4.联邦政府关键基础设施保护计划
总统已经号召联邦政府成为信息系统安全的典范,但如今,情况并非如此。
政府越来越依靠计算机和网络来组成其关键的信息基础设施,为我们的社会负担诸多非常重要的功能——从我们国家范围内公民权利的保障到对重要服务连续性的依赖。最近,几起针对政府计算机网络的非法入侵已经使政府加强了提高其防御能力的决心,以抵御计算机犯罪、计算机恐怖主义以及信息战等可能直接威胁到联邦政府基础设施的事件。
这篇国家计划的联邦政府部分展示了由政府计划并正在执行的对这些基础设施系统提供保护的一些行动。政府各部和机构正纷纷准备他们自己的计划以保护其关键基础设施,同时也已有了新的处理步骤来确保各机构之间的协调以及这些计划的一致性。横跨各机构的活动也已发起。事实上,开发一个联邦范围的计划可以把政府内的各机构前所未有地紧密联系在一起,而以前这种合作是不多见的。协调的过程之所以必要是因为我们的政府所依赖的计算机网络和系统之间具有多边联系以及互依赖性。
联邦计划分两节说明,在其前面还包括一个对保护关键信息基础设施的有关联邦组织的描述。两节的内容概括如下。
民事机构保护及政府级行为:这部分计划讨论联邦民事机构的基础设施保护方案,包括法律的使用。它概述了在联邦政府的范围内现行的有关活动,还给出了某几个联邦机构借以确定对它们最为重要的信息基础设施的活动的例子。该部分还包括:评估和确定潜在的弱点;提高相关能力,以标识和预防任何针对关键系统的有意攻击并减缓其带来的危害。
国防部基础设施保护计划:由于其保家卫国的任务性质,国防部成为第一个响应该篇国家计划的政府部门。在所有国家部门之中,国防部的计划及随后的执行也是最成熟的。并且,在很多重要方面,它成为其他部门、机构的范例。于是,反映国防部独一无二的作用领域和任务的材料以及那些可以作为其他联邦政府部门范例的活动在这节中均做了详细的说明。
A.负责关键基础设施保护的联邦组织
1998年5月22日,总统发布了第63号总统令(PDD63),号召举国努力来保障脆弱性日益增加的美国互联基础设施的安全,尤其是基于计算机的基础设施的安全。这些基础设施包括电信、银行与金融、运输业、供水系统以及重要的政府服务。总统令要求联邦政府立刻评估其基于计算机的那些系统的脆弱性并矫正缺陷,而且,还要求制定详细的计划来保护关键基础设施并对国家进行防御以对抗信息战。总统令命令,政府应当在国家中成为保护基础设施的楷模,公共部门和私营部门要联合起来保护关键基础设施。
PDD63组织了如下联邦政府组织和人事来迎接日益增长的安全挑战。
安全、关键基础设施及反恐怖主义国家协调员在白宫国家安全委员会(NSC)监督关于关键基础设施保护的国家政策的制定以及执行。国家协调员是内阁首脑委员会的一员,向总统和国家安全顾问提出关于国家关键基础设施政策和执行方面的建议。NSC关键基础设施高级负责人对其提供支持。
关键基础设施保障办公室(CIAO)是一个跨机构的办公室,位于商务部,旨在支持政府机构和私营部门的计划制定。办公室还负责评估各机构对关键基础设施的依赖度,协调国家的教育和意识培养项目、法律问题以及公共事务。
国家基础设施保护中心(NIPC)是一个位于FBI的跨机构办公室,职能是作为威胁评估中心,关注威胁报警、脆弱性以及执法问题。NIPC包括由FBI、国防部、美国特工处、各情报机构以及其他政府机构派出的代表。
对每个可能成为计算机或物理重点攻击目标的基础设施部门来说,都有一个专门的国家部级机构作为联络时的领导机构。该机构还将指派一个部门联络官在基础设施部门中指导事务。PDD63中规定的基础设施部门及相对应的领导机构如下表所列:
部门联络官将与关键基础设施协调组(CICG)的国家协调员密切合作,CICG是一个跨机构的委员会,职责是分析关键基础设施政策问题以及向内阁长官委员会提交政策建议。
那些没有私营部门参与的职能领域(国防、情报、国外事务、执法以及研发)在CICG由专门职能协调中心代理,具体见下表:
B.民事机构保护和政府级行动
在本节所展示的政府行动中,联邦政府为私营部门关于如何最有效地保护关键信息系统基础设施树立了榜样。很多领域中的重要工作目前正在开展。
国家基础设施保护中心(NIPC)继续履行其作为跨机构的国家关键基础设施威胁评估、警告、脆弱性分析以及执法调查和响应实体的职能。
专家评审组(ERT)同联邦机构合作以改善信息安全状况,同其他负责信息安全事务的有关联邦实体协调工作。
作为历史上的第一次,联邦政府正在协调联邦机构对基础设施保护的研发(R&D)活动,确保各类计划、项目以及议程的一致性,把联邦政府的研发资源用在最重要的基础设施脆弱性研究上。
其他所提议的活动将有助于确保联邦政府的榜样地位。
建立全国范围内的攻击响应、攻击后重建和恢复系统。
向民事机构提供:关键的系统节点处的入侵检测系统;自动事件报告和处理系统;以及一个中央管理的运行结构,用于处理、分发、报警及协调功能,从而提供基础设施的计算机状态的连贯性报告。一个指导委员会正在调查操作上的诸类问题并决定联邦入侵检测网络(FIDNet)的技术体系结构。
建立关键基础设施保护国家学会来帮助开发和传播我们的信息基础设施保护所必需的相关知识,加速各种操作建议、标准、评估准则的开发,使其早日被联邦政府和私营部门所采纳。
通过联邦计算机服务(FCS)项目,解决受过系统安全和管理培训的联邦雇员严重短缺的问题,该项目将对更多的美国人施以信息系统安全方面的教育。
强化大学中的信息安全课程,建立INFOSECURITY优秀中心来保障本科生和研究生教育项目的发展,以适应培养高素质研究人员和信息系统安全专家的需求。
开展全民安全意识普及运动,提高对加强计算机安全的需求的理解与认识,第一批对象是所有的关键基础设施机构的业务领导、联邦雇员以及我们国家的在校学生。在此基础上,把受教育的对象逐步扩展到其他私营部门和普通大众。
对现有的法律提出必要的修改建议,以适应国家信息系统安全所面对的新威胁,这些对法律的改动要能确保国家关键基础设施的安全,同时确保公民的自由权。
与私营工业合作,通过公共-私营合作关系确保联邦政府的那些将对工业活动(或相关活动)产生直接影响的行动中能有工业界的适当参与。
内容1:标识关键基础设施资产以及互依赖性,查找其脆弱性
1.1 联邦民事机构及其评估
联邦政府已经建立了很多组织结构,制定了相关计划,来保护其免于受到计算机攻击。
1.1.1 政府各部的计划和信息基础设施保护的责任
部级机构关键基础设施保护计划:PDD63要求政府各部局制定保护它们的关键基础设施的计划。在1998年11月,拥有最重要系统的那些部门被指定为一期机构(Phase One Agencies),制定了它们保护其关键信息系统的最初计划。二期机构的计划在1999年2月制定。所有的计划都要在两年之内完成。
国防部对基础设施的保护可见第C节的描述。
如下一期机构在1998年11月制定了它们的计划:中央情报局(CIA)、商务部(DOC)、国防部(DoD)、能源部(DOE)、健康和公众服务部(HHS)、司法部(DOJ)、联邦调查局(FBI)、交通部(DOT)、财政部、国务院(DOS)、退伍军人事务部(DVA)、环境保护局(EPA)、联邦应急管理局(FEMA)、国家安全局(NSA)。
如下二期机构在1999年2月制定了它们的计划:农业部(USDA)、教育部、住房和城市发展部(HUD)、内务部(DOI)、劳工部(DOL)、总务管理局(GSA)、国家宇航管理局(NASA)、原子能管制委员会(NRC)。
对于关键信息系统基础设施的物理性保护的特别关注:所有机构均有责任确定其信息系统的物理脆弱性并采取矫正性措施。关键基础设施的领导机关将同私营部门协同工作以矫正非联邦系统中的脆弱性。
持续发展中的专家评审步骤:关键基础设施协调组(CICG)建立了一个专家评审组(ERT)来帮助各部和机构改善不符合PDD63要求的地方。过渡期的ERT位于关键基础设施保障办公室(CIAO),并和联邦CIO委员会、GSA和OMB合作。
过渡期的ERT是联邦政府内的新机构。从此,我们第一次有了一个规模虽小但全职的工作组来投入到加强关键基础设施保护的工作中来,它的工作包括:
提供IT安全方面的信息纲要;
确保所有机构的计划框架的一致性;
随时对22个一期和二期机构进行审查和评价。
在商务部的国家标准与技术研究院(NIST)内将建立一个永久性的专家评审组,负责帮助政府范围内的机构达到联邦计算机安全要求的标准。
首席基础设施保障官——评估并矫正脆弱性:依据PDD63,联邦政府各部和机构均已指定了首席基础设施保障官,但对其是否与首席信息官(CIO)是同一个人没有要求。首席信息官负责信息保障,首席基础设施保障官则负责部级基础设施其他方面的保护。在每个机构所做的计划以及其执行过程中,关键的一项就是自我脆弱性评估。任何部或机构要向国家协调员确认其职能运行所依赖的关键系统。
核实过程:CIO委员会将推动相关的审计过程,来核实各机构是否遵循了它们的基础设施保护计划。该过程的发展将在与很多组织,如NSA、信息技术资源委员会、GAO和IG的协调下完成。
1.1.2 进行脆弱性分析以独立地测试安全性
各机构将开展一些项目来完成某些种类的脆弱性测试和分析,包括:利用COTS(商业现货)工具、常规Internet自我评估工具、独立的外部关键性评审等方式进行日常自动化系统配置/完整性/脆弱性测试。
应各机构的要求,NSA和NIST将开展一次独立的联邦关键信息基础设施分析,独立的结果报告将交给各个机构的CIO。所有联邦机构都要指派自己的代表,该代表可以向对其计算机系统的访问进行授权,以推动脆弱性和模拟攻击分析。司法部将建立法律指导方针来促进对美国政府实体的脆弱性评估的顺利开展。另外,在独立评估中,各机构的总检查长应当担任重要的角色。CIO委员会和国家协调员将和各机构的总检查长合作,促进他们对这些问题的注意。
部级关键基础设施保护计划的专家评审
新生的和创新性的概念
专家评审组(ERT)建立于1998年11月,在确保各机构所制定计划的质量、一致性和执行有效性以保护其关键基础设施的道路上,这是一个里程碑。它是第一个具有如下功能的跨机构小组:
在CIP计划制定过程中引入了连贯性、政府级经验以及综述。
要求各机构的信息安全计划遵循跨机构间达成的关于在计划中要包含公共基本计划要素的规定,并对此做出审查和评论。
对计划的执行提供始终如一的监督和支持。
使联邦机构更容易得到技术协助。
第一阶段
在其工作的第一阶段,ERT关注各机构计划对公共要素的纳入情况,并对初期计划中这些要素的纳入情况做出评审。这些要素是:
该机构的任务以及对其职能运行时所依靠的关键性基础设施的确定;
威胁分析;
脆弱性评估;
矫正计划;
应急计划;
研发要求;
角色和责任;
资源要求;
执行日程表;
协调工作;
人员招募、留任、教育以及意识培养;
法令以及指导方针。
在该阶段,ERT有可能:
发现机构在最初的计划准备过程中经历了研发、资源、要求、协调等方面的巨大困难;
鼓励机构在其计划中纳入所有的必要要素,以使计划的构架完整,可以在一个动态的基础上提供发展中的评估;
在必要的时候要求机构修改或重写计划;
采取在政府范围内和单独面向机构两种方式简单通报对初期计划的评估结果;
建立一个新的、互相协商后的处理方法,这并不是对机构计划的批判,而是协助其对计划做出改善;
达到了与机构的高度合作。
第二阶段
从评审计划到支持计划实施,ERT的主要工作过程包括:
同一期和二期机构合作,也可以选择其他政府机构,协助它们确定与其职责相关的国家安全、关键性国家经济安全、关键性公众健康和安全责任的内容;
同一期和二期机构合作,也可以选择其他政府机构,协助它们确定在履行各自负责的国家安全、关键性国家经济安全、关键性公众健康和其他与安全相关的职责时的基础设施依赖性以及同IT有关的互依赖性。
联邦各部加强计算机安全的行动时间表:所有的联邦机构都应该确保其职能运行所依赖的、符合信息安全保障标准的那些关键计算机和信息系统能得到安全保护。对这些系统,各部局应该执行脆弱性测试,确定互依赖性、制定事后矫正和恢复计划,并定期更新计算机安全措施。具体见下表:
信息系统物理安全保护时间表:为了解决关键计算机和机控系统的物理安全问题,联邦政府将采取下表的行动。
1.2 关键信息系统计算机安全的操作建议和标准
对美国政府的关键信息系统安全的保护是至关重要的,政府既是国家基础服务的提供者,也是国家其他领域参照的楷模。在政府的多重角色之间要达到和谐的平衡。一般来说,政府不会开发其自己的安全解决方案,但它可以向私营工业寻求标准和操作建议、COTS产品以及咨询服务。然而,作为世界上最大的信息系统,联邦政府要在计算机安全产品、操作建议、标准的开发和使用过程中担任重要的角色。
除了各机构的计划外,OMB和GSA将和其他机构合作完成如下活动,以确保美国政府在信息系统安全方面对其他国家的示范作用。
为关键联邦信息系统确定和采纳建议及安全标准:NSA和NIST负责为涉密以及敏感但非涉密的联邦信息系统制定标准。OMB和GSA在确保联邦信息系统安全方面扮演其他方面的重要角色。这些权威机构——NSA、NIST、GSA、OMB和国家协调员合作,将为联邦关键信息系统确定和开发操作建议和标准。在同CIO委员会的协调下,各机构将确认他们的关键信息系统并在2001年以前执行这些操作建议和标准。
这些措施将依赖于对安全技术和操作建议进行采纳的能力。一个三步过程将用于开发联邦使用的操作建议和标准:
●第一步,确认并利用现有的私营部门或联邦部门的标准和操作规程。
●第二步,如果必要的话,同现有的私营标准化团体和专业协会合作,开发新的或改正现有的私营部门标准及操作建议,从而满足联邦信息安全的需要。
●最后一步,也许需要开发联邦政府有特殊要求的自定义标准和操作建议。
我们希望并鼓励在政府和私营部门能够采纳或改编统一的信息系统安全推荐标准和操作建议。
建立采购标准:GSA、DoD(只负责自己的采购)和OMB将同NIST及NSA合作来修订采购规章,要求对信息安全产品、系统和服务的获取必须符合联邦关于信息系统安全的操作建议和标准。GSA和OMB将为各机构采纳和执行规章确定出步骤和期限。通过NIAP(国家信息保障联盟)以及通用准则(CC), NIST和NSA已经制定了这些采购标准的框架。NIAP正委托商业实验室根据信息技术安全国际通用准则对安全产品/系统开展安全性评估和有效性检验。政府的政策规定了必须呈阶段性并有步骤地采用经过验证和评估的安全产品/系统,这推进了政府和工业界的合作关系,为信息安全提供了产品/系统基础。
开发安全测试和评估步骤:NIAP致力于3个主要的活动来促进IT安全保障产品和系统的开发及使用:安全要求、安全产品测试以及安全测试研发。
●安全要求活动是一套由NIAP提供的服务,旨在帮助感兴趣的团体制定稳健、耐用的安全要求,并且这些要求最终可以被授权实验室采纳来测试产品或系统的安全属性。
●安全产品测试活动极力展示和提高在信息技术领域独立测试和认证作为安全和信任的手段的价值;使现在的这种由政府实施的评估和检测行为交由授权的私营部门实验室去完成;帮助建立起稳固的商业安全测试工业的要素;建立安全产品评估结果的国际双向认可的基础。
●研发活动的目标是通过NIAP资助的工业界合作以及研发界自身的努力,使关于安全测试方法和准则的研发称为一门尖端技术。
加强对联邦机构的监督,使其对系统漏洞和脆弱性做到实时维护,这种监督和要求对其他的系统安全保障活动也同样适用:FedCIRC(联邦计算机事件响应功能中心)是NIPC的一个计算机公告项目,它和其他CERT均可以实时提供关于最新的系统脆弱性和入侵模式的通告。应立刻对这些信息做出反应,否则它们将会失去其巨大价值。GSA将同OMB合作规定一套步骤来确保所有的机构都对FedCIRC和其他CERT的建议做到及时的采纳。该套步骤可能以DoD的(信息保障脆弱性预警)项目为模型。
制定用来确定联邦系统管理员及其他主要信息系统官员的步骤:有一些联邦安全相关工作职位是要有正式的认证才能担任的。NIST和OPM已经为《计算机安全法》的实施准备了一个培训要求指南,该指南对很多相关的安全职位做了认定。
OPM以及商务部和国防部将确定那些要求得到认证的联邦工作职位,还要规定一整套步骤用于证明一个官员是否具有熟练技能以胜任对其系统上的信息安全保障及维护,同时对于系统遭到的攻击能给予充分的响应。在规定这套步骤的过程中,将仔细考查现有的专业认证方案对联邦人事制度的适用性。
为联邦信息系统操作建议和标准制定正式的跨机构年度修订步骤:就像每年都要起草年度预算报告一样,对于联邦信息系统安全操作建议和标准的修订也应有一个年度的评估和考虑。OMB和CIO委员会将管理这一跨机构的活动的执行。欢迎工业界和外界的标准化组织以及计算机安全组织参与这一活动。
计算机安全操作建议及标准制定时间表:要为计算机安全制定或开发操作建议和标准;使联邦政府内的关键性职能依赖系统,包括对系统的采购能够采纳这些建议和标准;制定职责明确的管理系统以达到这些标准的要求。时常对标准和操作建议做出更新;和工业界合作,鼓励它们采纳或改编这些由联邦政府推荐的操作建议和标准以供私营部门使用,鼓励国际标准化团体采纳或改编这些标准。
具体见下表:
1.3 公钥基础设施:确保关键信息系统安全的公钥密码学
对联邦政府和私营部门的关键基础设施进行保护需要PKI(公钥基础设施)的开发。通过以安全、可伸缩、可靠的方式分发公钥的公共密钥密码方法,PKI确保了数据完整性、用户鉴定和认证、不可否认性以及数据保密性。PKI的潜力使联邦政府和私营部门中间催生了无数的计划和试验。联邦政府已经为PKI技术的发展做了积极推动,制定了集中各方力量来合作开发完整功能性PKI的策略。
