,该行动应专注于公众信息以便提高对网络使用的责任心,并加强对欺诈、身份盗窃、网络掠夺及网络道德等方面的防范意识。过去在公共安全活动中的一些成功做法,例如为了防火而设置的警示牌、推广使用汽车安全带的提示条等,都可以当作一个模本加以利用,以便通知和帮助公众认识到网络安全的重要性。这些公共服务行动应该注重培养儿童的网络安全意识,以及那些准备选择职业的高年级学生的意识。知名人士、同技术一同成长起来的一代及新型媒体,都可以在有效传递信息上发挥重要作用。
加强网络安全教育
类似于前苏联在1957年10月发射人造地球卫星之后的一段时期,美国处在一个以数学和科技技能为主的全球竞争之中。根据《经济学人》中的一则报道,出色的信息技术职业者“到处短缺,但是形势会更加严峻,因为所需技能的本质正在发生改变。除了技术知识以外,明天的信息技术职业者将要求在项目管理、变革管理和业务分析等方面具有专业知识”。这项研究指出,美国继续拥有世界上最好的信息技术公司运营环境,在教育、基础设施、创新鼓励和法律保护等多个重要领域均具有规模和质量优势,可帮助打造竞争力。然而,2007年至2008年关于计算机学位和入学趋势的“托比调查”显示,美国的计算机科学和工程学位毕业生比2004年的高峰时期减少了约一半。国家无法容忍这种衰退继续下去。
联邦政府以及全体机构应该扩大对关键教育计划和研发的支持,以便保证国家在信息时代经济中持续的竞争力。现有的计划应该加以升级,或者扩大,而且其它的活动可以作为额外的计划模式参考。例如:
2006年国家科学基金开始征集关于其“恢复计算机大学教育的途径”的建议。这个项目试图打造一支“具有计算机能力和技能的美国劳动力,以便推动21世纪国家的健康、安全和繁荣”。
作为直接激励措施,不仅为那些在网络安全教育领域追求进取的学生,同时也向那些立志在联邦政府获得相关职位的学生提供奖学金。国家科学基金和国土安全部为34个大学的服务计划提供奖学金。超过1000名学生在该计划的前8年得到了支持,其中超过80%的学生在联邦政府获得了工作。国家科学基金会强调,考虑到迫切需要壮大相应的劳动力队伍,加强研究和教育之间的协同作用再怎么强调也不为过。
国家信息安全教育与研究学术中心,由国家安全局于1988年创立,从2004年开始由国土安全部共同资助,在38个州和哥伦比亚特区的94所大学推行更高水平的信息安全教育。这些中心已经同众多知名大学建立了合作关系,包括一些社区、西班牙语和传统黑人学院。国防部也对这些大学中的信息安全奖学金计划提供了赞助。
全国大学网络保护竞赛、美国数学奥林匹克协会、能源部科学杯以及西门子基金数学、科学和技术竞赛都提供了以竞赛为导向的范例。其它范例包括国家科学基金援引国防先期研究计划局的重大挑战而组织的一个学术小组,马可姆波里奇国家奖以及旨在建立高级加密标准的竞赛。
扩充联邦信息技术劳动力队伍
总统的网络安全政策官员应同信息和通信设施联合部门委员会协作,考虑如何更好地吸引网络安全专业人才,并采取措施慰留联邦政府内拥有此类技能的职员。各个部门和机构已在吸引产业界人才方面获得了一些成功,但由于获取、转移或更新安全审查需要大量的时间,这造成了机会的流失。联邦职员还应该有机会丰富个人工作履历和促进其职业发展,而单独某一家政府部门常常无法提供这类机会。展开共同培训、进行部门间轮岗甚至与私营部门之间进行可能的岗位轮换不但是一项有效的做法,而且会有利于人才素质综合培养和专业人才库的建立。
将提高网络安全视为企业领导责任联邦政府应该继续促进在各级政府和产业界中关于威胁、漏洞和有效措施的计划和信息分享。只有信息技术劳动力队伍了解网络安全的重要性是不够的,各级政府和产业界领导需要根据现实和潜在风险,做出业务和投资决定。联邦、地方和原住民保留地政府面临着类似的问题。州政府经常起到革新孵化器的作用,因而可能会提供一些在管理信息和通信设施方面所得到的经验。联邦政府应该继续同产业界一起确认并发布在安全设计和信息技术产品经营方面的有效措施。
第三章 共同承担网络安全责任
如果联邦政府孤立地开展工作,那么联邦政府在许多方面都不可能确保网络空间的安全。关于这一点,公共与私营部门有着共同的利益,以确保为商业和政府服务提供一个安全、可靠的基础设施平台。政府和产业界领导者在国内和国际事务上,都需要界定角色与责任、整合各种能力并发现各自的问题,以便制定出整体的解决方案。只有通过这样的合作关系,美国才能够提高网络安全水平,获得数字革命所带来的全部效益。保证网络空间的安全,这一全球性的挑战要求各方做出更大的努力。这一努力应寻求同私营部门进行持续的协作,通过制定全球标准来提高可被共同使用的网络的安全,扩展法律系统打击网络犯罪的能力,继续发展并推广成功的实践经验,并保持稳定、有效的互联网治理。
加强私营部门和政府间的合作关系
