美国网络安全管理评估报告.docx
《美国网络安全管理评估报告.docx》由会员分享,可在线阅读,更多相关《美国网络安全管理评估报告.docx(13页珍藏版)》请在冰点文库上搜索。
美国网络安全管理评估报告
美国网络安全管理评估报告
早在2009年,美国总统奥巴马就宣布,网络空间威胁已经成为美国21世纪面临的最严重的经济和国家安全威胁之一。
2009年5月,他指示美国政府问责办公室(U.S.GovernmentAccountabilityOffice,GAO)审查美国国家级网络安全政策和程序。
审查报告显示存在两方面重要不足:
缺乏强有力的领导和联邦机构之间缺乏明晰的任务区分。
虽然三年前白宫就增设了一名新的总统特别助理兼“网络安全协调官”,负责领导各联邦机构间的网络协作与同步协调工作,美国政府问责办公室给出的总体评价结论却是:
美国国家级的网络安全管理需要做出更大的改进。
本文的主要目的有三个方面:
(1)确定美国政府内各机构在网络安全管理方面的不同任务、职责和权力;
(2)评估美国国家级网络安全管理计划的效率和有效性;(3)提出增强整体网络安全管理的战略方案建议,以在资源受限的环境中有效保护和运营美国的网络和信息。
“网络安全威胁是我们整个国家所面临的国家安全、公共安全和经济挑战等最严重的问题之一。
”
——2010年美国《国家安全战略》
今天的黑客不再是寻求刺激的青少年,他们是有组织的犯罪集团、国家武装力量和非国家行为体,他们从事间谍活动或对民众和基础设施进行怀有恶意,从而危害美国的国家安全和/或经济利益。
虽然远在千里之外,但技术日益精湛的外国黑客就可以对美国计算机网络进行电子渗透以窃取敏感的军事技术。
2009年,美国总统奥巴马向全体美国公民发表了全国电视演讲说,“我们每天都会看到成千上万批网络窃贼反复窃取(我们的)敏感信息——他们是那些国内心怀不满的员工、千里之外的黑客个体、工业间谍以及越来越多的国外情报部门。
”奥巴马总统讲话的意图就是要警告美国公民:
美国的重要安全利益正在遭受攻击,为了保护美国民众、他们的资产以及美国的国家利益,一个及时有效的美国网络安全战略行动计划必须尽快实施。
奥巴马总统继续解释说,“这是对我们信息时代的莫大讽刺——那些帮助我们制造和发展的技术,也帮助了那些扰乱和破坏我们的敌人。
”随着国家从工业时代过渡到信息时代,总统告诫广大美国民众,那些旨在推动世界进步的新技术也具有反作用,必须采取有效措施扭转这一趋势。
为了改变电脑黑客利用先进技术从事网络犯罪的侥幸心理,必须制定一个新型的和开创性的战略行动计划来改变当前的网络破坏方式。
这种计划的制定必须包括美国政府、国际社会和私营-公共部门的积极参与,通过一个独立的权力机构对美国网络安全利益相关者进行领导、指导和激励。
本文的目的是通过评估当前环境和重要权力机构来更好地理解网络安全管理结构,然后对如何开展合理的行动计划,以及在未来获得一种良好的国家网络安全态势提出方案建议。
本文的主要目的有三个方面:
(1)确定美国政府内各机构在网络安全管理方面的不同任务、职责和权力;
(2)评估国家级网络安全管理计划的效率和有效性;(3)提出整体提高网络安全管理的战略方案建议,以在资源有限的环境中有效保护和运营美国的网络和信息。
背景
2008年,为了应对网络攻击对联邦系统和业务所带来的持续威胁,布什总统授权实施一项新的“国家网络安全综合计划(ComprehensiveNationalCybersecurityInitiative,CNCI)”。
该计划旨在提高联邦政府保护敏感信息的能力,阻止黑客和民族国家入侵国家机构的网络及其他网络。
此外,由于多个部门报告他们的计算机网络遭受了多起网络攻击,美国政府决定实施“国家网络安全综合计划”。
还成立了国家网络安全中心(NationalCyberSecurityCenter,NCSC)来协调各联邦机构和部门的信息,以确保网络安全和促进协作。
“国家网络安全综合计划”旨在减少漏洞、防范入侵,并预测潜在的威胁,而国家网络安全中心则致力于规范当前的网络安全流程,并引入新的政策和商业实践,以更好地保护计算机网络和系统。
早在2009年,美国总统奥巴马就曾宣布,“网络空间威胁已经成为美国21世纪面临的最严重的经济和国家安全威胁之一”,而且“美国在21世纪的经济繁荣将依赖于网络安全”。
2009年5月,他指示美国政府问责办公室审查美国国家级网络安全政策和程序。
美国政府问责办公室的政策审查结果重点放在了网络安全职责上面。
戴维?
