国别:美国制定者:美国政府指定时间:2003年2月,美国正式通过了《网络空间安全国家战略》
美国网络空间国家战略一、美国将网络空间安全由“政策”、“计划”提升到国家战略。
美国将网络安全列入国家计划开始规划,还认为不够又提升为国家战略。美国在克林顿政府时期就把建设信息保护作为根本政策,同时发现了很多的网络安全问题。1998年5月,克林顿政府发布了第63号总统令(PDD63):《克林顿政府对关键基础设施保护的政策》,成为直至现在没有政府建设网络空间安全的指导性文件。2000年1月,克林顿政府发布了《信息系统保护国家计划V1.0》,提出了没有政府在21世纪之初若干年的网络空间安全发展规划。2001年10月16日,布什政府意识到了911之后信息安全的严峻性,发布了第13231号行政令《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会”,简称PCIPB,代表政府全面负责国家的网络空间安全工作。委员会由克拉克担任主席。委员会成立以后,系统地总结了美国的信息网络安全问题,提出了无数个问题向国民广泛征求意见。征求意见以后,马上颁布了《保护网络空间的国家战略》,这个《战略》很有意思,主要从系统角度加以分辨保护,提出分为五级:第一级家庭用户与小型商业;第二级:大型企业;第三级:关键部门;第四级:国家的优先任务;第五级全球。
2003年2月,在征求国民意见的基础上,发布了《保护网络空间的国家战略》的正式版本,对原草案版本做了大篇幅的改动,重点突出国家政府层面上的战略任务,这是一个非常大的跨越。
新的《保护网络空间的国家战略》提出了三大战略目标:
一是预防美国的关键基础设施遭到信息网络攻击;
二是减少国家对信息网络攻击的脆弱性;
三是减少国家在信息网络攻击中遭受的破坏,减少恢复时间。
五项重点任务:
一是国家网络空间安全响应系统;
二是国家网络空间威胁和脆弱性减少项目;
三是国家网络空间安全意识和培训项目;
四是国家网络空间安全保护政府网络空间的安全;
五是国家安全和国际网络空间安全合作。
2005 年4月14日,美国政府公布了美国总统IT咨询委员会2月14日向总统布什提交的《网络空间安全:迫在眉睫的危机》的紧急报告,对美国2003年的信息安全战略提出不同看法,指出过去十年中美国保护国家信息技术基础建设工作是失败的。短期弥补修复不解决根本问题。GIG耗资一千亿美元,而安全问题没有解决,仍是漏洞百出。(他们认为是不能用的)
当时,提出了四个问题和建议:
1、政府对民间网络空间安全研究的资助不够,建议每年拨NSF九千万美金;
2、网络空间安全基础性研究团体规模小,七年时间团体规模扩大一倍;
3、安全研究成果的成功转化不够,政府加强在技术转让方面与企业的合作;
4、缺乏政府部门间协作与监管是安全对策无重点和无效率的根源;
5、建议成立“重要信息基础设施保护跨部门工作组”。
2006年4月,信息安全研究委员会发布的《联邦网络空间安全及信息保护研究与发展计划(CSIA)》确定了14个技术优先研究领域,13个重要投入领域。
为改变无穷无尽打补丁的封堵防御策略,从体系整体上解决问题,提出了十个优先研究项目,包括:认证、协议、安全软件、整体系统、监控检测、恢复、网络执法、模型和测试、评价标准、非技术原因。
美国国防部2007年2月4日公布的《四年一度防务评审》报告非常关注网络空间安全,提出加强网络空间安全研究作为未来重点发展的作战力量之一。
报告指出,网络不仅是一种企业资产,还应作为一种武装系统加以保护,如同国家其他的关键基础设施那样受到保护。针对当前和未来可能的网络攻击,报告重点提出了“设计、运行和保护网络”,确保联合作战的需求。
