網絡空間安全已經成為中美兩國關係中一個持續熱點,國內對美國網絡空間安全的研究日趨全面、深入和理性。在可預見的時期內這種研究熱度只會增加,不會減弱。但目前大部分研究關注點都在戰略或技術層面,而對具體運行層面,就是在美國國內,這方面研究也相對較少。
本文長約11000字
閱讀約需25分鐘
前情提要:《理解美國聯邦網絡安全》(上)
《理解美國聯邦網絡安全》
(下)
編譯:計宏亮
第二部分 聯邦政府重點網絡安全計劃
受過去五年遭遇的一系列侵入和破壞刺激,聯邦政府推動了一系列改善聯邦部門網絡安全的舉措。 2015年和2016年就提出了三項計劃,網絡安全衝刺( Cybersecurity Sprint),網絡安全戰略實施計劃(CSIP)和網絡安全國家行動計劃(CNAP) - 形成了奧巴馬政府的應對網絡安全措施的核心。特朗普政府基於這些舉措, 在2017年5月發佈了關於加強聯邦政府網絡和關鍵基礎設施網絡安全的行政命令,並在共享服務和雲應用方面採取了幾項顯著性舉措。 本節回顧了這些範圍較廣的努力,深入探討了聯邦政府網絡安全領域的最重要舉措。
儘管本報告的重點近年來的進展,但必須指出的是,許多現有計劃的基礎都是喬治布什政府2008年1月的國家綜合網絡安全計劃(CNCI)。 CNCI在奧巴馬政府的網絡空間政策審查中得到重申,並在此後數年一直如此。 有些人認為CNCI是失敗的。 因為它沒有將而許多民事部門領導人作為重要的參與者,一般而言這是有效實施所必需的。 儘管如此,一些舉措,如將聯邦政府網絡作為單一企業進行管理,在聯邦企業中部署入侵檢測和預防系統,以及更好地協調網絡安全研究和開發 ——都可以在CNCI中尋根溯源。
推動整體進展,2015-2018
2015年6月,在人事管理辦公室(OPM)遭遇入侵之後,聯邦首席信息官啟動了為期30天的Cybersecurity Sprint計劃,以實現在關鍵領域快速取得進展。 在Sprint實施期間,聯邦首席信息官(CIO)指示各個部門:
(1)立即掃描系統並檢查日誌,以對照優先威脅實施者技術,戰術和程序的DHS指標;
(2)修補某些關鍵漏洞;
(3)為特權用戶收緊政策和做法;
(4)加快多因素認證的使用,尤其是對特權用戶。
Cyber Sprint儘管總體適度,但表明聯邦政府可以縮小網絡安全方面的主要差距,因為它集中關注離散,高度優先的行動。 到計劃完成時,已有9家部門實現了100%特權用戶的強認證目標,其中15家在2016年春季達到了目標。各部門還加速實施了2015年5月的DHS指令,以緩解面向互聯網系統中的關鍵漏洞 ,在2015年底前解決了指令發現時幾乎所有活躍的關鍵漏洞。在Cyber Sprint實施期間,各部門還對傷害指徵進行掃描; 確認了一套高價值資產; 並完成了對特權用戶的審查。
Cyber Sprint的主要成果是制定了公共管理和預算辦公室(OMB)的網絡安全戰略和實施計劃(CSIP),該計劃於2015年10月發佈,提出了一系列旨在改善聯邦政府網絡安全的短期行動。CSIP確立了涉及保護高價值資產和信息關鍵行動目標; 對網絡事件的探測,回應,恢復和吸取經驗教訓;招聘和保留網絡人才;以及技術的獲取和部署。
