7.优先事务Ⅲ:国家网络空间安全意识和培训计划
政府鼓励网络空间中的用户都来帮助政府去保护各自能够影响或控制的网络空间。
为此,用户必须获知防止入侵、网络攻击以及其他破坏行为的基本知识。网络空间的所有用户都有责任保护网络的安全,不仅是为了其自身,而且是为了整个网络空间的安全和健康发展。
除了不了解现有信息系统的脆弱性之外,至少还有两个重要的因素阻碍了用户或管理人员采取行动来保护网络的安全:①缺乏对网络空间安全问题的了解,知识及认识程度不够;②缺乏足够受过培训或通过认证的系统安全人员。
本项优先事务包括以下内容:
实施一项全面的国家级意识培养项目,使得包括商人、普通员工、一般民众在内的所有美国人都能够保护其自身所处的网络空间的安全。
实施足够的培训和教育项目,以支持国家网络空间安全的需求。
提高现有的联邦网络空间安全培训项目的效率。
推动私营部门对得到良好协调的、广为认可的网络安全专业认证体系的支持。
对任何成功的国家级网络空间安全工作来说,关键的是要提高人们(包括任何层次的用户和管理人员)的网络安全意识并拥有一支得到足够培训或经过认证的IT安全专家队伍。联邦政府自身无法承担或管理这一方面的所有工作,为做好这一工作,联邦政府必须与工业界、其他政府或非政府人员合作。
很多联邦机构必须参与这项工作,国土安全部在其中将承担领导和协调的角色。这一工作将包括以下联邦项目和活动(包括即将提交财政预算的项目和活动),联邦政府将向其合作伙伴推荐实施这些计划。
A.意识培养
(1)实施一项全面的国家级意识培养项目,使得包括商人、普通员工、一般民众在内的所有美国人都能够保护其自身所处的网络空间的安全
在很多情况下,网络安全问题的解决方法是存在的,但是需要这些解决方法的人却并不知道这些方法或者不知道如何获得这些方法。有时人们甚至没有意识到必须保护网络的安全。例如,小型商业机构可能没意识到为其Web服务器设置默认口令可能会导致任何人都能控制该系统。在提高用户和操作人员对安全需求的敏感性上,教育和推广发挥着非常重要的作用。这些活动对于本战略中讨论的所有内容来说都是非常重要的组成部分,从工业界保护数字控制系统的安全,到家庭用户访问Internet的安全,教育和推广都将发挥着重要的作用。
国土安全部将与相关的联邦、州和地方实体以及私营部门相协调合作,推动全面的网络安全意识培养行动,其内容包括针对特定对象制定相应的培训教材,扩大“安全在线”(StaySafeOnLine)活动,面向工业界中为安全做出突出贡献的人员制定奖励项目。(A/R 3-1)
增强安全意识和增加培训将使得私营部门、各种组织和个人都能够保护其网络空间的安全。网络上一个实体的行动可以立即对其他实体产生很大的影响,因此,各个实体保护其自身网络空间安全的行动将对整个网络空间安全有很大的帮助。例如,近期一些被控制的计算机被用于攻击Internet上的DNS根服务器,使得大量的用户无法正常访问Internet。通过提高网络安全意识,使得各个层次的用户增加对网络安全问题及其解决方法的了解,将促使他们行动起来保护网络空间的安全。国土安全部将领导一项用以提高用户的网络安全意识的工作。
a.家庭用户和小型商业机构
家庭用户和小型商业机构不是关键基础设施的一部分,但是,他们的系统正越来越多被攻击者控制并用于攻击关键系统,因此,增强这些用户的安全意识将有助于进一步增强基础设施的安全。家庭用户和小型商业机构通常是对网络安全了解程度最低的人群。
国土安全部将与其他部门及私营部门合作,对普通的家庭用户、学生、小孩和小型商业机构实施培训,传授基础的网络安全知识。作为这项工作的一部分,国土安全部将和教育部及州和地方政府一起,在小学和中学中增加对网络安全的培训。另外,联邦贸易委员会将继续通过http://www.ftc.gov/infosecurity为消费者和小商业机构提供网络安全方面的信息。
国土安全部将和教育部一起,在合理的预算下,鼓励并支持州、地方和私营组织制定针对中小学生网络安全学习的项目和指南。(A/R 3-2)
近几年,越来越多的用户使用“一直在线”的方式与Internet相连,如使用电缆MODEM、DSL、无线上网或卫星系统,这使得家庭用户和小型商业机构的系统安全日益显得重要,其安全性不仅对这些用户自身非常关键,而且对于这些用户通过Internet所连接的系统也非常重要。例如,这些网络连接意味着可以发送更大数量的数据,而且可以以连续的数据流的方式,攻击者可以利用这些特点来对其他系统实施攻击,甚至可能对全国的网络造成严重的破坏。Internet服务提供商、杀毒软件公司以及操作系统/应用软件开发商均可为家庭用户和小型商业机构提供商品和服务,这些机构有助于提高这些用户的网络安全意识。
