美国应对重大网络空间安全事件新动向?这篇文章透露了太多......
发布时间:
2020-04-09
来源:
作者:
访问量:
40
【编者按】3月11日,美国“网络空间日光浴委员会”(Cyberspace Solarium Commission)发布旨在保护美网络空间安全的战略性指导报告,提出以向前防御(Defend Forward)为基础的分层网络威慑(Layered Cyber Deterrence)战略,建议政府在六大战略支柱领域进行改进,具体包括超过75项实施建议。在第二个战略目标,即确保对重大网络事件响应和恢复的国家能力方面,宏观层面提出了若干建议:确定危机管理专职机构职责,确保相关部门在管控网络风险方面拥有足够资源;制定并保持经济规划的连续性以确保在发生重大网络事故的情况下,经济的关键职能能够持续运行;将“网络危机状态”及相关联的“网络响应和恢复基金”写入法律等。在操作层面则提出:明确网络安全服务机构和联邦政府对缓解、响应和恢复工作的主要职责;改进和扩展网络安全事件响应、恢复的准备和能力规划;组织开展网络演练、演习和模拟对抗;建立两年一次的全国性网络桌面推演的机制;明确并增强国民警卫队的网络能力等建议。在当前网络空间攻击事件此起彼伏、威胁态势进一步恶化的形势下,特别是事关国计民生的关键信息基础设施面临更加严峻的风险挑战,强化网络空间安全的危机意识和危机管理,未雨绸缪,切实做好应对重大网络安全事件的缓解、遏制、响应和恢复准备工作,具有积极现实的紧迫性。美方在相关组织机构设置、主体责任明确、政府企业协同、事前预案规划、常态的演习演练、网络能力培养和力量调度等方面的做法,值得我们借鉴。
在第二个战略目标,即确保对重大网络事件响应和恢复的国家能力方面,该报告指出,美国应该建立应对重大网络事件并从中恢复的国家能力,并与公共和私营部门关键基础设施的所有者和运营商合作,向政府提供必要的能力,以确保经济连续性和网络弹性。国家的复原能力要求国家做好充分的准备,应对攻击并从攻击中恢复,即使在条件恶化的情况下也能维持关键功能,在某些情况下,还需要在人为或非人为破坏后重新启动关键功能。虽然美国政府通过业务连续性、政府连续性、联邦应急管理业务连续性保持了强有力的程序和机制来应对和恢复自然灾害或国家紧急情况,但在其他领域仍存在差距。《2017年国家安全战略》将经济安全确定为国家安全,但没有建立相对健全的连续性机制和规划工作,以确保在发生真正灾难性破坏的情况下迅速重启和恢复国民经济。此外,美国政府在帮助私营部门和SLTT(State, Local, Tribal, and Territorial,州,地方,部落和地区)政府预防、应对和恢复重大网络事件的能力方面面临体制和资源方面的限制,该事件的级别低于紧急宣布的级别。
一、确保在重大网络中断情况下关键经济功能的持续运行
尽管业务连续性和政府连续性长期以来一直是政府应急计划的基石,但在没有任何等效的方法可以来确保美国经济在遭受重大干扰后可以迅速重启和恢复。这种动荡可能包括对主要证券交易所的攻击、电磁脉冲事件、区域性电源中断或任何其他损害国家货物或服务运输的攻击。在制定和执行经济连续性计划时,美国应将精力集中在维持国家或国际一级的商品或服务的分配或交换的连续性上,从而建立美国的经济实力和公众信心。尽管破坏这些区域或地方机制可能会产生其自身后果,但现有的复原和恢复工作通常可以解释、应对和减轻局部影响。
但是,在许多部门,包括大功率配电、证券交易所、批量支付、医药、电信、贸易或物流等在内,上游国家机制的中断将在下游产生连锁反应,在区域和地方各级造成进一步的失效,并导致短缺,这将阻碍美国的应对、复苏和动员努力。如果在战时发生重大网络事件,将严重阻碍军事准备和动员。而且,长期破坏核心经济职能将损害美国在日益竞争的全球市场中的国际地位、信誉和吸引力。制定并执行经济连续性计划,将证明美国拥有应对重大网空攻击的能力并保持抵御能力,这将给对手产生威慑作用。
国会应指示行政部门制定并保持经济规划的连续性,以确保在发生重大网络中断的情况下,经济的关键职能能够持续运行。规划过程应包括国土安全部、国防部、商务部、财政部、能源部以及总统确定的任何其他部门或机构。行政部门应在一年内向国会报告其规划工作的状况,并在此后每年向国会提供最新情况。作为计划过程的一部分,行政部门应确定在发生灾难时或制定支持和维护部门的计划时执行计划所需的任何额外权力或资源,以保持经济持续发展的机构规划能力。在形成或更新经济规划的连续性时,行政部门应借鉴国家风险管理周期的观点,规划应告知关键基础设施恢复战略。
