美国总统奥巴马建立网络攻击指挥响应链(内含 总统行政令附件——美国网络事故协调方案 全文)
E安全7月27日讯 本周二,美国总统奥巴马发布总统行政令,规定美国司法部直接负责响应美国的网络威胁。
美国总统奥巴马表示,同时,美国国土安全部将应要求立即帮助机构和企业平息网络或“资产”威胁。
数年来,私营部门与机构内部一直对谁负责黑客攻击的问题困惑不已。
美国司法部将带头负责“威胁响应”或调查系统攻击,确认网络罪犯并摧毁攻击行动,因为外国对手常涉足其中。
总统行政令指出,“考虑到重大网络事件将涉及至少一个国家攻击者或其它国家安全关系,司法部应作为威胁响应活动的联邦领导机构。”
特别是最近一起网络威胁事件——俄罗斯黑客泄露了民主党全国委员会的电子邮件,举国震惊,让国际社会哗然,让共和党总统候选人特朗普的支持率在短短几天内超过了希拉里。一些外交专家称这次泄露事件将直接影响下一届美国总统的选举结果,让希拉里及其参选团队和民主党陷入被动局面。当然,民主党联手美国主流媒体大肆渲染邮件泄露事件是俄罗斯黑客(暗指俄政府)所为,也许会让希拉里减缓下滑的态势。虽然邮件事件还在发酵,但是此事促成了总统行政令的加快出台。
总统行政令指出,“考虑到重大网络事件将涉及至少一个国家攻击者或其他国家安全关系,司法部应作为威胁响应活动的联邦领导机构。。
美国总统奥巴马表示,“此次发布的总统行政令制定原则,管理联邦政府对任何网络事件的响应,无论事件是否涉及政府或私营实体。”
周二的声明中,美国国土安全部部长Jeh Johnson承认:“经常有人问,联邦政府内部谁负责网络安全?如果遭遇网络事件,该联系哪个政府部门?”Johnson补充道,现在,美国网络事件协调总统行政令澄清了问题的答案。
美国国土安全部的角色就是提供技术帮助并找出可能存在风险的组织机构。
美国国土安全部部长Johnson解释道,资产响应 “包括帮助受害者找出罪犯、修复系统、修补漏洞、降低未来事件的风险并防止事件波及其它人。”
此外,美国国土安全部与司法部将制定“情况说明书”,说明私有个体与组织机构遭遇黑客攻击时如何联系相关机构。
美国国家情报总监(DNI)的任务将是协助威胁趋势的综合分析,并帮助“降低或缓解对手的威胁能力。”
军方将负责处理美国国防部信息网(Department of Defense Information Network)的威胁。同样,美国国家情报总监将处理影响情报机构IT环境的事件。
先事先为
总统行政令指出,无论哪个联邦机构首先获悉网络事件“将迅速通知其它相关联邦机构,方便联合应对,并确保机构间正确协作响应特殊事件。”
奥巴马希望美国国土安全部在下一届政府到任第一个月制定他所谓的“国家网络事件响应计划”,解决私有部门遭遇的网络攻击。国土安全部必须在180天内向总统提交关键基础设施风险计划,到那时,总统有可能是共和党总统候选人特朗普或民主党总统候选人希拉里。
总统行政令附件指出,本周二发布的总统行政令发布在奥巴马的网络安全国家行动计划(Cybersecurity National Action Plan)之后。网络安全国家行动计划是二月发布的一项战略,当时,奥巴马向国会提交2017财年政府预算,计划投资190亿美元作为信息安全资金。最新发布的总统行政令不藐视现有联邦机构的网络法律,比如联邦信息安全现代化法案(Federal Information Security Modernization Act)。
按照联邦信息安全现代化法案的规定,如果事件为“重大事件(major incident")”,新行政令中指的是“重大网络事件(significant cyberincident)”。(重大网络事件可能会危及国家安全、外交关系或美国经济、或危及美国公众信息、公民自由或安全。)
