查看原文
其他

【长度】《理解美国联邦网络安全》(下篇)

计宏亮 学术plus 2019-03-28

编者按

网络空间安全已经成为中美两国关系中一个持续热点,国内对美国网络空间安全的研究日趋全面、深入和理性。在可预见的时期内这种研究热度只会增加,不会减弱。但目前大部分研究关注点都在战略或技术层面,而对具体运行层面,就是在美国国内,这方面研究也相对较少。


为此我们推介美国卡内基国际和平基金会国际事务部的负责人、国防部前任网络政策的代理副助理国防部长凯瑟琳·查莱特(Kate Charlet)的报告《理解美国联邦网络安全》(下)。该报告对美国联邦的网络安全情况进行了相对全面的介绍。现将报告主要内容分2次为您编译参考。版权归原作者所有,不代表本机构观点。

本文长约11000

阅读约需25分钟

前情提要:《理解美国联邦网络安全》(上)

《理解美国联邦网络安全》

(下)

作者:凯瑟琳·查莱特

编译:计宏亮


第二部分 联邦政府重点网络安全计划


受过去五年遭遇的一系列侵入和破坏刺激,联邦政府推动了一系列改善联邦部门网络安全的举措。 2015年和2016年就提出了三项计划,网络安全冲刺( Cybersecurity Sprint),网络安全战略实施计划(CSIP)和网络安全国家行动计划(CNAP) - 形成了奥巴马政府的应对网络安全措施的核心。特朗普政府基于这些举措, 在2017年5月发布了关于加强联邦政府网络和关键基础设施网络安全的行政命令,并在共享服务和云应用方面采取了几项显著性举措。 本节回顾了这些范围较广的努力,深入探讨了联邦政府网络安全领域的最重要举措。


尽管本报告的重点近年来的进展,但必须指出的是,许多现有计划的基础都是乔治布什政府2008年1月的国家综合网络安全计划(CNCI)。 CNCI在奥巴马政府的网络空间政策审查中得到重申,并在此后数年一直如此。 有些人认为CNCI是失败的。 因为它没有将而许多民事部门领导人作为重要的参与者,一般而言这是有效实施所必需的。 尽管如此,一些举措,如将联邦政府网络作为单一企业进行管理,在联邦企业中部署入侵检测和预防系统,以及更好地协调网络安全研究和开发 ——都可以在CNCI中寻根溯源。


推动整体进展,2015-2018


2015年6月,在人事管理办公室(OPM)遭遇入侵之后,联邦首席信息官启动了为期30天的Cybersecurity Sprint计划,以实现在关键领域快速取得进展。 在Sprint实施期间,联邦首席信息官(CIO)指示各个部门:

1)立即扫描系统并检查日志,以对照优先威胁实施者技术,战术和程序的DHS指标;

(2)修补某些关键漏洞;

(3)为特权用户收紧政策和做法;

(4)加快多因素认证的使用,尤其是对特权用户。


Cyber Sprint尽管总体适度,但表明联邦政府可以缩小网络安全方面的主要差距,因为它集中关注离散,高度优先的行动。 到计划完成时,已有9家部门实现了100%特权用户的强认证目标,其中15家在2016年春季达到了目标。各部门还加速实施了2015年5月的DHS指令,以缓解面向互联网系统中的关键漏洞 ,在2015年底前解决了指令发现时几乎所有活跃的关键漏洞。在Cyber Sprint实施期间,各部门还对伤害指征进行扫描; 确认了一套高价值资产; 并完成了对特权用户的审查。


Cyber Sprint的主要成果是制定了公共管理和预算办公室(OMB)的网络安全战略和实施计划(CSIP),该计划于2015年10月发布,提出了一系列旨在改善联邦政府网络安全的短期行动。CSIP确立了涉及保护高价值资产和信息关键行动目标; 对网络事件的探测,回应,恢复和吸取经验教训;招聘和保留网络人才;以及技术的获取和部署。


最后,2016年2月,奥巴马政府宣布了一项基础广泛的计划,即国家网络安全国家行动计划(CNAP),其中包括许多在Cyber Sprint和CSIP期间开展的工作以及其他联邦和私营部门项目。 CNAP的发布伴随着2017财年总统预算中规定的190亿美元投资。CNAP包括拟议的31亿美元信息技术现代化基金(ITMF);设立联邦首席信息安全官(CISO);持续识别和审查最高价值和最危险的IT资产;增加政府范围内IT和网络安全共享服务;国土安全部 EINSTEIN计划于连续诊断和缓解(CDM)计划的扩展;美国国土安全部的联邦平民网络防卫队总数增加到48个;并投资于支持联邦政府需求的网络安全工作计划。许多部门实现了CNAP制定的2016年里程碑,但大多数计划今天仍在继续。


