奥巴马总统已经把网络安全确立为美国经济和国家安全的最大挑战,但我们无论是从国家还是从政府的角度来说,都没有做好迎接这场挑战的准备。因此,总统就职后不久便下令对信息和通讯基础设施的防护力量以及保护美国数字基础设施的综合方法进行全面性评估。
2009年5月,总统认可了《网络空间政策评估》中的建议。建议的大概内容有:1.任命一个可以与总统直接接触的行政部门网络安全协调员,这个行政部门直接与美国网络安全的关健部门紧密联系,包括国家、地×××府和民营机构,以有组织地、共同地应对网络突发事件;2.加强国家与个人的联系,以找到确保美国安全和经济繁荣的科学解决方案;3.为满足这个时代数字挑战的需求,保证对前沿科技的研究发展和创新发现进行必要的投资;4.在各行各业倡导数字文化,开展提升网络安全意识的运动,并建立起21世纪的数字劳动力大军。最后,总统要求这些建议的执行一定要与个人隐私和公民自由保持一致,此二者是宪法保障,也为美国人民所珍重。
《网络空间政策评估》建议的执行基于乔治.布仕总统于2008年1月签发的国家安全总统令54号和国土安全总统令23号中的《国家网络安全综合纲领》(CNCI)。奥巴马总统决定CNCI及其相关活动应该演变成美国国家网络安全战略最新的综合性的关健因素,并将在支撑《网络空间政策评估》的重要建议中扮演重要的角色。

CNCI由许多相互补充的纲领构成,共同维护美国的网络安全。

* 通过建立或加强联邦政府、州政府、地×××府、印第安部落和民营机构对网络漏洞、威胁和事件的共享态势感知以及迅速降低当前漏洞数量和防范入侵的能力,为应对目前的威胁,筑造第一道防线。

* 通过加强反侦察能力和关键信息技术的安全保障,以全方位的防范各种威胁。

* 通过扩展网络教育、协调修正整个联邦政府的研究发展方向、制定阻止敌对或恶意网络活动的发展战略,以巩固未来的网络安全环境。

在制订CNCI的过程中,我们很快的意识到,加强政府在关健基础战略方面的能力,是实现CNCI的保证。因此,CNCI包括了联邦执法部门、情报部门、社区保安的专项基金,以加强诸如犯罪调查、情报收集分析、确保关键信息保障网络安全之类的重要职能。

CNCI是在对个人隐私和公民自由的高度关注下,与政府个人隐私专家紧密配合,而设计出来的。CNCI的贯彻落实将会在保护公民自由和个人隐私权的前提下进行。
与奥巴马总统努力保证政府透明的意图相一致,《网络空间政策评估》认为加强信息共享是网络安全工作行之有效的重要因素。为了提升公众对联邦政府工作的认识和理解,网络安全协调员已经公布了下列CNCI纲要简述:

CNCI纲要
1号纲领:在可信互联网连接的基础上,将联邦政府机构网单独划分管理
可信互联网连接(TIC),由国土安全部管理预算办公室执导,旨在强化联邦政府的外部访问接口,包括互联网接口。此项工作将会制订出一个共同的安全解决方案,具体包括:降低由于减少外部访问接口的数量而带来的不便影响,构筑安全防范能力底线;确保各机构与安全防范能力的结合,这些机构即是TIC中的访问提供商(其数量上有限制,而且是具备自我运行能力的机构),同时又通过联邦总务局NETWORX1计划的合同商与“信任IP管理服务提供商”合作。
(注1:NETWORX计划的宗旨是为工业技术合作方提供综合的最优的通讯服务并成就一个高能、高效的政府。NETWORX允许各机构通过使用核心工业技术资料,集中自我资源建立无缝、安全的工作环境。)

