6．优先事务Ⅱ：国家网络空间安全威胁和脆弱性消减计划

网络上的恶意行为者可能是个人、犯罪集团、恐怖分子或国家。攻击者有很多种，他们都在寻求利用软件、硬件、网络和协议中存在的脆弱性以达到各种各样的政治或经济目的。随着我们对网络的依赖性越来越强，恶意人员可能造成的破坏面也越来越大。

等到知道恶意人员即将利用特定的脆弱性实施攻击才采取行动是一种危险的做法。并不是所有攻击发生前都能得到预警信息，而即使能够得到预警信息，有些脆弱性的矫正可能也会需要花几天、几星期，甚至几年的时间。因此，对于关键网络来说，必须在威胁出现之前找到并矫正脆弱性。最为危险的脆弱性必须优先处理，并以一种系统化的方法加以消除。

随着技术的更新和新系统的引进，我们的战略不可能消除所有脆弱性或震慑所有的威胁，我们将采取以下三项措施：

（1）执行有效的计划以发现并制裁恶意行为者，从而达到减少威胁并震慑犯罪的目的。

（2）寻找并矫正已知的最可能对关键系统造成破坏的脆弱性。

（3）开发存在较少脆弱性的新系统，对新出现的技术实施评估以发现其脆弱性。

联邦政府无法单独完成这些任务，只能与州、地方政府和私营机构合作完成这些工作。很多联邦机构必须参与其中，这些机构的工作由国土安全部领导协调，是整个脆弱性消减计划的一部分。

本节将讨论这一项目的构成，包括联邦项目（现有的项目以及将提交预算审核的项目）以及联邦政府向其合作伙伴推荐实施的行动。政府将通过提高人们的意识以促使个人、公司和其他私营组织实施脆弱性消减计划，在“优先事务Ⅲ”中将描述用以提高安全意识的项目。

A．减少威胁和震慑恶意行为者

（1）加强司法机构预防和起诉计算机犯罪的能力

《保护网络空间的国家战略》特别关注那些对网络基础设施实施破坏并可能对经济和安全造成严重破坏的威胁。通过发现那些可能造成严重破坏的威胁就可以减少对国土安全、国家安全和经济的威胁。司法机构和国家安全部门在防止网络攻击这一工作中发挥着关键的作用。司法机构还在对犯罪行为实施调查和审判并在断定攻击源方面发挥着核心角色。

很多基于网络的攻击是犯罪行为。根据司法部就计算机犯罪与知识产权方面的规定，负责追查罪犯并尽快对其实施审判的核心机构是FBI的网络处和联邦特工处。在攻击发生后，快速反应可以遏制攻击的速度并最终减少其造成的损害。现在国家已有相应的法律和机制来确保能对大型事故迅速做出响应。理想情况下，在发生这种事件之后，必须对作案人员实施调查、逮捕和起诉。

然而，减少威胁并不只是对犯罪人员实施起诉这一种手段，分析并发布司法部门在调查中得到的实际信息将有助于提高国家基础设施的安全性。例如，通过FBI的Infragard计划、联邦特工处的电子犯罪特别工作组等几个计划，司法机构可以与私营部门共享从网络攻击中获得的经验教训。调查中收集到的信息可以为联邦政府和私营部门检查其网络安全提供一系列的技术，使得他们能够将有限的资源投入到处理其机构中特定的风险上。

司法部和FBI必须与国土安全部紧密合作，以确保它们能以适当的方式与ISAC及其他非政府实体共享在调查过程中收集到的信息，从而改善关键基础设施部门的风险管理能力。

国家将追查对网络实施攻击或试图实施攻击的人员并对其做出处理，从而达到防止、震慑和明显减少网络攻击的目的。对网络犯罪来说这项工作包括快速逮捕以及在适当情况下实施严厉的惩罚。

司法部和其他相关机构将通过以下方法来减少网络攻击和网络威胁：①设法改善从事关键基础设施和网络安全工作的联邦政府、州政府、地方政府的有关部门与私营企业之间在信息共享和调查协调方面的工作；②设法为调查和取证提供足够的资源和培训，以便快速调查并快速解决关键基础设施事故；③充分研究网络犯罪和入侵的对象，以掌握安全问题涉及的范围并及时跟踪情况的变化。（A/R 2-1）

