7．第3级：关键部门

第三级之联邦政府

联邦政府的战略目标是显著提高联邦信息与信息技术的安全。为实现该目标，各机构都应该通过建立和实施由如下三个步骤组成的过程，以获得更好的安全性。

第一步：确定并记录机构的体系结构。

第二步：对威胁与脆弱性进行持续性的评估，理解它们对于机构运行和机构资产带来的风险。

第三步：为减少和管理这些风险，实施安全控制和矫正措施。

此外，为帮助私营机构实施如上三个步骤，下文的主要内容与过程将在联邦政府IT安全项目中通过如下行动得以实施：

进行预算和安全估计（由OMB负责）；使政府机构实现系统安全的可追究性。

更好地利用政府采购与集中化管理。

通过联邦政府部门信息系统安全委员会进行结构审查，以便确定、建议和协调联邦安全增强行动。

在联邦政府内部建立信息安全支持性服务办公室。

考虑是否需要开发用于独立的安全审查的专用准则；考虑是否应对合同方进行认证。

问题和挑战

联邦政府的安全由其各部局共同负责。联邦计算机安全面临威胁将给美国和美国人民带来

风险。

历史上，联邦政府从来没有系统地考虑过信息安全问题，而是经常将安全作为事后考虑——在威胁、脆弱性和攻击发生的情况下才做出反应，而非对它们进行预测并试图避免出现安全问题。

为克服这一缺陷，OMB依据法律要求建立了一个政府IT安全项目。该项目可用来确立安全政策，并深入考查联邦机构是否满足安全要求。联邦各机构必须确保每笔投资中都有对于安全问题的投入，以此推进联邦政府的工作流程，而非不必要地阻碍这些机构行使其职能。

（1）联邦政府IT安全矫正过程

确保联邦信息技术安全性的关键步骤是了解各系统中安全与隐私控制的当前效果。一旦确定了该效果，还要实施连续性的风险评估，以始终跟踪系统的安全状态。长久以来，这一方法已经得到了GAO的推荐，并反映到了OMB的安全政策中，而且在2002年《政府信息安全改革法》（GISRA）中也得到了强调。

OMB负责在联邦政府计算机安全项目中开发和监督政府的政策、原则、标准和指南的实施情况。在其法定的框架中，OMB发布安全政策，并确保该政策能够与资金计划和预算指南相结合。监督基本上通过以下方式进行：预算与资金规划过程；独立的项目审查；年度机构项目审查；由总检查长（IG）实施的独立评估；机构提交给OMB的报告；机构安全改正行动计划；OMB提交给国会的年度报告。

通过实施GISRA，联邦机构必须对所有项目和系统进行年度安全审查，IG将对机构的安全项目和子系统进行年度的独立评估。这些审查与评估可与其他应用安全审查一起确定机构在安全实施中的缺陷。为确保这些缺陷得到解决，机构必须为存在脆弱性的各系统与项目开发出正确的行动计划。各系统的矫正计划直接关系到各机构为其系统申请的资金——OMB掌管的系统资助项目可以投放给严重脆弱性矫正工作。此外，机构还必须确保其已经考虑了安全问题，并且在联邦资金规划过程中已经将安全向IT投资做了汇报。OMB政策明确要求各项系统投资中必须包括明确的生命周期安全成本，否则将不予批准对整个系统的资助。各机构必须每个季度提交一份关于在弥补安全不足方面取得的进步的报告。OMB每年要向国会提交对各机构进行安全审查的结果和IG评估报告。

年度审查能确定出系统的漏洞与脆弱性，并可最早揭示联邦政府间的IT安全不足。更为重要的是，通过制定和使用矫正计划，联邦政府已经建立了一个用来追踪脆弱性矫正工作进展的统一过程。

为确保安全能被作为一项关键的管理功能接受审查，年度状态报告将对管理层问题进行关注。OMB与GAO、各机构的IG以及其他专业机构均认为：合理的管理基础是必不可少的，它可确保重要的、但级别位于管理层之下的技术性安全细节得以充分地处理。矫正行动计划和每季度更新策略是联邦机构在了解了其具体的安全项目和系统的矫正工作状况后要作的工作。这些计划包括确定所有的管理性、运行性和技术性脆弱性，列出为矫正这些脆弱性所需的资源、进行矫正所需的时间以及矫正工作能否被跟踪。

（2）现有的不足与弱点

OMB在2002年2月提交给国会的第一个关于政府信息安全改革的报告确定了政府各机构在安全表现方面的6项共同缺陷。

这些缺陷由来已久。OMB与GAO和各机构的IG至少在6年前便发现过这些问题。评估和报告GISRA中提出的要求的落实情况，使OMB和联邦机构可以开发一个崭新的、综合性的、能够在政府范围得以应用的机构IT安全表现基线。这些缺陷包括：

①缺少高级管理层的关注

高级管理人员必须持续性地建立并维护对于自己所负责的系统运行与资产安全的控制权。GISRA指出，安全是一个必须由各联邦机构及其领导负责考虑的管理层职能。

②缺少对于行为绩效的评价

各机构必须对负责实施具体GISRA要求的官员的绩效进行评价。为了对机构的行为进行评估，机构必须对工作和项目的执行情况进行评价，即高级管理人员如何评价各级责任官员是否尽职？他们必须能够对负责机构运行与资产安全的官员的行为进行评价。事实上，在调查中，各机构对这一问题的反应表明其尚缺少对于IT安全相关工作与项目执行情况的审计机制。

