8.优先事务Ⅳ:保护政府部门的网络空间安全
虽然多数关键基础设施位于私营部门,但各级政府也承担着很多关键的职能,包括国防、国土安全、应急响应、税务、中央银行工作、司法和公众健康。所有的这些职能(以及其他职能)如今都依赖于信息网络和系统,因此,政府有责任保护自己的信息系统以确保它能够为人民提供最为基础的服务,对于联邦政府这一级的政府来说,这也是法律规定的一项职责。
要建立联邦政府网络安全的基石,就必须明确、清楚地为网络安全划定权责和责任,要求联邦政府的官员能履行这些责任并在财政预算和资本计划中考虑网络安全需求。
联邦政府将对网络安全问题给予必要的重视,以起到示范作用,并鼓励其他部门也采取这些措施。联邦政府还将通过其采购计划增强网络安全。例如,联邦政府在适当情况下必须率先采用新的更为安全的系统和网络协议。
州政府和地方政府对网络安全也可以有类似的影响,联邦政府将与州和地方政府合作来改善网络安全。
在联邦政府内,管理和预算办公室(OMB)主任负责确保各机构的领导执行了法律规定的IT系统安全职责。国家安全部门中的涉密系统则由国防部长和中央情报局局长负责。
A.联邦政府
自2001年2月的财政预算蓝图始,经过2002和2003财政年度预算计划以及“政府管理改革日程”,本届政府已经设立了一个清晰的改革日程表。这些改革包括统一联邦政府的安全和关键基础设施保护工作,并规定联邦政府对IT系统投资的前提是这些系统具有很强的安全性。
《保护网络空间的国家战略》将通过确保联邦政府能够发现脆弱性、预测威胁、尽可能减缓攻击以及提供运行持续性来支持这些改革。
为克服网络安全措施不足的问题,管理和预算办公室(OMB)依照法律制定了一项面向整个政府部门的IT安全项目,以确立IT安全政策并对联邦机构是否符合安全要求进行监督。这一项目将基于一种成本有效的、以风险分析为基础的方法,联邦各机构必须确保每项IT投资都考虑了安全问题。这一方法旨在促进联邦政府的业务运行,而不是对这些功能产生不必要的阻碍。
(1)不断评估联邦网络系统的威胁和脆弱性
确保联邦IT安全的第一步是了解各系统中的安全性和隐私控制机制的有效性。这之后,通过不断的风险评估周期来保持对情况的掌握也同样重要。管理和预算办公室(OMB)的安全政策对此已做出了规定,并在《联邦信息安全管理法》(FISMA)中做了特别规定。
OMB就政府信息安全改革问题于2002年2月向国会提交了第一份报告,该报告指出了整个政府的安全绩效中存在的六项共同不足。
这些弱点包括:
高级管理层对此不重视;
缺乏对绩效的考核;
缺乏安全教育,安全意识不足;
在资金使用计划和投资控制方面没有充分考虑安全问题;
未能确保合同商服务的足够安全;
未能实现对脆弱性的检测、报告和信息共享。
这些不足并不是新问题,也不会令人感到惊讶,OMB和审计总署(GAO)早在6年前便发现了这些情况。法律规定必须对联邦系统进行评估和报告,所以OMB和其他联邦机构便可利用这一机会为各机构的IT安全绩效制定一份此前尚没有的综合性的跨政府基线。更重要的是,通过制定并实施矫正计划,联邦政府可以通过统一的流程来跟踪这些不足的解决工作的进展。
在OMB批准某一信息系统的建设资金之前,该系统的所属部门必须证明其已解决了该系统中最为明显的安全问题。另外,各机构还必须确保系统中已经融入了安全性,并且IT投资中每项安全成本均已通过联邦的资金规划流程得到了汇报。OMB的政策中规定,必须标识系统中具体的生命周期安全成本,并作为系统投资的一部分得到资金赞助;否则,整个系统的资金申请将不会得到批准。
(2)联邦机构中的几项专门步骤
联邦政府必须有一套全面、横向的增强网络安全的方法。改进和维持联邦政府中各机构的网络安全的三项核心步骤是:标识并记录联邦机构的体系结构;不断评估威胁和脆弱性,并了解威胁和脆弱性对机构的运行和财产可能带来的风险;实施安全控制和脆弱性矫正措施,以降低或管理这些风险。每个联邦机构必须制定并实施这三个步骤,从而实现更加稳固的安全。
a.标识并记录联邦机构的体系结构
OMB的政策要求每个联邦机构标识并记录其体系结构,包括对其所有资产和业务、所有IT系统、关键业务流程、与其他机构的关系等都要有一个官方的正式清单。该步执行后便可以了解整个政府机构的关键性安全需求。
