這是一份美國全國州首席信息官協(xié)會關(guān)于如何提高公共部門信息安全水平的建議書，它面向地方、州和聯(lián)邦政府首席信息官這樣一批特殊讀者，以建議的形式發(fā)出一種行動呼吁。借鑒美國政府在此方面長期工作所形成的豐富經(jīng)驗和教訓(xùn)，對信息保障問題進(jìn)行深入思考，對形成具體、可實施性強(qiáng)的中國信息安全保障國家戰(zhàn)略或許會有所裨益。

　　電子政府會給社會公眾和公司企業(yè)帶來許多直接好處。與此同時，安全風(fēng)險和脆弱性也在與日俱增。電子政務(wù)需要具有前瞻性的IT管理和穩(wěn)固的基礎(chǔ)設(shè)施。如我們所知，網(wǎng)絡(luò)攻擊、系統(tǒng)故障和自然災(zāi)害都會使整個體系運(yùn)轉(zhuǎn)不暢。如果我們的數(shù)字基礎(chǔ)設(shè)施在關(guān)鍵部位出了問題，政府的運(yùn)作就會陷于癱瘓，從而釀成災(zāi)難性后果。

　　建議一：建立一個相關(guān)人員都參與的IT管理結(jié)構(gòu)

　　設(shè)計一個涉及所有風(fēng)險承擔(dān)者的IT管理結(jié)構(gòu)，該結(jié)構(gòu)應(yīng)該包括企業(yè)級安全管理，應(yīng)能在政策上做出應(yīng)急反應(yīng)，并適于通過檢查實施領(lǐng)導(dǎo)的工作方式。

　　在美國，公共部門的IT管理安排分別采用了以下3種特點各不相同的模式中的一種。

　　大學(xué)模式

　　許多州對首席信息官的安排可以稱作是“大學(xué)式”的。在這種安排中，首席信息官直接對州長負(fù)責(zé)，對首席信息官的任命來自州長和州內(nèi)閣的決定。大學(xué)式管理看上去像一張網(wǎng)，其中以首席信息官(以及州長)為中心，影響力和指令由此向外輻射到各部門、委員會和利益集團(tuán)。首席信息官通過長期計劃、資金獎勵、政策和人際關(guān)系進(jìn)行管理。首席信息官的人員班子通常規(guī)模很小，但其中都是政治聯(lián)盟的重要人物。

　　基于法規(guī)的安排

　　幾乎有相同數(shù)量的州對IT管理采用基于法規(guī)的安排方式，這些州都有成熟的組織體系和法律?；诜ㄒ?guī)的結(jié)構(gòu)通常設(shè)有一個執(zhí)行理事會，通過審批總結(jié)、制定政策、標(biāo)準(zhǔn)和計劃行使監(jiān)督職能。這種安排下的首席信息官人員班子比大學(xué)式班子要龐大些?；诜ㄒ?guī)的首席信息官人員設(shè)計了匯報程序、計分卡和例外報告。這是一種等級分明的結(jié)構(gòu)，它自上而下行使職責(zé)，通過各委員會提出重要方案。

　　基于角色的安排

　　如今，已有越來越多的州開始采用基于角色的安排方式。基于角色的模式通常都設(shè)有一個由各方代表組成的中央執(zhí)行理事會，理事會的代表來自所有分支、教育機(jī)構(gòu)、地方單位和私營部門，州首席信息技術(shù)設(shè)計師是支持理事會的后盾。理事會負(fù)責(zé)政策、長期計劃、項目管理標(biāo)準(zhǔn)和企業(yè)IT管理體系方面的工作，企業(yè)安全也在理事會的監(jiān)督之下。這種管理模式在設(shè)計上是模塊化的。

　　IT管理絕不僅限于上述3種模式，地方、州和聯(lián)邦政府往往會綜合采用各種模式。就州一級政府而言，這種IT管理模式應(yīng)該把政府的所有分支均涵蓋在內(nèi)，應(yīng)該明確安全工作領(lǐng)導(dǎo)權(quán)并任命一個機(jī)構(gòu)負(fù)責(zé)監(jiān)督政策和指令的執(zhí)行情況。政府的所有分支都應(yīng)服從于企業(yè)整體體系及其共享基礎(chǔ)設(shè)施、項目管理標(biāo)準(zhǔn)、安全表現(xiàn)度量標(biāo)準(zhǔn)以及用于外部和內(nèi)部審查控制的審計標(biāo)準(zhǔn)。

　　IT安全還必須與州和地方政府級的應(yīng)急反應(yīng)相結(jié)合。由于州政府居于地方政府與聯(lián)邦政府之間，因此會在這種結(jié)合中發(fā)揮主導(dǎo)作用。此外，州政府的這種地位還會因其IT基礎(chǔ)設(shè)施與城市、鎮(zhèn)區(qū)、縣以及涉及公眾生活和工作的其他管轄范圍聯(lián)系密切而得到強(qiáng)化。出于這一原因，州政府應(yīng)該將其IT基礎(chǔ)設(shè)施與地方和聯(lián)邦政府的IT基礎(chǔ)設(shè)施完全融合到一起。

