国家网络安全综合计划CNCI

《国家网络安全综合计划CNCI》由会员分享，可在线阅读，更多相关《国家网络安全综合计划CNCI（7页珍藏版）》请在装配图网上搜索。

1、美政府“国家网络安全综合计划( CNCI )”揭开神秘面纱US Government Unveiled the Mysteries of the ComprehensiveNational Cybersecurity Initiative (CNCI)中国信息安全认证中心 陈晓桦，左晓栋China Information Security Certification Center, Chen Xiaohua, Zuo Xiaodong一、引言2008 年 1 月，时任美国总统布什发布了一项重大信息安全政策， 称为第 54 号国家安全 总统令（NSPD54 ）,同时也是第23号国土安全总统令（H

2、SPD23）,其核心是国家网络安全 综合计划（CNCI , Comprehensive National Cybersecurity Initiative ）。CNCI 是美国政府对重 大信息安全行动做出的总体部署，被美国一些媒体称为信息安全的“曼哈顿计划”。这个计划早在 2007 年便已提出， 通过 NSPD54/HSPD23 上升为强制性的政府命令。 CNCI 十分敏感， 被以国家安全的原因列为高度 机密。其预算也对外界讳莫如深 ，但美国国 内很多分析家认为， CNCI 在若干年内的预算可能达到 400亿美元。 而据媒体报道，布什在 2009 财年情报预算 中的最大单笔预算请求 便是为支持

3、CNCI ；在2010财年，仅国土安全部（DHS ）的CNCI 项目预算 便有 3.34 亿美元；最近 的 2011 财年预算报道则透露 出，美国政府在 下一财年为 CNCI 提出的 预算请求 为 36 亿美元。CNCI 甫一出台便引起了广泛关注，但各界均 对这一计划对 外保密持批评态 度。 舆论普 遍认为， 信息安全行动 需要政府和私营部门的密切合作，需要所有人 的共同努力，且政府的 信息安全行动 往往涉及到监控及与之有关 的公民隐私保护等问题 ，因而将 这一计划 保密的做 法十分不妥。 2008年6月， 参议院国土安全 和政府事务委员会致函 国土安全部， 要求了解 CNCI 的细节信息以及

4、国土安全部在 CNCI 中的角色。国土安全部 虽然被迫对一些敏感 问题 作了回复，但这份回复在对外公开时仍然以黑墨覆盖了多处敏感内容。国土安全部 负责网络 安全和电信的助理部长格雷戈里 ?加西亚也曾感慨， CNCI 中保密的内容过多，这对官员发言 和表态很不 方便，使其不得不在提高 公众认知度和避免因泄露过多信息而获罪之间小心翼翼 地踱步 。美国政府在国 会和公众的压力下，于2008年下半年还是公开了 CNCI的12项重大活动 的基本信息：（ 1 ）通过可信因特网连接把联邦 的企业级规模 的网络作为一个单一的网络组织 进行管理； （ 2）部署一个 由遍布整个联邦的感应器组成 的入侵检测系 统；

5、（3）寻求在整个联 邦范围内部署入侵防御系统；（4）对研发工作进行协调并 重新定向；（5）把当前的各网络行 动中心 相互连接起来，加强态势感知；（6）制定和实施一个覆盖整个政府部 门的网络情报对 抗计划； （7）增强涉密网络的安全 ；（8）扩大网络安全 教育； （9）定义和制定能“超越未来 ” 的持久的技术、战略 与规划；（10）定义和发展持久的遏制战略与项目；（11）建立全方位的 方法来实施全球供应链风险管理； （ 1 2 ） 明确联邦的角色， 将网络安全延伸到关键基础设施 领域 。2010年3月2日，奥巴马的特别助理和网络安全 协调官霍华德？施密特在RSA会议上宣 布，为了体 现奥巴马 做