分析国家的关键职能:经济计划的连续性应侧重于美国可靠的经济职能所必需的国家级商品和服务的分配。该计划应利用已经在发展中的国家关键职能,概述构成或构成这些分配机制的关键私营部门实体,并在为部门、区域或整个经济维持和运作这些机制方面承担主要责任。这些关键机制包括但不限于以下:
n 大容量发电和配电系统
n 国内或国际金融交易所,包括批发支付、股票、货币交易所以及支付清算和结算系统
n 国内或国际通信网络、数据托管和云服务
n 洲际石油和天然气管道
n 国家级贸易和物流,包括海运、铁路和航空货运
优先响应和恢复:计划应建立一个框架,以便在危机中快速重启和恢复核心功能。该计划采用了类似于业务连续性和政府连续性的优先次序模式,应优先考虑那些中断可能造成灾难性经济损失、导致公众信心失控、危及全国人民生命、或破坏危机中的反应、恢复或动员努力的职能。计划还应概述计划激活、执行和实施的标准操作程序。
确定投资恢复能力的区域:经济规划的连续性应确定中断风险是灾难性的,因此建立安全、独立的关键系统,包括模拟或恢复系统,是对资源的有效利用。如果国家安全问题压倒了互联网连接的需要,那么经济规划的连续性应进一步审查断开、关键服务或特定工业控制网络的可行性。最后,这项工作应强调制定计划以减轻成功网络攻击的后果的重要性。
确定要保存数据的区域:经济连续性计划应确定经济的关键部分,在这种情况下,面对中断或重大网空攻击,将需要对特定数据进行保护,以经过验证且未损坏的格式保存,以快速重启经济。美国应进一步探索选择办法,与盟国或合作伙伴一起跨边界存储备份的受保护的数据,尤其是在任何一个国家的经济中断可能对全球经济产生连锁影响的地区。
确定关键材料、商品和服务:行政部门应考虑是否包括原材料、工业产品、关键服务的清单,如果缺少这些清单,将严重损害美国避免经济崩溃和经济复苏的能力。同时,行政部门应提出美国是否应保持对这些材料、货物、服务进行战略储备的建议。
提供信贷:行政部门在总统提出国家紧急状态声明时,还应考虑建立机制,以确保在为避免灾难性经济崩溃或允许灾难性信贷而需要这种信贷时,将信贷扩大到国民经济的主要参与者从这样的崩溃中恢复过来。此类机制可能包括授权美国财政部或联邦公开市场委员会将美国的信誉扩展到这些实体,以使其迅速复苏。
扩大公众的教育程度和准备就绪程度:从本质上讲,经济连续性计划将优先考虑美国及其地区的最基本职能,这两项工作都是为了从灾难性的网络攻击中迅速恢复并保持实力,并将迅速惩罚攻击者。许多行业将不包括在此计划中,并且大多数公民在发生此类攻击后的这段时间内将无法依靠政府的援助。但是,正如自然灾害防备一样,美国人民不必束手无策。国土安全部和其他相关机构应扩大公民的准备工作和公众意识机制,为此类事件做好准备。
二、确保有足够的资源和能力应对重大网络危机
虽然FEMA(联邦应急管理局)机制可用于帮助应对和恢复接近自然灾害水平的网络事件,但很少有网络事件可能越过这一门槛。在总统政策指令41中概述并在《国家网络事件应对计划》中详述的当前网络事件应对机制并不赋予联邦机构额外的权力、资金、响应或援助非联邦实体的资源,即使已做出“重大网络事件”的指定。缺乏这样的授权仍然是美国政府在应对网络事件时确保适当的能力、支持和组织的能力的一个关键制约因素。
为了解决这一问题,国会应该通过一项法律,将“网络危机状态”编入法典,这是一项联邦宣言,将通过网络应对和恢复基金触发额外资源的使用,以协助SLTT政府和私营部门,可使之超越常规技术援助和网络事件响应程序。
该声明将专门用于响应或提前准备,用于那些重要性高于常规但低于触发紧急声明的事件,以及超出或预期超出联邦政府有效支持关键基础设施响应和恢复能力的事件。该基金将用于增加或扩大政府技术援助和事故应对工作,以支持公共和私营关键基础设施。
一个关键条款是包括先发制人的行动和准备,这考虑到联邦政府合理预期可能发生重大网络事件,先发制人的行动和准备将减少中断或妥协的潜在后果。
危机状态声明的阈值:声明应针对重大网络事件,或可能对国家造成明显伤害的(或一组相关的网络事件)影响美国的安全利益、外交关系或经济,或对美国人民的公众信任、公民自由或公共健康与安全。这样的网络事件可以包括多个随时间推移发生的单独事件的协调运动,这些事件本身并不重要,但总体上会产生重大后果。做出此声明的主要考虑因素应该是,当一个事件或一系列事件超出民事部门的能力以有效地协助私营部门和SLTT进行准备、响应或恢复时。
