美政府“国家网络安全综合计划(CNCI)”揭开神秘面纱
作者:管理员    发布于:2014-10-10 16:46:06    文字:【】【】【

美政府“国家网络安全综合计划(CNCI)”
揭开神秘面纱
US Government Unveiled the Mysteries of the Comprehensive National Cybersecurity Initiative (CNCI)

中国信息安全认证中心   陈晓桦,左晓栋
China Information Security Certification Center,  Chen Xiaohua, Zuo Xiaodong

美政府“综合性国家网络安全计划(CNCI)”揭开神秘面纱.pdf

一、引言
      2008年1月,时任美国总统布什发布了一项重大信息安全政策,称为第54 号国家安全总统令(NSPD54),同时也是第23 号国土安全总统令(HSPD23),其核心是国家网络安全综合计划(CNCI,Comprehensive National Cybersecurity Initiative)。CNCI是美国政府对重大信息安全行动做出的总体部署,被美国一些媒体称为信息安全的“曼哈顿计划”。这个计划早在2007年便已提出,通过NSPD54/HSPD23上升为强制性的政府命令。CNCI十分敏感,被以国家安全的原因列为高度机密。其预算也对外界讳莫如深,但美国国内很多分析家认为,CNCI在若干年内的预算可能达到400亿美元。而据媒体报道,布什在2009财年情报预算中的最大单笔预算请求便是为支持CNCI;在2010财年,仅国土安全部(DHS)的CNCI项目预算便有3.34亿美元;最近的2011财年预算报道则透露出,美国政府在下一财年为CNCI提出的预算请求为36亿美元。
      CNCI甫一出台便引起了广泛关注,但各界均对这一计划对外保密持批评态度。舆论普遍认为,信息安全行动需要政府和私营部门的密切合作,需要所有人的共同努力,且政府的信息安全行动往往涉及到监控及与之有关的公民隐私保护等问题,因而将这一计划保密的做法十分不妥。2008年6月,参议院国土安全和政府事务委员会致函国土安全部,要求了解CNCI的细节信息以及国土安全部在CNCI中的角色。国土安全部虽然被迫对一些敏感问题作了回复,但这份回复在对外公开时仍然以黑墨覆盖了多处敏感内容。国土安全部负责网络安全和电信的助理部长格雷戈里•加西亚也曾感慨,CNCI中保密的内容过多,这对官员发言和表态很不方便,使其不得不在提高公众认知度和避免因泄露过多信息而获罪之间小心翼翼地踱步。
      美国政府在国会和公众的压力下,于2008年下半年还是公开了CNCI的12项重大活动的基本信息:(1)通过可信因特网连接把联邦的企业级规模的网络作为一个单一的网络组织进行管理;(2)部署一个由遍布整个联邦的感应器组成的入侵检测系统;(3)寻求在整个联邦范围内部署入侵防御系统;(4)对研发工作进行协调并重新定向;(5)把当前的各网络行动中心相互连接起来,加强态势感知;(6)制定和实施一个覆盖整个政府部门的网络情报对抗计划;(7)增强涉密网络的安全;(8)扩大网络安全教育;(9)定义和制定能“超越未来”的持久的技术、战略与规划;(10)定义和发展持久的遏制战略与项目;(11)建立全方位的方法来实施全球供应链风险管理;(12)明确联邦的角色,将网络安全延伸到关键基础设施领域。
    2010年3月2日,奥巴马的特别助理和网络安全协调官霍华德•施密特在RSA会议上宣布,为了体现奥巴马做出的“实现前所未有的政府开放性”的承诺,政府的信息安全工作将尽可能透明,为此政府解密了CNCI的概要部分,以期提高大众的集体知识,并使全社会各方之间的合作关系更加稳固。与此同时,美国政府审计办公室(GAO,由原审计总署更名而来)也于3月初发布了对CNCI执行情况的审计报告,这为我们了解CNCI提供了更多的信息。
    以下部分摘录了CNCI摘要的解密内容,并对有关情况进行了分析。最后,通过政府审计办公室发布的审计报告,进一步提炼了对我们有价值的信息。
