国家协调员的话
这个计划是世界上第一次由国家政府实施的、用来设计其国家的网络空间保护方案的尝试活动。
美国的新依赖——美国的新威胁
比起其他国家来,美国对其网络空间的依赖性更强。对国家网络空间的攻击可以破坏我们的输电线路、电话网络、运输系统以及金融机构。所有这些部门都依赖于涉及计算机系统的控制网络。
在下一场战争中,敌人的目标将是美国的基础设施,敌人的新武器将是针对我们的关键网络和系统的计算机攻击。我们知道有些政府正在发展这种能力。
因此,我们需要重新设计国家的信息基础设施的结构。在上个十年,我们的信息基础设施建设非常迅速,但没有对安全给予足够的关心,没有考虑到富有经验的敌人会去攻击它。而现在我们则必须对其做出改动,以对其进行保护、防止攻击或减小业已存在的脆弱性。
总统已经要求制定一个网络空间保护计划,且这个计划要在2000年12月前初步生效,到2003年5月完全施行。为了达到这个目标,我们必须迅速行动,因为我们有很多事情要做。
真正的公共-私营合作——非指令性的解决方案
总统要求联邦政府成为计算机系统安全的典范,但现在事实还并非如此。国防部在建立安全系统方面做得非常好,但同样关键的民事机构却通常没有充分地得到对计算机系统攻击的保护。这个计划提出了国防部和其他联邦政府部门要采取的很多后续步骤。
私营业主的基础设施至少也是计算机系统攻击的目标。在现代社会,关键的工业和公共事业已经成为各种冲突中的破坏目标。美国的国力就在于私营业主所拥有和运营的很多关键基础设施和工业。
私营业主拥有的计算机网络正处在被扫描和渗透之下,某种情况中还成为破坏、偷窃、间谍活动和攻击的目标。虽然总统和国会能够命令联邦网络实现安全化,但他们不能也不应该为私营部门的系统规定解决方案。
因此,在本阶段,这个计划对私营网络的安全和保护不做具体安排,只是为其建议一个公共框架。一些私营机构已经决定联合起来保护它们的计算机网络。当它们进行这些活动时,联邦政府能够而且必将会帮助它们。然而,政府将不会指示解决方案,并且避免做出条例规定。政府也不会侵害公民自由、隐私权或私有信息。
这是国家计划的第一版。为了使它能得到改进,我们真诚地征求大家对这一计划的评论。一旦私营部门实体做出了更进一步的减小脆弱性和加强保护措施的决定和计划,这些进步将会在本计划的后续版本中得到反映。
解决方案的各个组成部分——首先是经过培训的人员
正如您将在文中看到的,这个计划将为我们的网络空间建立防御,它依赖的是新的安全标准、多层次的防御技术、新的研究以及对人才的培训。其中最为急需但最难以达到和实现的就是具有一个受过培训的计算机科学家和信息技术(IT)专家核心。
一个世纪以前,为了电力的应用,美国迅速实现了电线布线,国家马上为这个新的经济培训出了电气学家和电气工程师。但迄今为止,面对刚刚出现的以IT为基础的新经济,美国还没有培训出能有效负责其运行、改进并保护其安全的IT专家。这个计划将提出一系列步骤来刺激高等教育,培养出美国在这一领域所迫切需要的人才。
继我们的计算机防御计划之后,我们将推出第二个计划。后者将集中关注政府怎样与国家的基础设施部门合作来确保那些重要服务的可靠性和安全性,使其免受大规模的破坏。这个即将推出的计划主要依赖于各公司和机构的投入。这些公司和机构中各种各样的复杂网络正为美国人民提供着经济福利、健康、保险及安全。
人民和国会
这个计划是联邦政府中很多人士广泛工作的结果。以他们的名义,我们把这个计划提供给全国人民以及各众议员,希望举国努力来改善这一计划,保卫我们的网络空间,保卫依赖于这个网络空间的所有力量和我们的人民。
——理查德·克拉克
安全、基础设施保护和反恐怖主义国家协调员
介绍
在这个世纪之交,联邦政府和私营业主齐心协力,使我们平稳过渡到了2000年。为了避免千年虫可能造成的信息系统故障和服务崩溃,我们曾做了广泛的准备,现在这些准备已见成效,关键系统保持了持续运行,没有出现任何重大故障。这些事情说明,必须记住我们处在一个动态的环境中,计算机攻击的性质和我们为保护信息系统所做的准备将始终处在变化之中。随着新的保护措施的发展并投入使用,那些试图攻击我们的人也会变得更加具有创新性。现在联邦政府正在评价千年虫防御的经验,用来决定未来防御计算机攻击的持续措施的各个相关方面。
这个文件是世界上第一次由国家政府实施的、用来设计国家的网络空间保护方案的尝试活动。总统曾在第63号总统令中对其制定做了指示。把它指定为“版本1.0”,表明了这个计划还处于发展的初期,还有很多工作要继续。
当前这部计划的第一个版本主要集中关注联邦政府为保护国家中以计算机为基础的关键基础设施所做的国内工作。后继版本将包含PDD63中所考虑的更广泛的内容,包括工业界、州和地方政府在保护私营的基础设施时——单独或与政府合作——所起的作用以及对物理基础设施的保护和关键基础设施的保护中国际事务的思考。为了改善我们的计划,我们广泛征求工业、国会、州和地方政府以及普通公众的评述,在后继版本中,这些评论将被包含进去。
什么是关键基础设施系统和资产
关键基础设施是指那些对国家中十分重要的物理性的以及基于计算机的系统和资产,它们一旦受损或遭到破坏,将会对国家安全、国家经济安全和(或)国家公众健康及保健产生破坏性的冲击。