联邦政府有责任保护、捍卫国家,并且各级政府有责任确保其公民的安全与健康。然而,私营部门设计、建立、拥有以及运作的大多数网络基础设施同时为政府和私人用户提供支持。对于基础设施的安全性和可靠性以及通过这些设施所发生的交易,业界和政府承担着共同的责任,二者应该紧密合作以解决这些相互依赖性问题。联邦政府可以采取多种不同的手段来应对这些挑战,其中有些可能要求修改相应的法律和政策。
私营部门应帮助弥补执法和国家安全的局限性问题。当前的法律允许使用某些工具来保护政府网络,但不是私营网络。产业界领导者可以利用企业信息共享来帮助说明数据泄露、工业间谍活动以及服务能力丧失或降低给公司带来的风险以及对盈利能力的影响。产业界领导者可以要求销售商和服务供应商提供更多保证,同时承担起开发更加安全的软件和设备的责任。企业应想出有效的途径,以便在彼此以及联邦政府之间分享检测方法、关于违规和攻击方法的信息、修复技术及取证能力。
如果风险和后果可以以货币价值的形式来衡量,那么各个机构就将拥有更大的能力和动力去解决网络安全问题。尤其是,私营部门经常试图通过业务个案来证明以下两方面所需的资源支出的合理性:一是把信息与通信系统安全整合到公司的风险管理之中;二是建立可以缓解风险的伙伴关系。政府可以考虑利用以激励为主的立法或监管工具来协助形成好的价值取向,并且帮助培养一个可以促进并鼓励伙伴关系和信息共享的环境。
总统的网络安全政策官员应同相关部门机构及私营部门进行合作,共同考察现有的公私伙伴关系和信息共享机制,以便识别或建立最为有效的模型。过去十多年以来,公私伙伴关系促进了信息共享,并为美国重要基础设施保护和网络安全政策奠定了基础。在这一段时期,联邦政府和私营部门共同建立了大量有关网络安全和信息与通信设施问题的论坛。
这些团体做了很多贡献,但是由于精力分散,已使一些参与者对缺乏明确界定的角色和责任、各团体之间参差不齐的能力以及不断增加的计划和建议,感到灰心丧气。结果,政府和私营部门的人员、时间及资源被大量浪费于重复、不连贯的工作中。伙伴关系必须进行转变,以便明确界定这一关系的性质、不同团体及其参与者的角色和责任、对各方贡献的期望,以及责任机制。联邦政府应对各种资源进行优化、调整,然后把它们提供给现有的组织,以此来完善其识别优先等级的能力,实现更加有效的执行效率并制定响应与恢复计划。
为期60天的评估考察了大量有效的公私伙伴关系模型。尽管这些模型功能差异很大,但它们却共享着某些重要的特性。每一个模型都有一个定义明确的机构使命、明确参与者的角色和责任,以及清晰的鼓励参与的价值取向。通过在成员之间培养并维持一种相互信任的氛围,每一模型都可以减轻担忧,否则这些担忧可能会妨碍参与。现有的网络安全伙伴关系也许会应用这些模型所具有的那些最为有效的特征。
评估妨碍公私伙伴关系转变的潜在障碍
私营部门中的有些成员一直担心,某些联邦法律也许会妨碍私营部门和政府之间全面协作性质的伙伴关系及运作信息共享。例如,业界中的有些人担心在现有的伙伴关系模型中,同一领域成员之间进行的信息共享和统一规划,也许会被认为同禁止贸易限制的法律“互相串通”或相抵触。业界还表示会有所保留地向联邦政府透露敏感性或专有的商业信息,例如弱点和数据或网络漏洞。这种担忧一直存在着,即便相关的法令对此给予了保护,例如《商业机密法》和《关键基础设施信息法》。这两项法律的颁布旨在消除产业界对于《信息自由法》的担忧。除了这些问题以外,产业界也许还会担心共享信息所带来的名誉损害、责任或管制影响。相反,鉴于对敏感的情报来源和方法或者个人的隐私权利的法律保护,联邦政府有时会限制政府与私营部门共享的信息。
这些担忧并不是孤立存在的。面对不公平竞争,各种反垄断法律提供了重要的安全保障,并且《信息自由法》将协助确保政府的透明性,这对于维持公众信心至关重要。公民自由和隐私团体表示,担心不断扩展的保护措施只不过是一块逃避责任的合法盾牌。此外,信息与通信市场的全球性特点会使信息共享的挑战变得更加的复杂。如果在美国运营的产业界成员是外国公司,那么强制性的信息共享或排斥此类公司加入信息共享体制,可能会对贸易产生影响。
政府应同私营部门进行创造性的合作,以便找出恰当的解决方案———同时照顾到交流信息和保护公共和私人利益这两个方面的要求,从而采用统筹兼顾的方法解决国家安全和经济安全问题。这些解决方案应该识别出明确的、可执行的信息共享目标,并制定事件报告标准。私营部门将更乐于分享那些不需要更改数据所有权的解决方案,例如英国模型中的做法:选择经过审核的信息安全提供方而不是政府作为合并数据的链接点。
最后,联邦政府应该请学术界、公民自由与隐私团体、开放政府的提倡者以及消费者积极参与,以确保政府政策充分考虑到了这些群体所代表的广泛利益。几乎没有什么问题可以简单地看作是一个孤立的程序、政策或技术问题。技术的变化通常会成为政策制定的考虑要素,也许会要求改变现有的程序。政策改变(例如规章或税收鼓励措施的通过)可以影响到采购或技术研发方面的决定。联邦政府还可以考虑这样的方式:它能够把更多的资源集中到可能“改变产业界格局的”领域的研究上,例如行为与政策方面的以及以激励为主的网络安全解决方案。鉴于这些问题的密切相关性,更需要确保所有利益攸关方的利益都得到体现。