二、CNCI摘要的解密内容
    1.通过可信因特网连接把联邦的企业级规模的网络作为一个单一的网络组织进行管理
    Manage the Federal Enterprise Network as a single network enterprise with Trusted Internet Connections
    可信网络连接活动由管理和预算办公室(OMB)及国土安全部领导,涉及到对联邦政府的外部访问点(包括连接因特网的访问点)进行整合。整合后将实施一套统一的安全解决方案,包括:减少外部访问点;建立基线安全功能;以及对各机构符合这些安全功能的情况进行验证。在可信因特网连接(TIC)活动中,各机构或者作为TIC访问提供商(只有数量有限的机构可以自己有这种能力),或者通过总务管理局的NETWORX合同制度与商业化管理的可信IP服务(MTIPS)提供商签订合同。
    2.部署一个由遍布整个联邦的感应器组成的入侵检测系统
    Deploy an intrusion detection system of sensors across the Federal enterprise
    入侵检测系统使用的是被动的感应器,当非授权用户试图访问联邦网络时可以做出识别,这构成了美国政府网络防御体系极为重要的部分。国土安全部正在部署一批基于特征的感应器,能够对进入联邦系统的因特网流量进行检查,以发现非授权的访问和恶意的内容,这是爱因斯坦2(EINSTEIN 2)活动的一个组成部分。爱因斯坦2使用了基于特征的入侵检测技术,可以通过分析网络的流量信息来查找可能的恶意活动,这是通过对进出美国政府网络的流量自动进行全封包检查来实现的。与技术上的投入相关的是人力的相应投入,要实现国土安全部已然增多的网络安全使命,就离不开这些人力。当联邦网络流量中出现恶意或可能有害的活动时,爱因斯坦2能够向US-CERT提供实时报警,并对导出数据提供关联和可视化能力。在爱因斯坦2帮助下,US-CERT的分析人员已经大大提高了对网络环境的理解,增强了查找联邦网络安全缺陷和漏洞的能力。由此,US-CERT拥有了更强的态势感知能力,可以更有效地形成安全相关信息并在美国政府的网络防护者以及私营部门安全专家、美国公众间更及时地共享这些信息。国土安全部隐私办公室已经对爱因斯坦2项目实施了隐私影响评估,并发布了报告。
    3.寻求在整个联邦范围内部署入侵防御系统
    Pursue deployment of intrusion prevention systems across the Federal enterprise
    本项活动代表了联邦行政机关内各民事部门安全防护的下一步发展方向。这称为爱因斯坦3(EINSTEIN 3),其将采用商业技术和专门为政府开发的技术来对进出行政机关网络的流量实施实时的全封包检查,并实现基于威胁的决策。爱因斯坦3的目标是发现恶意的网络流量并对其进行特征化表示,以增强网络安全分析、态势感知和安全响应能力。它能在网络威胁造成损害之前对其自动检测并正确响应,因为入侵防御系统支持动态防御。在防范、检测和减少联邦行政部门网络和系统中的漏洞方面,爱因斯坦3将向国土安全部的US-CERT提供协助。爱因斯坦3还为国土安全部提供了对检测到的网络入侵企图进行自动报警的能力,这增强了US-CERT与联邦各部门之间的信息共享。如国土安全部认为有必要,可以将不含通信内容的报警信息传送给国家安全局(NSA),国家安全局随后可履行法律授权的职能,从而对国土安全部的工作提供支持。这一活动需要大量和长期的投入来增强国家情报能力,使其能够发现有关外国网络威胁的重要信息并实时将发现到的情况通知爱因斯坦3。国土安全部将能够对国家安全局通过外国情报工作以及国防部在信息保障使命中发现的威胁特征进行采用,并输入到爱因斯坦3系统中,以支持国土安全部的联邦系统安全使命。对网络入侵信息的共享将遵循法律的要求,并接受对国土安全、情报和国防相关活动的监督,以保护美国公民的隐私和权利。
