8．優(yōu)先事務(wù)Ⅳ：保護(hù)政府部門的網(wǎng)絡(luò)空間安全

雖然多數(shù)關(guān)鍵基礎(chǔ)設(shè)施位于私營部門，但各級(jí)政府也承擔(dān)著很多關(guān)鍵的職能，包括國防、國土安全、應(yīng)急響應(yīng)、稅務(wù)、中央銀行工作、司法和公眾健康。所有的這些職能（以及其他職能）如今都依賴于信息網(wǎng)絡(luò)和系統(tǒng)，因此，政府有責(zé)任保護(hù)自己的信息系統(tǒng)以確保它能夠?yàn)槿嗣裉峁┳顬榛A(chǔ)的服務(wù)，對(duì)于聯(lián)邦政府這一級(jí)的政府來說，這也是法律規(guī)定的一項(xiàng)職責(zé)。

要建立聯(lián)邦政府網(wǎng)絡(luò)安全的基石，就必須明確、清楚地為網(wǎng)絡(luò)安全劃定權(quán)責(zé)和責(zé)任，要求聯(lián)邦政府的官員能履行這些責(zé)任并在財(cái)政預(yù)算和資本計(jì)劃中考慮網(wǎng)絡(luò)安全需求。

聯(lián)邦政府將對(duì)網(wǎng)絡(luò)安全問題給予必要的重視，以起到示范作用，并鼓勵(lì)其他部門也采取這些措施。聯(lián)邦政府還將通過其采購計(jì)劃增強(qiáng)網(wǎng)絡(luò)安全。例如，聯(lián)邦政府在適當(dāng)情況下必須率先采用新的更為安全的系統(tǒng)和網(wǎng)絡(luò)協(xié)議。

州政府和地方政府對(duì)網(wǎng)絡(luò)安全也可以有類似的影響，聯(lián)邦政府將與州和地方政府合作來改善網(wǎng)絡(luò)安全。

在聯(lián)邦政府內(nèi)，管理和預(yù)算辦公室（OMB）主任負(fù)責(zé)確保各機(jī)構(gòu)的領(lǐng)導(dǎo)執(zhí)行了法律規(guī)定的IT系統(tǒng)安全職責(zé)。國家安全部門中的涉密系統(tǒng)則由國防部長和中央情報(bào)局局長負(fù)責(zé)。

A．聯(lián)邦政府

自2001年2月的財(cái)政預(yù)算藍(lán)圖始，經(jīng)過2002和2003財(cái)政年度預(yù)算計(jì)劃以及“政府管理改革日程”，本屆政府已經(jīng)設(shè)立了一個(gè)清晰的改革日程表。這些改革包括統(tǒng)一聯(lián)邦政府的安全和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作，并規(guī)定聯(lián)邦政府對(duì)IT系統(tǒng)投資的前提是這些系統(tǒng)具有很強(qiáng)的安全性。

《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》將通過確保聯(lián)邦政府能夠發(fā)現(xiàn)脆弱性、預(yù)測(cè)威脅、盡可能減緩攻擊以及提供運(yùn)行持續(xù)性來支持這些改革。

為克服網(wǎng)絡(luò)安全措施不足的問題，管理和預(yù)算辦公室（OMB）依照法律制定了一項(xiàng)面向整個(gè)政府部門的IT安全項(xiàng)目，以確立IT安全政策并對(duì)聯(lián)邦機(jī)構(gòu)是否符合安全要求進(jìn)行監(jiān)督。這一項(xiàng)目將基于一種成本有效的、以風(fēng)險(xiǎn)分析為基礎(chǔ)的方法，聯(lián)邦各機(jī)構(gòu)必須確保每項(xiàng)IT投資都考慮了安全問題。這一方法旨在促進(jìn)聯(lián)邦政府的業(yè)務(wù)運(yùn)行，而不是對(duì)這些功能產(chǎn)生不必要的阻礙。

（1）不斷評(píng)估聯(lián)邦網(wǎng)絡(luò)系統(tǒng)的威脅和脆弱性

確保聯(lián)邦I(lǐng)T安全的第一步是了解各系統(tǒng)中的安全性和隱私控制機(jī)制的有效性。這之后，通過不斷的風(fēng)險(xiǎn)評(píng)估周期來保持對(duì)情況的掌握也同樣重要。管理和預(yù)算辦公室（OMB）的安全政策對(duì)此已做出了規(guī)定，并在《聯(lián)邦信息安全管理法》（FISMA）中做了特別規(guī)定。