与国际社会进行有效的合作
国际规范对于建造安全、稳定的数字基础设施来说至关重要。美国需要制定一项战略,以便打造国际环境并把对一系列问题有着类似观点的国家聚集在一起,这些问题包括有关领土管辖权、主权责任及武力使用等可以接受的规范。此外,不同国家与地区的法律和实践———例如涉及以下多个方面的各种法律:网络犯罪的调查和起诉、数据保存、保护与隐私,以及网络防御和网络攻击响应的途径,为打造一个安全、安定并具有韧性的环境带来了巨大的挑战。要解决这些问题需要美国同所有国家以及国际机构、军事同盟与情报伙伴进行合作,包括发展中国家,它们在构建其数字经济与设施的过程中也面临着这些问题。
在过去十年中,联邦的通信、基础设施和网络安全相关的政策都是沿着不同的道路发展。采用更加综合的政策制定方法可以确保制定相互支持的目标,并可以让美国通过更为有效的、恰当的立场把握其国际机遇。对于一系列独立领域(包括网络安全和对言论自由及其它公民自由的保护)的国家利益,美国应采用综合的解决方法以便制定一贯的政策。
总统的网络安全政策官员应与各部门和机构合作,加强并整合机构间制定及调整国际网络安全立场的流程。此外,联邦政府在继续同私营部门的长期合作的同时,应制定一套积极参与计划以供国际标准机构使用。这其中应包括对现有政策的评估并对立场的确定、完善或重申进行协调,从而确保与网络安全相关的经济、国家安全、公共安全和隐私利益都被考虑在内。包括联合国、八国集团、北大西洋公约组织、欧洲理事会、亚太经合组织、美洲国家组织、经济合作与发展组织、国际电信联盟、国际标准化组织在内的十多家机构都致力于解决信息和通信基础设施方面的问题。新组织正开始考虑与网络安全相关的政策和活动,其它组织也在拓展现有的工作范围。这些机构所考察的政策和所开展的活动有时会彼此冲突,并经常重合。这些组织公布的协议、标准或实践都具有不可忽视的全球影响力。它们的绝对数量、类型,以及这些地区不同的侧重点超出了包括美国在内的许多政府的应对能力。
总统的网络安全政策官员应与各部门机构合作,加强其对国际立场、磋商和讨论的识别、跟踪和优化的能力,与网络安全相关的协议、标准、活动和政策都是在这些过程中形成的。以往的经验表明,美国将需要继续参与一系列的国际活动。联邦政府应与私营部门及其它国家密切合作,以确保各成员充分参与到相应的论坛之中,就关乎美国未来全球信息和通信基础设施利益最重要的问题进行讨论。美国及其国际盟友应利用参与区域或其它论坛的机遇,促成共同的政策目标,关注现有国际组织的工作,并减少重复性的工作。例如,国际电信联盟和国际标准化组织都在从事关于网络安全取证标准的制定。对于主题更为宽泛的论坛,美国也应寻求机会,以促进相关项目中有关信息和通信基础设施的安全和发展。联邦政府应与私营部门共同协调和发展国际伙伴关系,以应对信息和通信基础设施相关的一系列网络安全方面的活动、政策和机遇,这些基础设施是美国商业、政府服务、美国军队以及国家的根本所在。政府和产业界间新签署的协议应加以备案,以促进国际信息共享和战略运营合作。对于指导对外发展及发展海外能力,联邦政府应增加资源并提高警惕。例如,美国应加快步伐帮助其它国家建立法律框架、提高打击网络犯罪的能力,并且继续推广网络安全方面的准则和标准。美国也应与其盟友合作,确保互联网的稳定性和国际互用性,同时提高互联网的安全性和可靠性,使所有用户受益。(未完待续)(武斯祖译)
奥巴马政府《网络空间政策评估》报告全文(下)
(上接8月11日第152期)
第四章 建立有效的信息共享和事故响应框架
美国需要建立一个全面的框架,以便协调政府、私营部门和盟国共同应对重大的网络事故。联邦、州、地方及原住民保留地政府应与业界合作,提前完善其正用于检测、预防及应对重大网络安全事件的计划和资源。由于此类事件可能影响到政府和产业界部门之间的互联网络,因而在重大事件发生之前、期间和之后,对此类计划和行动进行协调就显得特别重要。例如,尽管收到关于“Conficker”蠕虫病毒的提前预警和网络防御的指示,但如果蠕虫病毒在2009年4月1日激活时附带恶意的有效负载,那么一些联邦部门和机构就无法应对。
建立事故响应框架
与其他重大国家事故一样,在发生重大网络事故时,只有白宫有权协调与事故响应相关的一系列职能部门和权力机构。各部门和机构应按白宫总体战略方向履行各自责任。总统的网络安全政策官员应为白宫网络事故应急的执行官(其职能与帮助白宫检测恐怖主义袭击或自然灾害的执行官类似)。
联邦政府应建立一套明确且具权威性的网络事故响应框架,该框架在修改后的《国家响应框架之网络事故附件》中备案。到目前为止,针对网络事故的联邦响应还未统一。对于涉及国家安全/应急准备通信的情况,第12472号美国总统令明确了现存的职能部门和处理流程;然而,根据当前的法律政策,各部门和机构仍各自负责决定和实施隔离、保护和恢复自身计算机网络和数据的措施。
