6．第2级：大型机构

本级的战略目标是鼓励并帮助大型机构建立安全系统。可以通过包括以下内容在内的自愿性行动实现该目标：

提升责任级别；

在适当的情况下建立负责网络安全的公司安全委员会；

实施A.C.T.I.O.N.S．和最佳实践；

讨论无边界网络、大型机安全、即时消息和其他技术面临的挑战。

问题与挑战

能够支持美国的长期经济发展并对网络攻击具有抵御能力的网络基础设施的建立在很大程度上依赖于大型机构的安全。大型机构的网络运行不是孤立的，而是提供了驱动美国经济发展的常规性数据流。大型机构的网络所具有的抵御能力能够使美国在遭受网络攻击的情况下获得保护、检测、响应与恢复能力。只有通过大型机构运营商彼此间的合作，才能够获得可驱动国家经济发展的网络攻击抵御能力。

通过确保安全已构成了其网络体系结构、网络运行与管理的一个组成部分，大型机构在获得网络攻击抵御能力的过程中具有极其重要的地位。简化了美国经济运行方式的大规模网络既是国家强大的基础，但同时也使国家的经济发展具有脆弱性。

对于商务活动实施网络空间攻击的经济后果远非影响具体某个公司的近期运营情况，而是能够通过损害知识产权或敏感性的研究成果对宏观经济造成长期损失。不仅如此，安全脆弱性还能够使客户数据面临风险，侵害机构及其合作方的信心与信任关系。如果不加以补救，大型机构网络的脆弱性能够给该机构带来严重损失，并可能被利用，危害该机构范围之外的其他系统，甚至危害基础设施的安全。

网络空间安全是大型机构如今所面临的最复杂挑战之一。技术和政策挑战、全球范围的互联和基于Internet的商务活动都使企业安全的获得与管理复杂化。网络安全是一个变化和动态的目标。不存在可以实现机构安全的一劳永逸的解决方案或特殊技术。事实上，在目前的联网环境中不可能存在100%的安全。

在机构范围内讨论网络空间安全不仅仅是一个技术问题，更多的是一个管理问题。网络安全所暴露的风险可以通过高层领导和机构董事会的参与得到管理。网络空间安全可能要求机构董事会的密切关注。仅在安全事件发生之后考虑安全问题将使企业的商业活动、客户甚至国家面临风险。与之相对照，对于网络空间安全的有效监视则能够促进企业的发展、生产力和股东的信心。

战略讨论

（1）提升责任级别

机构董事会在机构的结构系统中担任着重要角色，股东则拥有机构的所有权。机构董事会向股东负责，经理则向机构董事会负责。将网络空间安全责任提升到机构董事会的级别后，会在整个机构范围内产生显著的效果。通过询问一系列关于机构的安全结构与控制是否足够有效的问题，董事会能够更好地了解该机构的状况。为了更好地了解机构网络空间安全的规模、范围和有效性，某些董事会成员应该通过适当的董事委员会要求下属定期提交安全管理报告。

美国商务部的关键基础设施保障办公室（CIAO）是负责与私营部门合作的机构，该机构将促使高级经理与部门主任意识到信息安全管理与保障的重要性。CIAO与内部审计师协会（IIA）已经开始合作进行培训，以增强人们对在机构使命的意义下理解信息技术安全性重要性的认识。为了在全国范围内实现信息共享，IIA与全美公司董事联合会（NACD）、美国注册公共会计师协会和信息系统审计与控制协会进行了合作。这些工作强化了机构董事会成员与高级经理对于他们在维护机构信息资产安全方面担负重要责任的意识。

（2）成立公司安全委员会

目前各种各样的安全威胁要求人们进行新思考并采取新的应对措施。例如，某些大型机构可能考虑建立由机构内部承担安全相关责任的关键成员所组成的机构安全委员会。负责风险管理与承担安全相关责任的机构官员是该委员会的核心成员。这些官员包括：