（2）制定国家脆弱性评估过程，以更好地了解威胁和脆弱性可能带来的后果

为更好地了解如何进一步发现并防止攻击，国家必须知道其面临的威胁是什么。到目前为止，并没有对战略性网络攻击可能导致的影响做过全面的评估。由于其他国家和恐怖分子正在加强网络攻击能力，因此很有必要研究这些攻击可能造成的影响以及消除其影响的可行方法。

国土安全部将协调适当的联邦机构和私营部门，对国家的网络威胁实施评估，确定各类目标可能造成的攻击影响。（A/R 2-2）

B．标识并矫正已有的脆弱性

减少脆弱性需要占用很多资源，因此，国家在标识并矫正脆弱性这项工作上必须采用成本有效及系统化的方法。美国必须消除网络的四个主要组成部分的脆弱性，包括：（1）Internet的运行机制；（2）数字控制系统/监督控制和数据采集系统；（3）软件和硬件；（4）物理基础设施和相关设施。这四个部分与国家的关键基础设施有着复杂的关系，消除这些重要领域的脆弱性将有助于减少关键基础设施和服务受到攻击的可能。

（1）改善Internet机制的安全性

为加强Internet的安全，开发和实施保护机制是Internet的所有者、运营者和用户的共同责任。为确保Internet核心功能可以安全地发展，私营部门要起到领导作用。适当情况下，联邦政府将继续支持这些工作。其目标是开发出安全、强健的机制，使得Internet在现在和将来都能满足国家的需要。这包括加强Internet协议的安全性、加强负责转发数据的路由器的安全以及实施有效的管理机制。

a．改善关键Internet协议的安全性和韧性

对于Internet基础设施安全性而言，最为重要的是确保以下三项关键协议的可靠性和安全性：IP、DNS和BGP。

（i）IP。当前的Internet基于IPv4协议。有些组织和国家正转向新版的IPv6协议。IPv6相对于IPv4有一些优点，除了提供大量的地址外，它在改善安全性方面也有新的特色，包括IPSec功能以及一些新的应用。有的国家在采用IPv6方面显得很积极，日本将在2005年实现将其网络基础设施改造为基于IPv6协议的目标，欧盟已经开始了采用IPv6的工作，中国也正考虑尽早采用IPv6。

美国必须充分理解改用IPv6的优点以及这项工作的难点，并在此基础上制定改用IPv6的计划。联邦政府可以在其自己的网络上率先使用IPv6，并协调相关私营部门参与这些行动，从而使得人们对这项工作更为理解。

商务部将组织一个特别工作组研究与IPv6相关的工作，研究内容包括政府在这项工作中的职能、国际合作、IPv4到IPv6的安全转换、成本和利益。特别工作组将征求那些可能受影响的企业的意见。（A/R 2-3）

（ii）加强DNS服务器的安全。DNS将确保数据包通过Internet正确传输的中心数据库，如果无法访问该数据库或者该数据库受破坏后无法迅速恢复，则会导致信息无法正确传输。攻击者可以向DNS服务器发送大量的数据或请求，从而导致DNS服务器拒绝服务，或者通过入侵该系统对其数据实施破坏导致DNS服务器无法正常使用。2002年10月21日，有攻击者攻击了支撑DNS服务的13个根服务器并使其性能下降或无法提供服务，这表明了Internet的一个脆弱性。出现这种攻击说明必须尽快采取措施使得这种攻击更难实施或无法造成严重后果。

（iii）边界网关协议（BGP）。在Internet上使用的各种路由协议中，BGP是最可能受到黑客攻击并导致大规模拒绝服务的一种协议。BGP用于连接数千个网络，从而构成整个Internet，其作用是在不同的网络之间交换路由信息。这些网络可能是由不同的管理人员管理的，使用的管理策略或协议也可能不一样。

在Internet上传播错误的路由信息可以造成Internet的一部分甚至大规模的拒绝服务。例如，错误的路由信息可能造成“黑洞”，也就是使得发送到某个网段的数据包无法到达目标地址。这种攻击还可能在某些其他类的大型路由/交换系统中产生级联影响，即一个交换设备的错误将导致与其相连的网络出现错误，并进一步扩散，最终导致更大范围的错误。

采用更为安全的BGP和DNS服务对网络的所有者、运营者和用户都有好处。为解决这一问题，IETF（一个由Internet用户、所有者和运营者组成的自发性私营组织）组建了若干小组来研究如何加强BGP和DNS的安全。这些小组已取得了一些进展，但是它们的工作受到了技术的制约，而且也缺乏必备的协调机制。

