美国网络安全管理评估报告

美国网络安全管理评估报告早在2009年，美国总统奥巴马就宣布，网络空间威胁已经成为美国21世纪面临的最严重的经济和国家安全威胁之一。2009年5月，他指示美国政府问责办公室（U.S.GovernmentAccountabilityOffice，GAO）审查美国国家级网络安全政策和程序。审查报告显示存在两方面重要不足：缺乏强有力的领导和联邦机构之间缺乏明晰的任务区分。虽然三年前白宫就增设了一名新的总统特别助理兼“网络安全协调官”，负责领导各联邦机构间的网络协作与同步协调工作，美国政府问责办公室给出的总体评价结论却是：美国国家级的网络安全管理需要做出更大的改进。本文的主要目的有三个方面：（1）确定美国政府内各机构在网络安全管理方面的不同任务、职责和权力；（2）评估美国国家级网络安全管理计划的效率和有效性；（3）提出增强整体网络安全管理的战略方案建议，以在资源受限的环境中有效保护和运营美国的网络和信息。“网络安全威胁是我们整个国家所面临的国家安全、公共安全和经济挑战等最严重的问题之一。”——2010年美国《国家安全战略》今天的黑客不再是寻求刺激的青少年，他们是有组织的犯罪集团、国家武装力量和非国家行为体，他们从事间谍活动或对民众和基础设施进行怀有恶意，从而危害美国的国家安全和/或经济利益。虽然远在千里之外，但技术日益精湛的外国黑客就可以对美国计算机网络进行电子渗透以窃取敏感的军事技术。2009年，美国总统奥巴马向全体美国公民发表了全国电视演讲说，“我们每天都会看到成千上万批网络窃贼反复窃取（我们的）敏感信息——他们是那些国内心怀不满的员工、千里之外的黑客个体、工业间谍以及越来越多的国外情报部门。”奥巴马总统讲话的意图就是要警告美国公民：美国的重要安全利益正在遭受攻击，为了保护美国民众、他们的资产以及美国的国家利益，一个及时有效的美国网络安全战略行动计划必须尽快实施。奥巴马总统继续解释说，“这是对我们信息时代的莫大讽刺——那些帮助我们制造和发展的技术，也帮助了那些扰乱和破坏我们的敌人。”随着国家从工业时代过渡到信息时代，总统告诫广大美国民众，那些旨在推动世界进步的新技术也具有反作用，必须采取有效措施扭转这一趋势。为了改变电脑黑客利用先进技术从事网络犯罪的侥幸心理，必须制定一个新型的和开创性的战略行动计划来改变当前的网络破坏方式。这种计划的制定必须包括美国政府、国际社会和私营-公共部门的积极参与，通过一个独立的权力机构对美国网络安全利益相关者进行领导、指导和激励。本文的目的是通过评估当前环境和重要权力机构来更好地理解网络安全管理结构，然后对如何开展合理的行动计划，以及在未来获得一种良好的国家网络安全态势提出方案建议。本文的主要目的有三个方面：（1）确定美国政府内各机构在网络安全管理方面的不同任务、职责和权力；（2）评估国家级网络安全管理计划的效率和有效性；（3）提出整体提高网络安全管理的战略方案建议，以在资源有限的环境中有效保护和运营美国的网络和信息。背景2008年，为了应对网络攻击对联邦系统和业务所带来的持续威胁，布什总统授权实施一项新的“国家网络安全综合计划（ComprehensiveNationalCybersecurityInitiative，CNCI）”。该计划旨在提高联邦政府保护敏感信息的能力，阻止黑客和民族国家入侵国家机构的网络及其他网络。此外，由于多个部门报告他们的计算机网络遭受了多起网络攻击，美国政府决定实施“国家网络安全综合计划”。还成立了国家网络安全中心（NationalCyberSecurityCenter，NCSC）来协调各联邦机构和部门的信息，以确保网络安全和促进协作。“国家网络安全综合计划”旨在减少漏洞、防范入侵，并预测潜在的威胁，而国家网络安全中心则致力于规范当前的网络安全流程，并引入新的政策和商业实践，以更好地保护计算机网络和系统。早在2009年，美国总统奥巴马就曾宣布，“网络空间威胁已经成为美国21世纪面临的最严重的经济和国家安全威胁之一”，而且“美国在21世纪的经济繁荣将依赖于网络安全”。