4．本部战略的重点_美国网络安全战略与政策二十年-QQ阅读男生武侠网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

4．本部战略的重点

本节将概要描述后续章节的内容并给出框架。

战略

网络空间的安全密切依赖于下自家庭用户上至联邦政府的全部国家网络基础设施的所有者。全部的个人与组织均需负责自己所在部分的网络空间的安全性。制定本战略的目的是赋予个人与组织在此意义下所需的能力。本文针对如何获得网络安全提供了发展方向，同时也提供了使所有美国人进一步具备该能力所需的工具。

为建立本战略的蓝图，网络空间的各主要组成部分已经着手致力于制定针对各自基础设施的保护计划。其中某些计划已经取得了进展，并在本文有所描述。有关其他计划的内容将陆续被加入。这些计划将共同体现私营部门、政府和个人在积极建立、维护和更新网络空间安全方面所进行的合作。

整体的国家战略目标是赋予美国公众保护自己所处的网络空间的能力。这一战略目标的实现将采用以下六个用于实现上述能力的工具：

（1）意识培养与信息传播：对网络空间的用户与系统所有者进行教育，使他们知晓各自系统中的风险与脆弱性以及减缓这些风险可采取的措施。

（2）技术与工具：开发更为安全的新技术并迅速应用这些技术，以更加安全的方式应用当前已有技术。

（3）培训与教育：开发一支庞大并且高水平的网络空间安全队伍，以便满足业界与政府的需求，革新并增进国家的安全空间维护能力。

（4）角色与合作关系：通过利用市场驱动、教育与志愿者活动、公共-私营部门的合作以及法律法规强化处于各个安全级别上的个人、企业与部门的职责。

（5）联邦的领导：通过以下途径增进联邦的网络空间安全：增加可追究性；实施最佳措施；在持续性的测试、监视与安全实践更新中广泛使用自动化的工具；采购安全且经认证的产品与服务；进行先进的培训并促进技术人员的发展；防范和阻止网络攻击行为的发生。

（6）协作与危机管理：在公共、私营部门内部及其相互之间采取预警并实现信息共享，以便对攻击行为进行快速检测并做出有效响应。

本战略将以如下两种方式反映这些主旨：①在对各部门的介绍中将说明与之相应的战略目标；②在有关该部门的具体内容中重点说明以实现该战略目标为目的的正在执行的计划、建议和讨论主题。

本节将概要描述这些战略和支持性内容。这部国家战略将为行动方案提供新的建议，并提出为数众多的新问题和有待进一步争论的主题。联邦政府的目标是以此推进在这些争论的基础上形成建议的过程。某些建议将得到进一步发展；反过来，一些建议甚至将成为个人、组织或政府的行动。

（1）各部门的建议概要

本部国家战略号召各级基础设施部门进行响应。以下是本战略号召的一些需要集思广益的主要创新。后文将对这些内容进行深入讨论。

（2）意识培养与信息传播

本战略指出：必须提高对于美国的关键基础设施中所存在的脆弱性的认识，必须提供有助于个人、公司、组织和机构参与增进网络空间安全性而所需的信息。这部分建议包括：

家庭用户和小型企业应该意识到它们在实现网络空间安全中的重要角色，包括实现其各自计算机系统的安全性、依据众多站点（包括www.StaySafeOnline.info、www.nipc.gov、www.crsc.nist.gov）所提供的信息以安全的方式访问Internet。

总统关键基础设施保护委员会下属的意识委员会应加强公共-私营部门的合作，以便开发和传播网络空间安全意识培养材料，尤其是针对不同群体的且可用于年度意识培养的工具与资源。

州和地方政府以及私营实体应该针对不同年龄阶段的学生确定并提供包括如下内容的指南：网络空间意识、文化、培训、教育（包括网络空间中的道德行为教育）。

（3）技术与工具

本战略指出：必须增加与网络空间安全有关的研究。这部分建议包括：

公共-私营部门的合作应首先尽力开发最好的措施和技术，以提高应用于日常设备、生产制造业以及其他网络中的数字控制系统（DCS）和监督控制与数据采集系统（SCADA）的安全性。与此同时，依赖于这些系统的石油运输管道与电力传输网的所有者和运营方应密切关注网络连接中的风险并采取正确措施，如实施全天候的安全认证。其他密切依赖这些系统的工业界也应有相同考虑。能源部近期发布的指南提供了用于改进SCADA系统安全性的信息。

总统关键基础设施保护委员会应该与科技政策办公室（OSTP）主任就联邦政府研究项目进行合作，研究计划应该包括短期（1～3年）、中期（3～5年）和长期（5年以上）的信息技术安全研究。联邦政府资助的2004财年的短期信息技术安全优先研究项目应该由OSTP和R&D委员会负责确定。这些项目包括：入侵检测；Internet基础设施安全（包括BGP、DNS等协议）；应用安全；拒绝服务；通信安全（包括SCADA系统中的加密与认证）；高保障系统和安全系统集成。

公共-私营部门的合作应该确定跨部门的网络空间和物理互依赖性。在《国土安全国家战略》中提议的项目的协作下，应制定有关计划来减少相关的脆弱性。这一目标可以在国家基础设施仿真与分析中心的协助下达到。

（4）培训与教育

本战略指出了对于合格的信息技术人员的需求与美国在培训这些人员方面的能力之间的鸿沟。这部分建议包括：

州政府应该在州立大学中建立网络空间警察服务奖学金计划，以此对同意在毕业后为本州工作作为回报的信息技术安全专业的本科生与研究生进行资助。现有的联邦政府网络空间警察服务奖学金计划应该适当地在更多的大学中得以推广，包括补充师资和提供奖学金资助。该计划也应增加在社区学院中补充师资和提供奖学金资助的内容。