Internet的安全性和运行的连续性在很大程度上取决于是否能够改用更加安全的BGP和DNS。国家对如何促进这一工作非常关注，在私营部门的工作需要协调或者缺乏激励机制时，政府必须发挥推动这一工作的作用。

b．改进Internet路由机制

Internet路由器的一些设计特性使其相对来说更易于受到攻击，特别是通过拒绝服务消耗路由器的处理能力。通过采用地址检验和带外管理可以从根本上改善Internet的路由机制。

（i）地址检验。当前对于如何减少拒绝服务攻击造成的影响几乎没有有效的解决方案，因为路由过程中没有对地址实施校验和审计，使得无法判断攻击的来源并实施过滤。目前Internet基础设施的一个最大的弱点就是没有对源地址实施检验。而对于抵抗很多攻击来说，使Internet基础设施能够过滤伪造源地址的数据包是至关重要的步骤。

（ii）带外管理。之所以很难消除拒绝服务攻击的影响，是因为这种攻击导致了用于实施控制的数据无法到达路由器。独立的控制网络（通常称为带外管理链路）是一种能够用于抵抗拒绝服务攻击的技术手段。

国土安全部将考虑增加改善路由器安全的研究的必要性，包括采用新的技术或者改良数据传输方法以改善路由器安全。国土安全部将特别跟踪带外管理和地址过滤技术的进展，并将向政府部门和私营部门推荐一些操作流程，使其能够提高网络的效率和可用性。另外，国土安全部将和私营部门一起研究在现有技术条件下增强路由器安全性的最有效途径和难点。

c．改进管理

对Internet（包括该网络上的数据和支撑该网络的设备）采用较好的管理措施也可以在很大程度上提高Internet基础设施的安全。国土安全部将和Internet的所有者及服务提供商一起工作，研究并推广最好的管理经验。国土安全部还将特地与网络服务提供商一起制定一项公认的网络管理“行为规范”，这项工作将参考联邦通信委员会（FCC）中的网络可靠性和互操作性委员会（NRIC）等机构发布的文档。

国土安全部将和商务部及其他机构一起，协调公共机构和私营部门之间的合作，以促进相关机构：①采用更为安全的协议；②开发更为安全的路由技术；③采纳“行为规范”，包括网络安全管理和相关的合作方面的规范。国土安全部将支持这些工作，在必要的情况下提交相关的预算计划。（A/R 2-4）

（2）推广使用可靠的数字控制系统/监督控制和数据采集系统

在过去的20年里，美国的很多行业迅速转向采用数字控制系统（DCS）以及监督控制和数据采集系统（SCADA）来管理和监控各种设备。DCS/SCADA是基于计算机的系统，很多基础设施部门和行业采用它来远程管理原由手工处理的操作流程。几乎每个经济部门都采用了DCS和SCADA，包括供水、运输、化学品、能源和制造业。DCS/SCADA系统越来越多地使用Internet传输数据，而不是像以前那样使用封闭的网络。

确保DCS/SCADA的安全是一项重要的国家事务，破坏这些系统可能对公共健康和安全造成严重的影响。然而，以下几个因素使得加强这些系统的安全变得很复杂。首先，加强安全性需要在系统建设、研究和开发方面增加投资，而各个公司可能无法支付这些费用，或者就公司自身而言认为增加这些开销是没有必要的，这些研究需要由多个基础设施运营者或企业共同参与。其次，现有技术的限制可能阻碍安全措施的实施。例如，DCS/SCADA系统通常是需要少量供电的小型的独立系统，在其体积和供电量的限制下，很多安全措施很难应用。另外，这些系统是以实时模式运行的，采用安全措施可能会降低其性能并对整个大的系统的同步造成影响。

在保护SCADA系统的安全上，私营部门和公共机构都必须发挥作用。国土安全部将协调能源部和其他相关部门一起与私营部门合作，确保各个行业的投资者和用户对DCS/SCADA系统的脆弱性以及利用这些脆弱性可能造成的后果有深刻的认识。对于DCS/SCADA系统的运营者，必须就DCS/SCADA相关软硬件的安全实施培训和上岗资格认证。另外，国土安全部将和私营部门一起制定相关的安全标准和安全政策。