　　建議二：實現(xiàn)企業(yè)安全計劃目標(biāo)

　　實現(xiàn)企業(yè)安全計劃目標(biāo)，其中包括對成功以及最佳處理方法做出評估，同時確保所有部門共享資源。

　　安全依賴于人及其專業(yè)水平和合作態(tài)度。在龐大的政府機(jī)構(gòu)中，有許多IT技術(shù)人員和業(yè)務(wù)專家，他們掌握各種高新技術(shù)，對IT系統(tǒng)的建設(shè)起著重要作用。怎樣協(xié)調(diào)涉及專業(yè)領(lǐng)域如此廣泛的龐大員工隊伍，對于首席信息官來說是一種嚴(yán)峻挑戰(zhàn)，共享的IT基礎(chǔ)設(shè)施和巨大的應(yīng)用工作量使這種挑戰(zhàn)進(jìn)一步復(fù)雜化了。要想應(yīng)對這樣的局面，首席信息官必須尋求制定一整套前后連貫的設(shè)計原則和標(biāo)準(zhǔn)處理方法，并根據(jù)信息管理原則做出技術(shù)選擇。

　　首席信息官的任務(wù)絕非僅僅牽涉技術(shù)和管理，而首席技術(shù)官的工作重心也超出了IT情況研究的范疇。中央IT基礎(chǔ)設(shè)施開發(fā)官負(fù)責(zé)技術(shù)方面的工作，側(cè)重于資源共享，而設(shè)計師的工作重點則是技術(shù)標(biāo)準(zhǔn)。一般而言，技術(shù)設(shè)計師最好不兼任首席信息官。這種職務(wù)的分離有利于監(jiān)督和平衡。設(shè)計師通常負(fù)責(zé)規(guī)劃和制定標(biāo)準(zhǔn)，而首席信息官則負(fù)責(zé)實施和管理技術(shù)體系和標(biāo)準(zhǔn)。這兩個職務(wù)在規(guī)劃功能上是重疊的。

　　建議三：開發(fā)安全度量標(biāo)準(zhǔn)

　　開發(fā)安全度量標(biāo)準(zhǔn)，以準(zhǔn)確測定有害入侵、破壞安全和易受攻擊環(huán)節(jié)。相關(guān)報告應(yīng)以摘要形式分發(fā)給州政府的行政、立法和司法分支以及其他政府機(jī)構(gòu)。報告應(yīng)在政府單位中嚴(yán)格保密。

　　為了使安全這條主線貫穿機(jī)構(gòu)的計劃和文化，首席信息官需要開發(fā)一套報告標(biāo)準(zhǔn)，用以清晰顯示安全要求是否得到滿足。這套標(biāo)準(zhǔn)所依據(jù)的是以下幾個重要信息來源。

　　審計結(jié)果

　　內(nèi)部和外部審計員對總體控制和應(yīng)用控制做出評價，決定需要采取什么級別的審計來確定財務(wù)報告的準(zhǔn)確性和可靠性。審計工作可以找出管理方法以及安全方面的缺陷。對于首席信息官、IT基礎(chǔ)設(shè)施開發(fā)官、首席安全官、首席技術(shù)官和首席技術(shù)設(shè)計師來說，負(fù)責(zé)評價與IT系統(tǒng)和安全相關(guān)的具體控制的審計員是一種內(nèi)容豐富的信息來源。

　　入侵企圖和滲透

　　IT安全官會對審計報告中出現(xiàn)的入侵次數(shù)以及滲透次數(shù)、滲透級別和滲透性質(zhì)感興趣，他們對來自內(nèi)部和外部的攻擊次數(shù)高度敏感。這方面的信息應(yīng)該在企業(yè)的部門一級上收集，然后通過首席信息官上報給企業(yè)管理層并進(jìn)入IT管理結(jié)構(gòu)體系。

　　病毒報警和恢復(fù)

　　必須有一個常備中心、入侵反應(yīng)小組或類似的部門清楚病毒何時滲入了本機(jī)構(gòu)，它們是如何沖破安全網(wǎng)闖進(jìn)應(yīng)用中的資源的，以將受病毒侵害的系統(tǒng)恢復(fù)過來。分布式拒絕服務(wù)攻擊、病毒、蠕蟲、黑客、物理破壞和軟件故障僅僅是這類問題中的幾種。要點在于，首席信息官要知道這些事件的增加何時超過了底線。此外，首席信息官還必須了解是什么因素造成了出現(xiàn)峰值。

