这@@是一份美国全国州首席信息官协会关于如何提高公共部门信息安全@@@@水平的@@建议书@@,它面向地方@@@@、州和联邦政府@@首席信息官这@@样一批特殊读者@@,以建议的@@形式发出一种行动呼吁@@。借鉴美国政府@@@@在此方面长期工作所形成的@@丰富经验和教训@@,对@@信息保障问题进行深入思考@@,对@@形成具体@@、可实施性强的@@中国信息安全@@@@保障国家战略或许会有所裨益@@。
电子政府@@会给社会公众和公司企业带来许多直接好处@@。与此同时@@,安全@@风险和脆弱性也在与日俱增@@。电子政务@@需要具有前瞻性的@@@@IT管理和稳固的@@基础设施@@。如我们所知@@,网络攻击@@、系统@@故障和自然灾害都会使整个体系运转不畅@@。如果我们的@@数字基础设施在关键部位出了问题@@,政府@@的@@运作就会陷于瘫痪@@,从而酿成灾难性后果@@。
建议一@@:建立一个相关人员都参与的@@@@IT管理结构@@
设计一个涉及所有风险承担者的@@@@IT管理结构@@,该结构应该包括企业级安全@@管理@@,应能在政策上做出应急反应@@,并适于通过检查实施领导的@@工作方式@@。
在美国@@,公共部门的@@@@IT管理安排分别采用了以下@@3种特点各不相同的@@模式中的@@一种@@。
大学模式@@
许多州对@@首席信息官的@@安排可以称作是@@“大学式@@”的@@。在这@@种@@安排中@@,首席信息官直接对@@州长负责@@,对@@首席信息官的@@任命来自州长和州内阁的@@决定@@。大学式@@管理看上去像一张网@@,其中以首席信息官@@(以及州长@@)为中心@@,影响力和指令由此向外辐射到各部门@@、委员会和利益集团@@。首席信息官通过长期计划@@@@、资金奖励@@、政策和人际关系进行管理@@。首席信息官的@@人员班子通常规模很小@@,但其中都是政治联盟的@@重要人物@@。
基于法规的@@安排@@
几乎有相同数量的@@州对@@@@IT管理采用基于法规的@@安排@@方式@@,这@@些州都有成熟的@@组织体系和法律@@。基于法规的@@结构通常设有一个执行理事会@@,通过审批总结@@、制定政策@@、标准和计划行使监督职能@@。这@@种@@安排下的@@首席信息官人员班子比大学式@@班子要庞大些@@。基于法规的@@首席信息官人员设计了汇报程序@@、计分卡和例外报告@@。这@@是一种等级分明的@@结构@@,它自上而下行使职责@@,通过各委员会提出重要方案@@。
基于角色的@@安排@@
如今@@,已有越来越多的@@州开始采用基于角色的@@安排@@方式@@。基于角色的@@模式通常都设有一个由各方代表组成的@@中央@@执行理事会@@,理事会的@@代表来自所有分支@@、教育机构@@、地方@@单位和私营部门@@,州首席信息技术设计师是支持理事会的@@后盾@@。理事会负责政策@@、长期计划@@、项目管理标准@@和企业@@IT管理体系方面的@@工作@@,企业安全@@也在理事会的@@监督之下@@。这@@种@@管理模式在设计上是模块化的@@@@。
IT管理绝不仅限于上述@@3种模式@@,地方@@、州和联邦政府@@往往会综合采用各种模式@@@@。就州一级政府@@而言@@,这@@种@@IT管理模式应该把政府@@的@@所有分支均涵盖在内@@,应该明确安全@@工作领导权并任命一个机构负责监督政策和指令的@@执行情况@@。政府@@的@@所有分支都应服从于企业整体体系及其共享基础设施@@、项目管理标准@@、安全@@表现度量标准以及用于外部和内部审查控制的@@审计标准@@。