最後,2016年2月,奧巴馬政府宣佈了一項基礎廣泛的計劃,即國家網絡安全國家行動計劃(CNAP),其中包括許多在Cyber Sprint和CSIP期間開展的工作以及其他聯邦和私營部門項目。 CNAP的發佈伴隨著2017財年總統預算中規定的190億美元投資。CNAP包括擬議的31億美元信息技術現代化基金(ITMF);設立聯邦首席信息安全官(CISO);持續識別和審查最高價值和最危險的IT資產;增加政府範圍內IT和網絡安全共享服務;國土安全部 EINSTEIN計劃於連續診斷和緩解(CDM)計劃的擴展;美國國土安全部的聯邦平民網絡防衛隊總數增加到48個;並投資於支持聯邦政府需求的網絡安全工作計劃。許多部門實現了CNAP制定的2016年裡程碑,但大多數計劃今天仍在繼續。
作為CNAP的一部分,奧巴馬總統簽署了一項行政命令,建立加強國家網絡安全兩黨委員會,提出加強網絡安全的詳細建議,包括聯邦政府的網絡安全。41 2016年12月,委員會發布了一系列建議和行動項目, 除其他外,“為政府提供更好的裝備,以便更有效地在數字時代有效和安全地發揮作用”。聯邦重點提出的建議包括:鞏固基礎網絡運營; 促進聯邦部門的技術採用和技術更新; 不斷完善聯邦部門的系統風險管理方法; 重新調整白宮在網絡安全領域的領導地位; 並進一步明確聯邦在網絡事件中的角色和責任。
最近,特朗普政府2017年5月發佈的關於加強聯邦政府網絡和重要基礎設施網絡安全的行政命令提出了對各部門風險管理和任務詳細審查的期望和原則。值得注意的是,總統認為“部門負責人”將負責管理網絡安全風險。此外,由於部門負責人做出的風險管理決策可能會影響整個行政部門以及國家安全的風險,因此將管理網絡安全風險視為一種行政部門體系也是美國的政策。“行政命令要求部門負責人遵守NIST的改進關鍵基礎設施網絡安全框架,解決長期以來對業界成員的不利影響,即使政府不遵守NIST標準,也會受到合同約束。它委託所有部門向公共管理和預算辦公室(OMB)提供風險管理報告,然後由國土安全部和公共管理和預算辦公室(OMB)進行全面審查,總統將於2017年10月向總部報告如何解決不足或錯位問題的最終報告。
雖然這一行政命令顯示了與上屆政府之間明顯的連續性,但它努力的指向可能會推動系統性風險管理和對共享服務的偏好等方面的變革。 政府在2017年12月發佈的“國家安全戰略”中強化了這些領域,該戰略確定了建設防禦型政府網絡作為優先事項。 在此過程中,它指出:“[政府]將使用最新的商業能力,共享服務和最佳實踐來實現聯邦信息技術的現代化。 我們將提高我們在各種條件下提供不間斷安全通信和服務的能力。“
信息技術現代化(IT)
聯邦政府依靠傳統的IT系統,既難以保證安全,維護成本又高。 2016年5月,政府問責辦公室(GAO)報告說,由於使用過時的編程語言(如COBOL),這些遺留投資變得越來越不合時宜;舊零件(包括8英寸軟盤);和不受支持的硬件和軟件(例如20世紀80年代和90年代的微軟操作系統)。政府問責辦公室(GAO)報告的十個最早的IT投資或系統的使用期從39-56年不等。政府問責辦公室(GAO)評估說,聯邦政府每年花費超過800億美元,其中77%用於運營和維護系統,23%用於開發,現代化和改進。這反映出自2010年以來運營和維護增加了9%,同一時期開發,現代化和加固整體減少了73億美元。換句話說,聯邦IT預算中相對較大且越來越多的部分用於只是保持舊系統運行的支出。
奧巴馬和特朗普政府都承認傳統IT面臨的挑戰,並制定了IT現代化戰略。 聯邦首席信息官最近向總裁提交了一份關於IT現代化的報告草案,已於2017年秋季向工業部門徵求意見。該願景概述了對網絡進行加固和現代化,採用共享服務以實現未來網絡架構,併為現代化優先事項重新調整資源的行動。 49該計劃提出了有用的優先事項,例如強調高風險高價值資產和現代化部門連接到互聯網的系統。 但是,它也依賴於資源的“重新調整”,而不是增加新的資源; 鑑於任務的重要性,這可能是不夠的。
