- 美国网络安全战略与政策二十年
- 左晓栋等
- 2976字
- 2020-08-28 01:48:03
3.计划的目标和范围
计划的目标
由敌对势力或恐怖组织发动的有组织、有计划的计算机攻击使我们国家各个组成部分所面临的威胁不断增加。对商业来说,这种威胁使其生存能力、公众信誉、顾客关系及投资者信心都受到损害;对政府来说,它使关键服务无法可靠地向国民提供;对国家安全来说,它使军事、情报和外交反应被打乱或受到损害。
我们的这篇国家计划概括了为使这些威胁降低到能被美国人民所接受的级别而需采取的步骤。
在PDD63中,总统确立了一个国家目标,即美国应该获得并保持“保护我们国家的关键基础设施的能力,以防止可能会严重危害到下述职能的有预谋行为:
私营部门确保经济有序运行以及重要电信、能源、金融和运输服务的正常提供。
州及地方政府维持有序运行,提供最起码的重要公共服务。
联邦政府执行其重要的国家安全责任并确保公众的健康和安全。
这些关键功能遭到的任何破坏或操纵都必须控制在跨时短、频率低、可控、地域上可隔离以及对美国的利益损害最小这样的规模上。”
国家计划的范围:关键计算机和信息系统的安全性
20世纪90年代在美国发生的信息技术革命以及国家和社会对信息技术革命所产生的信息系统的依赖,使国家级别的信息系统安全和防御项目变得极为重要。任何国家信息系统安全和防御计划都必须覆盖一个广阔的范围。
作为国家计划的第1版,本文的重心在于关键信息基础设施系统对计算机和物理攻击的保护。对其他关键物理基础设施及其安全的考虑正由另外的工作组开展。
关键性物理基础设施的安全是1995年评审的重点,该次评审由PDD39指示并由司法部长负责。关键性物理基础设施多年来一直是FBI重要资产行动(KAI)和国防部重要资产保护项目(KAPP)(现在包括在国防部关键基础设施保护项目之内)的重点。因此在关联文档中,我们可以找到很多讨论大坝、桥梁、隧道、输电线、电站等设施安全性的计划和项目,并可以看到它们同很多其他关键性信息基础设施系统的互依赖性联系。
这些已有的关键性物理基础设施安全项目也要受到新的评审,而且在2000年会发布《国家关键性物理基础设施保护计划》。两个计划(加上《信息系统及关键性物理基础设施保护计划》)将就所确定的横向事项进行协作并最终融合成一个计划。
正如PDD63所号召的,处于领导地位的各联邦机构正在与每一主要经济领域(如运输业和银行业)内的公司合作开发关键基础设施保护计划。每个联邦部门都应开发保护其各自关键基础设施,包括计算机和物理层面的计划。联邦各部应与对应的私营部门在适当的方面开展合作,开发它们自己的信息系统和关键性物理基础设施保护计划。
下表显示了这篇国家计划是如何完成其联邦计算机安全和信息资源管理(IRM)责任的:
联邦计算机安全和IRM(信息资源管理)责任
管理和预算办公室(OMB)承担了联邦计算机安全和信息技术管理的核心责任,与我们的国家计划关注于国家安全系统并强调与私营企业合作所不同的是,OMB对联邦自动化信息系统安全政策的制定有着法定的责任。它制定的一些主要政策见下表:
OMB实现这些要求时主要依靠OMB A-130通告的附录Ⅲ“联邦自动化信息资源的安全”。通告中要求OMB监督运行规范和标准的开发以及对脆弱性和风险的评估,还要负责管理公众对信息的访问。OMB A-130对上述每一事项都有详尽的说明。在过去的几年中,OMB还发布了很多其他的相关资料,涉及如下内容:
Internet和网站隐私声明;
推荐的计算机操作规范和标准;
大型系统的采购。
联邦预算
自从总统于1998年发布了PDD63,用于保护关键基础设施的联邦拨款一直在增加。在2000财政年度制定的预算中将有17.37亿美元用于关键基础设施保护。这比1998财政年度的预算(该年度财政预算的制定正好早于PDD63的签署)增加了50%(见附录B)。