    国土安全部目前正实施一项演习,该演习基于国家安全局开发的技术,旨在试验这项活动对爱因斯坦3提出的能力要求,并实现对民事行政部门系统中网络入侵行为信息的管理和保护工作的制度化。为了在爱因斯坦3的设计和运行部署中建立合适和必要的隐私保护机制,政府的公民自由和隐私官员正在与国土安全部和US-CERT密切合作。
    4.对研发工作进行协调并重新定向
    Coordinate and redirect research and development (R&D) efforts
    没有一个单独的个人或者组织能够了解政府资助的所有网络相关研发工作。本项活动旨在为协调美国政府资助或实施的网络研发工作而制定战略和组织架构,无论是涉密还是非涉密研发,并在必要时对这些研发工作重新定向。当我们在确定战略投资时,这一活动对于减少联邦资助的网络安全研究项目中存在的重复性、查找研究空白、安排研发工作的优先级以及确保纳税人的钱花得物有所值都至关重要。
    5.把当前的各网络行动中心相互连接起来,加强态势感知
    Connect current cyber ops centers to enhance situational awareness
    要确保在政府信息安全办公室和战略行动中心之间共享有关联邦系统中恶意行为的数据,这一需求日趋加大,以便更好地理解政府系统面临的全部威胁,最大化地发挥每一个组织的专门能力来打造尽可能完善的国家整体网络防线,同时还要遵循个人隐私和其它信息保护的要求。为了实现和支持对态势感知的共享,本项活动向承载美国网络活动的6个网络行动中心提供了必要的关键手段。这项工作关注的主要方面是,要能够使美国网络活动的各个单元在履行工作使命时做到互为关联,必不可少的内容有:基础功能与投资,例如基础设施的改造、带宽的增加以及行动能力的整合;提高协同能力,包括一致的技术、工具和流程;通过共有的分析和协同技术来加强态势感知的共享。
    本项活动中,国土安全部的国家网络安全中心(NCSC)将在保护美国政府网络与系统安全中扮演重要角色,它能协调和整合来自6个行动中心的信息,作出跨域的态势感知,分析和报告美国网络与系统的状态,以及推动跨部门的协同与协调。
    6.制定和实施一个覆盖整个政府部门的网络情报对抗计划
    Develop and implement a government-wide cyber counterintelligence (CI) plan
    为了协调联邦所有部门间的有关工作,一个覆盖整个政府的网络情报对抗计划是必要的,以检测、遏制、消除那些由国外发起的、针对美国及其私营部门信息系统的网络情报威胁。为此,这个计划要确立和扩展网络情报对抗教育和意识项目,建立人才队伍,以便将情报对抗融入所有的网络行动和分析之中,提高雇员对网络情报对抗威胁的认识,提高政府各部门间情报对抗的协同。《网络情报对抗计划》与《2007年美国国家情报对抗战略》保持一致,并支持CNCI中其余的活动。
    7.增强涉密网络的安全
    Increase the security of our classified networks
    涉密网络中存储着联邦政府最敏感的信息,支持着至关重要的战争、外交、反恐、执法、情报和国土安全行动。对涉密网络的成功渗透或破坏将对我们的国家安全造成极端严重的危害。我们需要恪尽职守,确保涉密网络及网络中数据的完整性。
    8.扩大网络安全教育
    Expand cyber education
    为了保护美国政府网络空间的安全,已经有数十亿的资金投入到了新技术之中。与此同时,需要有掌握正确的知识、技巧和能力的人来实现这些技术,他们将决定成功与否。然而,目前在联邦政府或私营部门内都没有足够的网络安全专家来实施CNCI,也没有充分建立起联邦网络安全职业域。现有的各个网络安全培训和人才发展项目尽管不错,但在侧重点方面还有不足,且缺少一致性。为了有力确保我们持久的技术优势以及未来的网络安全,我们必须建立起一支技术熟练、熟谙网络安全知识的人才队伍,以及有效的后续雇员输送管道。为了应对这一挑战,需要制定一个国家战略,就像上世纪50年代的科学和数学教育改革一样。
