美国网络安全管理评估报告

美国网络安全管理评估报告早在2009年，美国总统奥巴马就宣布，网络空间威胁已经成为美国21世纪面临的最严重的经济和国家安全威胁之一。2009年5月，他指示美国政府问责办公室（U.S. Governme

美国网络安全管理评估报告

早在2009年，美国总统奥巴马就宣布，网络空间威胁已经成为美国21世纪面临的最严重的经济和国家安全威胁之一。2009年5月，他指示美国政府问责办公室（U.S. Government Accountability Office ，GAO ）审查美国国家级网络安全政策和程序。审查报告显示存在两方面重要不足：缺乏强有力的领导和联邦机构之间缺乏明晰的任务区分。虽然三年前白宫就增设了一名新的总统特别助理兼“网络安全协调官”，负责领导各联邦机构间的网络协作与同步协调工作，美国政府问责办公室给出的总体评价结论却是：美国国家级的网络安全管理需要做出更大的改进。本文的主要目的有三个方面：（1）确定美国政府内各机构在网络安全管理方面的不同任务、职责和权力；（2）评估美国国家级网络安全管理计划的效率和有效性；（3）提出增强整体网络安全管理的战略方案建议，以在资源受限的环境中有效保护和运营美国的网络和信息。

“网络安全威胁是我们整个国家所面临的国家安全、公共安全和经济挑战等最严重的问题之一。”

——2010年美国《国家安全战略》

今天的黑客不再是寻求刺激的青少年，他们是有组织的犯罪集团、国家武装力量和非国家行为体，他们从事间谍活动或对民众和基础设施进行怀有恶意，从而危害美国的国家安全和/或经济利益。虽然远在千里之外，但技术日益精湛的外国黑客就可以对美国计算机网络进行电子渗透以窃取敏感的军事技术。2009年，美国总统奥巴马向全体美国公民发表了全国电视演讲说，“我们每天都会看到成千上万批网络窃贼反复窃取（我们的）敏感信息——他

们是那些国内心怀不满的员工、千里之外的黑客个体、工业间谍以及越来越多的国外情报部门。”奥巴马总统讲话的意图就是要警告美国公民：美国的重要安全利益正在遭受攻击，为了保护美国民众、他们的资产以及美国的国家利益，一个及时有效的美国网络安全战略行动计划必须尽快实施。奥巴马总统继续解释说，“这是对我们信息时代的莫大讽刺——那些帮助我们制造和发展的技术，也帮助了那些扰乱和破坏我们的敌人。”随着国家从工业时代过渡到信息时代，总统告诫广大美国民众，那些旨在推动世界进步的新技术也具有反作用，必须采取有效措施扭转这一趋势。

为了改变电脑黑客利用先进技术从事网络犯罪的侥幸心理，必须制定一个新型的和开创性的战略行动计划来改变当前的网络破坏方式。这种计划的制定必须包括美国政府、国际社会和私营-公共部门的积极参与，通过一个独立的权力机构对美国网络安全利益相关者进行领导、指导和激励。本文的目的是通过评估当前环境和重要权力机构来更好地理解网络安全管理结构，然后对如何开展合理的行动计划，以及在未来获得一种良好的国家网络安全态势提出方案建议。本文的主要目的有三个方面：（1）确定美国政府内各机构在网络安全管理方面的不同任务、职责和权力；（2）评估国家级网络安全管理计划的效率和有效性；（3）提出整体提高网络安全管理的战略方案建议，以在资源有限的环境中有效保护和运营美国的网络和信息。

背景

2008年，为了应对网络攻击对联邦系统和业务所带来的持续威胁，布什总统授权实施一项新的“国家网络安全综合计划（Comprehensive National Cy bersecurity Initiative ，CNCI ）”。该计划旨在提高联邦政府保护敏感信息的能

力，阻止黑客和民族国家入侵国家机构的网络及其他网络。此外，由于多个部门报告他们的计算机网络遭受了多起网络攻击，美国政府决定实施“国家网络安全综合计划”。还成立了国家网络安全中心（National Cyber Security Ce nter ，NCSC ）来协调各联邦机构和部门的信息，以确保网络安全和促进协作。“国家网络安全综合计划”旨在减少漏洞、防范入侵，并预测潜在的威胁，而国家网络安全中心则致力于规范当前的网络安全流程，并引入新的政策和商业实践，以更好地保护计算机网络和系统。