开发足够的测试环境以及开发延迟极低的链路加密/认证、密钥管理和网络状态监控技术对于增强DCS/SCADA的安全都有很大的帮助。

国土安全部将协调能源部和相关机构，与各个行业合作，制定最佳实践措施，研究新的技术，以增强DCS/SCADA的安全性，判断最关键的DCS/SCADA站点并制定改善这些站点安全性的优先计划。（A/R 2-5）

（3）减少并矫正软件脆弱性

第三个关键安全事项是基础设施中软件脆弱性导致的安全问题，每天都有新的软件脆弱性被发现，攻击者可以利用这些脆弱性实施攻击。目前每年大约发现3500个脆弱性，通常都是由相关的厂家发布补丁供人们下载以矫正这些脆弱性。

很多已知的脆弱性虽然有相关的解决方法，但是在很长时间内并未得到矫正。例如，多数网络攻击采用的是最常见的十种网络安全脆弱性，这是多个原因造成的。很多系统管理员没有受过足够的培训，可能也没有足够的时间去判断其系统需要安装什么补丁。很多需要打补丁的软件对一系列互联的系统都有影响，在给其打补丁之前必须经过很长时间的测试。如果系统是一个核心系统，可能很难关闭该系统去安装新的补丁程序。

关键基础设施上的未打补丁的软件使得这些基础设施容易遭到入侵。软件脆弱性还可用于传播蠕虫，这可能造成拒绝服务或其他严重的后果，这些脆弱性还可以被用于获取基础设施的控制权。改进对这些脆弱性的矫正速度、范围和效率对于公共部门和私营部门都非常重要。

有几种措施有利于改善当前的局面。首先，国家需要有一个更好的发现脆弱性的项目，这个问题较为复杂，因为发现脆弱性既有利于加快制定解决方案也可能助长攻击。其次，脆弱性信息的共享机构必须是独立于投资者、安全公司和公众的一个中立机构，政府现在正资助这类机构，但是资助的程度和方式还需要进一步研究。

国土安全部将和国家基础设施咨询委员会及私营部门一起制定发现脆弱性的计划和机制。（A/R 2-6）

加快发布软件补丁的另一个步骤是建设通用的测试床。在这些测试床上运行政府机构和公司常用的应用程序，可以帮助不同的用户对补丁程序可能造成的影响进行统一的一次性测试，这有助于加速补丁程序的应用。

总务管理局（GSA）将和国土安全部一起为联邦政府建设一个软件补丁信息交换站。国土安全部将和私营部门共享其经验，推动各个行业自愿参与为包括大企业在内的其他部门建设一个类似的信息交换站的工作。（A/R 2-7）

最后，必须寻找矫正脆弱性的最佳方法并与各个领域共享，包括系统管理员的培训需求、自动化工具的应用以及实施脆弱性矫正管理流程。国土安全部将和各个公共及私营实体一起制定和传播这些方法。在网络产品出厂的默认配置中采用更为安全的配置则有助于用户更为安全地使用这些产品。

政府鼓励软件行业在其产品开发过程和默认安装时考虑更多的安全特性，包括：①在产品中加入提高用户安全意识的功能和特性；②易用的安全功能；③尽可能为安全相关的工作提供指南和最佳实践措施。（A/R 2-8）

（4）理解基础设施的互依赖性并提高网络系统和通信系统的物理安全

当一个基础设施遭到破坏时，其他基础设施也常常会受到影响。甚至网络空间中的破坏性事件也会影响到物理空间，反之亦然。一列火车在巴尔的摩隧道出轨后，芝加哥的Internet的速度也受到了影响；而由于墨西哥州的某次篝火晚会破坏了天然气管道，硅谷内与IT有关的产品纷纷止步不前；地球上空数百英里处的卫星失控后，受到影响的银行客户便无法再使用其ATM。

网络空间同时也有很多物理形式的表现，如通信和Internet网络就要靠建筑物和导线所支持。在设计和建造时，这些物理元素已经包含了冗余特性，可以避免单点故障。然而，运营商和服务提供商仍应彼此合作，共同分析其网络，增强网络的可靠性和冗余特性。联邦通信委员会（FCC）下的网络可靠性和互操作性委员会以及国家安全电信咨询委员会将参与这一工作，并标识政府在哪些方面的行为不利于增强国家的网络安全。

国土安全部将积极工作以减少关键基础设施之间的互依赖性和物理设施的脆弱性。

国土安全部将建设并领导公私合作联盟以发现不同部门之间的互依赖性，包括网络和物理上的互依赖性。这些合作联盟将制定脆弱性的消减计划，并与《国土安全国家战略》中提出的计划联合发挥作用。国土安全部的国家基础设施仿真和分析中心（NISAC）将支持这一工作，该中心将开发一套模型来描述网络和物理上的互依赖性所带来的影响。（A/R 2-9）

