美国网络安全管理评估报告(摘要)
来源:中国电子政务网 更新时间:2013-12-11

    早在2009年,美国总统奥巴马就宣布,网络空间威胁已经成为美国21世纪面临的最严重的经济和国家安全威胁之一。2009年5月,他指示美国政府问责办公室(U.S. Government Accountability Office,GAO)审查美国国家级网络安全政策和程序。审查报告显示存在两方面重要不足:缺乏强有力的领导和联邦机构之间缺乏明晰的任务区分。虽然三年前白宫就增设了一名新的总统特别助理兼“网络安全协调官”,负责领导各联邦机构间的网络协作与同步协调工作,美国政府问责办公室给出的总体评价结论却是:美国国家级的网络安全管理需要做出更大的改进。本文的主要目的有三个方面:(1)确定美国政府内各机构在网络安全管理方面的不同任务、职责和权力;(2)评估美国国家级网络安全管理计划的效率和有效性;(3)提出增强整体网络安全管理的战略方案建议,以在资源受限的环境中有效保护和运营美国的网络和信息。

  “网络安全威胁是我们整个国家所面临的国家安全、公共安全和经济挑战等最严重的问题之一。”

  ——2010年美国《国家安全战略》

  今天的黑客不再是寻求刺激的青少年,他们是有组织的犯罪集团、国家武装力量和非国家行为体,他们从事间谍活动或对民众和基础设施进行怀有恶意,从而危害美国的国家安全和/或经济利益。虽然远在千里之外,但技术日益精湛的外国黑客就可以对美国计算机网络进行电子渗透以窃取敏感的军事技术。2009年,美国总统奥巴马向全体美国公民发表了全国电视演讲说,“我们每天都会看到成千上万批网络窃贼反复窃取(我们的)敏感信息——他们是那些国内心怀不满的员工、千里之外的黑客个体、工业间谍以及越来越多的国外情报部门。”奥巴马总统讲话的意图就是要警告美国公民:美国的重要安全利益正在遭受攻击,为了保护美国民众、他们的资产以及美国的国家利益,一个及时有效的美国网络安全战略行动计划必须尽快实施。奥巴马总统继续解释说,“这是对我们信息时代的莫大讽刺——那些帮助我们制造和发展的技术,也帮助了那些扰乱和破坏我们的敌人。”随着国家从工业时代过渡到信息时代,总统告诫广大美国民众,那些旨在推动世界进步的新技术也具有反作用,必须采取有效措施扭转这一趋势。

  为了改变电脑黑客利用先进技术从事网络犯罪的侥幸心理,必须制定一个新型的和开创性的战略行动计划来改变当前的网络破坏方式。这种计划的制定必须包括美国政府、国际社会和私营-公共部门的积极参与,通过一个独立的权力机构对美国网络安全利益相关者进行领导、指导和激励。本文的目的是通过评估当前环境和重要权力机构来更好地理解网络安全管理结构,然后对如何开展合理的行动计划,以及在未来获得一种良好的国家网络安全态势提出方案建议。本文的主要目的有三个方面:(1)确定美国政府内各机构在网络安全管理方面的不同任务、职责和权力;(2)评估国家级网络安全管理计划的效率和有效性;(3)提出整体提高网络安全管理的战略方案建议,以在资源有限的环境中有效保护和运营美国的网络和信息。

  背景

  2008年,为了应对网络攻击对联邦系统和业务所带来的持续威胁,布什总统授权实施一项新的“国家网络安全综合计划(Comprehensive National Cybersecurity Initiative,CNCI)”。该计划旨在提高联邦政府保护敏感信息的能力,阻止黑客和民族国家入侵国家机构的网络及其他网络。此外,由于多个部门报告他们的计算机网络遭受了多起网络攻击,美国政府决定实施“国家网络安全综合计划”。还成立了国家网络安全中心(National Cyber Security Center,NCSC)来协调各联邦机构和部门的信息,以确保网络安全和促进协作。“国家网络安全综合计划”旨在减少漏洞、防范入侵,并预测潜在的威胁,而国家网络安全中心则致力于规范当前的网络安全流程,并引入新的政策和商业实践,以更好地保护计算机网络和系统。