早在2009年，美国总统奥巴马就曾宣布，“网络空间威胁已经成为美国21世纪面临的最严重的经济和国家安全威胁之一”，而且“美国在21世纪的经济繁荣将依赖于网络安全”。2009年5月，他指示美国政府问责办公室审查美国国家级网络安全政策和程序。美国政府问责办公室的政策审查结果重点放在了网络安全职责上面。戴维? 鲍勒尔撰写了政府问责办公室报告，并指出存在两大重要不足：（1）缺乏强有力的领导。（2）联邦机构之间缺乏清晰的任务区分。对缺乏强有力领导的关注始于2009年3月，时任国家网络安全中心主任的罗德? 贝克斯特罗姆突然向美国国土安全部（Department of Homela nd Security ，DHS ）主任提交了辞职信，声称缺乏资金支持和未将网络安全视为国家优先发展项目，致使他决定辞职。鉴于贝克斯特罗姆先生的突然离职和美国政府问责办公室对国家网络安全态势的评估结论，美国总统奥巴马决定在白宫内设立一个总统特别助理兼“网络安全协调官”，旨在提高机构间协作与同步协调效率。“网络安全协调官”这一新职位将负责向国家安全委员会（National Security Staff ，NSC ）和国家经济委员会（Staff of the Nationa l Economic Council ）报告，统揽整个美国网络安全管理事务，制定网络安全

长远规划。为了领导国家网络计划，奥巴马总统于2009年12月任命霍华德? A? 施密特作为国家“网络安全协调官”，霍华德?A? 施密特曾效力于联邦调查局，专门研究网络犯罪，先后担任过微软和eBay 公司的首席安全官，还曾担任过小布什政府的白宫网络安全顾问。“网络安全协调官”既没有指挥权，也没有对任何联邦机构的预算权，在当今信息时代，要解决那些困扰美国和世界的一大堆网络安全问题，他的行政人员规模是远远不够的。

自2009年12月以来，各联邦机构在网络业务和政策发展方面都取得了重大进展，但各机构之间缺乏一个集体的和协作的机制问题一直遗留到现在。虽然“网络安全协调官”已在政府部门内任命，迫切需要在监督国家网络安全方案方面强化领导与管理的需求最近才刚刚被提上日程。在政府问责办公室对网络安全管理进行定期审查期间，当确定谁对网络安全的政策和计划拥有领导和决策职责时，各联邦机构纷纷抱怨职责区分混乱，由于任务和责任区分的不明确，重复性工作和资源重叠依然在各机构间存在，这就造成了不必要的混淆与浪费。有人认为重复性工作和资源重叠会在一定程度上为国家增强和/或提高生产力与网络安全态势，因为冗余的网络安全人员和设备有利于更好地完成任务。然而，由于缺乏政策、领导、行政机构和信息共享，网络安全管理很难获得更大的进步。由于每个联邦机构都着手制定相类似的政策；监控和维护相同的网络；调查违法犯罪行为；与国际和国内私营及公共部门进行协调；并履行相似的研究和开发职责，对普通观察者（美国公民）来说，这种重复性工作显然浪费了联邦政府、州政府和业界的资金，而国家安全的威胁却持续上升。正如历史书讲述的西部故事，蛮荒的西部被打败和驯服，胜利是通过正确的领导、结构合理且纪律严明的组织以及明确清晰的战略和

愿景取得的，而不是通过松散委员会、团体共识以及通过含糊的政策方案和愿景清单的模糊指导取得的。因此，联邦政府需要发展和实施新的网络安全战略，这种新的网络安全战略需要总结过去的经验教训，并预期未来的需求。如果只发展那种“被动的战略”并实施“匆忙拼凑”的解决方案，这只会使国家处于一种被动的网络安全窘境。世界认为美国是全球技术、开发和领导的领头羊。随着网络威胁持续在全球的迅猛蔓延，并对经济和安全利益造成极大破坏，世界需要一种网络角色模型来实现有效变革，并取得积极性成果。美国需要领先并具备这种能力！

任务和职责

自20世纪80年代以来，网络安全一直是美国政府的一个棘手问题，但驯服蛮荒的西部曾经也同样是一个棘手问题。为了更好地了解网络“网状”管理中的复杂现状，明确美国政府内哪些核心部门对国家制定网络安全政策和操作程序负有职责非常重要。2010年，政府问责办公室发表了一篇文章，明确以下部门和联邦机构在网络安全方面负有重要职责：行政部门、国土安全部、国防部、商务部、司法部、国务院。本文将集中讨论这6个联邦机构的任务和职责，因为它们是网络安全政策和程序的主要开发者与实施者。 在行政部门中，新设立的“网络安全协调官”是首要参与者。“网络安全协调官”是国家安全委员会和国家经济委员会成员之一，主要负责确保联邦网络政策可以增强国家安全，并确保在整个政府内有一种协调一致的手段。“网络安全协调官”是美国网络安全的“伪教父”，虽然他直接向总统负责，但缺乏资金、指挥权以及在整个网络领域内影响人员和流程的控制权。联邦行政部门中另一个有影响力的部门是管理与预算办公室（Office of Management and