作为CNAP的一部分,奥巴马总统签署了一项行政命令,建立加强国家网络安全两党委员会,提出加强网络安全的详细建议,包括联邦政府的网络安全。41 2016年12月,委员会发布了一系列建议和行动项目, 除其他外,“为政府提供更好的装备,以便更有效地在数字时代有效和安全地发挥作用”。联邦重点提出的建议包括:巩固基础网络运营; 促进联邦部门的技术采用和技术更新; 不断完善联邦部门的系统风险管理方法; 重新调整白宫在网络安全领域的领导地位; 并进一步明确联邦在网络事件中的角色和责任。


最近,特朗普政府2017年5月发布的关于加强联邦政府网络和重要基础设施网络安全的行政命令提出了对各部门风险管理和任务详细审查的期望和原则。值得注意的是,总统认为“部门负责人”将负责管理网络安全风险。此外,由于部门负责人做出的风险管理决策可能会影响整个行政部门以及国家安全的风险,因此将管理网络安全风险视为一种行政部门体系也是美国的政策。“行政命令要求部门负责人遵守NIST的改进关键基础设施网络安全框架,解决长期以来对业界成员的不利影响,即使政府不遵守NIST标准,也会受到合同约束。它委托所有部门向公共管理和预算办公室(OMB)提供风险管理报告,然后由国土安全部和公共管理和预算办公室(OMB)进行全面审查,总统将于2017年10月向总部报告如何解决不足或错位问题的最终报告。


虽然这一行政命令显示了与上届政府之间明显的连续性,但它努力的指向可能会推动系统性风险管理和对共享服务的偏好等方面的变革。 政府在2017年12月发布的“国家安全战略”中强化了这些领域,该战略确定了建设防御型政府网络作为优先事项。 在此过程中,它指出:“[政府]将使用最新的商业能力,共享服务和最佳实践来实现联邦信息技术的现代化。 我们将提高我们在各种条件下提供不间断安全通信和服务的能力。“


信息技术现代化(IT)


联邦政府依靠传统的IT系统,既难以保证安全,维护成本又高。 2016年5月,政府问责办公室(GAO)报告说,由于使用过时的编程语言(如COBOL),这些遗留投资变得越来越不合时宜;旧零件(包括8英寸软盘);和不受支持的硬件和软件(例如20世纪80年代和90年代的微软操作系统)。政府问责办公室(GAO)报告的十个最早的IT投资或系统的使用期从39-56年不等。政府问责办公室(GAO)评估说,联邦政府每年花费超过800亿美元,其中77%用于运营和维护系统,23%用于开发,现代化和改进。这反映出自2010年以来运营和维护增加了9%,同一时期开发,现代化和加固整体减少了73亿美元。换句话说,联邦IT预算中相对较大且越来越多的部分用于只是保持旧系统运行的支出。


奥巴马和特朗普政府都承认传统IT面临的挑战,并制定了IT现代化战略。 联邦首席信息官最近向总裁提交了一份关于IT现代化的报告草案,已于2017年秋季向工业部门征求意见。该愿景概述了对网络进行加固和现代化,采用共享服务以实现未来网络架构,并为现代化优先事项重新调整资源的行动。 49该计划提出了有用的优先事项,例如强调高风险高价值资产和现代化部门连接到互联网的系统。 但是,它也依赖于资源的“重新调整”,而不是增加新的资源; 鉴于任务的重要性,这可能是不够的。


政府现代化方法的一个突出特点是建立了“循环基金”,也称为“周转基金”,以支持IT现代化目标。循环基金为部门提供了更大的灵活性,让他们可以花钱用于现代化项目,因为他们假定,用更现代化、高效率的系统代替昂贵、过时的系统所花费的投资会随着时间的推移的得以不畅。按照这种逻辑,奥巴马政府估计,其提议的31亿美元基金将在十年内支持价值120亿美元的现代化项目。