美国总统签署命令,扩大网络监控范围。
美国总统2008年1月8日签署一项扩大情报机构监控因特网通信范围的联合保密指令,以防御对联邦政府计算机系统日益增多的攻击,这项指令授权以国家安全局为首的情报部门监控整个联邦机构计算机网络。指令的具体内容保密。这项行动将花费数十亿美金,资金将列入2009年财政预算中。
国土安全局将收集和监控入侵的数据,配置防御攻击和加密数据的技术。另外国土安全局还将致力于把政府因特网端口从2000个减少至50个。
同时,为了进一步加强政府核心部分的防范,发布了总统54号令,这个令是保密的。我们了解到主要是“设立了综合性国家网络安全计划”,主要对政府系统加以进一步地防范。还拓展了国家安全局对政府信息系统安全的主管权力。
二、美国网络空间安全当前的战略
网络空间指全球互联的数字信息,也是对通信技术设施的总称,称为四大空间以外的第五空间。
布什总统在信息安全上弄得焦头烂额,他的任期快到了,也解决不了问题,他希望下一届总统解决这个问题。因此,就成立了《第44届总统网络空间安全委员会》,经过一年半的工作,形成了《提交第44届总统的保护网络空间安全的报告》。
报告引言:暗战,以二战时期“阿尔发和英格玛”事件为警示,提出:网络安全是美国在一个竞争更加激烈的新国际环境中面临的最大安全挑战之一,美国处于英格玛被破境地。
报告认为,过去20年来,美国一直在努力设计一种战略来应对这些新型威胁和保护自身利益,但始终都不算成功。无效的网络安全以及信息基础设施在激烈竞争中受到攻击,削弱了美国力量,使国家处于风险之中。
报告提出了十二项、25条建议,分别从制定战略、设立部门、制定法律法规、身份管理、技术研发等方面进行了阐述。
尤其是第一条,建议设定一条基本原则,即网络空间是国家一项关键资产,美国将动用国家力量的所有工具对其施以保护,以确保国家和公众安全、经济繁荣以及关键服务对美国公众的顺畅提供。
报告认为:仅仅靠自愿采取行动是远远不够的。美国必须评估风险并按重要性对各种风险进行等级划分,在此基础上制定出保护网络空间的最低标准,以确保网络空间的关键服务即便在美国遭受攻击的情况下也能不间断地工作。
提出12项建议:
1、制定一项全面的网络空间国家安全战略
2、构建网络空间安全机构
3、与私营部门的合作伙伴关系
4、网络安全法规
5、保护工业控制系统和SCADA(监督、控制和数据采集系统)的安全
6、通过采购规则提高安全性
7、身份管理
8、法律法规现代化
9、修订联邦网络空间安全管理法案
10、消除民用系统与国家安全系统的区别
11、网络教育和劳动力发展培训
12、网络空间安全研发
(二)奥巴马政府的战略举措
2008年12月,为了加深奥巴马政府对信息安全现状的认识,美国开展了为期2天的“模拟网络战”,总计有230名来自军方、政府和企业的代表参与了这次演习活动。
演习结果认为,美国在网络攻击前抵抗能力很差,这为奥巴马政府敲响了警钟。
2009年5月26日,发布《总统关于白宫国土安全和反恐组织的声明》,宣布一种将增强国家安全和国家保障的新方法。
主要决定重点解决机构问题
对白宫官员进行全面整合,以支持国家和国土安全。成立“国家安全参谋部”,由国家安全协调官领导,统一支持国土安全委员会和国家安全委员会。
在国家安全参谋部中新增人员和职务,用以处理21世纪所面临的新挑战,包括网络安全、大规模杀伤性武器、恐怖主义,跨国界安全,信息共享和弹性政策,这些人员和职务具有对事件进行预防和响应的职能。
2009年2月9日,奥巴马指示美国国家安全委员会和国土安全委员会负责网络空间事务的代理主管梅利萨?哈撒韦主持组织对美国的网络安全状况展开为期60天的全面评估。