  早在2009年,美国总统奥巴马就曾宣布,“网络空间威胁已经成为美国21世纪面临的最严重的经济和国家安全威胁之一”,而且“美国在21世纪的经济繁荣将依赖于网络安全”。2009年5月,他指示美国政府问责办公室审查美国国家级网络安全政策和程序。美国政府问责办公室的政策审查结果重点放在了网络安全职责上面。戴维•鲍勒尔撰写了政府问责办公室报告,并指出存在两大重要不足:(1)缺乏强有力的领导。(2)联邦机构之间缺乏清晰的任务区分。对缺乏强有力领导的关注始于2009年3月,时任国家网络安全中心主任的罗德•贝克斯特罗姆突然向美国国土安全部(Department of Homeland Security,DHS)主任提交了辞职信,声称缺乏资金支持和未将网络安全视为国家优先发展项目,致使他决定辞职。鉴于贝克斯特罗姆先生的突然离职和美国政府问责办公室对国家网络安全态势的评估结论,美国总统奥巴马决定在白宫内设立一个总统特别助理兼“网络安全协调官”,旨在提高机构间协作与同步协调效率。“网络安全协调官”这一新职位将负责向国家安全委员会(National Security Staff,NSC)和国家经济委员会(Staff of the National Economic Council)报告,统揽整个美国网络安全管理事务,制定网络安全长远规划。为了领导国家网络计划,奥巴马总统于2009年12月任命霍华德•A•施密特作为国家“网络安全协调官”,霍华德•A•施密特曾效力于联邦调查局,专门研究网络犯罪,先后担任过微软和eBay公司的首席安全官,还曾担任过小布什政府的白宫网络安全顾问。“网络安全协调官”既没有指挥权,也没有对任何联邦机构的预算权,在当今信息时代,要解决那些困扰美国和世界的一大堆网络安全问题,他的行政人员规模是远远不够的。

  自2009年12月以来,各联邦机构在网络业务和政策发展方面都取得了重大进展,但各机构之间缺乏一个集体的和协作的机制问题一直遗留到现在。虽然“网络安全协调官”已在政府部门内任命,迫切需要在监督国家网络安全方案方面强化领导与管理的需求最近才刚刚被提上日程。在政府问责办公室对网络安全管理进行定期审查期间,当确定谁对网络安全的政策和计划拥有领导和决策职责时,各联邦机构纷纷抱怨职责区分混乱,由于任务和责任区分的不明确,重复性工作和资源重叠依然在各机构间存在,这就造成了不必要的混淆与浪费。有人认为重复性工作和资源重叠会在一定程度上为国家增强和/或提高生产力与网络安全态势,因为冗余的网络安全人员和设备有利于更好地完成任务。然而,由于缺乏政策、领导、行政机构和信息共享,网络安全管理很难获得更大的进步。由于每个联邦机构都着手制定相类似的政策;监控和维护相同的网络;调查违法犯罪行为;与国际和国内私营及公共部门进行协调;并履行相似的研究和开发职责,对普通观察者(美国公民)来说,这种重复性工作显然浪费了联邦政府、州政府和业界的资金,而国家安全的威胁却持续上升。正如历史书讲述的西部故事,蛮荒的西部被打败和驯服,胜利是通过正确的领导、结构合理且纪律严明的组织以及明确清晰的战略和愿景取得的,而不是通过松散委员会、团体共识以及通过含糊的政策方案和愿景清单的模糊指导取得的。因此,联邦政府需要发展和实施新的网络安全战略,这种新的网络安全战略需要总结过去的经验教训,并预期未来的需求。如果只发展那种“被动的战略”并实施“匆忙拼凑”的解决方案,这只会使国家处于一种被动的网络安全窘境。世界认为美国是全球技术、开发和领导的领头羊。随着网络威胁持续在全球的迅猛蔓延,并对经济和安全利益造成极大破坏,世界需要一种网络角色模型来实现有效变革,并取得积极性成果。美国需要领先并具备这种能力!

