美国网络安全管理评估报告(3)

发布时间:2013-12-11 09:31 作者:佚名来源:搜狐军事点击:加载中...次

随着各联邦机构之间网络安全任务和职责的不断完善，显然网络防御作战、政策制定、执法、研究与发展机制中存在的冗余和重复性工作将继续在美国政府内多个机构间存在。网络机构这种二重性的一个关键原因就是没有指定一个独立的权威机构全面负责网络安全管理。领导者需要在哪些方面监管统一指挥和统一工作，需要在一个管理机构内监管哪些金融需求和人力资源?随着过去几年高级网络官员的辞职，网络安全管理领域内的混乱迹象逐步显现。这些联邦高级领导都因组织混乱和管理不善而被迫离职，最终阻碍网络领域管理工作的进程。

评估网络安全管理

随着每天网络空间规模和势力的不断增长，接踵而至的网络威胁和漏洞也呈指数级增加。由于网络威胁对国家利益和基础设施安全危害的日益增加，美国必须具备一种响应迅速且高效的、能解决全球网络空间问题的网络安全管理能力，时间成为了确保这种能力的重要因素。“美国政府正面临着一系列严峻挑战，这些挑战阻碍了其制定和执行一种职责分明的方案”，就全球网络空间而言，包括：(1)提供具有最高权威的领导关系;(2)发展一种连贯性和全面性战略;(3)在所有相关联邦实体间进行跨部门协调;(4)确保网络空间相关的技术标准和政策不会对美国贸易造成不必要的障碍;(5)参与国际性网络事件响应;(6)区分不同法律制度和执行美国刑事和民事法律;(7)规范网络空间的国际标准。为了应对这些人们普遍认识到的挑战，总统特别助理兼“网络安全协调官”必须与其他联邦机构和私营部门协作，共同建立一个统一战线来发展符合我们国家经济和国家安全利益的网络能力。

在2010年政府问责办公室审查美国国家网络安全政策和程序期间，联邦政府并没有明确的组织结构可以有效解决当前或未来日益严重的网络安全问题。网络安全管理的任务和职责被分散到多个联邦部门和机构中，存在许多重叠机构，但哪个机构都没有绝对的决策权，可以直接以一种协调一致的方式处理那些经常相互冲突的问题。政府需要整合的战略愿景和计划必须是全面的，这样才能满足美国政府解决所面临的网络安全相关问题的需求。美国需要发展缓减网络安全相关风险的政策、程序、人才和技术。

马克斯•施蒂尔说：“美国政府早就该充分利用资源和运用领导关系，组建并培养一支技术精湛的网络队伍”，这支网络队伍应该结构合理，谨慎考虑公民和国家利益，完全聚焦于阻止网络威胁和漏洞。在《网络安全的“三驾马车”：政府、私营部门合作伙伴以及参与网络安全的公民》的文章中，作者哈克尼特和斯蒂弗认为：“对网络安全充分参与和对知识渊博公民的需求，必须与对结构合理且妥善管理政府的需求相提并论。”他们强调在美国政府和公民之间保持适当均衡职责的重要性，因为如果每个公民都不是网络安全的参与者，国家安全的网络空间目标将永远无法实现。要想取得成功，政府必须与民众建立个人IT保护合作伙伴关系，而不仅仅是安全政策的受益者。尚未解决的问题就是，“哪个联邦机构对此负责?”

由2011年《网络空间安全国家战略》可见，美国政府已经认识到保护网络空间已经成为一个全球性问题，因为全球计算机系统的互联性，非常必要采取一种全球性措施来保护信息和防止基础设施和经济威胁。为了减少网络威胁，协调一致的国际合作与协作机制就需要坦诚沟通和更多信任。在过去几年间，网络工程师、事故响应者、政策制定者、情报分析员和执法人员在这一领域已经取得了巨大进步，并认识到跨国共享网络安全信息和将全球性解决方案纳入跨国安全问题的重要性。更大障碍在于数据的安全性与完整性，以及信息收集和共享过程的便利性。在目前美国政府内多机构网络结构和重复性网络工作中，美国公民和企业主决定向哪个联邦机构寻求支持与帮助将是一项艰巨任务，然而更艰巨的任务是国际网络界如何充分获得美国的支持。尽管预先协调的官方协议、政策和条约减少了信息共享的时间间隔，但进入世界网络的新威胁战术、技术和程序往往需要新的应对方案和新的合作伙伴;这就使已经获得批准的协议过时或被淘汰。

众所周知，昨天技术精湛的黑客利用“零日漏洞”来阻滞或破坏网络，肯定与明天的高级持续性威胁(advanced persistent threat，APT)无法比拟，高级持续性威胁是国家和非国家犯罪组织窃取知识产权而从事犯罪活动的新型威胁手段。国际社会需要安全的和有保障的网络，在这个网络中，关键信息可以自由穿越网络边界，对受保护基础设施的依赖已经被提升为一个全球性利益，不仅仅是国家利益。为了始终对日益增长的全球网络威胁保持领先，美国的国际合作伙伴应该有一个集中组织且“一站式”的机构来协作网络安全问题。悬而未决的问题是，“哪个联邦机构对此负责呢?”

保护全球网络空间需要个人、公众、私人、地方、州、联邦和国际合作来共同提高态势感知，共享信息，促进安全标准，以及调查和诉讼网络犯罪。为了实现妥善管理网络安全的目标，不仅对美国，而且对整个世界来说，都非常必要在美国成立一个联合机构，这将提高网络安全整体的稳定性与安全性。

提高网络安全管理的战略方案

审查每个联邦机构的任务和职责，并对当前网络安全管理进行评估后，笔者就美国解决全球性网络空间问题和提高网络管理提出三种方案建议：(1)保持现有的组织结构;(2)重新调整组织结构;(3)组建一个新的网络机构。下面我们对每种方案的优点、缺点和战略影响进行重点剖析。

方案一(保持现有的组织结构)。这种方案要求在国家安全机构和联邦机构内不改变当前组织结构。由于2009年12月任命的总统特别助理兼“网络安全协调官”是一个新职位，但是这一网络机构在其网络安全管理活动方面尚处于起步阶段，尚未发展为一个拥有绝对权威的管理要素。通过时间和工作经验的积累，保持现有组织结构的这种方案将提高网络领域的整体管理水平。这种方案最大的优点是没有成本负担。随着时间的推移，“不断缩减”的财政需求和完善协调官职位可以很好地满足当前削减政府开支的经济需要，因为这种方案没有机构重组的财政负担。这种方案的缺点是：繁重工作量所需要的人手不足;任务和角色与职责定义的优先权尚未解决;网络安全运营和政策制定尚未及时处理。潜在战略影响有三个方面：(1)由于政策制定与信息交换没有同步发展，这就增加了网络攻击次数并延迟了网络事件响应效率;(2)由于管理监督受限，国际社会中的网络协作将减少;(3)增加了恢复被攻击基础设施的恢复成本。所有这些问题都对国家安全利益、外交手段和经济措施构成严重风险。

(责任编辑：)