PDD63要求国家计划为关键基础设施保护的目标、原则和长期计划制定出优先级次序,在初期阶段,国家计划的重心主要是当前联邦政府的计算机安全和IT需求。
威胁
在美国,对于政府和工业界内的关键网络进行控制的计算机系统——国防设施、高压输电线、银行、政府机构、电信系统以及运输系统,每天都会受到成千上万次的攻击尝试。
这些攻击尝试中有的以失败告终,有的却取得了成功。有的人获得了“系统管理员的地位”,下载了口令,安装了嗅探器以复制交易信息,或者插入了陷门以方便其以后进入。
有的攻击者就像驾车兜风的窃车者,把犯罪当作一件乐事。有的攻击者则是为了从事间谍活动、偷窃、报复性破坏和勒索。还有的攻击者可能是为了收集情报、预先侦察或者创造未来攻击的能力。这些作恶者种类甚多,从青少年到小偷,从有组织的犯罪团体到恐怖分子,还有潜在的军事敌对力量以及情报机构。这些威胁的严重性在最近几年不断增加。
我们还知道一些外国政府正在为对付美国的计算机网络而发展强大的攻击能力。
美国在基础服务上对计算机网络有越来越多的依赖,以至于很容易受攻击。然而,在国家如此紧密地依赖计算机网络的同时却很少注意保护它。水、电、气、通信(语音和数据)、铁路、航空和其他关键设施都在巨大的信息系统网络中直接受到计算机的控制。
在将来的危机中,罪犯团伙、恐怖分子集团、敌对国家会制造经济破坏、混乱和死亡,并通过攻击这些关键性的网络来降低我们的防御响应能力。中央情报局局长George Tenet曾证实:“这种威胁是很现实的。”
保护隐私和公民自由
基础设施保护的目标要在与公民的全面自由权益保持一致的前提下得到实现。事实上,一些基础设施保护计划增强了网络环境中数据和通信的安全级别,从而能对个人隐私和其他的公民自由权产生积极的影响。
联邦政府有义务保护其计算机用户的个人信息。政府之所以成为这些信息的信托对象,是因为美国公民相信他们的关键性个人信息能在这些系统中得到安全的保存。
联邦政府意识到,用以保护信息和系统的技术如果使用不当,将会在无意中损害公民的自由。甚至即使初衷是好的,但如果保护入侵的技术使用得太广泛,也可能会波及一些正当的行动。尤其在那些个人权利很敏感或有争议的地方,我们有必要认真地考虑与此相关的一切问题。
在权限、安全标准和认可协定等方面,法律并不总能提供清楚的指导方针。计算机入侵事件经常给我们提出复杂的法律和司法问题。因此,政府保护基础设施和公民自由权利的诸多项目都需要仔细地计划、分析,并要求所有受影响的实体参与。
这篇国家计划中所有的提议都完全符合现行的法律以及人们对隐私保护的期望,同时,计划的某些部分可能促使大家更加关注个人隐私被损害以换取基础设施保障这一问题。
既要使基础设施得到保护,也要与公民的自由权利相一致,寻找这样的解决方案是个动态的过程,必须包括政府和私营业主团体的参与。在这个过程中,必须意识到现有司法制度的复杂性和重要性,还要建立新的项目以防止意外后果的出现。
在这样的大势之下,有几个重要的原则可以作为国家计划中分析其项目的出发点:与隐私权团体协商以定义可行的解决方案;对计划各项目进行严格而彻底的法律评审;遵循已有的法令和规则;政府必须做出榜样;评审各种各样的隐私解决方案;和国会合作;和国家科学院合作;致力于教育和意识培训;遵循由信息基础设施任务组内的隐私工作组制定的隐私原则。
联邦计算机安全和IRM(信息资源管理)责任
管理和预算办公室(OMB)承担了联邦计算机安全和信息技术管理的核心责任,与我们的国家计划关注国家安全系统并强调与私营企业合作所不同的是,OMB对联邦自动化信息系统安全政策的制定有着法定的责任。它制定的主要政策包括:
OMB实现这些要求时主要依靠OMB A-130通告的附录Ⅲ“联邦自动化信息资源的安全”。通告中要求OMB监督操作规范和标准的开发以及对脆弱性和风险的评估,还要负责管理公众对信息的访问。OMB A-130对上述每一事项都有详尽的说明。在过去的几年中,OMB还发布了很多其他相关资料,涉及如下内容:
Internet和网站隐私声明;
推荐的计算机操作规范和标准;
大型系统的采购。
计划概览
这个计划的目标是在2000年12月之前使关键信息系统的防御性能初步运行,在2003年5月完全运转。这个系统防御投入运行后,美国将有能力确保:
“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上。”——克林顿总统在PDD63中所述。
为了达到克林顿总统所确立的在2003年建立起对国家关键基础设施的完全防御这一最终目标,这个计划的现行版本围绕三个目标进行设计。
准备和防范:减小对我们的关键信息网络进行成功攻击的可能性,建立一个面对类似攻击仍能保持有效运转的基础设施。
检测和响应:实时地确定和评估攻击,对攻击进行控制,受攻击后迅速恢复和重建。
建立牢固的根基:我们应该为国家培养相关人员,建立相关组织,完善法律和传统,使我们能更好地针对关键信息网络遭到的攻击进行准备、防范以及检测和响应。
为此,计划的1.0版本提出了以下10项内容。
(1)准备和防范
内容1:标识关键基础设施资产以及共有的互依赖性,查找其脆弱性。
(2)检测和响应
内容2:检测攻击和非法入侵。
内容3:开发稳健的情报和执法功能,保持与法律的一致。
内容4:以实时的方式共享攻击预警和信息。
内容5:建立响应、重建和恢复能力。