鲍勒尔撰写了政府问责办公室报告,并指出存在两大重要不足:
(1)缺乏强有力的领导。
(2)联邦机构之间缺乏清晰的任务区分。
对缺乏强有力领导的关注始于2009年3月,时任国家网络安全中心主任的罗德?
贝克斯特罗姆突然向美国国土安全部(DepartmentofHomelandSecurity,DHS)主任提交了辞职信,声称缺乏资金支持和未将网络安全视为国家优先发展项目,致使他决定辞职。
鉴于贝克斯特罗姆先生的突然离职和美国政府问责办公室对国家网络安全态势的评估结论,美国总统奥巴马决定在白宫内设立一个总统特别助理兼“网络安全协调官”,旨在提高机构间协作与同步协调效率。
“网络安全协调官”这一新职位将负责向国家安全委员会(NationalSecurityStaff,NSC)和国家经济委员会(StaffoftheNationalEconomicCouncil)报告,统揽整个美国网络安全管理事务,制定网络安全长远规划。
为了领导国家网络计划,奥巴马总统于2009年12月任命霍华德?
A?
施密特作为国家“网络安全协调官”,霍华德?
A?
施密特曾效力于联邦调查局,专门研究网络犯罪,先后担任过微软和eBay公司的首席安全官,还曾担任过小布什政府的白宫网络安全顾问。
“网络安全协调官”既没有指挥权,也没有对任何联邦机构的预算权,在当今信息时代,要解决那些困扰美国和世界的一大堆网络安全问题,他的行政人员规模是远远不够的。
自2009年12月以来,各联邦机构在网络业务和政策发展方面都取得了重大进展,但各机构之间缺乏一个集体的和协作的机制问题一直遗留到现在。
虽然“网络安全协调官”已在政府部门内任命,迫切需要在监督国家网络安全方案方面强化领导与管理的需求最近才刚刚被提上日程。
在政府问责办公室对网络安全管理进行定期审查期间,当确定谁对网络安全的政策和计划拥有领导和决策职责时,各联邦机构纷纷抱怨职责区分混乱,由于任务和责任区分的不明确,重复性工作和资源重叠依然在各机构间存在,这就造成了不必要的混淆与浪费。
有人认为重复性工作和资源重叠会在一定程度上为国家增强和/或提高生产力与网络安全态势,因为冗余的网络安全人员和设备有利于更好地完成任务。
然而,由于缺乏政策、领导、行政机构和信息共享,网络安全管理很难获得更大的进步。
由于每个联邦机构都着手制定相类似的政策;监控和维护相同的网络;调查违法犯罪行为;与国际和国内私营及公共部门进行协调;并履行相似的研究和开发职责,对普通观察者(美国公民)来说,这种重复性工作显然浪费了联邦政府、州政府和业界的资金,而国家安全的威胁却持续上升。
正如历史书讲述的西部故事,蛮荒的西部被打败和驯服,胜利是通过正确的领导、结构合理且纪律严明的组织以及明确清晰的战略和愿景取得的,而不是通过松散委员会、团体共识以及通过含糊的政策方案和愿景清单的模糊指导取得的。
因此,联邦政府需要发展和实施新的网络安全战略,这种新的网络安全战略需要总结过去的经验教训,并预期未来的需求。
如果只发展那种“被动的战略”并实施“匆忙拼凑”的解决方案,这只会使国家处于一种被动的网络安全窘境。
世界认为美国是全球技术、开发和领导的领头羊。
随着网络威胁持续在全球的迅猛蔓延,并对经济和安全利益造成极大破坏,世界需要一种网络角色模型来实现有效变革,并取得积极性成果。
美国需要领先并具备这种能力!