家庭用户和小型商业机构可以通过保护自己的网络连接的安全以帮助提高国家网络空间的安全。个人或企业的计算机操作人员可以通过安装并定期更新防火墙软件、安装最新的杀毒软件、定期更新操作系统和应用程序以增强系统的安全性,这将有助于增强网络空间的安全性。为促进用户采取这些保护措施,国土安全部将组建一个由私营公司、组织和消费者群组成的工作组,通过该工作组,信息技术产品和服务的提供商或其他组织可以找到使家庭用户和小型商业机构更易于保护其系统安全的方法。(A/R 3-3)
b.大型机构
大型机构的网络安全不仅对其自身非常重要,而且对于整个国家也很关键。大型机构拥有大部分的网络和计算机系统,随着经济活动之间的关联性日益增强,如果这些网络或计算机系统不安全,则可能被用于破坏其他经济活动。如果发生了大规模攻击的话,还可能会造成严重的经济后果。通过加强管理,使大型机构在各方面,特别是系统配置、身份鉴别、培训、应急响应和网络管理方面采用最佳的方法和高效的技术,这将能够改善大型机构的网络安全。国土安全部继续采取有关行动来提高这些网络的所有者对网络脆弱性的警觉性,并促使他们了解如何减缓这些脆弱性。国土安全部将与其他部门及私营组织一起,扩大现有的工作,以促使重要公司的决策者(CEO和董事会成员)注意保护其公司的信息系统安全。
决策者可以采用一系列的步骤改善其机构的网络安全并保护其网络不被恶意利用。
鼓励大型机构对影响国家关键基础设施安全的内部网络的安全性进行评估。评估内容包括:①审计最佳实践措施的有效性及其应用;②制定连续性计划,考虑配备冗余人员和设备;③参与工业界范畴内的信息共享及对最佳实践措施的传播。(A/R 3-4)
内部人员威胁。很多对系统的网络攻击是由被认为是可靠的“内部人员”实施的。内部人员是指得到授权访问信息系统和网络的人员。但这些被认为可靠的人员可能会对该机构造成很大的威胁。内部威胁带来的风险很严重,因为那些试图破坏我们国家的人可能会因此而控制一些能便于他们达到恶意目的的系统。为了有效降低内部威胁可能带来的危险,离不开有关策略、实践措施和长期的培训。以下三项策略或能够减少内部人员威胁:①访问控制;②责任分离;③有效实施安全策略。
不健全的访问控制可能导致某些个人或团体以不适当的方式修改、破坏或泄露敏感数据,或者使用计算机程序来获取个人信息或制造破坏。
责任分离对于确保企业信息系统的完整性非常重要。不能允许任何人对任何系统有完整的控制权。
安全策略的有效实施是一项具有挑战性的工作,需要定期对实施情况进行检查。目前已经出现了一种新的自动化软件,能够有助于实施安全策略。这些程序可以以人类语言的格式输入安全策略,并将这些策略转化为机器代码,然后依据这些策略对所有进出网络的数据在分组级别上进行监控,他们能够发现并制止滥用网络及其资源的情况。
c.高等教育机构(IHE)
在增强高等教育机构的网络安全方面,提高安全意识将起到特别重要的作用。根据近期的经验,很多被联合攻击的不安全的计算机系统都可以追溯到高等教育机构的校园网络,它们是拒绝服务攻击或对Internet上其他系统造成威胁的平台。这些攻击不仅破坏了目标系统,也损害了这些系统所有者的利益以及希望使用这些系统来提供服务的用户的利益。高等教育机构之所以会成为攻击的目标,主要由于以下两个原因:(1)这些机构拥有大量的计算机资源;(2)这些机构允许外部在一定程度上访问其计算机资源。高等教育机构拥有的计算机资源非常庞大,超过了3000多所学校,其中很多学校都拥有研究设施和大型的中央计算设施。
高等教育界已经发起了联合行动,积极地组织起了各成员,协调美国校园中的意识培养及网络安全增强工作。其中最引人注意的组织是EDUCAUSE,这一组织与包括美国教育委员会和高等教育IT联盟在内的高等教育领导机构一起发起了与制定本战略有关的议题。这些工作取得了明显的效果,特别是各个大学的校长已经采纳了包含以下五个要点的行动框架,该框架要求他们优先考虑IT安全问题,并采取必要的政策和措施来实现更高程度的系统安全:
在高等教育机构中优先考虑IT安全问题。
修订安全策略并改善对现有安全工具的使用。
改进未来的研究和教育网的安全性。
加强高校、企业和政府之间的合作。
将高校的工作和国家的工作结合起来,共同加强关键基础设施的安全。