在为2001年财政预算请求所做的准备中,OMB与国家协调员合作建立了一套特殊步骤,在国家各部和机构提交其预算之前评审国家和各部在安全领域内的要求(见附录B)。
这一新的评审步骤旨在确保以下事项:
各机构和部门在拨给他们的总款项中拨出足够的资金来实现PDD63中的总统意图、OMB A-130中的指令和《计算机安全法》的要求。
在以后的总统预算中要在国家级别上提出要求,还要提出与每一具体的联邦部局有关的明确要求。
总统对2001年预算草案进行评审,确定与该篇《信息系统保护国家计划》有关的决策点。
我们的这篇国家计划得到了总统的支持,为联邦各部和机构准备其预算提供了广阔的方向和指导方针,但它并不是一个决定预算的文件。各机构对于信息系统保护的拨款将由常规的OMB预算制定过程做出决定。
因此,该版国家计划中的时间表只是方向性的。精确的工作任务、资源消耗以及完成日期将在国家计划的后续版本中有所调整,并将把总统和国会所做的特殊预算决策考虑进去。
建立公共-私营合作联盟
建立公共-私营合作联盟是这篇国家计划的一个核心主题。没有私营部门的完全参与,联邦为保护关键基础设施所做的努力将会收效甚微。
在该版计划中,私营部门和州及地方政府保护关键基础设施框架仅是一个初步的纲要,联邦政府还要继续建立必要的合作联盟。当这些合作联盟都确立起来后,我们希望这个计划也能反映出私营公司和组织的想法和决定,而不仅仅是联邦政府的。
为了建立公共-私营合作联盟,联邦政府要求负责运营关键基础设施的全美所有的商业领导人加入该计划,并且要使他们意识到加强计算机的安全性的需求。1999年12月,超过85个公司的高级执行官在纽约讨论了建立关键基础设施合作联盟的计划。下一次会议在2000年年初召开(见执行摘要的内容8或第4章)。
与国会合作
行政部门将同国会继续密切合作以开发必需的关键基础设施安全保障工具和措施。这些措施中不仅包括拨款,还包括解决很多法律和政策问题的建议和帮助。国家计划的后续版本中必须建立同国会的真正对话途径,就如何更好地保护我们的关键基础设施以实现其安全性和蓬勃发展同国会进行良好对话。
行政部门和国会已经开始了这种对话和合作,并在该版国家计划中获得了一些成果。随着国家计划的不断成熟,还会取得更大的成绩。国会议员已经引入了一些立法提议,举行了听证会来讨论有关问题,并为法律改革奠定了坚实的基础,以满足基础设施保护所提出的要求。这些议员提出了很多棘手问题,涉及个人隐私权保护以及联邦政府在监控基础设施遭到的计算机攻击活动中所担负的角色等。而且在听证会上,他们要求对方对这些问题做正面的回答。这篇计划曾经历了这些国会议员的很多类似锤炼。
持续而充足的资金对计划的有效实施以及初步功能的建设是很重要的。但我们也还需要法律上的援助,以确保政府能够同私营部门建立稳固的关系,排除这类合作的法律障碍并提供增强性的法规和框架。为取得这些目标,行政部门将向国会寻求建议及帮助。
两个组成计划
在我们促进国家重要计算机系统安全性的工作中,《联邦政府关键基础设施保障计划》和《私营部门及州和地方政府关键基础设施保障框架》,即国家计划的两个组成部分是我们工作的核心。正如这篇国家计划所示,政府民事机构的工作正处于初始设计阶段。国防部的工作已取得了长足进步并已经开始实施。作为合作伙伴的私营部门集团(国家计划曾为此做出了建议)却仍处在襁褓阶段。国家计划的后续版本将融和美国关键基础设施各个领域,包括银行与金融、紧急事件服务、能源、电信和运输内的计划。
未来战略
这个多年度的计划包括了那些我们认为对于保护关键基础设施所必需的主要活动。它为我们国家的各个部门——私营部门、联邦政府、州及地方政府提供了明确的方向,并且代表了我们在新千年为保护关键基础设施所做的承诺。