特朗普政府“增强联邦政府网络与关键基础设施网络安全行政令”(简称“网络安全行政令”,EO13800)颁布已一年有余,酝酿许久的网络安全战略却迟迟“未见庐山真面目”。近日来,美国国务院、国土安全部、商务部、行政管理与预算办公室四大部门相继发布五份报告,从国际合作、人才培养、风险应对、威慑实施等方面为特朗普政府建言献策。这五份报告既是为了完成网络安全行政令留下的“作业”,审视了当前美国联邦政府的网络安全状况,同时也为特朗普政府提出了99条网络安全行动建议,值得关注。

一、美国务院发布《关于威慑敌人和更好地保护美国人民免受网络威胁的建议》

2018年5月31日,美国务院发布《关于威慑敌人和更好地保护美国人民免受网络威胁的建议》,认为目前美国的网络安全战略框架不足以抵御恶意网络活动,特别是对于存在于武力使用“阈值”之下的网络攻击仍然缺乏相关应对举措。对此,报告建议制定更为广泛的“后果目录”,并采取措施解决归因问题,减少实施反制的政策障碍,帮助美国政府可在重大网络事件后迅速行动,具体包括:

1、清楚表明美国政府何时启动反制。美国政府需首先确定恶意网络活动的类型以及指标,以此发起反制的时间点。时间点的选择必须建立在公私部门充分沟通交流的基础上,这也是确保威慑有效性的前提条件。

2、构建明确的“后果目录”。美国政府需要确定一项可实现灵活、高效和透明的“后果目录”来威慑或发起“阈值”之下恶意网络活动的潜在发起者。

3、加强政策规划。在实施反制过程的前后,美国政府应该加强机构间的政策规划,包括制定适当的协调应对机制,以保障反制的一致性。

4、加强协作。反制措施的高效实施离不开伙伴国的支持与协作,包括情报共享,归因溯源,以及参与对犯罪方的制裁行动。

二、美国务院发布《关于通过国际合作保护美国网络利益的建议》

在分析信息技术带来的深刻变革,以及网络安全给美国带来的挑战基础上,美国务院在5月31日还发布了《关于通过国际合作保护美国网络利益的建议》,提出五项主要目标,以及20条行动建议,帮助美国政府建立网络安全国际合作战略,具体包括:

1、提高国际稳定性,减少网络空间风险。

1.1 推动国际社会在网络空间国家行为体规范以及国际法在网络空间中的适用上达成共识。

1.2 在双边与区域层面建立网络空间信任措施(CBMs)。

1.3 建立一个全新的合作框架以支持网络威慑,对恶意网络行动施予惩罚。

2、识别、检测、破坏和阻止恶意网络活动,保护、应对并迅速从这些威胁中恢复过来,并通过以下方式提高包括关键基础设施在内的全球网络生态系统的弹性:

2.1 加强信息共享,包括自动共享以及通过计算机安全事故应急小组(CSIRT)共享。

2.2 管控网络风险,有效应对重大网络事件。

2.3 推动网络安全教育、培训,以解决当前与未来的网络安全挑战。

2.4 加强强有力的执法合作。

2.5 推动网络军事合作。

2.6 加强与盟国的网络情报信息的共享。

3、维持一个开放并具有互操作性的互联网,并通过以下方式保障人权与跨境数据流动。

3.1 在多边与全球层面捍卫互联网的接入权。

3.2 升级既有的伙伴国在维护互联网自由上的外交合作。

3.3 支持全球互联网自由项目,资助公民团体的技术发展、数字安全培训、政策推广以及应用研究。

4、确保多利益攸关方在网络空间治理中不可或缺的作用。

4.1 推动既有的互联网多利益攸关方主导管理互联网核心资源,反对自上而下以及政府主导的治理模式。

4.2 继续开发、使用可互操作的、自愿的、基于行业驱动的技术标准。

5、推动建立一个支持创新、尊重网络空间全球性本质的国际监管环境。

5.1 在全球市场中推行灵活的网络安全风险管理方法。

5.2 抵制不当的市场准入限制,包括数据本地化要求。

5.3 为美国企业创造一个公平、富有竞争力的全球市场环境。

5.4 鼓励私营部门积极创新来应对数字生态系统中的安全风险。

5.5 保持强有力且平衡的知识产权保护体系,要求既能够充分地保护知识产权,同时又能促进创新。

三、美商务部与国土安全部联合发布报告《增强互联网和通信生态系统应对僵尸网络和其他自动化分布式威胁的弹性》

2018年5月22日,美国商务部与国土安全部联合发布报告《增强互联网和通信生态系统应对僵尸网络和其他自动化分布式威胁的弹性》,提出5大目标,24条行动建议,来减少自动化分布式攻击的威胁,提高互联网生态系统的弹性。

