增強國家網絡安全5個方面30項建議

增強國家網絡安全5個方面30項建議

在過去的幾年里，政府問責辦公室對國土安全部能充分履行國家網絡安全戰(zhàn)略責任感到滿意。但在談到一些不足之處時，政府問責辦公室對網絡安全的關鍵領域提出了包括下表所列5個方面的30項建議。雖然國土安全部盡最大努力滿足網絡安全職責各方面要求，但仍不能完全達到建議的要求，因此在這些領域需要采取進一步的行動。由政府問責辦公室確定的對網絡安全關鍵領域需要改進的地方1、加強網絡的分析和預警能力。2、行動期間嚴格完成網上演習。3、改善網絡安全控制系統(tǒng)的基礎設施。4、加強國土安全部恢復互聯(lián)網中斷的能力。5、解決網絡犯罪。在涉及政府問責辦公室的建議以及其他方面的關鍵戰(zhàn)略時，政府問責辦公室網絡安全專家小組確定了12個需要改進的關鍵領域(見下表)。政府問責辦公室發(fā)現，這些建議在很大程度上符合其報告，也很符合其在這方面大量的調查和經驗。由網絡安全專家擬定的戰(zhàn)略關鍵改進1、確定具有明確戰(zhàn)略目標、目的和重點的國家戰(zhàn)略。2、為領導和監(jiān)督國家網絡安全政策，建立白宮責任制和問責制。3、建立戰(zhàn)略執(zhí)行的管理結構。4、普及網絡安全知識，提高網絡安全意識。5、建立負責任、有效的網絡安全組織。6、集中加強資產和職能的優(yōu)化，評估網絡安全存在的弱點，減少網絡安全攻擊，而不是發(fā)展更多額外計劃。7、通過改進價值觀念和獎勵機制加強政府和私人的合作關系。8、多加重視解決全球的網絡空間的問題。9、加大對網絡空間惡意破壞行活動的執(zhí)法力度。10、進一步加強于網絡安全的研究和開發(fā)工作，包括考慮如何更好的協(xié)調政府和私營部門各方面的力量。11、培養(yǎng)網絡安全方面的骨干人才。12、為聯(lián)邦政府構建安全的網絡模式，包括利用它已有的機能提升產品和服務的網絡安全。在政府問責辦公室的建議發(fā)布之前，已經考慮了以上方面的建議。但政府和私人機構的基礎設施仍不能得到充分的保護。因此，除了全面落實政府問責辦公室的建議外，新政府在對國家網絡安全戰(zhàn)略做出決定時，他所考慮的改進方法是至關重要的。政府問責辦公室進行這項研究的意義普遍且持續(xù)的網絡攻擊，使得聯(lián)邦政府和私營部門的系統(tǒng)和業(yè)務以及一些關鍵的基礎設施存在著潛在風險?？紤]到這些威脅，布什總統(tǒng)發(fā)布了著力于改善全國網絡安全的“2003年國家網絡安全戰(zhàn)略”及相關的政策指令。國會和相關部門，包括新內閣，隨后都對戰(zhàn)略進行了充分的審查，并指出需要改進之處。盡管如此，政府問責辦公室認為這些領域依舊存在著高風險，而且，他們還作了有關執(zhí)行全國網絡安全戰(zhàn)略所需的改良報告。在這份材料中，政府問責辦公室做出如下總結：(1)關于全國網絡安全戰(zhàn)略的報告和建議(2)專家對如何加強戰(zhàn)略的觀點。政府問責辦公室的建議政府問責辦公室之前已經提出了30項建議，大多數直接與國家領土安全局相關，重點在于增進我國的網絡安全戰(zhàn)略執(zhí)行力度。國家領土安全局在很大程度上已經同意了政府問責辦公室的建議，而且在某些方面對這一戰(zhàn)略采取了措施。尊敬的主席女士，委員會委員們：謝謝你們給我一個機會，讓我參加今天的關于討論努力保護我們國家，以擺脫網絡安全的威脅的聽證會。普遍且持續(xù)的網絡攻擊，使得聯(lián)邦政府和私營部門的系統(tǒng)和業(yè)務以及一些關鍵的基礎設施存在著潛在風險?？