美国政府提出5个方面30项建议增强国家网络安全

网络安全专家强调需出台重要举措以加强国家网络安全态势

除了我们建议改善国家网络安全战略及其执行情况外,还有专家对于这些问题和其他关键战略方面的意见,其中包括提出可改良的各个领域。包括前任联邦政府官员、学者、私营部门执行官在内的专家,提出了12个主要改良方案,他们认为,必须改善我国战略和网络安全态势。这些改善在很大程度上是符合我们的材料,也符合在这方面进行的广泛研究和经验。包括:

1、确定具有明确战略目标、目的和重点的国家战略。此战略应该包括(1)明确的战略目的,(2)为政府和私营部门提供可行的目标,(3)突出网络安全这一重点,(4)为将来安全网络空间提供一个设想,(5)争取联合联邦政府各部得力量,(6)量化战略进展过程,(7)进展不大时,为行动的执行和责任提供一个有效的保障。专家小组成员认为,CNCI提供了一套战略举措,以集中加强联邦政府网络安全的战略活动;然而,它并没有作为一个整体为国家提供战略目标、目的和重点。

2、为领导和监督国家网络安全政策,建立白宫责任制和问责制----该战略使国土安全部成为网络安全保障核心部门;然而,专家小组成员认为,国土安全部没起到预期的作用,对全国关注的网络安全提升也没有提供足够的指导。因此,小组成员指出,要取得成功,就要给国家和网络关键基础设施的私营业主表明,网络安全是一个重点项目,并由白宫亲自领导实行。另外,为了有效发挥其效用,政府必须树立权威----例如,对预算和资源采取适当的奖励办法,以刺激行动的进行。

3、建立战略执行的管理机构----管理机构包括18个关键的基础设施部门,相应的政府部门和协调理事会,跨部门委员会等。然而,根据小组成员的意见,管理机构是以政府为中心,很大程度上依赖个人以达到信息共享和行动的实行。此外,虽然所有行业就网络功能而言并不具有同等重要性,但管理机构应对他们同等对待。为了确保战略改良计划的有效执行,专家建议,管理机构应该包括高级管理委员会代表(例如,国防部,国土安全部、司法局、州政府、财政部和白宫)和关键网络资产和功能的私营部门领导。专家小组成员也建议委员会的责任应该包括衡量和定期报告目标、任务和战略重点的进展,在进展不大时,督促各方面加快进度。

4、普及网络安全知识,提高网络安全意识----虽然该战略确定网络空间安全意识作为重点,专家指出,许多在商业和政府任职的,包括在国会就职的国家领导人,他们有能力为网络安全提供资金帮助,但大多数人网络安全意识不高,没有认识到网络安全引发国家和经济安全风险的严重性。专家组成员建议,应积极向领导者和普通民众宣传网络安全的重要性。

5、建立负责任的有效的网络安全组织----国土安全部创立了国家网络安全局(下属于网络安全部和通信部),负责领导国家日常的网络安全。然而,小组成员认为,这个部门并不能使国土安全部成为预期核心力量。小组成员声称,目前,国防部和其他情报部门有能力左右联邦的决定。他们说,他们也需要一个独立的网络安全组织来促进和联合私营部门、政府、执法机构、军队和情报部门以及国际盟友,合力解决全国重要的网络系统和职能问题。但是,网络安全组织应该如何处理这个问题,我们专家组成员没有达成共识。

6、集中加强资产和职能的优化,评估网络安全存在的弱点,减少网络安全攻击,而不是发展更多额外计划----该战略建议采取更多的行动来查明重要的网络资产和职能,但是专家组成员声称对国家重要的网络资产和职能进行检查的力度还不够。小组成员认为,对网络关键基础设施保护工作所作的努力,列出重要资产的清单,就目前而言是基于个人或团体意愿进行的。此外,目前的战略将以减少弱点作为重中之重;可是,评定和减少现有的弱点所做出的努力还是不够的。他们认为,必须采取更多行动才能识别和消除常见的弱点,而且对关键网络资产和职能应该具备有效的评估手段。

7、通过改进价值观念和奖励机制加强政府和私人的合作关系----虽然该战略激发了重要网络资产和职能的所有者和控制者采取行动,但是小组成员认为,网络安全工程需要更多的投资和更多人参与进来,目前的经济及其他激励制度远远不够。因此,小组成员指出,联邦政府应该提供有价值的服务(例如提供有用的威胁或是预警分析信息)或是奖励(例如发放津贴或是减免税款)来鼓励私人参与合作。他们还建议政府和私营部门能够使用一些像成本-利润分析这样的方法,来确保网络安全相关有限资源的高效利用。