OMB就政府信息安全改革問題于2002年2月向國會(huì)提交了第一份報(bào)告，該報(bào)告指出了整個(gè)政府的安全績效中存在的六項(xiàng)共同不足。

這些弱點(diǎn)包括：

高級(jí)管理層對(duì)此不重視；

缺乏對(duì)績效的考核；

缺乏安全教育，安全意識(shí)不足；

在資金使用計(jì)劃和投資控制方面沒有充分考慮安全問題；

未能確保合同商服務(wù)的足夠安全；

未能實(shí)現(xiàn)對(duì)脆弱性的檢測(cè)、報(bào)告和信息共享。

這些不足并不是新問題，也不會(huì)令人感到驚訝，OMB和審計(jì)總署（GAO）早在6年前便發(fā)現(xiàn)了這些情況。法律規(guī)定必須對(duì)聯(lián)邦系統(tǒng)進(jìn)行評(píng)估和報(bào)告，所以O(shè)MB和其他聯(lián)邦機(jī)構(gòu)便可利用這一機(jī)會(huì)為各機(jī)構(gòu)的IT安全績效制定一份此前尚沒有的綜合性的跨政府基線。更重要的是，通過制定并實(shí)施矯正計(jì)劃，聯(lián)邦政府可以通過統(tǒng)一的流程來跟蹤這些不足的解決工作的進(jìn)展。

在OMB批準(zhǔn)某一信息系統(tǒng)的建設(shè)資金之前，該系統(tǒng)的所屬部門必須證明其已解決了該系統(tǒng)中最為明顯的安全問題。另外，各機(jī)構(gòu)還必須確保系統(tǒng)中已經(jīng)融入了安全性，并且IT投資中每項(xiàng)安全成本均已通過聯(lián)邦的資金規(guī)劃流程得到了匯報(bào)。OMB的政策中規(guī)定，必須標(biāo)識(shí)系統(tǒng)中具體的生命周期安全成本，并作為系統(tǒng)投資的一部分得到資金贊助；否則，整個(gè)系統(tǒng)的資金申請(qǐng)將不會(huì)得到批準(zhǔn)。

（2）聯(lián)邦機(jī)構(gòu)中的幾項(xiàng)專門步驟

聯(lián)邦政府必須有一套全面、橫向的增強(qiáng)網(wǎng)絡(luò)安全的方法。改進(jìn)和維持聯(lián)邦政府中各機(jī)構(gòu)的網(wǎng)絡(luò)安全的三項(xiàng)核心步驟是：標(biāo)識(shí)并記錄聯(lián)邦機(jī)構(gòu)的體系結(jié)構(gòu)；不斷評(píng)估威脅和脆弱性，并了解威脅和脆弱性對(duì)機(jī)構(gòu)的運(yùn)行和財(cái)產(chǎn)可能帶來的風(fēng)險(xiǎn)；實(shí)施安全控制和脆弱性矯正措施，以降低或管理這些風(fēng)險(xiǎn)。每個(gè)聯(lián)邦機(jī)構(gòu)必須制定并實(shí)施這三個(gè)步驟，從而實(shí)現(xiàn)更加穩(wěn)固的安全。

a．標(biāo)識(shí)并記錄聯(lián)邦機(jī)構(gòu)的體系結(jié)構(gòu)

OMB的政策要求每個(gè)聯(lián)邦機(jī)構(gòu)標(biāo)識(shí)并記錄其體系結(jié)構(gòu)，包括對(duì)其所有資產(chǎn)和業(yè)務(wù)、所有IT系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與其他機(jī)構(gòu)的關(guān)系等都要有一個(gè)官方的正式清單。該步執(zhí)行后便可以了解整個(gè)政府機(jī)構(gòu)的關(guān)鍵性安全需求。