政府現代化方法的一個突出特點是建立了“循環基金”,也稱為“週轉基金”,以支持IT現代化目標。循環基金為部門提供了更大的靈活性,讓他們可以花錢用於現代化項目,因為他們假定,用更現代化、高效率的系統代替昂貴、過時的系統所花費的投資會隨著時間的推移的得以不暢。按照這種邏輯,奧巴馬政府估計,其提議的31億美元基金將在十年內支持價值120億美元的現代化項目。
識別和保護高價值資產
奧巴馬和特朗普政府都要求聯邦部門確定優先級最高,風險最高的IT資產,然後採取補充措施來提高安全性。美國政府提出了高價值資產的定義( HVA)以及確定資產,數據集或存儲庫是否具有高價值時要考慮的屬性列表。所有民事CFO法案部門均向國土安全部報告了他們的高價值資產,並對2016財年超過20種最重要的資產進行了脆弱性評估,並在2017財年繼續進行評估。通過這些評估,DHS與一個部門的CIO合作,開展滲透測試和其他類型的風險評估,提供具體的調查結果和建議,並幫助各部門針對確定的漏洞制定補救計劃。由於聯邦政府在網絡安全方面的分散性,各個部門的主要補救責任仍在繼續,對高價值資產的持續監督和評估也是如此。
為此,美國總務署(GSA)為部門開發了一個合同工具,以便根據國土安全部和國家安全局制定的通用方法,實施預先審查的網絡安全風險評估。這種工具旨在幫助部門對高價值資產進行定期評估。這些識別和強化高價值資產的步驟非常重要。但是一些部門正開始從“保護資產”的思維轉向更加全面的“保護任務”方法。例如,國防部正在調整其傳統的任務保障方法,以更好地識別和管理軍事任務的網絡風險。這種思維模式有助於從單獨被視為高價值的資產中識別網絡風險 - 無論這些資產是網絡,武器系統組件,信息數據庫,嵌入式網絡物理系統還是電氣和通信基礎設施 - 但仍然如此可能會擾亂一個部門執行關鍵職能。目前還不清楚這些部門是否以這種方式為重點,例如為國土安全部尋找移民局,調查FBI以及農業部的食品安全檢查。
利用共享服務和商業技術
自20世紀80年代初以來,聯邦政府就一直在推動更多地使用共享服務。最近,2011年,公共管理和預算辦公室(OMB)指示每個聯邦機構至少在機構選擇的兩個領域轉向共享服務。2012年,白宮聯邦IT共享服務戰略為共享服務的採用制定了“全方位和全生命週期”戰略。後來在2016年,CNAP制定了共享服務目標,通過提供更加更加高效、便捷和安全的共享服務,讓各個部門沒有必要再去建設、維護和運行他們自己的信息技術設施。2017年,特朗普政府的網絡執行官在此基礎上走得最遠,明確指導機構優先考慮共享服務。 隨後於2017年8月向總統提交的關於聯邦信息技術現代化的報告草案提出了一個目標,即各機構只有在共享服務和商業技術無法滿足任務需求時才能建立新的能力。
特別是那些小型機構,他們從共享服務中受益匪淺,因為他們缺乏資源和人力來管理和保護各自的服務。 美國政府一直在試驗增加託管IT服務給數十個小型聯邦(非CFO法案)機構。 這種服務有助於提高那些經常資源不足的機構的整體網絡安全,其中許多機構還會處理敏感數據。 如果這些試點項目在管理安全服務標準化方面取得成功,更多的小型機構就可以加入。
與共享服務趨勢相融合的趨勢是越來越多地採用包括電子郵件和雲服務在內的商業技術能力。 一方面,私營部門的服務可以提供政府內部無法提供的複雜保護。 另一方面,這些服務可能無法解決聯邦政府網絡安全獨特的需求或挑戰,例如確保獲取有關安全事件的信息,啟用潛在惡意使用活動的報告,或啟用EINSTEIN等USG(綜合業務網關)計劃。 向總統提交的關於聯邦信息技術現代化的報告強烈鼓勵使用商業技術,並提出採取多項行動來減少採用這些技術的障礙。