由于国家安全和其它联邦网络之间现存的法律而非人为差异,联邦网络事故响应的责任分散到了不同的联邦部门和机构之中。根据事件的性质,例如重大的漏洞、犯罪袭击,或军事事件,不同部门或机构可能负有或承担着主要的应急责任,而其它部门或机构则可能对此一无所知。另外,对整个事故的责任分配可能还不明确。尽管每个参与者都有着明确的专长领域和合法权利,但它们很难统一到一个单一的协调框架中。把任何权力部门合并到一个统一架构中可能都需要通过法律来实现。信息和通信设施联合部门委员会进程应明确同事故响应相关的不同部门和机构的角色、职责及资源,必要时对其协调或补充;了解事故响应的各个方面如网络安全、执法、情报及军事等部门及其各自的优势。
众多评论家强调建立事故报告和响应门槛的重要性。网络运营商和服务提供商每天都会处理大量尚未达到“滋扰”级别的事件。在这些低级别事故中,藏匿有相对少量的可能产生巨大影响的入侵或攻击。其它政府和私营部门的网络运营商很想了解此类事件的技术细节,以帮助其抵御相似的网络威胁;执法部门和情报机构也可借此跟踪并寻求方法制止网络安全方面的犯罪和来自国外的威胁活动。
网络运营和服务提供商:互联网由管理运作和为客户提供服务的企业联合运营。网络运营商建立和维护信息通信基础设施,为客户提供接入和宽带服务。服务提供商提供互联网接入网关、安全服务、存储或处理服务,以及信息的获取(如互联网地址或新闻)和应用设备(如搜索引擎)。单个的公司可提供独特的接入、信息和服务的混合组合(如社交网络)。
联邦政府应与州、地方和原住民保留地政府和业界合作,总结一系列威胁情况和衡量指标,以供风险管理决策、制定恢复计划及确定研发优先顺序。同时应发展建模和模拟能力,以帮助演练这些计划并确定可能的破坏级别。
信息和通信设施联合部门委员会应在各部门和机构中建立明晰、可执行的事件即时汇报规则,以便提高机构间响应的效率。各部门和机构在各自管辖范围外的事件汇报存在差异,其对重大事件的即时汇报将使联邦的整体应急响应受益。
总统的网络安全政策官员应与信息和通信设施联合部门委员会合作,确定发展和保持态势感知和事故响应能力的最有效方法。《国家网络安全综合计划》应继续致力于提高联邦网络的防御能力,同时考虑调整实施计划或增添内容的需要。总统的网络安全政策官员尤其应该:
与私营部门合作,探索如何更好地将技术能力应用到国家基础设施的防御中来,以及需要什么样的法律框架来保障隐私权和公民自由。
审议国家网络安全中心的运作理念及其实施,决定该中心关于责任、资源战略和管理的提议是否充分,使其能够提供支持网络事故响应努力所必需的态势感知共享信息。
继续向可信任的互联网接入项目的目标迈进,减少政府网络接入的数量,同时根据对挑战的现实评估,再次考虑项目中的目标和时间表。在过去的两年里,一些部门和机构在减少接入数量和部署系统上取得了进步,这些系统将帮助联邦政府阻止并检测恶意的行为。然而,政府在充分发挥能力之前仍然有很多工作要做,而且可能需要考虑额外的政策以促进战略的全面实施。
为了联邦网络的利益,适当评估并与公民自由和隐私团体继续协商进行入侵检测和防御系统的试点部署工作,评估这些系统的性能,并且继续研究若将这些系统应用到州政府系统中会产生的问题。(系统中的)传感器将对联邦网络获得态势感知信息具有关键作用;随着这些部署工作的进行,政府也将从政策、法律或技术层面受益。
探索———与业界、公民自由和隐私团体协作———其它长期的入侵检测和防御体系建构。
联邦政府应提高自身向总统提供网络入侵或攻击的战略预警的能力。联邦政府应继续利用国家为促进密码技术、信息保障技术和必要配套设施的根本发展的投资。这些投资以及其它的情报能力,对于网络攻击的战略预警至关重要。此外,联邦政府应找出执法能力上的差距,或保护国家基础设施所建立的调查权威。所有新设的权威部门需始终保障公民自由和隐私权。
美国政府应投资有助于防御网络应急事件的流程、技术和基础设施。内容包括增加安全检测、投资网络管理自动化或中央化系统,以及对某些非保密系统实施更严格的互联网接入。
政府需要建立一套可靠持续的机制,以便将所有适宜信息整合在一起,形成一张共同的运行图。联邦网络安全中心经常分享彼此的信息,但其中没有一家机构可以将来自不同中心和其它资源处得到的所有信息综合起来,制成一张不断更新且涵盖网络威胁和网络状况的全局图,以预报迫在眉睫的应急事故,以及支持协调事故响应。国防部负责整合关于网络健康和状况、入侵企图和对自身网络的攻击的信息;情报界负责自身网络;国土安全部美国电脑应急反应小组负责民事联邦机构以及在某种程度上对私营部门负责;执法和情报机构收集与网络有关的犯罪和国外威胁活动证据,但也需要具有处理有一定规模的犯罪活动的额外能力。
联邦政府应考虑若信息和通信基础设施遭受重大损害,尤其是当信息和通信网络融为一体时,是否有充足的可用替代品或通信设施储备。基础设施的替换或修复也要求有额外的计划和资源,尤其是当网络或电网中难以替换的元件受到物理损害时。