通過財(cái)政預(yù)算流程，聯(lián)邦政府將促使各個(gè)聯(lián)邦機(jī)構(gòu)購買商用網(wǎng)絡(luò)安全工具來改善其體系結(jié)構(gòu)和系統(tǒng)配置。配置管理和控制對(duì)于提高安全性有著顯而易見且重要的作用。例如，對(duì)系統(tǒng)配置實(shí)施控制后，可以使各個(gè)部門能夠更為有效和高效地實(shí)施安全策略和權(quán)限控制，更容易在整個(gè)系統(tǒng)或網(wǎng)絡(luò)上安裝防毒軟件及其他軟件的升級(jí)版本或補(bǔ)丁程序。

b．不斷評(píng)估威脅和脆弱性

應(yīng)使用商用的自動(dòng)化審計(jì)和報(bào)告機(jī)制來驗(yàn)證系統(tǒng)中安全控制的有效性，這對(duì)持續(xù)地把握系統(tǒng)風(fēng)險(xiǎn)至關(guān)重要。這些工具可以幫助來分析數(shù)據(jù)、提供前瞻性評(píng)估并對(duì)機(jī)構(gòu)運(yùn)行中不可接受的風(fēng)險(xiǎn)提出警告。

聯(lián)邦機(jī)構(gòu)將繼續(xù)擴(kuò)大對(duì)自動(dòng)化的安全評(píng)估和安全策略實(shí)施工具的使用，并積極部署威脅管理工具，從而能夠檢測(cè)到攻擊。聯(lián)邦政府將判斷是否必須采取特定的措施（通過政策或財(cái)政預(yù)算流程）來促使各個(gè)機(jī)構(gòu)更多地使用這些工具。（A/R 4-1）

c．實(shí)施安全控制和脆弱性矯正工作

安全控制可將風(fēng)險(xiǎn)維系在可接受的級(jí)別，這些控制往往可以在一段相對(duì)較短的時(shí)間內(nèi)實(shí)現(xiàn)，然而矯正脆弱性則是一個(gè)更為復(fù)雜的問題。軟件總在不斷發(fā)生變化，每次升級(jí)都可能帶來新的脆弱性，因此必須不斷地對(duì)脆弱性實(shí)施評(píng)估。矯正過程通常包括“打補(bǔ)丁”或者安裝一些軟件或代碼來更新主程序。聯(lián)邦系統(tǒng)的矯正工作必須時(shí)常做出規(guī)劃。

B．整個(gè)政府面臨的其他挑戰(zhàn)

聯(lián)邦政府還面臨著其他四項(xiàng)特定的安全問題需要處理，每個(gè)有關(guān)部門都必須與OMB一起合作來對(duì)其解決。

（1）聯(lián)邦系統(tǒng)用戶的鑒別及對(duì)授權(quán)的維護(hù)

標(biāo)識(shí)并鑒別每個(gè)系統(tǒng)用戶是網(wǎng)絡(luò)安全鏈上的第一環(huán)，每當(dāng)用戶被授權(quán)訪問系統(tǒng)時(shí)都必須實(shí)施身份鑒別。為實(shí)現(xiàn)并保持系統(tǒng)的運(yùn)行安全，每個(gè)機(jī)構(gòu)必須確保系統(tǒng)上的用戶的確是它們所聲稱的身份，且它們只在做授權(quán)可做的事情。當(dāng)前使用的很多鑒別流程不夠安全，如系統(tǒng)的默認(rèn)配置口令沒有得到修改、口令沒有正確配置、口令很少更新等情況。

聯(lián)邦政府將繼續(xù)為所有的聯(lián)邦雇員及流程提供一個(gè)連續(xù)的安全鏈，包括在適當(dāng)?shù)那闆r下使用基于生物特征的智能卡來訪問建筑物或計(jì)算機(jī)，并在用戶登錄計(jì)算機(jī)之始就對(duì)其身份實(shí)施鑒別。上述方法的益處是顯而易見的。通過使用多重的身份標(biāo)識(shí)和鑒別措施——強(qiáng)口令、智能卡以及生物特征等，聯(lián)邦政府將消除當(dāng)前很多嚴(yán)重的安全問題。

通過現(xiàn)在正在實(shí)施的電子鑒別活動(dòng)，聯(lián)邦政府將審查對(duì)強(qiáng)訪問控制和身份鑒別的需求，研究聯(lián)邦各部使用相同的物理和邏輯訪問控制工具及鑒別機(jī)制的范圍，最終進(jìn)一步推動(dòng)一致性和互操作性。（A/R 4-2）

（2）保護(hù)聯(lián)邦的無線局域網(wǎng)

在使用無線技術(shù)時(shí)，聯(lián)邦政府將仔細(xì)評(píng)估在關(guān)鍵功能上使用這些技術(shù)可能帶來的風(fēng)險(xiǎn)。國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）已發(fā)表聲明說無線通信可能會(huì)遭到攔截，且無線網(wǎng)絡(luò)也可能受到拒絕服務(wù)攻擊。聯(lián)邦機(jī)構(gòu)應(yīng)當(dāng)將NIST對(duì)無線系統(tǒng)的看法和建議作為無線網(wǎng)絡(luò)運(yùn)行的指南。

