注册  |  登录   |   加入收藏  |  设为首页

搜索

CSIS为特朗普政府提供未来5年网络安全战略建议

  2017年1月4日,美国战略与国际问题研究中心(CSIS)的网络政策专责小组发布了《从认知到行动——第45任美国总统安全议程》最终报告(全文34页),为特朗普政府提供未来5年网络安全战略建议。
  该建议仍然延续一贯的基本诉求,包括建立一套安全而稳定的数字化环境以支持经济的持续发展,同时保护个人自由与国家安全。实现这些目标的相关要求也基本保持不变,即以白宫为核心选定中央领导机构,建立并实施全面的协调性方法,将网络安全保障机制切实贯彻到各个机构。
  
  政策举措
  
  报告称,国际安全形势不断恶化,网络安全环境已经发生很大变化,这意味着新一届政府将面临的网络安全问题包括:
* 更为猖獗的网络犯罪与间谍活动;
* 个人信息与企业数据遭遇威胁;
* 政治性网络恶意活动的发生机率增加;
* 关键性基础设施面临遭受攻击甚至破坏的风险。
  因此,美国需要立足国内与国际制定一系列响应性举措。
  
    国际战略
  报告称,多年以来,全球性网络安全战略一直面临着严重的局限性。美国只能从部分国家获得极为有限的网络规范相关协议,这严重限制了网络规范协议在降低风险方面的作用。相比之下,新一任美国总统将有机会通过制定协议建立更为强大的国际化网络安全管理制度,将更多国家吸引至这一同盟当中。任何协议的有效实施都必须有基本的前提和保证——包括建立新型机构或者相关制度,这样才能营造安全且稳定的网络空间。应对大规模恶意网络活动最为有效的方法不应局限于武力打击、经济制裁或法律诉讼等强制途径,还需要在自身的网络防御领域做出更多建设性工作。
  
    打击网络犯罪
  报告称,网络犯罪活动的跨国特性意味着只有通过国际合作才能有效应对,但仍有部分国家明确拒绝合作。新一届美国政府需要制定惩罚措施,因为现有合作机制已被事实证明早已过时。《布达佩斯网络犯罪公约》并不能真正约束那些反对签署该文件并希望继续利用网络犯罪作为政治工具及新型权力保障手段的国家。美国需要设计新的谈判策略以打破目前的僵局,同时需要保留公约的公信力,吸引巴西、印度等国家的参与。
  
    保护全球数据安全
  网络安全的一个重要内容是建立一套安全的数字化经济结构。数据流已经成为数字化经济结构中的“货币”,下一届美国政府需要与其他国家合作以确保数据流的自由与安全。这要求美国就国际网络安全、隐私与数字化贸易进行探讨。此方面努力应包括与友好国家达成关于隐私与公民自由保障标准的基准性共识。另外,努力完善国家间法律援助条款亦是这一改善流程中的重要组成部分。
  (1)基准网络安全、关键性基础设施与美国标准与技术研究所(NIST)框架:所有组织机构都有义务加强网络安全水平,这不仅要求其确保自身安全并保护客户业务与数据,同时亦是为了巩固整个互联数字化社会。网络安全的进步要求各组织机构利用能够切实降低风险的简单举措与最佳实践以提升基准网络安全水平。其中的关键包括更好地协调治理工作以实现网络安全、强化网络安全习惯、技术更新周期更短、普及身份认证机制以及披露安全违规信息的激励性措施。
  2013年2月发布的美国总统令面向关键性基础设施的保护工作提出一套自愿性部门针对性方案,其基于NIST网络安全框架,要求各监管机构对其所在部门负责。尽管这套方案并不完美,但相关网络安全政策的出台意味着这是美国在当时能够提出的最佳解决办法。下一任总统应当推广并在必要时强制实施这套方案。其中的一项可改进部分在于提供采用与有效性量化标准。NIST正在与私营部门协作,应当由其负责制定此类量化指标。
  (2)数据保护、隐私与网络安全:保护国家网络资产亦包括保护个人敏感信息。鉴于网络空间内存在大量漏洞与威胁,因此收集并持有个人数据的有关各方对于网络安全负有更大责任。另外,随着全球数据保护焦点的增加,美国亦需要通过明确举措对其进行保护。下一届政府班子应当将数据保护纳入其宏观网络安全保障方案当中,并遵循“数据归于用户”这一基本原则。其中一项改进在于,总统应要求美国联邦贸易委员会建立专门的数据保护部门。另一项改进则在于针对国家性数据泄露问题进行立法。这样一项针对性标准将通过易于理解的明确制度专注于帮助组织机构实现数据保护工作,同时为其他重要改革举措提供法律支持。
  
    提高网络事件透明度
  2012年之后的大部分网络安全辩论专注于信息共享这一议题。2015年通过的网络安全法案最终结束了这场辩论,但美国仍然需要在两大区域对其加以完善。
  首先是打破僵局,共享与网络威胁及攻击活动相关的机密信息。这些信息中的大部分内容并不会对来源发布方及其所采用方法构成安全风险。
  其次要为共享网络攻击细节信息的受害者提供可靠保护。这部分内容在2015年的立法条款中已经有所体现,但具体保护举措仍需要扩大。考虑到遭遇黑客攻击可能导致收入削减、股价下跌以及声誉受损等后果,受害者往往不愿共享此类信息,因此,需要通过立法方式对事件报告进行匿名及责任保护。在这方面,可以模拟国家运输安全委员会在调查空难或者联邦航空局在航空安全报告系统中的做法,即全面禁止出于执法目的而使用所提交信息。此项新举措可以由国土安全部(DHS)或者网络威胁信息集成中心负责制定。
  