紤]到這些威脅，布什總統(tǒng)發(fā)布了著力于改善全國網絡安全的“2003年國家網絡安全戰(zhàn)略”及相關的政策指令，包括政府系統(tǒng)和這些網絡關鍵基礎設施的持有和經營權的私營部門。由于這些威脅長期存在并有可能繼續(xù)增加，我們于2007年8月成立了一個委員會第44屆網絡安全委員會，主席由兩個國會議員和業(yè)界官員主持，其目的為了審查戰(zhàn)略的充分性，確定在哪些領域需要改進。與此同時，布什政府開始提出包括聯(lián)邦政府在內的旨在加強網絡安全的一系列倡議。最近，在2009年2月，奧巴馬總統(tǒng)開始了政府的整體網絡安全戰(zhàn)略審查和支持活動。現在，應要求，我將談談以下幾個問題：(1)關于國家網絡安全的30項建議和相關成果的報告。(2)我們召集的專家小組討論的關于如何加強我國戰(zhàn)略及網絡安全意識的相關結果。在準備這些材料的過程中，我們依據的是之前關于聯(lián)邦政府履行國家網絡安全職責的報告。這些報告對之前使用的方法和范圍做出了詳細概述。我們的觀點是在討論國家網絡安全戰(zhàn)略的效力和改良建議問題中達成一致的，并得到了網絡安全專家的廣泛認可。在小組討論的綜述中也提到，我們?yōu)樗械男〗M成員提供一次對我們的書面摘要進行評論的機會，而且他們的評論也將作為摘要的一部分。小組成員名單和他們的職位見目錄I。我們的工作是2009年的2月和3月向華盛頓提交這些材料。這些材料中所進行的工作將按照政府普遍接受的審計標準進行的。背景政府官員都擔心那些帶有惡意攻擊的個人或團體，比如罪犯、恐怖分子和外國的敵對勢力。例如，在2009年2月，國家情報局局長表態(tài)說，一些國家和罪犯已經盯上了政府和私營部門的網絡，以此獲得競爭優(yōu)勢或對其進行潛在的破壞，恐怖組織也想利用網絡手段來攻擊美國。聯(lián)邦政府將制定了一項戰(zhàn)略，以解決諸如此類的網絡的威脅。具體來說，布什總統(tǒng)頒布了“2003年國家網絡空間安全戰(zhàn)略”和相關的政策指令，例如國土安全部總統(tǒng)第七號命令，這關系到是國家如何確保以計算機為基礎的系統(tǒng)安全，包括政府系統(tǒng)和那些支持關鍵基礎設施的持有和經營權的私營部門。這一戰(zhàn)略和相關政策也將使國土安全部成為信息網絡CIP的一個焦點，在這一領域他扮演多個領導角色，承擔起應盡的責任。其中包括：(1)為CIP制定一個綜合性的國家計劃，包括網絡安全在內；(2)培養(yǎng)和加強國家網絡分析和預警能力；(3)提供和協(xié)調事件應對和恢復的規(guī)劃，包括開展事故應變演習；(4)查明，評估和協(xié)助各方力量，以減少包括那些基礎設施控制系統(tǒng)的網絡威脅和脆弱性；(5)加強國家網絡空間安全。另外，這一戰(zhàn)略和相關政策指令指導國土安全部和其他利益相關者利用風險管理原則，將以整體和協(xié)調方式優(yōu)化18個相關的重要基礎設施部門的保護措施。由于威脅持續(xù)和發(fā)展，布什總統(tǒng)在2008年2月開始采取一系列舉措，通常稱之為稱為“綜合國家網絡安全計劃(CNCI)”，其主要目的是為了提高國土安全部和其他的聯(lián)邦機構抗干擾和預測未來威脅的能力。雖然這些倡議還沒有公布，但國家情報局局長聲稱倡議包括了防御、進攻、研發(fā)、反間諜所取得的成就以及一個加強政府和個人合作關系的方案。