美国智库CSIS为特朗普提供未来五年网络安全战略建议报告
https://v.qq.com/txp/iframe/player.html?vid=i036417hibr&width=500&height=375&auto=0
E安全1月9日讯
2016年11月9日,美国共和党总统候选人特朗普在美国总统选举中战胜民主党总统候选人希拉里,将成为美国第四十五任总统。美国国内规模最大的国际问题研究机构之一的美国战略与国际研究中心(简称CSIS)的网络政策专责小组近期发布了其最终报告《从意识到行动——第四十五任美国总统安全议程》。
网络安全如今已经不再是政策制定工作中的“全新领域”。自CSIS于2008年发布第一份报告成为奥巴马政府早期网络安全政策发展的蓝图以来,CSIS一直在为新一届美国总统领导班子提供网络安全相关建议。从2014年年末开始,在美国民主党参议员谢尔顿·怀特豪斯与众议院国土安全委员会主席迈克尔·麦克考尔的指导下,来自CSIS网络政策专责小组的两党优秀网络安全专家们共同制定出这样一份面向下一届美国政府领导班子的政策、组织与资源可行性建议方案。
CSIS为下一届特朗普政府领导班子提出的网络安全举措性建议仍然延续一贯的基本诉求:建立一套安全而稳定的数字化环境,用以支持经济的持续发展,同时保护个人自由与国家安全。实现这些目标的相关要求亦基本保持 38 38151 38 14745 0 0 2545 0 0:00:14 0:00:05 0:00:09 3211不变:以白宫为核心选定中央领导方向,建立并实施全面的协调性方法,并真正将网络安全保障机制贯彻到各个不同机构当中。
CSIS表示尽管在过去十年里美国对于网络安全的关注程度迅速提升,但美国目前仍然身处危险之中,这意味着下一届特朗普政府仍有大量工作要做。之所以存在风险,是因为美国在本质上仍然缺少抵御能力、不少国家拒绝合作对网络犯罪分子进行起诉,亦有多国不愿承受由限制网络间谍活动或者军事性网络行为所带来的利益损失。
美国民主党参议员怀特豪斯表示,“重要的是,新一届政府需要了解网络威胁的影响范围与严重程度,同时做好准备应对并解决这一快速演进的挑战。本报告提供了大量建议,将有助于政府机构与私营部门共同努力,从而提升我们整个国家的安全性水平。”
众议员麦克考尔则指出,“理想的网络安全水平对于我们的国家与经济安全至关重要。我们的建议能够帮助新一届政府整顿并建立未来五年内的网络安全议程。”
东海岸联席主席凯伦·埃文斯表示,“将了解安全现状的专家们聚焦起来能够帮助我们建立起针对联邦政府所面临之各类问题的务实且可行建议。”
西海岸联席主席萨米尔·巴罗特拉指出,引入硅谷立场能够以更为透明的方式在重大新方向层面体现私营部门的作用、劳动力技能以及漏洞削减效果。
CSIS网络政策专责小组的建议将帮助美国联邦政府实现信息网络安全强化、关注私营部门数据安全领导能力、建立攻击者追责机制并鼓励国内各相关组织机构提升网络安全水平。其中的主要建议包括:
加快用于保障关键性基础设施与服务的相关举措,改善“网络安全习惯”。建立奖励机制,并以积极心态对其进行持续调整。作为相关举措中的组成部分,美国政府需要改进身份认证能力以及政府机构所使用之托管服务及其它服务项目的安全性。
敦促企业立足董事会及高管层面将网络安全与数据保护作为优先事务。
发现各类需要由联邦政府解决的资源问题,例如研究或者劳动力发展需求,并根据实际情况将部分问题交由私营部门解决。
加强政府网络安全水平,精简白宫行政机构,建立起专门的高层办公室以致力于推进联邦政府网络安全建设,同时明确国防部及其它机构在这方面事务中的作用。在网络安全保障工作中,强大的国土安全部将发挥核心作用,因此新一届政府必须通过提供更多资源、明确网络安全任务或者建立新的网络安全机构的方式为国土安全部提供助力。