(3)建立牢固的根基
内容6:为支持内容1~5,加强研究和开发。
内容7:培训和雇用足够数量的信息安全专家。
内容8:加强推广,使美国人民知晓加强信息安全的必要性。
内容9:通过立法和拨款,支持内容1~8。
内容10:在计划的每一步骤和每一部分中,都要确保美国公民的自由权、隐私权以及私有数据保护权得到全面保障。
本摘要将继续描述每项内容及其相应的时间进度。
这篇计划经过了总统的批准,将为联邦各部局准备各自的预算提供全面的方针和指导,但它不是一个用来决定预算的文件。各机构保护其信息系统时的资金拨款决策将依照常规的OMB(管理和预算办公室)预算步骤做出。
内容1:标识关键基础设施资产以及共有的互依赖性,查找其脆弱性
“首先,了解你自己。”
第一项内容要求政府和私营部门标识其关键信息网络的重要资产、互依赖性和脆弱性,然后制定并实施实际可行的方案去修复其脆弱性,同时,不断地展开新一轮的评估和修复工作。
对关键信息系统和计算机网络防御做准备的第一个必要步骤就是全面评估关键基础设施系统的资产、互依赖性和脆弱性。我们将不断估计对手对我们的关键基础设施进行破坏的能力。但同时,我们的保护工作必须建立在标识关键基础设施并评估其脆弱性的基础之上。
我们还没有意识到共有的基础设施系统的互依赖性。经验显示,大多数(即使不是全部)信息系统很容易遭受入侵,特别是有内部人员帮助时。虽然有了防火墙和口令系统的广泛应用,但非法入侵还是经常发生。一些防火墙功能有限或者没有经常升级,而且有的技术还可以绕过防火墙。用户经常使用太过简单的口令,或者很少定期更换它们。一些可以通过公开渠道获得的软件程序就能破解口令。用户还有可能在无意中使用了黑客故意给他们的软件,这些软件在整个系统中秘密安装了陷门。还有一些使用者可能违规安装了未授权的调制解调器,这样他们就可以在家里工作,结果在无意中为他人进入网络打开了方便之门。
标识计算机网络资产和脆弱性的主要工作内容是:
基于机构/部门之间国家安全和日常任务的区别,确认最关键的资产。
分析政府内部或者政府和(或)私营部门之间的共享互操作性。
基于对关键资产的确认和共享互操作性的分析,系统管理员、操作者、安全专家和CIO对网络脆弱性进行评估。
由受过相关培训的外部专家对这些工作进行评价。
信息系统安全操作规范和标准能够帮助各机构标识并发现脆弱性。虽然很多工作都已经做过,但一个公众可接受的信息系统安全操作规范和标准框架仍处在形成阶段。联邦政府、私营部门和标准制定团体的紧密合作可以制定出更加经得住考验和可接受的指导方针,各机构在标识脆弱性时可以此为参考,并对脆弱性矫正活动排出优先级次序。在这些指导方针广泛使用以前,联邦政府将努力强化其自身的信息系统安全操作规范和标准。
囿于技术和资金,所有的脆弱性都不可能同时得到立即矫正,在3~5年的时间内,基于对关键资产的标识和互依赖性分析,政府机构和私营部门将给这些矫正工作排出优先级顺序。详细的资金要求必须由首席基础设施保障官(CIAO)、首席信息官(CIO)和首席财政官(CFO)共同做出,然后由内阁成员或者首席执行官(CEO)和公司董事会采纳。
术语“一个互联网年”通常是指3个月。信息技术发展得如此迅速,以至于1年前采用的项目和计划与当前的新技术可能没有多少联系。随着网络的变化,新的脆弱性又会被引入。随着黑客对系统的不断揣摩,他们又会发现先前不为人所知的脆弱性。因此,我们要持续不断地评审新的脆弱性、新的保护措施以及新的操作规范和标准。我们要对技术变化导致的个别安全环节所表现出的脆弱性给予足够的重视。
由于对关键资产、共有的互依赖性和脆弱性的评估会给敌人提供攻击方法的蓝图,所以这些评估本身也要得到保护,要确保有合适的保护措施,包括可能的立法手段等(见内容9)。
联邦政府机构要持续地进行这种意义深远的风险和脆弱性评估,开发现实可行的多年度矫正计划。对这些评估和计划要做到持续地更新。同样,信息系统安全中的操作规范和标准也要有相应的更新。联邦各部局(PDD63在其中指定了基础设施部门联络官)将和私营部门共同合作,促进类似的评估和矫正工作的开展。
内容1时间表如下:
续表
范围注解
保护计算机和物理关键基础设施
保护国家的关键基础设施长久以来就是政府关注的主题。水坝、桥梁、隧道、电厂和其他重要的物理建筑物已经被特别保护了50多年。1995年,PDD39指示总检查长负责开展了一次政府范围内的检查工作,以确定政府范围内的基础设施是否得到了足够的保护。
总检查长的检查突出显示了我们缺少对网络空间基础设施——关键信息系统和网络的保护工作的重视。这次检查的结果直接决定了总统关键基础设施保护委员会(PCCIP)的诞生。PCCIP发现了关键基础设施保护工作中的很多脆弱性,但却找不到任何系统和计划去解决这些脆弱性。
因此,总统在PDD63中阐述了他的意图:美国将消除那些被“针对我们的关键基础设施,特别是计算机系统的物理和计算机攻击”所利用的弱点。
为了重新研究非计算机系统的物理弱点,FBI、DoD和其他机构将评审1995年的工作,在必要的地方对这些工作进行更新,调整FBI的关键资产初步活动(KAI)和国防部(DoD)的关键基础设施保护项目。