事故响应的协调与管理:该声明将援引当前授权,将国土安全部部长确立为主要联邦官员,负责代表整个联邦政府协调事故响应、恢复和管理工作。除了涵盖响应和恢复工作外,这种协调还需要考虑和保护执法利益,包括保存归因于攻击并允许执法机构进行后续调查所必需的取证数据。此协调角色不应取代其他现有的部门和机构授权或直接的执法活动。
网络响应和恢复基金的支出:国会应建立适当的资金来维持由FEMA和CISA指导的网络响应和恢复基金。当宣布处于“网络危机”状态时,将触发支出。这笔资金将不会用于直接向受灾实体提供财务援助,而是会增加、扩大或扩大非民事部门提供技术援助和事件响应的能力。这将包括与私营部门网络安全服务或事件响应者启用待命合同,以及在国防支持下向民事部门运营的国防部人员。
1、根据《国防生产法》明确网络安全服务机构的职责
《国防生产法》为美国政府在自然或人为灾难、军事冲突或恐怖主义行为下的事件提供了最高优先权的资源。但是,与该法案有关的最新行政命令,即行政命令13603,即没有说明也没有指定“网络安全服务”的职责,包括私营部门的事件响应。可以更好地利用这些权限来提供更优化的资源分配,以确保有足够的保护能力防范和应对重大网络事件并从中恢复。这将使美国能够更好地了解和分配资源,用于私营部门的储备能力,并获得可能由重大网络事件或超出联邦政府应对能力的事件触发的备用合同。
为了充分利用《国防生产法》应对网络安全问题,总统应发布或修改执行命令,优先执行并指定“网络安全服务”的职责。这将增强美国政府迅速动员私营部门应对重大网络事件的能力。该命令必须确保美国政府采取一切必要的准备措施,以了解和解决私营部门事故响应能力和优先级的问题,以帮助关键基础设施响应并从重大的网络事故中恢复。
n 执行命令应指定DHS机构来确定对于国家安全至关重要的网络安全相关服务,并评估这些服务以支持国家安全。
n 根据《国防生产法》第七条,美国政府应该召集网络安全事件响应行业,以了解与重大网络事件和灾难性情景所需要的能力,评估其稳定状态下的全部服务能力,从而避免实际后果。
n 利用这些信息,美国政府可以根据《国防生产法》第III条与网络安全事件响应者签订备用合同,该合同将为重大或灾难性的网络事件响应提供额外的网络响应。
2、阐明联邦政府对相关缓解、响应和恢复工作的责任
如果美国发生重大网络事件,联邦政府无疑会要求私营部门合作伙伴的协助来应对。为促进这些活动而存在的现有法律,例如《国防生产法》和《联邦电力法》,在针对私营部门或公共事业可采取或不采取行动的联邦政府提供的可靠责任保护方面,其可及性受到限制。由于缺乏保护,私营部门实体或公用事业公司担心法律责任和诉讼可能不愿与政府合作。
为解决此问题,国会应通过一项法律,规定实体应在任何机构负责人或任何其他法律授权的联邦官员的正式授权指示下采取或不采取行动,应免于承担法律责任。所涵盖的行动应包括由相关联邦机构发出的任何请求令,以防止或应对影响国家安全的紧急情况。
3、改进和扩展网络事件响应和恢复的准备和能力规划
事先计划对于政府准备应对重大网络事件并从中恢复至关重要。国会应提高国土安全部的计划能力,以使关键计划文件、标准操作程序、备用合同和保密协议的准备、审查和更新成为实施突发事件响应和恢复计划所必需的。该计划应允许在危机期间立即执行响应计划和机制。考虑到国家、地区和SLTT的影响;合并授权网络危机状态声明,网络响应和恢复基金以及经济计划的连续性。计划应包括做出关键响应的实体(例如私营部门实体、特定部门的机构、SLTT政府和国际合作伙伴),这些计划还应包括以下步骤:
n 联邦政府应修订国家网络事件响应计划(NCIRP),该计划详细说明联邦、SLTT和私人实体应如何响应并从影响关键基础设施的重大网络事件中恢复,方法详见与特定领域和特定领域相关的附件以及与特定领域的机构和部门协调委员会一起起草的附件。
n NCIRP的附件应说明用于动员政府回应的其他资源的备选方案,包括私人部门的事件响应者,国防部、民事部门、国民警卫队和其他SLTT资产。
n 应该将规划工作与现有的应急响应和联邦和SLTT实体运营的灾难恢复机制和程序整合在一起并实现互操作。
4、协调开展网络演习、演练和模拟对抗