IT安全@@还必须与州和地方@@政府@@级的@@应急反应相结合@@。由于州政府@@居于地方@@政府@@与联邦政府@@之间@@,因此会在这@@种@@结合中发挥主导作用@@。此外@@,州政府@@的@@这@@种@@地位还会因其@@IT基础设施与城市@@、镇区@@、县以及涉及公众生活和工作的@@其他管辖范围联系密切而得到强化@@。出于这@@一原因@@,州政府@@应该将其@@IT基础设施与地方@@和联邦政府@@的@@@@IT基础设施完全融合到一起@@。
建议二@@:实现企业安全@@计划目标@@
实现企业安全@@计划目标@@,其中包括对@@成功以及最佳处理方法做出评估@@,同时确保所有部门共享资源@@。
安全@@依赖于人及其专业水平和合作态度@@。在庞大的@@政府@@机构中@@,有许多@@IT技术人员和@@业务专家@@,他们掌握各种高新技术@@,对@@IT系统@@的@@建设起着重要作用@@。怎样协调涉及专业领域如此广泛的@@庞大员工队伍@@,对@@于首席信息官@@来说是一种严峻挑战@@,共享的@@@@IT基础设施和巨大的@@应用工作量使这@@种@@挑战进一步复杂化了@@。要想应对@@这@@样的@@局面@@,首席信息官必须寻求制定一整套前后连贯的@@设计原则和标准处理方法@@,并根据信息管理原则做出技术选择@@。
首席信息官的@@任务绝非仅仅牵涉技术和管理@@,而首席技术官的@@工作重心也超出了@@IT情况研究的@@范畴@@。中央@@IT基础设施开发官@@负责技术方面的@@工作@@,侧重于资源共享@@,而设计师的@@工作重点则是技术标准@@。一般而言@@,技术设计师最好不兼任首席信息官@@。这@@种@@职务的@@分离有利于监督和平衡@@。设计师通常负责规划和制定标准@@,而首席信息官则负责实施和管理技术体系和标准@@。这@@两个职务在规划功能上是重叠的@@@@。
建议三@@:开发安全@@度量标准@@
开发安全@@度量标准@@,以准确测定有害入侵@@、破坏安全@@和易受攻击环节@@。相关报告应以摘要形式分发给州政府@@的@@行政@@、立法和司法分支以及其他政府@@机构@@。报告应在政府@@单位中严格保密@@。
为了使安全@@这@@条主线贯穿机构的@@计划和文化@@,首席信息官需要开发一套报告标准@@,用以清晰显示安全@@要求是否得到满足@@。这@@套标准所依据的@@是以下几个重要信息来源@@@@。
审计结果@@
内部和外部审计员对@@总体控制和应用控制做出评价@@,决定需要采取什么级别的@@审计来确定财务报告的@@准确性和可靠性@@。审计工作可以找出管理方法以及安全@@方面的@@缺陷@@。对@@于首席信息官@@、IT基础设施开发官@@、首席安全@@官@@、首席技术官和首席技术设计师来说@@,负责评价与@@IT系统@@和安全@@相关的@@具体控制的@@审计员是一种内容丰富的@@信息来源@@@@。
入侵企图和渗透@@
IT安全@@官会对@@审计报告中出现的@@入侵次@@数以及渗透次@@数@@、渗透级别和渗透性质感兴趣@@,他们对@@来自内部和外部的@@攻击次@@数高度敏感@@。这@@方面的@@信息应该在企业的@@部门一级上收集@@,然后通过首席信息官上报给企业管理层并进入@@IT管理结构@@体系@@。
病毒@@报警和恢复@@
必须有一个常备中心@@、入侵反应小组或类似的@@部门清楚病毒@@何时渗入了本机构@@,它们是如何冲破安全@@网闯进应用中的@@资源的@@@@,以将受病毒@@侵害的@@系统@@恢复过来@@。分布式拒绝服务攻击@@、病毒@@、蠕虫@@、黑客@@、物理破坏和软件@@故障仅仅是这@@类问题中的@@几种@@。要点在于@@,首席信息官要知道这@@些事件的@@增加何时超过了底线@@。此外@@,首席信息官还必须了解是什么因素造成了出现峰值@@。
全国警报@@