联邦政府应利用现有资源,在各级政府和私营部门间建立有助于防御、检测和应对网络应急事件的流程。联邦政府应利用州际信息共享和分析中心、全国58座州立和地方融合中心等现有资源,帮助树立信息和通信基础设施方面的态势感知意识。
加强信息共享,提高事故应对能力
信息是防御、检测和应对网络事故的关键。网络软硬件提供商、网络运营商、数据拥有者、安全服务提供商以及某些情况下的执法或情报机构可能各自拥有信息。这些信息能够帮助检测和了解复杂的入侵或攻击问题。只有将上述各类信息来源整合起来,才有可能全面了解事故并做出有效的响应,使所有人受益。
联邦政府应与州、地方和原住民保留地政府及私营部门(包括数据拥有者、网络运营商及隐私和公民自由专家)合作,寻求网络安全方面的信息共享方案,消除有关隐私和专有信息的担忧,使信息共享符合国家的利益,达到互利的目的。鉴于私营企业关心其信息的潜在使用问题,政府必须保障其隐私权、做到执法公正、保护情报来源和方法,以及可能导致不公平竞争优势的政府信息。为了解决这些担忧,政府和私营部门都需要做到透明、诚信。可选方案包括:
设立一个政府和私营部门都信任的第三方非营利性非政府组织,作为政府和私营部门共享信息的平台,以此提高政府和私营部门之间的关键网络安全性。此类组织可使用商业服务,并且不会扰乱日益壮大的安全服务市场。
联邦政府(如执法机构)与个体公司或公司集团(可能还有州、地方和原住民保留地政府的参与)之间持续的约束,在特定的部门或区域内实现一定程度自愿性的信息共享,超越在更广泛的背景下实现的信息共享。
美国政府应与受影响方和国会协商,考虑制定适当的信息共享激励措施。作为最后的手段,这些措施可包括综合方案中的监管措施,以满足社会对健全和具有韧性的关键基础设施的利益需求,保障公民自由和隐私权,维护作为美国经济系统基础的、公正公开的经济市场。加密或控制接入认证等强化隐私保障技术可减少信息共享中的某些风险。
联邦政府应全面评估妨碍网络安全信息共享的有关安全分级和人员涉密等方面的政策,同时寻求信息共享改善方案,并确保公民自由和隐私权得到保障,敏感信息得到适宜的保护。联邦政府各部门和机构当前关于信息搜集,使用、保留和散布的政策很大程度上都是基于法定权限、对隐私和公民自由的关注、对来源和方法的担心以及历史惯例而来。这些政策严重阻碍了联邦政府间的网络安全信息共享。此次评估应将联邦政府通过安全性和适用性改革倡议所取得的进展考虑在内,同时也要考虑信息共享环境在检查安全和适用性处理组件的所有方面时所做出的努力。
联邦政府应与私营部门合作,制定私营部门网络运营商向联邦政府进行事件汇报的标准。业界表达了作为受害者对汇报其网络事故的担心,包括随之而来的股东的担忧、市场反应或监管行动所带来的潜在消极影响。一家业内机构提议成立政府—企业工作组,设立具体到部门的网络事件门槛,以保证将信息汇报给安全官员。需制定相应的规则并监督政府对此类信息的使用,以保障隐私权和公民自由。另一完善报告程序的途径是考虑适当的数据破坏通知法案,要求企业将相关信息通知给公众和政府,其中包括可进行调查的执法部门。联邦政府也应检查已有的市场监管汇报规定的有效性和工作范围。与此同时,联邦政府需制定与私营部门进行事件汇报共享的流程和规则。这些规则的制定需考虑事件的分类和隐私问题。另外,联邦政府应协助研究团体获得网络安全事件的数据,并对此加以适当控制。这些数据可用来开发工具、测试理论和制定可行性解决方案。此类共享需要解决关于敏感或专有数据及个人身份信息的保护问题。
联邦政府应努力扩大与主要盟友在网络事件和漏洞方面的信息共享,寻求改善网络安全的双边或多边安排,并确保这些安排符合美国其它方面的经济和安全利益,使公民自由和隐私权得到保障。国际合作为美国政府与私营部门的合作带来了更多挑战。若美国政府计划与其它国家共享美国私营企业的行业信息,则国内合法的私营部门关于信息共享的担忧将会增加。私营部门和联邦政府再次需要做到明晰和诚信,来控制、散发和使用私营部门与政府共享的信息,包括对使用美国和国际社会之间共享信息的理解。
提高所有基础设施的网络安全性
联邦政府应与私营部门合作,明确公私伙伴关系的职能,以做好私有关键基础设施和重要资源的防御工作。联邦政府的核心责任之一即是共同保护私有关键基础设施不受武装攻击、物理入侵或国外军事力量、国际恐怖分子的破坏。同样,政府也在保护这些基础设施不受罪犯或国内恐怖分子的破坏上发挥着重要作用。然而,若攻击是通过计算机网络远程进行而非直接的物理行为,那么政府应对相同行为人,对相同基础设施施加的相同损害负多大程度的责任,这个问题尚未解决。大多数网络运营商和服务提供商都将自身网络的维护和防御工作归为自己的责任,但私营部门的重要组织已表示,业界希望形成一个工作框架,在此框架下政府将追捕恶意行为人,为私营部门运营商提供信息和技术支持,帮助私营部门保护自身网络。
