1．执行摘要_美国网络安全战略与政策二十年-QQ阅读男生科幻网

书名：美国网络安全战略与政策二十年
作者名：左晓栋等
本章字数：5252字
更新时间：2020-08-28 01:48:04

1．执行摘要

我们国家的基础设施包括农业、食品、供水、公共健康、应急服务、政府、国防工业基地、信息与通信、能源、运输、银行与金融、化学品和危险物品、邮政和船运部门的公共和私营部门。网络空间则是其神经系统，是我们整个国家的控制系统，它由成千上万互联的计算机、服务器、路由器、交换机、光纤构成，他们是关键基础设施运行的基础。因此，网络空间的健康运行对我们的经济和国家安全至关重要。

《保护网络空间的国家战略》是保护国家的总体战略的一个要素，是《国土安全国家战略》具体实施的一个构成部分，并由《关键基础设施和重要资产的物理保护国家战略》所补充。本战略的目的是使美国人民能够保护其所拥有、运营、控制或交互的网络空间。保护网络空间是一个艰巨的战略性挑战，需要包括联邦政府、州和地方政府、私营部门及所有的美国人民在内的整个社会的协调一致且目标集中的努力。

《保护网络空间的国家战略》概括了组织工作和优先级工作的初步框架。它为参与保护网络空间的联邦政府部门和机构指明了方向，它还描述了州和地方政府、私营公司和组织以及每一位美国公民在改善我们共同的网络空间安全时必须采取的步骤。本战略强调了私营部门的角色，为所有美国人对自身所处的网络空间的保护提供了框架。网络空间的动态性要求对这一战略不断地进行调整和补充。

网络攻击的快速性和匿名性使得很难区分恐怖分子、犯罪分子和民族国家在网络上的行为，即使能够将他们区分出来，通常也是在事件发生之后。《保护网络空间的国家战略》则有助于减少我们国家的关键信息基础设施和支撑这些基础设施的资源面临攻击时的脆弱性。

战略目标

与《国土安全国家战略》相一致，《保护网络空间的国家战略》的目标是：

防止对美国关键基础设施的网络攻击。

减少国家对网络攻击的脆弱性。

在出现网络攻击时，尽量减少损失并缩短恢复时间。

威胁和脆弱性

我们的经济建设和国家安全完全依赖于信息技术和信息基础设施。我们依赖的信息基础设施的核心是Internet，这个系统最初的设计是用于在科学家之间共享非涉密的研究成果，在当时认为这些用户不会滥用计算机网络。而如今，同样的这样一个Internet却连接着数百万个其他的计算机网络，是国家的大多数重要服务和基础设施正常运行的基础。这个计算机网络还控制着电力变压器、火车、输油管道、化学物品存储器、雷达、股市等，这些都是网络空间之外的东西。

一些恶意人员能够对我们的关键信息基础设施实施攻击，最受关注的是有组织的网络攻击能够破坏国家关键基础设施、经济建设并危害国家安全。实施这种攻击要求具有高超的技术，这从一定程度上解释了为什么到现在为止还很少出现这种攻击。但是我们不能太过乐观，当前已经有一些有组织的攻击者，他们对脆弱性的攻击可能就是更大的破坏力的前兆。

目前所观察到的几次攻击都没有特别明确的攻击目的，攻击能力也还没有完全体现出来，要了解威胁和脆弱性的长期趋势就必须加强网络威胁分析。到目前所知，攻击工具和攻击方法已经逐步扩散并比较容易获得，有意制造混乱和破坏的用户的技术能力和熟练程度正逐步提高。

在和平时期，美国的敌人可能对我们的政府、大学的研究中心和私营公司开展间谍活动，他们也可能预先摸清美国信息系统的情况、选择重要的目标并安装后门或其他访问渠道以袭击我们的基础设施。在战争或危机时期，敌人可能攻击关键基础设施和重要的经济功能，或打击公众对信息系统的信心，以达到恐吓国家政治领导人的目的。

对美国信息网络的攻击能够带来严重的后果，如导致关键运行中断、对财产和知识产权带来损失或导致人身伤亡。对于这些攻击，如果要降低脆弱性、遏制敌人对关键基础设施进行危害的能力和动机，就必须发展稳健的对抗能力，但这种能力目前我们还不具备。

政府在网络空间安全中的角色

一般而言，私营部门具有良好的技术装备和组织结构，最适合承担对不断变化的网络威胁做出响应的任务。但是也有例外，有时由联邦政府对网络威胁做出响应是最为合适和正当的。从内部看，政府为维持自身的持续运作，就必须保护自身的网络基础设施和支撑其核心使命和服务的资源。从外部看，政府在网络安全工作上发挥的作用包括处理以下问题：事件的处理费用过高或者法律壁垒引发严重的协调问题；没有私营部门参与，必须政府处理的问题；对可能导致关键共享资源不足的紧急问题做出处理；提高公众网络安全意识。