美国本届政府任期最后几个月里,联邦机构将必须制定一系列新政府执行此总统行政令。
180天内,国土安全部与司法部必须完成快速响应小组的运作概念或美国政府对“网络统一协调小组(Cyber Unified Coordination Group)的定义。”
总统行政令提出,事件过程中,网络统一协调小组将充当“协调联邦机构间应对重大网络事件以及联合私营部门(视情况而定)的主要方法。”
当关键基础设施运营商遭受黑客实施的灾难性攻击时,网络小组将挺身而出。
美国当地时间7月26日,国土安全与反恐总统助理Lisa Monaco解释称,政府的援助力度将根据黑客制造威胁的风险确定。
国土安全与反恐总统助理Lisa Monaco在纽约举行的国际网络安全大会(International Conference on Cybersecurity)上表示,“例如,会造成什么影响?会如何影响美国国家安全或经济?是否威胁生命或美国人民的自由?也就是说政府将适当保护隐私、公民自由以及受攻击影响的信息。总统行政令致力于跨机构的政府响应。总统行政令强调我们的响应将重点帮助网络事件受害者迅速恢复。”
总统行政令附件——美国网络事故协调方案
华盛顿时间2016年7月26日
译制:E安全
主题:美国联邦政府重大网络事故协调架构
I. 范围
本附件包含于PPD-41,即美国网络事故协调策略,旨在为联邦政府重大网络事故协调架构提供细节指导并制定任务执行规程。
II. 协调架构
A.国家政策协调
网络响应小组(简称CRG)应当由总统特别助理兼网络安全协调员(主席),或者其他同等继任者负责主持,需要定期召开会议并根据实际需要由总统国土安全助理与反恐及国家安全副级顾问参与。联邦政府内各部门与机构,包括相关网络中心,应当受邀参与CRG组织,并酌情根据各自职能扮演对应角色、承担责任、提供专业知识或者针对特定事故或者事故集合进行处理。CRG参与方一般应包括国家各有关部门,例如财政部、国防部(简称DOD)、司法部(简称DOJ)、商务部、能源部、国土安全部(简称DHS)及其下国家保护计划局、美国特勤局、参谋长特勤会议、国家情报署、联邦调查局、国家网络调查联合特遣部队、中央情报局以及国家安全局等等。美国联邦通信委员会亦将被邀请参加,负责一同保证对主席人选法定权限及法定义务范围的评估与保障。
CRG应当:
i.协调联邦政府方面针对严重网络事故制定并实施的各项政策、策略以及规程;
ii.接收来自联邦网络安全中心与机构针对严重网络事故与量化标准提出的定期更新,从而解决或者应对此类事故;
iii.解决由下辖机构提出的可能存在的问题,例如网络统一协调小组(简称UCG);
iv.与反恐安全小组及国内弹性小组开展合作,从而在面对严重网络事故时根据需要提供跨学科响应手段;
v.确立并考查严重网络事故的响应选项,据此向众议院委员会提起更高级别指导性建议,且遵循2009年2月13日及之后国家安全局系统组织提出的PPD-1要求;
vi.考虑公共信息在应对严重网络事故时给政策实施造成的影响,并在必要时根据网络事故具体情况调整宣传战略。
B.国家事务协调
为了促进严重网络事故情况下的协同努力,网络UCG应当:
i.利用与本行政令内第三节部分原则相符的模式进行网络事故响应协调;
ii.确保各相关政府机构,包括各特定领域机构(简称SSA)皆被纳入事故响应体系;
iii.协调各任务、重点与规划工作中响应与恢复事务的制定与执行,具体包括实现事故响应与快速恢复所必需的各国间以及跨部门间联络通道;
iv.促进不同网络UCG参与方之间对信息与情报的快速及准确共享,从而更好地指导事故响应与恢复举措;