在网络安全解决方案的制定过程中,联邦政府应考虑出台鼓励集体行动和竞争的激励措施。例如,网络空间至今还未出现“照顾标准”的法律概念。可能的激励措施包括调整法律责任(安全改善后责任减少,安全条件差则导致责任增加)、补充赔偿、税收鼓励政策、以及新的监管规定和执行机制。
总统的网络安全政策官员应与各级政府、私营部门及国际伙伴合作,制定战略和计划,鼓励创新型网络安全解决方案,确保基础设施系统的安全和韧性。基础设施范例包括:
政府应协助世界银行、国际货币基金组织等国际金融机构,向其提供必要的信息、工具及专业知识,并鼓励其运用最佳准则来保护自身的信息系统。2008年这些机构的系统曾遭受一系列的严重入侵。
《美国复苏与再投资法案》通过储备基金来推广医疗信息技术的使用。随着电子记录保存(系统)在互联网上的日益普及和获取这些信息的便利性,病人信息的保护工作将事关美国政府可否得到公众的认可。
能源部应与联邦能源监管委员会合作决定是否需要为能源方面的工业控制系统另行制定安全执行令和程序。另外,随着新的智能网技术在美国的普及,联邦政府务必要制定和通过相应的安全标准,以避免为对手制造可乘之机,侵入上述系统或对其发动大规模攻击。
交通部下属的美国联邦航空管理局在维持现有系统的同时,已制定了向下一代空中交通控制系统过渡的长期计划。交通部检察长于2009年3月18日在众议院航空交通和基础设施小组委员会上作证时称,需要评估潜在的安全漏洞,制定一套健全的网络安全战略和设计方案。
第五章 鼓励创新
对于韧性的要求:基础设施必须具有一定的恢复能力以防物理破坏、非法操作和电子攻击。除了对本身信息的保护,减轻网络空间风险的战略必须侧重于访问基础设施的设备,基础设施提供的服务,网络的支持要素及所有用于移动、存储和处理信息的手段。这一战略还必须包括预防、减缓和应对针对运营并受益于基础设施的人员所遭受的威胁或破坏,运营或利用基础设施的程序以及用于建造并维护基础设施的供应链。
信息与通信部门正在创建一个聚合平台,在此平台上数据、音频和视频应用占用共同的基础设施。当前国际互联网模型的分散性质,可以允许个人和企业家在无需得到许可的情况下,开发并配置创新的应用程序。创新带动了价值数十亿美元的新型业务,它们彻底改变了用户与网络及用户彼此之间的互动方式。随着科技对美国越来越重要,对于这一不断演变发展的基础设施,保持信心和信任至关重要。总统已呼吁联邦政府同业界保持合作,共同开发“下一代的安全计算机和应用于国家安全的网络互联”,制定“新的、严格的网络安全与物理恢复力新标准”,以及“保护个人数据的标准”。
美国应充分利用技术创新以便消除网络安全担忧。虽然市场上早就存在着许多可以明显增强安全性的技术和网络管理的解决方案,但由于成本或复杂的原因这些技术和解决方案并没有得到广泛的使用。另外,鉴于国际互联网基础设施的内在设计,现有的解决方案已发挥到了极限,无法再继续提高。从长远来看,开放和创新将有助于建立一个透明且责任明晰的更加强大的基础设施。联邦政策必须满足国家安全要求,保护知识产权,并且要保持基础设施的可用性和连续性———即便在其遭受强劲对手攻击的情况下。联邦政府还必须注意不要制定一些不必要的政策与规章,它们可能会妨碍创新、导致低效率或使安全性降低。
未来
根据2006年的国家研究院报告《振兴美国的通信研究》一文指出:“通信网络是庞大、复杂的系统,其可靠性、安全性及演化性取决于连贯的、构思良好的架构概念的发展。”这一报告还指出:“有多家厂商的产品被用来配置美国的电信基础设施并提供服务……(它们)超越了供应商的服务范围。由于业界正朝着水平结构发展并且其分解出了大量的小型公司,不论是厂商还是服务提供商都不会准备去负责终端对终端系统的设计。”
这样一来,在处理政策、标准、研究、市场开发或采购问题时,就没有可以用来指导私营部门、学术界和政府做决定的统一建议。联邦政府、私营部门及其它利益攸关方应共同制定未来基础设施的技术中立的性能和安全目标,既满足其作为消费者的自身需求,同时又发挥其作为公众利益管理人的作用。联邦政府同其合作伙伴应针对具体的部门和组织,分别制定一系列综合的全国信息与通信基础设施目标。这些目标可以参考不同的计算平台模型或网络控制概念,以及通过政府、学术界或业界的研究项目产生的技术解决方案。
数据和服务向第三方的联网服务器的移动被称作为“云朵”,这为全球的私营部门和政府带来了新的政策挑战。跨越司法管辖边界的数据移动带来了以下三方面的挑战:法律执行、不同国家分别制定的隐私与公民自由保护,以及出现数据或网络漏洞时的决策责任。有些客户会试图限制服务提供商移动或存储数据的地点,而另一些跨国经营客户则会寻求利用地理和时区的差异性。
基础设施安全构想:众多的机构和部门都在努力制定某些科技或基础设施部门的远景规划。例如,美国能源部与业界合作于2005年推出了一个为期10年的路线图,以便发展用于电网的控制系统。这一计划期望达到的目标是,截至2015年,“将实现关键应用控制系统的设计、安装、运作和维护以便能够承受蓄意的网络攻击,同时不会丧失重要的功能”。国防部先期研究计划局的顾问小组把对当前基于《互联网协议》的网络防御称作是一项亏本的买卖,呼吁“对可供选择的基础设施进行单独的考察”,从而完成对最佳候选基础设施的实验与评估。根据2009年3月的一份简报,国防部先期研究计划局正进行一项为期6个月的候选基础设施分析。