  任务和职责

  自20世纪80年代以来,网络安全一直是美国政府的一个棘手问题,但驯服蛮荒的西部曾经也同样是一个棘手问题。为了更好地了解网络“网状”管理中的复杂现状,明确美国政府内哪些核心部门对国家制定网络安全政策和操作程序负有职责非常重要。2010年,政府问责办公室发表了一篇文章,明确以下部门和联邦机构在网络安全方面负有重要职责:行政部门、国土安全部、国防部、商务部、司法部、国务院。本文将集中讨论这6个联邦机构的任务和职责,因为它们是网络安全政策和程序的主要开发者与实施者。

  在行政部门中,新设立的“网络安全协调官”是首要参与者。“网络安全协调官”是国家安全委员会和国家经济委员会成员之一,主要负责确保联邦网络政策可以增强国家安全,并确保在整个政府内有一种协调一致的手段。“网络安全协调官”是美国网络安全的“伪教父”,虽然他直接向总统负责,但缺乏资金、指挥权以及在整个网络领域内影响人员和流程的控制权。联邦行政部门中另一个有影响力的部门是管理与预算办公室(Office of Management and Budget)及其下属的电子政务与信息技术办公室(Office of E-Government and Information Technology,E-Gov)。电子政务与信息技术办公室由联邦首席信息官(CIO)负责主管,负责开发和利用“基于互联网的技术使公民和企业与联邦政府的交互变得更加高效,节约纳税人的钱,并简化公民的参与。”史蒂文•瓦洛伊克尔先生是美国第二任联邦首席信息官,于2011年8月5日由奥巴马总统任命。他接替了维伟卡•孔德劳先生,维伟卡•孔德劳是美国首任联邦首席信息官,任职时间从2009年3月到2011年8月,也是由奥巴马总统任命的。联邦首席信息官负责管理首席信息官委员会(CIO Council),首席信息官委员会是“改善与联邦信息资源规划、采购、开发、现代化、使用、共享和实施有关的机构实践的主要跨机构委员会”,该委员会包括28个来自不同联邦行政机构和其他几个特定联邦机构的成员,是行政部门建立的专门负责管理网络安全的众多委员会/理事会之一。在联邦政府高层的另一个重要委员会是信息和通信基础设施机构间政策委员会(Information and Communications Infrastructure Interagency Policy Committee,ICI-IPC),由国家安全委员会和国土安全委员会(Homeland Security Council,HSC)负责。信息和通信基础设施机构间政策委员会是协调信息和通信基础设施政策的主体。