经过几个月的工作,2009年5月29日,奥巴马在白宫东厅公布了名为《网络空间政策评估——保障可信和强健的信息和通信基础设施》的报告,并发表重要讲话。
奥巴马在演讲词中强调,美国21世纪的经济繁荣将依赖于网络空间安全。
他将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项。”
报告全长76页,除前言、内容提要、简介外,正文包括6个章节,分别是:
1、加强顶层领导。通过以下事项来加强对网络空间安全的领导:设立一个总统的网络空间安全政策官员和支持机构;审查法律和政策;加强联邦对网络空间安全的领导力,强化对联邦的问责制;提升州、地方和部落政府的领导力。
2、建立数字国家的能力。提升公众的网络安全意识,加强网络安全教育,扩大联邦信息技术队伍,使网络安全成为各级政府领导人的一种责任。
3、共担网络安全责任。改进私营部门和政府的合作关系,评估公私合作中存在的潜在障碍,与国际社会有效合作。
4、建立有效的信息共享和应急响应机制。建立事件响应框架,加强事件响应方面的信息共享,提高所有基础设施的安全性。
5、鼓励创新。通过创新来解决网络空间安全问题,制定全面、协调并面向新一代技术的研发框架,建立国家的身份管理战略,将全球化政策与供应链安全综合考虑,保持国家安全/应急战备能力。
6、行动计划。提出了近期行动计划10项和中期行动计划14项。
此外,美国政府发布的这份报告还在附录回顾了现代通信技术在美国的发展情况以及信息安全相关法律和法规框架的制定情况。
报告强调:
1、国家现在处于一个十字路口;
2、现状已不能再接受;
3、必须从今天开始全国性的网络空间安全对话;
4、如果孤立地工作美国不可能成功地确保网络空间的安全;
5、联邦政府不能完全委托或取消其保护国家免受网络事件或事故影响的角色;
6、与私营部门合作,必须定义下一代基础设施的性能和安全目标;
7、白宫必须领导前进的道路。
该报告是美国在网络安全方面专门出台的第一份国家战略,既凸现了布什政府对美国网络安全的担心与重视,也显示出其在新世纪确保美国信息霸权和安全的长远战略目标,必将对美国未来的国家安全战略指导思想、网络安全管理机制产生深远的影响。
第一,该报告显示,确保网络安全已经被提升为美国国家安全战略的一个重要组成部分。布什政府认为,信息技术的迅猛发展与计算机网络在美国的普及,已经使美国的国家安全问题不再局限于军事安全、经济安全和政治安全。网络的便捷使美国社会越来越依赖于信息技术,信息技术的发展已使之成为21世纪美国发展的支柱,而网络成为美国发展的神经中枢。以信息化方式运作的金融、商贸、交通、通信、军事等系统,成为美国国家经济与社会的基础。防止敌对组织或个人对美国的信息系统和全国性网络的破坏,已不再只是一个技术层面的概念,而成为与社会、政治、经济、文化等各个方面密切相关的问题,即这些领域的安全直接关系到美国国家安全的重要因素,信息安全已成为美国国家安全的一个重要组成部分,直接影响到美国的国家运转、经济发展和社会稳定。因此,布什政府出台这份《确保网络空间安全的国家战略》报告,显示出其对网络安全的高度重视。
第二,该报告是美国在"9·11"事件之后,为确保网络安全而采取的一系列举措中的一个核心步骤。其实,"9·11"事件发生后,布什政府一直担心恐怖分子会对美国发动网络恐怖袭击,因此,它采取一系列预防和打击网络恐怖活动的措施。布什政府经国会批准将反恐开支增加到600亿美元,为2000年反恐经费的5倍。