③差劲的安全教育与意识培养

各机构必须增强安全教育与意识。一般用户、IT专业人员和安全专业人员需要在对其上级负责之前获得为提高工作效率所需的知识。

④未能在资金规划与投资控制中充分考虑安全问题

安全必须通过有效的资金规划与投资控制被融入到各个系统与项目当中。正如OMB在过去两年的预算指南中所要求的，联邦各机构要就安全投资的情况进行报告。没有在IT资产规划中考虑安全问题的系统将得不到资助。

⑤确保契约服务具有足够的安全性

由于多数联邦IT工程由合同方负责实施和运行，各机构必须确保合同方的服务足够安全。因此，包括电信在内的IT契约需要具备足够的安全要求。很多机构的报告显示，合同中尚缺乏安全控制的内容，或者无法对合同方是否实现了必要的安全要求进行验证。另外，OMB报告还讨论了目前在很多商业软件产品中发现的普遍缺陷。这些缺陷本身不影响软件的效果，但却对安全不利，现在必须在全国范围内讨论这一问题。

⑥未能检测、报告并共享脆弱性信息

很多机构并没有可用于测试的系统或没有监视系统的运行情况。因此，它们无法检测到入侵行为、可疑的入侵和病毒感染。由于响应工作要依赖于检测，各联邦机构的系统及运行面临着巨大的风险。最糟的结果是在没有检测并报告IT安全问题的情况下导致了灾难性毁坏。美国的众多网络互联环境意味着安全状况最好的系统与安全状况最糟糕的系统共同分担着安全风险。

对整个联邦的提早预警要通过其中某个机构的检测开始，而不是位于FBI、GSA、DoD等处的事件响应中心。这些事件响应中心仅是保存着经他人报告得来的信息。报告只能由检测得来，矫正工作要同时依赖于监测和响应。因此，这一需求不是一个技术问题，而是一个管理问题。此外，非常关键的一点是，各机构及其组成部门应及时将所有安全事件报告给GSA的联邦计算机应急响应中心和适当的执法部门（如GISRA所要求的FBI下的国家基础设施保护中心）。

以下是其他的问题和挑战。

（3）鉴别：网络安全的关键

通过伪装为合法用户获得系统访问权限的入侵者具有极其严重的破坏力。依据NIST的《计算机安全介绍——NIST手册》（见www.csrc.nist.gov）的描述，有三种确保用户标识与鉴别的基本方法：依据用户已知的某种事物（如口令）；依据用户拥有的某种事物（如令牌或智能卡）；依据用户自身的某些特征（如生物信息）。强度最弱并且最常见的方法是第一种。该方法的强度最弱，因为可能的入侵者通常能够成功地通过与不知情的用户的对话和相对简单的技术手段获得口令。

如果一个入侵者能够获得某个机构成员的口令，他就能够获得该成员的访问权限并在防火墙后运行，从而可以使用和影响系统资源，并对敏感数据进行实时访问。此外，该入侵者或许也能够访问同一域中的其他系统。

如果这个机构成员具有管理员权限或高级用户权限，入侵者就将获得这些权限并不受任何约束地访问整个网络及其上的全部信息。更糟糕的是，该入侵者还能够获得重要信息，并掌握系统的漏洞，还可在无法被检测到的情况下离开，并在未来的某一天再次入侵该系统并造成更为严重的破坏。

（4）不一致的应急计划

由“9·11”事件之后进行的安全审查所得到的教训表明，联邦机构的通信及其他网络的应急能力具有严重的不一致性，并且大部分应急计划不完整。应急计划是维护网络空间安全的关键因素之一。缺乏充分的应急计划和培训，联邦机构便无法有效应对其服务遭受干扰的情况，也无法确保机构业务的继续正常进行。应急计划必须接受测试，以便确保机构雇员能充分意识到各自的分工与责任。

战略讨论

为充分理解GISRA的意图，联邦政府必须采取综合性的方法来增进网络空间安全状况。很显然，没有一劳永逸的网络安全解决方案。然而，以下三个因素对于联邦政府实现和维持强健的网络空间安全至关重要：

标识并记录下整个机构的体系结构。

对威胁与脆弱性进行持续性的评估，理解它们对于机构运行和资产带来的风险。

为减少和管理这些风险，实施安全控制和矫正措施。

（1）第一步：确定并记录下整个机构的体系结构

作为OMB政策的一部分，各机构必须确定并记录其整个体系结构，包括制定一个权威的清单，记录下所有的操作和资产、所有的IT系统、所有的关键业务运行流程及其与其他机构的相互联系。该清单将使政府充分了解其安全需求。联邦政府目前正在将OMB与联邦CIO委员会的政府机关体系结构活动以及关键基础设施保障办公室的matrix项目相结合，目的在于更好地确定并记录各机构及跨政府的核心过程、不必要的重复域以及缺少必要冗余的领域。对跨机构的业务运行过程中潜在的威胁与脆弱性进行的建模与评估也将从上述工作中受益。

（2）第二步：对威胁与脆弱性进行持续性的评估，理解它们对于机构运行和资产带来的风险

商业化的自动审计与报告机制目前可用于认证系统中的安全控制，并可持续性地理解这些系统中存在的风险。某些民间机构已经增加了对于这些系统的使用，其他更多地机构也应如此。因此，联邦政府将推广对于自动化工具的有效应用，将其用于检测入侵、定期进行脆弱性评估、积极管理并减少威胁，以及持续性地审计IT系统的安全状况（见建议R3-5）。

由于各机构增加了对于自动化工具的使用，联邦政府将会考查采购、运行和管理这些工具是否可以带来某种益处。一个可能但非唯一的方法是由FedCIRC负责对这些工具进行集中部署和管理。该方法能够使脆弱性的标识与报告实现标准化和自动化——这是OMB提交给国会的2002年2月的安全报告中确定的六个主要缺陷之一。

