美国解密《国家网络安全综合计划》部分提议

2010年3月2日，奥巴马政府对前总统布什制定的一份美国网络防御战略，即《国家网络安全综合计划》(CNCI)的部分内容进行解密。白宫互联网安全协调官霍华德·斯密特对该计划的一些内容进行了具体描述，他表示，这一解密是兑现奥巴马总统有关执政透明的承诺。　　CNCI包括了许多互助性的提议，以实现下面3个重要目标，进而保护美国的网络空间安全：　　1.通过在联邦政府(最终将在州、地方和部族政府以及私营领域合作者)内部创建和增强对网络漏洞、威胁和事件的共享态势感知能力和对减少当前漏洞及防止入侵的快速反应能力，进而建立一个防御线以抵御当前面临的威胁；　　2.通过增强美国的反情报能力和增进关键信息技术供应链的安全，进而实现应对全方位威胁的防御能力；　　3.通过扩大网络教育、协调和重新定位整个联邦政府内的研发工作，以及致力于明确和制定相关战略，以阻止敌对和恶意的网络空间行动等措施，进而巩固未来的网络空间环境安全。　　该计划共列出了12项提议，具体内容如下：　　1.将现有的美国联邦政府各部门的网络合并成单一的、接入“可信任互联网连接”的政府网络。由美国国土安全部、美国行政管理和预算局牵头的“可信互联网连接计划”(TIC)将合并美国联邦政府部门网站的外部接入点，包括美国联邦政府网络与外部互联网的连接。这一合并将为美国联邦政府的网络提供一个共同的安全解决方案，包括推动减少外部接入口、建立安全基线的能力、为遵守安全规则的相关机构提供验证等。　　2.在联邦政府组织中部署一个
传感器入侵监测系统，称为“爱因斯坦2计划”。当未经授权的用户试图进入联邦政府部门的网络时，入侵监测系统将会发出预警，这将成为保护美国政府网络的一个重要组成部分。为此，美国国土安全部正在部署建设基于签名的传感器入侵监测系统，这种传感器通过对进入联邦政府的网络流量进行监测，能够发现未经授权进入美国联邦政府网络的潜在恶意活动。在对技术进行投资的同时，该计划还提出加大对网络人员专业基础培训的投入，以满足完成国土安全部网络安全扩展任务的需要。“爱因斯坦2计划”能够向美国计算机应急响应组织(US-CERT)实时报告联邦政府网络流量中的恶意行为或可能的恶意行动，并可提供源数据的相关性和可辨性，这将极大地提高US-CERT分析师对网络环境的认知能力，增强其处置联邦政府网络安全的弱点和漏洞的能力，并使US-CERT能够更加有效地与美国各级政府的网络安全防御部门、私营部门的安全专家以及美国公众分享相关的安全信息。　　3.寻求在联邦政府组织中部署入侵防范系统，称为“爱因斯坦3计划”。这一提议旨在保护美国民用部门和联邦行政机构的网络安全。它将吸收商业技术和专门的政府技术，对进出联邦行政机构网络的所有数据包进行实时监测，并判断其是否具有威胁性。“爱因斯坦3计划”的目标是确认恶意网络流量并鉴别其特性，以增强网络安全分析能力、安全态势感知及安全响应能力。“爱因斯坦3计划”将协助国土安全部和US-CERT降低联邦行政部门网络及系统的脆弱性。美国政府将对这一计划进行大量和长期的投资，以增强发现外国网络攻击的国家情报能力。国土安全部目前正在对“爱因斯坦3计划”进行测试工作，以检验其是否具备该计划所描述的基于
美国国家安全局开发的技术的能力。政府公民自由和隐私官员也正与国土安全部及US-CERT密切合作，以在“爱因斯坦3计划”制订和应用部署中建立适当和必需的隐私保护措施。　　4.协调并指导相关的研究开发活动。任何个体或组织都没有意识到所有与网络相关的研发工作都得到了政府的资助。本提议正制定策略和建立架构以协调所有美国政府资助或进行的网络研发工作，包括涉密的和非涉密的，并对所需的研发工作进行重新定向。这个提议将有助于消除联邦政府对网络安全研究的重复投资，并有助于确定研究差距、突出研发重点，并确保在制订战略投资计划时使美国纳税人的钱能够落到实处。　　5.连接现有的网络运行中心，以增强对网络安全态势的认知能力。由于目前针对联邦系统的恶意行动日益增多，因而保证政府信息安全办公室与战略运行中心能够实现信息共享，只有这样才能更好地了解针对政府系统的整体威胁状况，并在保护个人隐私及其他受保护信息法律法规允许的情况下，最大限度地利用每个部门特有的能力以形成最佳的网络防御。该提议将为负责开展美国网络活动的6个中心提供必要的手段，使他们彼此之间能够实现对网络安全态势认知的共享及协作。