备灾计划可导致明确的响应机制、公众意识和改善的响应。但是,在实践中,计划的实施可能会因无法预见的挑战和局限而失效。演练使人们理解复杂系统在中断或危机期间将如何做出反应,在差异之间建立凝聚力,协调反应并促进努力的统一,当事件真实发生时,这种统一可以转化为凝聚力。
国会应支持FEMA和CISA并为其提供资金,以便在规模较小、对特定部门的活动中实施扩展和协调的跨部门网络演习、模拟以及特定于评估人员的机构。现有的常规演习,包括GridEx、 Hamilton和Cyber Storm涵盖了整个国家网络安全所必需的部分内容,但应该加以增强和扩展,以包括私营部门、联邦政府、SLTT实体,在可能的情况下,还应使用国际合作伙伴。作为美国政府行使经济计划连续性的主要机制。此类演习还应强调确保关键利益相关者之间进行弹性沟通以及与公众保持持续联系的重要性。
5、建立两年一次的全国网络桌面推演机制
体现并纳入国家权力所有要素的演习对于证明和确保美国对网络干扰做出反应并从中恢复的能力至关重要,并减少了敌对势力数量,可以使整个战略目标变得具有战略意义,塑造了美国的整体形象。国家支持对于有效的响应和恢复是必需的。
因此国会应指导美国政府计划并执行每两年一次的、由国家级可评议会授予的最高职位的演习,该演习包括来自行政部门、国会、州政府和私营部门的领导人,以及国际合作伙伴。
n 此“国家网络桌面演习活动”应由国家网络总监在DHS、FBI和DoD的支持下组织和领导。与特定部门的机构、州政府和私营部门合作伙伴之间的协调。
n 该演习应作为实施、故障排除、测试经济连续性计划的机会,并测试应对和恢复措施(如“网络危机状态”和“网络响应和恢复基金”)的有效性。
n 还应该利用活动来改善和指导恢复措施,例如国家网络安全援助基金以及在国家风险管理周期和国家关键基础设施弹性策略中应采取的其他措施。
6、明确并增强国民警卫队的网络能力
各个州越来越多地依赖国民警卫队来准备、响应、和恢复攻击国家和地方资产的网络安全事件。虽然第32条被解释为允许这些活动,但国防部的指南却对国民警卫队可以开展哪些活动以及可以用联邦资金偿还哪些活动描述的模棱两可。网络事件响应部队,包括处于国家现役状态的国民警卫队,在对重大网络事件做出响应时将与联邦人员按程序集成,而目前的联邦网络事件响应计划并未充分说明国民警卫队的一体化网络。
n 国会应指示国防部更新现有政策,即更新《美国法典》第32条规定,国民警卫队可执行和可补偿的活动。
n 国民警卫队应向其组成的网络部门发布有关CISA和FBI的网络角色和职责,机构在当地的存在和能力,在稳定时期进行协作的方式(例如,通过当地多机构工作队和信息共享小组)的指南 ,以及事件响应计划和演习。
n 国土安全部应定期整合包括国家现役状态的国民警卫队在内的国家网络事件响应部队,作为响应和恢复计划和执行的一部分,并应明确机制,以确保在发生危机时具有互操作性。
n 应评估国民警卫队的作用,并在适当的时候将其纳入国土安全部和行政部门的网络响应计划工作中,包括更新国家网络事件响应计划和附件。
关于Cyberspace Solarium Commission
该委员会最初是在2019年通过《2019年度国防预算》提供的资金成立的,其灵感来自美国总统艾森豪威尔在上世纪50年代设立的“日光浴计划”(Project Solarium)。当时,艾森豪威尔总统面临“美苏冷战”的新战略挑战,需要进行政策改革,于是要求系统地评估美国可能拥有的国家安全战略选择。委员会的会议是在白宫顶层的一间叫做“日光浴”的办公室里进行讨论的,该计划也由此而得名。目前,由缅因州参议员安格斯·金(Angus King)和威斯康星州众议员迈克·加拉格尔(Mike Gallagher)主持了这个委员会,成员包括来自行政部门、国会、情报部门、执法部门和私营部门的代表。
参考资源
1、 Cyberspace Solarium Commission Official Report, March 11, 2020, www.solarium.gov
2、 The U.S. Government Can Deepen Its Operational Partnership With the Private Sector to Better Defend the U.S. in Cyberspace,Jonathan Reiber, Benjamin Bahney, March 13, 2020,www.Lawfareblog.com
天地和兴,工控安全,网络安全,网络空间安全
相关资讯