联邦机构的网络上的自动化工具能够对系统脆弱性进行持续性的评估，并收集和分析防火墙和入侵检测日志，对安全配置与安全策略控制进行审计，并自动向FedCIRC报告审计结果。自动化工具可以帮助进行数据分析、提供前瞻性的评估。并对机构运行无法接受的风险进行预警。

同时，各机构及项目官员应继续对其控制下的运行安全与资产负责，并有义务向上级负责。这种责任与义务的分离会使他们误以为安全与其无关，但事实并非如此。在采取任何集中管理方式之前都必须进行慎重考虑（见建议R3-6）。

（3）第三步：为减少和管理这些风险，实施安全控制和矫正措施

实施能够将风险维持在可接受级别上的安全控制，并为确保这些控制的有效性而对其进行测试，这通常能够在短时间内完成。然而，对脆弱性进行矫正非常复杂。软件会经常发生改变，每次升级都会带来新的脆弱性，因此必须对脆弱性进行持续性的评估。矫正的方法通常是打补丁，或安置对主要程序进行升级所需的软件或代码。此外，联邦政府应该在开发和评估可能会为机构运行带来益处的实施方案时，应该采用更为安全的网络协议。当这些安全协议能够为机构的运行带来较好的成本效果时，联邦政府应该带头采用它们。

（4）对用户进行标识和鉴别并维护授权

通过电子政府的e-Authentication工作及其他手段，联邦政府正在逐步获得所有联邦雇员和过程的连续性安全链，包括在适当的场合使用生物智能卡进入建筑物或访问计算机、在用户登录计算机时进行用户身份鉴别。这种做法的益处显而易见。为建立并维护安全的系统运行，联邦机构必须确保系统中的用户具有他们所宣称的身份，并且确保这些用户只能够做经允许的事情。

对系统用户进行标识和鉴别是系统安全链的第一个环节。目前所用的很多鉴别程序是不充分的，甚至配置正确的用户口令也能够被他人使用。然而，依据GAO和其他报告，用户通常并不去改变系统设置的默认口令，用户口令的设置通常有误，并且用户很少对其口令进行更新。

通过进行综合采用强口令、智能令牌和生物技术的多层次标识与鉴别，联邦政府将消除很多目前存在的显著安全问题。通过正在进行的e-Authentication行动，联邦政府将审查对于强访问控制和鉴别的需求；扩大所有能够采取相同的物理与逻辑访问控制工具和鉴别机制的部门的范围；进一步促进部门间的一致性与互操作性。

（5）系统配置管理

通过PCIPB的行政部门信息系统安全委员会和政府范围的体系结构开发活动，OMB正寻求在联邦机构范围内获得更好的系统一致性的方法以及能够通过对安全过程进行简化和一致化来增强安全效率和效果的方法。

通过预算过程，联邦政府将鼓励各机构对商业自动化工具进行投资，从而帮助它们确保能对各自的体系结构和系统配置进行正确维护。正如联邦CIO委员会的《联邦体系结构实践指南》中讨论的，配置管理对于体系结构维护非常关键。CIO委员会的指南见www.itpolicy.gsa.gov/mke/archplus/ea_guide.doc。

该指南也描述了对于将定期配置审计作为这一体系结构的控制特色的需求。目前有很多商用的自动化工具均可实现这类审计。配置控制对于安全性有着偶发但重要的意义，即控制系统配置允许机构在整个系统或网络范围内以更有效、更经济的方式实施安全政策和授权，同时也进一步简化了防病毒软件的安装和其他软件的升级与打补丁过程。

（6）政府外包与采购中的安全性的提高

通过OMB的联邦采购政策办公室、联邦采购规则委员会和联邦机构信息系统安全委员会的合作，联邦政府正在试图确定能够增进机构合同安全和评价整体联邦采购过程安全的方法。对外包工作中的安全的维护是OMB在其2002年2月提交给国会的报告中所确定的最主要的安全缺陷之一。

此外，联邦政府正在对NIAP进行综合审查，目的是确定NIAP能在多大范围内解决商用软件中的安全缺陷。审查内容将包括在实施国防部2002年7月发布的政策后得来的经验教训。该政策要求政府采购经NIAP或其他类似评估过程认证过的产品。该政策强调指出，如果一类产品中有的产品通过了评估，则DoD的单位必须采购这些经评估的产品。如果目前还没有通过评估的产品，则DoD的单位必须要求未来的经销商提交其产品时接受评估，以便考虑是否采用该产品。

经过这一过程，联邦政府将评估把该过程扩大至所有联邦机构的成本有效性。如果可行，它不仅将增强政府网络空间的安全，而且将最大可能地优化政府的购买力，从而影响市场，提高、改进所有消费者IT产品的安全性。联邦政府意识到，过去的很多类似努力都失败了，但是政府相信，政府与消费者对IT产品缺陷的不断关注将推动未来的新的类似工作。

战略框架

（1）采用机构负责制

在当政初始，布什总统曾号召加强联邦政府的管理。自2001年2月的预算蓝图开始，到2002财年与2003财年的预算中，以及在其管理改革日程中，布什总统均重申了清晰的政府改革日程，下令通过五项政府级的行动来共同推进政府来实现更好的改革效果，可见www.whitehouse.gov/omb/budget/fy2002/mgmt.pdf。由于建立并维持一个有效的安全项目是稳固管理的基础，联邦政府正在采用总统的管理日程计划来建立其工作基础，以推动安全项目的改革。