最近,得克萨斯州代表威尔赫德(Will Hurd)于2018年发起的“现代化政府技术(MGT)法案”作为国家授权法案的一部分通过成为法律.52该法案设立了一个有价值的循环基金,将帮助部门进行升级和长期性投资。授权数额为5亿美元,远远低于替代联邦政府遗留IT债务所需的数额。 这意味着国会的工作还没有完成。 但该基金为未来的投资奠定了重要基础。


识别和保护高价值资产


奥巴马和特朗普政府都要求联邦部门确定优先级最高,风险最高的IT资产,然后采取补充措施来提高安全性。美国政府提出了高价值资产的定义( HVA)以及确定资产,数据集或存储库是否具有高价值时要考虑的属性列表。所有民事CFO法案部门均向国土安全部报告了他们的高价值资产,并对2016财年超过20种最重要的资产进行了脆弱性评估,并在2017财年继续进行评估。通过这些评估,DHS与一个部门的CIO合作,开展渗透测试和其他类型的风险评估,提供具体的调查结果和建议,并帮助各部门针对确定的漏洞制定补救计划。由于联邦政府在网络安全方面的分散性,各个部门的主要补救责任仍在继续,对高价值资产的持续监督和评估也是如此。


为此,美国总务署(GSA)为部门开发了一个合同工具,以便根据国土安全部和国家安全局制定的通用方法,实施预先审查的网络安全风险评估。这种工具旨在帮助部门对高价值资产进行定期评估。这些识别和强化高价值资产的步骤非常重要。但是一些部门正开始从“保护资产”的思维转向更加全面的“保护任务”方法。例如,国防部正在调整其传统的任务保障方法,以更好地识别和管理军事任务的网络风险。这种思维模式有助于从单独被视为高价值的资产中识别网络风险 - 无论这些资产是网络,武器系统组件,信息数据库,嵌入式网络物理系统还是电气和通信基础设施 - 但仍然如此可能会扰乱一个部门执行关键职能。目前还不清楚这些部门是否以这种方式为重点,例如为国土安全部寻找移民局,调查FBI以及农业部的食品安全检查。


利用共享服务和商业技术


在联邦政府网络安全方面,共享服务是由多个机构或实体使用的信息技术或网络安全服务。 典型的共享服务可能包括移动安全、云计算、数字版权管理、加密服务以及提供域名服务解析等核心IT服务。 共享服务减少了单个机构或组织自行协商,采购和管理这些服务的需求。 其益处包括降低整个联邦政府的复杂程度,更好的分担成本,获取更强大的谈判地位(由于集体购买力增加)以及更高效的运营。 共享服务还有助于联邦政府规范和简化网络安全措施。


自20世纪80年代初以来,联邦政府就一直在推动更多地使用共享服务。最近,2011年,公共管理和预算办公室(OMB)指示每个联邦机构至少在机构选择的两个领域转向共享服务。2012年,白宫联邦IT共享服务战略为共享服务的采用制定了“全方位和全生命周期”战略。后来在2016年,CNAP制定了共享服务目标,通过提供更加更加高效、便捷和安全的共享服务,让各个部门没有必要再去建设、维护和运行他们自己的信息技术设施。2017年,特朗普政府的网络执行官在此基础上走得最远,明确指导机构优先考虑共享服务。 随后于2017年8月向总统提交的关于联邦信息技术现代化的报告草案提出了一个目标,即各机构只有在共享服务和商业技术无法满足任务需求时才能建立新的能力。


特别是那些小型机构,他们从共享服务中受益匪浅,因为他们缺乏资源和人力来管理和保护各自的服务。 美国政府一直在试验增加托管IT服务给数十个小型联邦(非CFO法案)机构。 这种服务有助于提高那些经常资源不足的机构的整体网络安全,其中许多机构还会处理敏感数据。 如果这些试点项目在管理安全服务标准化方面取得成功,更多的小型机构就可以加入。


与共享服务趋势相融合的趋势是越来越多地采用包括电子邮件和云服务在内的商业技术能力。 一方面,私营部门的服务可以提供政府内部无法提供的复杂保护。 另一方面,这些服务可能无法解决联邦政府网络安全独特的需求或挑战,例如确保获取有关安全事件的信息,启用潜在恶意使用活动的报告,或启用EINSTEIN等USG(综合业务网关)计划。 向总统提交的关于联邦信息技术现代化的报告强烈鼓励使用商业技术,并提出采取多项行动来减少采用这些技术的障碍。