一个新的《关键物理基础设施保护计划》正在开发之中,该计划将包含很多工作来确保对这些基础设施的保护。DoD、FBI正同CIAO合作,一起领导这个计划的开发。一旦完成,《信息系统保护国家计划》和这个新的《关键物理基础设施保护计划》就连接起来了,使我们可以采用横向的视点对其观察。本计划的第2版及更高版本会反映出这种横向视点。在将来,这两个计划可能会被合成到一起。
内容2:检测攻击和非法入侵
“今天,我们甚至不知道我们是什么时候被攻击的。”
内容2为我们敏感的计算机系统安装了多层保护,包括先进的防火墙、入侵检测监控器、异常行为标识器、企业级管理系统和恶意代码扫描器。为了保护关键的联邦系统,计算机安全运营中心(先是在国防部,然后是与其他联邦机构相协调的联邦入侵检测网络[FIDNet])将收到这些检测设备发来的警告,也可以从计算机应急响应小组(CERT)或其他途径获得攻击警告,用来分析并协助各站点抵御攻击。
我们标识和矫正脆弱性的工作能够延缓但不能阻止对信息系统的恶意入侵。通用软件仍将继续具有脆弱性,不同软件和硬件组合中的相互作用也会产生出安全上的脆弱性。对系统有访问权的心怀不满的雇员会经常制造严重的破坏,他们的反常行为却可以长久地被人忽视,直到亡羊补牢,为时已晚。
考虑到系统和软件的脆弱性以及可能受害的目标系统的数量和非法入侵的频率,检测和监视系统的开发和使用是势在必行的。这些入侵检测系统已经在行政部门和国会中得到了应用。增强系统安全性的关键一步就是在整个联邦部门和机构中安装网络入侵检测监控器,并且要有一个能够对系统异常进行中央分析的功能模块。
社会生活中有很多警报器互联的成功例子。比如住宅报警系统——一个私人住宅遭到入侵时,当地警局的警报如果不会自动报警,私人防盗系统就会失去效果。
(1)安装入侵检测监控器和防御检测系统
检测网络中非法入侵行为的第一个必要步骤就是安装和使用高度自动化的应用程序,包括如下四类防御检测系统:
在防火墙两边安装的入侵检测监控器,该监控器要定期更新。
授权用户访问和活动的规则以及一个检测程序,以确定一个明显的授权用户所出现的异常行为。
企业级的管理程序,可以确认网络上有哪些系统,知道它们正在做的工作,还可以加强访问和活动规则并进行安全升级。
用来分析操作系统代码和其他软件的技术,以确认是否存在恶意代码(如逻辑炸弹等)以及其他类似于后门之类的危险代码(不论其初衷是恶意的还是善意的)。
本计划号召在联邦关键信息系统网络的如上四类防御检测系统中合适的地方安装同类产品最优程序。在政府内部,这些安装可能通过政府指令来完成。政府还可以通过信息共享和分析中心(ISAC)对这类系统做出评价(见内容4)。
(2)入侵检测监控器的网络系统
为了保护民事机构(非国防部)中的关键联邦系统,国家计划还要求将保护单个政府系统的防御检测系统和位于总务管理局(GSA)的FedCIRC(联邦计算机事件响应功能中心)的中央分析单元联系起来。后者可以对多种网络的系统异常进行实时分析。如果联邦机构或者FedCIRC认为已经掌握了非法行为的足够证据,则将通知NIPC,以进行下一步行动。只要任一站点受到攻击,有关攻击的警告词汇就可以立即引起其他站点的注意。
在目前的技术水准下,联邦入侵检测网络(FIDNet)以及其他网络监控系统需要自动感应和人工管理相结合。自动系统要求对政府网络内部关键节点上的系统异常数据进行有效收集。现在,系统异常分析在很大程度上依赖于各机构内的人工处理,一般由GSA的FedCIRC内受过专门培训的分析员来完成。随着研发的深化,越来越多的分析将使用人工智能工具来自动完成。此外,我们还需要有面对入侵时能迅速更新系统防御的自动化工具。
有三个系统共同支撑着美国政府的关键系统保护功能,FIDNet将成为其中之一,具体如下。
国防部计算机网络防护联合特别任务中心(JTF-CND):该中心已经建立起来,正在对国防网络进行监视,并可以在遭到入侵/攻击后对功能恢复行动进行协调。
国家安全事件响应中心(NSIRC):为JTF-CND、FIDNet和NIPC提供专家帮助,协助他们隔离、控制以及解决危害国家安全系统的攻击和非法入侵。NSIRC将和JTF-CND、FIDNet、NIPC一起协调对这些直接危害国家安全系统的攻击和入侵所做的事件报告和对脆弱性的评估。
联邦入侵检测网络(FIDNet):是为了保护联邦民事部门的关键信息网络而创立的,它以国防部系统为模型,在GSA执行和操作。在法律的范围内,当非法行为的某些迹象需要得到NIPC的分析和预警部门的分析支持或者预警通知时,FedCIRC将同NIPC进行协调。同样,当需要NIPC的计算机调查和执行部门的罪犯调查或国家安全调查时,FedCIRC也将寻求与NIPC的协作。
司法部的预审认为,FIDNet的理念同《电子通信隐私法》是相一致的。综合的法律评审(由各机构的代表实施)正在进行,以确保FIDNet在建设中同政府的隐私和公民自由政策、法规及宪法的规定保持一致。
内容2时间表如下:
内容3:发展稳健的情报和执法功能以保护关键信息系统,保持与法律的一致
“人民组成政府是为了保卫人民,防御国外敌人和国内罪犯。”
内容3将帮助和加强美国执法及情报机构并转换它们的角色,使其能够处理计算机网络所面临的新型威胁和新型犯罪。
过去,国外对国内基础设施的威胁主要来自轰炸机、洲际导弹和潜艇。这些系统可以被情报机构定位和计算出来。但现在,我们的基础设施遭到的是基于计算机的攻击威胁,其危害度和来源很难被发现并估计。