管理日程计划中的行动之一——扩大电子政府激发了对信息技术与网络的利用并提高了政府的工作效率。本战略将通过确保电子政府行动及其所依赖的基础设施的安全性来对这些工作进行补充。联邦政府将更为积极地对威胁与脆弱性进行预测，尽可能消除它们，并在不可能消除它们的情况下保护自己。这样，联邦政府将成为国家关键基础设施的全部所有者和运营者的榜样。

良好的目的和好的开端并不是这一行动成功的关键。政府需要的是效果。为明确责任并衡量工作效果，政府将做以下三件事。

分析联邦机构的安全绩效证据，评估该机构对政策的遵循性。GISRA要求联邦机构对其信息安全项目与实践进行独立的年度评估并向OMB报告评估结果。这些报告包括机构内的系统与项目中所有的安全缺陷以及带有具体阶段性目标和时间表的安全状况改进计划。这些报告将同预算过程相结合。该机构向OMB提出的信息技术资助请求必须考虑安全的生命周期代价，否则该请求将不被批准。OMB将利用这些数据对机构的安全运行情况进行评分。OMB的首轮安全报告已经在2002年2月提交给了国会（www.whitehouse.gov/omb/inforeg/fy01securityactreport.pdf）。

利用管理“评分表”评价联邦机构的进步。对总统发布的每个管理日程计划，OMB均采用了行政部门管理“评分表”，即一个目前在商业界普遍使用的简单的“交通指示灯”分级系统。“绿色”代表机构业务的运行是成功的，“黄色”则代表了多种混合结果。在电子政府的“评分表”中，OMB便以此来评价各机构安全状况（www.whitehouse.gov/omb/memoranda/m02-02.html）。

对于联邦机构的资金决策以该机构的网络安全状况为基础。在随后的3年时间中，联邦政府可能在IT安全（包括研究和开发）上投资200亿美元。OMB将在对各联邦机构的IT资助请求进行预算决策时继续同时采用“评分表”和GISRA的安全报告制度。OMB的政策非常明确：对于安全状况糟糕，或者在其IT资助请求中未考虑生命周期代价中的安全问题的联邦机构，其资助请求将得不到批准（www.whitehouse.gov/omb/memoranda/m00-07.html）。

这些评价将有助于确保各机构通过开发并维持其稳固的安全管理的途径改进和维护整个联邦政府的安全状况。联邦机构的运行与技术性安全控制均建立在其安全管理的基础之上。管理基础则包括：进行明确并且无二意性的安全职责分配；在责任履行上采用官员负责制；在预算与资金使用计划过程中结合考虑安全要求。

（2）成立信息安全支持性服务办公室

“建立一次，使用多次”的方法要求由一个中心机构来负责管理并资助某些安全工作。另外，信息技术日益增加的复杂性正在给很多机构（尤其是小规模的机构）造成明显压力，迫使它们开始讨论各自的安全要求。对于联邦民事机构，国土安全部下设的一个办公室能够执行这些支持功能。该办公室将在OMB的目标指导下运行，办公室中包括来自其他机构的资源，并能够帮助OMB、NIST、CIAO和其他一些机构承担其责任（建议R3-9）。

（3）联邦网络空间事件响应计划

总统关键基础设施保护委员会下设的事件响应委员会正在扩展由FEMA（www.fema.gov/rrr/frp/frpintro.shtm）负责维护的联邦响应计划（FRP），在其中加入对网络空间事件的响应。FRP已建立了一个有关过程和组织结构，用于系统地、协调并有效地实施联邦服务，以便解决《Robert T Stafford灾难救济和应急救助法》中所谈到的大规模灾难或紧急事件。EPR扩充后将在发生大规模网络威胁或攻击的情况下确定领导机构的角色、职权和联邦网络响应管理政策。该文将以附件形式提出一个综合性的应急计划，详细描述联邦政府应如何对大规模网络事件做出响应。

当前工作的一个重要的副效应是使事件响应能力朝着更加高效和协调的方向发展。改进后的能力中的一个关键组成部分是显著增强的分析和预警能力，包括由事后分析观点向事前预测观点的转变。联邦政府目前正在加强和统一各机构针对其通信网络和信息系统所制定的偶发事件与灾难恢复计划。

（4）安全战备实践

为了对民事机构的安全战备状况和应急计划进行测试，联邦政府正在考虑采用基于演习的行动来评估某个威胁对于选定的跨政府业务过程的影响。一个可能的方法包括在政府范围内进行网络空间安全演习。该方法与国防部1998年在“合法接收方（Eligible Receiver）”行动中所采用的方法类似，并且将通过各参与机构的合作得到发展。演习将涉及包括物理、运行、信息和系统在内的绝大多数安全原则。演习中，将查看这些面向具体机构的演习和独立测试是否能够揭示低概率事件对互联系统和过程造成的严重影响。演习中发现的脆弱性将列入机构的GISRA矫正计划中（建议R3-8）。

（5）尝试建立一个独立的联邦通信与信息系统基础设施

联邦政策正在强调各机构必须规划并提供包括通信在内的操作持续性。这一计划和服务支持应该在政府内部保持一致，希望创建新职能的联邦部局应该首先审查跨机构间的共享协议。

联邦政府将评估在服务中断时各种应急替代方案的可行性和成本有效性，如VPN、专网等（建议R3-6）。

（6）为独立的安全审查和认证而开发专用标准

随着安全重要性的日益增加，对于机构的安全项目与措施的独立检验和认证的需求也在增大。GISRA和OMB的实施指南中均要求联邦机构的项目官员和CIO至少对其项目的安全性进行年度审查，但很少有联邦机构能拥有合格的审查人员，因此他们经常把该项工作承包出去。