2号纲领:在联邦政府机构网部署感应式入侵检测系统
使用被动感应技术的入侵检测系统,是美国政府网络安全防范的重要组成部分,它可以识别未授权用户对网络的访问。作为“爱因斯坦2”行动的一部分,国土安全部正在部署基于签名的感应系统,此系统能够检测出试图非法进入联邦网络系统的互联网流量和恶意程序。通过基于签名的入侵检测技术,对进出美国政府网络的流量进行自动的完整数据包检测,“爱因斯坦2”可以对网络通讯进行分析以识别潜在的恶意活动。在技术方面的投资与专业人才方面的投资并行,帮助国土安全部完成扩展网络安全的工作任务。
当联邦政府机构网络有恶意软件或其他有害的网络活动发生时, “爱因斯坦2”可以实时的通知美国计算机应急响应小组(UR-CERT),并可提供关联性的形象化的数据。凭借“爱因斯坦2”提供的数据,的专家可以极大的提高对网络环境的把握并增强认别网络漏洞及其脆弱性的能力。因此,应急响应小组可以提高“态势感知2” 意识,从而更有效的分析相关安全信息,更主动的与整个政府的网络安全人员、民营机构的安全专业人员和社会公众共享信息。针对“爱因斯坦2”,国土安全部个人隐私办公室已经执导并发布了一份《个人隐私影响评估》报告。
(注2:态势感知(Situation awareness),在一定的时间和空间下,对环境要素的感知能力。)

3号纲领:继续在整个联邦政府机构网络布署入侵防护系统
3号纲领代表着联邦负责保护民众的行政部门、机构的发展方向,这个方向称为“爱因斯坦3”。它将综合商业科技和政府专业科技的手段,对进出联邦行政部门的网络流量进行基于威胁的决策的完整数据包检测。“爱因斯坦3”的目标就是要识别和描述恶意网络流量,增强网络安全分析、态势感知和安全响应能力,它可以在危害发生前,自动检测并正确响应网络威胁,最终形成一个支持动态保护的入侵防护系统。
“爱因斯坦3”将协助应急响应小组防范、保护联邦行政部门网络系统,并减少系统漏洞。它还将支持加强国土安全部与联邦行政部门和机构之间的信息共享,赋予国土安全部在检测到网络入侵时自动警告的能力,如果有必要,国土安全部还会发送不包含通信具体内容的警告给国家安全局,以得到国家安全局对其工作的合法授权支持。

此纲领会投入大量长期的资金,以帮助情报机构发现国外网络威胁的关键信息,并实时地反应到“爱因斯坦3”系统中。国家安全局国外情报机构和国防部的信息保障工作决定“爱因斯坦3”使用的基于威胁的签名技术,以支持国土安全部的联邦网络系统的安全保障工作,国土安全部也将适应这一签名技术。网络入侵方面的信息共享,以及国土安全部、情报部、国防部的相关活动,都将在监督下依法进行,以保护个人隐私及公民权。

此纲领所描述的“爱因斯坦3”的能力,是基于国家安全局开发的技术,对收集到的危害联邦网络系统的入侵行为信息加强管理和保护的能力。国土安全部正在进行一项测试工作,对此能力进行测试。个人隐私和公民自由保护部门的政府人员正在与国土安全部和应急响应小组紧密合作,为“爱因斯坦3”的设计部署制订出恰当和必要的隐私保护方法。

4号纲领:协调、修正研究和发展方向
单一的个人或组织不可能获悉政府资助的所有研发工作。4号纲领就是要形成一个战略架构,协调和修正政府执导或资助的研发工作,包括密级和非密级。此纲领是消除联邦政府在网络安全研究工作中的重复投资、找到研发方向的遗漏、合理安排工作顺序,并确保修正战略投资方向的同时,不浪费纳税人的一分税款。
5号纲领:联接各网络指挥中心,提升态势感知意识
目前,政府信息安全部门和战略指挥中心迫切需要共享针对联邦政府网络系统的恶意网络活动信息,合理合法地保护个人隐私或其他受法律保护的信息,以较好的把握整个政府网络系统的威胁状况,并最大限度的利用每个组织各自特有的能力,尽可能地对国家信息网络采取全面的最佳的防护措施。
此纲领为负责美国网络行动的6个指挥中心共享态势感知信息提供了关键的必要的方法指导。其内容主要集中于在网络行动各关键要素之间建立关键的必要的联系,这些要素为:1. 基础能力和投资,如升级基础设施、扩大带宽、融合各工作单位的能力;2. 加强协作,包括通用的技术、工作和规程;3. 通过协调分析的手段加强共享态势感知信息。

国土安全部国家网络安全中心(NCSC)将在此纲领中担任重要角色,通过协调与融合6个指挥中心的信息,提供跨区域的态势感知能力,分析和报告网络系统状况,促进各机构间的协作和配合,以保护联邦政府网络系统的安全。