依据行政令12333、总检查长指导方针和中央情报局长的指示协议,美国情报机构最应该做的是收集国外信息战能力和意图的信息,这在所有的优先级中排第一。
情报机构要收集潜在的国外敌人的计划和攻击能力的信息,这是非常重要的。但是,收集计算机攻击威胁信息比收集传统军事威胁情报面临着更多困难和挑战。情报共同体正致力于开发新的解决方案,以应付这种艰难的挑战。
对计算机网络的攻击,无论是物理的还是计算机的,一般来说都违背了联邦或者各州的法律。要证明攻击已经发生、找到攻击者并证明其罪行需要新的技术,使执法、情报分析和国家安全响应能实现无缝结合。FBI的国家基础设施保护中心(NIPC)是一个跨机构的保护中心,它使用来自多种资源的信息,包括开放资源、私营部门、执法和美国情报共同体,来提供攻击的早期警报,并通过收集在确定攻击方时所必要的信息,对攻击做出部分响应。而且,NIPC还有执法和国外反情报使命,并在这些领域内的负责机关的领导和协调下进行运行。中心有来自国防部、情报部门、NSA和其他联邦机构的代表。中心的角色是作为领头羊开发和改善一系列相关功能,用来判断入侵开始时间、分析攻击范围和攻击源以及寻找攻击者。
可能攻击的警告、适当的攻击事件和脆弱数据都将被私营部门、州和地方政府共享。这些信息对于提高它们的防御能力来说非常重要(见内容4)。
通过其他项目的努力,美国执法机构正在提高和严格化国内的执法机制和工具。在司法部的计算机犯罪和知识版权处以及美国检查官办公室,我们都通过“计算机电信协调员”项目增加了受过技术培训的公诉官的数量,从而加强了对计算机网络罪犯的起诉能力。我们还与其他国家的可信执法伙伴进行了合作,以建立先进的国际合作系统,开发通用的方法以对非法入侵和计算机系统攻击进行定罪。
我们决心做到,任何滥用计算机技术的人,不论其是为了获取非法利益还是怀有其他邪恶目的,也不论他们这样做是为了国家、恐怖主义分子还是犯罪组织,我们都一定要找到他们并将其绳之以法。我们不会因为他们的罪行源于或超越了一个或多个外国的审判权限而放过他们。同时,我们还要开发与现有规则和政策相一致的很多其他政策和项目。这些政策和项目将主要关注国内执法部门和国家安全机构在各自的国内外行动中的法定角色。
内容3时间表如下:
内容4:以实时的方式共享攻击预警和信息
“攻击一点应视为攻击全体。”
1998年2月第一次发现针对空军计算机的“Solar Sunrise”攻击时,我们还没有足够的措施和方法知道这些攻击是否也针对其他的国防部系统以及关键联邦网络或者关键私营部门系统。今天,已经有了初步的系统去做好这些工作。这篇国家计划要求建立一个更加有效的全国范围的系统来对攻击进行实时的信息传递,包括以下内容。
促进联邦信息共享:在当前的一段时间内,我们需要用手上已有的数据来完成更好的工作。联邦系统管理员有大量的关于异常和可能入侵的广泛数据,他们应该把这些数据发给FedCIRC,包括FIDNet系统的增强功能模块。非法行为和入侵的迹象将被直接提供给NIPC分析。FedCIRC还是重要的事件数据接收者和提供者。得到了所有这些资源的信息之后,NIPC和FedCIRC将把这些报告同他们手头的其他信息结合起来,判断出入侵的模式或者那些貌似随机的事件之间的联系。
在国防部内部,国家军事指挥中心和JTF-CND将接收、巩固和评估国防部各部门的汇报;发现国防部内的入侵迹象并将其报告给NIPC;发布国防部的预警;接收、评估和发布国家预警。
ISAC:对于私营业主和州及当地政府,本计划鼓励信息共享和分析中心(ISAC)的建设。它将在公司和各州及当地政府之间共享信息,并接收政府的预警信息。有关ISAC和信息共享的白宫会议曾召开过,被PDD63指派为部门联络的几个联邦机构也曾主持过几个会议(包括前财政部长Robert Rubin和能源部长Bill Richardson主持召开的会议)。作为这一系列会议的结果,一些工业机构,包括通信和金融服务机构,已经决定建立ISAC。其他工业机构正在评估这个提议。
NIPC将向各ISAC提供威胁、脆弱性和相关事件的信息。
ISAC以自愿的方式(对于那些愿意这样做的公司来说,绝对不是强制性的)把入侵和其他攻击信息通知给联邦各机构。发送信息之前,ISAC可以预先对信息进行过滤(如删掉信息中包含的公司名称)。然而,我们提倡各公司直接向当地的FBI区域办公室报告计算机攻击事件。
银行与金融部门ISAC
1999年10月1日,美国财政部长宣布开放银行与金融服务信息安全设施——金融服务信息共享和分析中心(FS-ISAC)。
该中心是一个公共-私营部门的合作项目,用来促进对金融服务业计算机攻击信息的共享。它为这些攻击信息提供了一个快速发布信息的匿名场所,提高了金融服务工业对其技术基础设施受到的攻击进行防范、检测和响应的能力。
FS-ISAC的成员资格向所有已获认可的金融服务协会的成员开放。目前,已有代表私营和公共利益的12个组织签署了信函,表明了它们对加入这个中心的兴趣。FS-ISAC由私营承包商管理,并由各会员公司全额资助。