1、明确一个通往适应性强、可持续性和安全技术市场的明确途径

1.1 利用行业领先的包容性流程,基于自愿、行业驱动的国际标准,建立国际适用的物联网能力基线,支持家庭和工业应用的生命周期安全。

1.2 联邦政府在建立互联网设备能力基线时,可借鉴并引入行业开发的能力基线,并加速国际标准化。

1.3 联邦政府与私营企业应联合推动行业更广泛地采用软件开发工具与流程来降低现成商业软件中的安全漏洞,提高市场利用率与问责制。

1.4 行业应加快开发和部署用于预防和消减分布式威胁的创新技术。政府应该优先进行研发资助与技术转化支持,以防范DDOS攻击与僵尸网络创建的基础技术。

1.5 政府和行业应该合作确保与物联网相关的现有最佳做法、框架和指导方针以及确保透明度的程序在生态系统中得到更广泛的应用。

2、促进基础设施创新,以适应不断变化的威胁

2.1 互联网服务提供商及其对等合作伙伴应当扩大当前的信息共享,以便在国内和国际上更及时和有效地共享行动威胁信息。

2.2 利益攸关方、领域专家在与NIST协商的基础上,领导制定企业防范DDoS攻击的CSF配置文件。

2.3 联邦政府应该以身作则,展示技术的实用性,为早期采用者创造市场激励机制。

2.4 行业、政府、公民社会应与各利益相关方通力合作,继续加强和规范信息共享协议。

2.5 联邦政府应与美国及全球的关键基础设施供应商合作,在整个生态系统中推广网络流量管理的最佳实践。

3、促进网络边界的技术创新,防止、检测和缓解不良行为

3.1 网络行业应扩大当前的产品开发和标准化工作,以便在家庭和企业环境中实现有效和安全的流量管理。

3.2 家庭IT和物联网产品应该易于理解并且安全使用简单。

3.3 企业应该迁移到有助于检测、中断和减轻自动化分布式威胁的网络架构中去。他们还应该考虑自己的网络是否会使其他人面临风险。

3.4 联邦政府应该调研IPv6的部署对于攻击方与防守方的经济影响范围。

4、在国内和世界各地的安全、基础设施和运营技术社区之间建立联盟

4.1 互联网服务提供商和大型企业应该增加与执法部门的信息共享,以提供有关自动化分布式威胁的更及时和行动性的信息。

4.2 联邦政府应通过双边和多边国际交流努力,促进国际上采用最佳做法和相关工具。

4.3 部门监管机构应与行业合作,以确保非欺骗性营销,以及推出适当的部门特定的安全要求。

4.4 社区应该采取具体步骤来破坏攻击者的工具和激励措施,包括主动共享和使用声誉数据。

4.5 网络安全社区应继续与运营技术社区合作,以提高认识并加速网络安全技术的整合。

5、提高认识和教育

5.1 私营部门应建立和管理家庭物联网设备的自愿信息工具,并辅以消费者信任和理解的可扩展的和具有成本效益的评估流程。

5.2 私营部门应建立行业物联网应用的自愿标记计划,并在可扩展的和具有成本效益的评估过程的支持下,为关键基础设施的物联网应用提供充分的保证。

5.3 政府应鼓励学术界和培训界将安全编码实践全面纳入计算机科学及相关计划。

5.4 学术部门应与国家网络安全教育合作,将网络安全作为所有工程学科的基本要求。

5.5 联邦政府应建立公众意识宣传活动,以支持家庭物联网设备安全轮廓和品牌的认可和采用。

四、美商务部与国土安全部发布报告《支持国家网络安全人才队伍的发展和维持》

为落实网络安全行政令中要求提交“面向公私部门提出的网络安全人力资源增长调查结果与建议”的报告,2018年5月30日,美商务部与国土安全部发布报告《支持国家网络安全人才队伍的发展和维持》,提出四项当务之急、20条建议和47项行动建议。