6号纲领:制定并实施一个针对政府的网络反侦察(CI)方案
为了协调联邦各机构的工作,发觉、制止、减轻国外情报活动对政府及民营机构信息系统的刺探和威胁,而制定此方案。完成这些目标,需要制定教育培训计划,扩大员工培训范围,将反侦察意识融合到日常工作中,加强工作人员的反侦察意识,增强政府所有部门之间的反侦察合作。《网络反侦察方案》与《美利坚合众国国家反侦察战略》一起,共同支持《国家网络安全综合纲领》(CNCI)中的其他纲领。

7号纲领:加强涉密网安全
涉密网包含着联邦政府最敏感的信息,保证着作战、外交、反恐、执法、情报和国土安全等工作的进行。涉密网一旦遭到入侵或破坏,将对国家安全造成巨大的严重的损失。我们务必要做好准备工作,确保涉密网及其数据内容的完整无缺。

8号纲领:扩展网络培训教育
尽管大量的资金投入到保护美国网络安全的新科技中,但其成功的关键还是要依靠能够实施这些技术的具备正确的相关知识、技能和能力的人。然而,在联邦政府和民营机构中,缺少可以贯彻《国家网络安全综合纲领》的网络安全专家,也没有建立起足够的安全职业划分领域。现有的网络安全培训和人员培养方案尽管不错,但在针对性和统一性上仍有不足。为了持续的有效的保证我们的技术优势,保卫网络安全,必须培养起一支用科技技能和网络知识武装起来的队伍,建立一套培养后备力量的模式。此纲领将类似于50年代改进科学和数学教育方面的国家战略,以满足新形势下的挑战。

9号纲领:确定并发展持续性的“超越(leap-ahead)”技术、战略和方案
《国家网络安全综合纲领》的目标之一就是发展技术,在5到10年内建立并部署远超当前数量级的网络安全系统。此纲领是为了发展战略和方案,巩固政府研发事务的有机组成部分,对重大网络安全问题实行“高风险,高回报”的解决方案。联邦政府已经开始勾勒“大挑战3” 的基本框架,帮助研究机构解决那些需要“跳出正常思维模式”的难点问题。在民营机构方面,政府正在确定与沟通双方的需求,以推动关键研究领域的共同投资。
(注3:大挑战(Grand Challenges),上个世纪八十年代美国政治用语,目标是资助高性能计算和通信方面的研究,一定程度上与日本的“第五代”10年规划相对应。)

10号纲领:确定并发展持续性的威慑战略和方案
当今世界,任何国家离不开网络的应用,我们国家的高层决策者必须通盘考虑并选择一个行之有效的长期战略规划。到目前为止,美国政府一直在使用传统手段来解决网络安全问题,但这些举措并未达到应有的安全级别。此纲领旨在建立一套网络防护战略方法,通过提高预警和告诫能力,明确民营机构和国际合作伙伴的角色,

11号纲领:形成一个多样化的供应链4风险管理办法
商务信息和通信技术市场的全球化,为渗透供应链系统,非法获取访问权,更改数据及阻断通信增加了可能性,从而危害国家安全。对产品、系统和服务的完整生命周期进行战略性的综合性的管理,以掌控国内及全球化的供应链带来的风险。风险管理需要具备对威胁、漏洞和采购政策后果的高度风险意识;开发及应用相关工具和资源,在整个产品生命周期(从始到终),技术的有效的减少风险;制订新的采购政策和操作规程,以应对全球市场的复杂化;与相关业界合作,制订一套适用于供应链的风险管理标准和最佳操作规程。
(注4:供应链风险管理(Supply Chain Risk Management),为防止商业金融危机或破坏制造业持续生产,提前认识潜在风险的学科。)

此纲领将加强联邦政府的决策和实施能力,从风险和危险程度的级别上,为相关部门和机构的系统及网络提供一整套强有力的管理办法,从而更好的管理供应链并减少风险。

12号纲领:规定政府职能,把网络安全扩展到各种重要基础设施中去
美国政府依赖民营基础设施以实施公众事务,同样地,这些重要基础设施的运转也需要高效的信息系统和网络来支撑,而这些系统和网络极易遭到恶意攻击。

此纲领由联邦政府与各种
重要基础设施和关键资源5(包括公有和私有)的拥有者及管理者的合作关系所决定。国土安全部和民营企业,在许多重要事件及活动中的主动合作中,已经形成了一个共同的工作方案。方案包括短期和长期建议,尤其是融合及利用现有的工作及活动成果;处理所有网络基础设施中的安全问题和信息保全工作,增强重要基础设施和关键资源(CIKR)的抵抗力及正常运转的能力;强调公共部门与民营机构应该共享CIKR及政府网络系统中发生的网络事故和威胁方面的信息。(完)
 