自2007年以来,联邦政府一项重要的工作领域是推动使用可信互联网(TIC)。在TIC倡议下,联邦政府已将互联网连接点从几千个减少到不到一百个,目标是减少到50个连接的目标。高层的想法是,通过使用较少数量的互联网连接,为这些连接设置通用安全标准、监视和阻止通过这些连接的威胁将变得更加容易。目前部署的每个TIC都必须遵守由OMB开发的安全标准,并加装由国土安全部提供的传感器技术和分析工具。根据2009年的数据,OMB指定20个机构为TIC接入供应商,每个机构最多可管理两个互联网接入点。虽然一些TIC接入提供商机构(例如国务院)支持其他小型机构,但大多数小型机构自己不能管理自己的可信互联网连接,而且还要从外部供应商处购买这些服务。联邦政府目前正致力于使小型机构能够更轻松,更具成本效益地获得此类服务,并使TIC战略适应云应用增加的情况。


然而,共享服务和商业技术并非没有风险。 2015年,在将IT运营转移到第三方的过程中,瑞典交通运输署意外地向外国公民提供了包括机密信息在内的大量信息。2017年3月,Gizmodo报告称,国防部承包商上传了部分非密敏感信息到可公开访问的云环境中,包括未加密的用户证书。因此,良好的政策和监督对引导更大的共享服务和商业技术迁移和实施非常重要。


探测并阻止边界威胁


尽管联邦政府机构对自己的网络安全负责,但国土安全部的法定使命是在整个政府提供一套通用的基准安全措施,并帮助各机构管理其网络风险。国土安全部的一项签名举措是EINSTEIN计划,其目标是在威胁上海联邦机构之前发现并将威胁遏止在边界之外。 为此,EINSTEIN利用已知的网络威胁指标,例如用于发送鱼叉式网络钓鱼电子邮件的电子邮件地址或恶意操作者已知使用的互联网协议(IP)地址。


EINSTEIN的前两个版本完全部署用于通过TIC路由的所有联邦政府的民用信息流量,使用非密的指标来探测恶意流量。 EINSTEIN 3 A(E3A)会包含加密指标,正通过为联邦政府服务的主要互联网服务提供商完成部署。国土安全部必须让每个机构自愿接受其提供的网络安全服务,例如EINSTEIN,但2015年网络安全法案要求所有联邦民事机构在2016年12月18日前执行EINSTEIN 3A。2017年初, 国土安全部杰伊·约翰逊(Jeh Johnson)部长表示,EINSTEIN 3A覆盖了93%行政部门人员。


过去国土安全部官员经常将人力资源管理办公室(OPM)信息泄露列为EINSTEIN的成功案例:在发现第一次OPM被袭的最初恶意指标后,这些指标帮助EINSTEIN探测到第二次攻击。然而,各机构对以下情况表示失望:

(1)将已知的网络威胁信息纳入系统速度不足; 

(2)很难发现以前未知的网络威胁。为解决第一个挑战,国土安全部推行了一项计划,以更快速地从非联邦实体那里接收网络威胁指标,称为自动指标共享(作为回报,该计划也与私营部门共享指标)。


为此,美国国土安全部已经建立了一个系统,使用一种通用的STIX / TAXII格式实时自动共享和接收“机器可读”的网络威胁指标。为了解决以前未知的威胁,DHS正在开发先进的恶意软件和行为分析功能,能够自动识别和分离可疑流量,以便进一步检查,即使之前没有看到确切的指标。


识别和修复部门网络内的漏洞和风险因素


鉴于EINSTEIN可以探测并将威胁遏阻在边界之外,另一国土安全部签名计划(signature initiative)——“持续诊断和清除计划”(ContinuousDiagnostics and Mitigation,简称CDM)可以识别机构网络内的漏洞和风险因素。通过CDM计划,国土安全部为联邦部门采购商业网络安全工具。 这些工具可识别并对部门网络上的设备进行编目、检查漏洞(阶段1)、管理身份、帐户和权限(阶段2),识别和管理部门网络内的可疑活动(阶段3),并帮助保护敏感/高价值数据 (阶段4)。


CDM计划旨在实现三个好处。 首先,CDM帮助联邦政府机构以具有成本效益的方式采购商业网络安全工具。 其次,它可以在联邦政府内部使用通用传感器。 这使机构能够以相同的有效性跟踪和报告相同类型的数据。 第三,CDM计划将更快地将脆弱性信息提供给美国国土安全部,这样国土安全部可以跟踪部门在处理关键问题方面的进展,并了解整个行政部门的风险趋势。