  根据“国土安全第23号总统令”和“国家安全第54号总统令”,美国国土安全部(DHS)正式领导联邦机构“防护联邦政府部门的网络和系统(‘dot-gov’域名),并且与私营部门协调,共同保护国家关键基础设施和核心资源。”美国国土安全部主要负责联邦信息技术(IT)基础设施和数据网络的防护。该部门的大部分网络安全职能集中在国家保护与计划司(National Protection & Programs Directorate,NPPD),该司继续由国土安全部副部长担任主管。国家网络安全处(National Cyber Security Division ,NCSD)是国土安全部下属的理事会之一,主要负责“与公共、私人和国际实体协作,共同保护网络空间和美国的网络利益。”国家网络安全处主任负责监管国家网络安全与通信集成中心(National Cybersecurity and Communications Integration Center,NCCIC)和美国计算机应急预备小组(United States Computer Emergency Readiness Team,US-CERT)。国家网络安全与通信集成中心是一个全天候业务中心,“负责对联邦、州和地方政府,情报和执法界以及私营部门共同生成一个网络和通信运行态势图。”美国计算机应急预备小组也是一个全天候业务中心,是国家网络安全处的业务部门。它负责向联邦民事行政部门(Federal Civil Executive Branch)提供响应支持和网络攻击防护,并与州和地方政府、业界和国际合作伙伴开展信息共享与协作。美国国土安全部/国家网络安全处负责一些保护网络基础设施免受攻击的计划,如国家网络应急协调小组(National Cyber Response Coordination Group)。该小组由13个联邦机构代表组成,当发生全国性的严重网络事件时,该小组负责协调一个同步的联邦响应。国土安全部内另一个对网络安全负有重要职责的理事会是美国特勤局(U.S. Secret Service,USSS)。2001年10月26日,布什总统签署《美国爱国者法案》(Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism,简写为USA PATRIOT)该法案指示美国特勤局建立一个全国性的电子犯罪特遣队(Electronic Crimes Task Forces,ECTFs)网络。电子犯罪特遣队网络不仅汇集了联邦、州和地方执法机构,还包括检察官、民营企业和学术界。该特遣队是在美国境内负责调查网络犯罪的众多机构之一。美国特勤局的使命就是保护国家金融基础设施和支付系统,以确保美国经济的绝对安全,通过减少“电子犯罪、金融犯罪、计算机犯罪、破坏支付系统、身份窃取和其他金融犯罪类型所产生的金融损失总额”。最后,在国土安全部内,需要认识的重要网络机构是信息共享和分析中心(Information Sharing and Analysis Center,ISAC)。该机构的创建是为了在国土安全部和联邦政府外部组织之间建立伙伴关系。2003年,美国总统签署了“国土安全第7号总统令:《关键基础设施的识别、优先级和保护》(HSPD-7)”,规定:“联邦政府要求每个关键基础设施部门在部门内建立具体信息共享组织,以便与其他部门就该部门的威胁和漏洞信息进行共享。”作为响应,许多部门成立了一个信息共享和分析中心以满足“国土安全第7号总统令”的要求。目前,已成立了16个信息共享和分析中心小组,他们每季度召开一次会议:电力行业、金融服务、信息技术、地面运输、公共交通、通讯、供水、多州合作、房地产、研究和教育、商品供应、核电、海事、高速公路、国家卫生、应急管理与响应。所有合作伙伴都签署了书面协议,当参与联合网络演习时,以及对现实世界中的网络危机事件作出响应时,允许非联邦成员就日常事务问题和国家网络安全与通信集成中心内的全天候网络运营机构合作。联邦和非联邦网络专家之间的协作与同步已经成为美国基础设施和信息网络保护的重要手段。

  国防部(DOD)主要负责进攻性和防御性的网络作战,而美国国土安全部负责防御性网络作战,这两个机构密切合作以确保全谱作战行动(防御、嗅探和攻击)都被很好地实施和同步协调,从而确保国家免受网络威胁。一个正式的协议备忘录于2010年9月由美国国土安全部和国防部领导人共同签署,以强化跨部门协作和增进合作,以及更好地定义任务和职责,从而避免重复性工作。美国国防部于2010年成立了一个新的司令部——美国网络司令部(USCYBERCOM),这是隶属于美国战略司令部的一个二级联合司令部。美国网络司令部的任务是负责规划、协调、整合、同步和指导国防部信息网络的运行与防护行动,领导全谱军事网络空间作战,以确保美国和盟国在网络空间的行动自由,同时削弱美国的敌人在网络空间的行动自由。

  美国网络司令部的下属作战力量代表各军兵种在网络领域的管理力量:陆军网络司令部(ARCYBER)、海军第十舰队网络司令部(FLTCYBERCOM)、第二十四航空队(AFCYBER)和海军陆战队网络司令部(MARFORCYBER)。除了对各军种组成具有作战控制权外,美国网络司令部司令还具有美国国家安全局(NSA)局长和中央安全署(CSS)主任的双重身份。美国国家安全局/中央安全署在信号情报和信息安全保障领域主导着美国密码学界。这就为国家网络情报部门与军事网络管理力量的合作增加了合作关系和协作机制。美国网络司令部内的三条业务线是:美国国防部全球信息栅格运行(IT网络的管理);防御性网络空间作战(阻止网络攻击)和进攻性网络空间作战(进行网络嗅探和网络攻击)。同理,国防部对网络嗅探和网络攻击行动负有主要领导职责。