任务和职责
自20世纪80年代以来,网络安全一直是美国政府的一个棘手问题,但驯服蛮荒的西部曾经也同样是一个棘手问题。
为了更好地了解网络“网状”管理中的复杂现状,明确美国政府内哪些核心部门对国家制定网络安全政策和操作程序负有职责非常重要。
2010年,政府问责办公室发表了一篇文章,明确以下部门和联邦机构在网络安全方面负有重要职责:
行政部门、国土安全部、国防部、商务部、司法部、国务院。
本文将集中讨论这6个联邦机构的任务和职责,因为它们是网络安全政策和程序的主要开发者与实施者。
在行政部门中,新设立的“网络安全协调官”是首要参与者。
“网络安全协调官”是国家安全委员会和国家经济委员会成员之一,主要负责确保联邦网络政策可以增强国家安全,并确保在整个政府内有一种协调一致的手段。
“网络安全协调官”是美国网络安全的“伪教父”,虽然他直接向总统负责,但缺乏资金、指挥权以及在整个网络领域内影响人员和流程的控制权。
联邦行政部门中另一个有影响力的部门是管理与预算办公室(OfficeofManagementandBudget)及其下属的电子政务与信息技术办公室(OfficeofE-GovernmentandInformationTechnology,E-Gov)。
电子政务与信息技术办公室由联邦首席信息官(CIO)负责主管,负责开发和利用“基于互联网的技术使公民和企业与联邦政府的交互变得更加高效,节约纳税人的钱,并简化公民的参与。
”史蒂文?
瓦洛伊克尔先生是美国第二任联邦首席信息官,于2011年8月5日由奥巴马总统任命。
他接替了维伟卡?
孔德劳先生,维伟卡?
孔德劳是美国首任联邦首席信息官,任职时间从2009年3月到2011年8月,也是由奥巴马总统任命的。
联邦首席信息官负责管理首席信息官委员会(CIOCouncil),首席信息官委员会是“改善与联邦信息资源规划、采购、开发、现代化、使用、共享和实施有关的机构实践的主要跨机构委员会”,该委员会包括28个来自不同联邦行政机构和其他几个特定联邦机构的成员,是行政部门建立的专门负责管理网络安全的众多委员会/理事会之一。
在联邦政府高层的另一个重要委员会是信息和通信基础设施机构间政策委员会(InformationandCommunicationsInfrastructureInteragencyPolicyCommittee,ICI-IPC),由国家安全委员会和国土安全委员会(HomelandSecurityCouncil,HSC)负责。
信息和通信基础设施机构间政策委员会是协调信息和通信基础设施政策的主体。
根据“国土安全第23号总统令”和“国家安全第54号总统令”,美国国土安全部(DHS)正式领导联邦机构“防护联邦政府部门的网络和系统(‘dot-gov’域名),并且与私营部门协调,共同保护国家关键基础设施和核心资源。
”美国国土安全部主要负责联邦信息技术(IT)基础设施和数据网络的防护。
该部门的大部分网络安全职能集中在国家保护与计划司(NationalProtection&ProgramsDirectorate,NPPD),该司继续由国土安全部副部长担任主管。
国家网络安全处(NationalCyberSecurityDivision,NCSD)是国土安全部下属的理事会之一,主要负责“与公共、私人和国际实体协作,共同保护网络空间和美国的网络利益。
”国家网络安全处主任负责监管国家网络安全与通信集成中心(NationalCybersecurityandCommunicationsIntegrationCenter,NCCIC)和美国计算机应急预备小组(UnitedStatesComputerEmergencyReadinessTeam,US-CERT)。
国家网络安全与通信集成中心是一个全天候业务中心,“负责对联邦、州和地方政府,情报和执法界以及私营部门共同生成一个网络和通信运行态势图。
”美国计算机应急预备小组也是一个全天候业务中心,是国家网络安全处的业务部门。