美国国土安全部向参与的联邦民事部门提供了第一阶段的工具,用于识别部门硬件和软件资产以及相关的漏洞。 在2016财年,国土安全部向总共65个机构提供了新的CDM第二阶段工具,目标是在2017财年为机构提供第二阶段工具。2018财年,国土安全部将向部门提供涵盖CDM第3阶段的工具。CDM第4阶段仍然还在规划阶段。CDM工具提供的信息既可以提供给每个部门的保镖,也可以实时提供给国土安全部和NCCIC,同时还有那些有助于部门安排降低风险工作的信息。


虽然大多数联邦机构和CIO似乎都支持CDM计划的目标和意图,但有些人表示沮丧,认为该计划在速度和灵活性方面无法满足他们的需求。其他人发现该计划的一些要素,如预定价工具和服务,难以管理,因为难以预测真正需要的东西。评论家都很期待2018年8月,届时原始CDM合同到期时,DHS推进该计划以应对这些挑战。关于治理和监督问题的持续对话对于CDM充分实现计划的目标将是必要的。


改进事件管理


关于美国网络事件协调的2016年7月总统政策指令41(PPD-41)是编纂和传达美国政府对任何网络事件对联邦政府对策的原则,作用和责任的重要一步。 PPD-41利用网络空间事件严重性框架(Cyber Incident Severity Schema)根据网络事件对公共健康或安全,国家安全,经济安全,外交关系,公民自由或公众信任的实际或潜在影响来评估网络安全事件。它进一步描绘了事件响应的角色和责任,其中包括:

  • 司法部(DOJ)是“威胁响应”的领导联邦机构,包括“网络事件的执法和国家安全调查”。

  • 国土安全部在“资产响应”方面居于领导地位,其中包括“提供技术资产和援助以减轻脆弱性并减少事件的影响,识别和评估对其他实体构成的风险并减轻这些风险,并就如何利用杠杆联邦资源和能力作用提供指导。

  • 国家情报总监办公室(ODNI)领导“情报支持”,包括“支持调查活动的情报收集以及对威胁趋势和事件的综合分析”。

  • 任何“受影响的联邦机构”都将承担主要责任,“进行各种努力来管理网络事件的影响”,例如维持业务和运营连续性。

虽然PPD-41大部分都考虑联邦政府对涉及关键基础设施所有者和运营商的事件的回应(因此也超出了本报告的范围),但“受影响的联邦部门”的第四项重点强化了每个机构负责管理自己的网络安全和事件响应的一般规则。 如果有多个联邦机构参与某个特定事件,可以预期国土安全部和司法部将扮演协调角色,包括通过统一网络协调组来加强多个受影响联邦机构之间的沟通和协调。(详见国家网络事件应对计划。)


在一个联邦政府部门应对事件的资源方面,受影响的部门将首先利用自己的内部人员和承包商应对事故。国土安全部可以通过NCIC提供援助,通常都是在部门能力耗尽的情况下,该事件涉及国家安全,受影响的资产尤为关键,或事件涉及威胁行为者具有特殊意义。(为了减少紧急情况下的部署时间,联邦机构需要维持与国土安全部的长期网络授权。)在2016个CNAP中,奥巴马政府宣布打算将DHS的网络防御团队从10个增加到48个。特朗普政府提出的2018财年预算将为NCCIC增加4230万美元和20名人员,其中一些资源将用于建设网络防御团队。但是,所要求的数字似乎不太可能为全部48个团队提供资源。


美国国土安全部和总务署还开发了一种合同工具,使各机构能够“更快地获得关键的、预先审核的支持服务”,这对于网络遇袭等紧急情况尤其有利。例如,这包括更容易地获得私人合同服务的事件响应(以确定妥协的程度并从系统中移除对手)和追踪服务(以确定对手可能遭受攻击的其他系统)。


最后,美国政府也开始制定和实施民事部门想国防部提出防御性援助请求的政策。 如果收到请求(且可用),国防部可能会将请求转给美国网络司令部国家特遣部队的网络保护团队,或者其后备部队,来向其他机构提供必要的援助。 但是,当国防部力量可能参与其他机构的事件响应时,需要做更多的工作来明确具体情况或阈值。


