奥巴马总统上任之后,对网络安全,尤其是网络空间安全(Cybersecurity,或者Cyberspace Security)问题十分重视,包括高调建立打网络战(cyberwarface)网络司令部,以及为网络战谋取国民认同而树立的中国网络间谍(cyberspy)假想敌。而就在过去的十月份,奥巴马总统搞了一个网络空间安全意识月活动,参见白宫的博客

而就在最近,美国的NSA(国家安全局)耗资15亿美元在美国盐湖城附近开始建立网络空间安全数据中心。这个占地面积100万平方英尺的数据中心将作为布什总统在任期间启动的高度机密的CNCI(全面国家网络空间安全行动计划)的主节点。这项耗资将达数十亿美元的CNCI旨在提升联邦政府在网络空间安全相关方面的感知能力和事件响应能力。

由于CNCI行动计划的高度机密性,即便是美国民众对之也知之甚少。不过,根据一些已经透露出来的信息显示,其中一个项目是为了降低联邦政府机构遭受互联网威胁的可能性,未来将减少与合并这些机构的互联网出口连接数量。该项目计划建立一个所谓的TIC(可信互联网连接)机构,然后让各个联邦机构都通过这个TIC连接到互联网,从而取消各个联邦机构自身的互联网出口,降低安全威胁。根据TIC计划,在2009年末美国联邦政府机构的互联网出口数量将从超过4300个下降到100个左右。
尽管有人可能会认为这样会导致单点故障,或者TIC一旦被攻破将造成更为严重的破坏,但是采用较为集中的方式有助于将安全防范的精力集中起来,因为安全防御的资源是有限的,如果分散开来,更难组织防御,并且由于这些网络内部也是连接在一起的,一个机构被攻破,其他机构也会遭殃。因而,是集中还是分散的问题,我认为至少集中没有比分散更糟。

而另一项CNCI项目则涉及升级和翻新政府的网络监控系统,建立一个叫做“爱因斯坦”的网络监控系统,使得联邦政府具备更快速地对网络威胁进行检测和响应的能力。

此外,在美国的国土安全部方面,也于上周末在弗吉尼亚阿林顿开始启动其新建的“国家网络空间安全和通信集成中心”(NCCIC,National Cybersecurity and Communications Integration Center)【注:有的媒体翻译为国家数字安全与通讯整合中心,这是台湾方面翻译的,我认为不妥】。该中心总投资约900万美元,将24小时全天候监控涉及基础网络架构和美国国家安全的网络威胁。据报道,NCCIC的主要职责是联络美国国家通讯协调中心(NCC)和美国计算机紧急情况反应小组(USCERT),帮助他们实现协同工作。

其实,无论是美国国家安全局、中央情报局、FBI,还是国土安全部,都在投入大量资源到网络空间安全(Cybersecurity)上,这已经成为了美国的国家安全战略的重要部分。

就在刚刚结束的CERT/CC 2009年会上,沈昌祥院士还以美国信息安全保障为主题,对美国的网络空间安全的国家战略进行了总结分析,以期给中国信息安全工作,尤其是电子政务安全提供有益的启示。以下是这个报告的主要内容摘录:
一、美国将网络空间安全由“政策”、“计划”提升到国家战略。

美国将网络安全列入国家计划开始规划,还认为不够又提升为国家战略。美国在克林顿政府时期就把建设信息保护作为根本政策,同时发现了很多的网络安全问题。

1998年5月,克林顿政府发布了第63号总统令(PDD63):《克林顿政府对关键基础设施保护的政策》,成为直至现在没有政府建设网络空间安全的指导性文件。

2000年1月,克林顿政府发布了《信息系统保护国家计划V1.0》,提出了没有政府在21世纪之初若干年的网络空间安全发展规划。

2001年10月16日,布什政府意识到了911之后信息安全的严峻性,发布了第13231号行政令《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会”,简称PCIPB,代表政府全面负责国家的网络空间安全工作。委员会由克拉克担任主席。

委员会成立以后,系统地总结了美国的信息网络安全问题,提出了无数个问题向国民广泛征求意见。征求意见以后,马上颁布了《保护网络空间的国家战略》,这个《战略》很有意思,主要从系统角度加以分辨保护,提出分为五级:第一级家庭用户与小型商业;第二级:大型企业;第三级:关键部门;第四级:国家的优先任务;第五级全球。