PKI系统通过公钥证书及产生相关的状态信息来分发密钥。状态信息一般作为证书注销表(CRL)来发放。产生证书和CRL的机构称为CA(认证中心)。依靠管理证书和CRL, PKI支持数字签名和对称密钥的安全发放。
为了达到集成式的联邦PKI的目标,保护我们的关键基础设施,联邦政府正和工业界合作完成下列工作:
把各机构间的PKI互联入联邦PKI之中:DoD、NASA以及其他政府机构正积极实施它们自己的PKI项目,以保护它们的内部关键基础设施。虽然这是很有意义的一步,但却无法保护各机构边界处的基础设施。完整的保护方案需要的是集成式的、全功能的PKI。
为了促进各机构间PKI的互联,联邦PKI指导委员会(位于财政部)正开发一个联邦桥CA。各机构只要和桥CA建立一条联系后就能与接入桥CA的其他机构PKI建立非直接互联。
为了推动各机构PKI所颁发的证书的兼容性,联邦PKI技术工作组已经开发了一个联邦证书和CRL轮廓作为政府机构的指导。遵循此指导的联邦机构的用户将能够处理彼此的证书。
连接联邦PKI和私营部门的PKI:私营部门集团也正积极发展他们自己的PKI。虽然这一步是很有意义的,但同联邦部门的情况一样,这些互相隔离的PKI不能保护跨越联邦政府和私营工业边界的基础设施。
把联邦PKI和私营部门PKI相连时会遇到联邦PKI互联同样的问题。联邦桥CA机制则将促进联邦PKI和私营部门PKI之间的互联。桥CA将对外部PKI进行分析,确立起各PKI之间的关系。此举使得联邦PKI的用户能够获得私营PKI用户的安全服务。
鼓励开发可互操作的COTS PKI产品:使用PKI的团体通常只限于采用一家提供商的解决方案。这无疑会极大地阻碍PKI的发展,因为大多数组织有着不同的计算机环境。因此,必须有可供用户选择的、适合其需要的COTS PKI组件,而不是采用特别提供商提供的组件。
《PKI组件最小互操作性规范(MISPC)》规定了操作中的消息格式和传输协议以及上面提到的证书轮廓。对于详细消息格式和协议的定义将有助于可互操作的COTS PKI产品的开发。NIST和一些PKI提供商如今正参与到一系列的互操作性工作组中,演示使用这些格式和协议的PKI组件的互操作性。
验证关键PKI组件的安全性:保护关键的基础设施需要对CA和相关组件进行合理操作。向关键基础设施所提供的安全服务的质量依赖于PKI组件的安全性。PKI组件的安全性确保了关键基础设施所得到的充分保护。NIST正制定一套用于PKI组件安全性的验证步骤。
鼓励开发能与PKI合作的产品:很多希望使用PKI的关键应用程序不一定支持和理解PKI。为此,关键性应用程序需要选择COTS PKI来提供数字签名服务并管理证书。为了鼓励对支持PKI的应用程序的开发,政府正和提供商在主要应用程序领域展开合作。其中一个例子便是安全电子邮件项目已经在同工业界的联合努力中开始开发。
PKI开发时间表:建立把政府机构PKI和私营部门PKI连入全功能性PKI所必需的轮廓以及基础设施组件。发布互操作性规范以提高商业PKI产品的互操作性。建立验证过程以提高PKI组件的安全性。鼓励开发能与PKI合作的应用程序。具体见下表:
内容2:检测对政府计算机和数据进行攻击及非法入侵的多层系统
美国的国家安全、经济利益、公众福利紧紧依赖于互联系统。对系统的恶意入侵却可以使这一互联网络陷入瘫痪、破坏或改变重要的公共纪录,甚至摧毁极端重要的公共服务,比如警务、消防、应急营救活动等。公众也希望他们发往联邦政府的数据能得到安全的保护,免于非法窥探和利用。但同时,公众也期望政府尊重和支持国人的隐私权和公民自由权。因此,任何联邦政府计算机和数据保护系统在设计时必须充分考虑上述诸类重要问题。
自从1998年第63号总统令发布以来,管理机关已经研究了大量同政府级计算机安全有关的技术、法律和政策。对政府计算机系统攻击的范围及频率都在增加,联邦机构正处在保卫其计算机系统完整性的巨大压力之下。更为棘手的是,我们还无法定量计算出由于系统攻击而导致的经济及日常生活的潜在损失——它们日益依赖于政府数据和相关的计算机系统。有关联邦信息系统的巨大依赖性的实例如下:
国防部及其他政府机构所负责的国家安全;
紧急事件报警系统所发出的预警;
国家气象服务中心发布的恶劣天气预报;
国家航空系统控制的飞行路线/空中运输。
很多公共和私营企业已经开始使用各种相关产品和服务来监督其计算机系统,防止计算机病毒和(或)网络非法入侵。它们所采用的商业防护产品和方案各式各样。然而,并非所有的日常检测都可以发现并确定正在对国家重要经济利益服务造成巨大危害的非法入侵和犯罪行为。
本篇国家计划号召开发并配置计算机网络入侵检测监控系统来发现针对政府机构内部和横跨政府机构的非法或可能的犯罪行为。联邦政府正开发一个综合的框架用于保护这样的计算机系统及其信息的安全性。另外,还对正在进行的有关法律方面的评审提出议案,以期保持对宪法和法律的严格一致性。
能源部计算机安全战略
作为能源部的计算机安全巩固项目的一部分,CIO已经加强了对该部计算机安全的监督。同时,在安全和应急操作办公室的指挥下,CIO办公室正进行重组。
CIO官员制定了一个新的计算机安全计划,已于1999年9月发布。该计划涉及一个关于涉密和非涉密计算机的一致性政策的执行、在6个月内一个快速培训活动的部署、一个计算机安全体系结构的构架以及一个计算机安全工具研发项目的开展。
另外,将把位于Lawrence Livermore国家实验室的CIAC(计算机事件咨询功能中心)的工作人员由7人增加到25人。CIAC将新承担对安全进行监控以及提供病毒早期预报的责任。
在下两个财政年度(2000年和2001年)中,加强安全工作预计将耗资8000万美元,其中4500万美元用于操作性安全功能的建设开展。
具体时间表见下表:
2.1 检测入侵及异常行为的防御系统
为了检测到网络上的非法入侵或异常行为,本计划首先号召在关键性联邦系统中安装并实施高度自动化的安全和入侵检测功能模块,包括如下的4类防御检测系统:
在防火墙两边安装的入侵检测监控器,监控器要定期更新。
用于授权用户的访问和活动的规则以及一个检测程序,以确认一个明显的授权用户所出现的异常行为。
企业级的管理程序,可以确定网络上有哪些系统,知道它们正在做的工作、加强访问和活动规则并进行安全升级。
用来分析操作系统代码及其他软件的技术,以确定是否存在恶意代码(如逻辑炸弹等)以及其他类似于后门等的危险代码(不论其初衷是恶意的还是善意的)。
有必要声明这4类安全控制并不是保护网络的必需方案。但是,我们把它们看作是多层构架的、在风险和花费之间达到全面平衡的安全方案的几个重要组成部分。
上面提到的4类系统中已有一些进行了商业化。大多数商业程序还是第一代,在很多安装了这类商业程序的系统中,仍需要大量的人工监控以及其他参与。
本计划号召在联邦关键信息系统网络的如上4类防御检测系统中的合适地方安装同类产品最优程序。政府可能还将联合私营部门以及各州和地方政府,通过信息共享和分析中心(ISAC)对这类系统做出评价。
2.2 用于对攻击数据进行分析及关联的政府级系统
防御检测系统本身并不能提供对关键性联邦系统的足够保护。在现今,几乎所有的应用程序中,入侵检测监控器安装在个人系统或网络上,报警后,系统提交的报告通常比较模糊或者内容过于有限。当一个网络被一种新的技术攻击后,另一个网络可能要花上几天才能知晓这一攻击技术,几个星期后才会得到防御软件,在这期间,关键系统的这种脆弱性一直存在。因此,我们需要一种对入侵数据进行分析和关联的政府级系统,该系统还要具有迅速发布攻击信息的能力。
在目前的防御检测系统的技术水平上,人工管理和分析对于从大量的数据流中综合入侵信息是至为重要的。为了解决这一问题,我们的计划号召入侵检测系统网络以及分析中心进行合作,以对攻击进行检测,任何一个系统被发现受到了攻击,有关攻击的警告词汇立即就可以引起其他站点的注意。
2.2.1 政府级系统的三个要素
我们所建议的政府级网络将包含三个参与要素:第一个用于国防部(DoD)和其他的国家安全团体;第二个用于非国防性质的部局(称为联邦民事机构);第三个向以上两种系统提供信息。目前,这些系统中的两类——JTF-CND和NSIRC已经得到了配置。
计算机网络防护联合特别任务中心(JTF-CND)(见第C节“目标2”中的详细讨论):国防部已经在其中央分析单元内成功地配置了一个网络安全监控器和网络入侵检测系统的联合系统。
联邦入侵检测网络(FIDNet):本篇计划号召在国防部的入侵检测技术以及其他安全技术的基础之上创建联邦入侵检测网络(FIDNet),以保护非国防的联邦系统。该系统由总务管理局(GSA)运行,同联邦各民事机构展开协调。FIDNet将把覆盖关键性联邦民事系统的入侵检测监控器和一个位于GSA的系统异常中央分析器连接起来。
国家安全事件响应中心(NSIRC):负责在国家安全机关需要隔离、控制以及解决危害国家安全系统的事件时对其进行专业协助。
2.2.2 协调对入侵检测系统所面临的公共问题的研发
针对用于入侵检测、分析和和响应的工具以及技术的不断研发将对于我们在本小节所提出的政府级系统的最终成功有着非常重要的意义。本篇计划号召联邦研发力量对入侵检测进行关注以取得如下目标:
入侵检测(ID)报告格式和内容的开放标准:我们需要一种有关途径,使不同的监控器能够共享以公共格式的形式提交的信息,从而便于对这些信息的联合分析。在国防部高级研究计划局(DARPA)的公共入侵检测框架之下,Internet工程任务组(IETF)已着手此项工作。
用于数据分析的自动化及人工智能(AI)工具:我们需要更好的自动化工具来帮助熟练的人工分析员准确、实时地确认入侵。
用于系统评估的评估标准/优越性准则:我们需要拥有有效的手段来衡量一个入侵检测系统的性能究竟如何。
2.3 FIDNet:一种政府计算机的“防盗警铃”
在文件箱中,人们用锁和防盗警铃来保护重要的信息。FIDNet就是这样一种用于政府计算机敏感信息保护的防盗警铃系统。
FIDNet是“系统中的系统”,它将向该系统中的参与机构提供联邦民事级的入侵检测、防范以及响应服务。FIDNet将把入侵检测监控模块(包括技术和人力)连入到自动化系统中,用来向位于GSA的中央分析中心报告数据和系统异常状况。如果出现可能的犯罪活动,FIDNet工作人员将通过NIPC来通知FBI。
联邦民事机构正在对入侵检测监控器以及熟练的技术人员进行投资。FIDNet将把各参与机构的模块连到一个大系统中,使这一系统大到一种单个民事机构所无法获得的规模。这包括:
位于GSA FedCIRC的分析工作班子,将同各机构计算机安全专家合作,评审入侵报告,以及针对未来的可能入侵而提供防范手段的建议。
各参与机构和中央分析工作班子之间的安全通信。
在软件升级后对其进行验证以消除脆弱性的系统(“补丁”)。
为提高系统可靠性和安全性而对系统状态、相关行动所做的更新。
FIDNet将向联邦系统管理员提供实时的功能模块来分析事件数据,然后对各级系统的安全性和可靠性保障措施做出改进。
2.3.1 FIDNet的优越性
FIDNet提供了高度集成的联邦民事功能模块以保护关键联邦信息基础设施。它将有助于确保美国政府的正常运行以及全美国人民通信的保密性。预计中的其他优越性还包括:
加强了各级系统和联邦机构间对入侵及可疑事件的关联。
响应速度有了提高:所有的事件关联和响应均设计成在“Internet时间”的概念上进行操作。
对攻击的检测在时间和空间上都得到了更好的扩展:某些窃取机密的攻击事件,称为“低度飞行者(low flyers)”,其攻击行为尤其低于大多数检测系统的门限(即把它们的网络数据包分散在一个充分宽的范围之内),从而可以躲过检测系统。但范围更为广阔的数据关联以及集中化的数据分析和挖掘将极大地改善入侵检测技术的检测能力,而且这种应用正变得越来越普遍。
2.3.2 FIDNet和对公民隐私与自由的保护
要进行法律方面的评审工作,以确保FIDNet的设计、操作以及全面的FIDNet观念仍在支持公民的隐私权并符合《电子通信隐私法》(ECPA)及其他的相关法律。
司法部组织的法律预评审认为FIDNet的观念严格地符合了ECPA的隐私条例(正如其表现出的那样)。正式的法律评审将包括OMB(管理和预算办公室)及其他联邦机构的参与,目前正在进行。
关于FIDNet的其他主要法律观点包括:
FIDNet感应器将不会监视私营部门的系统或其他非联邦政府所属的系统。该系统只是联邦政府自己的计算机入侵检测网络,而不是在其他大企业中运行的网络。FIDNet的任务是提供一种机制来更好地保障联邦政府自己的数据系统和网络的完整性。
FIDNet不是由FBI或其他任何执法机构管理的。事实上,它是一种由GSA(总务管理局)和非国防部的联邦机构管理和提供的服务。
2.3.3 FIDNet的执行
FIDNet的配置同如下的考虑因素密切相关:
FIDNet只是多层的、政府级的信息保护系统中的一个组成部分:对联邦系统的保护需要很多步,包括对人员的培训、标准和操作建议的开发以及每一个部门和机构为改善安全状况而采取的行动等。
联合项目管理:在GSA的领导下,FIDNet联合项目办公室将包括一个跨机构的管理小组,其成员来自于国防、情报、技术、执法、隐私管理、立法部门以及消费者机构。它们共同完善系统的参数并向私营部门信息系统安全提供商进行咨询,以开发专用设计参数等。
前进中的法律评审:持续的法律评审将确保FIDNet的设计和执行永远符合隐私权的法律和原则。一个跨机构的工作组,包括各个具有联邦隐私法司法权的机构,正在进行这种评审。
研发:要想完成FIDNet所有的操作功能,就需要有关注自动化事件分析、可视化、数据挖掘以及网络检测工具的新技术的出现。
内容2时间表如下:
内容3:建立、维持、协调稳健的执法手段以及情报功能,以保护关键信息系统,保持与法律的一致
围绕着国家基础设施保护中心(NIPC),联邦政府正在开发一套用于向国家提供实时攻击威胁警报及响应的系统。该系统的其他组成部分是FedCIRC、情报共同体以及NSIRC。国防部的JTF-CND也是其一部分。这一系统还需要私营部门中的信息共享和分析中心(ISAC)的补充,对此的讨论见私营部门计划部分。
3.1 国家基础设施保护中心(NIPC)
PDD63授权FBI内先前的组织——计算机调查和基础设施威胁评估中心扩张成为一个大规模的国家基础设施保护中心(NIPC)。PDD中说明NIPC“应该成为一个国家的关键基础设施威胁评估、预警、脆弱性及执法调查和响应实体”,并且进一步声明NIPC的任务“将包括提供及时的国际威胁警报、综合性分析以及执法调查和响应”。
PDD把NIPC放到了对威胁和攻击的政府预警、威胁调查以及响应这一系统的核心位置。NIPC是收集基础设施的威胁信息和“促进和协调联邦政府对事件的响应”的焦点机构。NIPC还负责“减轻攻击后果、调查威胁以及监督重建工作”。然而,PDD还进一步说明,根据国外威胁/攻击的性质和水平、各特殊职能机构[司法部(DOJ)/国防部(DoD)/中央情报局(CIA)]之间制定的协议以及最终的总统决议,NIPC可以被放到直接支持国防部或情报共同体的位置上。PDD进一步规定了NIPC应该包括“负责报警、分析、计算机调查、协调应急响应、培训、推广以及技术工具开发和应用的各个组成要素”。
NIPC担负着从所有相关资源处收集和传播信息的重要作用。于是,PDD要求NIPC“在进行分析并将报告以合适的格式提交给联邦以及各州及地方政府、关键基础设施所有者和运营者、私营部门信息共享分析实体之前,对执法和情报信息做出过滤处理”。NIPC也负责“向任何私营部门信息共享和分析实体以及所有者和操作者”发布“攻击警报或危险状况恶化的警戒通知”。
为了完成这些目标,NIPC正在广泛的政府和私营部门实体中建立一个关系网。PDD考虑了几种途径。第一,它指明中心将“包括FBI、特工处的代表以及其他对计算机犯罪和基础设施保护具有丰富经验的调查者,还包括具体从国防部、情报共同体、指挥机构来的代表”。第二,NIPC将“同政府的其余部门,包括预警和运营中心以及任何私营部门信息共享中心实行电子化方式的连接”。第三,所有的行政部门和机构被要求“同NIPC合作,在法律允许范围内应其需要给予帮助,提供信息和建议”。第四,所有的行政部门和机构也被要求“在法律允许的范围内共享NIPC提供的关于攻击威胁和预警以及对关键政府和私营部门基础设施实际攻击的信息”。为确保这些信息不被阻碍,在处理计算机攻击时,这类信息是刻不容缓的,PDD授权NIPC“建立其自己同私营部门的信息共享和分析实体的直接联系”。NIPC分为3个部门:计算机调查和操作、分析和预警以及培训、推广和策略。
作为本篇国家计划中其任务的一部分,NIPC将做如下工作:
对基础设施运营者的推广:NIPC的培训、推广及策略部门正制定一个综合性的推广计划和针对每类基础设施的二级计划,该推广计划中将开展这一工作以及PDD63中提到的特别推广任务。计划中含有种种推广活动,包括联邦机构、法律实施部门以及DoD同私营部门的接触;向企业和工业协会领导的推广;同其他已和私营部门建立联系的各级政府和准政府实体之间的合作等。推广计划的目的就是把NIPC与现有的政府部门-私营部门互作用的机制和途径连接起来,并在没有这种互作用机制的地方对推广资源进行关注,从而创建这种机制,最终在NIPC和每个基础设施之间建立起高效的信息流。部门联络官和部门协调中心将同NIPC协同工作以执行这一推广计划。