　　全國警報

　　對于首席信息官和首席安全官來說，全國警報是一大重要信息來源。有許多全國性組織發(fā)出全國警報并向用戶提供預(yù)訂服務(wù)。如計算機(jī)應(yīng)急反應(yīng)小組、全國基礎(chǔ)設(shè)施保護(hù)中心、關(guān)鍵信息安全聯(lián)盟、系統(tǒng)管理、網(wǎng)絡(luò)技術(shù)和安全學(xué)會、全國州地理信息理事會、州際安全信息共享和分析中心等。

　　許多州建立了州際安全信息共享和分析中心，以幫助本部門安全官分析危險的入侵。這些州際安全信息共享和分析中心通常與一個常備中心相連，由這個中心協(xié)調(diào)州政府的應(yīng)急反應(yīng)和恢復(fù)工作。

　　有些州際安全信息共享和分析中心由機(jī)構(gòu)內(nèi)部成員組成，便于州首席安全官向本系統(tǒng)負(fù)責(zé)IT的官員發(fā)出警報。這些中心還便于成員共同就入侵事件進(jìn)行分析和提出反應(yīng)建議。隨著州際安全信息共享和分析中心的發(fā)展逐漸成熟，它們還將配備硬件、軟件、網(wǎng)絡(luò)和物理安全方面的專家。它們還將擁有接受過緊急事件管理訓(xùn)練、精通IT災(zāi)難預(yù)防和恢復(fù)的應(yīng)急反應(yīng)專家。

　　建議四：配置安全技術(shù)

　　以下建議涵蓋了組織機(jī)構(gòu)用來選擇適宜安全技術(shù)的各種方法。在下面的例子中，IT安全體系被劃分為3個級別。至于應(yīng)該選擇哪個安全級來保護(hù)某一特定資產(chǎn)，則取決于該資產(chǎn)的重要性、脆弱性和價值。必須有一份最新并且準(zhǔn)確的IT資產(chǎn)清單方能開始安全級選擇程序。

　　第一級：基本級

　　這個最低級別是指最低限度安全體系?；景踩▽ξ锢磉M(jìn)入數(shù)據(jù)中心和企業(yè)網(wǎng)絡(luò)的控制，需要有持卡進(jìn)入和日志報告之類驗證程序才能物理進(jìn)入數(shù)據(jù)中心和其他安全區(qū)。此外，需要有密碼才能電子進(jìn)入IT系統(tǒng)，密碼至少應(yīng)該有9個字符，由大小寫字母、數(shù)字和符號組成。軟件應(yīng)能拒絕重復(fù)使用的或與個人使用的歷史密碼十分接近的密碼改動，密碼必須每隔兩周或四周改動一次。最后，對于基本安全處理方法來說，網(wǎng)絡(luò)掃描和病毒保護(hù)至關(guān)重要。

　　第二級：中級

　　中級安全要求體系強(qiáng)調(diào)進(jìn)入IT系統(tǒng)者必須接受全面驗證。驗證范圍包括公共關(guān)鍵基礎(chǔ)設(shè)施、生物測定、密碼卡技術(shù)或者可用來證實某使用者確實是提出申請者本人的變量。此外，復(fù)查技術(shù)也常常用來證實某些裝置已得到授權(quán)進(jìn)入網(wǎng)絡(luò)。

　　就關(guān)鍵任務(wù)應(yīng)用而言，管理員要對用于緊急調(diào)整的密碼負(fù)責(zé)。這些密碼保存在密封的信封里鎖起來，每個只能使用一次，所有密碼均由至少256位加密算法編寫而成。最后，使用者在兩次適當(dāng)輸入正確密碼和/或用戶名失敗后將被禁止進(jìn)入系統(tǒng)。所有例外都被記錄在日志中，由系統(tǒng)管理員及系統(tǒng)擁有者獨立進(jìn)行檢查。

　　密碼卡技術(shù)可允許使用者每次執(zhí)行任務(wù)均使用惟一的密碼，這項技術(shù)通常用于執(zhí)法用途，密碼使用一定時間后就會注銷。此外，密碼是完全加密的，安全管理員會嚴(yán)密監(jiān)督密碼卡的使用。更為尖端的網(wǎng)絡(luò)掃描、事務(wù)覆蓋(如隧道技術(shù))和請求回叫技術(shù)也可用在中級安全的安全系統(tǒng)上。最后，以這一安全級通過網(wǎng)絡(luò)的關(guān)鍵數(shù)據(jù)應(yīng)該完全加密。

　　第三級：高級

　　最高安全級由防御轉(zhuǎn)入了進(jìn)攻。網(wǎng)絡(luò)能夠了解什么人正在尋求進(jìn)入某一特定系統(tǒng)，一旦出現(xiàn)非授權(quán)進(jìn)入或非授權(quán)進(jìn)入企圖，就會發(fā)出警報。通過全面認(rèn)證、基于應(yīng)用安全的確認(rèn)和全面授權(quán)可以掌握使用者的情況。