在接到请求或在必要时，国土安全部将支持信息系统网络的所有者或运营者以及网络数据中心制定系统矫正以及应急计划，以减少大规模物理破坏可能对上述网络的支撑设施造成的破坏，并制定限制访问关键设施的操作流程。（A/R 2-10）

C．开发带有较少脆弱性的系统，评估新兴技术的脆弱性

在国家采取措施以提高现有系统安全性的同时，还必须确保待建的网络系统和基础设施是安全的。随着我们的日常经济生活对网络基础设施的依赖性越来越大，这越发显得重要。未来的安全要求我们对网络空间安全这一课题做更多的研究并努力开发更为安全的产品。

（1）对联邦的研发日程做优先级排序

与脆弱性的逐步增加相适应，联邦政府必须增加对下一代网络安全技术研究的投资。为确保未来几年研发的进展能与不断变化的技术环境相适应，必须确保投资计划的灵活性。

国家将优先考虑网络安全方面的研究并提供必要的资源。新一代的技术将使得Internet能够满足快速增长的通信需求和电子商务的需求，只有新一代的网络系统广泛建立起来之后，更为高级的网络应用才可能投入使用。因此，在国家的科研工作方面，必须优先支持将网络空间改造为一个安全的、高速的通信基础设施。这一工作中包含很多重大的研究，国家的所有部门和所有资金都必须优先考虑网络安全研究工作。

为满足这一要求，科技政策办公室（OSTP）的主管将协调这一开发工作，每年更新研发日程。在联邦政府的研发日程中，从2004财政年度及其后续几年里安排了前期（1～3年）、中期（3～5年）和后期（5年或更长）IT安全研究计划。在所有工作中，当前优先考虑入侵检测、Internet基础设施安全（包括BGP和DNS等协议）、应用安全、拒绝服务攻击、通信安全（包括SCADA系统加密和鉴别）、高保障系统和安全系统集成。（A/R 2-11）

为优化与私营部门相关的研究工作，国土安全部将提供足够的机制来协调高校、业界和政府的研发工作，在必要情况下将建设新的机制。（A/R 2-12）

网络安全研究工作的一个重要目标是开发高度安全、可信、具有较强自恢复能力的计算系统。未来的计算机、Internet或其他网络系统会变得非常可靠，就像现在使用电灯和自来水一样。

国家必须设法确保未来建设的网络基础设施自身就是安全可靠的，国家将在财政预算范围内，通过国家网络空间安全研究日程安排来开发高度安全可靠的系统。

政府鼓励私营部门在近期的研发工作中，优先考虑开发高度安全可靠的操作系统。如果这种系统开发完成并通过评估，联邦政府将考虑增加财政预算，增加对这类系统的定购量。（A/R 2-13）

另外，国土安全部将推动国家级的公共-私营合作项目，推广用以提高软件代码开发的完整性、安全性和可靠性的经验和方法，包括在开发过程中减少错误代码、恶意代码和后门的流程与步骤。（A/R 2-14）

（2）评估并保护新兴系统的安全性

引入新兴技术就可能带来新的脆弱性，有些新兴技术带来的安全问题需要很长时间以后才得到修正，而且修正的难度很大，有时甚至根本无法修正。只要驾车到一个城市里兜一圈，就可以访问到很多无线局域网，而且不必知道这些无线局域网的所有者是谁，除非在这些系统中加入强安全措施。

随着电话、PDA和很多其他的移动设施采用了更为高级的操作系统和上网功能，必须在这些设备中加入一些安全特性，以防止有人利用它们对无线网络甚至对Internet实施分布式攻击。

新兴研究领域还可能引入一些不可预知的安全问题，在这些技术中，光学计算的出现，更远的如纳米技术和量子计算的出现，都可能彻底改变当前的网络空间和网络安全问题。国家必须站在这些技术的最前沿并深入理解这些技术对网络安全带来的影响。

国土安全部将协调OSTP和其他相关的机构，促进公私研究机构以及安全界的交流，以确保新兴技术能定期接受国家科技委员会内相关部门的检查，查看其是否与国土安全和网络空间安全的要求相符，以及是否与联邦研究日程相符。（A/R 2-15）