自2007年以來,聯邦政府一項重要的工作領域是推動使用可信互聯網(TIC)。在TIC倡議下,聯邦政府已將互聯網連接點從幾千個減少到不到一百個,目標是減少到50個連接的目標。高層的想法是,通過使用較少數量的互聯網連接,為這些連接設置通用安全標準、監視和阻止通過這些連接的威脅將變得更加容易。目前部署的每個TIC都必須遵守由OMB開發的安全標準,並加裝由國土安全部提供的傳感器技術和分析工具。根據2009年的數據,OMB指定20個機構為TIC接入供應商,每個機構最多可管理兩個互聯網接入點。雖然一些TIC接入提供商機構(例如國務院)支持其他小型機構,但大多數小型機構自己不能管理自己的可信互聯網連接,而且還要從外部供應商處購買這些服務。聯邦政府目前正致力於使小型機構能夠更輕鬆,更具成本效益地獲得此類服務,並使TIC戰略適應雲應用增加的情況。
然而,共享服務和商業技術並非沒有風險。 2015年,在將IT運營轉移到第三方的過程中,瑞典交通運輸署意外地向外國公民提供了包括機密信息在內的大量信息。2017年3月,Gizmodo報告稱,國防部承包商上傳了部分非密敏感信息到可公開訪問的雲環境中,包括未加密的用戶證書。因此,良好的政策和監督對引導更大的共享服務和商業技術遷移和實施非常重要。
探測並阻止邊界威脅
儘管聯邦政府機構對自己的網絡安全負責,但國土安全部的法定使命是在整個政府提供一套通用的基準安全措施,並幫助各機構管理其網絡風險。國土安全部的一項簽名舉措是EINSTEIN計劃,其目標是在威脅上海聯邦機構之前發現並將威脅遏止在邊界之外。 為此,EINSTEIN利用已知的網絡威脅指標,例如用於發送魚叉式網絡釣魚電子郵件的電子郵件地址或惡意操作者已知使用的互聯網協議(IP)地址。
EINSTEIN的前兩個版本完全部署用於通過TIC路由的所有聯邦政府的民用信息流量,使用非密的指標來探測惡意流量。 EINSTEIN 3 A(E3A)會包含加密指標,正通過為聯邦政府服務的主要互聯網服務提供商完成部署。國土安全部必須讓每個機構自願接受其提供的網絡安全服務,例如EINSTEIN,但2015年網絡安全法案要求所有聯邦民事機構在2016年12月18日前執行EINSTEIN 3A。2017年初, 國土安全部傑伊·約翰遜(Jeh Johnson)部長表示,EINSTEIN 3A覆蓋了93%行政部門人員。
過去國土安全部官員經常將人力資源管理辦公室(OPM)信息洩露列為EINSTEIN的成功案例:在發現第一次OPM被襲的最初惡意指標後,這些指標幫助EINSTEIN探測到第二次攻擊。然而,各機構對以下情況表示失望:
(1)將已知的網絡威脅信息納入系統速度不足;
(2)很難發現以前未知的網絡威脅。為解決第一個挑戰,國土安全部推行了一項計劃,以更快速地從非聯邦實體那裡接收網絡威脅指標,稱為自動指標共享(作為回報,該計劃也與私營部門共享指標)。
為此,美國國土安全部已經建立了一個系統,使用一種通用的STIX / TAXII格式實時自動共享和接收“機器可讀”的網絡威脅指標。為了解決以前未知的威脅,DHS正在開發先進的惡意軟件和行為分析功能,能夠自動識別和分離可疑流量,以便進一步檢查,即使之前沒有看到確切的指標。
識別和修復部門網絡內的漏洞和風險因素
