6．第2級：大型機構

本級的戰略目標是鼓勵并幫助大型機構建立安全系統。可以通過包括以下內容在內的自愿性行動實現該目標：

提升責任級別；

在適當的情況下建立負責網絡安全的公司安全委員會；

實施A.C.T.I.O.N.S．和最佳實踐；

討論無邊界網絡、大型機安全、即時消息和其他技術面臨的挑戰。

問題與挑戰

能夠支持美國的長期經濟發展并對網絡攻擊具有抵御能力的網絡基礎設施的建立在很大程度上依賴于大型機構的安全。大型機構的網絡運行不是孤立的，而是提供了驅動美國經濟發展的常規性數據流。大型機構的網絡所具有的抵御能力能夠使美國在遭受網絡攻擊的情況下獲得保護、檢測、響應與恢復能力。只有通過大型機構運營商彼此間的合作，才能夠獲得可驅動國家經濟發展的網絡攻擊抵御能力。

通過確保安全已構成了其網絡體系結構、網絡運行與管理的一個組成部分，大型機構在獲得網絡攻擊抵御能力的過程中具有極其重要的地位。簡化了美國經濟運行方式的大規模網絡既是國家強大的基礎，但同時也使國家的經濟發展具有脆弱性。

對于商務活動實施網絡空間攻擊的經濟后果遠非影響具體某個公司的近期運營情況，而是能夠通過損害知識產權或敏感性的研究成果對宏觀經濟造成長期損失。不僅如此，安全脆弱性還能夠使客戶數據面臨風險，侵害機構及其合作方的信心與信任關系。如果不加以補救，大型機構網絡的脆弱性能夠給該機構帶來嚴重損失，并可能被利用，危害該機構范圍之外的其他系統，甚至危害基礎設施的安全。

網絡空間安全是大型機構如今所面臨的最復雜挑戰之一。技術和政策挑戰、全球范圍的互聯和基于Internet的商務活動都使企業安全的獲得與管理復雜化。網絡安全是一個變化和動態的目標。不存在可以實現機構安全的一勞永逸的解決方案或特殊技術。事實上，在目前的聯網環境中不可能存在100%的安全。

在機構范圍內討論網絡空間安全不僅僅是一個技術問題，更多的是一個管理問題。網絡安全所暴露的風險可以通過高層領導和機構董事會的參與得到管理。網絡空間安全可能要求機構董事會的密切關注。僅在安全事件發生之后考慮安全問題將使企業的商業活動、客戶甚至國家面臨風險。與之相對照，對于網絡空間安全的有效監視則能夠促進企業的發展、生產力和股東的信心。

戰略討論

（1）提升責任級別

機構董事會在機構的結構系統中擔任著重要角色，股東則擁有機構的所有權。機構董事會向股東負責，經理則向機構董事會負責。將網絡空間安全責任提升到機構董事會的級別后，會在整個機構范圍內產生顯著的效果。通過詢問一系列關于機構的安全結構與控制是否足夠有效的問題，董事會能夠更好地了解該機構的狀況。為了更好地了解機構網絡空間安全的規模、范圍和有效性，某些董事會成員應該通過適當的董事委員會要求下屬定期提交安全管理報告。

美國商務部的關鍵基礎設施保障辦公室（CIAO）是負責與私營部門合作的機構，該機構將促使高級經理與部門主任意識到信息安全管理與保障的重要性。CIAO與內部審計師協會（IIA）已經開始合作進行培訓，以增強人們對在機構使命的意義下理解信息技術安全性重要性的認識。為了在全國范圍內實現信息共享，IIA與全美公司董事聯合會（NACD）、美國注冊公共會計師協會和信息系統審計與控制協會進行了合作。這些工作強化了機構董事會成員與高級經理對于他們在維護機構信息資產安全方面擔負重要責任的意識。

（2）成立公司安全委員會

目前各種各樣的安全威脅要求人們進行新思考并采取新的應對措施。例如，某些大型機構可能考慮建立由機構內部承擔安全相關責任的關鍵成員所組成的機構安全委員會。負責風險管理與承擔安全相關責任的機構官員是該委員會的核心成員。這些官員包括：