聯(lián)邦機(jī)構(gòu)應(yīng)當(dāng)考慮安裝能持續(xù)檢測(cè)非授權(quán)網(wǎng)絡(luò)連接的系統(tǒng)，各個(gè)機(jī)構(gòu)的政策和流程應(yīng)當(dāng)反映出對(duì)風(fēng)險(xiǎn)消減措施的考慮，包括使用強(qiáng)加密技術(shù)、雙向鑒別、防輻射標(biāo)準(zhǔn)及技術(shù)、配置管理、入侵檢測(cè)、事件處理、計(jì)算機(jī)安全意識(shí)與培訓(xùn)項(xiàng)目。（A/R 4-3）

（3）改進(jìn)政府外包和采購的安全性

通過OMB的聯(lián)邦采購政策辦公室、聯(lián)邦采購規(guī)則委員會(huì)以及行政部門信息系統(tǒng)安全委員會(huì)的共同努力，聯(lián)邦政府正在尋找能改進(jìn)政府部門合同安全的方法，并評(píng)估了整個(gè)聯(lián)邦采購流程與安全的相關(guān)性。在2002年2月OMB向國會(huì)提交的安全報(bào)告中，指出了政府機(jī)構(gòu)中的外包安全性是一個(gè)重要的安全問題。

聯(lián)邦政府將對(duì)國家信息保障聯(lián)盟（NIAP）重新進(jìn)行全面的考查，以判斷其對(duì)商用軟件產(chǎn)品中不斷出現(xiàn)的安全缺陷這一問題的解決程度。這一考查過程將吸取在實(shí)施國防部2002年7月發(fā)布的政策時(shí)得到的教訓(xùn)——該政策要求產(chǎn)品在采購時(shí)應(yīng)經(jīng)過NIAP或類似評(píng)估流程的審查。（A/R 4-4）

國防部的政策規(guī)定，如果所需的產(chǎn)品類中已有通過評(píng)估的產(chǎn)品，則國防部下屬部門必須購買通過評(píng)估的產(chǎn)品；如果所需產(chǎn)品類中還沒有通過評(píng)估的產(chǎn)品，則該部門必須要求備選的產(chǎn)品提供商將其產(chǎn)品提交給評(píng)估機(jī)構(gòu)，以便國防部進(jìn)一步考慮是否購買其產(chǎn)品。

在完成對(duì)NIAP的重新考查之后，政府將研究把該項(xiàng)目推廣到所有聯(lián)邦機(jī)構(gòu)時(shí)的成本有效性。如果可行，它將既能增強(qiáng)政府的安全性，又能夠最大可能地利用政府強(qiáng)大的購買力對(duì)市場(chǎng)產(chǎn)生影響，并因此能改善所有IT產(chǎn)品的安全性。

（4）為獨(dú)立的安全審查和認(rèn)證制定專用標(biāo)準(zhǔn)

隨著對(duì)安全的重視程度的增加，相應(yīng)地需要對(duì)聯(lián)邦各機(jī)構(gòu)的安全項(xiàng)目和活動(dòng)進(jìn)行專業(yè)化的獨(dú)立驗(yàn)證和確認(rèn)。FISMA和OMB制定的實(shí)施指南中已規(guī)定各機(jī)構(gòu)的項(xiàng)目負(fù)責(zé)官員及CIO至少每年審查一次該機(jī)構(gòu)的安全項(xiàng)目。但很少有機(jī)構(gòu)具備實(shí)施這些審查工作的人力資源，因此它們一般是將此項(xiàng)服務(wù)外包出去。各機(jī)構(gòu)及OMB均發(fā)現(xiàn)承包商的安全水準(zhǔn)參差不齊，有些是真正的安全專家，而有些則不盡如人意。另外，很多負(fù)責(zé)獨(dú)立驗(yàn)證和確認(rèn)安全項(xiàng)目的承包商同時(shí)還是安全項(xiàng)目的實(shí)施方。因此，它們?cè)趯彶轫?xiàng)目時(shí)可能會(huì)偏向于選擇對(duì)它們有利的安全項(xiàng)目實(shí)施方法。

聯(lián)邦政府將考慮是否有必要對(duì)聯(lián)邦政府的安全服務(wù)提供商進(jìn)行認(rèn)證，以考查其是否具有最小的能力，包括考查其是否具有足夠的獨(dú)立性。（A/R 4-5）