    9.定义和制定能“超越未来”的持久的技术、战略与规划
    Define and develop enduring “leap-ahead” technology, strategies, and programs
    CNCI的一个目标是发展相关技术,使之能够提高当前不计其数的系统的安全性,并且能在未来5到10年内得到部署。本项活动力图制定有关的战略和规划,在政府的研发组合中加大那些具有高风险/高回报性质的关键网络安全问题解决方案的比重。联邦政府已经着手为研究界列举重大挑战,以期帮助解决这些需要创造性思维的困难问题。政府正在识别并与私营部门交流共有的需求,这些需求将驱动双方在关键研究领域的共同投资。
    10.定义和发展持久的遏制战略与项目
    Define and develop enduring deterrence strategies and programs
    在一个依赖于有保障地利用网络空间的世界中,我们国家的高层决策者必须仔细考虑美国的长期战略选择。目前,美国政府已经采取了传统的办法来解决网络安全问题——这些措施还没有达到我们需要的安全水准。本项活动旨在建立一种实现网络防御战略的方法,通过完善预警能力、发挥私营部门和国际合作者的角色、对来自国家和非国家的行动者进行正确应对,遏制对网络空间的干涉和攻击。
    11.建立全方位的方法来实施全球供应链风险管理
    Develop a multi-prongedapproach for global supply chain risk management
    商用信息和通信技术市场已经全球化,这为那些试图通过渗透进供应链来非授权访问数据、篡改数据或拦截通信信息,从而危害美国的人们提供了更多的机会。必须采用能够涵盖产品、系统和服务的完整生命周期的战略性、综合性的方案,对来自国内和全球供应链的风险加以管理。这种风险管理要求对威胁、漏洞以及采购决定的后果具备更强的意识,要求开发和部署能在产品的生命周期内(从设计到报废)从技术和操作层面减少风险的工具和资源,要求建立能够适应复杂的全球化市场的新采购政策和实践措施,要求与工业界合作制定和采用供应链与风险管理标准及最佳实践措施。本项活动将使联邦政府向各部门提供强健的供应链风险管理与控制工具集的能力、政策和流程得到强化,使经过管理和控制后的供应链风险同系统与网络的重要性相称。
    12.明确联邦的角色,使网络安全延伸到关键基础设施领域
    Define the Federal role for extending cybersecurity into critical infrastructure domains
    美国政府要依赖大量由私营机构拥有和运行的关键基础设施来完成公共事务。继而,这些关键基础设施离不开信息系统和网络的高效运行,而这些系统和网络都易遭受恶意的网络威胁。本项活动建立在已有且不断发展的合作关系基础之上,合作关系的一方是联邦政府,另一方是位于公共和私营部门的关键基础设施与重要资源(CIKR)的所有者、运营者。国土安全部及其私营部门的合作者已经制定了一项共同行动的计划,包括一系列的里程碑及行动。计划中既有短期的建议,也有长期的建议,特别是融入并充分利用了以前的成果和行动。它考虑了整个网络空间基础设施的安全和信息保障工作,以增强所有CIKR领域的韧性和运行能力为目的。其侧重点之一是公-私之间就政府以及CIKR领域网络威胁和事件信息的共享。
三、有关分析
    1.此次解密没有透露太多的实质内容,其象征意义大于实际意义
    从CNCI摘要的解密内容来看,没有透露任何具体的行动计划,多数文字都是在强调各项重大活动的目的与意义。美国政府此次公开解密版的CNCI摘要,仅是为表明其为履行打造透明政府的承诺而做出的一种姿态,象征意义大于实际意义。一些内容甚至远没有媒体报道的详细,例如可信因特网(TIC)项目。而对于此前引起广泛争议的国家安全局监控职能的扩大化问题,甚至是早已被外界获知的国家网络安全中心(NCSC),更是没有透露只言片语。