(一)设立国家倡议,动员公私资源解决网络安全人才资源短缺问题

1、联邦政府应该联合企业、教育机构共同呼吁,并实施行动以实现增强美国网络安全人才资源的愿景,保障和促进美国国家安全和经济繁荣。

1.1 行政部门应该积极联合政府领导、企业高层以及学术界人士参与到增强网络安全人力资源的行动中来。

1.2 高级联邦政府官员应该鼓励私营企业拓宽深化网络安全教育、培训,并提供长期支持,特别要重视关键基础设施部门的人才资源问题,积极引入私营部门的最佳实践与人才。

2、高级联邦政府官员应该将国家面临的网络安全人才资源挑战当作国家安全和经济安全问题,并联合各部门积极地、创造性地解决这个燃眉之急。

2.1 联邦机构与部门的负责人应该提高对美国网络安全人才资源需求的重视,并加强内外沟通协调,认真实施本报告提出的建议。

3、联邦政府应该在总统的预算资金中提供足够拨款用于网络安全教育和人才发展计划,并涵盖从小学、中学到高等教育的各个阶段。

3.1 联邦政府应该提出一项针对“2014网络安全加强法”的修订案,继续加强NSA/DHS的国家学术卓越中心(CAE)在提升全国网络安全教育,培养下一代网络安全专家上的作用。