公共-私营共同参与是保护网络空间战略的重要组成部分，原因在于以下方面：公共-私营合作有助于解决协调问题，可以明显增强信息交换和合作。公共-私营合作可以采用多种形式，其合作领域包括提高公众安全意识、培训、技术改进、脆弱性矫正以及对服务运营的恢复。

联邦政府机构对这一事务（或其他事务）中的角色是否合理取决于其行为带来的好处是否超过了相关的成本。当对任何可能的威胁或脆弱性有多个私营机构能够提供解决方案时，这一标准显得尤为重要。在所有情况下，政府采取每一行动时都必须广泛考虑该行动可能带来的成本和影响，应与其他的可行方案以及不采取行动做比较，并考虑到私营机构当前或未来的解决方案。

法律授权联邦政府采取保护网络空间的行动以达到以下目的：司法取证和攻击源认定、保护国家安全中关键的网络和系统、迹象发现和预警、抵抗可能对经济造成危害的有组织的攻击。此外，联邦政府还必须支持研究和技术开发，使得私营部门能够更好地保护私有的国家关键基础设施。

国土安全部和网络空间安全

2002年10月25日，布什总统签署了建立国土安全部的法令，这一新的内阁级部门将组织22个联邦机构共同保护我们的国土安全。国土安全部长将在保护网络空间上承担重要的职责，包括：

为保护美国的重要资源和关键基础设施制定一项全面的国家计划。

在关键信息系统受到威胁或攻击时开展危机管理工作。

向私营部门和其他政府实体对大规模关键信息系统故障的应急恢复计划提供支持。

与其他联邦机构协调，为州和地方政府、私营部门、其他实体和公众提供特定的预警信息以及适当的保护措施和对策。

与其他部门一起开展并赞助研发工作，为保护国土安全提供新的科学知识和技术。

与这些职责相应，国土安全部将成为联邦机构中的网络安全优秀中心，并为联邦政府向州、地方政府和非政府机构（包括私营部门、学术界和公众）的推广提供一个中心点。

保护网络空间安全的关键优先级

《保护网络空间的国家战略》清晰地描述了国家必须优先考虑的五项重要事务：

Ⅰ．国家网络空间安全响应系统；

Ⅱ．国家网络空间威胁和脆弱性消减计划；

Ⅲ．国家网络空间安全意识和培训计划；

Ⅳ．保护政府部门的网络空间安全；

Ⅴ．国家安全和国际网络空间安全合作。

第Ⅰ项优先事务主要是改善对网络事件的响应，减少这些事件可能造成的破坏；第Ⅱ～Ⅳ项优先事务的目标是减少网络攻击所可能带来的威胁，降低脆弱性；第Ⅴ项优先事务的目标是防止破坏国家安全相关设施的网络攻击，改善国际对这些攻击的处理与响应。

优先事务Ⅰ：国家网络空间安全响应系统

攻击的快速标识、相关信息的交换和采取补救措施通常可以降低恶意网络行为带来的危害。对于全国性的攻击行为，美国需要在政府和私营企业之间建立合作联盟以分析攻击、发布预警并协调应急响应工作。在这个过程中必须保护隐私和公民自由。由于没有任何一个网络安全计划能够防止所有智能化、有组织的攻击，因此必须确保信息系统在受到攻击时仍能正常工作并可快速恢复所有功能。

《保护网络空间的国家战略》就网络空间安全响应确定了八项主要行动和工作：

（1）为响应国家级的网络安全事件，制定一个公共-私营合作的体系结构。

（2）为从战术和战略上分析网络攻击和评估脆弱性做好准备。

（3）鼓励私营部门加强把握网络安全总体态势的能力。

（4）扩展“网络预警和信息网”（CWIN），支持国土安全部对网络安全危机管理的协调能力。

（5）改善对国家级事件的处理能力。

（6）在为公共-私营机构制定连续性计划和应急计划时，协调自愿参与的过程。

（7）对联邦政府的网络安全连续性计划进行演习。

（8）改善和加强公共-私营机构之间在网络攻击、威胁和脆弱性方面的信息共享。

优先事务Ⅱ：国家网络空间威胁和脆弱性消减计划

通过利用我们网络的脆弱性，有组织的攻击可能会对国家关键基础设施造成危害。关键基础设施的信息资产及其外部支撑结构（如Internet的运行机制）存在的脆弱性是对网络空间的最大威胁。脆弱性来源于技术的缺陷、不正确的技术实施方式和对技术产品缺乏了解。