对@@于首席信息官@@和首席安全@@官@@来说@@,全国警报@@是一大重要信息来源@@@@。有许多@@全国性组织发出全国警报@@并向用户提供预订服务@@。如计算机应急反应小组@@、全国基础设施保护中心@@、关键信息安全@@@@联盟@@、系统@@管理@@、网络技术和安全@@学会@@、全国州地理信息理事会@@、州际安全@@信息共享和分析中心等@@。
许多州建立了州际安全@@信息共享和分析中心@@,以帮助本部门安全@@官分析危险的@@入侵@@。这@@些州际安全@@信息共享和分析中心通常与一个常备中心相连@@,由这@@个中心协调州政府@@的@@应急反应和恢复工作@@。
有些州际安全@@信息共享和分析中心由机构内部成员组成@@,便于州首席安全@@官@@向本系统@@负责@@IT的@@官员发出警报@@。这@@些中心还便于成员共同就入侵事件进行分析和提出反应建议@@。随着州际安全@@信息共享和分析中心的@@发展逐渐成熟@@,它们还将配备硬件@@、软件@@、网络和物理安全@@方面的@@专家@@。它们还将拥有接受过紧急事件管理训练@@、精通@@IT灾难预防和恢复的@@应急反应专家@@。
建议四@@:配置安全@@技术@@
以下建议涵盖了组织机构用来选择适宜安全@@技术的@@各种方法@@。在下面的@@例子中@@,IT安全@@体系被划分为@@3个级别@@。至于应该选择哪个安全@@级来保护某一特定资产@@,则取决于该资产的@@重要性@@、脆弱性和价值@@。必须有一份最新并且准确的@@@@IT资产清单方能开始安全@@级选择程序@@。
第一@@级@@:基本级@@
这@@个最低级别是指最低限度安全@@体系@@。基本安全@@包括对@@物理进入数据中心和企业网络的@@控制@@,需要有持卡进入和日志报告之类验证程序才能物理进入数据中心和其他安全@@区@@。此外@@,需要有密码才能电子进入@@IT系统@@,密码至少应该有@@9个字符@@,由大小写字母@@、数字和符号组成@@。软件@@应能拒绝重复使用的@@或与个人使用的@@历史密码十分接近的@@密码改动@@,密码必须每隔两周或四周改动一次@@@@。最后@@,对@@于基本安全@@处理方法来说@@,网络扫描和病毒@@保护至关重要@@。
第二@@级@@:中级@@
中级@@安全@@要求体系强调进入@@IT系统@@者必须接受全面验证@@。验证范围包括公共关键基础设施@@、生物测定@@、密码卡技术或者可用来证实某使用者确实是提出申请者本人的@@变量@@。此外@@,复查技术也常常用来证实某些装置已得到授权进入网络@@。
就关键任务应用而言@@,管理员要对@@用于紧急调整的@@密码负责@@。这@@些密码保存在密封的@@信封里锁起来@@,每个只能使用一次@@@@,所有密码均由至少@@256位加密算法编写而成@@。最后@@,使用者在两次@@适当输入正确密码和@@/或用户名失败后将被禁止进入系统@@@@。所有例外都被记录在日志中@@,由系统@@管理@@员及系统@@拥有者独立进行检查@@。
密码卡技术可允许使用者每次@@执行任务均使用惟一的@@密码@@,这@@项技术通常用于执法用途@@,密码使用一定时间后就会注销@@。此外@@,密码是完全加密的@@@@,安全@@管理员会严密监督密码卡的@@使用@@。更为尖端的@@网络扫描@@、事务覆盖@@(如隧道技术@@)和请求回叫技术也可用在中级@@安全@@的@@安全@@系统@@上@@。最后@@,以这@@一安全@@级通过网络的@@关键数据应该完全加密@@。
第三@@级@@:高级@@
最高安全@@级由防御转入了进攻@@。网络能够了解什么人正在寻求进入某一特定系统@@@@,一旦出现非授权进入或非授权进入企图@@,就会发出警报@@。通过全面认证@@、基于应用安全@@的@@确认和全面授权可以掌握使用者的@@情况@@。