鑑於EINSTEIN可以探測並將威脅遏阻在邊界之外,另一國土安全部簽名計劃(signature initiative)——“持續診斷和清除計劃”(ContinuousDiagnostics and Mitigation,簡稱CDM)可以識別機構網絡內的漏洞和風險因素。通過CDM計劃,國土安全部為聯邦部門採購商業網絡安全工具。 這些工具可識別並對部門網絡上的設備進行編目、檢查漏洞(階段1)、管理身份、帳戶和權限(階段2),識別和管理部門網絡內的可疑活動(階段3),並幫助保護敏感/高價值數據 (階段4)。
CDM計劃旨在實現三個好處。 首先,CDM幫助聯邦政府機構以具有成本效益的方式採購商業網絡安全工具。 其次,它可以在聯邦政府內部使用通用傳感器。 這使機構能夠以相同的有效性跟蹤和報告相同類型的數據。 第三,CDM計劃將更快地將脆弱性信息提供給美國國土安全部,這樣國土安全部可以跟蹤部門在處理關鍵問題方面的進展,並瞭解整個行政部門的風險趨勢。
美國國土安全部向參與的聯邦民事部門提供了第一階段的工具,用於識別部門硬件和軟件資產以及相關的漏洞。 在2016財年,國土安全部向總共65個機構提供了新的CDM第二階段工具,目標是在2017財年為機構提供第二階段工具。2018財年,國土安全部將向部門提供涵蓋CDM第3階段的工具。CDM第4階段仍然還在規劃階段。CDM工具提供的信息既可以提供給每個部門的保鏢,也可以實時提供給國土安全部和NCCIC,同時還有那些有助於部門安排降低風險工作的信息。
雖然大多數聯邦機構和CIO似乎都支持CDM計劃的目標和意圖,但有些人表示沮喪,認為該計劃在速度和靈活性方面無法滿足他們的需求。其他人發現該計劃的一些要素,如預定價工具和服務,難以管理,因為難以預測真正需要的東西。評論家都很期待2018年8月,屆時原始CDM合同到期時,DHS推進該計劃以應對這些挑戰。關於治理和監督問題的持續對話對於CDM充分實現計劃的目標將是必要的。
改進事件管理
關於美國網絡事件協調的2016年7月總統政策指令41(PPD-41)是編纂和傳達美國政府對任何網絡事件對聯邦政府對策的原則,作用和責任的重要一步。 PPD-41利用網絡空間事件嚴重性框架(Cyber Incident Severity Schema)根據網絡事件對公共健康或安全,國家安全,經濟安全,外交關係,公民自由或公眾信任的實際或潛在影響來評估網絡安全事件。它進一步描繪了事件響應的角色和責任,其中包括:
司法部(DOJ)是“威脅響應”的領導聯邦機構,包括“網絡事件的執法和國家安全調查”。
國土安全部在“資產響應”方面居於領導地位,其中包括“提供技術資產和援助以減輕脆弱性並減少事件的影響,識別和評估對其他實體構成的風險並減輕這些風險,並就如何利用槓桿聯邦資源和能力作用提供指導。
國家情報總監辦公室(ODNI)領導“情報支持”,包括“支持調查活動的情報收集以及對威脅趨勢和事件的綜合分析”。
任何“受影響的聯邦機構”都將承擔主要責任,“進行各種努力來管理網絡事件的影響”,例如維持業務和運營連續性。
雖然PPD-41大部分都考慮聯邦政府對涉及關鍵基礎設施所有者和運營商的事件的回應(因此也超出了本報告的範圍),但“受影響的聯邦部門”的第四項重點強化了每個機構負責管理自己的網絡安全和事件響應的一般規則。 如果有多個聯邦機構參與某個特定事件,可以預期國土安全部和司法部將扮演協調角色,包括通過統一網絡協調組來加強多個受影響聯邦機構之間的溝通和協調。(詳見國家網絡事件應對計劃。)