在这个提议中，隶属于美国国土安全部的国家网络安全中心(NCSC)将在确保美国政府网络和系统安全中发挥主导作用。NCSC将根据这一提议，对上述6个中心进行协调和整合，以提供跨领域安全情况认知，并对美国国家网络和系统进行分析与报告，促进机构内部的合作和协调。　　6.制订和推行泛政府各部门的网络反情报(CI)计划，以便协调联邦各政府部门进行监测，阻止和减少外国网络间谍机构对美国政府及私人领域进行网络情报威胁。为达到上述目的，该计划将建立和扩展网络反情报教育及认知项目，并增加工作人员，从而将CI整合进所有的网络运作和分析中，增强雇员对网络反情报威胁的意识，并增强各级政府部门的反情报协作。　　7.增强涉密网络的安全性。涉密网络存储了联邦政府最敏感的信息，并能够确保至关重要的战争、外交、反恐、立法、情报及国土安全行动的实施。对这些网络的入侵和破坏将给国家安全带来难以估量的严重后果。因此必须对涉密网络及其存储的数据进行审慎评估，以确保涉密网络及其数据的安全性。　　8.加强网络教育及培训。尽管美国政府在新科技上投入数以亿计的资金以确保美国政府在网络空间的安全，但只有拥有正确的知识、技巧及能力的人来运用这些科技才是成功的关键。然而，美国联邦政府、私营行业都缺乏足够的网络安全专家来落实《国家网络安全综合计划》，而且也未充分形成联邦网络安全职业制度。现有的网络安全培训和人员发展计划在总体上是良好的，但关注范围过于局限且缺乏行动的统一性。为了继续保持美国的科技优势和未来的网络安全，美国必须培养精通科技和网络的人才，并为未来的员工提供有效的人才输送通道。这就需要制定类似于20世纪50年代升级科学和数学教育的国家战略，以迎接这一挑战。　　9.明确和制定持久的“跨越式前进”技术、战略和项目。CNCI的目标之一就是开发新技术，从而在现有系统的基础上不断加强网络安全的数量级并能在未来五至十年内部署。这个提议寻求制定战略和计划，以强化政府在研发方面对关键网络安全问题追求高风险、高回报解决方案的职责。联邦政府已经开始为研究机构勾勒挑战框架，以寻求外部智囊的帮助来解决这些难题。在与民营企业打交道的时候，美国政府与其进行交流并确认双方的共同需求，以推动双方在重点研究领域均进行投资。　　10.制定和发展持久的震慑战略与计划。美国的高级决策者必须考虑可供政府参考的多种长期战略选择，以确保网络空间不对美国的安全造成影响。当下，美国政府在网络安全问题上一直采取传统的方法，但这些方法并没能达到所需的安全保障级别。本提议目的在于通过改善预警能力、明晰私营企业和国际伙伴所扮演的角色、强化国有和非国有部门的响应能力等来建立网络防卫战略，以阻止对网络空间的干扰和攻击。　　11.制定多管齐下的全球供应链风险管理模式。商业信息和通信科技市场的全球化，给企图损害美国利益的国家、个人提供了更多的机会，他们可以在未经授权的情况下，通过渗透供应链对数据进行获取和更改，或对通信进行干扰。应对这种来自国内和全球化供应链中产生的风险，必须在产品、系统和服务的整个生命周期中采取一种战略性和综合性的方式。为应对这种风险，美国需提高对威胁、脆弱性以及与采购决定相关的后果的认知；开发和应用各种工具及资源，从技术上和运作上减少在产品整个生命周期(从设计到退出市场)中产生的风险；制定新的采购政策和运作方式以反映市场全球化的复杂性；与工业界合作发展和应用供应链风险管理标准及最佳操作方式。这一提议将促进联邦政府的技能、政策能力和处理流程的优化，为各部门和机构提供管理及减少供应链风险的更好的办法，从而减少联邦政府部门和机构所面临的系统及网络风险。　　12.确定联邦政府在将网络安全融入关键基础设施工作中的职责。美国政府与控制关键基础设施的私营企业互有需求，不可分割。本提议是建立在联邦政府与关键基础设施和重要资源(CIKR)的公私营领域所有者及运营商之间现存的或正在发展中的伙伴关系之上的。国土安全部与其私营企业合作方已制定了一个具有里程碑意义的积极的共享行动计划，包括短期和长期建议，特别是吸收和利用以前取得的成就及现实经验，从而增强关键基础设施和重要资源部门的安全弹性及运作能力。一旦政府部门、关键基础设施和重要资源遭受网络威胁或发生网络安全事故，政府部门和私营企业将进行信息共享。　　(刘长安 人民邮电报)