它负责向联邦民事行政部门(FederalCivilExecutiveBranch)提供响应支持和网络攻击防护,并与州和地方政府、业界和国际合作伙伴开展信息共享与协作。
美国国土安全部/国家网络安全处负责一些保护网络基础设施免受攻击的计划,如国家网络应急协调小组(NationalCyberResponseCoordinationGroup)。
该小组由13个联邦机构代表组成,当发生全国性的严重网络事件时,该小组负责协调一个同步的联邦响应。
国土安全部内另一个对网络安全负有重要职责的理事会是美国特勤局(U.S.SecretService,USSS)。
2001年10月26日,布什总统签署《美国爱国者法案》(UnitingandStrengtheningAmericabyProvidingAppropriateToolsRequiredtoInterceptandObstructTerrorism,简写为USAPATRIOT)该法案指示美国特勤局建立一个全国性的电子犯罪特遣队(ElectronicCrimesTaskForces,ECTFs)网络。
电子犯罪特遣队网络不仅汇集了联邦、州和地方执法机构,还包括检察官、民营企业和学术界。
该特遣队是在美国境内负责调查网络犯罪的众多机构之一。
美国特勤局的使命就是保护国家金融基础设施和支付系统,以确保美国经济的绝对安全,通过减少“电子犯罪、金融犯罪、计算机犯罪、破坏支付系统、身份窃取和其他金融犯罪类型所产生的金融损失总额”。
最后,在国土安全部内,需要认识的重要网络机构是信息共享和分析中心(InformationSharingandAnalysisCenter,ISAC)。
该机构的创建是为了在国土安全部和联邦政府外部组织之间建立伙伴关系。
2003年,美国总统签署了“国土安全第7号总统令:
《关键基础设施的识别、优先级和保护》(HSPD-7)”,规定:
“联邦政府要求每个关键基础设施部门在部门内建立具体信息共享组织,以便与其他部门就该部门的威胁和漏洞信息进行共享。
”作为响应,许多部门成立了一个信息共享和分析中心以满足“国土安全第7号总统令”的要求。
目前,已成立了16个信息共享和分析中心小组,他们每季度召开一次会议:
电力行业、金融服务、信息技术、地面运输、公共交通、通讯、供水、多州合作、房地产、研究和教育、商品供应、核电、海事、高速公路、国家卫生、应急管理与响应。
所有合作伙伴都签署了书面协议,当参与联合网络演习时,以及对现实世界中的网络危机事件作出响应时,允许非联邦成员就日常事务问题和国家网络安全与通信集成中心内的全天候网络运营机构合作。
联邦和非联邦网络专家之间的协作与同步已经成为美国基础设施和信息网络保护的重要手段。
国防部(DOD)主要负责进攻性和防御性的网络作战,而美国国土安全部负责防御性网络作战,这两个机构密切合作以确保全谱作战行动(防御、嗅探和攻击)都被很好地实施和同步协调,从而确保国家免受网络威胁。
一个正式的协议备忘录于2010年9月由美国国土安全部和国防部领导人共同签署,以强化跨部门协作和增进合作,以及更好地定义任务和职责,从而避免重复性工作。
美国国防部于2010年成立了一个新的司令部——美国网络司令部(USCYBERCOM),这是隶属于美国战略司令部的一个二级联合司令部。
美国网络司令部的任务是负责规划、协调、整合、同步和指导国防部信息网络的运行与防护行动,领导全谱军事网络空间作战,以确保美国和盟国在网络空间的行动自由,同时削弱美国的敌人在网络空间的行动自由。
美国网络司令部的下属作战力量代表各军兵种在网络领域的管理力量:
陆军网络司令部(ARCYBER)、海军第十舰队网络司令部(FLTCYBERCOM)、第二十四航空队(AFCYBER)和海军陆战队网络司令部(MARFORCYBER)。
除了对各军种组成具有作战控制权外,美国网络司令部司令还具有美国国家安全局(NSA)局长和中央安全署(CSS)主任的双重身份。