    CNCI在起草过程中,始终严密控制知悉范围,没有私营机构参与其中,也没有咨询著名安全专家的意见(国土安全部对此曾辩解道,CNCI参考了很多公开的标准和最佳实践,而这些标准和最佳实践本身便反映了专家们的知识,以此反馈国会的质询)。政府审计办公室(GAO)的审计结论表明,是情报机构而非国土安全部主导了CNCI的起草和实施。因此,美国政府对CNCI内容的发布,很可能就止步于此了。可以说,在涉及国家安全的重大问题上,美国政府始终保持着高度谨慎,处处以国家至高利益为考量,这一点永远不会有改变。
    当然,美国此次的解密工作不失为明智之举。CNCI的关注度如此之高,且其中很多项目涉及到厂商、高校和科研院所的配合,其保密工作压力很大,抛出这样一个解密版摘要,有利于争取好的舆论环境,也有利于其工作的推进。
    2.奥巴马政府继承了上界政府的信息安全政策,CNCI将得到长期执行
    奥巴马政府上台之前,上届政府信息安全政策的延续性问题提上议事日程。2008年12月,美国智库战略与国际研究中心(CSIS)发布了《在第44任总统任期内保护网络空间安全》的咨询报告。报告认为,尽管CNCI并不全面,且不必要的保密削弱了其影响,但这仍是一个良好的开端。CSIS分析了布什政府当时已取得的成果,认为“它们真实反映了自白宫宣布实施方案以来CNCI的发展情况”,为此建议“下届政府不应一切推倒重来,而应该继承这一方案的初步成果,但同时又不应止步于此”。奥巴马上台后,进一步重视信息安全问题,将信息安全视为最严重的经济和国家安全挑战之一,要求对美国的网络空间安全政策实施为期60天的评估,并根据评估结果开展了新一轮的动作,特别是对信息安全管理体制机制的调整。CNCI是此次评估活动的一项重点。评估报告提出,总统要对保护国家信息和通信基础设施的国家战略进行修订,新修订的战略应当对包含对CNCI活动的持续评估,并且要建立在CNCI的成果基础上。
    由此可知,奥巴马政府对包括CNCI在内的上界政府的信息安全政策做了充分肯定和继承,CNCI毫无疑问将得到长期执行,这也从侧面表明美国政府逐渐形成了信息安全战略长效机制。白宫在2011财年为CNCI提出的大笔预算请求也显示出了奥巴马政府对CNCI的支持。
    通过分析美国政府审计办公室对CNCI做出的审计报告可以发现,奥巴马政府为了确保CNCI能够得到顺利执行,投入了巨大的人力。其工作会议之密集、里程碑计划之细致、项目进展评估报告之翔实,均超出以往任何一项行动。
    3.CNCI突出了对联邦政府信息系统安全的重视,这是美国政府信息安全政策的一次重要调整
    无论是克林顿政府时代以PDD63为代表的信息安全政策,还是布什政府在2003年发布的《保护网络空间安全的国家战略》,都把关键基础设施作为信息安全保护的重点和主题。而CNCI则不同,其完全以政府为中心,提出的所有活动均针对联邦政府信息系统,考虑的是联邦政府信息系统的安全问题。即使是在第12项活动(处理公-私合作问题)中,CNCI也将关键基础设施定位为政府赖以完成公共事务的基础支撑。
国土安全部在解释为什么没有邀请私营机构的专家参与CNCI的起草时,明确说明这本来就是一部针对联邦政府信息系统的战略。奥巴马政府在2009年5月所做的政策评估中,也认为CNCI采用了与以往政策不同的方法。这无疑是美国政府信息安全政策的一次重要调整。
    这一调整并不说明美国政府弱化了对关键基础设施保护的关注,而是其将政府信息系统安全提高到了新的高度。美国的政治和经济制度决定了关键基础设施主要掌握在私营企业手中,自克林顿时代起政府便致力于为加强关键基础设施保护设计专门制度,特别是公-私合作和信息共享机制,但始终没有在关键基础设施保护方面建立理想的信息安全监管制度,组建后的国土安全部对此更是无能为力,因而屡遭诟病。与此同时,审计部门和国会频繁批评政府信息系统安全状况堪忧。这使政府的信息安全工作在一定程度上出现了方向的迷失。CNCI则表明政府更准确地找到了定位,使国土安全部等联邦行政部门的职责真正做实,反映出美国政府信息安全政策趋向更加成熟。还可以预见的是,CNCI提出的各项要求将会反映到今后修订的《联邦信息安全管理法》(FISMA)中,有关工作会得到立法的支持。