为信息共享排除障碍:很多公司可能希望同政府专家讨论可能的系统脆弱性,但又不敢这样做,因为根据《信息自由法》(FOIA),如果把信息透露给政府,那么同时可能会被要求把信息向公众透露。关于政府脆弱性的敏感信息已经得到了现有法律的保护,不必因FOIA而向外泄露。为了促进这个国家计划,关键基础设施保障办公室(CIAO)和司法部共同召开了关于信息自由的1999年7月白宫会议,与会的还有公共和私营部门的专家。与会者讨论了FOIA对信息共享可能造成的障碍。通过私营部门的加入,一个跨机构工作组已经成立,其任务是推荐可能的全面解决方案。私营部门所关心的其他一些法律问题,包括反托拉斯和责任法等,也将得到类似的处理。
FIDNet和JTF-CND:在隐私和执法限制条例的许可范围内,FIDNet和JTF-CND事件检测系统将在它们之间共享事件数据。
国家安全事件响应中心(NSIRC):NSIRC将从FedCIRC和JTF-CND获得数据,进行细致的事件分析和脆弱性评估。NSIRC脆弱性评估将用于开发硬件和软件的计算机网络防御系统。
内容4时间表如下:
新墨西哥州关键基础设施保护委员会
保护关键计算机系统及物理基础设施的全州范围内的公共-私营合作样板
新墨西哥州关键基础设施保护委员会(NMCIAC)是一个私营-公共部门的合作机构,它的建立最初是为了商业团体、工业、教育机构、联邦调查局(FBI)、新墨西哥州政府和其他联邦、州和地方机构之间的信息交换,以确保对新墨西哥州关键基础设施的保护。NMCIAC致力于研究威胁、脆弱性和对策,还针对基础设施攻击、非法系统入侵以及可能影响NMCIAC成员和(或)普通民众的那些因素所采取的各种响应进行研究。基于物理以及计算机的保护都是通过对关键系统的威胁信息进行参照和传播来完成的。在计算机和物理保护方面,NMCIAC同FBI的InfraGard/NIPC活动结成了联盟。
NMCIAC是美国第一个完全由自愿者组成的全州范围内的组织,为其他49个州内类似组织的发展提供了原型。在诞生后相对较短的时间内,它就招募了代表私营和公共部门的36个组织。NMCIAC使用工作组的形式完成其主张的目标。这些工作组依据不同的关键基础设施领域来定义:信息与通信;公用事业(天然气、石油、电力和供水);银行与金融;运输;紧急事务管理;紧急情况和政府服务;信息共享和分析中心;管理和操作。
NMCIAC定义了以下六个主要任务:
建立并管理以各州为基础的信息共享和分析中心(ISAC)。
创建并运行一个先进的安全通信系统。
确定并评估用来减弱威胁、响应威胁和事后恢复的技术。
发起并完成一个培训、推广、技术转让和技术协助项目。
开发并共享一个州级的关键基础设施保护模型。
管理和操作NMCIAC。
为了迎接挑战并鼓励参加,NMCIAC为其成员提供了很多利益:一个入侵报警网络;一个只为成员开放的信息提供网站;用来游说工业界做出必要改变和改善的工具;培训讨论会,帮助各成员完成其各自职责;各成员自己开发的项目,可以在各自的组织内分别执行。
对于那些有兴趣通过合作来保护其关键信息系统的其他工业部门和州及地方政府实体来说,NMCIAC的成功是一盏指路的明灯。从NMCIAC中获得的经验能使社会的各个部门在关键基础设施的保障中受益。事实上,NMCIAC官员正在同维吉利亚州官员合作,以期在该州开发一个类似项目。
信息共享和分析中心能为工业界做什么
国家计划号召工业协会或集团建立工业范围内的计算机安全中心,称作信息共享和分析中心,这些中心将做到:
在各公司间就脆弱性、企图的攻击和非法入侵的性质做到信息共享;这些信息可以被中心“过滤”,防止人们知道是哪个特定公司遇到了计算机事件。
协调工业界的特殊的研发需求。
检查整个工业范围内的脆弱性和依赖性。
开发雇员教育和意识培养项目;共享雇员培训项目。
政府怎样帮助信息共享和分析中心
国家计划号召政府通过如下措施对信息共享和分析中心进行协助:
提供重要攻击的实时数据,对网络面临的威胁进行战略性评估,提供攻击技术的信息,提供脆弱性信息。
协调联邦和工业界在信息系统安全方面的研发,帮助满足市场驱动力的需求。
为教育和意识培养项目提供资源及其他支持。
为了培养工业范围的ISAC,对有关信息自由、责任和反托拉斯等问题的可适用法律做出必要的改变。
内容5:建设响应、重建和恢复能力
“……对破坏进行隔离并使其最小化……迅速恢复必需的能力。”
内容5旨在攻击进行的时候对其进行限制;使相关团体和机构保持其职能的连续性;制定恢复计划,以对付信息攻击。
就其规模来说,信息战攻击可能不会限于一个个孤立的事件。它们可能是在一个整个的工业或机构内发动,也可能出现于一个完整的经济部门、国家的一个地区,或者是国家本身。通过使用JTF-CND、FIDNet和工业集团的ISAC所提供的攻击数据,NIPC将和各联邦机构及私营部门合作,以确定正在发生的攻击的范围。
一旦一个大范围内的攻击得到确定,中心将与执法部门和其他机构协同工作,对攻击做出响应,包括向系统管理员建议执行一系列预定计划措施:
阻断可疑用户得以进入网络的通路。
实行特殊“防御状态”安全警戒。
针对攻击所采用的技术,应用新的安全软件“补丁”。
隔离网络的某些组成部分。
终止某些网络运行。
启用紧急事件下的接管系统。
与此同时,执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。我们鼓励私营部门和执法部门之间关于攻击响应行动多做协商,以免私营部门的行动对入侵调查造成不必要的阻碍,防止抹掉入侵者的属性特征甚至耽误对侵略者的起诉。