通过财政预算流程,联邦政府将促使各个联邦机构购买商用网络安全工具来改善其体系结构和系统配置。配置管理和控制对于提高安全性有着显而易见且重要的作用。例如,对系统配置实施控制后,可以使各个部门能够更为有效和高效地实施安全策略和权限控制,更容易在整个系统或网络上安装防毒软件及其他软件的升级版本或补丁程序。
b.不断评估威胁和脆弱性
应使用商用的自动化审计和报告机制来验证系统中安全控制的有效性,这对持续地把握系统风险至关重要。这些工具可以帮助来分析数据、提供前瞻性评估并对机构运行中不可接受的风险提出警告。
联邦机构将继续扩大对自动化的安全评估和安全策略实施工具的使用,并积极部署威胁管理工具,从而能够检测到攻击。联邦政府将判断是否必须采取特定的措施(通过政策或财政预算流程)来促使各个机构更多地使用这些工具。(A/R 4-1)
c.实施安全控制和脆弱性矫正工作
安全控制可将风险维系在可接受的级别,这些控制往往可以在一段相对较短的时间内实现,然而矫正脆弱性则是一个更为复杂的问题。软件总在不断发生变化,每次升级都可能带来新的脆弱性,因此必须不断地对脆弱性实施评估。矫正过程通常包括“打补丁”或者安装一些软件或代码来更新主程序。联邦系统的矫正工作必须时常做出规划。
B.整个政府面临的其他挑战
联邦政府还面临着其他四项特定的安全问题需要处理,每个有关部门都必须与OMB一起合作来对其解决。
(1)联邦系统用户的鉴别及对授权的维护
标识并鉴别每个系统用户是网络安全链上的第一环,每当用户被授权访问系统时都必须实施身份鉴别。为实现并保持系统的运行安全,每个机构必须确保系统上的用户的确是它们所声称的身份,且它们只在做授权可做的事情。当前使用的很多鉴别流程不够安全,如系统的默认配置口令没有得到修改、口令没有正确配置、口令很少更新等情况。
联邦政府将继续为所有的联邦雇员及流程提供一个连续的安全链,包括在适当的情况下使用基于生物特征的智能卡来访问建筑物或计算机,并在用户登录计算机之始就对其身份实施鉴别。上述方法的益处是显而易见的。通过使用多重的身份标识和鉴别措施——强口令、智能卡以及生物特征等,联邦政府将消除当前很多严重的安全问题。
通过现在正在实施的电子鉴别活动,联邦政府将审查对强访问控制和身份鉴别的需求,研究联邦各部使用相同的物理和逻辑访问控制工具及鉴别机制的范围,最终进一步推动一致性和互操作性。(A/R 4-2)
(2)保护联邦的无线局域网
在使用无线技术时,联邦政府将仔细评估在关键功能上使用这些技术可能带来的风险。国家标准与技术研究院(NIST)已发表声明说无线通信可能会遭到拦截,且无线网络也可能受到拒绝服务攻击。联邦机构应当将NIST对无线系统的看法和建议作为无线网络运行的指南。
联邦机构应当考虑安装能持续检测非授权网络连接的系统,各个机构的政策和流程应当反映出对风险消减措施的考虑,包括使用强加密技术、双向鉴别、防辐射标准及技术、配置管理、入侵检测、事件处理、计算机安全意识与培训项目。(A/R 4-3)
(3)改进政府外包和采购的安全性
通过OMB的联邦采购政策办公室、联邦采购规则委员会以及行政部门信息系统安全委员会的共同努力,联邦政府正在寻找能改进政府部门合同安全的方法,并评估了整个联邦采购流程与安全的相关性。在2002年2月OMB向国会提交的安全报告中,指出了政府机构中的外包安全性是一个重要的安全问题。
国家信息保障联盟(NIAP)
美国政府建设NIAP的目的是满足IT产品的厂商和消费者对安全产品实施测试、评价和评估的需求。NIAP是国家标准与技术研究院(NIST)与国家安全局(NSA)在实施1987年《计算机安全法》规定的各自职责的过程中联合建设的。
这一联盟于1997年建立,它综合了上述两个机构在网络安全方面的经验,就IT产品和系统在网络安全方面的技术需求以及对这些产品的评估方法开展了研究。NIAP的长期目标是通过成本有效性合理的测试、评价和评估项目增强消费者对信息系统和网络的信任。NIAP将在多个领域继续与政府部门和工业界建立密切的合作关系,旨在帮助解决当前或未来可能对国家信息基础设施造成影响的安全问题。关于该联盟的更多信息可以参考http://www.niap.nist.gov。