隨后，在2008年12月，網絡安全委員會第44期主席報告指出，網絡空間是一個緊迫的國家安全問題，報告還對戰(zhàn)略和其執(zhí)行方案的修改提出了25項建議。從那時起，奧巴馬總統(tǒng)(2009年2月)對網絡安全戰(zhàn)略進行評估，并對此采取積極的行動。此次評價預計在2009年4月完成。政府問責辦公室對國家網絡安全戰(zhàn)略和其執(zhí)行的關鍵方面的不足提出幾點建議在過去的幾年里，我們已經就我國在完成網絡安全戰(zhàn)略的重要方面所作的努力提交了報告。特別是，從2005年到現在，我們不斷報告國土安全部還沒有完全履行它在戰(zhàn)略中所指派的網絡安全責任。為彌補這些不足，我們就表1所列的五個網絡安全的關鍵領域提出了30項建議。國土安全部已經制定并采取了一些具體措施，以履行其網絡安全各方面的義務，但該部還沒有完全達到我們建議的要求，因此需要進一步采取行動來解決這些領域所存在的問題。政府問責辦公室確定的對網絡安全關鍵領域需要改進的地方1、加強網絡的分析和預警能力2、行動期間確保完成網上演習3、改善網絡安全控制系統(tǒng)的基礎設施4、加強國土安全部恢復互聯(lián)網中斷的能力5、解決網絡犯罪報告指出，在2008年7月，國土安全部的計算機應急準備小組(US-CERT)沒有很好地解決15個關鍵網絡分析和預警有關的問題，其中包括(1)監(jiān)測網絡異?；顒?，(2)對異常情況進行分析調查，確認它們是否受到威脅，(3)實時監(jiān)控威脅，(4)應對威脅，(5)反擊威脅。因此，我們認為，這15項建議，能充分提高國家戰(zhàn)略的網絡分析和預警能力。國土安全部很大程度上也認同我們的意見。2008年9月，通過進行重大的網絡攻擊演練，即網絡風暴，國土安全部在這次演習中已經取得了8項重要的進展。然而，此次行動的經驗教訓表明，問題尚未完全解決。具體來說，66項行動計劃已經完成42項，安全局已經確定有16項正在進行，另外7項在不久也將施行。因此，我們建議，國土安全部安排并完成所有的糾正行動，以加強協(xié)調就重大網絡事件問題上的公共部門和私營部門伙伴關系，國土安全部也認可我們的建議。到目前為止，國土安全部將繼續(xù)完成一些相關工作，但也僅僅局限于安全部內部。在2007年9月的報告和2007年10月所提供的材料中，我們指出，為確保國家戰(zhàn)略需求，減少威脅和安全漏洞，國土安全部提出多種控制系統(tǒng)的安全措施，包括通過脆弱性評價和應急響應來提高網絡使用的安全性。然而，國土安全部并沒有制定出一項戰(zhàn)略，以協(xié)調參與的各種控制系統(tǒng)活動的聯(lián)邦政府和私營機構，而且它并不能有效共享聯(lián)邦政府和私營機構控制系統(tǒng)的漏洞信息。因此，我們建議國土安全部制定出能確保控制系統(tǒng)安全的戰(zhàn)略，建立一個快速和安全分享敏感控制系統(tǒng)漏洞信息的操作程序。國土安全部目前已經開始制定該計劃并共享敏感漏洞信息。我們的報告指出，為制定一個綜合的政府和私營互聯(lián)網復蘇計劃，安全部已經開始了展開國家安全戰(zhàn)略任務的各種行動，這在2006年也得到證實。然而，這些努力是不夠的。因此，我們建議國土安全部實施9個行動以改善安全局的能力，保障在遭到干擾時，能幫助政府和私人恢復互聯(lián)網的使用。2007年10月，國家安全局開始執(zhí)行我們的建議，但是只完成了其中的兩項。到目前為止，政府和私營部門互聯(lián)網恢復計劃已經不復存在。