美国国家安全局/中央安全署在信号情报和信息安全保障领域主导着美国密码学界。
这就为国家网络情报部门与军事网络管理力量的合作增加了合作关系和协作机制。
美国网络司令部内的三条业务线是:
美国国防部全球信息栅格运行(IT网络的管理);防御性网络空间作战(阻止网络攻击)和进攻性网络空间作战(进行网络嗅探和网络攻击)。
同理,国防部对网络嗅探和网络攻击行动负有主要领导职责。
美国商务部(DepartmentofCommerce,DOC)是国家网络安全框架内的又一个重要机构,主要负责为网络系统技术改进和为联邦网络建立重要的IT基础设施计划模板。
美国商务部的网络指挥权是1950年《国防生产法案》赋予的,目的在于缩减和消耗联邦机构的供应,以满足国防需求。
在计算机网络安全方面,美国商务部有两个重要机构,国家标准技术研究所(NationalInstituteofStandardsandTechnology,NIST)和国家电信与信息管理局(NationalTelecommunicationsandInformationAdministration,NTIA)。
国家标准技术研究所是美国商务部开展研究、开发、技术和工程(RDT&E)的力量。
主要基于安全标准、指标和最佳实践,负责为商业及政府实体开发、测试、宣传、监测和测量新信息技术(IT)原理与技术细节。
国家电信与信息管理局是对行政部门提供直接支持的机构,主要负责就电信和信息政策问题向总统提出建议。
国家电信与信息管理局的计划和决策在很大程度上集中在扩大美国宽带互联网的接入和使用。
国家电信与信息管理局制定互联网经济相关的政策,包括在线隐私、网络安全、在线信息的全球自由流动。
美国司法部(DepartmentofJustice,DOJ)是美国政府的主要行政执法机构,负责制定网络规则参与和由美国国会建立的法律,并对那些违反网络相关法律的个人、企业、机构、国家和民族提起诉讼。
美国司法部的一个下属机构是联邦调查局(FederalBureauofInvestigations,FBI),主要负责调查和诉讼网络犯罪问题的全国业务。
美国联邦调查局的网络安全使命是调查高科技犯罪,如基于网络的恐怖主义、电脑入侵、网络色情犯罪和重大网络诈骗。
联邦调查局负责从公共和私营部门、商业企业和其他联邦机构收集信息,以分析网络犯罪事件的取证证据,从而确定恶意活动的来源或发起人。
联邦调查局与其他执法机构(联邦、州、地方和国际机构)合作,共同保护和防卫国家免受恐怖分子和外国部门威胁,从而维护和巩固美国刑事法律。
国家网络调查联合特遣队(NationalCyberInvestigativeJointTaskForce,NCIJTF)由美国联邦调查局负责管理,包括来自美国特勤局和一些其他联邦机构的代表。
网络调查协调组织作为跨机构的国家部门,负责协调、整合和共享有关网络威胁调查的相关信息。
国务院(DepartmentofState,DOS)是负责外交事务的领导机构,因此,在制定、协调和监管国际通信和信息政策的实施方面负有重要职责。
根据2003年《保护网络空间安全的国家战略》,国务院被赋予了加强国际网络空间安全合作的联邦领导职责。
为了更好地履行部门的领导职责,许多理事会被赋予了具体任务。
例如,经济、能源和商业事务局/国际通信和信息政策局(EEB/CIP)负责国际电信与信息政策。
此外,情报研究司(INR)、网络事务办公室就网络安全问题提供情报分析和协调国际项目扩大服务。
随着各联邦机构之间网络安全任务和职责的不断完善,显然网络防御作战、政策制定、执法、研究与发展机制中存在的冗余和重复性工作将继续在美国政府内多个机构间存在。
网络机构这种二重性的一个关键原因就是没有指定一个独立的权威机构全面负责网络安全管理。
领导者需要在哪些方面监管统一指挥和统一工作,需要在一个管理机构内监管哪些金融需求和人力资源?