  美国商务部(Department of Commerce,DOC)是国家网络安全框架内的又一个重要机构,主要负责为网络系统技术改进和为联邦网络建立重要的IT基础设施计划模板。美国商务部的网络指挥权是1950年《国防生产法案》赋予的,目的在于缩减和消耗联邦机构的供应,以满足国防需求。在计算机网络安全方面,美国商务部有两个重要机构,国家标准技术研究所(National Institute of Standards and Technology,NIST)和国家电信与信息管理局(National Telecommunications and Information Administration,NTIA)。国家标准技术研究所是美国商务部开展研究、开发、技术和工程(RDT&E)的力量。主要基于安全标准、指标和最佳实践,负责为商业及政府实体开发、测试、宣传、监测和测量新信息技术(IT)原理与技术细节。国家电信与信息管理局是对行政部门提供直接支持的机构,主要负责就电信和信息政策问题向总统提出建议。国家电信与信息管理局的计划和决策在很大程度上集中在扩大美国宽带互联网的接入和使用。国家电信与信息管理局制定互联网经济相关的政策,包括在线隐私、网络安全、在线信息的全球自由流动。

  美国司法部(Department of Justice,DOJ)是美国政府的主要行政执法机构,负责制定网络规则参与和由美国国会建立的法律,并对那些违反网络相关法律的个人、企业、机构、国家和民族提起诉讼。美国司法部的一个下属机构是联邦调查局(Federal Bureau of Investigations,FBI),主要负责调查和诉讼网络犯罪问题的全国业务。美国联邦调查局的网络安全使命是调查高科技犯罪,如基于网络的恐怖主义、电脑入侵、网络色情犯罪和重大网络诈骗。联邦调查局负责从公共和私营部门、商业企业和其他联邦机构收集信息,以分析网络犯罪事件的取证证据,从而确定恶意活动的来源或发起人。联邦调查局与其他执法机构(联邦、州、地方和国际机构)合作,共同保护和防卫国家免受恐怖分子和外国部门威胁,从而维护和巩固美国刑事法律。国家网络调查联合特遣队(National Cyber Investigative Joint Task Force,NCIJTF)由美国联邦调查局负责管理,包括来自美国特勤局和一些其他联邦机构的代表。网络调查协调组织作为跨机构的国家部门,负责协调、整合和共享有关网络威胁调查的相关信息。

  国务院(Department of State,DOS)是负责外交事务的领导机构,因此,在制定、协调和监管国际通信和信息政策的实施方面负有重要职责。根据2003年《保护网络空间安全的国家战略》,国务院被赋予了加强国际网络空间安全合作的联邦领导职责。为了更好地履行部门的领导职责,许多理事会被赋予了具体任务。例如,经济、能源和商业事务局/国际通信和信息政策局(EEB/CIP)负责国际电信与信息政策。此外,情报研究司(INR)、网络事务办公室就网络安全问题提供情报分析和协调国际项目扩大服务。

  随着各联邦机构之间网络安全任务和职责的不断完善,显然网络防御作战、政策制定、执法、研究与发展机制中存在的冗余和重复性工作将继续在美国政府内多个机构间存在。网络机构这种二重性的一个关键原因就是没有指定一个独立的权威机构全面负责网络安全管理。领导者需要在哪些方面监管统一指挥和统一工作,需要在一个管理机构内监管哪些金融需求和人力资源?随着过去几年高级网络官员的辞职,网络安全管理领域内的混乱迹象逐步显现。这些联邦高级领导都因组织混乱和管理不善而被迫离职,最终阻碍网络领域管理工作的进程。

  评估网络安全管理

  随着每天网络空间规模和势力的不断增长,接踵而至的网络威胁和漏洞也呈指数级增加。由于网络威胁对国家利益和基础设施安全危害的日益增加,美国必须具备一种响应迅速且高效的、能解决全球网络空间问题的网络安全管理能力,时间成为了确保这种能力的重要因素。“美国政府正面临着一系列严峻挑战,这些挑战阻碍了其制定和执行一种职责分明的方案”,就全球网络空间而言,包括:(1)提供具有最高权威的领导关系;(2)发展一种连贯性和全面性战略;(3)在所有相关联邦实体间进行跨部门协调;(4)确保网络空间相关的技术标准和政策不会对美国贸易造成不必要的障碍;(5)参与国际性网络事件响应;(6)区分不同法律制度和执行美国刑事和民事法律;(7)规范网络空间的国际标准。为了应对这些人们普遍认识到的挑战,总统特别助理兼“网络安全协调官”必须与其他联邦机构和私营部门协作,共同建立一个统一战线来发展符合我们国家经济和国家安全利益的网络能力。

