你的清澈的结局。年代准备应对网络威胁是在3月10日举行的听证会上,美国众议院国土安全委员会。大约一个小时后听五个证人的证词代表政府和私营部门,委员会主席众议员判决汤普森(D-Miss)问他们认为联邦政府准备应对cybercatastrophe。没有一个。
超过七年9月11日恐怖袭击后的2001年,有广泛的共识,即联邦政府的努力,以确保计算机由缺乏远见的泥潭,规划和领导。虽然政府一直在努力想出一个有凝聚力的国家战略为捍卫自己的利益在互联网上,在网络空间威胁今天继续成长和对国家和经济安全构成严重威胁。
对手,包括不友好的政府和军队、情报机构、有组织犯罪集团和hactivists大多数账户已经渗透到U。年代政府和私人网络或积极参与。
大部分的努力似乎集中在吸血的秘密从公共和私人部门的利润和间谍活动。在3月份发布的一份报告由多伦多大学和SecDev Group的智库展示了一群系统与中国关系明显违反了系统在100多个国家,显然被用于间谍活动。同时,潜在的攻击者破坏至关重要的网络和系统在关键基础设施领域如银行和电力发展。
的威胁,不会引起注意。本月早些时候,参议员Olympia Snowe(作用)和杰伊。洛克菲勒(D-W.Va)。提出一项新的立法这将使联邦政府在网络安全方面全面的新权力。
该法案将给予政府更直接的作用在发展和执行基线标准,不仅对公司机构还在关键基础设施等领域的金融服务,公用事业和卫生保健。它将赋予总统宣布cyberemergency如果需要和允许他断开联邦或私营部门网络在国家安全的利益。
当前政府已经将网络安全作为首要任务。今年2月,美国总统巴拉克•奥巴马(Barack Obama)下令梅丽莎·海瑟薇,布什政府官员被认为帮助开发一个数十亿美元的机密行动,旨在更好的确保联邦系统,进行60天的评估政府的网络安全工作。
报告说,任何战略和政策,结果会在短期和长期至关重要。“我们的数字基础设施已成为最重要的支撑美国国家和经济安全,”伦说,前国家网络安全部门在美国国土安全部(DHS)。“为了让好资源分配的决定,我们需要更好地理解风险,”伦说。
据他和其他几个人在行业和政府,这是一些关键的短期内美联储需要做的事情。
实施强有力的领导
如果国家信息安全议程看起来像一个船在公海上漂流,那是因为没有人掌舵,安全高管和分析师都说的。或者至少没有一个人真正的能力执行订单,需要稳步前进。
至少在纸面上,国土安全部负责监督整个联邦政府的信息安全。但对大多数的存在,该机构的领导对信息安全问题引人注目了。即使它已经试过了,它努力不到成功。
一个国家网络安全中心(成都市)成立于2008年1月在国土安全部的特定任务协调信息安全在联邦政府迄今为止未能取得进展。今年3月,首次导演Rod Beckstrom辞职后工作一年之后,理由是缺乏支持在国土安全部和地盘之争,美国国家安全局(NSA)。
他辞职的时候,成都市几乎没有资金的努力,只有两个员工和两个来自美国国家安全局的“了”。“如果你要运行一个主要的协调努力,你必须有足够的资源来建立这种能力,”他说,并补充说“金融约束已放置在成都市只是荒谬和离开这个国家容易受到攻击。”
国安局,负责全面的国家网络安全倡议(CNCI)一直在争夺更广泛的控制联邦信息安全议程。虽然几乎每个人都承认,美国国家安全局可以带来的技能,经验和影响力所需的工作,国内cyberagenda间谍机构运行的前景并不是坐在最。
相反,设置的作用,监督和协调国家信息安全议程需要直接与白宫休息,根据战略与国际研究中心(CSIS)等。然后,国土安全部和其他联邦机构将使用一个新的专门创建白宫办公室的网络推广和管理安全策略。
与国土安全部,”白宫的权力机构采取行动,”威尔斯胡森说信息安全问题在美国政府问责办公室(GAO)。建立白宫的职责将确保机构和其他利益相关者合作在封送处理所需的资源来实现一个国家战略,他说。
创建一个国家战略来维护网络空间
在过去的几年中,已经投入数十亿美元的联邦政府网络安全。的投资取得了众多散射的努力如智能卡身份凭证在联邦机构推出,政府范围转移到更安全的网络协议和高度机密CNCI提高政府的能力发现和应对威胁和以接近实时的安全漏洞。
预计项目将产生显著的效益,但却没有与任何更广泛的战略目标或任务。最大的一个当前需要的是一个全面的国家安全战略,设置议程如何,何时和为什么这样的安全投资需要,谁将负责实施。战略需要拼出基线标准实体在关键基础设施领域。
