美国是全球网络最强国,对全球网络拥有最强的控制力,其网络安全战略最清晰,网络安全能力也最强,不过支撑其网络安全战略和网络安全能力的背后,是其领先的网络人才战略和体系。
美国三任总统“递进式”网络安全战略
在过去的20多年时间里,美国先后经历了克林顿、布什和奥巴马三任总统,虽然所处的网络环境不同,三任总统对网络安全对国家安全的重要性都有着清晰的理解,都制定了相应的网络安全战略,他们递进式的网络安全战略也保证了其国家战略的延续性和持续性,从而奠定了美国第一网络安全大国的地位。
克林顿时代的网络安全战略是“全面防御”,重点是保护网络基础设施的安全;在布什时代,911事件引发了美国网络战略的重大转变,网络战略重点转向的网络反恐,强调“攻防结合”;而奥巴马时代,网络安全战略开始强调“主动攻击”,完成了网络安全战略从“被动预防到网络威慑”的全面转折。
1993年,克林顿政府提出兴建“国家信息基础设施”,制定了《信息系统保护国家计划》,把重要网络信息安全放在优先发展的位置,并对重点信息网络实行全生命安全周期管理。按照要求,新建和正在运行的重要信息网络的信息系统必须实施定期风险评估,针对信息系统的安全类别和等级,实行等级保护,并定期通过安全测试和风险评估,由联邦机构的高级官员基于安全控制的有效性和残余风险值,决定是否授权该信息系统投入运行。这些风险评估的方法逐步成为全球信息系统安全评估的模式。
布什上台以后,美国国防部网站是美国重要的核心网站,其被攻击次数不断增长使美国政府忧心忡忡。“9•11”事件发生后,一些恐怖分子利用网络向美国计算机网络频频发动攻击,特别对那些要害部门的网络进行破坏,从而危美国及其盟友国家民众的安全,“网络恐怖主义”浮出水面。
2003年2月14日,美国公布了《国家网络安全战略》报告,正式将网络安全提升至国家安全的战略高度,从国家战略全局对网络的正常运行进行谋划,以保证国家和社会生活的安全与稳定。
布什政府非常重视美军网络战进攻能力建设,大力开发计算机网络战武器。在软杀伤网络战武器方面,美军已经研制出2000多种计算机病毒武器,如“蠕虫”程序、“特洛伊木马”程序、“逻辑炸弹”、“陷阱门”等。在硬杀伤网络战武器方面,美国正在发展或已开发出电磁脉冲弹、次声波武器、激光反卫星武器、动能拦截弹和高功率微波武器,可对别国网络的物理载体进行攻击,同时美国创建了“黑客部队”。
美国是世界上第一个引入网络战概念的国家,也是第一个积极加强网军建设的国家。自2002年12月起,美国海军、空军和陆军纷纷组建自己的网络部队。2009年初,“网络总统”奥巴马上台伊始,就启动了为期60天的网络空间安全评估,随之宣布成立网络司令部。将之前陆海空的网络部队进行扩充和重组后,美国网络司令部于2010年5月21日正式启动,10月全面运作,美国网络战力量进入统一协调发展的“快车道”。
2012年5月,时任美国国家安全局局长基斯•亚历山大上将被任命为网络司令部司令,成为美国首任网络司令,负责组建网络安全部队并指挥网络战,在之后的5年时间里,美国网络司令部取得了一系列的进展。
2012年,美国国家网络靶场正式交付军方试用。2013年,美国热炒黑客攻击事件,借机将网络司令部由900人扩编到4900人,宣布3年内扩建40支网络战部队。2014年,美国国防部发布《四年防务评估报告》,明确提出“投资新扩展的网络能力,建设133支网络任务部队”。可以看出,在2013年到2014年的一年时间里,美军宣称网络战部队扩编3倍以上。
“吸血式”美国网络安全的精英人才战略
美国在制定相应网络安全战略的同时,也制定并实施了全面的网络安全人才尤其是精英人才的培养战略,从2004年开始,美国国土安全部就与美国国安局(NSA)的“信息保障司”(IAD)合作实施了“国家学术精英中心”计划 。
2011年9月,美国土安全部和人力资源办公室牵头提出《网络安全人才队伍框架(草案)》,明确了网络安全专业领域的定义、任务及人员应具备的“知识、技能、能力”,对开展网络安全专业学历教育、职业培训和专业化人才队伍建设起到了重要的指导作用。
2012年9月,美国专门针对网络安全人才队伍建设发布了“NICE战略计划”,明确提出了对普通公众、在校学生、网络安全专业人员三类群体进行教育和培训,以提高全民网络安全的风险意识、扩充网络安全人才储备、培养具有全球竞争力的网络安全专业队伍。
2012年6月6日,美国国土安全部将与大学和私企合作启动一项旨在培养新一代网络专业人才的计划。这项计划的任务是:制定人才培养战略,提升国土安全部对网络竞赛和大学计划的参与程度;加强公司合作伙伴关系;通过跨部门合作组建一支能在联邦政府所有机构工作的网络安全队伍。主管该计划的是国土安全部顾问委员会的Jeff Moss (BlackHat创始人)和Alan Paller(著名的SANS学院的研究院长。该学院是培养网络安全专家的高等学府,它的十几万名毕业生是目前在60多个国家担任网络安全要职的专家。)
美国国土安全部还通过“网络安全人才计划”(Cybersecurity Workforce Initiative)招聘一大批网络安全专业人才,其中包括计算机工程师、科学家、分析师和IT专家。为完成招聘任务,该部已设立了十分有竞争力的奖学金、助学金和在职培训计划来吸引人才。如2012年6月,美国国土安全部已与海军研究生院合作为该部的雇员提供了可获得“网络系统和运行”专业理科硕士学位的远程教育机会。2012年8月,该部与加州州立大学San Jose 分校合作举办了有100名大学生参加的网络精英夏令营。
为提高信息安全的教育、培训和宣教水平,美国国家安全局已与美国政府有关部门、学术界和产业界一起合作实施了“国家IA教育培训计划”(NIETP)。NIETP是美国与国家安全系统有关的教育培训工作的主管单位,其实施的各项计划确保了美国信息系统安全专业人才具有最高的素质。
除此之外,美国还非常重要与民间安全人才的交流,并鼓励和吸引民间安全人才参与国家网络安全建设中,2012年时任美国国家安全局局长和美军网络司令部司令基斯.亚历山大参加了世界黑客大会DEFCON并做了主题演讲,号召民间黑客和安全公司与政府合作,之后美国国家安全局开始借助RSA、BlackHat和DEFCON等国际性安全会议大肆招募安全人才,美国现任国土安全部部长Jeh Johnson出席了今年的RSA大会,邀请民间黑客和安全公司与政府一起,参与网络安全防护。
在今年9月29日举行的ISC 2015中国互联网安全领袖峰会上,去年刚刚卸任的基斯.亚历山大将军将出席并做主题演讲,介绍美国国家网络安全战略和美国网络安全人才战略和体系。
作者:admin
来源:51CTO