首席運行官（COO）；

首席信息官（CIO）；

首席技術官（CTO）；

首席信息安全官（CISO）/首席安全官（CSO）；

首席風險官（CRO）；

隱私官；

負責物理安全的機構官員。

這些機構官員將通過整合現有計劃，確保機構的網絡空間安全被分解并加入到了機構的運行過程之中。由于網絡安全維護過程中的一次失敗即可導致機構的知識產權、客戶信息和商業運行受損，關鍵決策的制定者和主要技術官員必須進行合作。不僅如此，他們還應在發生危機的情況下為CEO提供建議，通過協調應急計劃與持續性計劃的執行對網絡安全事件做出響應。大型機構對于網絡安全的控制能力對于宏觀經濟甚至國家安全具有重要的影響。

（3）A.C.T.I.O.N.S．與最佳實踐

實現機構的完整性、可靠性、可用性和保密性可以采取的A.C.T.I.O.N.S．有多種，詳見下表：

（4）無邊界網絡

大型機構安全面臨的最主要挑戰之一來自于無邊界的機構網絡。對于網絡與B2B商業運行模式的迅速采用改變了機構原有的邊界定義明確的網絡概念。如今，機構的互接程度非常密切，以至于當機構彼此進行合作時，具體操作人員可能都是些虛擬工作人員。虛擬工作人員指的是彼此通過網絡進行交流，而業主并不知道這些人員的具體方位的機構工作人員。機構的管理計劃不包括對于這些交流的記錄，而這些交流通常發生在契約一方允許訪問從屬契約方的情況下。這種獨特的交流方式正迫使機構安全管理發生著根本性的改變。這種改變又進一步要求針對安全管理進行新的研究、采用新的安全管理技術和新的安全管理方法。

（5）大型機

大型機將繼續在大型機構中扮演重要角色。然而，一般安全策略和實踐將主要被應用于筆記本電腦、網絡服務器、網絡設備、Internet和普適性計算設備，而將大型機排除在外。大型機安全維護人員現在得到了新的機會，因為大型機技術和網絡接入方式的改進帶來了致使現有大型機安全策略與實踐失效的新風險和新的脆弱性。不僅如此，合格大型機審計的頻率與力度已經不再適用于新出現的威脅。組織和政府機構必須對其安全策略、安全實踐與安全技術進行革新，使之切實有效并能夠應對新的安全威脅。

（6）即時消息

即時消息程序給大型機構的系統帶來了又一個脆弱性。例如，該程序能夠繞過防火墻和病毒掃描軟件，允許惡意代碼、非授權入侵的存在，以及允許重要數據在機構系統內部甚至機構外部的傳輸。機構應該調整其安全政策，以便應對即時消息程序所帶來的風險。

（7）內部威脅

大型機構的系統上大約70%的網絡攻擊來自可信的內部人員。這是具有對機構信息系統和網絡進行合法訪問權限的受信任人員。他們的某些行為可能對機構構成非常嚴重的威脅。內部威脅來源于惡意雇員的有意破壞行為，或者某個粗心的或安全意識不夠強的雇員的無意行為。無論威脅的產生是有意還是無意的，結果是一樣的，即破壞系統、致使系統癱瘓或造成數據丟失。有效防范內部威脅對安全策略、安全實踐和持續性的培訓均提出了要求。能夠減少內部威脅的三個一般性策略包括：（1）訪問控制；（2）責任分離；（3）有效的策略實施。

糟糕的訪問控制會使個人或團體有機會為獲取個人利益或者從事間諜活動而錯誤地修改、破壞或泄露敏感數據或計算機程序。

責任分離對于保護機構信息系統完整性具有重要作用。不應有人對一個系統享有完全的控制權。組織成員之間不正確的計算機責任分配將明顯增加安全風險。

有效的機構安全策略實施極具挑戰性，并且要求定期審計。新出現的自動化軟件能夠簡化機構安全策略的實施。這些程序允許以人類語言的方式輸入策略，將其翻譯為機器代碼，繼而借助數據包的形式監視出入網絡的所有數據傳輸。這類軟件能夠檢測并阻止對于網絡和基于網絡的信息資源的錯誤使用。