    保障物联网安全
  物联网技术的快速发展意味着其将不可避免地存在各类硬件与软件故障,而遭遇黑客攻击的可能性亦将随之提高。物联网产品还将带来相关产品责任。如果缺少联邦政府的干预,那么相关技术标准将呈现出分散式发展趋势,并带来严重的潜在破坏性后果。建议新一届政府:
  ①责令NIST配合消费者与商业团体,共同制定物联网安全保障相关标准与原则;
  ②采取“部门针对性”保障方法;
  ③使用联邦政府采购标准以推动政府职能的改善与保障。政府可以考虑参照美国国家公路交通安全管理局碰撞测试制定类似的物联网安全评级方案。
  
    加密策略
  加密技术的广泛利用能够提升网络整体安全性水平,但具体加密方案类型与实施方式同样会对国家安全态势造成严重影响。美国制定的任何加密政策与法律框架必须考虑到全球环境以及美国国际网络安全战略的实际需求。美国制定的政策应支持使用强加密方案,但同时在指定条件下协助执法机构以合法方式访问数据内容。最后,加密策略还需要对相关风险进行决策。以无限制方式使用加密技术会提升网络犯罪与恐怖主义风险,但国家也许能够通过对加密手段加以限制将此类风险控制在可接受范围内。现有小组成员中无人认为现有风险需要配合新型限制方案加以应对。
  
  组织
  
  奥巴马政府要求国土安全部承担网络安全相关责任。尽管在过去4年中网络安全处理能力有所提高,但仍有部分专家认为国土安全部的责任承担能力有所不足,特别是其安全保障能力与国家安全局相比依然比较孱弱。另一方面,私营部门则更倾向于由民间机构承担网络安全责任。如果坚持由国土安全部扮演这一职能角色,则其必须重新调整自身网络保障使命。目前的最佳解决方案在于将网络安全保障任务从国家保护与计划部中转移出去,并将其移交至专门的国土安全部下辖代理机构(类似于海岸警卫队或者特勤局)。这一新机构应当避免涉及情报或者法律层面事务,而将职能重点放在缓解网络安全问题层面(帮助组织机构应对网络攻击并处理事后恢复任务)。过去10年来,国土安全部一直主导此类事务;如果事实证明其无法顺利完成使命转变或者承担此类责任,则应当将网络保障工作从国土安全部责任事项中剔除。
  在就任之初,新一届政府班子应当发布一份明确的机构职能与责任声明,从而尽可能解决责任划分不明的问题。这份声明应当定义国防部如何在网络安全事件中支持国土安全部,国土安全部应如何支持联邦调查局的相关调查,而国防部又应在何时从国土安全部处接手相关工作并对攻击活动加以应对。国防部需要通过政策与原则以定义其在危机或者紧急情况下应如何采取行动,特别是在涉及国外网络活动的情况之下。国防部在网络安全领域不应继续承担监管或者其他平时性职能。最后,新一届政府应当在白宫中设立一些职位,从而消除相关管辖权及资源分配匮乏的问题。同样的,科学技术政策局亦不必参与网络安全事务。
  美国联邦政府的网络安全仍然存在严重问题,而理想的解决方案则包括选用托管服务、为联邦审计署提供必要授权以建立独立的国会审查流程,其中具体包括实施渗透测试等联邦政府网络安全保障性举措。
  
  资源
    
    减少安全漏洞
  美国通过各企业及组织机构投入数十亿美元以利用各类不同技术保护自身网络体系。然而,这种作法会代表着一种被动性碎片化解决方案,意味着攻击者能够从中找到逃避监管的空间。应当建立主动性方案,利用额外投资、奖励机制以及漏洞征集举措发现潜在风险,并为发现相关漏洞的研究人员提供奖励。
  这些项目将带来可观的回报,因此美国政府应当支持此类作法,同时强调保障互联网基础设施安全并广泛使用开源软件。其中的重要一步是声明这些方案的合法性,从而为研究人员提供安全的避风港,进而支持安全行为规范指导下的安全研究产业。
  
    提升共享式与云服务的利用率
  大多数联邦政府部门并不涉及网络安全事务。对于网络安全的关注要求可能导致其缺少充足精力处理核心事务。这一问题又会由于网络安全人员的匮乏而进一步升级。要实现更理想的网络安全态势,美国政府需要重新考虑信息技术的获取与管理方式。新一届政府应当将业务向托管服务模式全面转移,包括与私营部门签订电子邮件、数据存储与网络安全保障协议。这方面举措应当全面得以推行,并立足行政管理与预算局与总务管理局层面通过网络安全相关IT采购及规划工作得到体现。云服务能够提供显著的安全效益、实施成本更低且具备远高于一般性企业自我管理的有效性水平。这类外包模式更有利于威胁信息共享,同时亦允许各组织机构将资源集中起来处理最为重要的关键性或者罕见网络风险因素。
  
    加强网络安全人才建设
    考虑到招聘市场的实际情况,招聘训练有素的网络安全人才正变得愈发困难。为了解决这一问题,新一届政府应当采取积极的教育培训及网络安全人才扩展计划,具体包括建立认证性培训与教育制度、明确网络安全职能角色分类以及从业者必须具备的专业技能、同时建立强大的专业资质认证机制。(吴海)
 
顶一下
(0)
0%
踩一下
(0)
0%
杂志分类