研发框架与基础设施开发的结合在总统网络安全政策官的领导下,联邦政府应与其它的总统办事机构部门及信息和通信设施联合部门委员会进行合作,提供研究与开发战略———专注于可以实现基础设施目标的、具有变革意义的技术框架,进一步完善当前的网络和信息技术研发战略及其它与研发相关的工作。联邦政府应扩大这些战略同业界与学术研究努力的协调,以便避免重复性的工作,利用具有互补性的功能和议事日程并使之同步,并且确保实现该技术换代并进入市场。
为了提高美国的竞争力,联邦政府应与业界合作,共同制定换代路径和刺激措施以便快速促进研究与技术开发,包括鼓励学术界与业界实验室之间的协作。
联邦政府还应与私营部门及其它利益攸关方合作,利用基础设施目标和研发框架为国家与国际标准机构制定目标。
建立身份管理
如果不能提高认证水平,我们就无法提高网络安全性。身份管理不只是用于人员认证。认证机制还可以帮助确保在线交易,仅涉及那些对于网络和设备而言可以信任的数据、硬件和软件的交易。尽管大多数系统今天都适于进行网络交易,但人们用于建立信任的电子提示技术等也许还没出现、不完整或者难于理解,起不到应有的作用。身份管理也许能够为可信任社团的个人和组织提供帮助,这些社团都是基于不同程度的身份公开和彼此约定的责任制而建立的。同时,它还可以排除不受欢迎的入侵者或不适当的会员请求。身份管理通过对个人识别信息的发布进行额外的保护,还可能提高隐私水平。
联邦政府与业界及公民自由与隐私社团合作,应共同制定一个基于网络安全的国家身份管理构想与战略,为此需要考察一系列的方法,包括提高隐私水平的技术。联邦政府必须通过大量的信息、服务与福利计划同公民展开互动。这样一来,政府才会对保护公众的隐私信息产生兴趣。在线交易变得日益普遍,涉及金融、卫生与商业等诸多方面,需要一个在交易方之间建立信任的基础。
对于高附加值的业务(例如智能电网),国家应该建立一系列可以选择加入的、能够相互配合的身份管理系统,以便为在线交易建立信任并提高隐私水平。
国家科学技术委员会下设的生物测定和身份管理附属委员会于2008年发布了一项报告,该报告提供了一个未来联邦身份管理构想以及一系列的研究与开发建议。联邦政府应把这项报告作为身份管理战略的一个出发点。
联邦政府应与国际伙伴进行合作,共同制定相关的政策,鼓励发展可以信任的全球体系,这种系统需要保护隐私权和公民自由并控制旨在保护公民与基础设施的法律实施活动的适当利用。
在国土安全第12号总统令的指导下,联邦政府正寻求在联邦事业中运用可相互通用的联邦身份认证机制。联邦政府应确保在联邦机构全面落实第12号总统令时,相关的资源都是可以利用的。联邦政府还应考虑让以下两方在国家紧急状态期间也能够使用联邦身份管理系统:重要基础设施的运营商,以及私营部门紧急响应与维修服务提供商。
全球化政策与供应链的整合
信息技术革命及自由贸易政策带来的结果之一,是为在全球范围内分布有设备设施的公司建立了一个全球性的环境,用于其信息与通信产品的研究、设计、制造与服务。这一全球市场通过为美国的高科技商品和服务打开世界范围内的市场,给美国创造了巨大的利益。然而,新的制造、设计与研究中心在全球范围内的出现,使人们更加担忧微小的硬件或软件操作会更加轻易地导致计算机和网络的崩溃。仿造产品已带来了非常明显的供应问题,但记录在案的明确、蓄意的破坏的例子却很少存在。
需要对风险管理进行一种广泛的整体分析,而不是全面地否定外国产品与服务。供应链攻击所面临的挑战是,老练的对手也许会缩小目标范围,仅专注于特殊的系统,这样基本上就会使操作变得让人无从察觉。国外制造的确会给民族国家的对手带来更加容易的破坏产品的机会,但是,通过招募重要的内线人员或其它的间谍活动,也可以实现同样的目标。
最好的防御也许是通过持续的创新来保证美国的市场领导地位。创新可以提高美国的市场领导地位,并且促进在维护具有弹性的、多样化的供应链与基础设施方面的最佳实践的应用。总统网络安全政策官与各部门机构应:
以国家安全局为国防部所做的工作为基础,通过综合服务管理局制定商业产品与服务的采购战略,以便建立市场激励机制,使安全成为硬件与软件产品设计、新的安全技术及安全的托管服务的一部分;
扩大同州、地方与原住民保留地政府及国际合作伙伴的合作关系以便使这些采购的市场影响最大化;
同国会一起识别相关的机制,以便能够让各部门机构在适当的特定情形下,在做出购买决定时考虑到相关的威胁信息;
从经济和威胁的角度出发,与业界一起提供威胁信息并确认管理供应链和内部风险的最佳方案。
保持国家安全/应急准备的能力