  在2010年政府问责办公室审查美国国家网络安全政策和程序期间,联邦政府并没有明确的组织结构可以有效解决当前或未来日益严重的网络安全问题。网络安全管理的任务和职责被分散到多个联邦部门和机构中,存在许多重叠机构,但哪个机构都没有绝对的决策权,可以直接以一种协调一致的方式处理那些经常相互冲突的问题。政府需要整合的战略愿景和计划必须是全面的,这样才能满足美国政府解决所面临的网络安全相关问题的需求。美国需要发展缓减网络安全相关风险的政策、程序、人才和技术。

  马克斯•施蒂尔说:“美国政府早就该充分利用资源和运用领导关系,组建并培养一支技术精湛的网络队伍”,这支网络队伍应该结构合理,谨慎考虑公民和国家利益,完全聚焦于阻止网络威胁和漏洞。在《网络安全的“三驾马车”:政府、私营部门合作伙伴以及参与网络安全的公民》的文章中,作者哈克尼特和斯蒂弗认为:“对网络安全充分参与和对知识渊博公民的需求,必须与对结构合理且妥善管理政府的需求相提并论。”他们强调在美国政府和公民之间保持适当均衡职责的重要性,因为如果每个公民都不是网络安全的参与者,国家安全的网络空间目标将永远无法实现。要想取得成功,政府必须与民众建立个人IT保护合作伙伴关系,而不仅仅是安全政策的受益者。尚未解决的问题就是,“哪个联邦机构对此负责?”

  由2011年《网络空间安全国家战略》可见,美国政府已经认识到保护网络空间已经成为一个全球性问题,因为全球计算机系统的互联性,非常必要采取一种全球性措施来保护信息和防止基础设施和经济威胁。为了减少网络威胁,协调一致的国际合作与协作机制就需要坦诚沟通和更多信任。在过去几年间,网络工程师、事故响应者、政策制定者、情报分析员和执法人员在这一领域已经取得了巨大进步,并认识到跨国共享网络安全信息和将全球性解决方案纳入跨国安全问题的重要性。更大障碍在于数据的安全性与完整性,以及信息收集和共享过程的便利性。在目前美国政府内多机构网络结构和重复性网络工作中,美国公民和企业主决定向哪个联邦机构寻求支持与帮助将是一项艰巨任务,然而更艰巨的任务是国际网络界如何充分获得美国的支持。尽管预先协调的官方协议、政策和条约减少了信息共享的时间间隔,但进入世界网络的新威胁战术、技术和程序往往需要新的应对方案和新的合作伙伴;这就使已经获得批准的协议过时或被淘汰。

  众所周知,昨天技术精湛的黑客利用“零日漏洞”来阻滞或破坏网络,肯定与明天的高级持续性威胁(advanced persistent threat,APT)无法比拟,高级持续性威胁是国家和非国家犯罪组织窃取知识产权而从事犯罪活动的新型威胁手段。国际社会需要安全的和有保障的网络,在这个网络中,关键信息可以自由穿越网络边界,对受保护基础设施的依赖已经被提升为一个全球性利益,不仅仅是国家利益。为了始终对日益增长的全球网络威胁保持领先,美国的国际合作伙伴应该有一个集中组织且“一站式”的机构来协作网络安全问题。悬而未决的问题是,“哪个联邦机构对此负责呢?”