6、出的“实现前所未有的政府开放性”的承诺，政府的信息安全 工作将 尽可能透明，为此政府解密了 CNCI的概要部分，以期提高大众的集体知识，并使全社会各 方之间的合作关系更加稳固。与此同时，美国政府 审计办公室（GAO,由原审计总署更名 而来）也于3月初发布了对CNCI执行情况的审计报告，这为我们了解CNCI提供了更多的 信息。以下部分摘录了 CNCI摘要的解密内容，并对有关情况进行了分析。最后，通过政府审 计办公室发布的审计报告，进一步提炼了对我们有价值的信息。二、CNCI摘要的解密内容i 通过可信因特网连接把联邦的企业级规模的网络作为一个单一的网络组织进行管理Man age the Feder

7、al En terprise Network as a sin gle n etwork en terprise with Trusted Internet Conn ecti ons可信网络连接活动由管理和预算办公室（OMB及国土安全部领导，涉及到对联邦政府的外部访问点（包括连接因特网的访问点）进行整合。整合后将实施一套统一的安全解决方案，包括：减少外部访问点；建立基线安全功能；以及对各机构符合这些安全功能的情况进 行验证。在可信因特网连接（TIC）活动中，各机构或者作为TIC访问提供商（只有数量有限的机构可以自 己有这种能力），或者通过总务 管理局的NETWORK同制度与 商业化管理的 可

8、信IP服务（MTIPS提供商签订合同。2部署一个由遍布整个联邦的感应器组成的入侵检测系统Deploy an in trusi on detect ion system of sen sors across the Federal en terprise入侵检测系 统使用的是被动的感应器，当非授权用户试图 访问联邦网络 时可以做出识 别，这构成了美国政府网络 防御体系极 为重要的部分。国土安全部 正在部署一批基于特征的 感应器，能够对进入联邦系统的因特网 流量进行检查，以发现非授权 的访问和恶意的内容， 这是爱因斯坦2 （ EINSTEIN 2）活动的一个组成部分。爱因斯坦2使用了基于特征的入侵

9、检 测技术，可以通过分析 网络的流量信息来查找 可能的恶意活动，这是通过对进出美国政府网 络的流量自动进行全 封包检查来实现的。与技术上的投入相关的是人力的相应投入，要实现 国土安全部已然增多的网络安全使命，就离不开这些人力。当联邦网络流量中出现恶意或可 能有害的活动时，爱因斯坦2能够向US-CERT提供实时报警，并对导出数据提供关联和可视 化能力。在爱因斯坦2帮助下，US-CERT的分析人员已经大大提高了对网络环境的理解，增 强了查找 联邦网络安全 缺陷和漏洞的能力。由此，US-CERT拥有了更强的态势感知能力，可 以更有效地形成安全相关信息并在美国政府的网络 防护者以及私营部门安全专家、美

10、国公众 间更及时地共享这些信息。国土安全部 隐私办公室已经对爱因斯坦2项目实施了隐私影响评 估，并发布了报告。3 寻求在整个联邦范围内部署入侵防御系统Pursue deployme nt of in trusi on preve nti on systems across the Federal en terprise本项活动代表了联邦行政机关内各民事部门安全防护的下一步发展方向。这称为爱因斯 坦3 （ EINSTEIN 3 ）,其将采用商业技术和专门为政府开发的技术来对进出行政机关网络的 流量实施实时的全封包检查，并实现基于威胁的决策。爱因斯坦3的目标是发现恶意的网络 流量并对其进行特征化表

11、示，以增强网络安全 分析、态势感知和安全响应能力。它能在网络 威胁造成损害之前对其自动检测并正确响应，因为入侵防御系 统支持动态防御。在防范、检 测和减少联邦行政部 门网络和系统中的漏洞方面，爱因斯坦3将向国土安全部的 US-CERT 提供协助。爱因斯坦3还为国土安全部提供 了对检测到的网络 入侵企图进行自动报警的能 力，这增强了 US-CERT与联邦各部门之间的信息共享。如国土安全部 认为有必要，可以将不1这里的“企业级”网络与“企业”无关，是从规模上对网络做出的一 种描述，由地理上分散的多个局域 网络通过专用线路或公用数据网络互联而成，处于同一组织的管辖之下。一一译者注 含通信内容的报警信