政府的目标以及我们对工业界的建议是,每个关键性信息系统都要准备响应计划,这些计划中要包括为如下响应行动所做的准备:迅速启用其他的防御措施(如更为严格的防火墙要求);在某些预定情况下关闭部分网络(通过企业级的管理系统);把最小化基本操作交由“干净”的系统运行;迅速重建受感染的系统。
在很多情况下,企业和机构的恢复计划只集中于或主要集中于物理破坏:洪灾、暴风雪或爆炸等使总部瘫痪的事件。在这些计划中,作为替代的总部将接替原总部的运行,仍继续把各种指令发往各公司或机构的信息系统网络中。现在这些计划中通常包括“备份”计算机数据库,用于总部系统不存在或无效的情况。
如今,恢复计划还必须能够应付所有或部分信息网络本身被破坏的情况。这时,一定要有替代的方法用来传送最小量的重要信息。专家组要立刻赶到以协助重建工作,包括分析导致网络瘫痪的软件错误以及设计替代方案等,还要负责网络重启。
在这个世纪之交,我们有可能遇到同Y2K有关的崩溃事件,可以创建Y2K信息协调中心来协调事件信息流。这个中心由政府和工业界的专家联合组成,并和国家信息中心(NIC)的系统合作。后者的职责是收集各部门的状态信息。
在PDD67中,总统指示每个联邦部门和机构在1999年底以前提交确保运营连续性的计划。这些计划要含有在PDD63中所述的任何紧急情况发生时确保运营连续性的措施。
联邦部门联络官将同各自对应的工业界合作,确保企业的恢复计划中也同时提及了信息攻击的重建。商务部内跨机构的基础设施保障办公室(CIAO)将发起一次有保险业和审计业代表参加的白宫会议,并同他们开展持续的对话,以促进对风险管理、操作建议以及衡量标准的理解。
内容5时间表如下:
内容6:为支持内容1~5,加强研究和开发
“信息技术正以互联网年的速度发展着,1个日历年的时间相当于4个互联网年。”
第6项内容系统地确立了实现这个计划所必需的研究要求和优先级顺序,确保了这些研究的资金来源,而且,该步骤中还建立了一个系统,用来确保我们的信息安全技术始终紧跟整个信息系统中的威胁的变化。
只依赖现有的技术,本计划前5步所要求的很多任务是无法有效开展的,甚至有些情况下全然不能执行。跨机构的关键基础设施协调组(CICG)已经建立了一套步骤来确定这个计划的技术要求。由科技政策办公室(OSTP)领导,研究和发展子工作组将与各机构和私营部门合作,以实现:
就信息安全研发的要求和优先级取得一致意见。
在联邦各部局中进行协调,确保各部门的研究预算要求得到满足,防止部门工作的浪费和重复。
与私营部门和学术研究员交流,防止联邦资助的研发与私营部门及学术界以前的、正在进行的和将要进行的计划发生重复。
确定在信息安全技术中,市场还没有投入足够或充分的研究工作的领域。
该过程始于1998年,在2000年的行政预算中,这些基础设施保护研究将花费5亿美元。这一过程中确定的优先研发的项目为:
支持大规模入侵检测监控网络的技术。
能够确定操作系统代码中恶意代码(陷门)的人工智能技术及其他方法。
在攻击或灾难中能够控制、阻止和驱逐入侵者并减弱破坏程度或恢复信息处理服务的方法。
可以增强网络可靠性、系统生存力、关键基础设施组件和系统乃至关键基础设施本身的稳健性的技术。
对基础设施响应进行建模的技术;确定互依赖性及它们的影响;定位主要的脆弱节点、组件或系统。
CICG的R&D子工作组在1999-2000年发起一系列会议。
CIGG的R&D(研发)子工作组正在发起很多讨论组来研究那些受关注的、横向的研发主题,包括:
入侵、恶意代码和异常行为检测(1999年2月22日-23日);
关键信息系统基础设施间的互依赖性(1999年8月11日-12日);
恶意代码(时间待定);
内部人员威胁(时间待定);
入侵检测(时间待定);
重建/恢复(时间待定)。
内容6时间表如下:
内容7:培训和雇佣足够数量的信息安全专家
“我们所没有的恰恰是经过专业培训的人。”
内容7概览了联邦政府和全国范围内信息安全专家的数目和所需的技术,采取措施来培训现有的联邦IT雇员,并征募和教育其他人员来弥补这种人才的亏空。
有证据表明,在全国范围内,我们面临着熟练的IT人员越来越供不应求的危险。尤其是在信息系统安全人员这一子集里,这种状况更加严重。在联邦政府内部,熟练的信息系统安全人员的缺乏也发展成了一种危机。雇员的匮乏反映了大学研究生和本科生的信息安全课程实在太少。为了解决这些问题,我们将调节并依靠国防部、国家安全局、CIO委员会和各种联邦机构的工作。
FCS(联邦计算机服务)的培训和教育活动引入了以下5个项目来帮助解决联邦IT安全人员缺少的问题。
完成人事管理办公室IT职位研究:该研究将有助于确定联邦政府内IT职位的数量、这些职位所要求的主要能力以及这些职位所需的培训和认证。
发展信息技术优秀中心(CITE):这些中心将培训和认证现有的联邦IT人员,帮助他们在整个职业生涯中维持其技术水平。这些中心还将吸取国防部和其他联邦机构在这个问题上的重要项目成果。
创立SFS(服务奖学金)项目,从而招募和教育下一代联邦IT雇员和安全管理员:这个计划将每年资助300个学生,帮助他们完成在信息安全领域的本科或研究生学业。作为偿还,学生在毕业后将在联邦IT岗位上服务一段固定的时间。计划还将包括一项很有意义的暑期工作和实习内容。SFS项目的一项主要工作内容是确定参与项目的大学,并对这些大学里的信息安全职员和实验室发展进行帮助。