2009年5月，他指示美国政府问责办公室审查美国国家级网络安全政策和程序。美国政府问责办公室的政策审查结果重点放在了网络安全职责上面。戴维?鲍勒尔撰写了政府问责办公室报告，并指出存在两大重要不足：（1）缺乏强有力的领导。（2）联邦机构之间缺乏清晰的任务区分。对缺乏强有力领导的关注始于2009年3月，时任国家网络安全中心主任的罗德?贝克斯特罗姆突然向美国国土安全部（DepartmentofHomelandSecurity，DHS）主任提交了辞职信，声称缺乏资金支持和未将网络安全视为国家优先发展项目，致使他决定辞职。鉴于贝克斯特罗姆先生的突然离职和美国政府问责办公室对国家网络安全态势的评估结论，美国总统奥巴马决定在白宫内设立一个总统特别助理兼“网络安全协调官”，旨在提高机构间协作与同步协调效率。“网络安全协调官”这一新职位将负责向国家安全委员会（NationalSecurityStaff，NSC）和国家经济委员会（StaffoftheNationalEconomicCouncil）报告，统揽整个美国网络安全管理事务，制定网络安全长远规划。为了领导国家网络计划，奥巴马总统于2009年12月任命霍华德?A?施密特作为国家“网络安全协调官”，霍华德?A?施密特曾效力于联邦调查局，专门研究网络犯罪，先后担任过微软和eBay公司的首席安全官，还曾担任过小布什政府的白宫网络安全顾问。“网络安全协调官”既没有指挥权，也没有对任何联邦机构的预算权，在当今信息时代，要解决那些困扰美国和世界的一大堆网络安全问题，他的行政人员规模是远远不够的。自2009年12月以来，各联邦机构在网络业务和政策发展方面都取得了重大进展，但各机构之间缺乏一个集体的和协作的机制问题一直遗留到现在。虽然“网络安全协调官”已在政府部门内任命，迫切需要在监督国家网络安全方案方面强化领导与管理的需求最近才刚刚被提上日程。在政府问责办公室对网络安全管理进行定期审查期间，当确定谁对网络安全的政策和计划拥有领导和决策职责时，各联邦机构纷纷抱怨职责区分混乱，由于任务和责任区分的不明确，重复性工作和资源重叠依然在各机构间存在，这就造成了不必要的混淆与浪费。有人认为重复性工作和资源重叠会在一定程度上为国家增强和/或提高生产力与网络安全态势，因为冗余的网络安全人员和设备有利于更好地完成任务。然而，由于缺乏政策、领导、行政机构和信息共享，网络安全管理很难获得更大的进步。由于每个联邦机构都着手制定相类似的政策；监控和维护相同的网络；调查违法犯罪行为；与国际和国内私营及公共部门进行协调；并履行相似的研究和开发职责，对普通观察者（美国公民）来说，这种重复性工作显然浪费了联邦政府、州政府和业界的资金，而国家安全的威胁却持续上升。正如历史书讲述的西部故事，蛮荒的西部被打败和驯服，胜利是通过正确的领导、结构合理且纪律严明的组织以及明确清晰的战略和愿景取得的，而不是通过松散委员会、团体共识以及通过含糊的政策方案和愿景清单的模糊指导取得的。因此，联邦政府需要发展和实施新的网络安全战略，这种新的网络安全战略需要总结过去的经验教训，并预期未来的需求。如果只发展那种“被动的战略”并实施“匆忙拼凑”的解决方案，这只会使国家处于一种被动的网络安全窘境。世界认为美国是全球技术、开发和领导的领头羊。随着网络威胁持续在全球的迅猛蔓延，并对经济和安全利益造成极大破坏，世界需要一种网络角色模型来实现有效变革，并取得积极性成果。美国需要领先并具备这种能力！任务和职责自20世纪80年代以来，网络安全一直是美国政府的一个棘手问题，但驯服蛮荒的西部曾经也同样是一个棘手问题。为了更好地了解网络“网状”管理中的复杂现状，明确美国政府内哪些核心部门对国家制定网络安全政策和操作程序负有职责非常重要。2010年，政府问责办公室发表了一篇文章，明确以下部门和联邦机构在网络安全方面负有重要职责：行政部门、国土安全部、国防部、商务部、司法部、国务院。