NIPC正开发KAI(重要资产行动)项目。KAI将建立并维护每个基础设施部门(比如高压输电网、通信交换节点等)中特殊“重要资产”的数据库,并维持和每一资产的“接触点(point-of-contact)”。KAI的目标是:
●确定并把重点基础设施资产输入数据库;
●建立同资产所有者和操作者的POC(接触点)及联络;
●协助应急计划的制定。
如果服务或产品的丧失及失败会导致影响广泛且严重的社会经济后果,那么提供这些服务或产品的单个组织、组织集团或者系统都将被视为重要资产(列为8类关键基础设施部门之一),从而成为KAI的目标。
最后,项目将包括对每一司法机构和示范单位的响应计划做出演习测试,以决定一次攻击对特定资产造成的影响。FBI区域办公室(FBI在国家各主要区域的负责组织——译者注)将负责制定各自管辖权限内的资产列表,NIPC负责维护这一国家数据库。项目将在与部门协调中心、部门联络官、国防部以及其他机构的协调下开展。因为重要资产对于物理和计算机攻击都存在脆弱性,所以KAI以及相关的响应计划对这两种攻击都会考虑到。而且NIPC将会同国家国内战备办公室(NDPO)密切合作,确定对基础设施的物理威胁。
InfraGard项目:NIPC正在建立同工业界的有效通信线路,用于实现威胁预警和其他信息的共享。InfraGard项目的设计希望在国家和地方的级别上均实现私营和公共部门的信息共享机制。它的目标尤其在于:
●为各成员提供迅速、有价值的威胁咨询、预警和警告;
●增加提交给地方级FBI区域办公室(用于协调、调查以及追究)和NIPC(用于国家级的分析和警告)的基础设施威胁信息以及事件报告的数量和质量;
●改善InfraGard成员、相关的地方FBI区域办公室、NIPC之间关于基础设施威胁、脆弱性和互依赖性的互作用和信息共享;
●遵循所有权、法律和安全要求,对InfraGard成员、相关的地方FBI区域办公室、NIPC之间所共享的数据进行防止计算机及物理性威胁的保护;
●为各成员提供关于基础设施脆弱性和保护措施的教育和培训论坛。
在2000年,FBI将在全国范围内扩展InfraGard项目。这种扩展包括:安全报警网站的开发,从而为各成员提供有关最近入侵的信息;对基础设施保护的研究;成员间安全通信的能力保障等。这将使NIPC迅速获得美国工业的有关受攻击信息并立即采取响应。这一项目旨在对部门联络官和部门协调中心建立的威胁预警网络所发布的报警信息进行补充和放大。
脆弱性评估/分析以及信息共享:分析和信息共享处将负责分析所有的资源信息。基础设施分析(如各部门依据PDD63所做的评估)、威胁分析(如情报共同体做出的他国或恐怖主义集团威胁分析)以及最近的情报(来源于调查机构、管理机构或私营部门的报告)都将汇总在一起,产生基础设施险情评估。这些评估形成了各类成果,包括预警和咨询、《基础设施保护摘要》以及各种主题电子报告的基础。这些成果将通过监察与预警处向政府和私营部门层层分发。NIPC将在2000年首先从电信部门和能源部门开始进行险情评估。
观察和预警:观察和预警处(WWU)负责监督所有的资源报告,它是信息的收集点。WWU将从开放资源、当前调查、情报资源以及其他机构处收集和传播计算机入侵和与基础设施有关的信息,也可以从各种各样的CERT和任何与NIPC合作的私营部门信息共享和分析中心(ISAC)处获取信息。NIPC将起草并向联邦政府、各州、地方执法部门及私营部门等传播这些涉及计算机威胁和事件的预警以及告诫。当恐怖主义集团可能成为威胁事件的组织者时,它将会同FBI的恐怖主义威胁警告系统合作。WWU的目标就是,确保所有的关键基础设施资产都已经及时地得到了关于威胁警告、报警以及告诫的通知。
由WWU收集的信息将被立即分析以确定大规模的攻击是否已经开始。如果NIPC确定了一次攻击正在进行,那么它可以使用一整套机制向联邦政府和私营部门的适当团体发出已过滤和未经过滤的预警,使它们可以采取及时的保护措施。这需要对报告和过滤的步骤进行设计,还需要信息收集和发布的机制,因此不是一个简单的过程。NIPC目前正在对这些步骤和机制进行研究。
NIPC还负责改善电信线路以促进威胁预警向工业和所有政府机构的发布。通信所依赖的现有机制包括执法在线和国家执法通信系统(NLETS)来通达各州和地方执法部门。其他的机制有:NIPC的Web主页、国家安全意识发布和响应系统(ANSIR)以及可以到达联邦、各州及地方政府和一般公众的其他机制。NIPC将继续研究开发新的途径使预警和威胁咨询能够到达不依赖于上述实体进行通信的实体。NIPC的长期目标是开发一种尽可能利用所有现有通信机制的综合预警系统。
当NIPC成熟后,WWU将继续确认其他合适的咨询和预警接收方,继续做出对其所收集到的最重要信息进行强调的每周报告(如上所述)。NIPC工作人员正在制定一套用于私营部门和政府实体间信息共享以实现相关信息和分析传播量最大的指导方针和方法。NIPC计划中包括了对WWU的重新选址——它原来和FBI的扩展后的战略性信息和运营中心相邻,还包括把国防部和情报共同体的分析并入NIPC之中以及获得其他的技术资源。目前,WWU保持着对一般操作进行的每周5天、每天16小时的监察频率。一旦其他的政府机构人事安排上马,它就计划在1999年以每周7天、每天24小时的频率工作。在这之前,如果发生任何危机事件,它将使监察中心立刻投入24/7的运行频率之中。
计划制定和协调活动:NIPC正在协调执法部门保护计划的制定。已经指定了相应的部门协调中心,部门的时间计划也已制定并提交给了CIAO。
计算机威胁调查和响应:NIPC提供了促进并协调联邦政府对关键基础设施攻击事件进行响应、减弱攻击、调查威胁以及监控关键性计算机资产重建的手段,包括政府所依赖的电信和计算机网络。NIPC是协调危机管理、响应关键基础设施攻击的政府领导单位。
NIPC的国家任务已经被引入进了一个新的调查性项目中,称为国家基础设施保护和计算机入侵项目(NIPCIP)。该项目包含在FBI反恐怖主义处中。NIPCIP小组在FBI区域办公室中负责实施对计算机入侵的调查并对威胁做出响应,同时依照《国外情报收集和国外反情报调查司法部长指导方针》进行情报收集工作。在10个大城市的区域办公室内,FBI设置了计算机犯罪小组。而且,每个办公室内还包括一个NIPCI小组。在未来的几年内,FBI的目标是在所有的区域办公室中设置NIPCI小组。
作为危机管理模块一部分,NIPC能够对可能的违法、危害国家安全或危害国家基础设施的事件做出响应。NIPC的工作人员具有非常高超的计算机和信息安全技术及知识,还具有熟练的犯罪调查和国家安全调查经验。NIPC的目标是对于最初的危机迅速反应、依据事件的性质施以适当的法律措施或国家安全战略。为此,NIPC成立了一个网络应急支持组(CEST),一旦人员配备完成,就能立刻投入部署。
培训负责基础设施保护的联邦、各州以及地方级别官员:FBI计划在NIPC和各区域办公室的管理层中增加受过技术培训的调查员的人数。1998年,NIPC在其他执法部门中培训了170名FBI特工和17名代表。计划在1999—2000年度培训超过500名执法人员(联邦、各州以及地方上的)。其他培训机会包括由各私营部门提供的信息安全专业课程等。FBI还正在扩展其计算机法学项目,并在每个区域办公室设置了至少一名全职的计算机法学检查员。
在与NDPO(国家国内战备办公室)的联合下,NIPC将推广其对地方上的第一时间响应人员以及州和地方基础设施执法部门的培训工作。NIPC正在试图培训美国50个州和哥伦比亚特区中任何一个州政府级调查机构中的调查员,并在每一州级调查机构中培训至少一名培训员。NIPC还试图培训重要城市首脑协会代表城市和重要郡县警长协会中的调查员,而且已经就此事向国际警察首脑协会和国家郡县警长协会做了咨询。更大规模的培训包括在一门1999年发起、跨时1周的实用课程上培训出500名州和地方执法部门人员。
NIPC正制定其演习项目以测试美国政府各机构和基础设施部门操作员在面临基础设施危机时的反应。1999年间至少开展1次演习项目。
3.2 FedCIRC(联邦计算机事件及应急响应功能中心)
我们对于跨机构的事件处理功能的需要从来没有像现在这样强烈过。位于总务管理局(GSA)的FedCIRC(联邦计算机事件及应急响应功能中心)是一个由计算机事件响应专家、安全专家以及执法专家合作组成的机构,用于处理计算机安全事件并为联邦政府提供事前和事后的安全服务。
FedCIRC的首要目标是,提供相关的途径,使各联邦机构能够实现合作以共同完成下列事项:处理安全事件;共享相关信息;解决共同的安全问题;同NIPC、JTF-CND以及NSIRC协作。这种机构间合作的焦点是为未来的基础设施保护战略制定计划并处理威胁到关键信息基础设施的犯罪活动。
FedCIRC通过如下手段来完成其目标:
向联邦民事机构提供技术信息、工具、方案、协助以及指南;
提供联络和分析支持;
通过与联邦民事机构、国防部、学术机构以及私营工业建立的合作关系,鼓励高质量产品的和服务的开发;
提高政府IT资源最高安全轮廓;
提高联邦政府内的对事件响应和处理流程的认识;
为有效防止、检测、处理计算机安全事件并进行有效的事后恢复,培育各联邦机构间的合作关系;
提供通信手段,使关于潜在威胁、事件状态的报警和劝诫信息能够传达;
增强其他联邦机构的事件响应能力;
促进与安全相关的信息、工具以及技术的共享。
FedCIRC的合作系统已经一致同意将其收集、编纂并分析过的信息进行交流,使联邦政府能够保护其资源,防止针对关键性信息处理系统的攻击或者在事后能对资源进行迅速恢复。
3.3 情报共同体在信息共享中担当的角色
情报共同体(IC)由13个机构或其下属单位组成,其保护信息系统的活动多种多样。
IC对保护整个联邦政府和国家的信息系统起着重要的作用,它的任务是收集、分析并发布关于国外威胁的情报。这既包括外国政府和非政府部门的计划、意图等战略性信息,也包括攻击即将发动(即预警)和攻击正在进行的战术性信息。国家已经建立了向国防部和包括NIPC在内的其他联邦用户发布这些情报的机制。IC支持最大可能的信息共享,在保护其资源和工作方法的限度内发布所有可能的情报。
另外,IC各机构还对NIPC的工作进行支持,包括收集基础设施威胁信息、改进并协调联邦对于事件的响应、减弱攻击、调查威胁以及监控事后重建等。IC官员被选派到了NIPC去,以促进信息共享并征集各种要求。NSA负责很多联邦信息安全工作,它将对特别事件中的数据进行分析,从而给予NIPC进一步的支持。
3.4 国家安全事件响应中心(NSIRC)
NSIRC是NSA为了对付给美国政府的国家安全信息系统造成巨大冲击的计算机事件而成立的焦点机构。NSIRC可以实时地发布美国信息系统的威胁警报,向国防和民事机构提供专业帮助,从而隔离、控制以及解决对国家安全系统造成威胁的各类事件。
NSA向其客户/合作者提供的服务是独一无二的,因为它有能力对严重的入侵事件进行深度的技术分析,而且它是唯一可以把入侵数据同外国信号情报
进行联合,从而实施分析的机构。NSIRC将提供计算机攻击威胁警报以及技术响应,其目标是基于关联和融合后的信息做出威胁和脆弱性的实时报告,并把这些报告向其客户/合作者提供,另外,还通过计算机诊断法为这些客户和合作者提供专业技术分析报告。
NSIRC将把其分析及开发力量投入到国家级的网络防御实体上,如NSC、NIPC、JTF-CND、DISA(国防信息系统局)以及FedCIRC。NSIRC如今管理着一个包含国防部及很多民事机构计算机攻击事件的数据库。从1998年到现在,该数据库记录了5700次计算机攻击事件,攻击源头既有国外的也有国内的。NSIRC基于这一数据库来发布警报和威胁咨询,警告政府网络防御机构注意那些有可能是系统攻击源的IP地址(即“坏地址”),或者注意新的或已有的黑客组织以及不同寻常的黑客攻击行为等。
NSIRC由4个部分组成,它可以借助NSA中的任何部门来支持网络防御的需要。4个部分分别是:信息保护单元,在NSA的国家安全运营中心内,每周7天、每天24小时运行;网络利用报告和分析处,提供网络事件的全面资源分析;网络入侵分析功能部,提供计算机诊断分析,向客户介绍尽可能详细的黑客入侵技术;最后,还包括一个威胁评估处,为美国电信和信息系统提供全方位的威胁评估。
内容3时间表如下:
使执法、情报部门及其他联邦组织共享脆弱性信息、威胁信息以及预警的活动时间表
内容4:快速共享攻击威胁警报和事件信息
信息经济极大地依赖于高度互联的系统。恶意入侵不仅仅限于攻击单个系统;病毒可以通过多个网络快速传播。为了有效地对付这些威胁,国家需要一个能够快速共享关于现行入侵或可能入侵的信息的系统,该系统还要能够使即将到来的计算机攻击的迹象信息和抵御攻击的方法得到快速共享。
联邦政府在此时的角色包括既要提供联邦的信息共享功能,也要鼓励非联邦实体(私营部门以及州和地方政府)组织起来实现有关攻击威胁和事件信息的高效交流。特别是,联邦政府将:
继续巩固NIPC作为联邦信息共享中心的角色;
鼓励私营部门信息共享和分析中心的开发(ISAC);
通过FIDNet、NSIRC以及JTF-CND自动共享联邦政府间的高度可疑事件以及攻击数据。
4.1 巩固NIPC作为联邦威胁和预警信息共享中心的角色
当前,我们需要对入侵、威胁以及非授权攻击的信息做更多更好的处理工作。通常是系统管理员第一个发现非授权入侵和攻击的迹象,在联邦政府和私营部门中都是如此。系统异常和其他事件数据可以视情况发给各ISAC(私营部门中)、FIDNet(联邦民事机构)以及JTF-CND(军事机构)。而且,根据PDD63,私营部门和美国政府实体还均应就这些信息直接同NIPC或当地的FBI区域办公室联系。
提供给NIPC的非授权入侵和攻击的信息可同情报、执法方面的信息以及开放资源和NIPC所掌握的其他信息结合在一起。对所有的资源信息作集成和分析时将考虑到对那些无法仅由技术手段就能完成的入侵行为和模式的检测。
联邦系统已经成为了很多入侵行动的首选目标,因此,对涉及联邦系统的入侵事件进行充分分析并做出能被广泛共享的深度结论就成了当务之急。国家计划号召继续加大步伐以确保有关联邦计算机系统遭非法入侵的情况能够汇报给NIPC,并能得到恰当的共享。还要努力满足下述要求:
所有的行政机构都应该同NIPC共享有关威胁和警告的信息以及针对政府和私营部门关键基础设施而发动的现行攻击的信息。
OMB(管理和预算办公室)和各机构的CIO对于向NIPC提交事件信息应持有明确的指导方针,还应对系统管理员进行培训,这些措施将提高消息的数量和质量,从而便于分析和结果共享。
在FedCIRC、其他的联邦计算机应急响应中心(各CIRC和CERT)以及NIPC之间实现有效的协调,这将促进联邦系统事件信息的完全共享。CIAO和GSA(管理FedCIRC的机构)将在2000年为各联邦CIRC/CERT召开一次白宫会议,推动各组织间的协调和公共操作标准的发展。
NIPC将持续发布分析结果并使其得到共享。这些分析结果不但包括InfraGard报告,还包括每日报告和双周报告以及威胁状况特别通知。
FAA计算机安全事件响应功能中心(CSIRC)
FAA(联邦宇航管理局)计算机安全事件响应功能中心(CSIRC)是一个集中化的报告和监控功能中心,它将确认、评估信息系统安全(ISS)事件并对其做出响应。CSIRC功能体将横跨各类FAA商业线路,为所有类别的FAA信息系统[国家空间系统(NAS)、任务支持或管理系统]提供保护。它的三个主要功能是事前措施、事件报告和响应以及灾后恢复。1999年建成了初步的运行能力,2000年将在少数几个系统中建立全面的运行能力,在未来的几年中,将加大投资以在所有的FAA信息系统(NSA、任务支持和管理系统)中实现全部功能。
事前措施
通过与其他部门和组织中的类似功能机构的协调,CSIRC将发布与FAA系统有关的咨询、公告以及报警。同时,向FAA办公室提供技术协助也属于此类措施的范畴。
CSIRC将负责FAA范围内的入侵检测并由FAA管理机关授权对所有进入FAA设施的网络行为进行全天候拦截。CSIRC将监控和分析入侵检测的数据以确认安全弱点和非授权活动。
事件报告和响应
CSIRC将充分地利用计算机事件响应小组(CIRT)。这个小组在处理入侵和计算机事件方面受过专门训练,它由计算机专业人士、计算机技术科学家、工程师和现场系统专家组成,为系统管理员提供电话帮助,而且必要时可以赶赴现场协助进行灾后系统恢复。区域现场系统专家精通于对影响NAS的区域紧急事件和故障进行响应,而且,就其本身而论,这是CIRT任务的主要部分。
灾后恢复
CIRT将提供灾后恢复帮助。它将对所有破坏进行评估并记录。
4.2 推动ISAC的建设
本篇国家计划号召并鼓励为私营部门和州及地方政府建立信息共享和分析中心(ISAC)。ISAC将在各公司以及州和地方政府间实现信息共享,或从政府处接收警报信息。
对于愿意建立ISAC的公司和非联邦实体来说,ISAC是一种向联邦机构通知攻击信息的自愿性机制。在通知联邦机构前,ISAC可以事先“过滤”这些数据(比如,把受攻击目标的名字删去)。然而,我们鼓励各公司把攻击数据直接报告给NIPC。
联邦政府在ISAC的建设中担当如下一些角色:
共享威胁和脆弱性数据及攻击信息:联邦政府对于确认和矫正脆弱性具有深刻的洞察力以及丰富的经验,对入侵反应具有熟练的技术。联邦政府的这些信息将在各可信非联邦实体间共享,例如ISAC。这些可信非联邦实体将利用这些信息改善私营部门和州及地方政府的计算机安全性。