美國國土安全部和總務署還開發了一種合同工具,使各機構能夠“更快地獲得關鍵的、預先審核的支持服務”,這對於網絡遇襲等緊急情況尤其有利。例如,這包括更容易地獲得私人合同服務的事件響應(以確定妥協的程度並從系統中移除對手)和追蹤服務(以確定對手可能遭受攻擊的其他系統)。
最後,美國政府也開始制定和實施民事部門想國防部提出防禦性援助請求的政策。 如果收到請求(且可用),國防部可能會將請求轉給美國網絡司令部國家特遣部隊的網絡保護團隊,或者其後備部隊,來向其他機構提供必要的援助。 但是,當國防部力量可能參與其他機構的事件響應時,需要做更多的工作來明確具體情況或閾值。
第三部分 聯邦政府網絡的基石
如果沒有合適的人員、技術和領導力來制定願景,有效實施這一願景並應對新的威脅,上述那樣的重大網絡安全舉措就不會取得成功。 因此,為強大的網絡安全奠定相應的基礎,可以說比單個的倡議更重要。 本部分描繪了加強聯邦政府網絡人員隊伍方面的重大努力; 通過研究和開發打下基礎;對獲取和採購實現現代化; 提高領導力,問責制和網絡安全文化。
加強聯邦政府網絡人員隊伍建設
作為CNAP的一部分,2017財年總統的預算提出了6200萬美元的計劃,要麼直接或間接地幫助聯邦政府招聘和留住擁有技術、政策和領導能力的網絡安全人才。包括擴大CyberCorps計劃,該計劃為希望獲得網絡安全教育並在聯邦政府民事部門中服務於其國家的美國人提供獎學金; 為學術機構制定網絡安全核心課程; 加強網絡安全方案國家學術卓越中心; 加強對加入聯邦勞動力隊伍的網絡安全專家的學生提供免息貸款; 並通過總統的“全民計算機科學行動計劃(Computer Science for All)”項目對網絡安全教育進行投資。特朗普政府的2018財年預算中還包括了這些計劃的資金投入程度。
國家網絡安全教育倡議(NICE)是NIST領導的在政府、學術界和私營部門之間合作進行關於網絡安全教育、培訓和勞動力發展一個計劃。 NICE於2017年發佈了國家網絡安全人才隊伍框架,該框架為網絡安全工作者提供了一個“通用詞彙”,用於對網絡安全人才進行分類,同時作為網絡安全人員計劃的指南。 NICE還管理著一些其他項目,如Cyber Seek,一種關於網絡安全工作和人員可用性的可視化工具;區域聯盟和多利益相關方夥伴關係;教育會議和展覽,指定網絡安全卓越中心。
2016年7月12日,奧巴馬在白宮發佈了《聯邦政府網絡安全人才戰略》,該戰略詳細介紹了政府範圍內確定、擴展、招聘、培養、保留和維持關鍵職能領域有能力和優秀員工的行動,以解決複雜多變的惡意網絡威脅。 該戰略還確定瞭解決持久性聯邦人力方面挑戰的新方法。 “戰略行動計劃”在12個月內委託了22項具體行動,以支持以下四大目標:
(1)確定人才需求;
(2)通過教育和培訓擴大人才隊伍;
(3)招聘和聘用高技能人才;
(4)留住和發展高技能人才。
2016年7月的戰略很可能會被納入特朗普政府關於加強網絡安全的行政命令的研究中並被取而代之。2016年的戰略提出要完成一份建立網絡安全人才隊伍的充分性的報告。行政命令也要求情報總監辦公室提交“潛在的外國網絡同行”的人才發展工作方面的報告。 綜合起來,這些報告預計將有助於更好地瞭解美國成就的網絡人才競爭力,並形成新政府的網絡人才戰略。