调整国际战略,强调与友好国家建立伙伴关系以对抗共同的敌人; 同时提高自身防御能力,利用一系列非军事行动性应对对策阻止攻击者之恶意行为。
显著提长高层人士对网络犯罪活动的关注,同时建立国际合作机制以打击僵尸网络及高复杂度金融犯罪活动,并对不予合作的国家采取惩罚性措施。
在《2015全球智库报告》中,CSIS是一家具有保守色彩的重要战略和政策研究机构,素有“强硬路线者之家”和“冷战思想库”之称,在智库排名中位列全美第三。成立50多年来,CSIS以发挥政策影响力为宗旨,以战略问题为研究重点,致力于为世界各国领袖提供战略观察、为各国及全球问题的提供政策方案。近年,CSIS加强了对亚太、中国和中国台湾研究,在对外政策方面的主张较前温和,是对美国共和党政府具有重大影响力的思想库之一。E安全(微信公众号E安全)也秉承“全球网络安全新传媒”的专业素质,率先为各位国内读者译制了CSIS发布的这份《从意识到行动——第四十五任美国总统安全议程》报告执行摘要的中文版本:
执行摘要《从意识到行动——第四十五任美国总统安全议程》中文版
本份报告列出了新一届政府接下来可资采用以建立更佳网络安全态势的政策、资源与组织机制。美国国家性网络安全保障方案的基本目标仍然保持不变:建立一套安全且稳定的数字化环境,用以支持经济持续增长,同时保护个人自由与国家安全。实现这些目标的相关要求亦基本保持不变:以白宫为核心选定中央领导方向,建立并实施全面的协调性方法,并真正将网络安全保障机制贯彻到各个不同机构当中。其中相当一部分目标自2008年第一份建议性报告发布起来已经得到相当程度的实现,新一届美国政府应当以此为基础进一步建立并完善以下相关工作:
调整国际战略,强调与友好国家建立伙伴关系以对抗共同的敌人; 同时提高自身防御能力,利用一系列非军事行动性应对对策阻止攻击者之恶意行为。
显著提升高层人士对网络犯罪活动的关注,同时建立国际合作机制以打击僵尸网络及高复杂度金融犯罪活动,并对不予合作的国家采取惩罚性措施。
加快用于保障关键性基础设施与服务的相关举措,改善“网络安全习惯”。建立奖励机制,并以积极心态对其进行持续调整。作为相关举措中的组成部分,美国政府需要改进身份认证能力以及政府机构所使用之托管服务及其它服务项目的安全性。
发现各类需要由联邦政府解决的资源问题,例如研究或者劳动力发展需求,并根据实际情况将部分问题交由私营部门解决。我们并不需要网络版本的“曼哈顿计划”。
加强政府网络安全水平,精简白宫行政机构,建立起专门的审计总署办公室以致力于推进联邦政府网络安全建设,同时明确国防部及其它机构在这方面事务中的作用。在网络安全保障工作中,强大的国土安全部将发挥核心作用,因此新一届政府必须通过提供更多资源、明确网络安全任务或者建立新的网络安全机构的方式为国土安全部提供助力。
下一届政府领导班子应当遵循两项基本指导原则:建立对国外攻击者的后果追责机制,同时建立面向国内安全人员的激励性制度。建立网络犯罪、间谍活动及网络恶意攻击的后果追责机制能够有效降低安全风险(特别是配合友好国家间的合作伙伴关系)。由于安全风险无法被彻底消除,因此要提升网络安全水平,我们还需要提升关键性基础设施的安全性标准,同时通过游说、税收政策、监管以及投资帮助一般性网络参与者实施改善性举措。这些任务需要配合一定程度的额外资源,但目前资源并非阻碍网络安全水平提升的主要矛盾。在这方面,主要矛盾一直体现为混乱现状——包括政府职能与管理意愿的缺失。
向下届政府当局的建议
华盛顿特区与硅谷两支团队共整理出十四份工作文件与二百二十项具体建议。以下为各项建议的相关概念:
I. 政策