    政府信息系统对国家安全和社会稳定运行意义重大,理应得到重点保护。其次,政府掌握着最多的资源,如果连自身的信息系统安全也无法保障,遑论其他?再者,做好政府信息系统安全工作,不但可以引领私营部门做出积极响应,更可以通过人才、技术等基础能力的提高来增强整个国家的信息安全防护能力,其意义是全局性的,绝不仅限于政府信息系统。
    4.CNCI反映出美国政府对一些重大威胁的关注,以及对占领未来信息安全高地的部署
    CNCI虽号称“综合性”,但其对象是政府信息系统,不可能面面俱到,只是奠定了今后美国新的信息安全战略的重要基础。正因为如此,这些“重中之重”才更引人注目。CNCI提出的12项重大活动有3个明确的目标:建立能够应对当前信息安全威胁的防线,活动1、2、3和5与此直接相关;对抗全面威胁,活动6、7和11与此直接相关;巩固未来的信息安全环境,活动4、8、9和10与此直接相关。这些活动彼此密切关联,相互配合,例如可信因特网连接(TIC)活动为实施“爱因斯坦2”和“爱因斯坦3”提供了必要条件,使感应器的部署更加方便,而“爱因斯坦2”和“爱因斯坦3”的运行还需要情报工作提供威胁信息的输入。
    值得注意的是,CNCI在考虑对抗“全面威胁”时,对情报威胁和供应链威胁给予了特别关注,着重突出了情报对抗能力和保障关键信息技术供应链安全的能力。CNCI提出,要在所有的网络行动和分析工作中贯彻情报对抗意识,此次还专门提出要保护涉密网络的安全,这显然与当前网络已经成为情报与反情报、窃密与反窃密斗争的主战场有关。此外,从CNCI到2009年5月的网络安全政策评估报告,都屡次强调了供应链安全威胁。这里的供应链问题不但涵盖了产品、系统和服务这三类对象,而且还贯穿到了完整的生命周期中。CNCI提出的供应链安全风险管理对策有四个重点:一是建立安全意识,二是在技术层面开发风险控制工具,三是在政策层面调整采购政策,四是加强与工业界的合作。奥巴马政府在2009年5月的网络安全政策评估报告则进一步总结道,解决这一问题的最佳办法就是通过不断的技术创新来确保美国的市场领袖地位。这种对供应链安全风险的防范意识非常值得我们国内学习。
    CNCI提出了三个影响美国未来信息安全环境的重大因素,以期继续占领未来信息安全高地:一是人才,并将信息安全人才问题上升到国家战略的高度;二是技术,特别是创新性的技术;三是选择遏制战略,亦称威慑战略。美国所发现的问题带有普遍性,例如迄今仍没有信息安全职业设置,培训工作参差不齐且缺少一致性,亟待对信息安全研发活动进行统一规划和协调等,这些问题的提出对我国的工作很有参考意义。此外,CNCI提出的遏制战略思想需要引起我们的高度警惕,特别是在美国一些政客极力鼓吹“中国黑客威胁论”的情况下。
四、美国政府审计办公室(GAO)的主要审计结论
    1.CNCI的责任部门
    经搜集公开信息以及与政府高官约谈,GAO分析认为,有4个部门在CNCI中被主要赋予了重要职责:国土安全部(DHS)、国防部(DOD)、国家情报总监办公室(ODNI)以及科技政策办公室(OSTP)。此外,管理和预算办公室(OMB)、司法部(DOJ)、国家安全委员会(NSC)等机构也在特定的CNCI活动中承担职责。
    各项活动的责任部门如下:活动1(可信因特网连接),OMB/DHS;活动2(爱因斯坦2),DHS;活动3(爱因斯坦3),DHS/DOD;活动4(研发工作的协调和重新定向),OSTP;活动5(态势感知),ODNI;活动6(情报对抗),ODNI/DOJ;活动7(涉密网络安全),DOD/ODNI;活动8(教育),DHS/DOD;活动9(新技术),OSTP;活动10(遏制战略),NSC;活动11(供应链安全),DHS/DOD;活动12(公-私合作),DHS。
    2.CNCI的执行机制
    GAO将CNCI的规划以及执行机制归纳为跨机构工作组,其中有的工作组是既有的,也有工作组是专门成立的。这些工作组包括:
    国家网络空间研究工作组(NCSG)。这是在起草CNCI时最早介入的工作组,主要职责是开展头脑风暴和前期的信息收集工作。2007年5月,美国总统布什指示国家情报总监对联邦政府的信息安全状况进行评估,为此专门成立了NCSG,由ODNI领导,成员来自20个政府部门。为了分析政府各部门的信息安全职责,NCSG曾在若干个月中保持着每周开会两次的频率。
    通信安全和网络空间策略协调委员会(PCC)。这是白宫在起草和最初执行CNCI时发挥主要作用的机构,奥巴马上台后将其更名为信息和通信基础设施跨机构政策委员会(ICI IPC)。PCC由国土安全委员会和国家安全委员会联合领导,下辖6个子工作组。2007年末,NCSG将起草CNCI的工作移交给了PCC,后者向奥巴马提交了CNCI的草案。CNCI被批准后,PCC立刻承担起了监督CNCI执行的职责。PCC每周召开一次会议来评估CNCI的执行效果,每季度实施一次全面、深入评估。
     跨机构网络空间联合特别工作组(JIACTF)。GAO从与ODNI的访谈中获得的信息是,第54号国家安全总统令将CNCI的监督和协调职责赋予了ODNI。为此,ODNI于2008年2月专门成立了跨机构网络空间联合特别工作组,该工作组要确保情报机构和非情报机构都能全面参与CNCI,并为监督CNCI的执行制定绩效评价指标。JIACTF代理主任认为,虽然ODNI承担了协调者的角色,但其并未获得授权去指挥其他机构,只能监督并向总统汇报CNCI的进展。
    目前还没有资料能够说明PCC与JIACTF的监督职责如何分配,但显然JIACTF占主导,两者定期联合召开情况分析会,且建立了以下的报告机制:
    多个跨机构工作小组。根据总统令的要求,对于CNCI中的每一项活动,都有跨机构工作小组为之提出具体的工作成果要求,例如实施计划、报告等。JIACTF协助每一个跨机构工作组起草了3、9、18和36个月的实施目标,这也是JIACTF在监督时的考核指标。对个别活动,还包括12、24和30个月的实施目标。目前,已经制定的考核指标超过80个。
    季报。JIACTF要求各机构向其提交进展报告,每一季度与CNCI各活动的负责人会面,深度讨论CNC


I的工作成果、挑战及风险。此外,JIACTF还要向白宫提交季度报告,并抄送OMB。OMB官员证实,这些报告正在变得越来越翔实。
    3.CNCI当前面临的主要问题
    GAO总结了CNCI当前面临的6个主要问题:
    一是联邦政府各机构之间存在职责交叉,协调力度不大,新任命的白宫协调员尚未开展工作。二是CNCI的评价指标仍不完善,不足以衡量CNCI的3个目标是否实现。三是CNCI的透明度不够,影响了私营部门的合作,也不利于审计。四是责任部门间对于网络安全教育的范围有争议,这项活动的跨机构工作小组建议该活动的范围应尽可能拓宽,包括公民教育以及中小学、大学和研究生院,但白宫认为应严格限定在政府的工作人员范围,因此一直没有批准工作计划。五是联邦政府尚未制定国际合作战略,包括标准化、执法和信息共享等活动。六是在战略上缺少对联邦信息系统的身份管理和鉴别工作的重视。
    OMB承认了后5个问题,但对于第1个问题坚决否认,认为CNCI的执行职责非常清楚,不应把整个政府的信息安全协调问题与CNCI的协调问题相提并论。但GAO并不接受OMB的说辞,举例说正因为对信息安全事件处置工作缺少协调,国家网络安全中心(NCSC)始终没有正常运行,甚至国土安全部内部在这项工作上都存在机构重叠问题。
    对最后2个问题,OMB虽予以承认,但强调这些问题超出了CNCI的范围。OMB还提供了如下的信息:政府信息系统的身份管理和鉴别工作十分重要,目前联邦政府正在制定专门的计划,实施全范围的身份和证书管理,这个计划的草稿已经于2009年11月完成,目前正在抓紧修改。GAO接受了OMB的解释,在正式审计报告中将最后2个问题定位为“CNCI之外仍需关注的联邦信息系统安全战略挑战”。

版权所有 Copyright(C)2013-2020 中国信息安全法律网 陕ICP备14009571号
访问统计