Budget ）及其下属的电子政务与信息技术办公室（Office of E-Government a nd Information Technology ，E-Gov ）。电子政务与信息技术办公室由联邦首席信息官（CIO ）负责主管，负责开发和利用“基于互联网的技术使公民和企业与联邦政府的交互变得更加高效，节约纳税人的钱，并简化公民的参与。”史蒂文? 瓦洛伊克尔先生是美国第二任联邦首席信息官，于2011年8月5日由奥巴马总统任命。他接替了维伟卡? 孔德劳先生，维伟卡? 孔德劳是美国首任联邦首席信息官，任职时间从2009年3月到2011年8月，也是由奥巴马总统任命的。联邦首席信息官负责管理首席信息官委员会（CIO Council ），首席信息官委员会是“改善与联邦信息资源规划、采购、开发、现代化、使用、共享和实施有关的机构实践的主要跨机构委员会”，该委员会包括28个来自不同联邦行政机构和其他几个特定联邦机构的成员，是行政部门建立的专门负责管理网络安全的众多委员会/理事会之一。在联邦政府高层的另一个重要委员会是信息和通信基础设施机构间政策委员会（Information and Communi cations Infrastructure Interagency Policy Committee ，ICI-IPC ），由国家安全委员会和国土安全委员会（Homeland Security Council ，HSC ）负责。信息和通信基础设施机构间政策委员会是协调信息和通信基础设施政策的主体。 根据“国土安全第23号总统令”和“国家安全第54号总统令”，美国国土安全部（DHS ）正式领导联邦机构“防护联邦政府部门的网络和系统（„dot-go v‟域名），并且与私营部门协调，共同保护国家关键基础设施和核心资源。”美国国土安全部主要负责联邦信息技术（IT ）基础设施和数据网络的防护。该部门的大部分网络安全职能集中在国家保护与计划司（National Protection & Programs Directorate ，NPPD ），该司继续由国土安全部副部长担任主管。

国家网络安全处（National Cyber Security Division ，NCSD ）是国土安全部下属的理事会之一，主要负责“与公共、私人和国际实体协作，共同保护网络空间和美国的网络利益。”国家网络安全处主任负责监管国家网络安全与通信集成中心（National Cybersecurity and Communications Integration Center ，N CCIC ）和美国计算机应急预备小组（United States Computer Emergency Re adiness Team ，US-CERT ）。国家网络安全与通信集成中心是一个全天候业务中心，“负责对联邦、州和地方政府，情报和执法界以及私营部门共同生成一个网络和通信运行态势图。”美国计算机应急预备小组也是一个全天候业务中心，是国家网络安全处的业务部门。它负责向联邦民事行政部门（Federal Civil Executive Branch ）提供响应支持和网络攻击防护，并与州和地方政府、业界和国际合作伙伴开展信息共享与协作。美国国土安全部/国家网络安全处负责一些保护网络基础设施免受攻击的计划，如国家网络应急协调小组（Nat ional Cyber Response Coordination Group ）。该小组由13个联邦机构代表组成，当发生全国性的严重网络事件时，该小组负责协调一个同步的联邦响应。国土安全部内另一个对网络安全负有重要职责的理事会是美国特勤局（U.S. Secret Service ，USSS ）。2001年10月26日，布什总统签署《美国爱国者法案》（Uniting and Strengthening America by Providing Appropriate Tools R equired to Intercept and Obstruct Terrorism ，简写为USA PATRIOT ）该法案指示美国特勤局建立一个全国性的电子犯罪特遣队（Electronic Crimes Task Forces ，ECTFs ）网络。电子犯罪特遣队网络不仅汇集了联邦、州和地方执法机构，还包括检察官、民营企业和学术界。该特遣队是在美国境内负责调查网络犯罪的众多机构之一。美国特勤局的使命就是保护国家金融基础设施和

支付系统，以确保美国经济的绝对安全，通过减少“电子犯罪、金融犯罪、计算机犯罪、破坏支付系统、身份窃取和其他金融犯罪类型所产生的金融损失总额”。最后，在国土安全部内，需要认识的重要网络机构是信息共享和分析中心（Information Sharing and Analysis Center ，ISAC ）。该机构的创建是为了在国土安全部和联邦政府外部组织之间建立伙伴关系。2003年，美国总统签署了“国土安全第7号总统令：《关键基础设施的识别、优先级和保护》（HSPD-7）”，规定：“联邦政府要求每个关键基础设施部门在部门内建立具体信息共享组织，以便与其他部门就该部门的威胁和漏洞信息进行共享。”作为响应，许多部门成立了一个信息共享和分析中心以满足“国土安全第7号总统令”的要求。目前，已成立了16个信息共享和分析中心小组，他们每季度召开一次会议：电力行业、金融服务、信息技术、地面运输、公共交通、通讯、供水、多州合作、房地产、研究和教育、商品供应、核电、海事、高速公路、国家卫生、应急管理与响应。所有合作伙伴都签署了书面协议，当参与联合网络演习时，以及对现实世界中的网络危机事件作出响应时，允许非联邦成员就日常事务问题和国家网络安全与通信集成中心内的全天候网络运营机构合作。联邦和非联邦网络专家之间的协作与同步已经成为美国基础设施和信息网络保护的重要手段。