法律变革:很多公司愿意和联邦政府或其他公司共享安全信息,但它们在考虑到信息保护或由此产生的责任时则往往望而却步。欲组织ISAC的公司在反托拉斯因素下也会打消其念头。很多公司尤其担心其透露给政府的信息会在《信息自由法》(FOIA)的要求下被迫向公众透露。于是,在1999年7月CIAO和司法部发起了一次白宫会议,专门来探讨这些问题。当前,一个工作组正在研究确保私营部门信息保密性的解决方案。
还有另外的类似工作也在开展,这些工作希望能开发出可以解决私营部门上述顾虑的方案。
启动支持:认识到某些私营部门在建设ISAC时需要支持,处于领导地位的联邦各机构将在2001年的预算中拨出一部分用于协助ISAC建设。但是,联邦政府对ISAC启动的任何支持在规模和时间上都是有限的;ISAC的用户——私营部门和州及地方政府,必须愿意对ISAC提供必要的长期支持。
4.3 通过FIDNet和国防部的JTF-CND进行信息共享
在现有的技术下,系统异常(恶意入侵的征兆)的分析主要基于人力,系统范围内的响应也是如此。持续的研究和开发是FIDNet的重要工作,旨在开发自动化和人工智能工具,提高事件分析的速度和准确性。
另外,随着以后的发展,对攻击的洞察将更为深入,不仅仅只是提供攻击的事实,还有可能需要提供攻击的过程、采用的技术以及摧毁攻击的途径等信息。分析单元将能够开发出系统“补丁”来阻挡攻击。通知和响应等过程,包括补丁的安装,最终将在很大程度上实现自动化。
根据隐私和执法要求的许可,FIDNet和JTF-CND的事件检测系统将同FedCIRC一起共享事件数据。如果事件数据表明需要采取法律行动,那么这些数据将会被交给NIPC。
内容4时间表如下:
内容5:国家范围的响应、重建和恢复系统
信息战攻击的规模大小不限。攻击可能作用于整个公司或机构,也可以是整个经济部门,还可以是国家的某一区域甚至国家本身。根据从JTF-CND、FIDNet和工业集团的ISAC处得来的攻击数据,NIPC将和联邦机构以及私营部门合作以确定一个正在进行中的攻击的规模。
一旦一次广泛的攻击得到确定,中心将和执法部门及其他相关机构一致合作来响应该攻击,包括向系统管理方发出建议,从而:
阻断可疑用户的访问通路;
实行特殊“防御状态”安全警戒;
针对攻击采用的技术,应用新的安全软件“补丁”;
隔离网络的某些组成部分;
中止某些网络运行;
启用紧急事件下的接管系统。
与此同时,执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。我们鼓励私营部门和执法部门之间就攻击响应行动多做磋商,以免私营部门的行动对入侵调查造成不必要的阻碍,防止抹掉入侵者的属性特征甚至耽误对侵略者的起诉。
政府的目标以及我们对工业界的建议是,每个关键性信息系统都要准备响应计划,这些计划中要包括为如下响应行动所作的准备:迅速启用其他的防御措施(如更为严格的防火墙要求);在某些预定情况下关闭部分网络(通过企业级的管理系统);把最小化基本操作交由“干净”系统运行;迅速重建受感染的系统。
在很多情况下,企业和机构的恢复计划只集中于或主要集中于物理破坏:洪灾、暴风雪或爆炸等使总部瘫痪的事件。在这些计划中,作为替代的总部将接替原总部的运行,仍继续把各种指令发往各公司或机构的信息系统网络中。现在这些计划中通常包括“备份”计算机数据库,用于在总部系统不存在或无效的情况下。
如今,恢复计划还必须能够应付所有或部分信息网络本身被破坏的情况。这时,一定要有替代的方法用来传送最小量的重要信息。专家组要立刻赶到以协助重建工作,包括分析导致网络瘫痪的软件错误以及设计代用方案,还要负责网络重启。
5.1 建立在Y2K事件(“千年虫”)的防御基础之上
2000年计算机系统转换及关键信息系统保护计划对国家迅速掌握重建关键性计算机系统的能力提出了要求。千年虫防御的计划者们为那些在千年的过渡期有可能出问题或被攻击的关键基础设施系统做了很多准备。一个联合了联邦政府和私营部门的资源的国家系统得到了创建,目的是在千年过渡时监控、协调和帮助重要计算机系统的重建,如果有必要的话。
这个国家级的重建系统是对联邦响应计划的补充。在联邦响应计划中,联邦应急管理局(FEMA)被指派为应急处理设施的领导机构,在总统宣布国家进入紧急状态后负责全面的灾后管理事项。联邦响应计划涉及了Stafford法案以及其他的相关法令。但是,这些机制没有谈及对那些受到计算机攻击或在千年虫问题中受影响的信息系统的重建。这些联邦响应机制仅仅是为处理计算机事件中的物理和社会后果而设计的。
我们需要对联邦响应计划的机制做出补充,那就是,我们的国家要具备一种在巨大破坏发生后仍能维持政府和私营部门重要系统运行的能力。
2000年过渡和国家协调员总统会议主席汇集了各方的努力来发展这种重建能力。总统委员会建立的信息协调中心(ICC)与关键基础设施保障办公室以及其他致力于保护关键基础设施的研究所进行了密切合作。在PDD63中,总统曾号召建立公共-私营部门的合作关系来保护国家的关键基础设施。CIAO负责协调这篇国家计划的发展并分析联邦政府对各关键基础设施的依赖关系,还处理政府内的有关法律和公众事务,另外,相关的教育和培训活动也由其负责。于是,安排CIAO和ICC之间的工作力量就成了我国千年虫防御工作的主要部分。
千年虫防御系统的主要组成部分如下。
信息协调中心(ICC):ICC的工作包括在联邦政府和公共及私营部门的主要实体间实现信息共享;协调各机构对可能给国内外美国利益造成负面影响的千年虫事件相关活动所进行的评估。
●不论是公共还是私营部门,在2000年的过渡过程中均有一定的信息需求。ICC负责报告联邦重要计算机系统和关键基础设施在2000年过渡期的运行状态。另外,ICC还报告国内外主要部门中的联邦机构及部门工作组所确认的关键系统的运行状态。
●这一报告系统的主要特点是ICC和基于私营业的各个国家信息中心(NIC)。在千年过渡阶段,超过14个NIC提供了主要工业领域的相关活动细节。这些NIC涵盖了零售业、航空运输业、天然气工业、食品生产工业以及能源工业等领域。专为千年过渡而建立的计算机保障NIC包括了计算机元器件业、计算机安全和Internet等领域,它致力于Internet的蓬勃发展,并努力发展同外界的关系以对其他的关键基础设施提供支持。
●如果在千年过渡阶段发生了严重事故,则ICC将收集各机构的紧急状态报告、监督各部门的响应,并在合适的范围内帮助对重建功能的协调。这些能力包括建立资产的清单、整理各类资源以及促进信息共享。信息收集活动有助于保护生命、财产和关键基础设施系统。ICC尤其关心有可能严重影响国家利益或公众健康及安全的千年虫紧急事件。
NIPC响应协调:千年过渡过程中,在与信息协调中心的密切合作下,NIPC随时准备协调情报和执法功能,以响应犯罪和国家安全威胁。如果发生了国家范围内的重大事件,则NIPC在PDD63的授权下可以监控重建工作,从而确保响应和重建的协调。
NIPC在2000年问题中的角色:在2000年问题中,NIPC始终保持对计算机威胁或其他事件的实时警惕,并向合适的政府部门和私营部门团体发布预警,协调政府对这些事件的响应。
重要部门的网络资源:建立在业已进行的重建准备工作的基础之上,千年虫事件(Y2K)委员会和ICC与工业协会和其他团体协同工作,鼓励在每个经济部门内建设专家小组中心。这些高度私有化的工业部门响应中心可以给予很多专家建议和资源帮助。
Y2K“黄页”和重建资源:建立在业已存在的资源材料和千年事件援助者提供的“黄页”的基础上,随着与CIO委员会的密切协调,ICC鼓励资源指南的开发,向Y2K响应者提供重建信息。
对千年虫防御的经验全面分析之后,它的重建功能可以被我们所利用。通过与其他政府机构以及私营部门的协作,我们可将其发展成一个持久性的国家计算机重建功能模块,在与NIPC的协调下对主要的计算机入侵事件做出响应。
千年虫防御机构的组成如下图所示:
千年虫防御信息流/决策过程如下图所示:
5.2 集成计算机响应、重建和恢复操作的连续性
在PDD67中,总统要联邦各个部和机构在1999年年底之前提交新的连续性操作计划。这些计划要包括在信息战攻击时能够确保运营连续性的措施。
联邦部门联络官将同各自对应的工业界合作,确保企业的恢复计划中也同时提及了信息攻击重建。跨机构的基础设施保障办公室(CIAO)将发起一次有保险业和审计业参加的白宫会议,并同它们开展持续的对话,以促进对风险管理、操作建议以及衡量标准的理解。
响应、重建和恢复时间表如下:
内容6:加强基础设施保护中的研发
6.1 关键基础设施保护研发活动
关键基础设施保护研发活动(CIPRDI)扩大了基础设施保护中的联邦研发的范围和资金。CIPRDI还通过关键基础设施保护R&D跨机构工作组(由白宫科技政策办公室领导)第一次协调了联邦政府在该领域内的工作。
CIPRDI将在5个主要的横向领域扩展联邦政府的研发工作,这些工作将直接支持所有关键基础设施保护中的各部门的特别研究需求。有两个CIPRDI项目优先级最高,其中之一是开发自动化工具,用以检测陷门和其他恶意计算机代码,另一个是开发对系统异常行为报警的相关技术。
(1)脆弱性和风险评估
开发脆弱性检测、评估以及分析工具:该研究的第一目标是确认、收集、组织以及发布基础设施脆弱性信息。第二目标是研究在基础设施的设备和系统,包括硬件和软件开发以及集成过程中避免、减少或消除脆弱性的技术和方法。预期结果包括威胁和脆弱性信息字典、脆弱性和攻击分类方法及分类数据库以及脆弱性分析技术和方法。
开发用于风险管理、性能评估、安全测试的高级工具和评测基准:该项研究将开发新的基准和衡量工具来对基础设施性能等参量作实时测量,这可以在基础设施出现重大问题之前就检测到其性能的下降。
特征化威胁及通告:该项研究关注信息与通信基础设施的数据收集和分析。特别地,这些信息将用于对威胁进行动机和源头的特征化,从而开发出可以描绘攻击者并精确定位攻击源的工具和技术。
(2)信息保障
开发高级信息保障工具:该研究将为硬件和软件组件以及他们在系统中的后续集成而开发相关工具和技术,以用于对其进行严格设计、操作、测试和检查。
开发高级安全体系结构:该研究将组织各种安全组件和服务,为信息与通信系统提供保密性、完整性和可用性。并且,该研究集中关注用于建设最小脆弱性信息与通信(I&C)基础设施的工具和步骤。所涉及的主题包括公钥基础设施、目录和证书管理、安全组件间的互操作性、新技术的安全执行政策、高级防火墙技术、包转换技术、安全操作系统(用于Internet及安全性升级时的补丁和信息自动分布)、安全体系结构的可伸缩性和最优化、远程控制系统中的脆弱性。
开发软件补丁的自动分发、安装和跟踪工具:这一项目旨在开发一套软件工具,用于在计算机系统和网络中自动化分发及安装软件补丁,并跟踪补丁的使用,对未曾正确安装或使用补丁的系统进行检测。
理解信息保障中的人力因素:该项目讨论信息保障中的人力因素,开发政策和操作建议,以减少相关的基础设施安全风险。预期成果是开发出减缓策略、操作建议以及人事方面的标准。
(3)基础设施之间的互依赖性
互依赖性的确认和特征化:该项目将确认并特征化基础设施之间的互依赖性。特别地,它将研究各种紊乱和错误在多个基础设施间传播的方式。该项目将建立在目前正在进行的一些项目基础之上,以促进对关键基础设施之间的关联、关联的影响以及关联的连带关系的科学理解。
开发高级建模和仿真工具:该项目将开发用于国家的各个互联基础设施评估时所需要的系统分析技术、建模和仿真工具以及数据库。国家级的地理信息系统(GIS)基础设施数据库将全面模拟和分析由复杂性和互依赖性而引入的脆弱性。当软件模型无法充分实现模拟时,将采用测试床(这时测试床显得尤为重要)来分析实际效果。
后果分析、风险管理、保护和减缓技术:该项目将开发对互操作性相关后果(如对国家安全、经济和社会的影响)进行评估的方法、工具以及风险管理工具。该项目还将确认现有的保护和减缓措施及技术,减少基础设施互联引入的脆弱性。这些措施的作用将从互依赖性的角度加以特征化。新的保护和减缓技术也将进行开发并试验。
(4)自动化的基础设施控制系统的安全
开发高级安全监督控制和数据采集(SCADA)系统:该研究项目将讨论同SCADA系统有关的安全问题及脆弱性,从而改善安全状况和协议。另外,还要开发新的体系结构,增强冗余度和可靠性。
(5)入侵检测和监控
开发高级人工智能软件工具用于陷门分析和恶意代码检测:该项目旨在开发高级软件工具和技术,检测并消除软件中的陷门和其他恶意代码。检测对计算机代码的有意但微小的改动是一个难题,这些工具将增强软件产品的完整性,从而减少未来计算机和网络遭到渗透和危害的可能性。
开发高级入侵及事件检测和预警技术:该研究将开发在计算机事件、服务瘫痪以及攻击中用于检测、响应和事件恢复的工具和步骤。它的重心将在于衡量标准的开发,以评估误警率、基于策略的入侵检测技术、高速网络上使用的工具和技术、可伸缩的入侵检测系统以及入侵追踪工具。
关键基础设施保护研究活动时间表:制定联邦政府关键基础设施保护R&D日程,使其成为多年度计划的一部分,并把私营部门的研究考虑进去,从而在一个较快但可控的时间段内将脆弱性减至最小。具体时间表如下:
6.2 信息基础设施保护学会(IIIP)
在研发和其他的主要技术领域,不论是私营部门的市场需要驱动还是政府各机构的任务目标,都不可能完全满足国家的要求。信息基础设施保护学会支持关键信息和电信基础设施保护研究和技术的发展,它将弥补这一缺口。
建立这一学会的思想来源于1998年12月,当时科学技术总统顾问委员会(PCAST)向总统提交了建立一个新学会来解决信息基础设施保护中的研发诸问题的提议。PCAST的总结中认为,不仅找不到专门致力于基础设施保护知识和公共技术基础开发的技术组织,而且私营部门也没有充分的市场驱动力去完全解决其自身基础设施保护中的研发问题。总统认可了建立学会这一任务的重要性,并责成科技政策委员会(OSTP)和国家安全委员会(NSC)去评审PCAST的提议,而且还要向其本人提交推荐意见。这次评审的结论认为,成立一个基础设施保护学会,既有非常巨大的实质需求,也有广泛的私营部门支持。
(1)运作理念
IIIP的成功依赖于对多方需求的有效满足:有关的政府机构和部、信息基础设施所有者和操作者、信息技术提供者、学术界、依赖关键基础设施的各公司和共同体。为满足它们的需求,学会将按如下原则构建。
学会将只有一个小型的专家工作班子:学会的主要工作是向现有的组织和机构提供资金支持并向其分配任务,这同DARPA(国防部高级研究计划局)的运行类似。这种运行模型有以下几个好处:
●提高了灵活性、质量和效率。学会可以把研究基金拨给最具天分的信息技术专家,不论他们位于工业界、学术界还是政府。而且,通过重新划拨基金,可以迅速调整研究的优先权,而不需要去克服作内部工作所带来的“迟钝”。
●避免了“砖快和水泥”式的启动耗费。因为不需要添加新的大型实验室设备。核心工作人员的规模将相对较小,尤其在学会的启动阶段。
学会将补充现有的研究,而不是对其破坏:它将同政府、私营部门以及学术界密切合作,协调其信息基础设施保护活动。学会还将为计算机保障基础,如标准和衡量基准、“测试床”规定以及课程开发提供示范和开发支持。这些支持将对联邦和私营部门的CIO提供很大帮助,那些在建的服务于州和地方政府及工业界的信息共享和分析中心(ISAC)也将从中受益。
学会将主要关注于为那些在工业和政府现有的项目中没有提及的,有时也不可能通过工业界完成的高科技领域提供基金、促进协调以及将研究进行综合。它将资助高效能的基础研究,也将资助和(或)开展更多的应用性活动,如对美国信息基础设施系统中的脆弱性进行建模并确认以及为信息保障技术提供“测试床”。这些活动中的某些部门也许是敏感性的,因此必须列为机密。学会可能强调对那些广阔的、系统之系统(systems-of-systems)中的脆弱性进行研发和分析,因为这些系统横跨了私营部门和工业界,在合力攻击下会发生大规模严重后果。另外,学会还将对有关各种基础设施之间互依赖性的研究进行资助。
通过商务部NIST的操作,学会将同工业界和相关的联邦机构结成密切的工作关系。为确保与联邦优先发展项目的协调和相关,学会将向联邦协调委员会做出报告。该委员会的成员包括总统科学顾问、OMB副主任、NSA副局长、DAPRA局长、NIST会长、NSF主管以及国家协调员(国家安全委员会)。学会还将寻求来自国家基础设施顾问委员会(NIAC)和部门协调中心的工业界指导。此外,我们呼吁私营企业和各联邦机构也能对各项目进行资助、支持或提供各种实物支援。
(2)任务和功能
学会的任务和功能将包括(但并不只限于这些):
使工业界从事于学会的顶级战略开发和项目定义。
资助、协调、集成那些鲜有提及的科技领域内的研究,将该类研究的成果向各机构适当地转让,使它们能得到应用。
为公共-私营合作和信息共享建立双向通路。
提供产品评估基准、“测试床”及工具。就这一点来说,学会同Underwriters Laboratory公司的角色类似。
对学术界提供支持,培训和教育信息保障领域内的研究者及教育者。对该领域内的支持还包括协助课程的开发和提供研究补助等。
(3)研究领域
在与政府和工业界的密切磋商并在联邦协调委员会的指导下,学会将制定并时常更新其研究日程和研发资源分配。迄今为止,在与各界(私营部门、学术界和政府专家)的磋商中,学会已经指定了很多重要的候选研究领域,包括:
物理/计算机/人力接口;
入侵监控和响应;
恶意代码预防和检测;
重建;
把基础设施特征化为端到端系统;
把信息保障确立为工程原则,包括制定工程原则和测量基准;
对端到端系统设计原型并测试;
高度复杂、非线性网络的稳健性和韧性;