  保护全球网络空间需要个人、公众、私人、地方、州、联邦和国际合作来共同提高态势感知,共享信息,促进安全标准,以及调查和诉讼网络犯罪。为了实现妥善管理网络安全的目标,不仅对美国,而且对整个世界来说,都非常必要在美国成立一个联合机构,这将提高网络安全整体的稳定性与安全性。

  提高网络安全管理的战略方案

  审查每个联邦机构的任务和职责,并对当前网络安全管理进行评估后,笔者就美国解决全球性网络空间问题和提高网络管理提出三种方案建议:(1)保持现有的组织结构;(2)重新调整组织结构;(3)组建一个新的网络机构。下面我们对每种方案的优点、缺点和战略影响进行重点剖析。

  方案一(保持现有的组织结构)。这种方案要求在国家安全机构和联邦机构内不改变当前组织结构。由于2009年12月任命的总统特别助理兼“网络安全协调官”是一个新职位,但是这一网络机构在其网络安全管理活动方面尚处于起步阶段,尚未发展为一个拥有绝对权威的管理要素。通过时间和工作经验的积累,保持现有组织结构的这种方案将提高网络领域的整体管理水平。这种方案最大的优点是没有成本负担。随着时间的推移,“不断缩减”的财政需求和完善协调官职位可以很好地满足当前削减政府开支的经济需要,因为这种方案没有机构重组的财政负担。这种方案的缺点是:繁重工作量所需要的人手不足;任务和角色与职责定义的优先权尚未解决;网络安全运营和政策制定尚未及时处理。潜在战略影响有三个方面:(1)由于政策制定与信息交换没有同步发展,这就增加了网络攻击次数并延迟了网络事件响应效率;(2)由于管理监督受限,国际社会中的网络协作将减少;(3)增加了恢复被攻击基础设施的恢复成本。所有这些问题都对国家安全利益、外交手段和经济措施构成严重风险。

  方案二(重新调整组织结构)。这种方案建议成立一个政府部门级的“网络委员会”,由各个联邦机构利益相关者的成员代表组成,并将他们的指挥与控制权委派给“网络安全协调官办公室”。这种预想方案是成立一个由二十多名成员组成的新型特别小组,可以建立一个直接组织机构,用以分担“网络安全协调官”的繁重工作。建立一个建设性和技术精湛的参谋机构,对政府部门和联邦机构都将大有裨益,因为及时和有效的跨机构沟通将从此变成现实。采用这种方案将要求联邦机构参与开发新组织结构。其他优点还包括:优先权的分配、责任划分、工作量的均衡分配,以及加强跨国协作。通过“网络委员会”成员参与政策和程序的全球信息交流,以及对网络攻击事件的响应行动,国际优势就能实现。缺点是要比维持现有组织结构方案的成本高。但由于办公室空间分配和人员重新安置,成本也将降低到最低程度。与方案一和方案三相比,采取这种方案的战略影响将显著降低。所有的国家力量(外交、情报、军事和经济)将实现成功结合,通过强化全球合作伙伴关系;优化管理和组织结构;劝阻和威慑网络威胁以及防范进一步的经济萧条。定期从其他联邦机构重新调整人员是绝对可行的。虽然在提高领导关系和协调方面效果显著,但这种方案不能解决对网络安全管理缺乏预算权的问题。

  方案三(组建一个新的网络机构)。这种方案需要建立一个新的联邦机构,负责领导所有网络相关活动,包括政策和程序的制定与实施;信息共享和网络业务在地方、州、联邦和国际同等机构间的同步协调;监测网络领域的入侵行为;组织对网络犯罪取证分析;协调情报与执法行动;执行研究、开发、技术和工程以及发展全面战略。网络协调官将继续作为总统办公室的一个重要成员,就国家级网络最新动态向总统及政府部门成员进行汇报,成为白宫和新网络司令部之间的联络员。