v.对事故影响各方及相关者间(可能包括公众在内)的沟通方式进行协调,确保其准确性与适当性;
vi.对于同时包含网络与物理影响因素的事故,构建一套将UCG与主要政府机构或既定管理部门相结合的国家级响应框架,同时在国家准备层面遵循PPD-8之相关要求。
SSA应当在严重网络事故已经影响到或者可能影响到其对应部门时,以成员身份加入UCG。根据第21号总统行政令规定,各关键性基础设施部门SSA划分方式包括:DHS(化工、商业设施、通信、关键性制造领域、堤坝、紧急服务、政府设施、信息技术、核反应堆、材料与废弃物以及交通系统);DOD(国防工业基础);能源部(能源);财政部(财经事务);农业部(粮食与农业);卫生与人类服务部(医疗保健与公共卫生、粮食与农业);总务管理局(政府设施);交通运输部(运输系统);环保局(水利与废水系统)。
网络UCG的运作方式应当充分考虑对情报及执法资源、方法、操作、调查以及个人隐私与特定部门敏感信息的保护需求。
在威胁与资产响应工作不再需要特定强化协调规程,或者各部门、职能或资源类别间不再需要统一管理以实现政府事故应对举措的情况下,则网络UCG应当立即解散。
III. 联邦政府对影响政府网络之事故的响应办法
此项总统令不会对2014年联邦信息安全现代化法案(简称FISMA)或者管理与预算办公室(简称OMB)提出的“事故”、“违规”或者“重大事故”指导性处理意见造成影响。政府机构应当遵循OMB指导以检查当前事故是否符合FISMA给出的“重大事故”定义。如果当前网络事故已经达到“重大事故”判断标准,则其符合此项总统令的生效要求,即接受本总统令的管理约束。
A.民间政府网络
OMB主管负责监督政府机构信息安全政策与实践。国土安全局则应与OMB主管进行协商,而后管理政府机构信息安全政策与实践并负责政府信息安全事故中心的运营工作。国家标准与技术研究院(简称NIST)负责为各政府信息系统制定标准及指导意见,以供各级政府机构进行强制性执行。
政府机构应当根据本行政令中的适用性政策与规程对重大网络事故做出响应,具体包括按照美国计算机应急准备小组给出的事故通知指导意见,向DHS报告相关事故。
若重大网络事故的影响仅限于单一政府机构的特定运营工作当中,则该受影响机构应当保留对受影响资产的主要控制能力,同时负责恢复服务及相关网络、系统、应用程序并做出决策以重启受影响系统。DHS及其它政府机构应提供妥善协助。
若重大网络事故对多个政府机构产生影响,或者涉及到公共服务的完整性、机密性或者可用性,相关部门应当做出决策以重启受影响系统。与此同时,OMB与政府领导机构应当提供一套统一且及时的书面建议,其中囊括相关注意事项与实施条件,帮助受影响机构做出正确决策。
B.DOD信息网络
国防部长应负责对影响到国防部信息网络的网络事故进行威胁与资产管理,包括恢复性举措,同时接受来自其它政府机构的必要支持。
C.情报社区网络
国家情报主管应当负责通过情报社区安全协调中心管理情报社区(简称IC)信息环境面临的威胁与资产响应因素,同时接受来自其它政府机构的必要支持。
IV. 实施与评估
政府机构应当采取以下举措以实施此项总统令:
A.宪章
自此行政令发布后的九十天内,国家安全委员会(简称NSC)人员应当更新CRG宪章以涵盖并支持上述政策指导,并将新的宪章内容经由总统国土安全与反恐助理交付总统审阅。
B.强化协调规程
定期参与CRG(包括SSA)的各政府机构应确保自身拥有独立执行网络事故响应工作的能力。为了应对可能超出独立应对能力范畴的严重网络事故,各政府机构应当在本行政令发布后的九十天内建立强化协调规程,其中约定专项领导、支持人员、设施(包括物理与通讯)及内部流程方案,旨在确保相关机构能够在实际需求超出自身条件的情况下,以协调方式管理严重网络事故。