　　確保安全是一項代價高昂的艱巨工作。要想實施總體和應(yīng)用控制，就必須滿足以下3個標(biāo)準(zhǔn)。第一，首先必須建立控制體系。第二，控制體系必須有效運(yùn)轉(zhuǎn)。第三，對控制體系的運(yùn)轉(zhuǎn)必須通過獨立的管理驗證加以監(jiān)督。這3個要求的任何一個沒有被滿足，嚴(yán)格意義上的控制就不可能存在。

　　建議五：開發(fā)州安全入口

　　前文討論過的核心小組還應(yīng)含有一個安全設(shè)計小組，以向管理常備中心和安全信息共享和分析中心(ISAC)人員提供幫助。除管理應(yīng)急反應(yīng)外，還負(fù)責(zé)管理供依賴州政府服務(wù)的機(jī)構(gòu)、社會公眾和公司企業(yè)使用的一個安全入口。該入口有一個安全且面向公眾的登錄網(wǎng)站，可協(xié)助應(yīng)急管理人員發(fā)出通報，及時幫助處于危機(jī)中的公民。它還有助于協(xié)調(diào)企業(yè)對災(zāi)難和重大破壞事件的反應(yīng)。

　　建議六：建立州際安全信息共享和分析中心

　　許多州缺乏人員和資金建立自己的州際安全信息共享和分析中心。各州政府意識到，這方面的服務(wù)需要很大開支，而尋找才智足以擊退黑客攻擊的人才也十分困難。應(yīng)對黑客對基礎(chǔ)設(shè)施的深層攻擊這項工作需要很高的專業(yè)技能，以聯(lián)邦部門ISAC模式建立的州際安全信息共享和分析中心可以在專業(yè)技能方面提供相關(guān)服務(wù)，同時將各州有關(guān)黑客攻擊事件的數(shù)據(jù)收集到一起，用以支持網(wǎng)絡(luò)安全國家戰(zhàn)略規(guī)劃的實施。

　　此外，州際安全信息共享和分析中心還可以幫助各州政府協(xié)調(diào)對網(wǎng)絡(luò)攻擊做出的反應(yīng)，同時在執(zhí)法部門和國防部門之間提供聯(lián)絡(luò)服務(wù)。協(xié)調(diào)工作的內(nèi)容還包括傳播有關(guān)審計的例外情況以及實施監(jiān)督部門、內(nèi)部審計員和聯(lián)邦機(jī)構(gòu)提出的安全標(biāo)準(zhǔn)的最佳處理方法。對于州內(nèi)安全信息共享和分析中心，州際安全信息共享和分析中心必須承擔(dān)有關(guān)通用審計和安全標(biāo)準(zhǔn)的人員培訓(xùn)工作。

　　建議七：提出樣板式信息共享州立法法案

　　要想?yún)f(xié)調(diào)反應(yīng)行動、了解關(guān)鍵基礎(chǔ)設(shè)施的情況、制定全國戰(zhàn)略和交流網(wǎng)絡(luò)安全的最佳處理方法，各州政府就必須相互共享敏感的安全信息。然而，這方面的信息一旦落到居心不良者手里，就會變成貽害無窮的武器。州際信息共享一直很受限制，原因就在于各州政府擔(dān)心，一旦本州信息出了本州州界或者交流給地方或聯(lián)邦政府部門，本州的安全活動就會在其他州的公開記錄中披露。此外，州首席信息官很難協(xié)調(diào)某部門、理事會或委員會高度敏感的安全信息的交流活動。然而，協(xié)調(diào)信息共享對于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施來說至為關(guān)鍵。這就需要在州和聯(lián)邦級別上分別立法，以確保安全報告在各級政府之間的交流在保密條件下進(jìn)行，安全、隱私權(quán)和公開記錄三者必須達(dá)到平衡。最后，立法應(yīng)該禁止私營公司泄漏通過正常渠道從政府部門獲得的敏感安全信息。

　　安全是一項艱巨的工作。只讓安全官員、技術(shù)人員和IT執(zhí)行人員來承受這副重?fù)?dān)是完全錯誤的，確保安全是企業(yè)全體成員的共同職責(zé)。安全體系要建立在開放、資源共享和重點突出的文化基礎(chǔ)上，絕不能只是在出現(xiàn)意外事件時才想起安全體系。要想使安全工作行之有效，各級政府就應(yīng)該向全體雇員傳授控制標(biāo)準(zhǔn)，同時把標(biāo)準(zhǔn)處理方法納入計劃和計量程序中。政府部門應(yīng)該通過審計報告和度量結(jié)果提供反饋信息，以確定安全工作是否運(yùn)轉(zhuǎn)正常。