联邦政府将对国家信息保障联盟(NIAP)重新进行全面的考查,以判断其对商用软件产品中不断出现的安全缺陷这一问题的解决程度。这一考查过程将吸取在实施国防部2002年7月发布的政策时得到的教训——该政策要求产品在采购时应经过NIAP或类似评估流程的审查。(A/R 4-4)
国防部的政策规定,如果所需的产品类中已有通过评估的产品,则国防部下属部门必须购买通过评估的产品;如果所需产品类中还没有通过评估的产品,则该部门必须要求备选的产品提供商将其产品提交给评估机构,以便国防部进一步考虑是否购买其产品。
在完成对NIAP的重新考查之后,政府将研究把该项目推广到所有联邦机构时的成本有效性。如果可行,它将既能增强政府的安全性,又能够最大可能地利用政府强大的购买力对市场产生影响,并因此能改善所有IT产品的安全性。
(4)为独立的安全审查和认证制定专用标准
随着对安全的重视程度的增加,相应地需要对联邦各机构的安全项目和活动进行专业化的独立验证和确认。FISMA和OMB制定的实施指南中已规定各机构的项目负责官员及CIO至少每年审查一次该机构的安全项目。但很少有机构具备实施这些审查工作的人力资源,因此它们一般是将此项服务外包出去。各机构及OMB均发现承包商的安全水准参差不齐,有些是真正的安全专家,而有些则不尽如人意。另外,很多负责独立验证和确认安全项目的承包商同时还是安全项目的实施方。因此,它们在审查项目时可能会偏向于选择对它们有利的安全项目实施方法。
联邦政府将考虑是否有必要对联邦政府的安全服务提供商进行认证,以考查其是否具有最小的能力,包括考查其是否具有足够的独立性。(A/R 4-5)
C.州政府和地方政府
美国的民主政治根植于联邦制的概念,这种政府体系将政府的权力在联邦和州之间进行了分配。相互重叠的联邦、州和地方政府的管理权限导致了美国各级政府总共拥有超过87000种不同的司法权,为网络安全工作带来了独特的机遇和挑战。与联邦政府一样,州政府和地方政府也运行着庞大的互联信息系统,这些系统支撑着其关键的政府职能。
美国各州提供的服务构成了数百万美国人民和家庭的“公共保安网”。这些服务包括重要的社会保障活动以及关键性社会保安职能,如执法和应急响应服务。各州还拥有并运营着很多关键基础设施系统,如电能和传输系统、运输系统、供水系统等。它们扮演了一种催化作用,能够把州内提供各项关键服务的各方召集到一起,共同对发生的危机进行防备、响应、管理,并从危机中实施恢复。在我们的联邦系统中,州政府提供的关键服务使其担负着特殊的角色和责任,使州政府因此而成为一个关键基础设施部门。
由州政府实施的很多这样的关键职能都必然地与IT紧密相连,包括福利金的提供、因执法目的而以电子手段访问犯罪记录、州政府的公共事业和运输服务的运转。我们要能够阻止攻击,或在攻击事件发生时迅速响应,这样才可确保这些服务能全天可用,才可提供公众所需要和期望的关键服务。IT系统可以为各州内的居民提供空前高效的服务和响应,公民对这些IT系统以及这些系统上收集并存储的数据的完整性所持的信心是很重要的,它能使这些IT系统的优越性得到进一步的体现和充分利用。
随着对集成系统的不断依赖,州、地方、联邦机构不得不联合起来对付网络攻击。对系统的保护信息的共享对于确保政府的连续性来说是很重要的基础。各州已经采取了很多机制来促进对网络攻击信息的共享以及对攻击事件的报告。
当新的政策出台以及新的技术解决方案出现时,这些机制还要不断地更新和改善。除此之外,州政府正在探索某些方法来改善对内、对外的信息共享。这些方法包括以立法的形式为网络安全提供进一步的资金和培训项目,还包括在州、地方、联邦政府之间组建合作联盟来共同对付网络威胁。
国土安全部将与州和地方政府合作,鼓励它们考虑制定IT安全项目并与情况类似的州一起参加ISAC。
鼓励州和地方政府为其各个部门和机构制定IT安全项目,包括意识培养、审计及标准;鼓励各州与其他情况类似的州一起参加已经建立的ISAC。(A/R 4-6)