12、息传送给国家安全局(NSA),国家安全局随后可履行法律授权的职能， 从而对国土安全部的 工作提供支持。这一活动 需要大量和长期的投入来增 强国家情报能力， 使其能够发现有关外国网络威胁的重要信息并实时将发现到的情况 通知爱因斯坦 3。国土安 全部将能 够对国 家安全局通过 外国情 报工作以及国 防部在信 息保障使命中发现的威胁特征 进行采用，并输入到爱因斯坦 3系统中， 以支持国土安全部的联邦 系统安全使命。对网络入 侵信息的共享将遵循法律 的要求，并接受对国土安全 、情报和国防相关活动的 监督，以保护 美国公 民的隐私 和 权利。国土安全部 目前正实施一项演习，该演习基于国家安全局开发的技术

13、，旨在试验这项活 动对爱因斯坦3提出的能力要求，并实现对民事行政部门系统中网络入侵行为信息的管理和 保护工作的制度化。为了在爱因斯坦 3 的设计和运行部署中建立合适和必要的隐私保护 机 制，政府的公 民自由和隐私官员正在与国土安全部和US-CERT密切合作。4对研发工作进行协调并重新定向Coordinate and redirect research and development (R&D) efforts 没有一个单独的个人或者组织能够了解政府资助的所有网络相关研发工作。本项活动旨 在为协调美国政府 资助或实施的网络 研发工作而制定战略和组织架构，无论 是涉密还是非涉 密研发，并在必要时对

14、这些研发工作重新定向。当我们在确定战略投资时，这一活动对 于减 少联邦资助的网络安全 研究项目中存在的重复性、查找研究空白、安排研发工作的优先级以 及确保纳税人的钱花得物 有所值都至 关重要。5把当前的各网络行动中心相互连接起来，加强态势感知Connect current cyber ops centers to enhance situational awareness要确保在政府信 息安全办公室和 战略行动中 心之间共享 有关联邦系统中 恶意行为的数 据，这一需求日趋加大，以便更好地理解政府 系统面临的全部威胁，最大化地发挥每一个组 织的专门能力来打造尽可能完善的国家整体网络防线，同时还要

15、遵循个人隐私和其它信息保 护的要求。为了实现和支持对态势感知的共享，本项活动向承载美国网络活动的 6个网络行 动中心提供了必要的关键手段。这项工作关注的主要方面是，要能够使美 国网络活动的各 个 单元在履行工作使命时做 到互为关联，必不可少的 内容有：基础功能与投资，例如基础设施 的改造、带宽的增加以及行动能 力的整合；提 高协同能力，包括一 致的技术、工具和流程； 通过共有的分析和协同技术来 加强态势感知的共享。本项活动中，国土安全部的国 家网络安全中心(NCSC将在保护美国政府网络与系统安 全中扮演重要角色，它能协调和整合来自 6个行动中 心的信息，作出跨域的态势感知，分析 和报告美国网络

16、与系统的状态，以及推动跨部门的协同与协调。6制定和实施一个覆盖整个政府部门的网络情报对抗计划Develop and implement a government-wide cyber counterintelligence (CI) plan 为了协调联邦所有部门间的有关工作，一 个覆盖整个政府的网络情 报对抗计划是必要 的，以检测、遏制、消除那些由国外发起的、针对美国及其私营部门信息系统的网络情 报威 胁。为此，这个计划要确立和扩展网络情 报对抗教育和意识项目，建立人才队伍，以便将情 报对抗融入所有的网络行动和 分析之中，提高雇员对网络情 报对抗威胁的认识，提高政府各 部门间情报对抗的协同。