其中用于打击网络恐怖活动的开支也增加了两倍多;迅速成立了"国土安全办公室"(即目前已经成立的国土安全部的前身),将打击网络恐怖作为其主要职责之一;任命网络反恐怖专家理查德o克拉克为总统网络安全顾问,并出任在"国土安全办公室"统辖下新设立的"电脑信息网络安全委员会"主席,负责制定、协调全美政府机构网络反恐计划和行动;着手建立一个政府网络(GovNet),使它与现行互联网分离,以保障政府通讯信息网络的安全性和保护美国国家信息基础设施;召集有副总统理查德·切尼、司法部长约翰·阿什克罗夫特和美国10大网络供应商高官参加的"网络恐怖袭击对策"会议;在美联邦调查局内新设反网络犯罪局,专门负责打击网络犯罪;指令美军加强网络战准备,防范网络恐怖袭击以及打击网络恐怖活动和支持网络恐怖的国家。美国总统布什还对美国指认的所谓纵容网络恐怖主义的国家发出警告称,"如果任何国家为网络恐怖主义者提供安全的避风港,国际社会将切断它与国际互联网的联系,把它排斥在互联网之外。"《确保网络空间安全的国家战略》报告明确提出,美国在网络安全方面的管理机构将会进一步加以整合,最终使国土安全部成为联邦政府确保网络安全的核心部门。
第三,该报告尤其强调发动社会力量对网络安全进行全民防御。虽然美国历届政府在维护信息系统安全方面采取了众多的措施,但它也意识到,仅仅依靠政府的力量是不够的,必须建立起一个全方位的防御体系,动员一切可以动员的社会力量。因此,美国政府十分重视与私营企业之间建立合作关系,重视发挥学术研究机构的优势,同时也重视培养美国公民的信息安全意识。首先,美国历届政府把建立政府和私营企业间的合作关系作为一个主要内容。政府强调保护美国的关键基础设施仅仅依靠联邦政府是不行的,必须与企业界、各州及地方政府进行积极有效的合作。例如,1998年11月,能源部、天然气研究所和电力研究所共同主办了能源论坛,邀请了100余家电力、天然气和石油企业和政府代表参加;1999年10月1日,由政府和私营企业联合发起建立了金融服务信息共享及分析中心。2001年1月,包括IBM在内的500多家公司加入了FBI成立的一个被称作"InfraGard"的组织,共同打击日趋嚣张的网络犯罪活动。《确保网络空间安全的国家战略》报告也多次指出,"确保美国网络安全的关键在于美国公共与私营部门的共同参与"。
其次,重视发挥大专院校和社会科研机构的力量。目前许多大学都设有与信息技术和信息安全相关的学院、研究中心和专业,例如,卡内基-梅隆大学的软件工程研究所,乔治敦大学的计算机信息安全研究所、美国全国计算机安全协会、国际战略研究中心(CSIS)的技术委员会,卡内基国际和平研究所的信息革命与国际关系研究项目等等。目前,美国还开始利用高等院校的科研实力为其服务,2002年2月,美众院通过《网络安全研究与发展法案》,同意在5年内为大学和研究机构提供8.7亿美元的资助,用来研究保护美国计算机网络不受恐怖主义分子和黑客袭击的技术。政府与这些机构展开合作的最好事例就是,由国防部高级研究计划局出资,在卡内基-梅隆大学软件工程研究所内设立了计算机应急处理小组协调中心(CERT)。该中心提供24小时紧急情况联络点,通过与世界范围内IT界和专家之间的交流,提高人们对计算机安全的认识。
最后,重视人才的培养和公民的安全意识教育。该报告认为,到目前为止,还没有"电子珍珠港"事件能够唤醒公众采取行动保护美国网络的意识。许多美国人没有认识到美经济和国家安全对计算机和信息系统依赖到何种程度。而保卫美国的网络空间则需要所有美国人的行动,包括最普通的大众。《确保网络空间安全的国家战略》提出的具体措施包括:完善"网络公民计划",对美国儿童进行有关网络道德和正确使用互联网和其他通讯方式的教育;借助"关键基础设施安全伙伴"建立美国企业和信息技术精英间的合作关系;保证政府雇员具备保护信息系统安全的意识;在上述行动的基础上,把提高安全意识的活动推广到其他私营部门和普通公众。