本文将集中讨论这6个联邦机构的任务和职责，因为它们是网络安全政策和程序的主要开发者与实施者。在行政部门中，新设立的“网络安全协调官”是首要参与者。“网络安全协调官”是国家安全委员会和国家经济委员会成员之一，主要负责确保联邦网络政策可以增强国家安全，并确保在整个政府内有一种协调一致的手段。“网络安全协调官”是美国网络安全的“伪教父”，虽然他直接向总统负责，但缺乏资金、指挥权以及在整个网络领域内影响人员和流程的控制权。联邦行政部门中另一个有影响力的部门是管理与预算办公室（OfficeofManagementandBudget）及其下属的电子政务与信息技术办公室（OfficeofE-GovernmentandInformationTechnology，E-Gov）。电子政务与信息技术办公室由联邦首席信息官（CIO）负责主管，负责开发和利用“基于互联网的技术使公民和企业与联邦政府的交互变得更加高效，节约纳税人的钱，并简化公民的参与。”史蒂文?瓦洛伊克尔先生是美国第二任联邦首席信息官，于2011年8月5日由奥巴马总统任命。他接替了维伟卡?孔德劳先生，维伟卡?孔德劳是美国首任联邦首席信息官，任职时间从2009年3月到2011年8月，也是由奥巴马总统任命的。联邦首席信息官负责管理首席信息官委员会（CIOCouncil），首席信息官委员会是“改善与联邦信息资源规划、采购、开发、现代化、使用、共享和实施有关的机构实践的主要跨机构委员会”，该委员会包括28个来自不同联邦行政机构和其他几个特定联邦机构的成员，是行政部门建立的专门负责管理网络安全的众多委员会/理事会之一。在联邦政府高层的另一个重要委员会是信息和通信基础设施机构间政策委员会（InformationandCommunicationsInfrastructureInteragencyPolicyCommittee，ICI-IPC），由国家安全委员会和国土安全委员会（HomelandSecurityCouncil，HSC）负责。信息和通信基础设施机构间政策委员会是协调信息和通信基础设施政策的主体。根据“国土安全第23号总统令”和“国家安全第54号总统令”，美国国土安全部（DHS）正式领导联邦机构“防护联邦政府部门的网络和系统（‘dot-gov’域名），并且与私营部门协调，共同保护国家关键基础设施和核心资源。”美国国土安全部主要负责联邦信息技术（IT）基础设施和数据网络的防护。该部门的大部分网络安全职能集中在国家保护与计划司（NationalProtection&ProgramsDirectorate，NPPD），该司继续由国土安全部副部长担任主管。国家网络安全处（NationalCyberSecurityDivision，NCSD）是国土安全部下属的理事会之一，主要负责“与公共、私人和国际实体协作，共同保护网络空间和美国的网络利益。”国家网络安全处主任负责监管国家网络安全与通信集成中心（NationalCybersecurityandCommunicationsIntegrationCenter，NCCIC）和美国计算机应急预备小组（UnitedStatesComputerEmergencyReadinessTeam，US-CERT）。国家网络安全与通信集成中心是一个全天候业务中心，“负责对联邦、州和地方政府，情报和执法界以及私营部门共同生成一个网络和通信运行态势图。”美国计算机应急预备小组也是一个全天候业务中心，是国家网络安全处的业务部门。它负责向联邦民事行政部门（FederalCivilExecutiveBranch）提供响应支持和网络攻击防护，并与州和地方政府、业界和国际合作伙伴开展信息共享与协作。美国国土安全部/国家网络安全处负责一些保护网络基础设施免受攻击的计划，如国家网络应急协调小组（NationalCyberResponseCoordinationGroup）。该小组由13个联邦机构代表组成，当发生全国性的严重网络事件时，该小组负责