在2007年，我們認為，政府和私營部門在追捕網絡犯罪方面面臨著許多挑戰(zhàn)，包括確保法律執(zhí)行，對調查的充分分析和技術支持，以及對國內和跨國互聯(lián)網犯罪的起訴。網絡安全專家強調需出臺重要舉措以加強國家網絡安全態(tài)勢除了我們建議改善國家網絡安全戰(zhàn)略及其執(zhí)行情況外，還有專家對于這些問題和其他關鍵戰(zhàn)略方面的意見，其中包括提出可改良的各個領域。包括前任聯(lián)邦政府官員、學者、私營部門執(zhí)行官在內的專家，提出了12個主要改良方案，他們認為，必須改善我國戰(zhàn)略和網絡安全態(tài)勢。這些改善在很大程度上是符合我們的材料，也符合在這方面進行的廣泛研究和經驗。包括：1、確定具有明確戰(zhàn)略目標、目的和重點的國家戰(zhàn)略。此戰(zhàn)略應該包括(1)明確的戰(zhàn)略目的，(2)為政府和私營部門提供可行的目標，(3)突出網絡安全這一重點，(4)為將來安全網絡空間提供一個設想，(5)爭取聯(lián)合聯(lián)邦政府各部得力量，(6)量化戰(zhàn)略進展過程，(7)進展不大時，為行動的執(zhí)行和責任提供一個有效的保障。專家小組成員認為，CNCI提供了一套戰(zhàn)略舉措，以集中加強聯(lián)邦政府網絡安全的戰(zhàn)略活動；然而，它并沒有作為一個整體為國家提供戰(zhàn)略目標、目的和重點。2、為領導和監(jiān)督國家網絡安全政策，建立白宮責任制和問責制該戰(zhàn)略使國土安全部成為網絡安全保障核心部門；然而，專家小組成員認為，國土安全部沒起到預期的作用，對全國關注的網絡安全提升也沒有提供足夠的指導。因此，小組成員指出，要取得成功，就要給國家和網絡關鍵基礎設施的私營業(yè)主表明，網絡安全是一個重點項目，并由白宮親自領導實行。另外，為了有效發(fā)揮其效用，政府必須樹立權威例如，對預算和資源采取適當的獎勵辦法，以刺激行動的進行。3、建立戰(zhàn)略執(zhí)行的管理機構管理機構包括18個關鍵的基礎設施部門，相應的政府部門和協(xié)調理事會，跨部門委員會等。然而，根據小組成員的意見，管理機構是以政府為中心，很大程度上依賴個人以達到信息共享和行動的實行。此外，雖然所有行業(yè)就網絡功能而言并不具有同等重要性，但管理機構應對他們同等對待。為了確保戰(zhàn)略改良計劃的有效執(zhí)行，專家建議，管理機構應該包括高級管理委員會代表(例如，國防部，國土安全部、司法局、州政府、財政部和白宮)和關鍵網絡資產和功能的私營部門領導。專家小組成員也建議委員會的責任應該包括衡量和定期報告目標、任務和戰(zhàn)略重點的進展，在進展不大時，督促各方面加快進度。4、普及網絡安全知識，提高網絡安全意識雖然該戰(zhàn)略確定網絡空間安全意識作為重點，專家指出，許多在商業(yè)和政府任職的，包括在國會就職的國家領導人，他們有能力為網絡安全提供資金幫助，但大多數人網絡安全意識不高，沒有認識到網絡安全引發(fā)國家和經濟安全風險的嚴重性。專家組成員建議，應積極向領導者和普通民眾宣傳網絡安全的重要性。5、建立負責任的有效的網絡安全組織國土安全部創(chuàng)立了國家網絡安全局(下屬于網絡安全部和通信部)，負責領導國家日常的網絡安全。然而，小組成員認為，這個部門并不能使國土安全部成為預期核心力量。小組成員聲稱，目前，國防部和其他情報部門有能力左右聯(lián)邦的決定。他們說，他們也需要一個獨立的網絡安全組織來促進和聯(lián)合私營部門、政府、執(zhí)法機構、軍隊和情報部門以及國際盟友，合力解決全國重要的網絡系統(tǒng)和職能問題。但是，網絡安全組織應該如何處理這個問題，我們專家組成員沒有達成共識。6、集中加強資產和職能的優(yōu)化，評估網絡安全存在的弱點，減少網絡安全攻擊，而不是發(fā)展更多額外計劃該戰(zhàn)略建議采取更多的行動來查明重要的網絡資產和職能，但是專家組成員聲稱對國家重要的網絡資產和職能進行檢查的力度還不夠。小組成員認為，對網絡關鍵基礎設施保護工作所作的努力，列出重要資產的清單，就目前而言是基于個人或團體意愿進行的。此外，目前的戰(zhàn)略將以減少弱點作為重中之重；可是，評定和減少現有的弱點所做出的努力還是不夠的。他們認為，必須采取更多行動才能識別和消除常見的弱點，而且對關鍵網絡資產和職能應該具備有效的評估手段。7、通過改進價值觀念和獎勵機制加強政府和私人的合作關系雖然該戰(zhàn)略激發(fā)了重要網絡資產和職能的所有者和控制者采取行動，但是小組成員認為，網絡安全工程需要更多的投資和更多人參與進來，目前的經濟及其他激勵制度遠遠不夠。因此，小組成員指出，聯(lián)邦政府應該提供有價值的服務(例如提供有用的威脅或是預警分析信息)或是獎勵(例如發(fā)放津貼或是減免稅款)來鼓勵私人參與合作。他們還建議政府和私營部門能夠使用一些像成本-利潤分析這樣的方法，來確保網絡安全相關有限資源的高效利用。8、多重視解決全球的網絡空間的問題該戰(zhàn)略包括處理國際方面的網絡空間安全問題。但是根據小組專家所說，美國并沒有涉及網絡空間如何管理和控制這一全球問題。他們認為，當其他國家正在積極參與制定條約、建立標準、以及推行國際協(xié)定(如隱私權)時，美國沒有積極協(xié)作來確保國際協(xié)定符合美國的利益，有利于解決網絡安全和網絡犯罪問題。小組成員認為，美國應該擺出更加積極合作的姿態(tài)，這樣可以讓美國在國際合作中有一席之地，并能加強政府部門之間的合作，其中包括法律的實施。此外，一名成員還說，美國在網絡安全戰(zhàn)略上應該與全球應達成共識。9、加大對網絡空間惡意破壞行活動的執(zhí)法力度戰(zhàn)略倡議加強國內外審查合作和促進各國就追捕網絡犯罪達成一致意見。據一個小組成員所說，在國內，相關法律已經做出修改(例如，2008年通過的“未成年兒童行為保護法”)，但是這只是整個工作過程中的一小部分。他還說，目前國內外的法律實行，包括行動、手續(xù)、方法和法律本身，已經太過時，不能適應現在高技術犯罪個人或團體，例如罪犯、恐怖分子和惡意目的的敵對國家。有必要加大法律的實施力度，加大對進行惡意破壞行為的個人或團體的打擊力度。10、進一步加強于網絡安全的研究和開發(fā)工作，包括考慮如何更好的協(xié)調政府和私營部門各方面的力量雖然該戰(zhàn)略建議采取措施，實現進一步的研究和開發(fā)工作，努力協(xié)調政府和私營部門各方面力量，但專家指出，美國對此沒有將充分投入資金集中進行研究，沒有集中考慮新一代的網絡空間及網絡空間安全問題。另外，對正在進行的研究和開發(fā)工作，目前沒有協(xié)調好政府和私營機構的各方力量。11、培養(yǎng)網絡安全骨干人才該戰(zhàn)略的任務包括增加網絡安全專業(yè)人員的數量和提高他們的技能。但是，根據小組成員認為，目前此方面的專業(yè)人員人數還是不夠，包括信息安全專家和網絡犯罪偵探。專家組成員指出，要采取進一步的行動，增加符合網絡安全技能要求的專業(yè)人才，包括(1)加大現有的獎學金的規(guī)模(例如增加服務獎學金)(2)通過測試和批準進行網絡安全專業(yè)