首席运行官（COO）；

首席信息官（CIO）；

首席技术官（CTO）；

首席信息安全官（CISO）/首席安全官（CSO）；

首席风险官（CRO）；

隐私官；

负责物理安全的机构官员。

这些机构官员将通过整合现有计划，确保机构的网络空间安全被分解并加入到了机构的运行过程之中。由于网络安全维护过程中的一次失败即可导致机构的知识产权、客户信息和商业运行受损，关键决策的制定者和主要技术官员必须进行合作。不仅如此，他们还应在发生危机的情况下为CEO提供建议，通过协调应急计划与持续性计划的执行对网络安全事件做出响应。大型机构对于网络安全的控制能力对于宏观经济甚至国家安全具有重要的影响。

（3）A.C.T.I.O.N.S．与最佳实践

实现机构的完整性、可靠性、可用性和保密性可以采取的A.C.T.I.O.N.S．有多种，详见下表：

（4）无边界网络

大型机构安全面临的最主要挑战之一来自于无边界的机构网络。对于网络与B2B商业运行模式的迅速采用改变了机构原有的边界定义明确的网络概念。如今，机构的互接程度非常密切，以至于当机构彼此进行合作时，具体操作人员可能都是些虚拟工作人员。虚拟工作人员指的是彼此通过网络进行交流，而业主并不知道这些人员的具体方位的机构工作人员。机构的管理计划不包括对于这些交流的记录，而这些交流通常发生在契约一方允许访问从属契约方的情况下。这种独特的交流方式正迫使机构安全管理发生着根本性的改变。这种改变又进一步要求针对安全管理进行新的研究、采用新的安全管理技术和新的安全管理方法。

（5）大型机

大型机将继续在大型机构中扮演重要角色。然而，一般安全策略和实践将主要被应用于笔记本电脑、网络服务器、网络设备、Internet和普适性计算设备，而将大型机排除在外。大型机安全维护人员现在得到了新的机会，因为大型机技术和网络接入方式的改进带来了致使现有大型机安全策略与实践失效的新风险和新的脆弱性。不仅如此，合格大型机审计的频率与力度已经不再适用于新出现的威胁。组织和政府机构必须对其安全策略、安全实践与安全技术进行革新，使之切实有效并能够应对新的安全威胁。

（6）即时消息

即时消息程序给大型机构的系统带来了又一个脆弱性。例如，该程序能够绕过防火墙和病毒扫描软件，允许恶意代码、非授权入侵的存在，以及允许重要数据在机构系统内部甚至机构外部的传输。机构应该调整其安全政策，以便应对即时消息程序所带来的风险。

（7）内部威胁

大型机构的系统上大约70%的网络攻击来自可信的内部人员。这是具有对机构信息系统和网络进行合法访问权限的受信任人员。他们的某些行为可能对机构构成非常严重的威胁。内部威胁来源于恶意雇员的有意破坏行为，或者某个粗心的或安全意识不够强的雇员的无意行为。无论威胁的产生是有意还是无意的，结果是一样的，即破坏系统、致使系统瘫痪或造成数据丢失。有效防范内部威胁对安全策略、安全实践和持续性的培训均提出了要求。能够减少内部威胁的三个一般性策略包括：（1）访问控制；（2）责任分离；（3）有效的策略实施。

糟糕的访问控制会使个人或团体有机会为获取个人利益或者从事间谍活动而错误地修改、破坏或泄露敏感数据或计算机程序。

责任分离对于保护机构信息系统完整性具有重要作用。不应有人对一个系统享有完全的控制权。组织成员之间不正确的计算机责任分配将明显增加安全风险。

有效的机构安全策略实施极具挑战性，并且要求定期审计。新出现的自动化软件能够简化机构安全策略的实施。这些程序允许以人类语言的方式输入策略，将其翻译为机器代码，继而借助数据包的形式监视出入网络的所有数据传输。这类软件能够检测并阻止对于网络和基于网络的信息资源的错误使用。