联邦各机构和OMB已经发现，承包商的安全专业水平参差不齐，既有真正的专家，也有难以令人满意者。此外，很多独立的认证承包商同时也在从事安全项目的实施工作。因此，它们对于项目的审查将带有个人偏好。事实上，OMB在2001年已得知一些安全服务提供商被实施项目时同样的机构邀请进行年度的GISRA项目审查。在对某个联邦机构的网络空间安全情况进行评估时，应该避免涉及利益冲突方。

联邦政府将确定是否应要求联邦政府的安全服务提供商——私营部门通过某种最低的能力度的资格认证，包括认证这些私营部门的独立性。国家安全界已经开始对在敏感环境中工作的安全服务提供商进行此类资格认证。所获得的经验将被用于考虑将该方法在应用于其他联邦政府领域时成本有效性。

该方法的内容之一是对满足具体的公开性准则的服务提供商颁发营业许可。这些准则的内容既涉及安全专业级别（包括这些服务商对所有的政府要求具有透彻的理解力），也涉及服务提供商的相对独立性。为确保独立性，机构必须避免雇用其现有的（甚至先前的）安全服务承建商进行该机构的安全项目审查工作。

计划中所有这些建议均不会危害GISRA下设的各联邦机构总检查长的职责。OMB将继续视总检查长为促使机构改进其安全运行情况的主要力量。事实上，总检查长将直接通过实施该计划获益，即从中获得进一步的独立性和专业性信息（建议R3-2）。

（7）由PCIPB的行政部门信息系统安全委员会实施的高级审查

除前述的行动外，OMB委员会还正在对很多安全问题进行审查，以通过保障各机构的运行而获得更大的收益。为了了解安全政策对于各机构项目与业务运行所产生的影响和作用，该委员会的成员包括了来自联邦政府很多部门和机构的官员：首席信息官、首席财务官、总检查长、采购执委、小机构、运行性项目官员、人力资源官员和预算官员。

该委员会当前以及计划中的活动包括对目前政策与过程的缺陷分析、对政府范围内通用风险等级划分方法可行性的评估，以及审查是否需要为相似的运行过程、资产和系统开发一致的安全措施和基准。其中，后两者体现了“建立一次，使用多次”方法。

（8）当前政策与过程的缺陷分析

需要审查目前非国家安全应用中的IT安全政策、标准和指南是否存在缺陷，具体内容包括：它们是否能在具体的细节和所涉及范围上满足联邦各部门与机构的需求，并且能帮助各机构去增进其安全实施状况？考虑到现有政策在所有相关机构与组织中的具体应用情况，这些政策的开发过程是否需要保持高效并且有效？在需要改进的情况下，委员会将提供适当的建议。

（9）划分风险等级

对联邦各机构和其他组织目前的风险评估实施活动进行审查，并判断是否需要制定一个适用于所有机构的风险等级划分的统一策略。业已开始考虑的一个问题是：在政府范围内采用通用方法（如用于确定高级、中级和初级风险暴露情况的具体矩阵）是否能够降低复杂性，简化基于风险的安全控制工具的使用，并且增进不同机构彼此间的互操作与信息共享？

（10）对于类似的运行过程、资产和系统采用统一的安全措施或基准

PCIPB将考查针对前述的风险定级工作中划分的高、中、基本三类风险等级的应用，是否有必要制定统一的安全措施，以及制定统一措施所能带来的益处。委员会将研究在不同联邦部门与机构中对业务运行的安全实施、维护和监视是否能够减少成本并增加类似这些运行的安全性。

这项工作中还将对若干假设进行测试。首先，很多机构的项目和IT运行情况在本质上是相同的（如电子邮件、Web服务器、金融系统、通用支撑性系统或网络），并且具有基本类似的安全要求。其次，集成了所有可适用的安全策略和技术指南的统一安全措施将简化，并缩减类似活动中的安全成本。最后，统一的安全措施在风险划分等级得以统一后要具有可行性。

（11）整个政府范围应采取的步骤

上述的大部分内容的一个共同目标是统一并简化安全项目和过程，以及在整个政府范围内实现安全的一致性。这种用来实现政府安全的“建立一次，使用多次”的方法与电子政府行动和OMB为各机构下发的2004财年预算请求准备指南保持了一致。OMB指南指出，OMB将优先考虑那些跨政府实体的大规模技术采购行为。有关OMB2004财年预算指南的具体内容见（www.whitehouse.gov/omb/circulars/a11/01toc.html）。

保护国家基础设施的一个主要目的是确保存在一个国家环境——包括人、过程和技术，以在联邦政府、地方和州政府以及私营部门之间实现重要的反恐信息的整合。我们必须拥有一种能在任何时间均能够为正确的人提供正确的信息的正确机制。通过采用信息技术，美国各地的国土安全官员将能够对威胁和脆弱性获得完整和共同的认识，也能够获知可被用于减缓这些威胁的人员和资源情况。这些官员将从各级政府和私营部门那里获得所需信息，以便预测威胁并迅速有效地对其做出响应。对这类信息的整合将促使这些官员更好地保护物理和网络基础设施、保护美国的国家边界、预防生物或化学攻击，并在第一时间对恐怖分子或自然灾害事件做出有效响应。