第三部分  联邦政府网络的基石


如果没有合适的人员、技术和领导力来制定愿景,有效实施这一愿景并应对新的威胁,上述那样的重大网络安全举措就不会取得成功。 因此,为强大的网络安全奠定相应的基础,可以说比单个的倡议更重要。 本部分描绘了加强联邦政府网络人员队伍方面的重大努力; 通过研究和开发打下基础;对获取和采购实现现代化; 提高领导力,问责制和网络安全文化。


加强联邦政府网络人员队伍建设


尽管联邦政府目前在网络人员队伍方面的空缺并不公开,但联邦政府可能会出现高达10,000人空缺。联邦部门所面临的挑战包括:由许可流程造成的长时间滞后,由不灵活的人力资源流程造成的限制以及 需要“重新裁定”由其他部门授权的许可。 激励不足导致招聘困难,尤其是在竞争可以在私营部门赚取更多收入的专业人士时。 官僚体制的挑战可能会产生更大的影响,因为这种不确定性和延迟会影响人员生计。


作为CNAP的一部分,2017财年总统的预算提出了6200万美元的计划,要么直接或间接地帮助联邦政府招聘和留住拥有技术、政策和领导能力的网络安全人才。包括扩大CyberCorps计划,该计划为希望获得网络安全教育并在联邦政府民事部门中服务于其国家的美国人提供奖学金; 为学术机构制定网络安全核心课程; 加强网络安全方案国家学术卓越中心; 加强对加入联邦劳动力队伍的网络安全专家的学生提供免息贷款; 并通过总统的“全民计算机科学行动计划(Computer Science for All)”项目对网络安全教育进行投资。特朗普政府的2018财年预算中还包括了这些计划的资金投入程度。


国家网络安全教育倡议(NICE)是NIST领导的在政府、学术界和私营部门之间合作进行关于网络安全教育、培训和劳动力发展一个计划。 NICE于2017年发布了国家网络安全人才队伍框架,该框架为网络安全工作者提供了一个“通用词汇”,用于对网络安全人才进行分类,同时作为网络安全人员计划的指南。 NICE还管理着一些其他项目,如Cyber Seek,一种关于网络安全工作和人员可用性的可视化工具;区域联盟和多利益相关方伙伴关系;教育会议和展览,指定网络安全卓越中心。


2016年7月12日,奥巴马在白宫发布了《联邦政府网络安全人才战略》,该战略详细介绍了政府范围内确定、扩展、招聘、培养、保留和维持关键职能领域有能力和优秀员工的行动,以解决复杂多变的恶意网络威胁。 该战略还确定了解决持久性联邦人力方面挑战的新方法。 “战略行动计划”在12个月内委托了22项具体行动,以支持以下四大目标:

(1)确定人才需求;

(2)通过教育和培训扩大人才队伍;

(3)招聘和聘用高技能人才;

(4)留住和发展高技能人才。


2016年7月的战略很可能会被纳入特朗普政府关于加强网络安全的行政命令的研究中并被取而代之。2016年的战略提出要完成一份建立网络安全人才队伍的充分性的报告。行政命令也要求情报总监办公室提交“潜在的外国网络同行”的人才发展工作方面的报告。 综合起来,这些报告预计将有助于更好地了解美国成就的网络人才竞争力,并形成新政府的网络人才战略。


一些机构,特别是美国国土安全部和国防部,已经获得关键性授权,以更加灵活和简化方式雇用专业的网络安全人员。 2014年“边境巡逻员薪资改革法案”授权国土安全部长在例外部门中设立网络安全职位,并为这些职位制定薪酬标准。OPM还授权美国国土安全部利用直接雇用授权招聘网络安全人员,可以不通过竞争性招聘,如在USAJobs.com上列出一个职位和经验偏好标准。2016财年NDAA还授权国防部长设立一些支持美国网络司令部的文职职位作为例外服务职位。国防部现已制定并开始实施其招聘政策。


美国政府也越来越多地利用“众包”方式接触政府以外的人才。 2016年4月,国防部副部长Ash Carter开展了“黑客攻击五角大楼”的漏洞奖励试点,安全研究人员如果能够发现并提出国防部系统的漏洞,就可以获得相应的奖励报酬。在24天时间里,安全研究人员“攻击”了五个面向公众的DOD网站,其中包括国防部的主要网站。该计划超出预期,共有1,410名参与者,提交了138份有效/特别的报告,58名黑客获得了总计75,000美元117笔赏金,整个计划费用为150,000美元。截至2016年底,国防部已经制定了一个合同渠道,陆军和空军等多个部门都可以运行类似的赏金。美国国防部还鼓励国防部签署了源代码,以便进行漏洞奖励。然而,漏洞奖励并不是每个部门解决方案,因为在短时间内发布的漏洞报告需要相当成熟的漏洞管理能力。