17、网络情报对抗计划与2007年美国国家情报对抗战略保持一 致，并支持CNCI中其余的活动。7增强涉密网络的 安全Increase the security of our classified networks涉密网络中 存储着联邦政府 最敏感的信息，支持着至关重要的战争、外交、反恐、执法、 情报和国土安全行动。 对涉密网络的成功渗透或破坏将对我们的国家安全造成极端严重的危 害。 我们需要恪尽职守， 确保涉密网络及网络中数 据的完整性。- 3 -8扩大 网络 安全教育Expand cyber education为了保护 美国政府网络 空间的安全，已经有数十亿 的资金投入 到了新技术之中。与此同 时

18、，需要有掌握正确的知识、技巧和能 力的人来 实现这些 技术 ，他们将决定成功与否。然而， 目前在联邦政府或 私营部门内都没有足够的网络安全 专家来实施CNC,也没有充分建立起 联邦网络安全 职业域。现有的各个网络安全 培训和人才发展项目尽管不错，但在侧重点方面 还有不足，且缺少一致性 。为了有力确保 我们持久的技术 优势以及未来的网络安全， 我们必 须建立起一支技术熟练、熟谙网络安全 知识的人才队伍 ，以及有效的后续雇员输送管道。为 了应对这一挑战，需要制定一个国家战略，就像上世纪 50年代的科学和数学教育改革一样。9定 义 和制定 能“超越未 来 ” 的 持久 的 技术、战略与 规划Defi

19、ne and develop enduring “leap-ahead ”technology, strategies, and programsCNCI的一个目标是发展相关技术，使之能够提高当前不计其数的系统的安全性，并且 能在未来5到 10年内得到部署。本项活动力图制定有关的战略和规划，在政府的 研发组合 中加大那些具有高风险/高回报性质的关键网络安全问 题解决方案的 比重。联邦政府 已经着 手为研究界列举重大挑战，以期帮助解决这些 需要创造性思维的困难问题。政府正在识别并 与私营部门交流共有的需求，这些需求将驱动双方在关键研究领域的共同投资。10定义和发展持久 的遏制战略与项目Defin

20、e and develop enduring deterrence strategies and programs 在一个依赖于有保障地利用网络空间的世界中，我们国家的高层决策者必须仔细考虑 美 国的长期战略选择。目前，美国政府已经采取了传统的办 法来解决网络安全问 题这些措 施还没有达到我们需要的安全水准。本项活动旨在建立一 种实现网络防御战略的方法，通过 完善预警能力、发挥私营部门和国际合作者的 角色、对来自国家和非国家的行动者进行 正确 应对， 遏制对网络 空间的干涉和攻击。11建立全方位 的方法来实施全球供应链风险 管理Develop a multi-pronged approach

21、for global supply chain risk management 商用信息和通信技术市场已经全球化，这为那些试图通过 渗透进供应链来非授权访问数 据、篡改数据或拦截通信信息，从而危害美国的 人们提供 了更多的机会。必须采用能够涵盖 产品、系统和服务的完整生命周期的战略性、综合性的方案， 对来自国内和全球供应链的风 险加以管理。这种风险管理要求对威胁、漏洞以及采购决定的后果具备更强的意识，要求开 发和部 署能在产品的生命周期内（从设计到报废）从技术和操作层面减少风险的工具和资源， 要求建立能够适应复杂的全球化市场的新采购政策和实践措施，要求与工业界合作制定和采 用供应链与风险管理标

22、准及最佳实践措施。本项活动将使联邦政府 向各部门提供强健的供应 链风险管理与控制工具集的能力、政策和流程得到强化，使经过管理和控制后的供 应链风险 同系 统与网络的 重要 性相称。12明确联邦的 角色， 使网络安全延伸到关键基础设 施领域Define the Federal role for extending cybersecurity into critical infrastructure domains 美国政府要依赖大量由私营机构拥有和运行的关键基础设施来完成公共事务。继而，这 些关键基础设施离不开信息系统和网络的 高效运行，而这些系统和网络都易遭受恶意的网络 威胁。本项活动建立在