①主要战略目标

在州和地方政府以及私营部门之间建立稳固的合作。

确保采用领先的信息技术并将其作为预防和检测恐怖主义活动的防御性武器。

推动国家与国际信息集成与信息传输标准的形成。

开发新的服务交付模型与业务运行模型，使政府能够使用所获的政府范围之外的信息。

②当前目标

在联邦机构范围内实现对国土安全至关重要的信息的整合（横向整合）。

在联邦、州和地方政府以及私营部门之间促进对国土安全至关重要的信息的整合（纵向集成）。

通过正确使用信息技术、产品和服务，指导国土安全国家战略的实施。

③待解决的主要风险

在增强安全的同时维护隐私。

制定合理的政策与法律。

在文化信仰与多样性方面进行均衡。

整合重复性的工作。

克服政治和文化障碍。

针对新技术确保适当的安全措施。

④在建议性的信息整合战略中的主要工作

开发一个业务驱动的国土安全体系结构。

实施国家的国土安全信息港湾（即其Web站点）。

密切关注联邦“监视”列表中的内容。

各州之间共享执法信息。

建立一个数字化的国家国土安全信息中心。

将数字化智能代理用于预防和检测恐怖主义活动。

第三级之州和地方政府

州和地方政府已经设立了各自的战略目标，以实现和维持其保护关键信息基础设施的能力，防止那些有可能严重削弱州和地方政府的治安和关键性社会服务能力的自然事故或人为事件发生。

问题和挑战

美国各州提供的服务构成了数百万美国人民的“公共保安网”。这些服务包括重要的社会保障活动以及关键性社会保安职能，如执法和应急响应服务。各州还拥有并运营着很多关键基础设施系统，如电能和传输系统、运输系统、供水系统等。它们扮演了一种催化作用，能够把州内提供各项关键服务的各方召集到一起，共同对发生的危机进行防备、响应、管理，并从危机中实施恢复。在我们的联邦系统中，州政府提供的关键服务使其担负着特殊的角色和责任，使州政府因此而成为了一个关键基础设施部门。

由州政府实施的很多这样的关键职能都必然地与IT紧密相连，包括福利金的提供、因执法目的而以电子手段访问犯罪记录、州政府的公共事业和运输服务的运转。我们要能够阻止攻击，或在攻击事件发生时迅速响应，这样才可确保这些服务能全天可用，才可提供公众所期望的关键服务。

IT系统使州政府具有了前所未有的效率和响应能力。公民对这些IT系统以及这些系统上收集并存储的数据的完整性所持的信心是很重要的，它能使这些IT系统的优越性得到进一步的体现和充分利用。

战略讨论

随着对集成系统的不断依赖，州、地方、联邦机构不得不联合起来对付网络攻击。系统保护信息的共享对于确保政府的连续性来说是很重要的基础。各州已经采取了很多机制来促进对网络攻击信息的共享以及对攻击事件的报告。当新的政策出台以及新的技术解决方案出现时，这些机制还在不断地更新和改善。除此之外，州政府正在探索某些方法来改善对内、对外的信息共享。这些方法包括以立法的形式为网络安全提供进一步的资金和培训项目，还包括在州、地方、联邦政府之间组建合作联盟来共同对付网络威胁。

被多个州政府用来解决网络空间安全问题的机制包括：

政府架构。很多州政府已经建立了IT安全政府架构，用来指导和颁布本州内的网络安全策略。其功能包括为州长制定策略建议，并建立恢复优先级列表，以应付政府的多个机构同时瘫痪时出现的局面。很多州的实例中，网络安全委员会包括了政府和有关机构的所有部门。此外，某些州的架构中还包括地方政府，因为它们意识到了地方系统与州系统的互联性。

设立州首席信息官（CIO）和首席安全官（CISO）角色。CIO和CISO将负责检查安全策略，监督关键信息系统的实现和维护。

州政府的国土安全活动。国土安全主管领导认为，州政府的网络系统对恐怖分子的袭击呈现高风险性。因此，州政府正在加强其网络基础设施，并在州信息系统中实施了鉴别和授权过程。各州的策略制定者以及技术专家正在向公众做推广工作，以教育他们如何去保护自己位于家中的信息系统。

执法

州和地方政府在应急执法领域担当着重要角色。作为一个关键基础设施部门，应急执法服务（ELES）是应急服务部门的一部分。在危机时期，ELES部门的连续性运行对于法制、公共福利保护、公民自由和隐私权的保护以及后果管理都十分重要。

ELES部门由超过18000个的联邦、州、地方机构组成。在一次由基础设施部门负责的信息系统脆弱性调查中，来自其中1500多个的机构的响应表明，这些组织已经越来越依靠信息与通信系统来执行其关键任务。这些系统面临的威胁在不断增长。这些ELES部门还依赖其他的关键基础设施，如能源和电信基础设施，而它们也容易遭到网络和物理破坏。

ELES部门的关键基础设施保护计划展现了该部门为了确保其能够连续性地实施关键性应急执法职能而做出的初步战略。该计划代表了国家基础设施保护中心（NIPC），受命的ELES部门领导机构、ELES论坛、来自于州和地方以及联邦非FBI机构的资深执法官员的联合努力。设立ELES论坛的目的是支持ELES计划的制定，使该论坛成为国家级应急执法事项的积极提倡者，并实现ELES界之间的联系。

该计划展现了ELES部门用来确定其最关键的资产、评估其脆弱性、制定修补和减缓计划的框架。它还提供了关于NIPC的威胁警报及通告系统的有关信息，以及各类基础设施和与信息安全相关的培训项目的信息。其伴随文档《州和地方政府执法机构指南》可以使ELES部门内的机构用来实施该计划中建议的活动。