C．州政府和地方政府

美國的民主政治根植于聯(lián)邦制的概念，這種政府體系將政府的權(quán)力在聯(lián)邦和州之間進(jìn)行了分配。相互重疊的聯(lián)邦、州和地方政府的管理權(quán)限導(dǎo)致了美國各級(jí)政府總共擁有超過87000種不同的司法權(quán)，為網(wǎng)絡(luò)安全工作帶來了獨(dú)特的機(jī)遇和挑戰(zhàn)。與聯(lián)邦政府一樣，州政府和地方政府也運(yùn)行著龐大的互聯(lián)信息系統(tǒng)，這些系統(tǒng)支撐著其關(guān)鍵的政府職能。

美國各州提供的服務(wù)構(gòu)成了數(shù)百萬美國人民和家庭的“公共保安網(wǎng)”。這些服務(wù)包括重要的社會(huì)保障活動(dòng)以及關(guān)鍵性社會(huì)保安職能，如執(zhí)法和應(yīng)急響應(yīng)服務(wù)。各州還擁有并運(yùn)營著很多關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)，如電能和傳輸系統(tǒng)、運(yùn)輸系統(tǒng)、供水系統(tǒng)等。它們扮演了一種催化作用，能夠把州內(nèi)提供各項(xiàng)關(guān)鍵服務(wù)的各方召集到一起，共同對(duì)發(fā)生的危機(jī)進(jìn)行防備、響應(yīng)、管理，并從危機(jī)中實(shí)施恢復(fù)。在我們的聯(lián)邦系統(tǒng)中，州政府提供的關(guān)鍵服務(wù)使其擔(dān)負(fù)著特殊的角色和責(zé)任，使州政府因此而成為一個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門。

由州政府實(shí)施的很多這樣的關(guān)鍵職能都必然地與IT緊密相連，包括福利金的提供、因執(zhí)法目的而以電子手段訪問犯罪記錄、州政府的公共事業(yè)和運(yùn)輸服務(wù)的運(yùn)轉(zhuǎn)。我們要能夠阻止攻擊，或在攻擊事件發(fā)生時(shí)迅速響應(yīng)，這樣才可確保這些服務(wù)能全天可用，才可提供公眾所需要和期望的關(guān)鍵服務(wù)。IT系統(tǒng)可以為各州內(nèi)的居民提供空前高效的服務(wù)和響應(yīng)，公民對(duì)這些IT系統(tǒng)以及這些系統(tǒng)上收集并存儲(chǔ)的數(shù)據(jù)的完整性所持的信心是很重要的，它能使這些IT系統(tǒng)的優(yōu)越性得到進(jìn)一步的體現(xiàn)和充分利用。

隨著對(duì)集成系統(tǒng)的不斷依賴，州、地方、聯(lián)邦機(jī)構(gòu)不得不聯(lián)合起來對(duì)付網(wǎng)絡(luò)攻擊。對(duì)系統(tǒng)的保護(hù)信息的共享對(duì)于確保政府的連續(xù)性來說是很重要的基礎(chǔ)。各州已經(jīng)采取了很多機(jī)制來促進(jìn)對(duì)網(wǎng)絡(luò)攻擊信息的共享以及對(duì)攻擊事件的報(bào)告。

當(dāng)新的政策出臺(tái)以及新的技術(shù)解決方案出現(xiàn)時(shí)，這些機(jī)制還要不斷地更新和改善。除此之外，州政府正在探索某些方法來改善對(duì)內(nèi)、對(duì)外的信息共享。這些方法包括以立法的形式為網(wǎng)絡(luò)安全提供進(jìn)一步的資金和培訓(xùn)項(xiàng)目，還包括在州、地方、聯(lián)邦政府之間組建合作聯(lián)盟來共同對(duì)付網(wǎng)絡(luò)威脅。

國土安全部將與州和地方政府合作，鼓勵(lì)它們考慮制定IT安全項(xiàng)目并與情況類似的州一起參加ISAC。

鼓勵(lì)州和地方政府為其各個(gè)部門和機(jī)構(gòu)制定IT安全項(xiàng)目，包括意識(shí)培養(yǎng)、審計(jì)及標(biāo)準(zhǔn)；鼓勵(lì)各州與其他情況類似的州一起參加已經(jīng)建立的ISAC。（A/R 4-6）