网络安全环境已经发生转变。目前世界上已经出现多个足以打击美国影响力及信心的挑战者。俄罗斯将网络作为权力实现工具的常态化作法令人震惊且担忧。一系列重大网络安全事件——包括朝鲜与伊朗分别针对索尼与金沙赌场的入侵活动,以及中国黑客对于美国人事管理办公室(简称OPM)的入侵——反映出各国利用网络工具对我国实施打击的意愿。国际安全形势的不断恶化,意味着新一届政府班子将面临更为猖獗的网络犯罪与间谍活动、个人信息与企业数据遭遇威胁、政治性网络恶意活动的发生机率提升且关键性基础设施面临遭受攻击甚至破坏的风险。面对如此严重的潜在风险,美国需要立足国内与国际制定一系列响应性举措。
国际战略
多年以来,全球性网络安全保障战略一直面临着严重局限性。我们只能从独裁国家处获得极为有限的网络规范相关协议。对方的利益在于保护自身主权并减少信息技术所带来的政治及军事性威胁。这严重约束了网络规范协议在降低风险方面的适用范围。相比之下,新一任美国总统将有机会通过制定协议以建立更为强大的国际化网络安全管理制度,并将更多友好的民主国家吸引至这一同盟当中。任何复议部分内容都必须考虑建立起更为正式的实施方法——可能包括建立新型机构或者相关制度——从而营造安全且稳定的网络空间。
与中国的网络安全往来经验表明,对方的行为很可能改变风险环境,并最终影响美国的对应行动。事实上,此前两届美国政府一直面对着很难找到有效威慑性政策的困扰,而其试图使用军事力量介入的行为并未取得良好收效。最为有效的威慑行动不应涉及军事、制裁或者威胁行为、起诉、报复乃至任何动用武力的作法。美国能够通过非军事性方式将反应传达给对方获得收益。需要注意的是,即使采取这类改进性核威慑政策作为回应,包括明确宣示政策及广泛的应对性方案,仍有部分敌对势力不会因此停止网络恶意行为。这意味着我们需要在网络防御领域做出更多改进性工作,但这同时亦会导致美国与俄罗斯乃至中国之间爆发更严重的问题。
以更为自信的方式回应网络犯罪
网络犯罪活动已经成为一种广泛问题。其跨国特性意味着只有国际间合作才能对其加以有效反应。但仍有部分国家明确拒绝合作。新一届美国政府需要制定惩罚措施,因为现有合作机制的过时性已经被事实所证明。布达佩斯网络犯罪公约并不能真正控制那些反对签署这一未被其纳入谈判,并希望继续利用网络犯罪作为政治工具及新型权力保障手段的国家。我们需要提供新型谈判工具以打破布达佩斯公约面临的僵局,其需要保留公约的优势,但同时更多吸引巴西、印度等国家的参与。虽然反对意见认为任何变更都会削弱该公约的公信力,但这仍然要好于如今公约本身得不到应有遵守的现状。
保护全球数据流
网络安全的一大审视角度在于,我们正在建立一套安全的数字化经济结构。数据流已经成为这一经济结构中的“货币”,而下一届美国政府需要与其它国家合作以确保数据流的自由性与安全性。这要求我们就国际网络安全、隐私与数字化贸易进行规则性(也许包括机构性)探讨。此方面努力应包括与友好国家达成关于隐私与公民自由保障标准的基准性共识。另外,努力完善国家间法律援助条款亦是这一改善流程中的重要组成部分。
“基线”网络安全、关键性基础设施与NIST框架
所有组织机构都有义务加强网络安全水平,这不仅要求其确保自身安全并保护客户业务与数据,同时亦是为了巩固整个互联数字化社会。网络安全的进步要求各组织机构利用能够切实降低风险的简单举措与最佳实践以提升基线网络安全水平。其中的关键包括更好地协调治理工作以实现网络安全、强化网络“安全习惯”、采用更快的技术“刷新”周期、普及身份认证机制(重要数据不可仅靠单一密码保护)以及披露安全违规信息的激励性措施。
2013年2月总统行政令面向关键性基础设施的保护工作提出一套自愿性部门针对性方案,其基于NIST网络安全框架,要求各监管机构为其所在部门负责。尽管这套方案并不完美,但相关网络安全政策的出台意味着这是我们在当时能够提出的最佳解决办法。下一任总统应当推广并在必要时强制实施这套方案。其中的一项可改进部分在于提供采用与有效性量化标准。NIST正在与私营部门协作,应当由其负责制定此类量化指标。
数据保护、隐私与网络安全