 
奥巴马为何解密布什“网络安全密令”
文章来源: 青年参考       2010-03-11 10:15:03
 
    
2008年,时任美国总统的小布什签署了一份涉及网络安全的总统令。此后,外界一直在猜测这份密令的具体内容。今年3月2日,美国总统奥巴马高调宣布解密密令的部分内容。那么,奥巴马此举动机何在?
1.《纽约时报》称预算达400亿美元
2008年1月8日,美国总统布什发布了第54号国家安全总统令和第23号国土安全总统令,要求保护美国的网络安全,防止美国遭受敌对的电子攻击,并能对敌方展开在线攻击。
“国家安全总统令”的英文是 “National Security Presidential Directive”,缩写为NSPD。“国土安全总统令”的英文是 “Homeland Security Presidential Directive”,缩写为HSPD。所以,这项总统令通常缩写为 “NSPD54/HSPD23”。
由于这个总统令是密令,外界只知道它涉及网络安全,具体内容只能从有关官员的只言片语中推测。
美国国土安全部一名助理部长曾承认,在该计划中,还将“扩充”一个网络监测项目(代号为“爱因斯坦”),但这遭到了关注隐私保护的人士抗议。
法新社称,在布什签署该项总统令后,美国有关部门制定了“国家网络安全综合计划”。该计划的预算至今仍是个谜,但《纽约时报》估计有400亿美元。而《华盛顿邮报》声称是数十亿美元,并说该计划是去年的机密情报预算中单笔金额最大的一项。
2.提高透明度以争取民心
3月3日,法新社发自美国旧金山的报道称,白宫3月2日揭开了美秘密网络防御战略的帷幕。
在旧金山举行的美国信息安全大会(1991年首次举办,是全球最大、最顶尖的信息安全展览会,有“信息安全奥运会”之称)上,白宫互联网安全协调官霍华德·施密特介绍了该战略的一小部分内容,称将该战略公之于众,是奥巴马承诺的打造透明政府的一部分。他说,如果没有透明度,“我们不能要求企业帮助政府,政府也无法帮助企业。而这样做(提高透明度)将使得美国人民愿和政府合作。”
霍华德·施密特说,他希望解密的战略内容,能促使政府的网络战士与安全公司、学者及其他专业人士结成联盟。他声称:“我们集合起来的知识就是最大的力量源泉。我们将来会打败我们的对手,不是因为他们很弱小,而是因为我们变得更强大。”霍华德·施密特还说:“必须联合所有合作伙伴,以确保网络安全是可靠的。”施密特在发言中还宣布,奥巴马解密“国家网络安全综合计划”的部分内容后,白宫将会把一份5页的PDF文件发布到白宫网站上。
当地时间3月2日中午,白宫果然将一份5页的PDF文件发布到白宫网站(whitehouse.gov/cybersecurity)上,而密令全文,则继续秘不示人。
5页的文档没涉及过多的细节,但公布的这些内容已足够引起广泛关注。经历过布什时代的网络监控活动强化后,现在许多美国政治家和民权活动家,对政府监控网络的一举一动都非常警惕。
3.美正在组建网战精英团队
另据英国国家广播公司4日报道,美国国土安全部部长纳波里塔诺(Janet Napolitano)3日表示,美迫切需要进一步采取措施来防止遭到网络攻击。她列举了一系列措施,其中包括代号为“爱因斯坦”的所谓入侵监测系统。
纳波里塔诺表示,美政府正在组建一支网络防御精英团队,以捍卫美国公共与私人的电脑网络系统,帮助美国人民认识到防止网络诈骗及网络间谍活动的重要性。纳波里塔诺还说,国土安全部正在组建全球最优秀的团队,但此事成功与否,在很大程度上取决于该部门与私营领域的合作效率。
4.研发“跨越式”技术
3月1日的《纽约时报》就提前披露,白宫网站2日将会公布“国家网络安全综合计划”的12项计划。3月2日,《青年参考》报记者第一时间登录白宫网站,找到了这份5页的文件。文件果然列出了12项计划:
1.用可信任的网络连接(Trusted Internet Connections),将联邦政府组织联成单个网络组织来管理。