另一个有前景的众包方法是开发针对联邦系统的漏洞披露程序。这些计划允许公众成员—— 其中许多人永远不会或不可能在联邦政府工作——报告在联邦系统中发现的漏洞,而不用担心被起诉。国防部于2016年建立了第一个此类计划,为漏洞提交建立了披露政策、流程和门户网站。它已经产生了明显的结果,通过此渠道报告了数千个漏洞,其中包括数十个严重或特别严重的漏洞。 与漏洞赏金不同,不需要向安全研究人员付款,但披露计划也不是免费的。各机构必须确保与参与者进行良好的沟通,以便摄取和管理漏洞并报告其补救措施;否则参与者可能很快失去兴趣。根据2017年7月发布的司法部框架,每个联邦机构都可以根据漏洞披露政策建立一个漏洞披露政策,原则上最好了解自己的漏洞而不是对他们置之不理。


通过研发筑牢基础


联邦政府是国家重点技术基础研究和开发的重要推动力量。 在网络领域也是如此。 联邦研发投资的结果可以改变网络防御者的工作方式,包括美国政府内部的维护者,例如通过采用更高的自动化、探测异常行为、分析数据和减少软件漏洞。


2016年联邦政府网络安全研发战略计划的基础是努力协调由USG赞助或实施的网络研发工作,以消除联邦资助的网络安全研究中的冗余,找出研究差距,确定研发努力的优先级并确保纳税人投资回报。该计划设定了近期(1 - 3年)、中期(3 - 7年)和长期(7 - 15年)目标,用于威慑、保护、探测和适应恶意网络活动。这些研发目标并非专门为支持联邦政府而设,但有几个将有利于联邦机构,例如:

  • 开发支持所有产品格式、应用程序和生命周期的安全更新机制。(短期)

  • 发现并应用自动化工具来描绘网络,包括实体、属性、角色以及流程和行为之间的逻辑关系。(短期)

  • 使用数据分析来识别恶意网络活动,并以低误报率和漏报率将其与授权用户行为区分开来。(中期)

  • 创建支持软件开发的工具链,每十万行代码中有一个缺陷,相对效率指标为90%,以提高生产力和系统性能。(长期)

目前还不清楚这些目标在特朗普政府下获得多少支持。 2017年8月的备忘录简要介绍了政府在2019财政年度的研发重点。


其他一系列联邦计划旨在推动高回报的创新。 作为国防高级研究计划局(DARPA)于2016年8月举办的Cyber Grand Challenge的一部分,来自世界各地的团队竞相“实现网络防御流程的自动化,将第一代机器应用于实际在没有任何帮助的情况下发现、证明和修复软件漏洞。七台高性能计算机在第一台全电脑”捕获“旗帜演习中相互竞争,洞察未来复杂的自动化如何影响网络安全。 2016年8月,七支队伍竞争测试他们的机器的自动化自卫能力。这些创新 ——特别是与自动化和机器学习相关的创新——可能在未来5-10年对企业和政府保护他们的网络都有重大影响,并保持将攻击者的优势转移到防御者的潜力。


采办现代化


联邦政府每年花费数千亿美元购买商品和服务。 这意味着联邦政府是一个重要的客户,能够利用其购买力来改变支持更强的网络安全。 另一方面,这种权力对整个全球市场的影响力迄今为止只有很少(<1%),并且可能因联邦机构各种或不协调的采购要求而受到削弱。


联邦采购法规(FAR)有关联邦政府所有采购和合同程序的管理规定。 FAR要求部门负责人规定程序,以确保IT采购符合FISMA,公共管理和预算办公室以及NIST网络安全标准和指南。 国防联邦采购条例补充(DFARS)扩大了承包商保护受控未分类信息的要求,要求承包商遵守NIST 800-171,要求承包商报告某些网络事件,并要求保护提供给国防部的承包商信息以回应网络事件。