保护国家网络资产亦包括保护个人敏感信息。鉴于网络空间内存在大量漏洞与威胁,因此收集并持有个人数据的有关各方对于网络安全负有更大责任。另外,随着全球数据保护焦点的增加,美国亦需要通过明确举措对其进行保护。下一届政府班子应当将数据保护纳入其宏观网络安全保障方案当中,并遵循“数据归于用户”这一基本原则。其中一项改进空间在于,总统应要求美国联邦贸易委员会(简称FTC)建立专门的数据保护部门。另一项改进则在于针对国家性数据泄露问题进行立法。这样一项针对性标准将通过易于理解的明确制度专注于帮助组织机构实现数据保护工作,同时为其它重要改革举措提供法律性支持。
提高网络事件透明度
2012年之后的大部分网络安全辩论专注于信息共享这一议题。2015年通过的网络安全法案最终结束了这场辩论,但我们仍然需要在两大区域对其加以完善。首先是打破僵局,共享与网络威胁及攻击活动相关的机密信息——这些信息中的大部分内容并不会对来源发布方及其所采用方法构成安全风险。
其次在于为共享网络攻击细节信息的受害者提供可靠保护。这部分内容在2015年的立法条款中已经有所体现,但具体保护举措仍需要扩大。考虑到遭遇黑客攻击可能导致收入削减、股价下跌以及声誉受损等后果,攻击受害者往往不愿共享此类信息。因此,应当通过立法方式对事件后报告进行匿名及责任保护。在这方面,我们可以模拟国家运输安全委员会在调查空难或者联邦航空局在航空安全报告系统中的实际作法,即全面禁止出于执法目的而使用所提交信息。此项新举措可以由DHS或者网络威胁信息集成中心负责制定。
为物联网做好准备
物联网技术的快速发展意味着其将不可避免地带来各类硬件与软件故障,而遭遇黑客攻击的可能性亦将随之提高。物联网产品还将带来相关产品责任。如果缺少联邦政府的干预,那么相关技术标准将呈现出分散式发展趋势,并带来严重的潜在破坏性后果。我们建议新一届政府(1)责令NIST配合消费者与商业团体,共同制定物联网安全保障相关标准与原则; (2)采取“部门针对性”保障方法; (3)使用联邦政府采购标准以推动政府职能的改善与保障。政府可以考虑参照美国国家公路交通安全管理器碰撞测试制定类似的物联网安全评级方案。
加密策略
加密技术的广泛利用能够提升网络整体安全性水平,但具体加密方案类型与实施方式同样会对国家安全态势造成严重影响。美国制定的任何加密政策与法律框架必须考虑到全球环境以及美国国际网络安全战略的实际需求。美国制定之政策应支持使用强加密方案,但同时在指定条件下协助执法机构以合法方式访问数据内容。最后,加密策略还需要对相关风险进行决策。以无限制方式使用加密技术会提升网络犯罪与恐怖主义风险,但国家也许能够通过对加密手段加以限制以将此类风险控制在可接受范围内。我们的现有小组成员中无人认为现有风险需要配合新型限制方案加以应对。
II. 组织
奥巴马政府要求美国国土安全部承担网络安全相关责任。尽管在过去四年中网络安全处理能力有所提高,但仍有部分专家认为国土安全部的责任承担能力有所不足,特别是其安全保障能力与美国国家安全局相比依然比较孱弱。但在另一方面,私营部门则更倾向于由民间机构承担网络安全责任。如果坚持由美国国土安全部扮演这一职能角色,则其必须重新调整自身网络保障使命。目前的最佳解决方案在于将网络安全保障任务从国家保护与计划部中转移出去,并将其移交至专门的国土安全部下辖代理机构(类似于海岸警卫队或者特勤局)。这一新机构应当避免涉及情报或者法律层面事务,而将职能重点放在缓解网络安全问题层面(帮助组织机构应对网络攻击并处理事后恢复任务)。过去十年来,美国国土安全部一直主导此类事务; 如果事实证明其无法顺利完成使命转变或者承担此类责任,则应当将网络保障工作从国土安全部责任事项中剔除。