23、已有且不断发展的合作 关系基础之上，合作 关系的一方是联邦政府， 另一方是位于公共和私营部门的关键基础设施与重要资源（CIKR）的所有者、运营者。国土 安全部及 其私营部门的合作者 已经制定了一项共同行动的计划，包括一 系列的里程碑及行 动。计划中既有短期的建议，也有长期的建议，特别是融入并充分利用了以前的成果和行动。 它考虑了整个网络空间基础设施的安全和信 息保障工作，以增强所有CIKR领域的韧性和运 行能力为目的。其侧重点之一是公-私之间就政府以及 CIKR领域网络威胁和事件信息的共享。三、有关分析1此次解密没有透露太多 的实 质内容，其象征意义大于 实际意义从 CNCI 摘要的解密内容来

24、看，没有透露 任何具体的行动计划， 多数文字都 是在强 调各 项重大 活动的目的与意义。美国政府 此次公开解密版的 CNCI 摘要，仅是为 表明其为履行打 造透明政府的承诺而做出的一 种姿态，象征意义大于实际意义。一些内容甚至远没有媒体报 道的详细，例如可信因特网（TIC ）项目。而对于此前引起广泛 争议的国家安全 局监控职能 的扩大化问题， 甚至是早已被 外界获知的国家网络安全中心（ NCSC）， 更是没有透露只言 片语。CNCI 在起草过程中， 始终严密控制知悉范围， 没有私营机 构参与其中，也没有咨询著 名安全专家的意见（国土安全部对 此曾辩解道， CNCI 参考了很多公开的标准和最佳实

25、践， 而这些标准和最佳实践本身便反映了专家们的知识，以此反馈国会的质询）。政府审计办公 室（GAO ）的审计结论表明，是情报机构而非国土安全部 主导了 CNCI的起草和实施。因 此，美国政府对 CNCI 内容的发布， 很可能 就止步于此了。 可以说，在涉及 国家安全的重大 问题上，美国政府 始终保持着高度谨慎，处处以国家至高利益为考量，这一点永远不会有改 变。当然，美国 此次的解密工作不失为明智之举。 CNCI 的关注度如此之高， 且其中很多项 目涉及到 厂商、高校和科研院所的配合，其保密工作压力很大， 抛出这样一个解密版摘要， 有利于争取好的舆论环境，也有利于其工作的推进。2奥巴马 政府 继

26、承了上界 政府的信 息安全 政策， CNCI 将得到长期执 行奥巴马政府上台之前，上届政府信息安全政策的 延续性问题提上议事日程。 2008年 12 月，美国智库战略与国际研究中心（CSIS）发布了在第44任总统任期内保护网络空间安 全的咨询报告。报告认为，尽管CNCI并不全面，且不必要的保密削弱了其影响，但这仍 是一个良好的开端。 CSIS 分析了布什政府 当时已取得的成果，认为“ 它们真实反映了自白 宫宣布实施方案以来 CNCI 的发展情况”，为此建议“下届政府不应一切推倒重来， 而应该 继承这一方案的初步成果， 但同时又不应止步于此”。 奥巴马 上台后， 进一步重视信息安全 问题，将信息

27、安全视为最严重的经济和国家安全挑战之一，要求对美国的网络 空间安全政策 实施为期 60 天的评估， 并根据评估结果开展了新一轮的动作， 特别是对信息安全 管理体制 机制的 调整。 CNCI 是此次评估活动的一项重 点。 评估报告提出，总统 要对保护国家信息 和 通信基础设施的国家战略进行修订，新修订的战略应当对包含对CNCI活动的持续评估，并 且要 建立 在 CNCI 的 成果基础上。由此可知，奥巴马政府对包括 CNCI 在内的上界政府的信息安全政策做了 充分肯定和继 承， CNCI 毫无疑问将得到长期执行，这也从侧面表明美国政府 逐渐形成了信息安全 战略长 效机制。 白宫在 2011财年为