基础设施互依赖性分析,包括建模、仿真以及数据库开发;
其他注意力不足的领域(比如PKI、测试、安全体系结构)。
具体时间表如下:
内容7:建立由高技术计算机科学和信息安全人员组成的核心——联邦计算机服务(FCS)培训和教育活动
受过高度训练的信息系统安全专家是联邦政府信息系统保护项目的基础。但不幸的是,在整个联邦政府、学术界以及私营部门,这些信息安全专家严重短缺。我们需要足够多的联邦高技术信息系统安全专家,为此就要有新的项目——联邦计算机服务(FCS)培训和教育活动。这一活动由5个主要部分组成,将做到:确定IT人员短缺状况;开展新的人员补充、教育和人员保持工作;向联邦业务中的专职信息安全专家进行不断的培训和认证;向所有的联邦工作人员灌输信息安全意识。联邦政府还将同私营部门合作,包括工业和学术界的机构,以决定怎样最好地扶植教员的发展,使他们能够培训出满足我们的信息安全需要的专家来。
不同的渠道都曾经反馈过信息系统人员的短缺问题。1997年审计总署(GAO)的一篇报告中记述了联邦政府内的信息系统人员短缺情况,报告中总结道:联邦政府“缺少具有管理控制技术知识的人员”。据估计,在整个国家的范围内,我们的经济将在未来10年间需要大概130万新IT人员。但令人吃惊的是,从1985年至1996年,每年毕业的计算机科学学位获得者的数目竟下降了差不多30%,这一趋势直到最近才有所减缓。我们要通过综合性的工作来训练和教育我们的IT雇员,并向所有的联邦提供基本的安全意识培训,这是亟待完成的。
在发展FCS活动的过程中,我们可以利用现有的联邦教育、培训和意识培养项目。在教育方面,国家安全局(NSA)的项目为:指定某些大学作为信息保障教育中的优秀学术中心,指定过程中参照的是国家安全电信和信息系统安全委员会(NSTISSC)培训标准中确立的原则。另外,GSA已经发起了一个CIO University(首席信息官大学)活动,旨在提高高级联邦IT雇员的知识和技能。在培训方面,国防信息系统局(DISA)已经开发了一系列信息保障培训工具,供国防部内使用,并随后对这些工具作了“量体裁衣”,使其也能在其他联邦部门中得到应用。其他一些部局也就其自身需求对这些工具做了开发和发展。国防部的DIAP(国防信息保障项目)业已制定了一个子项目,基于常规培训、岗位培训以及工作经验对国防部的信息保障工作人员进行认证。NSTISSC的教育、培训、意识培养焦点组在国家信息保障培训标准方面的工作也是一个值得借鉴的重要成果。在意识培养方面,CIO委员会已经专门责成两个机构研究这一问题。此外,我们还将向联邦信息系统安全教育者协会(FISSEA)的专家和联邦计算机安全项目管理者论坛寻求帮助。NIST在1998年4月对信息安全教育问题发起了一次出色的跨机构评审,其报告《信息技术安全培训要求:基于角色和表现的模型》(NIST SP 800-16)是一个信息安全培训概念性的框架。该报告清楚地展示了开展意识培养项目、实施信息安全培训以及对IT雇员进行教育的需要。FCS活动的很大一部分都是建立在这篇报告的框架基础之上的。
7.1 政府范围内的信息技术职位研究
开展FCS活动的第一步就是完成OPM(人事管理办公室)信息技术职位研究。该研究将更好地评估联邦政府内的各类IT职位(比如网络管理员、安全专家等),并可以更加准确地定义各IT职位的信息安全能力要求。这对于确定众说纷纭的政府机构中IT安全人员的短缺情况非常重要。另外,信息技术职位研究还将有助于确定联邦政府IT人员的培训需求。
人事管理办公室将评审政府对IT职位管理的全面办法,并将制定一个基于能力的工作轮廓试点,以取代当前用于选择IT人员的最小资格要求。OPM还将研究出一组新类型的IT职位,并为这些职位制定专门的名称,从而取代过时的IT职位分类标准。OPM将与感兴趣的机构联合制定一项提议,用以解决相关的权限和拨款问题,以确保政府具有招募、训练和供养联邦安全保障人员的能力。职位研究的结果还将用于促进SFS(见7.3节)和中学项目(见7.4节)候选人的招募、选择和培训。IT职位研究得来的数据将用于IT工资系统的评审和设计。
7.2 信息技术优秀中心(CITE)
CITE将为联邦IT安全雇员、联邦承包商以及FCS候选人提供高级的信息安全培训和认证。中心将提供下述功能:
为联邦雇员IT职位专门化提供基于网络的和(或)课堂的技术培训;
在FCS职业教育项目中向各学院和高校学生提供培训和认证;
更新、加强和维护已达到认证要求的那些联邦雇员及FCS候选人的技术水平。
最初,CITE的发展集中于使用现有的培训标准向系统管理员和信息系统安全官(ISSO)提供培训。这些现有标准中包括那些正被NSTISSC、CISSP(信息系统安全专家认证)以及其他国内外团体采用的标准。中心将来的扩展将集中于对系统认证员、风险管理员、计算机科学家、计算机工程师、计算机程序员和系统分析员进行培训。联邦雇员和联邦FCS候选人采用的认证和再认证过程将以其他过程为模型,包括:正在发展的国防部关键IA(信息保障)人员认证过程;CISSP开发的认证过程;其他国际国内认证团体开发的认证过程。如果雇员参加了认证项目且认证项目达到或超出了CITE制定的最低标准,那么他所取得的认证我们将予以承认。可以通过中央人事数据档案(CPDF)检索已通过认证的专家。
CITE的发展离不开对现有设备、课程、教职员资源的利用。任何能够成功证明其有能力向联邦雇员提供知识和技能、向FCS候选人培训认证时要求的专业技术能力的组织,均可以纳入CITE网络中。这种组织可以是学院和大学、政府培训基地,或者是基于私营部门的技术培训中心。认证过程将参照发展中的NSTISSC课程软件和课程认证过程。我们将依靠CIO委员会、NIST安全培训报告和OPM职位研究来提供专门指导方针,并制定培训和认证的标准。我们的目标是建立一个全国范围内的CITE网络,向联邦IT雇员提供标准化的培训,使他们达到OPM要求的技术水平。
国防部的工作是很值得利用的。目前人们正在评估其新开发的“高级分布式学习网络”,它可以向国防部的各工作岗位提供基于互联网和(或)基于计算机的信息保障知识和技能培训。该网络将利用已开发出来的IT安全雇员培训产品或国防信息系统局(DISA)正在开发的产品进行人员培训。国防部已经表达了其愿意同联邦民事机构合作来扩展这一网络的意向,以使该网络覆盖整个联邦范围内各机构的IT岗位。“高级分布式学习网络”知识和技能培训的方法多种多样,包括基于教室、基于计算机、基于互联网和远程教育。
7.3 SFS(服务奖学金)项目
教育和雇用新的联邦IT雇员及安全管理人员的主要办法是面向大学学生的SFS(服务奖学金)项目。在该项目中,政府将资助研究生或本科生的学习,使他们达到信息保障标准的要求,作为偿还,这些学生要事先同意学成后服务于联邦政府。
SFS项目将为硕士(M.S.)或博士(Ph.D.)候选人提供两年的奖学金;向在一个备案认可(accredited)信息安全项目中攻读理学士(B.S.)学位的大学三、四年级的有前途的学生提供为期两年的奖学金;向在一个经批准的两年期IT项目中攻读A.S.或A.A学位的IT安全雇员提供为期两年的奖学金。
SFS项目将向学生提供学费和适度的生活津贴,除此之外还有很多其他福利。学生将参加各联邦机构的暑期工作和实习项目,还可以参加政府实验室的工作。对这些学生来说,他们得到的经验将为他们在联邦部门就职提供指南,并且可以使他们更加清楚在学业阶段他们应该发展哪些技术。对联邦机构来说,学生的暑期工作将对正在进行中的IT安全工作帮助颇大,并且使他们得以对SFS项目中的各参与学校的表现做出评估。暑期工作和实习还可以同CITE中的联邦IT安全培训项目及后续的认证结合在一起,使学生在SFS项目结束后能快速并高效地投入到联邦服务中。SFS学生还将参加一些定期举行的会议,包括国家信息系统安全教育讨论会等,以增加他们的学术和技术经验。暑期工作和实习项目的管理将同7.4节中讨论的高中活动保持协作。
要确保SFS的成功,关键一环是对项目中开设信息安全课程的参与方大学和学院进行确定和备案。目前,在美国大学中只有有限的几个信息安全研究生培养计划,这造成了在信息安全领域既缺少教授也缺少活跃的学生。在本科生课程中,情况同样如此严重。这反映了计算机学位获得者的数目总得来说在走下坡路这一危机——从1985年到1996年,每年毕业的计算机学位获得者的数目从50000下降到了36000。联邦政府必须同学术机构和工业界合作,共同遏止并改变这种人才短缺的状况。
在信息保障项目的开发方面,政府还有类似几个与大学建立的合作关系,包括NSA的国家INFOSEC教育和培训项目(NIETP)。NIETP为INFOSEC课程的开发提供了标准和指导方针,帮助建立了INFORSEC教育基础设施,并确定了一批符合标准的学校,将它们指定为信息保障教育优秀学术中心。在NIETP项目的第二年,还将考虑批准同样数目的一批大学进入。我们可以同NIETP和优秀学术中心在信息保障教育项目中密切合作,为SFS活动确定学校。
已经有了相应的备案认可标准,用以确定和认可信息保障领域的领头羊大学,但必须有范围更广的联邦实体对其承认(NSA的信息保障教育优秀中心项目的标准是基于NSTISSC培训标准制定的,后者得到了21个联邦部门的承认)。各中心必须有能力传授尖端的IT安全技术知识。当前的和未来的中心必须要得到评估,确定它们是否有能力为信息保障教员的发展和进修提供资源。这些中心的功能将包括:
传授经联邦认证的课程;
传授初级和高级的教学技巧;
辅以合适的实验室演习、电视节目、远程教育以及公共项目,对联邦认证的课程进行补充。
必须要建立3~5年的评估标准,以促进并确保其“优秀”的普遍性。该项目还需要有内建的激励机制(即优先获得津贴等),这可能会要求联邦在人员“采购”方法上发生些变化。在国家信息系统安全教育讨论会上,所有这些标准都将同更广泛的工业和学术界进行讨论。
CIO委员会和总务管理局(GSA)已经为高级执行官开发了一个补充式的教育项目——CIO University(CIO大学)。这个CIO大学是由四个大学组成的一个虚拟教育协会。它可以提供研究生水平的课程教育,直接针对CIO委员会所采纳的执行官核心能力要求。CIO大学的目的是通过提高高级IT执行官们的技术,改善政府的信息系统管理水平。项目从跨时8星期到3学期不等,最终要使参加者获得CIO证书,并且如果可能的话,可获得理学硕士(M.S.)学位,具体要根据他所选择的学校的课程。
对SFS合作大学的认证还将有助于使各大学采取更加一致和更加快速的行动来促进IT教员和信息安全项目的发展,使在信息安全领域内接受有效教育的本科生和研究生的数目得到增加。这些研究生中,很多人将进入政府和工业界,还有一些将留在学术项目中,以满足日益增长的国家需求。政府同学术界的合作关系还包括,联邦将在SFS项目的参与大学中帮助建设教员职位和IT安全实验室。显然,可以利用NIETP和CIO大学等已有的项目来确定可能的参与方大学。
7.4 中小学推广项目
IT领域内一个明显的趋势是,年轻一代有了参与世界并在这个世界中竞争的能力。这促使我们着手开发一个中小学推广项目。该项目的主要目的是:
提高初中学生和老师的对IT安全和联邦计算机服务的认识;
就信息安全和联邦计算机教育及工作机会向中学学生和老师进行宣传教育;
确定中学里那些具有天分、并愿意在大学阶段学习信息安全的学生。
中学推广项目有很多内容,包括:面向老师和学生发起一系列会议、夏令营、暑期工作项目和实习活动,鼓励他们参与到信息安全保护课程中来;确定并招募一些有前途的学生,使他们中学毕业后立即到联邦政府IT岗位上工作;招募未来的SFS项目候选人。夏令营可以同联邦政府的培训项目(CITE)整合到一起,使参加者作为联邦政府将来可能的雇员,得到系统管理员认证,增加他们对政府工作和标准的认识,提高他们对联邦机构的评价。
就信息安全诸问题对小学学生和老师进行教育既有学术益处(即个人意识、隐私保护、工作、研究技巧),也有很多道德益处(即学校安全、个人责任)。教育部已经开始同学术界和私营工业密切合作,制定并推广有关对学生进行计算机安全责任教育的标准和出版物。比如,教育部在1998年同国际教育技术学会及各种各样的政府和民间组织进行了合作,以共同发展NETS(国家教育和技术标准)项目。这一项目为早期IT教育提供了4类标准。另外,为了发展小学教育项目,教育部还出版了一本综合性的初级读物《保护你的技术:电子教育信息的安全保护操作方针》。我们将继续评估各类小学计算机教育项目,并考虑建设一个联邦互联网站,以支持课程开发和传播。
7.5 提高联邦雇员的IT安全意识
PDD63以及关键基础设施保护总统委员会均要求联邦政府在IT行动方面成为私营部门的榜样。为了能够有效对付针对联邦信息系统的威胁,有必要确保所有负责确定计算机威胁并采取合适行动的联邦雇员都对各种威胁了如指掌,而且知道应该怎么做。本节中的“意识培养”项目的目标就是确保所有的联邦雇员都知晓计算机入侵给联邦系统带来的威胁,使他们能够标识这类事件,并且知道应该采取哪些步骤来响应事件。我们的策略是,开发并执行一个计算机基础知识普及项目,包括发布简报以及开展那些能够被每一个联邦机构视其目的而采纳的相关活动(如借助CD-ROM、录影带、演习、研讨会、展示会等)。还将制定“意识培训确认录”,并提供给各联邦机构使用。这些“确认录”将会记录下各机构定期开展计算机意识培养活动的情况。
意识培养项目开展过程中将会与CITE紧密协调,使用CITE的基础设施来开发并发布各种IT安全意识培养产品。像IT安全培训产品一样,这些产品可以基于互联网或CD-ROM,也可以是录影带或简报资料等。国防信息系统安全局(DISA)已经开发出了几个有益的“INFOSEC意识培养”CD-ROM,可以用于国防部,经适度改动后的产品会在非国防机构中使用。对这些已有的成果,我们将会权衡利用。要仔细检查IT意识培养和计算机基础教育工具,以确保他们按要求做到了定期更新。
建立由高技术计算机科学和信息安全人员组成的核心时间表:要建立各种项目以在联邦政府内拥有并维持受过高度训练的信息技术安全专家。为此,我们需要:
完成政府范围内的综合性IT职位研究,确定所有的IT安全职位以及这些职位的能力要求。
针对信息系统安全中的联邦信息技术雇员,建立培训和认证项目。
建立服务奖学金(SFS)项目,向信息系统安全学科中的学生提供奖学金(在备案学校),条件是他们将来要到政府部门服务。SFS还将发展信息安全学科的教员,并进行信息安全课程的开发。
针对中小学学生和老师,设计推广和意识培养项目,从而鼓励他们在将来成为联邦IT雇员,该项目还将对所有的学生施以计算机安全道德教育。
开发并执行联邦INFOSEC意识培养课程。
具体时间表如下:
内容8:推广和意识培养
8.1 关键基础设施安全中的合作组织(PCIS)
要确保关键信息系统的安全,避免其发生严重故障或受到外部攻击,就要在个体公民和私营商业、州和地方政府、联邦政府之间建立前所未有的合作关系。为了最终的胜利,这种合作关系必须建立在对威胁和响应的公共认识和理解的基础上。
关键基础设施安全合作组织将是工业界和政府之间的一个国家级的合作工作,主要聚焦于工业界和政府互相协作的迫切需求,以确保国家基础设施的关键服务的正常运行。
这一合作组织将得到政府最高层和美国各大公司首脑的支持,这是其鲜明特点。它将为广泛的意识培养活动建立框架和保护伞。
为此,合作组织将发起有工业界和政府部门执行官参加的一系列的讨论会、集会和工作组,为达到下述目标而努力:
促进关键基础设施所有者和操作者、风险管理团体、普通商业团体、州和地方政府以及全美国人对信息安全的意识和理解。
促进工业界在未来向国家计划做出贡献。
确定并解决大家所共同关心的问题,包括但不限于信息共享安排、法律和法规改革、标准和最佳实践措施、教育和培训以及研发活动。
合作组织的发展将基于:开放和自愿的成员资格;双边信任;经常性的交流;对于各参与方的价值体系、期望、需求、关心和目的的充分理解;对取得清晰、集中、得到良好定义的目标的信念。
CIAO将对联邦政府在合作组织中的参与活动进行协调。为了支持合作组织的发展和各方参与,它还将同各行业的联邦领导机构及这些机构各自对应的私营部门一起工作,制定使合作组织更加有效的战略和计划,并提供项目指导和各种材料。
8.2 “计算机公民”活动
美国信息技术协会(ITAA)和司法部开展了一个补充式的国家运动,针对其他公共-私营合作活动来给予教育和意识培养,并提供必要的资源。计算机公民的活动将:
对儿童、年轻人以及更广泛的用户团体进行关键信息保护方面的基础教育,并使大家知道合法在线活动的范围和限制。活动的第一步将集中于对K~8年级的儿童用户进行教育,向他们解释计算机使用道德的重要性。
出版计算机和网络安全字典,使公共和私营部门在保护其信息资产时能够迅速找到所需的计算机安全资源。
在工业界和联邦政府之间建立正式的人才交流项目,推动教育和意识培养活动的发展,促进产品开发,并创造进一步的合作机会。
美国的决策部门必须理解并采取行动来保护我们的关键系统,同样,所有美国人都必须理解在Internet和其他信息系统中“遵纪守法、行为适当”的重要性。
8.3 联邦雇员的培训
联邦政府要想成为信息系统安全的模范,那么其所有的雇员都必须对此目标做到心领神会。为此,我们要做的第一步重要的事情就是,确保计算机安全和规范的信息系统操作方面的信息和内容能被数以百万计的联邦公务员所知晓,并且能够被管理者所响应。
所有联邦雇员每年都要接受很多内容的教育,这些内容对国计民生非常重要。比如,对雇员岗位上道德规范的重要性进行教育等。同样,通过经常性的培训活动,我们将努力确保所有的联邦公务员都懂得信息系统安全的需求,领会确保联邦和国家系统不受损害的那些简单但必要的步骤。