3.2 管理和预算办公室(OMB)应优化现有的联邦部门的网络安全支出,高效利用资源,最大化政府项目的有效性。

3.3 为减少分歧,联邦政府与机构对于网络安全人才资源概念的使用应统一基于NICE网络安全人才框架的界定。

4、联邦政府部门和机构必须迅速采取行动严格实施“联邦网络安全人才战略”与“联邦网络安全人才评估办法”,以解决招募、发展和留住网络安全人才的需求。

4.1 美国人事管理局(OPM)应领导其他部门为政府提供更清楚的招聘指南与资源,如在整个联邦政府机构之间使用标准化的分类标准与岗位描述。

4.2 美国人事管理局应探索使用直聘制度,改革薪酬激励措施。

5、联邦政府应尽快解决网络安全人才多样性问题,包括对于退伍军人、女性、少数族裔人群的录用。

5.1 美国人事管理局应该发起一个跨部门的人才教育和意识培养活动,建立多样化人才库。

5.2 联邦机构应扩大招聘渠道,包括网站、视频、社交媒体等媒介的使用。

(二)改善提升学习环境以培养多样化的网络安全人才队伍

1、强调“再培训”计划,鼓励在职员工培训与深造以承担网络安全职能。

1.1 各级政府和私营部门应该考虑返聘即将退休的且对网络安全具有丰富经验的员工。

1.2 再录用具有网络安全经验的退伍军人。

1.3 激励国家学术卓越中心(CAE)以及其他相关机构参与在职员工的网络安全教育与职能培训。

2、政府、私营部门和学术界应该创新人才培养方法,包括学徒制,合作计划和实习等来满足网络安全人员需求。

2.1 各机构应优化多样的招聘机构和计划,如衔接课程(包括提供实习机会,实施总统管理奖学金计划等)和学徒制来培养网络安全人才。

2.2 美国“劳工和产业厅”(DOL)应该将网络安全学徒制与政府资助的雇用与培训计划相结合。

2.3 高校尤其是社区学院,应与当地、地区和国家层面的商界合作,支持学徒方案。

3、私营和公营部门应积极赞助使用网上培训和评估环境,以克服有限的教师资源和评估工具。

3.1 所有参与网络安全教育和培训的联邦机构都应该开发和部署更多的培训和人才评估环境和项目。

3.2 各机构应更多地利用网络安全比赛。

4、通过政策激励扩大师资。

4.1 政府应鼓励企业雇主和学术机构吸引有经验的网络安全人员,改革现有的网安课程,提高效率。

4.2 教育机构和企业应鼓励有条件的网络安全从业者担任教师、教授职责。

4.3 通过专业培训提高现有师资水平与能力。

4.4 美国教育部应该制定一个全国性的鉴别项目,融合学区、学院、大学、雇主和个人,发现并培养潜在网络安全对象。

4.5 上述项目同样可用来发现潜在的网络安全师资力量。

5、通过支持制定严格的职业技术教育(CTE)计划,使学生具备进入网络安全职业和教育途径的知识、技能和能力。

5.1 建立一个网络安全领域的精英综合职业技术教育项目。

5.2 通过对现有教师的专业培训和激励,加强职业技术教育教师队伍的能力建设。

6、联邦和州政府,以及私营部门,应考虑提供更多的财政援助和其他激励措施,以减少学生贷款或网络安全教育或培训的成本。

6.1 政府应该在总统的预算中增加对网络安全奖学金的资助。

6.2 修改学生贷款的还款方案,对选择网络安全相关工作的提供直接的减免措施。

6.3 为网络安全相关的教育和培训提供更多的联邦或州的税收优惠政策,包括雇主减税,鼓励员工参与培训。

7、扩大政府和私营部门对高质量网络安全训练营、新手训练营和旨在教育和培训教师或学生的类似计划的支持。

7.1 为参加训练营制定专门的奖学金机制。

7.2 在总统的预算中增加对训练营项目的资金支持。

(三)将教育和培训与雇主的需求相结合

1、执行部门应该大力鼓励教育工作者、培训提供者和雇主使用NICE框架的分类法和概念界定作为构建人才发展战略的参考。

1.1 NICE框架定义了网络安全相关的工作职能,相关部门需在接下来更广泛地宣传和推广该框架,并定期更新。

1.2 NICE应当教育和鼓励雇主将重点转为完成网络安全任务需要的知识、技能和能力(KSAs),而不是学历、证书和经验。

1.3 联邦机构的外包合同工也需要使用NICE的框架。

1.4 美国国家州长协会、全国协会等政府机构也需要使用NICE的框架。

2、为与网络安全相关的职位开发可通用于私人和公共部门的职业模式。

2.1 职业模式由DOL领导完成,并应与商务部以及其他公私机构合作。

2.2 国土安全部在与其他联邦政府文职机构和私营部门协商基础上,引领NICE框架中的能力指标建设。

3、联邦政府应与私营部门和学术界合作,制定广泛接受、可共享、跨学科的网络安全课程指南。

3.1 美国国家安全局、国家科学基金会、CAE计划和美国国家安全局网络学院应继续与雇主、学术界和专业团体进行协调和合作。

3.2 联邦政府应为美国国家安全局网络学院运作的课程发展计划持续提供资金。

3.3 各级州和地方政府以及私营部门应将网络安全特别是计算机科学课程纳入现有的STEM项目。

4、加强NICE和地区联盟或合作伙伴之间在网络安全教育上的合作,包括促进用人单位、教育机构、地方政府和社区组织的伙伴关系,以更好地满足本地劳动力需求。

4.1 在网络安全教育合作上引入多利益攸关方合作的概念。

5、联邦政府应建立网络安全人才开发教育、培训和发展的信息交流中心。

5.1 商务部负责运作该信息交流中心,主要负责信息共享并帮助协调网络安全教育和培训。

6、联邦政府应增强对特殊网络安全人才需求的了解。

6.1 优化NICE中CyberSeek工具的使用,具体化各部门的人才需求。

6.2 国土安全部应与商务部、国务院和国家情报总监办公室定期交流信息,以便更好地跟踪和了解国家网络人才需求。

(四)出台网络安全人才投资的最佳行动方针

1、所有与网络安全劳动力教育或培训相关的项目都应该有一套相关的健全的度量标准和评估机制。

1.1 NICE应该建立一个有效交换度量标准和评估机制的信息交换中心。

1.2 NICE应开发一套用于测量和评估网络安全人才计划的度量标准,以衡量网络安全劳动力教育和培训项目的产出和成果。

1.3 联邦政府资助的网络安全人力教育和培训服务组织都应该使用一套可靠的度量标准和评估机制。

2、联邦机构应与教育机构合作利用现有的工具评估当前网络安全职位所需的能力和技能。

2.1 行政部门应开发工具,以评估当前网络安全职位所拥有的相应的技术实力,以及执行NICE框架中确定的特定任务的能力。

五、美国行政管理和预算局办公室发布《联邦网络安全风险诊断报告和行动计划》

2018年5月30日,美国行政管理和预算局(OMB)发布报告《联邦网络安全风险诊断报告和行动计划》,列出了联邦政府面临的4项风险,并相应给出了4条整改建议。

(一)有限的态势感知,即联邦政府不理解并且没有资源来对抗当前的威胁环境。

行动1:管理和预算办公室、国土安全部和国家安全局合作开发一种基于威胁的预算模型,优先管理网络安全风险。

(二)联邦政府缺乏标准化的网络安全流程和信息技术能力,严重影响其有效感知和打击威胁的能力。

行动2:各机构将在2019财年继续标准化信息技术产品和网络安全能力。

(三)有限的网络可见性,即联邦政府对其网络上发生的事情缺乏可见性,尤其缺乏检测数据泄露的能力。

行动3:各机构将在2019财年开始整合其安全运营中心(SOC)的能力和流程,安全运营中心还将为其他机构提供安全存储和访问服务。

(四)缺乏风险管理的问责制,这主要是因为联邦政府缺乏网络安全风险管理计划。

行动4:通过季度风险评估跟踪联邦机构实施网络安全风险控制的进展,让机构负责人对其组织的安全和治理过程负责。

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。