2.在联邦政府组织中配置入侵监测系统(被称为“爱因斯坦2.0”计划)。
3.致力于在联邦政府组织中配置入侵防范系统(被称为“爱因斯坦3.0”计划)。
4.协调并指导相关的研究开发活动。
5.连接当前的各个网络行动中心,以提高对形势的认识,尤其是对网络安全形势的认知。
6.确立并实施政府范围内的网络反间谍计划,以便协调联邦各部门进行监测、阻击外国网络情报机构对美国联邦和私人领域的网络威胁。
7.加强有关美国的涉密网络的安全,例如外交、反恐和情报部门的网络安全。
8.扩展网络方面的教育培训。
9.定位并研发“跨越式的”技术、战略和项目。
10.制定威慑战略和计划。
11.实施多管齐下的全球供应链风险管理模式。
12.定义联邦政府在关键的基础设施领域所能扮演的角色,因为联邦政府离不开控制着关键基础设施的私营公司,而这些公司在网络安全方面也需要政府的保护。双方的合作包括,在遇到网络攻击时,联邦政府与控制着各种基础设施的私营公司进行信息共享。
5.“爱因斯坦3.0”会侵犯隐私吗
有媒体分析说,公开的这部分内容谈到了联邦政府“扩展网络安全至关键的基础设施”,其范围似乎包括互联网、电力和电话系统,“爱因斯坦计划”则要保护由私人控制的关键基础设施,这势必引发有关隐私问题的讨论。看得出来,文件花了不少篇幅,努力让美国人确信,他们的隐私受到保护,声称“在设计和实施‘爱因斯坦3.0’时,政府中负责公民自由和隐私的官员与国土安全部亲密合作,以便建立适当的、必要的隐私保护措施”。
针对旨在监测入侵行为的“爱因斯坦2.0”,美国国土安全部已发表了有关隐私问题的评估报告。但截至目前,该部尚未对“爱因斯坦3.0”发表这类报告。布什时期的司法部在一份备忘录中称,“爱因斯坦2.0”符合美国宪法和联邦窃听法律。
国会众多议员已对创建秘密的“国家网络安全中心”表示质疑。众议院情报委员会抱怨说,细节问题“仍然很模糊”,这是因为有“过度的机密限制”,并称2009年的预算“超支了”。
尽管遭遇涉嫌侵犯隐私问题的困扰,但数名现任和前任官员都表示,“爱因斯坦3.0”有望更有效地发现恶意攻击美国网络的活动,在政府网络受损害之前就可破解黑客的入侵活动。
6.“布什的政策就是奥巴马的政策”
虽然有关“国家网络安全综合计划”的内容已部分公开,但争议仍在继续。
美国土安全部前部长切尔托夫,三任美国总统的安全顾问理查德·克拉克和电子隐私和信息中心执行主任马克·罗滕伯格都认为,美国在网络战争和网络间谍方面,面临越来越多的问题。
切尔托夫认为,未来恐怕会出现网络灾难,逼迫政府和个人采取行动。克拉克援引去年美国电力网络遭到攻击的例子说,未来美国的基础设施还会遭到类似攻击,“这不是网络间谍行为,而是为战争做准备。” 克拉克还没有提供证据地说:“长期以来,我们遭到来自中国和俄罗斯的政府以及犯罪团伙的攻击。”
但如何解决这一问题,官员却存在意见分歧。罗滕伯格认为,针对个人用户的网络实施监控,不可避免会引发大量侵犯隐私的问题,而这是违宪的。但克拉克争辩说:“问题是,在等待网络珍珠港事件发生时,我们每天都会承受小小的珍珠港袭击事件。我们每天都会监测到很小比例的网络犯罪。我们事前就会预测到灾难,为何要坐等灾难发生后才去解决问题呢?”克拉克甚至还声称,美国政府应该鼓励其他政府签署一个国际协议,以让美国能监视别国国民的网络世界。
不过,霍华德·施密特公开保证,美国公民的隐私是受到保护的,他说:“爱因斯坦3.0计划是否部署得当并保护公民的隐私权,政府有关官员正在密切关注。”
吉姆·哈珀是美国土安全部数据隐私和完整咨询委员会委员,他说:“政府当然必须保护国家的网络安全,但它不应该对由私人拥有和操作的关键基础设施拥有控制权。”哈珀表示,布什的这一网络安全计划,在奥巴马时代得以延续,两任政府没太大区别。“官僚们控制了一切:布什政府的政策也就是奥巴马政府的政策,在网络安全政策方面并没有所谓的改变。”(完)