8、多重视解决全球的网络空间的问题----该战略包括处理国际方面的网络空间安全问题。但是根据小组专家所说,美国并没有涉及网络空间如何管理和控制这一全球问题。他们认为,当其他国家正在积极参与制定条约、建立标准、以及推行国际协定(如隐私权)时,美国没有积极协作来确保国际协定符合美国的利益,有利于解决网络安全和网络犯罪问题。小组成员认为,美国应该摆出更加积极合作的姿态,这样可以让美国在国际合作中有一席之地,并能加强政府部门之间的合作,其中包括法律的实施。此外,一名成员还说,美国在网络安全战略上应该与全球应达成共识。

9、加大对网络空间恶意破坏行活动的执法力度----战略倡议加强国内外审查合作和促进各国就追捕网络犯罪达成一致意见。据一个小组成员所说,在国内,相关法律已经做出修改(例如,2008年通过的“未成年儿童行为保护法”),但是这只是整个工作过程中的一小部分。他还说,目前国内外的法律实行,包括行动、手续、方法和法律本身,已经太过时,不能适应现在高技术犯罪个人或团体,例如罪犯、恐怖分子和恶意目的的敌对国家。有必要加大法律的实施力度,加大对进行恶意破坏行为的个人或团体的打击力度。

10、进一步加强于网络安全的研究和开发工作,包括考虑如何更好的协调政府和私营部门各方面的力量----虽然该战略建议采取措施,实现进一步的研究和开发工作,努力协调政府和私营部门各方面力量,但专家指出,美国对此没有将充分投入资金集中进行研究,没有集中考虑新一代的网络空间及网络空间安全问题。另外,对正在进行的研究和开发工作,目前没有协调好政府和私营机构的各方力量。

11、培养网络安全骨干人才----该战略的任务包括增加网络安全专业人员的数量和提高他们的技能。但是,根据小组成员认为,目前此方面的专业人员人数还是不够,包括信息安全专家和网络犯罪侦探。专家组成员指出,要采取进一步的行动,增加符合网络安全技能要求的专业人才,包括(1)加大现有的奖学金的规模(例如增加服务奖学金)(2)通过测试和批准进行网络安全专业训练。

12、为联邦政府构建安全的网络模式,包括利用它已有的机能提升产品和服务的网络安全----战略将确保政府的网络空间的安全作为重点,并通过联邦政府现有的资产来实现。虽然联邦政府逐步加强各部门的网络安全,但小组成员认为,这还算不上是一个网络安全模型。此外,他们表示,联邦政府没转变现有资产的功能,在这方面对政府官员也没有进行有效的训练,因此其购买、使用的产品和服务的网络安全效率没有得到提升。

总的来说,我国正在遭受着计算机网络攻击,目前的战略以及改良措施在缓解威胁方面没有起到很大的作用,这正是国土安全部需采取进一步行动,充分履行我们的建议,以解决关键网络安全领域问题的原因之一。另外,旨在改进计算机网络安全的改进方案也得到权威专家的肯定,但是重要的国家部门和私营部门基础设施系统依旧处于网络安全威胁之中。关键性的改良,包括制定国家战略,这一战略要求能清楚体现出战略的目的,目标和重点;建立白宫领导权;加强管理;创立一个有能力负责任的领导组织。即使这些建议及改进措施实施后,联邦政府和私营部门的重要基础设施系统仍是敌对分子的攻击的目标。因此,除了充分执行我们的建议外,至关重要的是,奥巴马当局在重新审视网络安全战略时应对此做出改进,并下决心向前迈进。

主席女士,我的发言到此结束。我很乐意回答您和小组委员会成员的相关提问。

如果您对上述报告有任何疑问的话,请联系我(202)512-9286,或发送电子邮件至pownerd@gao.gov。这份报告的其他主要贡献者包括布拉德利·贝克,尔卡米·查尔斯,迈克尔·吉尔莫,南希·格罗乌尔,库什·马罗特拉,加里·蒙乔伊,李麦·克拉肯和安德鲁斯·塔维斯基。

作者:David Powner(信息技术管理杂志主编)

2009-8-28    来源:中国网

 
     1   2   3