2003年2月,在征求国民意见的基础上,发布了《保护网络空间的国家战略》的正式版本,对原草案版本做了大篇幅的改动,重点突出国家政府层面上的战略任务,这是一个非常大的跨越。

新的《保护网络空间的国家战略》提出了三大战略目标:

一是预防美国的关键基础设施遭到信息网络***;

二是减少国家对信息网络***的脆弱性;

三是减少国家在信息网络***中遭受的破坏,减少恢复时间。

五项重点任务:

一是国家网络空间安全响应系统;

二是国家网络空间威胁和脆弱性减少项目;

三是国家网络空间安全意识和培训项目;

四是国家网络空间安全保护政府网络空间的安全;

五是国家安全和国际网络空间安全合作。

2005 年4月14日,美国政府公布了美国总统IT咨询委员会2月14日向总统布什提交的《网络空间安全:迫在眉睫的危机》的紧急报告,对美国2003年的信息安全战略提出不同看法,指出过去十年中美国保护国家信息技术基础建设工作是失败的。短期弥补修复不解决根本问题。GIG耗资一千亿美元,而安全问题没有解决,仍是漏洞百出。(他们认为是不能用的)

当时,提出了四个问题和建议:

1、政府对民间网络空间安全研究的资助不够,建议每年拨NSF九千万美金;

2、网络空间安全基础×××团体规模小,七年时间团体规模扩大一倍;

3、安全研究成果的成功转化不够,政府加强在技术转让方面与企业的合作;

4、缺乏政府部门间协作与监管是安全对策无重点和无效率的根源;

5、建议成立“重要信息基础设施保护跨部门工作组”。

2006年4月,信息安全研究委员会发布的《联邦网络空间安全及信息保护研究与发展计划(CSIA)》确定了14个技术优先研究领域,13个重要投入领域。

为改变无穷无尽打补丁的封堵防御策略,从体系整体上解决问题,提出了十个优先研究项目,包括:认证、协议、安全软件、整体系统、监控检测、恢复、网络执法、模型和测试、评价标准、非技术原因。

美国国防部2007年2月4日公布的《四年一度防务评审》报告非常关注网络空间安全,提出加强网络空间安全研究作为未来重点发展的作战力量之一。

报告指出,网络不仅是一种企业资产,还应作为一种武装系统加以保护,如同国家其他的关键基础设施那样受到保护。针对当前和未来可能的网络***,报告重点提出了“设计、运行和保护网络”,确保联合作战的需求。

美国总统签署命令,扩大网络监控范围。

美国总统2008年1月8日签署一项扩大情报机构监控因特网通信范围的联合保密指令,以防御对联邦政府计算机系统日益增多的***,这项指令授权以国家安全局为首的情报部门监控整个联邦机构计算机网络。指令的具体内容保密。这项行动将花费数十亿美金,资金将列入2009年财政预算中。

国土安全局将收集和监控***的数据,配置防御***和加密数据的技术。另外国土安全局还将致力于把政府因特网端口从2000个减少至50个。

同时,为了进一步加强政府核心部分的防范,发布了总统54号令,这个令是保密的。我们了解到主要是“设立了综合性国家网络安全计划”,主要对政府系统加以进一步地防范。还拓展了国家安全局对政府信息系统安全的主管权力。

二、美国网络空间安全当前的战略

网络空间指全球互联的数字信息,也是对通信技术设施的总称,称为四大空间以外的第五空间。

布什总统在信息安全上弄得焦头烂额,他的任期快到了,也解决不了问题,他希望下一届总统解决这个问题。因此,就成立了《第44届总统网络空间安全委员会》,经过一年半的工作,形成了《提交第44届总统的保护网络空间安全的报告》。

报告引言:暗战,以二战时期“阿尔发和英格玛”事件为警示,提出:网络安全是美国在一个竞争更加激烈的新国际环境中面临的最大安全挑战之一,美国处于英格玛被破境地。

报告认为,过去20年来,美国一直在努力设计一种战略来应对这些新型威胁和保护自身利益,但始终都不算成功。无效的网络安全以及信息基础设施在激烈竞争中受到***,削弱了美国力量,使国家处于风险之中。