随着过去几年高级网络官员的辞职,网络安全管理领域内的混乱迹象逐步显现。
这些联邦高级领导都因组织混乱和管理不善而被迫离职,最终阻碍网络领域管理工作的进程。
评估网络安全管理
随着每天网络空间规模和势力的不断增长,接踵而至的网络威胁和漏洞也呈指数级增加。
由于网络威胁对国家利益和基础设施安全危害的日益增加,美国必须具备一种响应迅速且高效的、能解决全球网络空间问题的网络安全管理能力,时间成为了确保这种能力的重要因素。
“美国政府正面临着一系列严峻挑战,这些挑战阻碍了其制定和执行一种职责分明的方案”,就全球网络空间而言,包括:
(1)提供具有最高权威的领导关系;
(2)发展一种连贯性和全面性战略;(3)在所有相关联邦实体间进行跨部门协调;(4)确保网络空间相关的技术标准和政策不会对美国贸易造成不必要的障碍;(5)参与国际性网络事件响应;(6)区分不同法律制度和执行美国刑事和民事法律;(7)规范网络空间的国际标准。
为了应对这些人们普遍认识到的挑战,总统特别助理兼“网络安全协调官”必须与其他联邦机构和私营部门协作,共同建立一个统一战线来发展符合我们国家经济和国家安全利益的网络能力。
在2010年政府问责办公室审查美国国家网络安全政策和程序期间,联邦政府并没有明确的组织结构可以有效解决当前或未来日益严重的网络安全问题。
网络安全管理的任务和职责被分散到多个联邦部门和机构中,存在许多重叠机构,但哪个机构都没有绝对的决策权,可以直接以一种协调一致的方式处理那些经常相互冲突的问题。
政府需要整合的战略愿景和计划必须是全面的,这样才能满足美国政府解决所面临的网络安全相关问题的需求。
美国需要发展缓减网络安全相关风险的政策、程序、人才和技术。
马克斯?
施蒂尔说:
“美国政府早就该充分利用资源和运用领导关系,组建并培养一支技术精湛的网络队伍”,这支网络队伍应该结构合理,谨慎考虑公民和国家利益,完全聚焦于阻止网络威胁和漏洞。
在《网络安全的“三驾马车”:
政府、私营部门合作伙伴以及参与网络安全的公民》的文章中,作者哈克尼特和斯蒂弗认为:
“对网络安全充分参与和对知识渊博公民的需求,必须与对结构合理且妥善管理政府的需求相提并论。
”他们强调在美国政府和公民之间保持适当均衡职责的重要性,因为如果每个公民都不是网络安全的参与者,国家安全的网络空间目标将永远无法实现。
要想取得成功,政府必须与民众建立个人IT保护合作伙伴关系,而不仅仅是安全政策的受益者。
尚未解决的问题就是,“哪个联邦机构对此负责?
”
由2011年《网络空间安全国家战略》可见,美国政府已经认识到保护网络空间已经成为一个全球性问题,因为全球计算机系统的互联性,非常必要采取一种全球性措施来保护信息和防止基础设施和经济威胁。
为了减少网络威胁,协调一致的国际合作与协作机制就需要坦诚沟通和更多信任。
在过去几年间,网络工程师、事故响应者、政策制定者、情报分析员和执法人员在这一领域已经取得了巨大进步,并认识到跨国共享网络安全信息和将全球性解决方案纳入跨国安全问题的重要性。
更大障碍在于数据的安全性与完整性,以及信息收集和共享过程的便利性。
在目前美国政府内多机构网络结构和重复性网络工作中,美国公民和企业主决定向哪个联邦机构寻求支持与帮助将是一项艰巨任务,然而更艰巨的任务是国际网络界如何充分获得美国的支持。
尽管预先协调的官方协议、政策和条约减少了信息共享的时间间隔,但进入世界网络的新威胁战术、技术和程序往往需要新的应对方案和新的合作伙伴;这就使已经获得批准的协议过时或被淘汰。
众所周知,昨天技术精湛的黑客利用“零日漏洞”来阻滞或破坏网络,肯定与明天的高级持续性威胁(advancedpersistentthreat,APT)无法比拟,高级持续性威胁是国家和非国家犯罪组织窃取知识产权而从事犯罪活动的新型威胁手段。
国际社会需要安全的和有保障的网络,在这个网络中,关键信息可以自由穿越网络边界,对受保护基础设施的依赖已经被提升为一个全球性利益,不仅仅是国家利益。
为了始终对日益增长的全球网络威胁保持领先,美国的国际合作伙伴应该有一个集中组织且“一站式”的机构来协作网络安全问题。
悬而未决的问题是,“哪个联邦机构对此负责呢?
”
保护全球
升级会员 