在就任之初,新一届政府班子应当发布一份明确的机构职能与责任声明,从而尽可能解决责任划分不明的问题。这份声明中应当定义美国国防部如何在网络安全事件中支持国土安全部,国土安全部应如何支持联邦调查局的相关调查,而美国国防部又应在何时从国土安全部处接手相关工作并对攻击活动加以应对。美国国防部需要通过政策与原则以定义其在危机或者紧急情况下应如何采取行动,特别是在涉及国外网络活动的情况之下。国防部在网络安全领域不应继续承担监管或者其它平时性职能。最后,新一届政府应当在白宫中设立其它一些职位——包括CTO及CISO等等,从而消除相关管辖权及资源分配匮乏的问题。同样的,科学技术政策局(简称OSTP)亦不必参与网络安全事务。
美国联邦政府的网络安全仍然存在严重问题,而理想的解决方案则包括选用托管服务、为美国审计部署提供必要授权以建立独立的国会审查流程,其中具体包括实施渗透测试等联邦政府网络安全保障性举措。
III. 资源
减少安全漏洞
美国通过各企业及组织机构投入数十亿美元以利用各类不同技术保护自身网络体系。然而,这种作法会代表着一种被动性碎片化解决方案,意味着攻击者能够从中找到逃避监管的空间。我们应当建立主动性方案,利用额外投资、“bug赏金计划”以及零日漏洞征集举措发现潜在风险,并为发现相关漏洞的研究人员提供奖励。
这些项目将带来可观的回报,因此美国政府应当支持此类作法,同时强调保障互联网基础设施安全并广泛使用开源软件。其中的一大重要步子在于声明这些方案的合法性,从而为研究人员提供安全的避风港,进而支持安全行为规范指导下的安全研究产业。
提升共享式与云服务的利用率
大多数联邦政府部门并不涉及网络安全事务。对于网络安全的关注要求可能导致其缺少充足精力处理核心事务。而这一问题由于网络安全人员的匮乏而进一步升级。要实现更理想的网络安全态势,美国政府需要重新考虑信息技术的获取与管理方式。新一届政府应当将业务向托管服务模式全面转移,包括与私营部门签订电子邮件、数据存储与网络安全保障协议。这方面举措应当全面得以推行,并立足行政管理与预算局(简称OMB)与总务管理局(简称GSA)层面通过网络安全相关IT采购及规划工作得到体现。云服务能够提供显著的安全效益、实施成本更低且具备远高于一般性企业自我管理的有效性水平。这类外包模式更有利于威胁信息共享,同时亦允许各组织机构将资源集中起来处理最为重要的关键性或者罕见网络风险因素。
扩大网络安全人员储备
考虑到招聘市场的实际情况,招聘训练有素的网络安全人才正变得愈发困难。为了解决这一问题,新一届政府应当采取积极的教育培训及网络安全人才扩展计划,具体包括建立认证性培训与教育制度、明确网络安全职能角色分类以及从业者必须具备的专业技能、同时建立强大的专业资质认证机制。
着眼于未来
除了少数特例之外,目前的网络安全政策仍然存在严重的被动性与碎片化倾向。我们需要制定新型策略以解决这些问题,但以往国家性战略的实际表现令人失望。其中包含大量过度具体的陈词滥调与网络安全实践内容,但却未能真正上升至战略水平,这导致相关内容往往会迅速过时。
在二十年的网络安全从业经历中,我们意识到单纯强化网络本身并不足以实现安全保障。企业与国家机构必须充分理解相关问题与其中规则,包括如何指导网络空间中的各类行为。我们面临的难题并非不可逾越,但其仍然需要持续的、高层次的关注与不懈努力,方可取得理想进展。
网络空间已经成为最为核心的全球性基础设施,而其重要性在未来还将不断提升。但其目前的安全性仍然远称不上理想,并给我们带来种种本可避免的风险。另外,我们的对手仍然占据优势。不过只要抱有意愿,我们完全可以改变这一切——尽管无法迅速或轻松地改变,但考虑到美国及其盟友的长期安全需求,一切努力与付出都是非常必要的。
E安全的读者可以点击页面右下角的“阅读原文”下载,E安全也希望我国专家能针对这份报告做出客观公正的权威解读。
相关阅读:美国参议员提议设立监察长办公室 这是要将黑客汇聚一堂?
近期推荐阅读:
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。