《保护网络空间的国家战略》就消减网络威胁和脆弱性确定了八项主要行动和工作：

（1）增强司法机构防止和起诉网络攻击的能力。

（2）为国家网络脆弱性评估制定一个流程，以更好地把握网络威胁和脆弱性可能造成的后果。

（3）通过改进协议和路由方式增强Internet的安全性。

（4）鼓励使用可靠的数字控制系统（DCS）/监督控制和数据采集系统（SCADA）。

（5）减少和矫正软件的脆弱性。

（6）理解基础设施之间的互依赖性，改善网络系统和电信系统的物理安全。

（7）优先考虑国家网络安全研发工作。

（8）评估和加强新建系统的安全性。

优先事务Ⅲ：国家网络空间安全意识和培训计划

很多网络脆弱性之所以存在是由于部分计算机用户、系统管理员、技术开发人员、采购官员、审计人员、首席信息官（CIO）、首席执行官（CTO）和董事会缺乏网络安全意识。不论基础设施自身是否存在脆弱性，这种意识上的脆弱性将为关键基础设施带来很大的危险。由于缺乏足够受过训练的人员，网络安全行业也没有一个广泛承认的多级别的技能认证项目，这些都为处理网络脆弱性带来了困难。

《保护网络空间的国家战略》就安全意识、教育和培训确定了四项主要行动和工作：

（1）实施一项全面的国家级意识培养项目，使得包括商人、普通员工、一般民众在内的所有美国人都能够保护其自身所处的网络空间的安全。

（2）实施足够的培训和教育项目，以支持国家网络空间安全的需求。

（3）提高现有的联邦网络空间安全培训项目的效率。

（4）推动私营部门对得到良好协调的、广为认可的网络安全专业认证体系的支持。

优先事务Ⅳ：保护政府网络空间的安全

虽然政府只管理着国家关键基础设施中的一小部分计算机系统，但各级政府在农业、食品、公共健康、应急服务、国防、社会福利、信息与通信、能源、运输、银行与金融、化学品、邮政和海运等领域承担着至关重要的任务，这些工作的执行都依赖于网络。在网络安全领域政府可以以身作则发挥领导作用，包括利用其采购计划培育网络安全产品市场。

《保护网络空间的国家战略》就保护政府的网络空间安全确定了五项主要行动和工作：

（1）不断对联邦政府的网络系统进行威胁和脆弱性评估。

（2）对联邦的网络系统用户实施身份鉴别和授权。

（3）保护联邦政府无线局域网络的安全。

（4）改善政府外包和采购的安全性。

（5）鼓励州和地方政府考虑建设信息技术安全项目并与同类政府机构共享信息。

优先事务Ⅴ：国家安全和国际网络空间安全合作

美国的网络将美国和世界其他国家连接在了一起，一个覆盖全球的网络使得恶意攻击者可以对千里以外的系统实施攻击。网络攻击正以光速跨越国家边界，而且难以识别恶意活动的来源。美国必须能够保护自己的关键系统和网络的安全，为做到这点就需要有一个国际合作机制以便于交换信息、降低脆弱性和震慑恶意人员。

《保护网络空间的国家战略》就国家安全和国际网络空间安全合作确定了六项主要行动和工作：

（1）加强与网络相关的反情报工作。

（2）改善对攻击源调查和响应的能力。

（3）在网络攻击响应方面，加强对全国国家安全部门的协调。

（4）与工业界一起，通过国际组织，推动国际间的公共部门和私营部门就保护信息基础设施和促进全球的“安全文化”开展对话。

（5）促进建设全国性和国际性的观察和预警网络，以在网络攻击发生时及时发现并将其制止。

（6）鼓励其他国家加入《欧洲委员会计算机犯罪约定》，或至少确保这些国家的法律和流程中包含了该约定的内容。

举国努力

保护广泛分布的网络资产的安全需要很多美国人的共同努力，联邦政府没有足够的能力单独保护美国的网络疆土，我们联邦制度的传统和有限的政府部门使得需要联邦政府以外的其他机构来领导其中的一些工作。政府鼓励任何能够为保护网络空间安全做出贡献的人在这方面做出努力。联邦政府邀请人们与其一起创建公私合作联盟，以提高网络安全意识、培训人员、刺激市场、改进技术、发现和矫正脆弱性、交换信息和制定运行恢复计划。

美国人民和各机构已经就改善网络空间的安全性做出了很多努力，2002年9月18日，很多私有实体发布了保护自身基础设施的计划和战略。关键基础设施安全合作组织（PCIS）在推动私营实体协助制定本战略上发挥了不寻常的作用。关键基础设施部门提出的建议可以从http://www.pcis.org上得到（这些文档并未经过政府的批准）。

这些基础设施计划描述了以下各部门的战略行动：

银行与金融；

保险；

石油和天然气；

电力；

执法机构；

高等教育部门；

运输（铁路）；

信息技术和通信；

供水。

一旦每个关键基础设施部门均实施了这些计划，我们的基础设施的威胁和脆弱性将会降低。

在可以预见的未来，以下两件事是毋庸置疑的，一是美国将继续依赖网络空间，二是联邦政府将寻求建立一个持续、广泛的合作联盟来制定、实施并改善本部战略。