鼓励各个学院和高校采取以下全部或部分安全措施来加强其网络系统的安全:①建设一个或多个ISAC,以处理网络攻击和网络脆弱性问题;②制定相关策略,授权首席信息官处理网络安全问题;③为IT安全制定最佳实践措施;④制定模范的用户安全意识项目和教材。(A/R 3-5)
d.私营部门
国土安全部将与私营部门一起解决普遍的网络安全意识问题以及可能对特定部门造成影响的某些议题。私营部门拥有并运营着国家网络空间中的绝大部分设施。作为保护网络空间的长期合作伙伴,很多私营部门已经制定了与本战略相应的保护计划,以保护其各自拥有的关键基础设施。在创建可影响多个基础设施部门成员的部门级意识培养项目方面,每个部门都要担当起重要角色,通过这些意识培养项目来消除脆弱性,各个成员可以共同研究并共享通用的安全解决方案。例如,SCADA系统的安全是能源行业中广泛存在的网络安全问题,因此能源部要负责协调整个能源行业一起解决该问题。各部门还可以在标识研究需求方面发挥作用。国土安全部将与私营部门紧密合作来制定各部门自己的网络空间保护计划。
持续的公共-私营合作联盟将有助于通过以下工作来保护国家网络基础设施的安全:在必要和可行时参与对技术和研发的缺陷分析,从而能够对联邦的网络安全研究日程提供输入,对相关的研究进行协调,并制定和传播网络安全的最佳实践措施。(A/R 3-6)
e.州政府和地方政府
国土安全部将实施有关计划来促使州和地方政府中的关键决策人员,如州长、州立法机构、市行政官和地方专员/管理委员会等支持对信息系统安全措施的投资,并促使他们采纳强制性的管理政策和实践措施。
B.培训
除提高大众的安全意识之外,国家必须集中资源培训一批能够专门保护基础设施安全的、充满才干且具有创新能力的专业人才。随着Internet、计算机和其他网络设备的广泛使用,对这类人才的需求正迅速增加,现有的培训投入已经无法满足需求。当前大学培养的工程人员较少,学校的大多数资源已经投入到其他学科,如生物和生命科学等上。如果美国希望通过其网络经济来领导全球发展,这一局面就必须得到改变。
(1)培育足够的教育和培训项目,以满足国家网络安全的需要
改进网络安全培训的工作将主要由私营培训机构、教学机构以及国家的教育系统来承担。
国土安全部还将鼓励私营部门在工作场所提供足够的培训机会,对员工实施长期的教育和高级培训,以保持其较高的技术标准和创新能力。
联邦政府可以通过多种方式发挥直接作用。首先,国土安全部将实施并鼓励在美国国内制定用以推动网络安全专业培训的项目,包括与国家科学基金会(NSF)、人事管理办公室(OPM)和国家安全局(NSA)相协调,一起探寻如何利用现有的“网络警察服务奖学金”项目以及由《网络安全研究和开发法》创建的为各类研究生、博士后、高级研究人员和教员提供的奖学金和受训项目。(A/R 3-7)
(2)提高已有的联邦网络安全培训项目的效率
其次,国土安全部将考虑建设一个旨在开发网络安全培训措施的中心机构,该机构将收集起专家的意见,并与联邦的“一次建设、多次使用”的原则相符。
国土安全部将与具有网络安全培训知识的其他机构相协调,一起制定一种协调机制,将联邦政府的网络安全培训与计算机司法取证培训项目联系起来。(A/R 3-8)
C.认证
推动私营部门对得到良好协调的、广为认可的专业网络安全认证体系的支持
与教育培训相关的一个需求是合格人员的认证。认证可使得雇主和消费者能够对雇员及安全顾问的能力有更多的了解。目前已经有了一些网络安全认证项目,但是,这些认证对网络安全知识的要求很不一致。例如,有些认证强调广泛的网络安全知识并使用大量的多选题的方式实施测试,而有些认证则强调对某一方面的网络知识必须有深入的实践知识。还没有一种认证能够像医学和法律专业的认证那样,对人员的实践经验和理论水平提供一个合理的衡量标准。
为解决这一问题,包括IT安全认证供求双方的代表在内的很多相关人士已经开始考虑制定一个全国通用的网络安全认证体系和认证指南。
这些组织必须考虑的问题包括教育和经验水平的分层、不同认证机构对认证结果的互相承认以及认证标准、后续教育需求、面向各级认证的测试指南以及类似于其他领域中成熟的专业认证管理模式。作为认证的消费者(即雇用通过认证的人员),国土安全部和其他联邦机构可以有效而清晰地描述联邦IT安全机构的需求,以促进认证工作的开展。
国土安全部将鼓励为建设一个公私部门广泛认可的安全认证项目而开展必需的基础工作。国土安全部和其他联邦机构将有效而清晰地描述联邦IT安全界的需求,以协助这些工作的开展。(A/R 3-9)