美國政府也越來越多地利用“眾包”方式接觸政府以外的人才。 2016年4月,國防部副部長Ash Carter開展了“黑客攻擊五角大樓”的漏洞獎勵試點,安全研究人員如果能夠發現並提出國防部系統的漏洞,就可以獲得相應的獎勵報酬。在24天時間裡,安全研究人員“攻擊”了五個面向公眾的DOD網站,其中包括國防部的主要網站。該計劃超出預期,共有1,410名參與者,提交了138份有效/特別的報告,58名黑客獲得了總計75,000美元117筆賞金,整個計劃費用為150,000美元。截至2016年底,國防部已經制定了一個合同渠道,陸軍和空軍等多個部門都可以運行類似的賞金。美國國防部還鼓勵國防部簽署了源代碼,以便進行漏洞獎勵。然而,漏洞獎勵並不是每個部門解決方案,因為在短時間內發佈的漏洞報告需要相當成熟的漏洞管理能力。
另一個有前景的眾包方法是開發針對聯邦系統的漏洞披露程序。這些計劃允許公眾成員—— 其中許多人永遠不會或不可能在聯邦政府工作——報告在聯邦系統中發現的漏洞,而不用擔心被起訴。國防部於2016年建立了第一個此類計劃,為漏洞提交建立了披露政策、流程和門戶網站。它已經產生了明顯的結果,通過此渠道報告了數千個漏洞,其中包括數十個嚴重或特別嚴重的漏洞。 與漏洞賞金不同,不需要向安全研究人員付款,但披露計劃也不是免費的。各機構必須確保與參與者進行良好的溝通,以便攝取和管理漏洞並報告其補救措施;否則參與者可能很快失去興趣。根據2017年7月發佈的司法部框架,每個聯邦機構都可以根據漏洞披露政策建立一個漏洞披露政策,原則上最好了解自己的漏洞而不是對他們置之不理。
通過研發築牢基礎
聯邦政府是國家重點技術基礎研究和開發的重要推動力量。 在網絡領域也是如此。 聯邦研發投資的結果可以改變網絡防禦者的工作方式,包括美國政府內部的維護者,例如通過採用更高的自動化、探測異常行為、分析數據和減少軟件漏洞。
2016年聯邦政府網絡安全研發戰略計劃的基礎是努力協調由USG贊助或實施的網絡研發工作,以消除聯邦資助的網絡安全研究中的冗餘,找出研究差距,確定研發努力的優先級並確保納稅人投資回報。該計劃設定了近期(1 - 3年)、中期(3 - 7年)和長期(7 - 15年)目標,用於威懾、保護、探測和適應惡意網絡活動。這些研發目標並非專門為支持聯邦政府而設,但有幾個將有利於聯邦機構,例如:
開發支持所有產品格式、應用程序和生命週期的安全更新機制。(短期)
發現並應用自動化工具來描繪網絡,包括實體、屬性、角色以及流程和行為之間的邏輯關係。(短期)
創建支持軟件開發的工具鏈,每十萬行代碼中有一個缺陷,相對效率指標為90%,以提高生產力和系統性能。(長期)
目前還不清楚這些目標在特朗普政府下獲得多少支持。 2017年8月的備忘錄簡要介紹了政府在2019財政年度的研發重點。
其他一系列聯邦計劃旨在推動高回報的創新。 作為國防高級研究計劃局(DARPA)於2016年8月舉辦的Cyber Grand Challenge的一部分,來自世界各地的團隊競相“實現網絡防禦流程的自動化,將第一代機器應用於實際在沒有任何幫助的情況下發現、證明和修復軟件漏洞。七臺高性能計算機在第一臺全電腦”捕獲“旗幟演習中相互競爭,洞察未來複雜的自動化如何影響網絡安全。 2016年8月,七支隊伍競爭測試他們的機器的自動化自衛能力。這些創新 ——特別是與自動化和機器學習相關的創新——可能在未來5-10年對企業和政府保護他們的網絡都有重大影響,並保持將攻擊者的優勢轉移到防禦者的潛力。
採辦現代化
聯邦政府每年花費數千億美元購買商品和服務。 這意味著聯邦政府是一個重要的客戶,能夠利用其購買力來改變支持更強的網絡安全。 另一方面,這種權力對整個全球市場的影響力迄今為止只有很少(<1%),並且可能因聯邦機構各種或不協調的採購要求而受到削弱。