28、CNCI 提出的大 笔预算请求 也显示出了奥巴马 政府对 CNCI 的 支持。通过分析美国政府 审计办公室对CNCI做出的审计报告可以发现，奥巴马政府为了确保 CNCI 能够得到顺利执行， 投入了巨大的人力。其工作会议之密集、里程碑计划之细致、项 目进展评估报告之翔实， 均超出以 往任何一项行动。3CNCI 突出了对联邦政府信 息系统安全的重视，这是美国 政府信息安全政策的一次 重要调整无论是克林顿政府时 代以 PDD63 为代表的信息安全政策， 还是布什政府在 2003年发布 的保护网络空间安全的国家 战略， 都把关键基础设施作为信息安全 保护的重点和主题。 而 CNCI 则不同，其完全以政

29、府为中心， 提出的 所有活动均针对联邦政府信息 系统，考虑的 是联邦政府信息系统的安全问题。即使是在第12项活动（处理公-私合作问题）中，CNCI 也将关键基础设施定位 为政府赖以完成公共事务的基础支撑。国土安全部在 解释为什么没有邀请私营机 构的专家参与 CNCI 的起草时，明确说明这本 来就是一部针对联邦政府信息 系统的战略。 奥巴马政府在 2009年5月所做的政策 评估中， 也认为 CNCI 采用了与以往政策不同的 方法。这无疑是美国政府信息安全政策的一 次重要调 整。这一调整并不说明美国政府弱化了对关键基础设施保护的关注，而是其将政府信息系统 安全提高 到了新的高度。美国的政 治和经济

30、制度决定了关键基础设施 主要掌握在私营企业 手 中， 自克林 顿时代起政府便 致力于为加强关键基础设施 保护设计专门制度， 特别是公-私合 作和信息共享机制，但始终没有在关键基础设施保护方面建立理想的信息安全 监管制度， 组 建后的国土安全部对 此更是无能为力，因而屡遭诟病 。与此同时， 审计部 门和国会频繁批评 政府信息 系统安全 状况堪忧。这使政府的信息安全 工作在一定程度上出 现了方向的迷失。 CNCI 则表明政府更准确地找到了定位，使国土安全部 等联邦行政部门的职责真正做实， 反 映出美国政府信息安全政策 趋向更加成熟。还可以预见的是， CNCI 提出的 各项要求将 会反 映到今后修订

31、的联邦信息安全管理法（FISMA ）中，有关工作会得到立法的支持。政府信息 系统对国家安全 和社会稳定运行意义重大， 理应得 到重点保护。其次，政府掌 握着最多的资源，如果连自身的信息系统安全也 无法保障，遑论其他？再者，做好政府信息 系统安全 工作，不但可 以引领私营部门做出积极响应，更可以通过人才、技术等基础能力的 提高来增强整个国家的信息安全 防护能力 ，其意义是全局性的， 绝不仅限于政府信息 系统。4CNCI 反映出美国 政府对一 些重大威胁的关注，以及对占领未来信息安全高地的部 署CNCI 虽号称“综合性” ， 但其对象是政府信息 系统， 不可能 面面俱到， 只是奠定了今 后美国新的

32、信息安全 战略的重要基础。正因为如此，这些“重中 之重”才更引人注目。 CNCI 提出的 12项重大活动有3个明确的目标：建立能够应对当前信息安全威胁的防线，活动1、 2、3和 5与此直接相关；对抗全面威胁，活动 6、7和 11 与此直接相关；巩固未来 的信息 安全环境，活动 4、8、9和10与此直接相关。这些活动彼此密切关联， 相互配合， 例如可 信因特网连接（TIC）活动为实施“爱因斯坦2”和“爱因斯坦3”提供了必要条件，使感 应器的部署更加方便， 而“爱因斯坦 2” 和“爱因斯坦 3”的运行还需要情报 工作提供威胁 信息的 输 入。值得注意的是， CNCI 在考虑对抗“全面威胁”时，对