国防部（DOD ）主要负责进攻性和防御性的网络作战，而美国国土安全部负责防御性网络作战，这两个机构密切合作以确保全谱作战行动（防御、嗅探和攻击）都被很好地实施和同步协调，从而确保国家免受网络威胁。一个正式的协议备忘录于2010年9月由美国国土安全部和国防部领导人共同签署，以强化跨部门协作和增进合作，以及更好地定义任务和职责，从而避免

重复性工作。美国国防部于2010年成立了一个新的司令部——美国网络司令部（USCYBERCOM ），这是隶属于美国战略司令部的一个二级联合司令部。美国网络司令部的任务是负责规划、协调、整合、同步和指导国防部信息网络的运行与防护行动，领导全谱军事网络空间作战，以确保美国和盟国在网络空间的行动自由，同时削弱美国的敌人在网络空间的行动自由。

美国网络司令部的下属作战力量代表各军兵种在网络领域的管理力量：陆军网络司令部（ARCYBER ）、海军第十舰队网络司令部（FLTCYBERCO M ）、第二十四航空队（AFCYBER ）和海军陆战队网络司令部（MARFORC YBER ）。除了对各军种组成具有作战控制权外，美国网络司令部司令还具有美国国家安全局（NSA ）局长和中央安全署（CSS ）主任的双重身份。美国国家安全局/中央安全署在信号情报和信息安全保障领域主导着美国密码学界。这就为国家网络情报部门与军事网络管理力量的合作增加了合作关系和协作机制。美国网络司令部内的三条业务线是：美国国防部全球信息栅格运行（IT 网络的管理）；防御性网络空间作战（阻止网络攻击）和进攻性网络空间作战（进行网络嗅探和网络攻击）。同理，国防部对网络嗅探和网络攻击行动负有主要领导职责。

美国商务部（Department of Commerce ，DOC ）是国家网络安全框架内的又一个重要机构，主要负责为网络系统技术改进和为联邦网络建立重要的IT 基础设施计划模板。美国商务部的网络指挥权是1950年《国防生产法案》赋予的，目的在于缩减和消耗联邦机构的供应，以满足国防需求。在计算机网络安全方面，美国商务部有两个重要机构，国家标准技术研究所（National Institute of Standards and Technology ，NIST ）和国家电信与信息管理局（N

ational Telecommunications and Information Administration ，NTIA ）。国家标准技术研究所是美国商务部开展研究、开发、技术和工程（RDT ＆E ）的力量。主要基于安全标准、指标和最佳实践，负责为商业及政府实体开发、测试、宣传、监测和测量新信息技术（IT ）原理与技术细节。国家电信与信息管理局是对行政部门提供直接支持的机构，主要负责就电信和信息政策问题向总统提出建议。国家电信与信息管理局的计划和决策在很大程度上集中在扩大美国宽带互联网的接入和使用。国家电信与信息管理局制定互联网经济相关的政策，包括在线隐私、网络安全、在线信息的全球自由流动。

美国司法部（Department of Justice ，DOJ ）是美国政府的主要行政执法机构，负责制定网络规则参与和由美国国会建立的法律，并对那些违反网络相关法律的个人、企业、机构、国家和民族提起诉讼。美国司法部的一个下属机构是联邦调查局（Federal Bureau of Investigations ，FBI ），主要负责调查和诉讼网络犯罪问题的全国业务。美国联邦调查局的网络安全使命是调查高科技犯罪，如基于网络的恐怖主义、电脑入侵、网络色情犯罪和重大网络诈骗。联邦调查局负责从公共和私营部门、商业企业和其他联邦机构收集信息，以分析网络犯罪事件的取证证据，从而确定恶意活动的来源或发起人。联邦调查局与其他执法机构（联邦、州、地方和国际机构）合作，共同保护和防卫国家免受恐怖分子和外国部门威胁，从而维护和巩固美国刑事法律。国家网络调查联合特遣队（National Cyber Investigative Joint Task Force ，N CIJTF ）由美国联邦调查局负责管理，包括来自美国特勤局和一些其他联邦机构的代表。网络调查协调组织作为跨机构的国家部门，负责协调、整合和共享有关网络威胁调查的相关信息。