的战略与国际研究中心12月,华盛顿的两党智库提交一套安全建议奥巴马总统认为,这样的一个策略可能需要政府宣布的计算机资产为国家和经济安全至关重要。它将需要表明自己愿意使用所有的工具——外交、经济、军事和情报,保护资产。
建立一个不一定就是回应网络能力
1963年,古巴导弹危机后不久,约翰·肯尼迪总统成立了一个国家通信系统(nc)负责保证在紧急情况下通信能力的可靠性和可用性。其任务是与联邦机构和私人企业提供国家安全为电信部门和应急准备能力。9/11危机期间,nc起到了至关重要的作用在协调所需的资源,以确保重要通信服务仍不间断。
当涉及到网络安全,没有同等能力,詹姆斯·刘易斯(James Lewis)说,技术和公共政策项目主任战略与国际研究中心。“如果有一个火在互联网上,消防部门是谁?”他问道。在网络危机事件,没有一个单独的实体,联邦政府或私人企业可以依靠协调响应。“没有人可以简单地拿起电话,说,”刘易斯说。
实现这样一个功能并不会容易,保罗•库尔茨表示,前总统的特别助理,关键基础设施保护和高级主管在白宫国土安全委员会。攻击关键互联网协议和路由技术可能会导致相当大的和冗长的中断。协调的反应可能涉及众多的利益相关者包括运营商、互联网服务提供商、技术提供商和身体像ICANN(互联网名称与数字地址分配机构),库尔茨说,他目前好港口咨询有限公司合伙人。
“在过去,我们有卡车有SS7网络交换机,可以滚到位迅速重新连接铜网络下降,”库尔特说。“在一个基于ip的世界,我们甚至还没有开始刮的表面如何恢复网络”在发生灾难性的破坏。
关键基础设施领域的安全目标
大片的“数字珍珠港”的互联网会被对手下创建大面积中断是一个可能性,需要做好准备,安全分析人士说。但更有可能和令人担忧的是更有针对性的对关键基础设施的攻击目标,如电力、金融服务和水服务。
2003年东北地区的层叠停电仍然是一个强大的破坏的例子电脑故障会导致——即使,在这种情况下,事件是由于疏忽而不是恶意。
另一个是一个提醒2007年3月实验爱达荷国家实验室的显示它如何能减少吸烟的动力涡轮机,打了个寒颤,metal-spewing混乱仅仅通过计算机控制系统上执行恶意代码。
这些例子只是冰山的一角。根据GAO Wilshusen,这一趋势在过去的几年中连接系统,用于控制网络关键设备在发电和分布、水处理、生物技术、制药和交通使他们更容易受到威胁。
这是在2000年,一位心怀不满的员工在一个澳大利亚的水处理厂释放了大约264000加仑的原污水排放到附近的河流和公园通过闯入使用无线电发射机控制系统,他说。
同样,在2003年8月,电脑病毒真的叫太长了管理渗透到控制系统在CSX公司总部在佛罗里达和关闭列车信号系统在整个东海岸数小时,他说。
2006年10月,外国黑客在污水处理厂闯入一个系统宾夕法尼亚州哈里斯堡的后,一名员工通过互联网的笔记本电脑是妥协,然后作为入口点工厂的计算机系统上安装恶意软件。
尽管几乎所有的关键基础设施系统属于私营部门,确保他们充分保护应该是政府的首要任务,Wilshusen说。不仅基线安全标准应该建立了关键基础设施行业,他说,但也应该规定执行,一个正式的战略信息共享和信息安全实践在私人和公共部门之间。
使用武力联邦采购权力从供应商更好的安全性
作为事实上的联邦政府在布什政府CIO,凯伦·埃文斯知道很多关于如何使用政府的巨大购买力迫使技术供应商提高安全性。“当你花710亿美元在市场上,你应该很清楚你的需求是什么”,并期望供应商遵守他们,她说。
一个地方政府已经成功地做了这是联邦桌面核心配置(FDCC)倡议,它正在与微软(Microsoft corp .)和其他技术供应商确保所有Windows XP和Vista桌面交付给政府标准基线安全配置。没有理由一个类似的模型无法实现让供应商做事情关闭默认配置、禁用等功能,构成安全风险在产品交付给机构。实现安全语言在联邦收购规则更容易比强制规定供应商的喉咙,埃文斯说。
要求供应商烤在安全和跨政府集中采购也可以显著降低成本,说艾伦•佩拉SANS研究所的研究主任在马里兰州的贝塞斯达的培训和认证机构。“现在,有巨大的低效”购买安全时,他说。
开发一个进攻能力
帕蒂·提多,前面的运输安全管理局首席信息安全官,是越来越多的高管们主张威慑功能在网络空间的发展。“我们需要说的是,‘我们是美国,如果你惹我们,你最好小心,”提图斯说,他目前在优利系统公司首席信息安全官。