推广和意识培养活动时间表如下:
在联邦政府努力保障其关键基础设施的工作中,还应对法律和政策进行仔细地评审。4年多来,政府已经系统地调查了法律改革方面的诸类事项。现在,法律改革过程中的7个原则已浮出水面。
内容9:法律和立法分析及改革
第一,法律改革必须经过集中的讨论并有各方的参与。关键基础设施保障政策不但涉及很多私营部门,还横贯了各个政治和地域边界。
因此,任何成功的法律改革工作必须得到下列实体的参与:
广泛的行政机构;
作为行政部门的一部分的各个组织,如CIO委员会、廉政和效率总统委员会(PCIE)等;
国会,包括其下属机构,比如美国审计总署等;
联邦和各州的法官、公诉人以及美国判决委员会;
各州和地方的法律制定者、条例制定者、第一时间响应人员;
学术界,包括智囊团和研究中心;
私营工业,包括贸易和职业协会。
第二,政府无意创建并实施范围广阔的法律新体系。针对这篇国家计划中讨论的很多关键基础设施保护要求,国会和行政部门早已经创建了必要的相关法律。
第三,政府在创建新的法律和政治结构时,将以现有的政策和制度为基础。比如,银行管理者已经转变了现有的报告机制,使其能涵盖计算机入侵,而以前,可疑活动报告只涉及物理威胁,对有关计算机的威胁谈之甚少。最近,货币审计师办公室发布的公告唤起了大家对金融服务工业中由计算机恐怖主义制造的威胁和脆弱性的重视和意识。其他机构也正协调其已有的法律项目,使计算机和物理方面的事项都能包含进去。
第四,当需要新法律时,政府的重心在于那些能够减少关键基础设施保障阻碍的解决方案,而不会增加政府和工业的管理负担。比如,现有的法律可能造成了政府和工业界的信息共享变得很复杂,对此的法律调整应该是想办法鼓励更多的信息共享,而不是增加新的管理层或使政府现有的职能复杂化。
第五,法律改革策略必须为技术变革和发展留下余地。事实上,技术进步可能超过了国会法令和各机构条例制定的步伐。为此,法律制定者们有责任懂技术,尤其是技术对现有法律的冲击。除非政府官员们负担起了这种责任,并且同专家、系统管理员以及其他对我们的计算机网络和关键系统最为精通的人们实现了合作,否则关键基础设施政策的制定将是一个痛苦且难捱的过程。
第六,法律改革必须建立在对关键基础设施保障领域内的专门研究和调查结果的基础上。
本届政府从1995年开始就认真研究基础设施保障,并委任了关键基础设施工作组(CIWG)。CIWG由司法部副部长任主席,为解决基础设施威胁研讨和辩论了很多可选的长期战略。重要的是,CIWG还建立了一套基于“基础设施”和物理、计算机威胁的方法论,总统随后将其并入了13010执行令。在13010执行令下,成立了关键基础设施保护总统委员会(PCCIP)。
PCCIP对法律改革选项曾研究了15个月之久。这一广泛的综合性研究包括向众多政府实体和代理人的推广,其中有执法部门、大律师、首席信息官和国防部门。分别代表政府和私营部门的委员们就法律方法论和各类法律主题进行了广泛的调查。最终,PCCIP的研究结果和结论冠以《法律基础》出版,该书阐述了推进法律改革时要用到的进一步的知识和经验。从1998年5月开始,国家协调员已经组织了一次对各关键基础设施建议书的评审,这也是政府在进行法律改革时应考虑到的。
第七,法律改革必须确认并支持全面的隐私权和公民自由要求。为此,政府要清醒地认识到:关键基础设施保障政策一定要继续提高隐私权以及其他的宪法所赋予公民的权力,保护美国商业的私有权。本篇国家计划专门以独立的一章来详细讨论公民自由。
9.1 在计划的执行前,评审是必要的
在这里,政府将评审现有的法律条款以及联邦信息保障计划的执行要求。司法部将担负领导作用,协调法律改革的发展。评审将包括如下要素。
9.1.1 使联邦政府完成其保护关键基础设施的工作,并使其成为领导典范
采购改革:在合适的地方,联邦政府应当把基础设施保障考虑同基本采购和未来采购结合起来。采购政策和条例中的疏漏或不足都有可能危害到基础设施保障的目标。
法律改革将检查采购政策和条例是否考虑了基础设施保障目标;研究这些目标是如何在其中得到容纳的;还要对未来采购政策和条例的修订做出提议。法律,包括1995年颁布的《减少文书工作法》以及1996年颁布的《Clinger-Cohen法》要求各机构关注信息技术的采购和信息资源的管理。任何法律改革都应该建立在这些基础之上。
标准和认证:在信息安全标准的遵循方面,联邦政府应该成为私营部门的榜样。诸类标准为政府发起的各认证项目提供了基础,使它们能够符合与安全相关的那些目标。不能要求官僚机构去监督政府发起的认证项目的实施和执行,这些项目要有各种激励机制来鼓励私营部门的参与。
工作绩效评定:《政府工作绩效和结果法》(GPRA)要求在预算过程中,OMB(管理和预算办公室)要对联邦机构5年期战略计划作审查,还要针对主要职能运行时的表现评定做出审查。《Clinger-Cohen法》要求对工作表现的评定应该同信息技术的使用结合起来。但所要求的工作表现评定不只包括信息安全。
在各机构的GPRA战略计划和工作表现评定框架中,应该鼓励它们把其承担的基础设施保障职能包括进去。已有人对《Clinger-Cohen法》做出了修正提议(该提议即将被讨论),要求各机构首席信息官(CIO)为其信息系统的安全进行性能评定,并应在法律需要的时候将评定结果提交给OMB(管理和预算办公室)。对一些有选择的系统来说,如果定量评定结果的提交会危害到国家安全,那么那些国家安全单元可以免于提交这种工作表现评定。法律改革工作应该有政府审计总署的参与,因为该机构已认真研究了上述问题并提交了各类矫正性建议。
入侵检测:开发具有评估、报警、隔离事件以及重建重要信息等功能的系统是我们这个计划长期成功的基础。入侵检测系统(IDS)的开发引发了各类的法律和政策问题,所有这些问题都是政府所必须认真研究的。
作为跨机构法律评审过程的一部分,IDS的这些法律和政策问题主要由司法部研究。
主要的法律议题包括:
政府在IDS产品开发中涉入的范围和程度;
当数据库的内容没有得到充分保护时,联邦政府所应承担的责任;
监控、访问、使用和传播有关信息的步骤;
同IDS有关的隐私和公民自由综合性问题。
总检查长(Inspectors General)
总检查长的未来角色
基础设施保护中的计算机入侵事件、审计、执法
自1978年以来,联邦机构检查长就在制定、审计和强化联邦政府管理及安全措施方面扮演着重要的角色。法律改革和本篇国家计划的执行将同他们的角色、责任以及积极参与密切相关。
当前,PCIE(廉政和效率总统委员会)以及ECIE(廉政和效率经济委员会)它们是根据1992年12805号执行令《联邦项目中的廉政和效率》成立的正在为检查长积极参与关键基础设施保护过程而制定参照模型。根据PCIE,检查长的总目标中要包括针对如下活动的开展进行充分性检查:
机构在基于计算机的关键基础设施保护中的计划制定和评估活动;
机构在基于计算机的关键基础设施保护中的执行活动;
机构在非计算机关键基础设施保护中的计划制定和评估活动;
机构在非计算机关键基础设施保护中的执行活动。
尤其是,检查长们已经声明,他们正评审各机构在如下风险管理领域内的活动充分性:风险减缓、应急管理、跨机构协调、资源和组织需求以及人才招募、教育和意识培养。
9.1.2 确保有效的政府-工业界关系能够建立
信息共享中的法律障碍:基础设施保障中信息共享机制的成功将在很大程度上依赖于可信环境的建立,它应促进各方——政府和私营部门在自愿的基础上参与敏感信息的共享。然而,目前存在的一些法律障碍却可能阻碍或不利于各方的参与。这包括对某些潜在责任(如反托拉斯、侵权等)的担忧、国家安全考虑、信息的密级、强迫向公众作公开的那些法律程序、私有财产和商业秘密的保护考虑等。
《信息自由法》和其他一些相关的法律决定了联邦政府拥有和控制的信息要向公众开放这一规定。但是信息共享机制中的某些参与者可能会要求一旦他们提供的敏感信息被联邦政府共享,这些信息能得到某种程度的保密。同时联邦机构也可能要求在保护基础设施时他们发现和共享的那些敏感的脆弱性信息也能得到某种程度的保护,不至于向公众全部透露。政府的法律评审将关注与此相关的法律和处理步骤的改革,以有效地克服上述以及其他类似的障碍。
9.1.3 减少不必要的法律障碍,促进足够数量的信息技术专家的招募和留任,以确保联邦政府自身关键系统的安全
政府将支持OPM(人事管理办公室)对此问题的研究。法律改革可能需要针对各种各样的解决方案进行跨机构讨论。
9.1.4 联邦制诸事项也决定了要对合作框架进行评审
关键基础设施保障政策和项目中涉及很多同联邦制有关的事项。本届政府始终如一地把关键基础设施保障看作一种合作关系——不论是公共部门还是私营部门之间、不同的政府机构之间,还是州和联邦政府之间。很多复杂的司法问题希望在这一合作框架内得到解决,但是还有很多则很可能有待于进一步研究。
州法律对于关键基础设施保障的冲击:根据1999年8月5日发布的行政令13132《联邦制》中阐述的原则和政策,本届政府将确定在实现本篇国家计划目标的过程中各州法律可能会互相冲击(正面以及负面)的领域。正如本节所谈到的,关键基础设施保障必须包括广泛的参与者和广泛的讨论。与来自各组织,包括国家律师协会、国家州长协会、州政府委员会、美国市长讨论会、国家县长协会、州议会、州判决委员会以及应急管理协会的代表的对话将有助于理想法令的产生。还要有更多的州和地方实体参与到支持并发展关键基础设施保障的法律改革中来。
9.1.5 权限:角色、责任的冲突、重叠和分类
跨机构的评审过程将包括对机构权限问题的综合性研究。各机构的角色和责任是其内在的特征,同时也是国会的宪章以及总统的《机构重组法》所规定的。虽然国会和行政部门为不同机构定义了各自的法律和政策制定功能,然而关键基础设施保障任务却向其中增加了一些与现有模式不太吻合的内容。
本小节中法律改革的讨论包括权限重叠、可能冲突的解决以及政策执行中的豁口等。一些特别例子有:
计算机入侵事件和检察官的角色及责任;
《计算机安全法》的有效、综合执行;
在计算机入侵和相关事件调查中,国防部、情报机构、执法机构和民事机构的合作;
安全政策委员会与国家安全电信和信息系统安全委员会(NSTISSC)的任务重叠;
各种信息系统中国家安全和应急战备电信法令的执行。
9.1.6 应急响应计划和机制
关键基础设施保障中的紧急事件可能会引发现有的应急响应计划和机制的改革。国会、总统以及行政部门已经制定了很多应急响应法令来支持这些关键基础设施应急响应机制。
跨机构的评审过程将考虑现有的法令和计划如何能对关键基础设施诸问题进行支持。当出现空白的时候,评审过程将对现有法令和计划的修订做出建议。州和联邦政府的计划制定机制应该得到评审,以确保已经采取了各种合适的机制来预防出现工作重复和混乱。一些例子包括:
联邦响应计划&应急支持功能(用于所有的紧急事件);
非战时应急电信支持国家计划;
FBI应急计划;
化学/生物恐怖主义联邦响应中的HHS健康和医疗支持计划;
联邦电波导航计划(GPS,全球定位系统);
国家应急计划(石油矿井);
联邦放射性应急响应计划(放射性紧急事件);
各州和私营部门的计划。
9.1.7 其他法律改革
政府将认真监督跨机构评审过程对其他有必要研究并可能进行法律改革的领域所进行的讨论。
C.国防部(DoD)基础设施保障计划
国防部的很多国内外资产对其战备和军事行动意义非凡,为此它将确保这些资产的可用性、完整性、生存力以及充分性。国防部的战略目标是,确保它对国内外基础设施的依赖性不会反过来削弱其执行国防和全球军事行动的能力。
在联邦各部中,没有哪个地方像国防部(DoD)这样对信息技术(IT)的依赖性如此明显。通过对IT的应用,国防部可以提供更加可靠的情报,使指挥和控制系统得到根本的改善,使其业务操作做到标准化,IT还可以使其得以开发出威力更加强大的武器系统。因其保家卫国的任务性质,DoD在保护国家的基础设施、抵御威胁国家安全的计算机攻击或其他事件的工作中要首当其冲。
CIP(关键基础设施保护)将确保国防部的任务及职能所依赖的那些基础设施能够有效地运行。CIP将着眼于我们如何满足国防任务要求(如所需的设施、装备、信息系统、网络、人事及合约等)、判断我们的关键性资产、确定相关的脆弱性、明确互依赖性以及对关键资产采取保护性措施。CIP用防御但非攻击性的眼光来看待世界。虽然国防部长久以来就注意保护其国内外的设施(如基地和装备等),但现在要研究这些设施之间如何相互依赖以及它们对私营部门服务的依赖情况,因此我们看问题的角度要与以前稍有不同。
制定保护计划
国防基础设施保障计划由3个不同部分组成,它提供了一个有效的框架,可以供联邦政府和私营部门在制定其计划或框架时参考。国防部已经创建了用于确定和矫正脆弱性的组织结构,开发并配置了入侵检测系统,发起了很多重要的创新性研发活动。
国防部的计划既包含了物理方面的CIP,也包括了计算机方面的CIP,它是后续行动的基础。在后续行动中,我们将解决全面的国防行动的系列问题;明确并理解关键基础设施的互依赖性;采用并整合传统的安全条例及信息保障手段;平衡利用最近的以及现行的国防部活动来满足该部和国家的基础设施以及信息保障所面临的当前及未来的挑战;并建立起必要的DoD-私营部门合作关系。
国防部将通过如下6项活动来实现其关键基础设施保护的目标:
分析和评估;
矫正;
迹象发现和预警;
事件减缓;
响应;
重建。
重要应用:物理资产以及基于信息的各种活动均可以通过以上6项措施得到保护。
国防基础设施的范围
在当今全球化的信息环境中,IT革命已经深入到了美国国防任务的每个角落。
我们在阵地上的士兵将可以立刻向其长官通报他的确切位置、状况甚至心跳频率,此即完全的“战场空间识别”。
我们正使用Internet来满足我们的广泛需求——从旅行付款到卫星通信以及电子商务。
国防基础设施(DI)是一种复杂的、互依赖的分散式网络,由各种系统、服务、人员和操作组成,包括私营部门以及其他的政府部门的一部分职能,它横跨了国防部的各组织边界,为国防部的各种需要提供实物和服务。DI可以分为11个下属单位(如财政、后勤、运输和人事等),这些部门拥有着各类资产,有的比较简单(如一件设备或地理位置集中的一套信息系统),但有些也比较复杂(如在地理上呈分布式的一套设备、系统、链接或节点)。比如,国防部管理着很多大型军事基地,包括海军的舰艇等,这些基地更像一座座小城镇,它们具有高压输电线、供热系统、空气过滤设施、自动化过闸设备、局域网、信息系统等,在轮船和飞机上还有精密计时仪器。
广义说来,DI由下列事物和服务组成:信息与通信网、计算机、软件、数据库、应用程序、武器系统接口、数据、安全服务以及在军事范畴中能够满足国防部用户的信息处理和信息传输要求的其他服务。
DI包括:各基地以及战略、国防等机构的信息系统,武器系统的指挥、控制、通信、计算机和情报接口,对声音、数据和图像进行收集、分布、存储、处理和显示的物理设施。
DI还包括:各种应用程序和数据工程工具、方法和处理过程,用于对指挥和控制软件进行构建并维护;情报;监视和侦察;按需对信息进行访问和利用的任务支持人员。此外,DI还涵盖了网络互联和互操作标准及协议,综合设计、管理和操作所涉及的各类人员和资产。
DI以有效的信息与通信为其依赖基础,它有着NII(国家信息基础设施)所共有的很多脆弱性,但因其防御任务的特殊性,DI还存在着一些其他方面的脆弱性需要处理。
打好基础,以实现(1)准备和防范;(2)检测和响应(内容1~5)
为了评估并消除基础设施脆弱性以及关键系统、重要职能机构和装备遭到信息攻击的可能性,国防部已经制定了相应的行动计划,在联邦政府中,它是首批制定该类计划的实体之一。关键国防基础设施保护项目将通过关键基础设施保护参谋处来监督并平衡利用国防部现有的工作和职能,同时综合其他的相关项目(如DIAP、关键资产保障项目、基础设施保障保护项目等),从而确保最终的成功。另外,国防部正率先就关键基础设施保护工作对其人员进行培训。
关键国防基础设施保护项目的各部分工作促进了国家计划中准备和防范以及检测和响应目标的实现。
关键基础设施保护项目(CIPP)
国防部指挥、控制、通信和情报助理部长负责制定了国防部的CIP政策,他兼任很多职务:国防事务中CIP职能协调员、CICG(关键基础设施协调组)内的国防部代表以及国防部的CIO(首席信息官)和CIAO(首席基础设施保障官)。
国防部基础设施和信息保障主任负责领导CICG的国防协调子工作组。子工作组的成员包括国家和防御部门的各联络官以及特殊职能的办事处。它是CICG的一个固定子工作组,负责CIGG对国防事务的协调工作,其目的是针对各类环境包括危机、突发事件、被攻击、恢复和重建等的国防要求,协助国防事务中的职能协调员,提供基础设施服务并帮助制定基础设施服务相关计划。
国防部的关键基础设施保护计划是其达到PDD63要求、使关键基础设施保护制度化的工具和载体。国防部的期望是,关键基础设施保护中的所有方面均能实现制度化。
国防部副部长已经为部内每个领导单位都分配了各自的防御责任,各单位各司其职,责任明确,这是国防部在其职能运行的制度化、组织化过程中迈出的重要一步。通过这种组织结构的变革,国防部内的每领导单位都有责任用一种综合性、制度化的眼光来对待各自对应的国防基础设施。
各类国防基础设施与国防部内领导单位的对应见下表:
为了确保国防部各领导部门的计划制定和保障活动能够集成到一起,不至于各自为政,国防部副部长应PDD63和CIPP项目的指示建立了关键基础设施保护综合参谋处(CIPIS)。CIPIS主要关注DI部门的整合、推进以及综合性的决策支持,在关键国防基础设施的保护中,综合性的决策支持扮演着积极而有效的角色,因为它使得在必要时间与地点的“集中保障”成为可能。
下图描述了国防部的CIP组织结构:
关键基础设施保护综合参谋处(CIPIS)
CIPIS于1999年7月建成了其初步的运行能力。它负责监督并利用国防部现有的工作和功能,综合相关的CIP项目,并同私营部门建立合作关系。CIPIS的成员有来自国防部各个DI部门的联络官以及联合参谋处、各军种和JPO-STC(特别技术对策联合项目办公室)的代表。
CIPIS的职能有:确定现有军事计划中对国防部至关重要的基础设施资产;把国防基础设施区分为国家和国际防御基础设施;确保指定资产能够得到定性(qualitative)的脆弱性和互操作性分析;对指定的关键资产进行风险管理评估,向国防部的首席基础设施保障官(CIAO)和各单位推荐合理的安全措施;同PDD63中确定的国家各领导机构一起来协调CIPIS的结论和决策。
国防部内所有与矫正、迹象发现及预警、减缓、响应和重建工作相关的计划(如各国防基础设施部门的计划、运营连续性计划等)、政策和步骤的形成也要通过CIPIS来协调。此外,CIPIS还向PDD63所要求的那些涉及CIP的国防、国家安全和国际协调工作提供必要的专家和技术;此外,它还将寻求私营部门的支持,为各类国防基础设施提供专业技能、专家及意识培养活动。
方法
DoD将通过6类保护活动来实现其CIP目标,这些活动可以划分为准备、防范、检测和响应功能。这些活动要得到有效的管理,从而确保它们可以在所有的实体间保持协调与和谐;各种操作建议能够得到交流;国防部关键资产所有者、设施和装备基地、各部门的首席基础设施保障官(CIAO)以及军事计划制定者和操作者均可以共享一个连贯的、信息丰富的、基于风险的决策框架。这些保护活动的目的是要保障国防部的正常运行以及任务职能,它们把物理保护和信息保障集成到了一个综合性的结构之中。
下图列出了上面提到的6类保护活动:
基础设施的分析和评估、矫正以及迹象发现和预警主要在事件发生前执行;减缓行为在事前和事中都要执行;响应行为在事中执行;而重建行为则始于事中,但一般来说主要集中于事后。每项活动均可以独立用于对物理和信息资产进行保护——物理资产是DI的依赖基础,而信息资产则构成了这些DI资产的“神经系统”。上图还显示了DoD和国家组织结构中各实体在不同阶段分别承担的主要保障或保护任务。国防基础设施部门的领导将为所有的关键资产建立每一保护活动阶段内以及在不同阶段过渡时的保护轮廓。
有几个实体的活动及职能横跨了所有的6类活动。国防部的CIAO委员会负责监督所有活动,并为它们提供资源和设定优先级。CIO委员会将对IT矫正方案的开发以及它们在信息系统中的应用进行资助,并通过信息技术来促进减缓活动的开展。此外,它还将力图使IT的优势在重建活动中得到充分的体现和应用。
国防-CIP职能协调员负责确定国家的基础设施部门中那些对国防至关重要的基础设施资产,并在国防部的整个活动周期内(指6类活动——译者注)为它们提出矫正、迹象发现、减缓及重建活动的倡议。此外,协调员还将监督各基础设施部门对这些资产的矫正活动,并在国家基础设施重建过程中表达和说明国防部的有关要求和权益。而且,协调员将在国家各基础设施部门内对减缓计划的制定做出倡议,并在所有级别上就国防部和国家活动之间的协调与交流发起联合的计划制定、培训和演习项目。
国家基础设施部门联络官的工作主要是协调国家基础设施部门的保障计划的制定和执行,并负责对基础设施特征化,他们还负责执行脆弱性评估并对相关活动进行监督和汇报。此外,他们将在每一基础设施部门内指挥减缓活动的计划制定、培训和演习,并监督各基础设施部门的重建活动。他们还将在必要的时候同NIPC一起进行信息共享。
分析和评估
分析和评估包括一系列连续性活动:关键资产确认、国防基础设施特征化、操作影响分析、脆弱性分析以及互依赖性分析。
国防部关键资产的定义是:对国防部在和平时期以及危机和战争时期的运行至关重要的任何设施、装备、服务或资源,国防部因而需要对它们采取各种措施和预防,以确保其职能能够连续、有效地履行并免于遭受各种不同程度的破坏,而且国防部还要对它们做到即时修复或重建(DoDD 5160.1,第E2.1段)。美国本土(CONUS)的资产将先于海外(OCONU)资产得到确定。在确定关键资产时,资产的所有权关系(公共部门、私营部门、美国政府、外资所有、多国所有)将不会作为制约因素。这种关键资产的确定是动态的,关键资产的名单将随着情况、时间和环境的变化而有所增删。
成就:DoD已经开发了注册资产列表(RAL)——这是一个地理信息系统,包含了大部分重要物理地点和国防基础设施部门的资产。
请注意这里的活动只是对国防部所依赖的资产进行了确定,RAL没有包括所有的国防及安全资产。
分析和评估时间表如下:
国防部关键资产所有单位有责任与DI部门的各个CIAO以及行动职能协调员和CIPIS保持协调,并在他们以及军事计划的协调下去完成资产级的脆弱性评估任务。国防部的行动职能协调员和行动单位将对行动的影响进行分析,确定军事行动涉及的关键资产。
CIPIS将分析国防基础设施的互依赖性以及行动冲击,还将评估整个国防范围内基础设施的脆弱性。另外,CIPIS还将确保国防基础设施特征化的通用性,对关键资产的确定工作进行协助,发起国防范围内的分析和评估,并为其他所有级别的活动提供技术和系统的支持与集成。
矫正
矫正是在意外事件之前采取的预防行动,能够改善已知的不足和弱点,从而确保国防基础设施部门或关键资产的运行或使其避免受到破坏。
比如,国防部的信息保障战略——纵深防御就是一例,它把国防任务进行了一系列分层,每层具有不同的强度和保障级别,并且每层都针对一个专门的目的。这些层中包括以下部分。
国防部广域网:加强对国防部广域网(WAN)的保护,防止计算机攻击,生产并配置一批稳健的加密产品;
国防部局域网:配置边界保护方案(如防火墙、护卫、病毒扫描器、入侵检测系统等);
国防部主机、服务器、应用程序和操作系统:采用各种措施来阻止并检测非授权的行为,施行强访问控制方案;
重要管理业务;
强制性的雇员培训和认证;
标准化的IT和信息保障职位;
物理和计算机事件报表的综合与分析。
如上所示,该战略还考虑了重要管理业务的执行、雇员的培训和认证、IT和信息保障职位的标准化以及物理和计算机事件报表的强化综合与分析。
矫正活动时间表如下:
迹象发现和预警
迹象发现和预警包括了各种准备活动或对基础设施状态的分析,这些状态往往能显示出是否存在可能的计算机事件以及事件目前的状态(是处在计划阶段还是已经开始)。
DI部门CIAO将负责制定并执行DI部门的事件监控和报告的过程及步骤,国防部关键资产所有单位和国防部设施和装备基地则将参与到基础设施事件的判断、监控和报告行动中。国家军事指挥中心(NMCC)和计算机网络防护联合特别任务中心(JTF-CND)将负责接收、联合并评估部门报告;通过把部门报告与传统的情报信息相融合,制定出国防部的事件迹象报告;把这些迹象报告汇报给NIPC;发布警报;对国家预警进行接收、评估和传播。
CIPIS负责提供技术集成和支持。国防部研发职能协调员将为检测工作提供改良的材料、工具、方法和模型。DoD情报支持协调员将为部门CIAO提供专业的建议、帮助和支持,使他们能够制定并执行监控和报告活动。
NIPC在此处的角色包括:指导国家对迹象发现提出要求;参与设计与发展国家各基础设施部门的监控和报告能力;接收、联合并评估各基础设施部门的报告;通过融合各基础设施部门的报告与传统情报,制定事件迹象报告;发布国家预警。
成就:通过在关键系统节点安装入侵检测系统并建立24小时的监视,国防部已经大大提高了其对系统状态的判断和标识能力,并且能够把情报信息与通过监控得到的信息融合到一起。
减缓
减缓是由国防部关键资产所有单位、国防部设施和装备基地、DI部门以及军事指挥部门所采取的行动,是对基础设施事件预警的响应。
国防部关键资产所有单位以及设施和装备基地将制定资产级以及设施装备级的减缓活动,并为这些活动提供培训和演习,所有这些活动都是对警报、紧急事态和基础设施事件的响应。而且,关键资产所有单位和设施装备基地还将负责把减缓状态向NMCC、JTF-CND和有关的部门CIAO汇报。部门CIAO将整合并协调部门内的资产级减缓计划和活动,并把减缓状态向NMCC和JTF-CND汇报。NMCC和JTF-CND将监控紧急事态和事件,向受到影响的有关国防部实体和单位提供减缓状态,并建议或指导减缓行动。CIPIS将为NMCC、JTF-CND和部门CIAO提供技术集成支持。
NIPC将监控国家级别的紧急事态和事件,向受影响的国家实体提供减缓状态,并对减缓行动做出建议。
成就:通过信息保障脆弱性报警(IAVA)项目,已经针对信息系统的风险确认和修复而建立了积极的控制手段。
事件响应
事件响应指那些消除事件起因或事件源的活动,包括由第三方(即非资产所有者和操作者)采取的应急措施,如执法、调查、医疗、消防和营救等。
事件响应时间表如下:
国防部关键资产拥有单位和设施装备基地将与适当的响应实体进行协调,并为局部响应制定计划,同时负责局部响应的培训和演习。计算机网络防护联合特别任务中心(JTF-CND)将针对那些影响到其国防范畴内的资产的事件进行响应。CIPIS将为NMCC、JTF-CND和部门CIAO提供技术支持,并监控响应活动的状态。NMCC也将负责对响应活动的状态进行监控。
成就:对计算机应急响应组进行了扩展,使其能执行报警、受害系统甄别分类以及修复任务;制定了应急计划来缓解网络遭到的破坏或损失。
重建
重建指在基础设施遭到破坏之后对其进行的重新组建或恢复工作。
在国防部设施和装备基地的支持下,国防部关键资产所有单位将负责对资产进行重建并向部门CIAO报告重建状态。部门CIAO将监督重建活动,同NMCC、JTF-CND、NIPC和CIPIS共享信息。另外,部门CIAO还将执行部门级评审,资助或发起CIP步骤的改良活动,以及更新DI部门的特征化结果。
JTF-CND将监督其国防范围内的资产重建工作并对这些工作提出建议。另外,它还将在完成行为分析后向部门CIAO和受害单位提供响应信息,供重建时考虑。CIPIS在其同私营部门的合作关系和工业界专家的支持下,将可以向NMCC、JTF-CND以及受害单位和部门CIAO提供技术支持。NIPC将提供事件响应评审结果,供制定重建计划时采用。此外,它也将监督重大的国家基础设施重建工作。
FEMA(联邦应急管理局)将作为应急服务的领导机构,根据联邦响应计划,负责国家应急响应的后果管理。
关键国防基础设施和信息保障系列项目
在基础设施和信息保障主任的指导和监督下,CIPIS将对如下一系列项目进行整合并提供监督。
(1)国防信息保障项目(DIAP)
DII(国防信息基础设施)的任何一部分都面临着风险和脆弱性,这已经威胁到了所有单位的运行和行动,为此,国防部审时度势,迅速采取了针对行动,以确保其信息的可用性、完整性、真实性、保密性和不可否认性,并努力对其信息基础设施提供保护。最近的很多评估、演习(即“合法接受者97”)和真实事件清楚地表明国防范畴内的信息保障(IA)工作是绝对不可少的,而且,这项工作要不断地开展和提高。我们再也不能靠事后解决方案而沾沾自喜了。国防部已经对其信息基础设施施行了现代化,但它仍需再接再厉,继续在研发、产品的实时集成、行动步骤以及培训等方面进行投资,确保国防部有能力保护其自身。在国防部所有需要优先考虑的活动中,DII保护是其中之一,同时也是一项最为艰难的挑战。
我们要有一个全国防部范围的计划及综合框架,它的执行对于国防部的IA目标——持续地提供可用性、完整性、真实性、保密性、不可否认性,并能够使DII的重要部分在破坏后能够迅速恢复来说至关重要。为此,国防部副部长在1998年1月批准成了DIAP,从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。
DIAP形成了国防部IA项目的核心部分。它提供了集中式的监督,但同时又保持了分散式的执行,从而使我们的IA工作不断发展和进步。DIAP的集中式协调与监督有如下好处:使国防部得以准确地开发、确认、整合及优化DoD范围内的IA要求;可以观察到IA投资的结果并对其做出判断;能够客观地评价我们整个的国防体系为保护DII和NII(国家信息基础设施)及GII(全球信息基础设施)的关键组件所作的努力。而合适的构建与执行方式(指分散式——译者注)则使得DIAP既能够实现其必要功能,又对当前和未来的各类IA事项、威胁和脆弱性保持足够的响应能力。虽然DIAP提供了通用的管理框架与集中式的监督,但这一大项目中每一子项的执行仍是各个战区司令官(CINC)、各军种和国防部各机构的责任。
信息保障要求的方法和途径超越了传统的国防部信息保护方式。传统的方式主要基于国家安全方面的考虑,而现在的这种信息保障途径必须研究各种信息对机构职能任务运行的关键性是何种级别,并提供与这种关键性相称的保护措施,从而确保这些信息在传输过程中不会被破坏,还要确保它们的可用性,以在需要时对关键基础设施提供支持。IA是一门不断发展的、动态的学问,因此它要求对新出现的技术以及变化中的脆弱性和威胁具有灵活性、可适应性和响应能力。DIAP的建立说明了整个国防部已经逐步懂得了IA的动态特点,并认识到了正是人们对互联、互依赖系统和服务的日益依赖才造成了现在这样一个所有人都面对的风险环境,这种风险环境迫使我们必须在国防部内开展前所未有的协调和统一工作。
DIAP由国防部指挥、控制、通信和情报助理部长办公室信息保障委员会负责,其工作人员来自于国防部各机构、现役军和后备军、情报共同体。DIAP的工作班子得到了以下几个DIAP联络中心的支持:情报共同体(IC)协调中心、关键基础设施保护(CIP)综合联络处、联合参谋处联络中心。DIAP的初等运行能力(IOC)是于1998年6月建成的。
DIAP由两个小组构成:职能评估和整合小组(FEIT)以及项目发展和整合小组(PDIT)。FEIT包含8个职能领域,涉及项目活动的发起、协调及监督。每个职能领域中都有一个小组长(team leader),负责发起、协调、评估职能领域内部以及职能领域间的组织活动。FEIT的8个职能领域分别是:预备工作评估、政策监督和执行、人力资源开发、体系结构标准和系统变换、采购支持和产品开发、安全管理、行动监控和事件响应以及技术和研究。每个职能领域均受到其小组的支持,小组将把其活动结果同DIAP的PDIT(项目发展和整合小组)联系起来,供国防部的计划、规划和预算系统(PPBS)使用。
PDIT为国防部的IA资源提供监督、协调和整合服务。通过使用由FEIT提供的项目方针以及其他信息,PDIT确保这些信息能够在各单位间发布和传达。PDIT将对各单位的IA计划、活动和资源投资进行监控,并评估资源的有效性,从而确保DII的运行以及NII(国家信息基础设施)和GII(全球信息基础设施)对其提供的支持。PDIT还负责为国防部IA的花销基准做出记录,这些花销包括那些用于信息系统安全策略(ISSS)的资金以及国防部其他IA项目所花费的资金。
(2)IAP(基础设施保障项目)
关键基础设施保障项目(IAP)是一项研究和工程学项目,它由国防部长办公室(OSD)和联合参谋处发起,始建于1995年。美国海军是其执行服务军种,特别技术对策联合项目办公室(JTO-STC)负责对其管理。IAP花费了DoD迄今为止的大部分相关投资,不论时间还是资源,来研究解决国防部对商用关键基础设施的依赖性问题。作为这项工作的成果,我们深入研究了其他的方式方法,建立并验证通过了专门适合于国防部任务需求的处理过程和操作步骤。这套为国防部的关键基础设施保护而设计的过程和步骤将依靠JPO-STC的关键基础设施保障项目(IAP)的支持系统,并且还要将JPO-STC的IAP支持系统进行扩展,使之能够解决国防部所有基础设施的需求。
IAP可以为国防部的基础设施保护工作做出如下贡献:
研究CIP分析和保障周期(关键资产确定、国防基础设施特征化、行动冲击分析、脆弱性评估和互依赖性分析)内所有活动所使用的工程方法、工程基准和工程工具,这些方法、基准及工具要能够适用于所有的级别(资产级、设施装备级、国防基础设施级、军事行动级以及整个国防范围级)。
为基础设施独立性分析提供集中化的国防部专家和技术;为把国防部关键资产和国防基础设施映射为国家和国际防御基础设施而提供集中化的专家和技术。
开展基础设施信息安全研究,制定标准;向军事计划、操作和情报提供分析和集成支持;信息工程学研究。
(3)公钥基础设施
公钥基础设施(PKI)由各种可以对公钥证书进行产生、制造、发布、控制和账户处理等操作的框架和服务构成。对于公钥技术的大规模、可互操作性用法来说,PKI显得尤为必要,它可以支持数字签名、保密性以及其他安全服务,从而促进信息的可信电子化交换。因为PKI产品和服务已经在商业市场上得到了开发,像其他联邦机构一样,国防部也对这些产品和服务进行了采纳并经过了必要的改动,以图最大程度地利用这些商业产品和服务,尽可能地减小政府在这方面的昂贵投资。国防部已经建立了很多PKI试验项目,希望这些试验活动能够推动对大规模的PKI上马时将出现的诸类问题和挑战的理解和认识。
为了确保国防部用户之间的互操作性,使操作损耗减至最小,国防部将采用一套具有集中式管理结构的PKI系统,同时这套系统还要支持外部资源利用(outsourcing)和某些PKI组件的分布式操作。企业级的PKI系统将涉及众多的安全令牌技术,它同时支持商业和联邦标准,能够满足国防部内部以及国防部与私营部门单位之间的安全电子交易的全面目标。