报告提出了十二项、25条建议,分别从制定战略、设立部门、制定法律法规、身份管理、技术研发等方面进行了阐述。

尤其是第一条,建议设定一条基本原则,即网络空间是国家一项关键资产,美国将动用国家力量的所有工具对其施以保护,以确保国家和公众安全、经济繁荣以及关键服务对美国公众的顺畅提供。

报告认为:仅仅靠自愿采取行动是远远不够的。美国必须评估风险并按重要性对各种风险进行等级划分,在此基础上制定出保护网络空间的最低标准,以确保网络空间的关键服务即便在美国遭受***的情况下也能不间断地工作。

提出12项建议:

1、制定一项全面的网络空间国家安全战略

2、构建网络空间安全机构

3、与私营部门的合作伙伴关系

4、网络安全法规

5、保护工业控制系统和SCADA(监督、控制和数据采集系统)的安全

6、通过采购规则提高安全性

7、身份管理

8、法律法规现代化

9、修订联邦网络空间安全管理法案

10、消除民用系统与国家安全系统的区别

11、网络教育和劳动力发展培训

12、网络空间安全研发

(二)奥巴马政府的战略举措

2008年12月,为了加深奥巴马政府对信息安全现状的认识,美国开展了为期2天的“模拟网络战”,总计有230名来自军方、政府和企业的代表参与了这次演习活动。

演习结果认为,美国在网络***前抵抗能力很差,这为奥巴马政府敲响了警钟。

2009年5月26日,发布《总统关于白宫国土安全和反恐组织的声明》,宣布一种将增强国家安全和国家保障的新方法。

主要决定重点解决机构问题

对白宫官员进行全面整合,以支持国家和国土安全。成立“国家安全参谋部”,由国家安全协调官领导,统一支持国土安全委员会和国家安全委员会。

在国家安全参谋部中新增人员和职务,用以处理21世纪所面临的新挑战,包括网络安全、大规模杀伤性武器、恐怖主义,跨国界安全,信息共享和弹性政策,这些人员和职务具有对事件进行预防和响应的职能。

2009年2月9日,奥巴马指示美国国家安全委员会和国土安全委员会负责网络空间事务的代理主管梅利萨?哈撒韦主持组织对美国的网络安全状况展开为期60天的全面评估。

经过几个月的工作,2009年5月29日,奥巴马在白宫东厅公布了名为《网络空间政策评估——保障可信和强健的信息和通信基础设施》的报告,并发表重要讲话。

奥巴马在演讲词中强调,美国21世纪的经济繁荣将依赖于网络空间安全。

他将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项。”

报告全长76页,除前言、内容提要、简介外,正文包括6个章节,分别是:

1、加强顶层领导。通过以下事项来加强对网络空间安全的领导:设立一个总统的网络空间安全政策官员和支持机构;审查法律和政策;加强联邦对网络空间安全的领导力,强化对联邦的问责制;提升州、地方和部落政府的领导力。

2、建立数字国家的能力。提升公众的网络安全意识,加强网络安全教育,扩大联邦信息技术队伍,使网络安全成为各级政府领导人的一种责任。

3、共担网络安全责任。改进私营部门和政府的合作关系,评估公私合作中存在的潜在障碍,与国际社会有效合作。

4、建立有效的信息共享和应急响应机制。建立事件响应框架,加强事件响应方面的信息共享,提高所有基础设施的安全性。

5、鼓励创新。通过创新来解决网络空间安全问题,制定全面、协调并面向新一代技术的研发框架,建立国家的身份管理战略,将全球化政策与供应链安全综合考虑,保持国家安全/应急战备能力。

6、行动计划。提出了近期行动计划10项和中期行动计划14项。

此外,美国政府发布的这份报告还在附录回顾了现代通信技术在美国的发展情况以及信息安全相关法律和法规框架的制定情况。

报告强调:

1、国家现在处于一个十字路口;

2、现状已不能再接受;

3、必须从今天开始全国性的网络空间安全对话;

4、如果孤立地工作美国不可能成功地确保网络空间的安全;

5、联邦政府不能完全委托或取消其保护国家免受网络事件或事故影响的角色;

6、与私营部门合作,必须定义下一代基础设施的性能和安全目标;

7、白宫必须领导前进的道路。