  减少重复性工作和资源的努力目前正在紧张的管理进程中,应该组织对所有联邦机构进行详细评估从而确定潜在的重组网络要素。这就需要联邦政府的一个外部机构来领导这个评估小组,该评估小组成员由各联邦部门和机构的代表组成。组建的新司令部成员或者来自于其他现有的联邦机构职位,或者雇佣新的和调整后的员工。后一方案利用新的和现有的联邦雇员来建立一个联合机构,这种方案是防止对历史悠久机构的总体破坏和创造新就业机会的首选方案。这些可能合并的成员是政策制定者、研究和发展科学家、联邦网络运营中心和情报分析师。创建一种新机构将不会削弱跨机构沟通与协作的需求;事实上,对这种跨机构沟通与协作的需要将更大。当前的政府环境是一个网状系统和电力网络,并且将长期存在。对情报、经济、军事、执法和外交事务的管理,不仅由单独的联邦机构管理,而且每个因素同时也是各个联邦机构的一个子集。例如,各部门目前具有国际性安全合作资格、一个预算部门、一个法律和政策部门以及一个网络威胁分析组织,可以说网络管理与通信和信息管理基本相仿。尽管网络是所有联邦机构之间的一个共同要素,网络业务未来在公共、私人和联邦部门将继续呈指数级增长。世界才仅仅处于信息技术的早期阶段,包括网络攻击和网络安全。如果大多数美国网络位于私营部门内,那么大多数网络安全风险也将存在这种环境中,这主要是经济问题。美国网络的其余部分,如:“.gov”和“.mil”网络,担负着保护敏感信息或机密信息的重任,并且这些网络已经得到了很好地保护。这种方案的缺点就是需要付出创建一个新机构的代价。

  建议

  由于当前罪犯分子和恐怖分子继续渗透到全球信息栅格,保护美国核心安全利益就变得至关重要。然而,为了在网络空间管理方面取得显著进步,时间成为确保这种能力的重要因素。要想在短期内保证既取得立竿见影的效果,又使用最小化资源,最佳选择方案是方案二:重新调整当前的组织结构。这种方案符合强有力的领导;改善全球和跨机构协作;及时制定和实施政策与程序;提高对网络业务的监督;增强国家安全态势感知以及减少经济开支。成功的关键就是一个结构合理的管理机构,对指挥、指导和推进网络安全队伍拥有绝对权力。方案二是目前解决当前网络安全管理架构不足的最佳选择。

  然而,长期的解决方案仍然是方案三,创建一个新的网络机构。建立一个新的指挥部不仅提高了美国国内的网络管理能力,同时也向国际社会表明美国已将网络安全视为国家优先发展项目,并可以对其他民族国家或非民族国家的敌人建立真正意义的网络优势。这种方案的其他优势在于指挥权集中、决策集中、减少重复性工作,并且任务和职责区分清晰明确。虽然可以提出一个可行性需求声明,证明基于当前威胁完全有必要成立一个新的网络安全联邦机构,时间和资源需要获得国会批准,并建立一个有效和高效的组织,这毫无疑问是一项复杂艰巨且难以完成的任务。财政负担还需要应对目前缩减的经济开支计划,并可能导致公共部门内部的不安;尽管可以创造新的就业岗位。一个全面的战略路线图和强大的战略传播计划将需要获得国会批准和广大民众对这一方案的积极支持。

  结论

  我们国家的高层决策者必须考虑通过长期的战略方案,确保美国可以依赖于网络空间的安全使用。迄今为止,美国政府已经采取了传统措施应对网络安全问题——这些措施都没能达到预期的效果。2008年《国家网络安全综合计划》和后续的一系列努力,旨在为网络防御战略的建立作一些尝试,通过提高预警能力来威慑网络空间中的干涉和攻击行动;明确私营部门和国际合作伙伴的任务;并为国家和非国家行为体制定合理的应对措施。

  新的、非传统的网络安全措施需要完全打破当前网络安全组织中低效的“饭碗”保护主义。政府和私营部门网络安全运营中心之间的情报共享将是第一步,也是最重要的一步。对联邦网络安全组织和能力进行整合(将重复性工作和业务降低到最低程度),可能是节约成本且提高我们国家网络安全态势的第二步。越来越精通网络的领导者对网络空间拥有绝对权力是第三步。我们如何将解决国家网络安全问题与处理行动的巨大资金支出相协调,改变这种文化是我们目前面临的巨大挑战。