确保安全@@是一项代价高昂的@@艰巨工作@@。要想实施总体和应用控制@@,就必须满足以下@@3个标准@@。第一@@,首先必须建立控制体系@@。第二@@,控制体系必须有效运转@@。第三@@,对@@控制体系的@@运转必须通过独立的@@管理验证加以监督@@。这@@3个要求的@@任何一个没有被满足@@,严格意义上的@@控制就不可能存在@@。
建议五@@:开发州安全@@入口@@
前文讨论过的@@核心小组还应含有一个安全@@设计小组@@,以向管理常备中心和安全@@信息共享和分析中心@@(ISAC)人员提供帮助@@。除管理应急反应外@@,还负责管理供依赖州政府@@服务的@@机构@@、社会公众和公司企业使用的@@一个安全@@入口@@。该入口有一个安全@@且面向公众的@@登录网站@@,可协助应急管理人员发出通报@@,及时帮助处于危机中的@@公民@@。它还有助于协调企业对@@灾难和重大破坏事件的@@反应@@。
建议六@@:建立州际安全@@信息共享和分析中心@@
许多州缺乏人员和资金建立自己的@@州际安全@@信息共享和分析中心@@。各州政府@@意识到@@,这@@方面的@@服务需要很大开支@@,而寻找才智足以击退黑客@@攻击的@@人才也十分困难@@。应对@@黑客@@对@@基础设施的@@深层攻击这@@项工作需要很高的@@专业技能@@,以联邦部门@@ISAC模式建立的@@州际安全@@信息共享和分析中心可以在专业技能方面提供相关服务@@,同时将各州有关黑客@@攻击事件的@@数据收集到一起@@,用以支持网络安全@@国家战略规划的@@实施@@。
此外@@,州际安全@@信息共享和分析中心还可以帮助各州政府@@协调对@@网络攻击@@做出的@@反应@@,同时在执法部门和国防部门之间提供联络服务@@。协调工作的@@内容还包括传播有关审计的@@例外情况以及实施监督部门@@、内部审计员和联邦机构提出的@@安全@@标准的@@最佳处理方法@@。对@@于州内安全@@信息共享和分析中心@@,州际安全@@信息共享和分析中心必须承担有关通用审计和安全@@标准的@@人员培训工作@@。
建议七@@:提出样板式信息共享州立法法案@@
要想协调反应行动@@、了解关键基础设施的@@情况@@、制定全国战略和交流网络安全@@的@@最佳处理方法@@,各州政府@@就必须相互共享敏感的@@安全@@信息@@。然而@@,这@@方面的@@信息一旦落到居心不良者手里@@,就会变成贻害无穷的@@武器@@。州际信息共享一直很受限制@@,原因就在于各州政府@@担心@@,一旦本州信息出了本州州界或者交流给地方@@或联邦政府@@部门@@,本州的@@安全@@活动就会在其他州的@@公开记录中披露@@。此外@@,州首席信息官很难协调某部门@@、理事会或委员会高度敏感的@@安全@@信息的@@交流活动@@。然而@@,协调信息共享对@@于保护关键基础设施来说至为关键@@。这@@就需要在州和联邦级别上分别立法@@,以确保安全@@报告在各级政府@@之间的@@交流在保密条件下进行@@,安全@@、隐私权和公开记录三者必须达到平衡@@。最后@@,立法应该禁止私营公司泄漏通过正常渠道从政府@@部门获得的@@敏感安全@@信息@@。
安全@@是一项艰巨的@@工作@@。只让安全@@官员@@、技术人员和@@IT执行人员来承受这@@副重担是完全错误的@@@@,确保安全@@是企业全体成员的@@共同职责@@。安全@@体系要建立在开放@@、资源共享和重点突出的@@文化基础上@@,绝不能只是在出现意外事件时才想起安全@@体系@@。要想使安全@@工作行之有效@@,各级政府@@就应该向全体雇员传授控制标准@@,同时把标准处理方法纳入计划和计量程序中@@。政府@@部门应该通过审计报告和度量结果提供反馈信息@@,以确定安全@@工作是否运转正常@@。