尽管如此,联邦机构的采办系统面临诸多挑战。采办流程构建的系统没有充分关注网络安全,这意味着各机构必须后续工作中对网络安全进行“修复”。 许多采办流程在文化上倾向于赞成系统性的“特征”,这增加了受伤害的机滤。 (例如,以F-35的综合传感器、电子战能力、监视和侦察能力、雷达、目标瞄准系统、头盔式显示器等为代表的F-35套件)联邦政府至少可以从流程中获益,确保IT组件和系统具备国家最关键和敏感任务所必需的必要可信度。


采购领域和其他领域一样,也面临着技能型网络安全思维型人才短缺的问题。 在软件产品开发方面没有足够的采购专业人员或项目管理专业人员,这意味着采购决策可能会给网络安全带来负面影响。另一个挑战是内部人员和合同供应商受到其他激励措施的引导, 内部雇员可能有更大的动机来关注网络安全。 最后,采办界在IT的“发展”和“维持”合同之间仍存在着区别,这造成了软件和其他IT产品可被视为“完整”而不需要持续维护的错觉。


提升领导力、加强问责制和强化网络安全文化


正如CEO们越来越多地参与网络风险管理一样,联邦政府部门的领导人也越来越多地参与进来。 部门负责人的参与可能会表明部门在总体上是健康的网络安全态势。 但是,高层领导有许多相互竞争的优先事项,以及通过制定有关符合网络安全风险管理的重要学习曲线。 还是需要更好的决策和执行教育工具。


奥巴马政府通过由OMB领导的首席信息官委员会网络安全和总统管理委员会(PMC)部长助理级别的会议,让高级领导人参与了网络安全讨论。特朗普政府加强了对网络安全负责的机构负责人的关注,并且已经 指示所有机构为网络安全风险管理上报一名“高级问责官员”。这种高层次、持续的参与至少可以聚焦联邦机构的网络安全,并作为一种强制力量让各机构保持高级领导人参与。


OMB管理着一个总体记分卡,通过PMC和FISMA报告追踪联邦机构的网络安全状况。,国防部和司法部等多个其他机构开发了内部表单或记分卡来跟踪他们自己的进度。但是,要保持机构对网络安全的关注,需要领导和组织高层的持续参与。 但很少有高级领导人具备培训、工具或主题内容真正达到为其机构掌握网络安全风险管理的水平。


国防部的网络安全记分卡是高级领导人加强对网络安全的理解和问责的工具之一。记分卡由首席信息官负责管理,每月向副部长报告,每季度向部长报告,并每年在高级领导者论坛上进行多次讨论。它是在分析后开发的,已知入侵或入侵DOD网络的高比例利用了基本网络卫生的失败。 记分卡目前主要对网络卫生领域的国防部组成部分进行打分,但随着时间的推移将扩大到描绘国防部核心任务领域的网络安全状况,如核指挥和控制; 空间; 位置,导航和时间; 弹道导弹防御以及其他关键领域如人才队伍和采购等。


虽然自上而下的关注对于机构内部对网络安全问题日益关注至关重要,但也有人争论将更广泛的文化变革推向用户层面。 国防部正在开展一项示范性举措,旨在加强国防部所有员工的忠诚原则、知识水平、程序合规性、形式和备份以及质疑态度。


(全文完)


  拓展阅读   《理解美国联邦网络安全》(上)

国国土安全部《网络空间安全战略》

美国空军如何应对赛博竞争(长文)

2018美国人工智能安全委员会法

《美国机器智能国家战略》

赛博空间作战(一)|(二)|(三)|(四)|(五)|(六)|(七)|(八)|(九)|(十)|(十一)|(十二)|(十三)|(十四)|(十五)|

布鲁金斯学会《AI、政治战与俄罗斯》

《国家利益》杂志:欢迎加入第二次冷战

兰德《现代政治战》


学术plus】 新添加号内搜索功能!

进入公众号→点击菜单【智库扫描】→【搜搜文章】→输入关键词→一键检索文章。

快来试试!



【厚度】学术plus年终巨献:

2017年 你不可以错过的重磅报告们!(全文阅读链接)


【兼职】神秘岗位正在向你招手,敢来么?


【重要】学报投稿必看!

《中国电子科学研究院学报》官方严正声明




    声明:版权归原作者所有。文章观点不代表本机构立场。


 

  • 中国电子科学研究院学报》欢迎各位专家、学者赐稿!投稿链接

     http://kjpl.cbpt.cnki.net

  • 学报电话:010-68893411

  • 学报邮箱:dkyxuebao@vip.126.com

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存