联邦政府保护美国民众和提供共同防御的义务,包括负责确保国家在危机时刻能够进行通信并做出响应。通信系统可能会最先遭受此类事件的冲击,因此必须具有可以恢复的韧性或能力,以便应对响应并保护政府的职能。《1934年通信法》授权总统当国家处于从“公共危险”到“战争”的不同警戒等级时,如果他认为有必要维护国家安全或防御并且存在必要的临界条件的话,他可以运用、控制或者中止联邦通信委员会管辖下的通信服务、系统和网络。第12472号行政命令要求建立一个政府和业界联合的国家协调中心以便为通信服务或设施在所有危机或紧急情况下的启动、协调、恢复或重建提供帮助。关于“国家连续性政策”(2007年5月4日)的国家安全第51号总统令暨国土安全第20号总统令在联邦政府内对有关连续性通信的职责进行了分配。
国土安全部正在努力朝着这一目标前进:帮助国家安全和紧急状况用户提供下一代网络的聚合信息服务,并确保在各种灾难及其它会致使公众用户遭受通信服务严重恶化或中断的事件期间,其所提供的服务具有极大成功的可能性。下一代网络在国家安全方面的改进将包括数据、音频与视频等多种服务。由于主要运营商和服务提供商所构想的各种架构具有较大差异,这会使得国土安全部的努力变得复杂化。为此,国土安全部正在考察、比较不同的方案,并争取在提交给标准组织进行考核的方案上与业界达成一致。联邦政府应:
针对下一代网络的国家安全与应急准备通信的能力,制定一个协调计划,包括进度时刻表与经费开支要求;提供联邦政府可以获取的附加服务的选择,或者引导政府将用在信息与通信基础设施上的投资用于提高在自然灾害、危机或冲突时期的通讯设施的存活性;与国际合作伙伴与标准制定机构进行配合,以便在遍布全球范围内的下一代网络环境中维护下一代国家安全/应急准备的通信能力;确保与行政部门连续性通信基础设施和下一代服务计划的开发相关的努力得到足够的人力资源支持。
第六章 行动计划
近期行动建议
⒈任命一名网络安全政策官,负责协调全国的网络安全政策与活动;该官员同时具有国家安全委员会和国家经济委员会双重职责。在国家安全委员会内增设一个职能强大的局,在网络安全政策官的领导下,协调政府部门间的网络安全战略和政策的制定。
⒉为总统批准实行确保信息和通信基础设施安全的最新国家战略做好准备。这一战略应包括对《国家网络安全综合计划》落实情况的评估,明确可以进一步发挥其成功经验的相关领域。
⒊将网络安全列为总统议事日程的优先项目,并制定工作业绩指标。
⒋在增设的国家安全委员会网络安全局中指派一名官员,负责公民隐私和自由权利事务。
⒌召集政府相关机构,就在制定政策过程中遇到的网络安全相关事宜进行清除跨越部门界限的法律分析研究;并制定统一的政策指导,以明确政府各部门网络安全工作的任务、职责和权限。
⒍发起一场促进网络安全公众意识的全国性教育运动。
⒎发展并完善政府对组建国际网络安全政策框架的观点与立场,加强与国际伙伴的关系,主动创新,解决所有与网络安全相关的问题。
⒏制订网络安全应急反应计划;启动旨在加强政府与私营企业伙伴关系的对话,理顺关系、加强协作,为扩大私营企业的参与并发挥其作用创造条件。
⒐与总统办事机构其它部门合作,制订出一个研究和发展战略的框架,侧重发展有助于提高数字基础设施安全性、可靠性、韧性和可信度的革命性技术;让研究界有权使用涉及重大事件的数据,以便开发手段,测试理论,并找出可行的解决办法。
⒑建立基于网络安全的身份管理构想和法律规定,以满足隐私和公民自由权利的关切,指导与加强隐私权保护的相关技术发展。
中期行动建议
⒈对于有关法律解释、政策应用及网络操作权限的机构间的分歧,改进其解决的过程。
⒉使用管理和预算局项目评估框架来确保各部门机构在追求网络安全目标时使用基于绩效的预算编制。
⒊扩大对关键教育项目和研发的支持,以便确保国家在信息时代的经济环境中保持持续的竞争能力。
⒋制定扩充与培训劳动力的战略,包括吸引并维持联邦政府内的网络安全专门技术人才。
⒌确定最高效、最有效的机制以便获得战略性警报、保持情态感知能力和事故响应能力。
⒍制定一系列的威胁情景和指标,用于风险管理决策、恢复规划及研发的优先顺序确定。
⒎在政府和私营部门之间制定一项程序以便协助防范、侦测并响应网络事故。
⒏建立网络安全相关的信息共享机制,消除有关隐私与专有信息的担忧并使信息共享具有互利性。
⒐制定相应的解决方案,要求在自然灾害、危机或冲突时期可以提供应急通信能力,同时确保网络的中立性。
⒑扩大与重要同盟之间有关网络事故和弱点的信息共享,并寻求双边和多边安排,这种安排将可以在提高经济与安全利益的同时,保护公民自由和隐私权。
⒒鼓励学术界和业界实验室之间的合作以便制定换代路径,以及鼓励快速采用研究与技术开发创新的刺激措施。
⒓利用基础设施目标和研发框架来帮助界定国家与国际标准制定机构的目标。
⒔对于高附加值的业务(例如智能电网),建立一系列可以选择加入的、能够相互配合的身份管理系统,以便为在线交易建立信任并提高隐私水平。
⒕完善政府采购战略,并且对于具有韧性且安全的硬件与软件产品、新的安全创新及安全的托管服务,建立市场激励机制。(武斯祖译)