发展高中招募和培训活动:这一项目将确定出有潜力的高中生参加暑期工作和实习,使他们熟悉联邦IT工作标准,为将来到联邦IT岗位就业做准备。该项目还将检查那些旨在提高中学生计算机安全意识培养的可能方案。
开发并使用联邦INFOSEC意识培养课程:该项目旨在确保整个联邦岗位都在发展计算机安全意识教育。它将利用几个杰出的联邦机构意识培养项目。
内容7时间表如下:
内容8:加强推广,使美国人民知晓加强信息安全的必要性
“知前行后。”
第8项内容向公众解释现在就采取行动的必要性,在灾难性事件到来之前,提高我们防御处心积虑的计算机攻击的能力。
保卫美国的网络空间需要所有美国人——商业领袖、教育和其他私营机构、政府(联邦、州和地方)以及普通公众都行动起来。作为国家计划所阐述的很多行动的基础,我们要对信息系统所面临的新威胁以及行动的必要性具有一定的理解和认识。
到目前为止,还没有“电子珍珠港事件”来唤起公众对行动必要性的认识,也没有太多的美国人领会到我们的经济和国家安全对计算机和信息系统的依赖程度——这些系统的功能通常被日常生活隐蔽掉了。
结果,我们不得不做很多意识培养方面的广泛工作。在初始阶段,至少有以下3项工作要做:
通过计算机公民项目,对美国儿童进行计算机道德和正确使用互联网及其他通信工具的教育。
通过关键基础设施安全合作组织(PCIS)项目,打造美国企业领导和信息技术领导的合作联盟。在这个项目中,我们都认识到了在私营部门和政府中采取特别措施以提高我们国家的计算机安全的必要性,并在全国范围内认可的项目中实现合作。
确保联邦雇员本身能够意识到信息系统安全的必要性。
过一段时间,还将加入第4项工作:
基于以上的工作,把我们的意识培养活动扩展到其他私营组织和普通公众中去。
这些行动构成了我们保卫美国的信息基础设施的基础。
内容8时间表如下:
内容9:采用立法和拨款手段,支持内容1~8
“正如政府必须和私营工业形成合作联盟一样,行政部门和国会也必须紧密合作,共同保卫我们国家的关键基础设施。”
第9项内容为支持其他内容提出的活动提供了法律框架。这个活动要求联邦政府内部,包括国会同私营工业紧密合作。
总统已经提出了一些行动建议,并指示:联邦各部局要努力确保自身关键系统的安全,还要同私营部门建立合作联盟以保护我们国家的基础设施。很多类似活动得到了国会的支持,包括在2000年预算中拨款17.37亿美元。
国会议员和各委员会的行动表明,他们也已意识到了我们国家的关键计算机系统所面临的潜在攻击威胁,而且他们还预先采取了很多保护性措施。我们正在评审现有的法律以及先前引入的立法提议,并正在为提高关键基础设施安全性制定很多新的提议。
正如其他项内容中所述,我们需要新的法律以建立工业和政府合作的基石。为了推动私营部门信息共享和分析中心(ISAC)的建设并促进私营部门和政府间的信息共享,在涉及同私营部门共享信息的事务时,我们必须有能力保护敏感的信息并缓解潜在的责任和反托拉斯问题。
为了确保这篇国家计划中某些行动的有效开展,我们正在调查建立新的法律机构的必要性。我们时刻考虑着保护公民自由和隐私的绝对需求,因此将制定出法律框架来提高保护关键系统的全面运行能力。我们需要国会支持总统为内容1~8所划拨的预算资金。国家计划中各个时间表内的任务的成功实现也依赖于资金提供的级别。
我们期待着继续和国会进行建设性的对话,讨论保护关键系统的最好的方法和机制,并敦促其积极参与这个国家计划未来版本的制定。
内容10:在计划的每一步骤和每一部分中,要确保美国公民的自由权、隐私权和私有数据保护权得到全面保障
“……人民的人身权、不动产权、著作权和财产权应该得到保障……”
第10项内容与其他几项融为一体,它确保我们在保护关键计算机系统时的所作所为都符合宪法和其他法律的规定。
保护我们的关键基础设施是很重要的,但保护公民的自由同样重要。国家计划中所有的提议与现有法律和隐私期望完全一致。这篇国家计划要求每年召开一次关于计算机安全、公民自由和公民权利的公共-私营讨论会,以确保国家计划的执行者始终关注公民的自由,并且其计算机安全提议要由政府内外的民权专家和感兴趣者进行讨论。
国家基础设施保障委员会(NIAC)由来自联邦政府之外的参与者组成,它也将每年对计划执行中有关公民自由权、隐私权、私有数据保护权的活动进行审查。
国家计划在设计时融入了《法律第四次修正案》规定的隐私保护要求。政府检查公民计算机或电子通信内容的任何举动必须与现有法律,如《电子通信隐私法》相一致。公民同敏感性的政府资产,包括政府Web站点打交道时,应该被明确告知对他们行动的监视是否是他们能够访问这些资产的先决条件。国家计划要求建立一个相关系统来确保所有受监视的敏感资产都向访问者提示了必要而清楚的警告。
美国政府已经开始了同私营部门的合作,为隐私保护制定强制性规则,以确保Internet用户已被明确告知他们的哪些个人信息已被他人收集以及这些信息将做何种用途。要给用户提供选择,由他们自己决定其个人信息的用途,从而确保其数据的安全,为合理访问信息提供条件。还要给他们提供求助机制,当他们的个人信息被非法滥用时能得到帮助。
内容10时间表如下:
