增强国家网络安全5个方面30项建议

增强国家网络安全5个方面30项建议

在过去的几年里，政府问责办公室对国土安全部能充分履行国家网络安全战略责任感到满意。但在谈到一些不足之处时，政府问责办公室对网络安全的关键领域提出了包括下表所列5个方面的30项建议。虽然国土安全部尽最大努力满足网络安全职责各方面要求，但仍不能完全达到建议的要求，因此在这些领域需要采取进一步的行动。由政府问责办公室确定的对网络安全关键领域需要改进的地方1、加强网络的分析和预警能力。2、行动期间严格完成网上演习。3、改善网络安全控制系统的基础设施。4、加强国土安全部恢复互联网中断的能力。5、解决网络犯罪。在涉及政府问责办公室的建议以及其他方面的关键战略时，政府问责办公室网络安全专家小组确定了12个需要改进的关键领域(见下表)。政府问责办公室发现，这些建议在很大程度上符合其报告，也很符合其在这方面大量的调查和经验。由网络安全专家拟定的战略关键改进1、确定具有明确战略目标、目的和重点的国家战略。2、为领导和监督国家网络安全政策，建立白宫责任制和问责制。3、建立战略执行的管理结构。4、普及网络安全知识，提高网络安全意识。5、建立负责任、有效的网络安全组织。6、集中加强资产和职能的优化，评估网络安全存在的弱点，减少网络安全攻击，而不是发展更多额外计划。7、通过改进价值观念和奖励机制加强政府和私人的合作关系。8、多加重视解决全球的网络空间的问题。9、加大对网络空间恶意破坏行活动的执法力度。10、进一步加强于网络安全的研究和开发工作，包括考虑如何更好的协调政府和私营部门各方面的力量。11、培养网络安全方面的骨干人才。12、为联邦政府构建安全的网络模式，包括利用它已有的机能提升产品和服务的网络安全。在政府问责办公室的建议发布之前，已经考虑了以上方面的建议。但政府和私人机构的基础设施仍不能得到充分的保护。因此，除了全面落实政府问责办公室的建议外，新政府在对国家网络安全战略做出决定时，他所考虑的改进方法是至关重要的。政府问责办公室进行这项研究的意义普遍且持续的网络攻击，使得联邦政府和私营部门的系统和业务以及一些关键的基础设施存在着潜在风险。考虑到这些威胁，布什总统发布了着力于改善全国网络安全的“2003年国家网络安全战略”及相关的政策指令。国会和相关部门，包括新内阁，随后都对战略进行了充分的审查，并指出需要改进之处。尽管如此，政府问责办公室认为这些领域依旧存在着高风险，而且，他们还作了有关执行全国网络安全战略所需的改良报告。在这份材料中，政府问责办公室做出如下总结：(1)关于全国网络安全战略的报告和建议(2)专家对如何加强战略的观点。政府问责办公室的建议政府问责办公室之前已经提出了30项建议，大多数直接与国家领土安全局相关，重点在于增进我国的网络安全战略执行力度。国家领土安全局在很大程度上已经同意了政府问责办公室的建议，而且在某些方面对这一战略采取了措施。尊敬的主席女士，委员会委员们：谢谢你们给我一个机会，让我参加今天的关于讨论努力保护我们国家，以摆脱网络安全的威胁的听证会。普遍且持续的网络攻击，使得联邦政府和私营部门的系统和业务以及一些关键的基础设施存在着潜在风险。考虑到这些威胁，布什总统发布了着力于改善全国网络安全的“2003年国家网络安全战略”及相关的政策指令，包括政府系统和这些网络关键基础设施的持有和经营权的私营部门。由于这些威胁长期存在并有可能继续增加，我们于2007年8月成立了一个委员会第44届网络安全委员会，主席由两个国会议员和业界官员主持，其目的为了审查战略的充分性，确定在哪些领域需要改进。与此同时，布什政府开始提出包括联邦政府在内的旨在加强网络安全的一系列倡议。最近，在2009年2月，奥巴马总统开始了政府的整体网络安全战略审查和支持活动。现在，应要求，我将谈谈以下几个问题：(1)关于国家网络安全的30项建议和相关成果的报告。(2)我们召集的专家小组讨论的关于如何加强我国战略及网络安全意识的相关结果。在准备这些材料的过程中，我们依据的是之前关于联邦政府履行国家网络安全职责的报告。这些报告对之前使用的方法和范围做出了详细概述。我们的观点是在讨论国家网络安全战略的效力和改良建议问题中达成一致的，并得到了网络安全专家的广泛认可。在小组讨论的综述中也提到，我们为所有的小组成员提供一次对我们的书面摘要进行评论的机会，而且他们的评论也将作为摘要的一部分。小组成员名单和他们的职位见目录I。我们的工作是2009年的2月和3月向华盛顿提交这些材料。这些材料中所进行的工作将按照政府普遍接受的审计标准进行的。背景政府官员都担心那些带有恶意攻击的个人或团体，比如罪犯、恐怖分子和外国的敌对势力。例如，在2009年2月，国家情报局局长表态说，一些国家和罪犯已经盯上了政府和私营部门的网络，以此获得竞争优势或对其进行潜在的破坏，恐怖组织也想利用网络手段来攻击美国。联邦政府将制定了一项战略，以解决诸如此类的网络的威胁。具体来说，布什总统颁布了“2003年国家网络空间安全战略”和相关的政策指令，例如国土安全部总统第七号命令，这关系到是国家如何确保以计算机为基础的系统安全，包括政府系统和那些支持关键基础设施的持有和经营权的私营部门。这一战略和相关政策也将使国土安全部成为信息网络CIP的一个焦点，在这一领域他扮演多个领导角色，承担起应尽的责任。其中包括：(1)为CIP制定一个综合性的国家计划，包括网络安全在内；(2)培养和加强国家网络分析和预警能力；(3)提供和协调事件应对和恢复的规划，包括开展事故应变演习；(4)查明，评估和协助各方力量，以减少包括那些基础设施控制系统的网络威胁和脆弱性；(5)加强国家网络空间安全。另外，这一战略和相关政策指令指导国土安全部和其他利益相关者利用风险管理原则，将以整体和协调方式优化18个相关的重要基础设施部门的保护措施。由于威胁持续和发展，布什总统在2008年2月开始采取一系列举措，通常称之为称为“综合国家网络安全计划(CNCI)”，其主要目的是为了提高国土安全部和其他的联邦机构抗干扰和预测未来威胁的能力。虽然这些倡议还没有公布，但国家情报局局长声称倡议包括了防御、进攻、研发、反间谍所取得的成就以及一个加强政府和个人合作关系的方案。随后，在2008年12月，网络安全委员会第44期主席报告指出，网络空间是一个紧迫的国家安全问题，报告还对战略和其执行方案的修改提出了25项建议。从那时起，奥巴马总统(2009年2月)对网络安全战略进行评估，并对此采取积极的行动。此次评价预计在2009年4月完成。政府问责办公室对国家网络安全战略和其执行的关键方面的不足提出几点建议在过去的几年里，我们已经就我国在完成网络安全战略的重要方面所作的努力提交了报告。特别是，从2005年到现在，我们不断报告国土安全部还没有完全履行它在战略中所指派的网络安全责任。为弥补这些不足，我们就表1所列的五个网络安全的关键领域提出了30项建议。国土安全部已经制定并采取了一些具体措施，以履行其网络安全各方面的义务，但该部还没有完全达到我们建议的要求，因此需要进一步采取行动来解决这些领域所存在的问题。政府问责办公室确定的对网络安全关键领域需要改进的地方1、加强网络的分析和预警能力2、行动期间确保完成网上演习3、改善网络安全控制系统的基础设施4、加强国土安全部恢复互联网中断的能力5、解决网络犯罪报告指出，在2008年7月，国土安全部的计算机应急准备小组(US-CERT)没有很好地解决15个关键网络分析和预警有关的问题，其中包括(1)监测网络异常活动，(2)对异常情况进行分析调查，确认它们是否受到威胁，(3)实时监控威胁，(4)应对威胁，(5)反击威胁。因此，我们认为，这15项建议，能充分提高国家战略的网络分析和预警能力。国土安全部很大程度上也认同我们的意见。2008年9月，通过进行重大的网络攻击演练，即网络风暴，国土安全部在这次演习中已经取得了8项重要的进展。然而，此次行动的经验教训表明，问题尚未完全解决。具体来说，66项行动计划已经完成42项，安全局已经确定有16项正在进行，另外7项在不久也将施行。因此，我们建议，国土安全部安排并完成所有的纠正行动，以加强协调就重大网络事件问题上的公共部门和私营部门伙伴关系，国土安全部也认可我们的建议。到目前为止，国土安全部将继续完成一些相关工作，但也仅仅局限于安全部内部。在2007年9月的报告和2007年10月所提供的材料中，我们指出，为确保国家战略需求，减少威胁和安全漏洞，国土安全部提出多种控制系统的安全措施，包括通过脆弱性评价和应急响应来提高网络使用的安全性。然而，国土安全部并没有制定出一项战略，以协调参与的各种控制系统活动的联邦政府和私营机构，而且它并不能有效共享联邦政府和私营机构控制系统的漏洞信息。因此，我们建议国土安全部制定出能确保控制系统安全的战略，建立一个快速和安全分享敏感控制系统漏洞信息的操作程序。国土安全部目前已经开始制定该计划并共享敏感漏洞信息。我们的报告指出，为制定一个综合的政府和私营互联网复苏计划，安全部已经开始了展开国家安全战略任务的各种行动，这在2006年也得到证实。然而，这些努力是不够的。因此，我们建议国土安全部实施9个行动以改善安全局的能力，保障在遭到干扰时，能帮助政府和私人恢复互联网的使用。2007年10月，国家安全局开始执行我们的建议，但是只完成了其中的两项。到目前为止，政府和私营部门互联网恢复计划已经不复存在。在2007年，我们认为，政府和私营部门在追捕网络犯罪方面面临着许多挑战，包括确保法律执行，对调查的充分分析和技术支持，以及对国内和跨国互联网犯罪的起诉。网络安全专家强调需出台重要举措以加强国家网络安全态势除了我们建议改善国家网络安全战略及其执行情况外，还有专家对于这些问题和其他关键战略方面的意见，其中包括提出可改良的各个领域。包括前任联邦政府官员、学者、私营部门执行官在内的专家，提出了12个主要改良方案，他们认为，必须改善我国战略和网络安全态势。这些改善在很大程度上是符合我们的材料，也符合在这方面进行的广泛研究和经验。包括：1、确定具有明确战略目标、目的和重点的国家战略。此战略应该包括(1)明确的战略目的，(2)为政府和私营部门提供可行的目标，(3)突出网络安全这一重点，(4)为将来安全网络空间提供一个设想，(5)争取联合联邦政府各部得力量，(6)量化战略进展过程，(7)进展不大时，为行动的执行和责任提供一个有效的保障。专家小组成员认为，CNCI提供了一套战略举措，以集中加强联邦政府网络安全的战略活动；然而，它并没有作为一个整体为国家提供战略目标、目的和重点。2、为领导和监督国家网络安全政策，建立白宫责任制和问责制该战略使国土安全部成为网络安全保障核心部门；然而，专家小组成员认为，国土安全部没起到预期的作用，对全国关注的网络安全提升也没有提供足够的指导。因此，小组成员指出，要取得成功，就要给国家和网络关键基础设施的私营业主表明，网络安全是一个重点项目，并由白宫亲自领导实行。另外，为了有效发挥其效用，政府必须树立权威例如，对预算和资源采取适当的奖励办法，以刺激行动的进行。3、建立战略执行的管理机构管理机构包括18个关键的基础设施部门，相应的政府部门和协调理事会，跨部门委员会等。然而，根据小组成员的意见，管理机构是以政府为中心，很大程度上依赖个人以达到信息共享和行动的实行。此外，虽然所有行业就网络功能而言并不具有同等重要性，但管理机构应对他们同等对待。为了确保战略改良计划的有效执行，专家建议，管理机构应该包括高级管理委员会代表(例如，国防部，国土安全部、司法局、州政府、财政部和白宫)和关键网络资产和功能的私营部门领导。专家小组成员也建议委员会的责任应该包括衡量和定期报告目标、任务和战略重点的进展，在进展不大时，督促各方面加快进度。4、普及网络安全知识，提高网络安全意识虽然该战略确定网络空间安全意识作为重点，专家指出，许多在商业和政府任职的，包括在国会就职的国家领导人，他们有能力为网络安全提供资金帮助，但大多数人网络安全意识不高，没有认识到网络安全引发国家和经济安全风险的严重性。专家组成员建议，应积极向领导者和普通民众宣传网络安全的重要性。5、建立负责任的有效的网络安全组织国土安全部创立了国家网络安全局(下属于网络安全部和通信部)，负责领导国家日常的网络安全。然而，小组成员认为，这个部门并不能使国土安全部成为预期核心力量。小组成员声称，目前，国防部和其他情报部门有能力左右联邦的决定。他们说，他们也需要一个独立的网络安全组织来促进和联合私营部门、政府、执法机构、军队和情报部门以及国际盟友，合力解决全国重要的网络系统和职能问题。但是，网络安全组织应该如何处理这个问题，我们专家组成员没有达成共识。6、集中加强资产和职能的优化，评估网络安全存在的弱点，减少网络安全攻击，而不是发展更多额外计划该战略建议采取更多的行动来查明重要的网络资产和职能，但是专家组成员声称对国家重要的网络资产和职能进行检查的力度还不够。小组成员认为，对网络关键基础设施保护工作所作的努力，列出重要资产的清单，就目前而言是基于个人或团体意愿进行的。此外，目前的战略将以减少弱点作为重中之重；可是，评定和减少现有的弱点所做出的努力还是不够的。他们认为，必须采取更多行动才能识别和消除常见的弱点，而且对关键网络资产和职能应该具备有效的评估手段。7、通过改进价值观念和奖励机制加强政府和私人的合作关系虽然该战略激发了重要网络资产和职能的所有者和控制者采取行动，但是小组成员认为，网络安全工程需要更多的投资和更多人参与进来，目前的经济及其他激励制度远远不够。因此，小组成员指出，联邦政府应该提供有价值的服务(例如提供有用的威胁或是预警分析信息)或是奖励(例如发放津贴或是减免税款)来鼓励私人参与合作。他们还建议政府和私营部门能够使用一些像成本-利润分析这样的方法，来确保网络安全相关有限资源的高效利用。8、多重视解决全球的网络空间的问题该战略包括处理国际方面的网络空间安全问题。但是根据小组专家所说，美国并没有涉及网络空间如何管理和控制这一全球问题。他们认为，当其他国家正在积极参与制定条约、建立标准、以及推行国际协定(如隐私权)时，美国没有积极协作来确保国际协定符合美国的利益，有利于解决网络安全和网络犯罪问题。小组成员认为，美国应该摆出更加积极合作的姿态，这样可以让美国在国际合作中有一席之地，并能加强政府部门之间的合作，其中包括法律的实施。此外，一名成员还说，美国在网络安全战略上应该与全球应达成共识。9、加大对网络空间恶意破坏行活动的执法力度战略倡议加强国内外审查合作和促进各国就追捕网络犯罪达成一致意见。据一个小组成员所说，在国内，相关法律已经做出修改(例如，2008年通过的“未成年儿童行为保护法”)，但是这只是整个工作过程中的一小部分。他还说，目前国内外的法律实行，包括行动、手续、方法和法律本身，已经太过时，不能适应现在高技术犯罪个人或团体，例如罪犯、恐怖分子和恶意目的的敌对国家。有必要加大法律的实施力度，加大对进行恶意破坏行为的个人或团体的打击力度。10、进一步加强于网络安全的研究和开发工作，包括考虑如何更好的协调政府和私营部门各方面的力量虽然该战略建议采取措施，实现进一步的研究和开发工作，努力协调政府和私营部门各方面力量，但专家指出，美国对此没有将充分投入资金集中进行研究，没有集中考虑新一代的网络空间及网络空间安全问题。另外，对正在进行的研究和开发工作，目前没有协调好政府和私营机构的各方力量。11、培养网络安全骨干人才该战略的任务包括增加网络安全专业人员的数量和提高他们的技能。但是，根据小组成员认为，目前此方面的专业人员人数还是不够，包括信息安全专家和网络犯罪侦探。专家组成员指出，要采取进一步的行动，增加符合网络安全技能要求的专业人才，包括(1)加大现有的奖学金的规模(例如增加服务奖学金)(2)通过测试和批准进行网络安全专业