这个指南可以作为ELES部门的基础性的基础设施保护教育和意识培养项目的文档。每个执法机构都有其运行的独立性，都要为其自己的基础设施保护做出响应。因此，任何部门级项目的成功都要依赖于每个机构去自愿地实施其计划中建议的各项活动。在国家级，ELES部门领导层将在跨部门的规划和活动实施中一如既往地担任ELES部门的代表。

第三级之高等教育

美国的各个高等教育机构（IHE）——大学、四年制学院、社区学院已经制定了其有关目标，以采纳并实施某一特定级别的信息系统和网络安全项目，从而保护敏感信息并阻止系统被用作攻击其他系统的跳板。为此，各IHE确立了如下的行动框架：

在高等教育中，使IT安全成为优先课程。

更新安全策略，改善对现有的安全工具的使用。

提高未来的研究和教育网络的安全性。

改善高等教育、工业界、政府之间的合作。

把高等教育中的相关工作纳入国家的基础设施保护工作之中。

问题和挑战

最近的经验显示，很多不安全的计算机系统可以追溯到高等教育的校园网络，这些网络往往已经被黑客各个攻击后成为发起拒绝服务攻击或威胁Internet上其他不相干系统的平台。这些攻击威胁的不仅仅是目标系统，而且还有系统的业主以及期望使用系统上的服务的用户。

IHE容易遭到这样的攻击，原因来自于如下两方面：（1）它们拥有巨大的计算能力；（2）它们允许对这些资源的相对开放的访问。IHE拥有的计算能力很大，覆盖了3000多所学校，很多院校拥有研究性计算设备以及巨大的中央计算设备。研究和教育机构占据了约15%的Internet域名。就这个规模而论，敌人渗透和“劫持”IHE系统的目的，是可以借此发起对第三方系统的网络空间攻击（即“僵尸”现象）。它们无意中置其他基础设施部门于危险之中。

IHE还拥有大量私有或保密的学生和员工信息。这些敏感信息（如疾病信息或医疗记录、学生信息、人事档案、敏感的研究信息）都放在大学的系统数据库中。于是，IHE必须考虑更为广泛的网络空间的安全影响。

虽然IHE必须保护信息的隐秘性，阻止对其系统的恶意使用，但它们还必须提供一个供学生学习、供研究工作有效进行的环境。这两个需求并不是天生要发生冲突的，但IHE在制定其网络空间战略时必须同时考虑这两方面的需求。

战略讨论

总的来说，高等教育界已经在行动上做了一些工作，以组织其成员来增强美国校园的网络安全，并协调它们的行动。最值得称道的是，通过EDUCAUSE，高等教育社会已经开始了对国家战略制定一事的关注，包括高等教育的最高级领导，如美国教育委员会以及高等教育IT联盟。尤其是经过这些努力，一些上层大学的校长们已经采纳了五点行动框架，承诺要优先考虑IT安全，并要采纳那些对于实现更高的系统安全所必需的策略和措施。

美国的学员和大学还采纳了未来行动的工作安排表，以对付IT安全和信息保障的挑战。比如，除了国家科学基金会（NSF）外，EDUCAUSE正在组织四个工作组。

第一个工作组将把高等教育界的领导们组织到一起，建立能够支持高等教育任务的安全战略原则。大学中研究界的代表们还将聚在一起，确定涉及教员和学生科研活动安全的有关问题、事项、和解决方案。

第三级之私营部门

私营部门在保护网络空间安全方面扮演着中心角色，这是因为私营部门拥有并操作着非常多的国家基础设施，也因为这些基础设施所依赖的网络空间系统。某些关键基础设施部门已经花费了很大的努力来协调基础设施保护计划的制定。在这些过程中，私营部门确定出自己的战略目标，以保护由其拥有并运行的关键信息基础设施。这些计划对于美国政府面临的安全挑战的规模、范围、特征提供了无以估价的深入观察。

私营部门的计划对不同工业部门面临的挑战进行了具体的综述，并提供了它们为对付这些挑战而正在采取的措施。而且，工业界制定安全计划的活动还推动了网络空间安全的前进，因为它们建立的是一种行动步骤，私营部门可以在这些步骤中确定它们需要解决的安全问题；制定安全计划的活动还方便了基础设施保护事项的优先级的排序，在公共-私营合作联盟中，这种优先级的确定是必要的。

问题和挑战

网络空间的安全是一项共同承担的责任。没有一个工业部门可以完全对其安全负责，没有一个政府实体可以独自保护网络空间安全。应布什政府的要求，美国的关键基础设施部门已经采取了前所未有的努力来针对网络空间和物理安全的保护而制定关键基础设施保护计划。各类部门的战略中分别描述了各工业部门为保障其关键的基础设施运行不会受到网络空间攻击或物理事件的破坏或危害而正在采取的行动。私营部门的计划旨在加强基础设施安全并对联邦政府的安全规划工作提供补充。所有这些计划都为一个真正的国家战略奠定了基础。

关键基础设施合作组织（PCIS）是一个由关键基础设施公司组成的非营利机构。它的成立就是为了解决基础设施保护涉及的复杂问题。PCIS由8大基础设施部门中的60多家会员公司和13家政府机构组成，这是一种联合性的努力。

PCIS的任务是协调跨部门间的基础设施保护活动，为公共-私营部门的安全工作提供补充，以便当经济和国家安全出现风险时，能够保障关键基础设施服务的可靠提供。

PCIS和CIAO已经审查了表中所列的各基础设施部门安全保护计划，并对各部门中的公共事项和所关心的问题作了摘要。PCIS/CIAO的分析报告可以在PCIS网站上得到（www.pcis.org）。