CIO委员会和相关的联邦机构应该考虑建立一个负责承担联邦网络安全与计算机取证培训计划的“网络空间研究院”。

信息技术安全人员、合作团体和其他适合的机构应该共同尝试确立一种可行的国家级资格认证计划。联邦政府将帮助确立该项计划，并在该计划确定之后考虑要求联邦的信息技术安全人员通过该项认证。

（5）角色与合作关系

本战略指出：全体美国人在网络安全的实现过程中都扮演着各自的角色，同时，可以在实现该安全性的过程中采取市场机制激励现有的相关行动。这部分建议包括：

CEO应考虑成立企业安全委员会，负责整体考虑本企业的网络空间安全、物理安全和可操作性。

州和地方政府应考虑在其部门和机构中建立包括如下内容的信息技术安全计划：意识培养、审计与标准。地方政府应提供该计划所需的帮助、资料和计划范例。

以主要Internet服务提供商为首的这些提供商（ISP）应考虑采用“良好的产品规则”制度来管理其网络空间。该制度也适用于不同ISP之间的合作。

联邦政府应该确定并排除那些阻碍公共-私营信息共享的壁垒，并为增进网络安全而鼓励及时的双向数据交换。

学院和大学应考虑联合建立：①一个或多个用于应对网络攻击与脆弱性的信息共享和分析中心（ISAC）；②用于赋予主要信息官员对网络安全进行讨论的范例指南；③一种或多种最优化的信息技术安全实践；④用户意识增进计划与材料范例。

（6）联邦领导

本战略强调使联邦网络空间安全成为美国的网络空间安全范例的迫切性。这部分建议包括：

以增加更多安全性产品的采购为目的，联邦政府将在2003财年第四季度之前完成对国家信息保障联盟（NIAP）的综合考查，以便做到：①确定NIAP在现有资金支持力度下将获得的信息保障程度并明确所获安全性能与目标之间的差距；②该计划是否为消除这一差距而确定了发展目标，是否正在试图缩小这一缺陷，该计划的改进、调整或进一步扩充所能达到的合适并且代价合理的信息保障水平。

联邦政府部门应继续扩大自动化的企业安全评测和安全政策实施工具的应用程度，并为免受攻击而积极采用威胁管理工具。2003财年第三季度结束之前，联邦政府将针对是否有必要采取具体行动以便进一步促进这些工具的使用进行决策。

2003财年第二季度结束之前，针对某个选定的政府部门的业务流程，基于安全和应急战备的演习来考查成本有效性。经过这些演习所发现的任何安全弱点均应包含在各机构的《政府信息安全改革法》（GISRA）的矫正计划中。

联邦政府各部局必须在采用无线技术时对安全风险进行充足的考虑。联邦政府应考虑安装能够不间断地检查网络上是否存在非授权的无线连接情况的系统。联邦政府机构应该仔细阅读NIST发布的有关无线技术采用的最新报告并考虑NIST的建议。以此为基础，联邦政府机构应该在其机构政策与业务流程中慎重考虑附加风险并采取风险消除措施。这些措施包括强加密、生物认证、保护标准与其他的技术性安全考虑、配置管理、入侵检测、安全突发事件处理以及计算机安全教育与意识培训。

机构的年度信息技术安全审计应该包括对于与信息技术相关的隐私规则的审查。

（7）协作与危机管理

本战略强调了对于综合性的国家分析与预警特性的迫切需求。这部分建议包括：

ISP、硬件与软件经销商、与信息安全相关的公司、计算机应急响应小组与ISAC应该通力合作，考虑建立一个物理或逻辑形式的网络空间运行中心（Cyberspace NOC），以便为支持美国的Internet正常和可靠运行而进行信息共享与合作。该中心可能是一个非政府机构并由私营部门负责管理，联邦政府将与该中心进行合作。

业界应该在与联邦政府的自愿性合作中完成并规律性地更新网络安全突发危机应急计划，包括Internet功能恢复计划。

执法和国家安全界应开发一个用于检测针对国家安全的网络攻击（即网络战）的系统，并制定一个即时响应计划。本过程应该允许适当的部门提出各自的要求和待选方案。

信息系统网络与网络数据中心的所有者与操作者应该考虑建立针对突发事件的补救性应急计划，以便减少针对这些网络的大规模物理性破坏所造成的损失。联邦政府将在需要的情况下负责对各参与方进行协调并提供技术援助。

为鼓励建立用于检测和阻止网络攻击行为的国家和国际监察与预警网络，美国应该与其他国家、非政府机构（如FIRST）和国际组织（如ITU）加强合作。这些网络同时将有助于对网络攻击行为进行调查和响应。

（8）针对不同级别用户的六种实施工具

本战略提供了一个帮助美国理解其网络空间安全维护使命的行动路线。为使本战略具有更现实的指导意义，我们将它所涉及的对象划分为以下五个级别：

第1级，家庭用户和小型商业机构；

第2级，大型机构；

第3级，包括政府、私营企业和高等教育在内的部门；

第4级，国家事务和工作；

第5级，全球事务讨论。

各级别及其子级别分别具有各自的战略目标。这些目标的实现将得到国家所采取的战略行动的支持。

这六种工具将帮助推动各个级别中的相关行动。其中的部分或全部将在各级上得以应用。例如，“意识培养与信息传播”将帮助家庭用户、私营部门的雇员和联邦政府的工作人员实现其所处的网络空间的安全。不同级别具有各自的“角色与合作关系”描述。并非所有的工具都将被用于各个级别，但是它们将共同促进美国在实现国家网络空间安全方面进行的所有努力。