在本行政令签发后的九十天内,各SSA应当制定或者更新各部门具体规程,并与其它部门协商以强化严重网络事故情况下的协调支持能力,即遵循本行政令的实际要求。
经过强化的协调规程应当指定各政府机构在面对严重网络事故时所应采取的沟通途径,具体包括相关部门联络点,同时向CRG方向发出通知,强调自身协同规程已经激活或者启动;强调有效事故协调工作中的内部沟通与决策制定流程;同时概述整个流程以实现规程维护能力。
除此之外,各政府机构的强化协调规程还应立足于现有流程与资源容量,且尽可能与行政令中提出的网络事故响应协调要求保持一致。各具体规程中应当设置一名经过良好培训的高层领导者,负责监督该部门在网络UCG中的参与成效。各SSA则应当为每个具体部门设置一名经过良好培训的高层领导者,从而遵循第21号总统行政令中对SSA提出的要求。
在本行政令签发后的120天内,各SSA应与关键性基础设施拥有方及运营商进行协调,从而根据此行政令完成物业部门的协调同步性。
C.培训
在本行政令签发后的150天内,联邦紧急事务管理署应当根据行政令原则对现有统一协调培训进行必要更新。
在本行政令签发后的150天内,各政府机构应当根据行政令原则对现有网络事故协调培训内容进行必要更新。
各政府机构应当根据国家事故管理系统与统一协调政策建立并维护一套具体的考核与培训项目,旨在管理及响应严重网络事故。经过培训的个人则将为网络UCG的任务支持与决策制定工作提供必要的专业知识储备。
D.演习
自本行政令签发后的180天内,各政府机构应当将本行政令中的原则纳入网络事务响应演习。这项举措将把此类演习视为国家演习计划的组成部分。各演习应当按照必要频度进行,旨在确保各政府机构面对行政令中提出的计划与规程要求做好充分准备。在准备就绪后,演习内容 应当考虑到端到端信息共享流程的有效性。
E.网络UCG事故后审查
每一次网络UCG解散后,CRG主席都应当对该网络UCG所响应的严重网络事故做出审查,同时根据审查结果整理出报告并在30天内呈交至CRG。各政府机构应当根据此份报告中的相关意见,结合行政令具体要求,对自身计划或规程做出修改。
F.国家网络事故响应计划
在本份行政令签发后的180天内,DHS与DOJ应配合SSA向总统提交一份网络UCG运作概念报告——具体经由总统国土安全与反恐事务助理以及OMB主管——其内容须遵循此行政令的原则、政策与协调架构。这份执行概念报告应当进一步指明网络UCG及政府协调架构的现场元素,阐述其在严重网络事故场景下的实践方式,具体包括各政府机构间如何就同时包含网络及物理元素的物理影响类事故做出协调,以及如何同私营实体协作以做出应对举措。国土安全部部长应在可能的情况下在2015年网络安全法案第205条的网络事故附件当中纳入或者引用上述操作规程。
在本行政令签发后的180天之内,国土安全部部长应协同总检察长、国防部长以及SSA,共同向总统提交一份用于应对关键性基础设施网络安全风险的国家网络事故响应规划——经由总统国土安全与反恐事务助理及OMB主管。这份规划应与本行政令中约定的原则、政策与协调架构保持一致。国土安全部部长应确保此规划符合2014年国家网络安全保护法案中第7条内容。此规划在制定中应与SLTT机构、部门协调委员会、信息共享与分析机构、关键性基础设施持有方及运营商乃至其它相关实体与个人进行协商。此规划应当考虑到上述相关者如何与政府机构进行协调,从而缓解并应对可能影响到关键性基础设施的网络事故,并在此类场景中完成业务恢复。
E句话:奥巴马革弊鼎新,破局“九龙治水”。