拥有和操作关键基础设施的各公司们面临着六项共同的挑战。为加强基础设施的保护工作，这些挑战必须得到解决。它们包括很广泛的议题，如基础设施互依赖性、研究和开发、教育和人员培养、信息共享和分析、公共政策和法律挑战、国际事项。

（1）基础设施互依赖性

在过去的10年间，美国的基础设施已经把IT和网络空间集成到了其运行的所有方面。

与IT的迅速融合带来了巨大的效率，促进了革新，增强了服务的可靠性。但与专有系统相分离的不同基础设施之间，一旦需要相互集成，这种集成就会产生很多复杂的互依赖性问题。在很多情况下，这种互依赖性还没有得到充分的理解。

工业界正在与政府合作，努力理解这种存在于各基础设施部门与政府间的复杂的互联性问题。特别地，人们开始关心从一个基础设施部门到另一个基础设施部门的级联问题。有必要开发相关工具和方法来实施网络空间的风险建模，以消除掉脆弱性并发展合适的风险转移机制。保险界和再保险界已经开始实施很多努力去支持这些工作。（若需更多关于保险界的有关信息，请参阅www.pcis.org或www.ciao.org。）

（2）研究和开发

网络空间的安全研究和开发（R&D）是私营部门必须解决的另外一项挑战。在私营部门中，每个工业领域都有其独特而具体的R&D挑战，这些挑战已经得到了每个工业领域的解释，并且可以在它们各自的计划中找到。还有某些R&D挑战的交叉性更强一些，并且包含了诸如脆弱性评估方针和应急规划中的最佳实践措施等事项。

（3）教育和人员培养

对基础设施安全的改善要以人为基础。高级管理、技术人员、雇员群体都扮演着重要的角色。当高级管理层开发了旨在提高网络空间安全风险意识的项目时，它们随后就可以设置管理策略来促进基础设施的安全性。然而，为了实施这些管理策略，基础设施还需要去雇用经过良好培训的技术人员。而合适的技术人员的获得要大大依赖于教育和培训项目。最后，一个基础设施部门的安全将依赖于雇员能够遵循机构的计算机安全策略的综合水平。在促进所有基础设施的网络空间安全方面，上述三项因素扮演着决定性的角色。

（4）信息共享和分析

工业界和政府正在联合促进信息的共享和分析。当前，一些独立的关键基础设施部门正建立能够在其作用范畴之内实现安全信息共享的机制。而且，还有几个基础设施部门正不断开发进一步的手段，使它们能借此超越其自身的工业领域，在跨部门间以及与政府之间共享涉及威胁、脆弱性、对策和最佳实践措施的信息。

（5）公共政策和法律挑战

在各自的计划制定中，每个部门都确定了很多公共政策，在某些情况下，还指出了有可能阻碍其基础设施保护和网络空间安全的一些法律问题。在分析报告中，PCIS提供了对私营部门的这一问题更加详细的讨论。

（6）国际事项

网络空间安全是一项国际性的挑战，它不是由任何物理的国家边界所包围的。多个部门的操作都横跨了国际边界。因此，全球基础设施领域正在努力保护它们的公共信息系统的可用性、完整性和可靠性。

战略讨论

（1）培育更加有力的公共-私营合作联盟

信息共享和分析中心（ISAC）在国土安全和网络空间安全中扮演着越来越关键的角色。ISAC一般都是一种由工业界领导的机制，用于收集、分析、过滤、传播同特定部门相关的安全信息。由各基础设施部门设立的ISAC是为了满足其响应需求，并由ISAC的成员提供基金支持。（电信界的ISAC位于国家通信系统局，由政府资助。）各ISAC通过国家基础设施保护中心（NIPC）与联邦政府密切合作，互相交换关于威胁和脆弱性的信息，并通过CIAO来实施协调和规划工作。总统提议成立的国土安全部将整合NIPC、CIAO以及联邦其他网络空间中心，以使信息共享机制流畅化，并增强基础设施的分析能力。

建立信息共享和分析中心需要部门内的大量合作，还需要建立一个清晰的业务模型。虽然各ISAC均不相同，但不论是新建还是已建的ISAC都必须克服很多挑战，包括改善基础设施业务在ISAC中的参与情况；增强威胁信息的时效性和效率；克服信息共享面临的困难。一些基础设施部门已经或正在规划建立它们自己的与其具体的工业领域相关的ISAC。

在很多部门间，ISAC正在发展和成熟，包括电信、金融服务、信息技术、供水、运输、电能、石油和天然气、化学、食品、州政府以及其他领域。它们吸收了各个领域内的技术专家，能够促进安全事件的管理和解决。

为了响应未来的挑战，ISAC可能需要链接到政府的预警和分析中心。故当前某些努力工作还在进行，期望考查ISAC进行互联以及与关键性的政府中心相链接时的优势。这可能会促进关键基础设施信息的及时流动，并可以加强危机管理工作。

当ISAC成熟时，国家对网络空间事件和攻击的响应和管理能力也将会变得成熟。除此之外，联邦政府和ISAC可能会研究基础设施的分析功能所面临的挑战，并圈定一批有可能用来对脆弱性、攻击行为以及修补活动进行可视化和理解的有关方法和工具。

若有必要，联邦政府有可能会通过ISAC来提供技术援助，以帮助制定关键基础设施的应急和危机管理计划。除此之外，联邦、州、地方政府也可以探讨有关的途径，在发生重大破坏事件以至于对该事件的处理已经超出了一个或几个公司的能力范畴之外时，对响应和恢复活动进行协调。