为了使国防部的PKI工作得到更多关注,PKI发展路线图和X.509证书政策均已问世。这些文档的制定有助于用户和提供商更好地认识国防部的PKI目标与宗旨,同时他们也是PKI的执行战略和关键技术及过程的发展时间表。在1999年4月,为了加强管理和监督,国防部助理部长(负责指挥、控制、通信和情报)将国防部的PKI管理任务交付给了国家安全局(NSA)和国防信息系统局(DISA)来承担,项目总管来自NSA,副总管来自DISA,项目管理办公室则位于NSA。
此外,国防部副部长还在1999年5月6日制定了部级的PKI政策,以为之提供服务基础和机构战略,从而对国防部的PKI目标的最终实现起到支持作用。国防部的PKI政策如下所列:
强调信息优势的重要性,要求国防部的IA功能要能够处理信息、信息系统及基础设施的多样性与遍布性问题,支持战时和日常业务的运行。
尽可能多地在适当的地方采用COTS(商业现货)技术,以紧跟技术的发展,只在必要的时候才开发GOTS(政府现货)解决方案。
建立国防部PKI的实施时间表,满足所有IA服务的要求,鼓励对可支持PKI的应用程序进行广泛支持,为在整个国防部范围内采用PKI服务提供专业的指导方针。
国防部PKI实施计划时间表如下:
检测和响应(CIP工作中很重要的部分)(内容2~5)
迄今为止,国防部与其他联邦机构和私营部门的CIP工作之间最显著的不同是,国防部在其所有的关键节点中配置了入侵检测系统(IDS),并且对高级IDS做了不断的开发,并建立了JTF-CND组织来管理这项工作。
入侵监控系统(增强性功能)
有几类入侵检测系统正在整个国防部内使用,其中有些是GOTS产品,也有些是COTS产品。前者主要分为以下几类:网络安全监控器、网络入侵检测系统、联合入侵检测系统。
网络安全监控器产品用来观察网络流量,检测非授权的网络活动,并提供实时报警。
网络入侵检测监控产品是一套可以用来检测、分析和确认网络入侵行为的软件工具。
联合入侵检测系统结合了网络安全监控器产品和网络入侵检测产品的最优特性。
入侵检测研究领域目前正在开展的另一项工作称为先期概念技术演示自动化入侵检测环境(AIDE-ACTD)工程。该工程旨在演示各类设备对入侵活动进行检测、显形和报告的能力,目标是发展一种能够对系统是否正在遭受入侵进行判断的功能。这一项目将为我们提供自动化的检测、关联、警报和报告手段,以用于综合的威胁报警和攻击评估。分散于各处的信息系统感应器设备将充分利用从各军种和国防部机构处收集的攻击事态汇报及攻击模式,这项技术可以使我们能够辨别出群攻击,并把那些看似正常的黑客攻击行为过滤掉。我们的下一步目标是把各类相异的感应器的服务功能集成到一起。
计算机网络防护联合特别任务中心(JTF-CND)
JTF-CND负责监控计算机事件和潜在的威胁,协调国防部的工作,为阻止攻击或控制破坏并恢复网络功能而制定相关的活动计划并对其做出指导。
JTF-CND的主要功能是:使针对计算机网络攻击的技术、操作和情报评估工作相同步;评估计算机网络攻击对军事操作和功能带来的冲击,并向国家指挥中心(NCA)和用户团体通报;协调并指导相关的国防部活动,以阻止攻击、控制破坏程度、恢复系统功能并向用户团体提供反馈;评估防御行动的有效性;在需要时与国家通信系统中心(NCS)、位于FBI的NIPC、DoD的执法局(LEA)、DoD反情报组织、民事执法机构、其他跨机构合作系统、私营部门以及各同盟保持协调。
在1999年10月1日,美国空间指挥部(SPACECOM)成为了JTF-CND的指挥机构。下图描述了JTF-CND的指挥关系:
JTF-CND并不是一个决策机构,但是在必要的时候它也将参与政策的制定。JTF-CND不负责处理计算机网络攻击事件,它的工作人员只是监控每日的网络运行情况,为后面的危机处理站好第一班岗位。
成就:1998年12月30日人们建成了JTF-CND的初步运行功能。
国防部在国家事务中的角色
应行政令12333(EO12333)的指示,国家安全局(NSA)局长将为美国政府的通信安全负责。在42号国家安全令(NSD-42)中,NSA局长还要履行国防部作为政府的行政机构所担当的国家安全电信和信息系统安全职责,且NSA局长还要负责NSA对国家安全电信和信息系统安全的管理工作。国防信息系统局(DISA)局长则负责国家通信系统中心(NCS)的管理。NCS是应肯尼迪总统于1963年8月21日签署的总统备忘录而开始筹建并运行的。1984年,第12472号行政令《国家安全和应急战备中电信职能的分配》的发布改变了NCS的任务重心,使其从制定计划和协调政府单个通信系统的职能转移到了其现在的任务职能,即:协助总统和总统行政办公室(EOP)的战时及非战时电信应急响应,协调各种环境下联邦政府的NS/EP(国家安全/应急战备)通信计划和条例的制定。
计算机应急/计算机事件响应功能中心
很多年以前,国防网络就开始经历越来越多的威胁国防部信息系统网络的计算机安全事件。为此,国防部发起了很多相关的行动来对这些事件进行报告和监督。另外,为了保持其机构运行的有效性,国防部还组织了专家组以响应计算机事件并对这些事件造成的破坏进行弥补。自此以后,很多计算机应急响应小组(CERT)和计算机事件响应小组(CIRT)在整个国防环境内成长起来。
国防领域的各个军种和机构的CERT/CIRT同全球网络运行安全中心(GNOSC)之间均存在着相互联系。后者是国防部的企业级CERT,也是国防部同其他政府机构和私营部门的CERT相互交流的窗口。国防领域的各CERT均有一套明确的步骤和过程来定义和报告事件数据并实现信息共享和与响应职能的互为补充。在JTF-CND结构内,GNOSC负责提供CERT/CC(计算机应急响应组/协调中心)服务,保持DII及NII的互联系统及Internet的安全性和稳健性。
国防领域内的大多数CERT是事件响应和安全小组论坛(FIRST)的成员——FIRST是一个国际联盟,由全球各地的很多政府和私营部门组织构成。
成就:国防部和各军种之中已经建立了多个CERT。
对国家基础设施保护中心(NIPC)的支持
国防部在NIPC内有一个分遣队,负责确保国防部关键基础设施保护中的情报、反情报和执法职能的顺利开展。作为NIPC的一部分,国防部分遣队也将执行国家范围内的互依赖性和脆弱性分析,定义国家的迹象发现需求,负责接收、联合和评估各基础设施部门的报告,监督国家的应急和事件响应,另外还要监督重要的国家基础设施重建工作并在必要时协调国防领域内的其他相关活动。
成就:经过国防部与NIPC和执法机关之间的工作努力,人们已经建立了用于同私营部门共享关键基础设施保护信息的步骤和过程。
建立坚实的基础
新技术的发展同时也带来了新的危险,没有人怀疑我们的信息基础设施正处在很多危机之中。在一系列的演习以及实际攻击事件中,国防部已经看到了第一波计算机攻击浪潮的涌起。长久以来,国防部就一直注意在这一领域开展不懈的研发,最近发生的一些事件更促使它加强了对计算机威胁响应的研究工作。
信息系统安全战略(ISSS)
信息系统安全战略(ISSS)是DIAP(国防信息保障项目)的核心部分。该战略具有多角度、多层次的特点,直接针对的是新型或增强性的IA操作功能的运行以及高级IA技术和系统解决方案的配置,该战略还将强化国防部各类人员的IA技术和能力。
在信息系统安全和信息保障政策、标准及体系结构的框架内,DoD ISSS为DII(国防信息基础设施)的纵深防御考虑了集成式的保护层次。它们包括确保应用程序的安全、保护主机和主机附属系统的安全以及保护网络的安全。此外,要坚持执行《安全技术执行指南》和《安全手册》并做到时常更新,还应落实并配置网络入侵检测系统。
NSA、DISA和各军种在该领域内还开展了很多其他的项目。而且,因为信息保障解决方案的正确配置、使用和维护对我们的网络和系统的安全来说至关重要,这些方面也正受到越来越多的关注。
同国防相关的研发活动(内容6)
国防部的关键基础设施保护研发(CIP R&D)计划将充分利用国防部和联邦政府现行的研发项目,制定出一个基础设施及信息保障保护研发活动框架,为国家的其他研发活动提供相互间的补充和利用。
国防研究和工程局局长办公室(ODDR&E)将同国防部的CIAO以及CIP联合参谋处、部门CIAO和各军种/国防部各局的研发活动相协调,以制定国防部的CIP研发计划,满足国防基础设施部门和关键互依赖性研发的需求。此外,它还将同DIAP、CAAP、IAP和其他的CIP相关项目中的现行研发活动保持协调和磋商。
作为国防部的代表和国家CIP研发跨机构工作组联合主席团副主席,国防研究和工程局局长将向国防部的CIAO和CIAO委员会提供反馈和建议,协调国防部和国家之间的研发日程,并代表国防部参与国家研发日程的制定和执行。
(1)DARPA(国防高级研究计划局)的研究活动
从1995年开始,国防高级研究计划局/信息技术办公室(DARPA/ITO)就开始了对长期研发投资战略的探索,以开展信息系统生存力技术的研究。该战略的第一阶段是信息生存力项目(1995—1999年),这一项目弥补了4个领域内的空白:迹象发现和警报(I&预警)、保障和集成(A&I)、高度可靠性网络、计算科学。
ITO的第二阶段投资称为内在生存力项目。该项目将建立在前面的信息生存力项目之上,其重心从上述的4项技术主题转移到对后续挑战层的关注,从局部入侵检测转移到全局入侵评估,从加强对渗透的阻拦转移到对试图击破这些阻拦的攻击行为的抗衡与承受。
(2)信息保障项目
国防部高级研究计划局的信息保障项目主要考虑对信息系统的日益依赖问题,并要确保“正确的人在正确的时间获取正确的信息”。我们所处的环境对信息的传递和保护以及相关服务可用性有着强烈的需求,因此上述考虑是非常必要的。信息保障技术将集成到DII LES(国防信息基础设施前沿业务)的未来版本中,为整个国防部信息系统提供稳健的体系结构。这一项目希望能够开发出藉以减少信息脆弱性的安全框架,同时该框架还要能够提供强化的互操作性和相关功能,使行动指挥官可以及时得到所需信息。
新出现的战略性计算机防御概念就是建立在如上基础之上的,它主要探索了信息保障中的6个关键领域:信息保障科学和工程原理、计算机感应器和入侵检测系统的开发、计算机和网络状态的跟踪和分析、计算机系统指挥和控制工具、防护机制、计算机防护战略。
(3)解决方案的产生和发展
为了迎接网络环境和COTS产品带来的挑战,国防部已经在其很多研究活动中同工业界结合在一起,把工业界看成了其全面的合作伙伴。这些合作活动包括:开发网络安全框架;发展和制造网络安全产品;继续维护和强化传统的安全产品套件,在商业界的解决方案匮乏或不奏效的时候使用。
(4)NSA(国家安全局)研究活动
国防部的系统和网络的安全性依赖于我们对系统及网络的脆弱性了解和掌握的能力。NSA拥有大量脆弱性检测方面的专家,可以提供脆弱性分析支持,它还可以判断安全措施的充分性、评估安全弱点、为预知特定安全措施的有效性而提供必要数据并在这些措施执行后对其安全性能做出全面结论,而且,NSA还可以发现、调查和记录现有及发展中的网络技术中存在的安全脆弱性。
NSA诸研究项目的目标是确保IA解决方案始终紧跟领先的信息技术,并向客户提供重要的安全服务。它研究的技术领域包括主动式网络防御、安全网络管理以及网络安全工程学,所有这些技术均要得到密码和安全通信方面的研究支持。
主动式网络防护为国防信息作战(DIO)提供了研究及高级技术开发资源。这些现行的和未来的研究工作将开发出新型的工具和技术,用来分析各类攻击,指出它们的来源和意图,还要研究相关技术以支持人工和自动化的响应。在未来的网络攻击可视化研究工作中,我们将开发出可以显示多变量数据的原型来,以应付与超大规模系统相关的数据集。在目前已启动的一项新工作中,我们的研究希望能够实现针对各种不同的入侵模式来自动采取合适的网络响应的系统。流动智能体的研究中将调查这项技术在网络攻击检测和响应中的可用性。
安全网络管理将为信息共享、网络控制和信息系统事件监控而开发安全协议,从而对安全管理基础设施(SMI)的操作提供支持。未来的研究工作将制定出安全性得到必要强化的Internet协议规范以及执行参考,并支持国际范围内的标准化团体。其他一些在研项目将分别关注下列课题的研发:多播的安全但非密码类技术、多点传送路由的安全机制、群密钥管理服务等。
网络安全工程学要解决的很多问题对于安全软硬件和网络系统的开发来说是非常重要的。其中,系统边界研究领域内的工作将主要关注网络边界的确定和保护,从而为对付计算机攻击而建立起一系列的监督、控制和防御点。当前,边界保护的主要手段是防火墙,它基于地址数据对通信流进行过滤。而新的研究期望能开发出高性能的边界保护设备,就数据本身或专门协议来过滤数据流。我们的宗旨是高效和高能,尽可能提高数据过滤速率。其他的研发活动中还包括了对高级ATM网络交换技术,如IP交换的安全性能的评估。另外,网络安全工程学也将研究同对象技术的使用相关的诸类安全事项,且这项研究工作将会通过对象管理组(OMG)来完成。
所有的军种及国防机构均同DARPA和NSA有着密切的合作,以便于使其研究结果能够在实际的操作环境中得到运用。这些实际操作环境包括:指挥、控制、通信和计算机环境;情报、监视和侦察系统;武器系统;战区级网络管理;战术作战能力;网络和基础设施生存力等。另外,各军种、NSA以及DISA均还有其他的对应项目,用来支持研究以及技术、基础设施和人力资源的发展。
教育、培训、意识培养和职业化(内容7)
在国防部的信息和基础设施保障活动中,受过培训与激励的人力资源对活动的成功起着决定性作用。国防部系统的高度互联和互依赖性造成了现在的这种公共风险,因此,国防部系统的所有使用、管理、维护人员必须理解国防部系统所面临的威胁,并明确为了减弱这种威胁而设计的有关政策、步骤和设备。
国防部的很多法规和条例中都要求对使用国防部计算机系统的雇员进行培训。培训及职业要求在IA(信息保障)和IT技术的基准评估说明中阐述。当前,一系列连贯的正式IA培训和认证计划正在实施之中。各军种、NSA、DISA都设立了培训中心,这些中心将会紧密合作,提供广泛的培训,使雇员达到规定的要求。
成就:加密系统的用户、系统管理员以及系统维护人员必须在1999年1月前通过认证,非加密系统则要在2000年12月前完成这项工作。
国防部的Infosec(信息安全)项目开发了一系列(到目前为止是17套)光盘和录影带,供整个联邦政府使用。这些材料的内容包括国防部信息战基础、国防部和联邦政府的INFOSEC意识培养、信息时代的技术(IT基础设施概览)、审计和评估人员的信息保障教育、风险中的网络认识以及黑客入侵描述等。
演习和红队的模拟进攻
如同本计划的其他部分所提到的,千年虫危机促使我们迅速制定了演习行动计划。在国防部和联邦应急管理局(FEMA)的联合领导下,人们针对千年虫危机进行了大量的演习。
这些演习测试了千年虫事件可能对国家安全带来的危机,使我们知道了如何分配稀有资源,并考验了联邦各机构所制定的针对性计划的效果。
本篇国家计划对演习工作完全支持和赞同。另外,联邦政府的所有机构都同私营工业的部门协调员合作参与了定期的演习活动,这些演习活动主要关心系统安全、入侵响应、重建方法以及计算机危机中的全面管理。
国防部的红队将继续对安全措施进行测试。通过红队的模拟攻击试验,国防部可以确定一致的目标和通用结构,并将得到很多有意义的可比性结果。此外,红队项目还将对IA过程、系统和组织进行周期性的独立评估,从而对脆弱性提出公正的评价。
对很多重要的国家安全系统或网络来说,不能要求外部力量对其进行脆弱性评估。出于安全的考虑,这些测试要依靠内部小组来完成。
培育公共-私营合作关系(内容8)
为了保护我们国家的关键基础设施,培育政府-工业合作联盟以及同私营部门进行信息共享是必不可少的。关键基础设施保护综合参谋处(CIPIS)在国防部的CIP组织结构占中据中心位置。同时,国防部的设施和装备基地担当了“国防部同设施所在国、联邦、州及地方执法机关、应急服务人员和商业基础设施提供商之间相互交流的窗口”。
CIPIS将与ISAC(信息共享和分析中心)合作,建立起国防部同这些支持部门的合作关系。在国防基础设施(DI)内,CIPIS将在与私营部门代表的合作下定义国防部和私营部门之间的信息(包括加密信息以及商业秘密等)交换步骤。这种级别上的信息共享可以通过双方的协定、开放式论坛或其他交流方式来完成。
在国防部的设施装备级上,政府以及私营部门的DI代表将在一起合作,共同实现国防部内领导单位/CIPIS在其评估计划中确定的需求。政府/工业界的代表将在各级地方政府和相应的私营部门参与的基础上针对设施和装备基地的职能运行需要而提出他们的建议。这些代表还将为当前的某些政府/工业界合作关系典范,如国家安全电信顾问委员会制定信息交换的执行步骤。
推动国际合作
为了追求CIP事务和信息交换中的国际合作并与其他国家、国际组织、多国联盟的CIP项目相协调,有很多事情还有待我们去完成,包括:改进美国本土之外的军事及支持基地的基础设施保障和应急计划的制定;支持情报活动;促进事件相应的协调;理解全球化对美国基础设施带来的冲击;确保当前及未来的CIP和(或)IA国际协定中以适当的方式包含了国防安全服务局(DSS)的执行机制。
CIPIS将在国防部的CIP过程中把国际协定考虑进去,并协调新出现的有关需求。DSS将参与CIPIS的工作,为国际上工业界的安全协定的执行提供建议和支持。