聯邦採購法規(FAR)有關聯邦政府所有采購和合同程序的管理規定。 FAR要求部門負責人規定程序,以確保IT採購符合FISMA,公共管理和預算辦公室以及NIST網絡安全標準和指南。 國防聯邦採購條例補充(DFARS)擴大了承包商保護受控未分類信息的要求,要求承包商遵守NIST 800-171,要求承包商報告某些網絡事件,並要求保護提供給國防部的承包商信息以回應網絡事件。
儘管如此,聯邦機構的採辦系統面臨諸多挑戰。採辦流程構建的系統沒有充分關注網絡安全,這意味著各機構必須後續工作中對網絡安全進行“修復”。 許多采辦流程在文化上傾向於贊成系統性的“特徵”,這增加了受傷害的機濾。 (例如,以F-35的綜合傳感器、電子戰能力、監視和偵察能力、雷達、目標瞄準系統、頭盔式顯示器等為代表的F-35套件)聯邦政府至少可以從流程中獲益,確保IT組件和系統具備國家最關鍵和敏感任務所必需的必要可信度。
採購領域和其他領域一樣,也面臨著技能型網絡安全思維型人才短缺的問題。 在軟件產品開發方面沒有足夠的採購專業人員或項目管理專業人員,這意味著採購決策可能會給網絡安全帶來負面影響。另一個挑戰是內部人員和合同供應商受到其他激勵措施的引導, 內部僱員可能有更大的動機來關注網絡安全。 最後,採辦界在IT的“發展”和“維持”合同之間仍存在著區別,這造成了軟件和其他IT產品可被視為“完整”而不需要持續維護的錯覺。
提升領導力、加強問責制和強化網絡安全文化
正如CEO們越來越多地參與網絡風險管理一樣,聯邦政府部門的領導人也越來越多地參與進來。 部門負責人的參與可能會表明部門在總體上是健康的網絡安全態勢。 但是,高層領導有許多相互競爭的優先事項,以及通過制定有關符合網絡安全風險管理的重要學習曲線。 還是需要更好的決策和執行教育工具。
奧巴馬政府通過由OMB領導的首席信息官委員會網絡安全和總統管理委員會(PMC)部長助理級別的會議,讓高級領導人參與了網絡安全討論。特朗普政府加強了對網絡安全負責的機構負責人的關注,並且已經 指示所有機構為網絡安全風險管理上報一名“高級問責官員”。這種高層次、持續的參與至少可以聚焦聯邦機構的網絡安全,並作為一種強制力量讓各機構保持高級領導人參與。
OMB管理著一個總體記分卡,通過PMC和FISMA報告追蹤聯邦機構的網絡安全狀況。,國防部和司法部等多個其他機構開發了內部表單或記分卡來跟蹤他們自己的進度。但是,要保持機構對網絡安全的關注,需要領導和組織高層的持續參與。 但很少有高級領導人具備培訓、工具或主題內容真正達到為其機構掌握網絡安全風險管理的水平。
國防部的網絡安全記分卡是高級領導人加強對網絡安全的理解和問責的工具之一。記分卡由首席信息官負責管理,每月向副部長報告,每季度向部長報告,並每年在高級領導者論壇上進行多次討論。它是在分析後開發的,已知入侵或入侵DOD網絡的高比例利用了基本網絡衛生的失敗。 記分卡目前主要對網絡衛生領域的國防部組成部分進行打分,但隨著時間的推移將擴大到描繪國防部核心任務領域的網絡安全狀況,如核指揮和控制; 空間; 位置,導航和時間; 彈道導彈防禦以及其他關鍵領域如人才隊伍和採購等。
雖然自上而下的關注對於機構內部對網絡安全問題日益關注至關重要,但也有人爭論將更廣泛的文化變革推向用戶層面。 國防部正在開展一項示範性舉措,旨在加強國防部所有員工的忠誠原則、知識水平、程序合規性、形式和備份以及質疑態度。
(全文完)
【學術plus】 新添加號內搜索功能!
快來試試!
http://kjpl.cbpt.cnki.net
學報電話:010-68893411
學報郵箱:[email protected]
閱讀更多 信息與電子前沿 的文章
