- 美国网络安全战略与政策二十年
- 左晓栋等
- 2741字
- 2020-08-28 01:48:04
4.国家政策与指导原则
国家政策、原则和组织
本节描述《保护网络空间的国家战略》所依据的国家政策以及相应的基本框架。同时还描述了联邦政府在其中扮演的角色和承担的职责。
国家政策
信息技术革命改变了商业交易模式、政府的运行方式和国防建设模式。这三者目前都依赖于由关键信息基础设施组成的互依赖网络,我们称其为“网络空间”。
防止或尽量减少关键信息基础设施服务的中断,以保护人民、经济、重要的公民和政府服务以及国家安全,是美国的一项基本政策。必须减少服务中断发生的次数和持续时间,使其可控并尽可能减少损失。这一政策要求我们不断努力保护关键基础设施中信息系统的安全,并需要结成自愿的公共-私营合作联盟,企业和非政府组织将参与其中。
与《国土安全国家战略》相一致,《保护网络空间的国家战略》的目标是:
防止对美国关键基础设施的网络攻击;
减少国家对网络攻击的脆弱性;
在出现网络攻击时,尽量减少损失并缩短恢复时间。
指导原则
2001年1月,本届政府开始研究信息系统和网络安全的重要性。2001年10月,布什总统签署了13231号行政令,授权成立一项旨在通过不断努力来保护关键基础设施中的信息系统的保护项目,包括对应急战备通信设施及其相关的物理设施进行保护。《联邦信息安全管理法》(FISMA)和13231号行政令以及其他相关的总统令和法规条令共同构成了保护网络空间安全的行政框架。
保护这些信息系统对于每个经济部门都是至关重要的,实施这一保护计划,必须依循以下的组织原则。
(1)举国努力:保护网络空间的广泛分布的设施需要所有美国人的共同努力,联邦政府无法单独保护美国人的网络空间。联邦制的传统和有限的政府部门使得需要联邦政府以外的其他机构来领导其中的很多工作。政府部门在保护网络空间方面发挥的作用还包括保护私营基础设施的安全,包括:
召集并推动政府和非政府实体间的讨论;
确定何种情况下普通人遇到的常规安全事件会影响到国土、国家和经济安全;
与非政府实体共享网络空间威胁和脆弱性方面的信息,使其能合理地调整风险管理战略和计划。
在任何情况下,政府都只有在其对私营部门的干预所带来的好处超过其行为的直接和非直接代价时才实施干预行为。
政府鼓励每个美国人参与保护网络空间的安全,联邦政府将致力于促进创建和参与公共—私营合作联盟,以提高安全意识、培训人员、刺激市场、改进技术、发现和矫正脆弱性、交换信息以及对系统正常运营的恢复做出规划。很多部门在创建信息共享和分析中心(ISAC)方面发挥了重要的作用,它们促进了交流、开发了最佳的实践措施,并发布了与网络安全相关的信息。另外,有几个部门还制定了保护自身网络空间的计划,它们是本战略的补充,政府期望这种有效的合作联盟能得以继续。
(2)保护隐私和公民自由:滥用网络会侵犯我们的隐私和自由,联邦政府有责任避免网络的滥用和公民自由遭到侵犯。网络安全和个人隐私并不矛盾,网络空间安全项目必须增强而不是降低对个人隐私的保护,因此,必须注意尊重个人隐私和公民自由。消费者和运营商必须就其共享的秘密信息达成共识,对私人信息必须准确地、秘密地、可靠地实施处理。联邦政府将在保护隐私方面起示范作用并付诸行动。作为这一过程的一部分,联邦政府将定期咨询隐私倡导者和相关专家的意见。
(3)规章制度与市场作用:在保护网络空间方面,联邦政府的规章制度将不会发挥主要作用。如果通过规章制度规定每个公司必须如何配置其信息系统,这等价于选择了一个固定的安全高度,也就排斥了更好的安全解决方案,这种安全措施会被快速发展的新技术所淘汰。甚至更糟糕的是,这种措施会导致比现有网络更不安全和更为同构的网络系统。在法律方面,联邦的法规部门已经开始考虑通过法律手段保护网络安全。然而,人们还是期望市场自身能够为增强网络安全提供最主要的动力。
(4)职责:《保护网络空间的国家战略》的主要目标是建设更具有抗攻击能力的、可靠的信息基础设施。它规定了负责联邦网络空间保护工作的领导部门和机构。2002年12月25日,总统签署了2002年《国土安全法》,建立了国土安全部。国土安全部承担了本战略中制定的很多项目。本战略还向联邦政府、州和地方政府、私营机构及美国人民就如何保护网络空间提出了建议。
(5)确保灵活性:网络威胁变化很快,因此,应强调对网络攻击做出响应和减少脆弱性的能力必须具有灵活性。攻击工具的迅速发展为攻击者提供了便利,它们可以迅速修改攻击策略,针对网络信息系统和管理机构的响应能力的弱点实施攻击。灵活的计划使得各个部门能够在网络威胁发生变化时重新评估各项工作的重要程度并重新调整资源。
(6)为期多年的计划:保护网络空间的工作正在向前推进,这一过程中还会出现新的技术并发现新的脆弱性,本战略为保护网络空间安全提供了一个初步框架,各个部门必须根据自身的角色,采纳为期多年的网络安全计划,同时也鼓励其他公共或私营组织这样做。
国土安全部与网络空间安全
国土安全部由22个联邦实体所联合成立,这22个联邦实体的共同目标是改善国土安全。在处理可能影响联邦政府甚至整个国家网络基础设施的安全事件上,国土安全部将发挥核心作用。国土安全部长将在网络安全方面承担重要的职责,包括:
制定一项全面的国家计划,以保护美国的重要资源和关键基础设施,包括信息技术和电信系统(包括卫星)以及支撑这些系统的物理资产和技术资产。
在关键信息系统受到威胁或攻击时开展危机管理工作。
向私营部门和其他政府实体对大规模关键信息系统故障的应急恢复计划提供支持。
与其他联邦机构协调,为州和地方政府、私营部门、其他实体和公众提供特定的预警信息以及适当的保护措施和对策。
与其他部门一起开展并赞助研发工作,为保护国土安全提供新的科学知识和技术。
协调机构
联邦政府和私营部门之间的有效合作依赖于高效的协调和交流。为促进和加强这种合作结构,政府为基础设施可能受攻击的主要经济部门指定了“领导机构”。另外,科技政策办公室(OSTP)负责协调关键基础设施保护方面的科研工作。管理和预算办公室(OMB)负责监督联邦政府的计算机安全项目中的政策、原则、标准和方针在整个政府部门的实施情况。美国国务院负责协调网络安全方面的国际协作事务。中央情报局负责评估其他国家对美国的网络和信息系统的威胁。司法部和联邦调查局负责对网络犯罪的调查和起诉工作。
关键基础设施领导机构见下表:
政府将继续支持发展公共-私营合作联盟,行业的代表将和联邦的领导机构一起评估其在网络攻击和物理攻击方面的脆弱性,并对如何消除重大的威胁提出计划和对策。技术环境和威胁环境都可能很快发生变化,因此,各个部门和领导机构都必须经常评估国家基础设施的可靠性、脆弱性和威胁的环境,并采取适当的保护措施。
政府的所有权力、能力以及资源都可以用于支持基础设施的保护工作,包括危机管理、执法、规章制度的实施、境外情报和国防战备。