33、情报威胁和供应链威胁给予 了特 别关注，着重突出了情报对抗能力和保 障关键信息技术供应链安全的 能力。 CNCI 提出， 要 在所有 的网络行动 和分析工作中 贯彻 情报对抗意识， 此次还专门提出 要保护涉密 网络的安 全，这显然与当前网络已 经成为情报与 反情报、窃密与反窃密斗争的主战场有关。此外，从 CNCI 到 2009年 5 月的网络安全政策 评估报告，都屡次强调了供应链安全威胁。这里的供 应链问题不但 涵盖了产品、系统和服务这三类对象， 而且还贯穿到了完整的生命周期中。 CNCI 提出的 供应链安全风险管理对策有四个重点：一是建立安全意识， 二是在技术层面开 发风险控制工具，三是在政

34、策 层面调整采购政策， 四是加强与工业界的合作。奥巴马 政府在 2009 年 5月的网络安全政策 评估报告则进一步总结道， 解决这一问题的最佳办法就是通过 不断的技术创新来确保美国的市场领袖地位。这种对供应链安全风险的防范意识非常值得我 们国内学习。CNCI 提出了 三个影响美国未来信息安全 环境的重大因 素，以期继续 占领未来 信息安全 高地：一是人才，并将信息安全人才问题上升到国家战略的高度；二是技术，特别是创新性 的技术；三是选择遏制战略，亦称威慑战略。美国所发现的问题带有普遍 性， 例如迄今仍没 有信息安全 职业设置，培训工作参差不齐且缺少一致性，亟待 对信息安全 研发活动进行统一 规

35、划和协调等，这些问题的提出对 我国的工作很有参 考意义。此外，CNCI提出的遏制战略 思想需要引起 我们 的高度 警惕，特别是在美国一些政 客极力鼓吹“中国 黑客威胁 论”的情况 下。四、美国政府审计办公室（GAO的主要审计结论1CNCI 的责任 部门经搜集公开信息以及与政府高官约谈，GAO分析认为，有4个部门在CNCI中被主要 赋予了重要职责：国土安全部（DHS ）、国防部（DOD ）、国家情报总监办公室（ODNI ）以 及科技政策办公室（OSTP）。此外，管理和预算 办公室（OMB ）、司法部（DOJ）、国家安 全委员会 （NSC） 等机构也在特定的 CNCI 活动中 承担职责。各项活动的

36、责任部门如下：活动 1（可信因特网连接）， OMB/DHS ；活动 2（爱因斯坦 2），DHS ；活动3 （爱因斯坦3），DHS/DOD ；活动4 （研发工作的协调和重新定向），OSTP； 活动 5（态势感知）， ODNI； 活动 6（情报对抗）， ODNI/DOJ ； 活动 7（涉密网络安全） ， DOD/ODNI ；活动8（教育）， DHS/DOD； 活动9（新技术）， OSTP； 活动 10（遏制战略）， NSC； 活动 11（供应链安全）， DHS/DOD ；活动 12（公-私合作）， DHS。2CNCI 的 执 行机制GAO 将 CNCI 的规划以及执行机制归纳为跨机构工作组，其中

37、有的工作组是既有的， 也有工作组是专门成立的。这些 工作组包括：国家网络空间研究工作组（NCSG）。这是在 起草CNCI时最早介入的工作组，主要职 责是开展头脑风暴和前期的信息收集工作。 2007年 5月，美国总统布什 指示国家情报总监 对联邦 政府的信息安全 状况进行评估，为此专门成立了 NCSG， 由 ODNI 领导， 成员来自 20个政府部 门。为了分析政府各部门的信息安全 职责， NCSG 曾在若干个月中保持着每周 开会两次的频率。通信安全和网络空间策略协调委员会（PCC ）。这是白宫在起草和最初执行CNCI时发 挥主要作用的机构， 奥巴马上台后将其更名为信息 和通信基础设施跨机构政策

38、委员会 （ICI IPC）。PCC由国土安全 委员会和国家安全 委员会联 合领导，下辖6个子工作组。2007年末， NCSG将起草CNCI的工作移交给了 PCC，后者向奥巴马 提交了 CNCI的草案。CNCI被批 准后，PCC立刻承担起了监督CNCI执行的职责。PCC每周召开一次会议来评估CNCI的 执行效果 ，每季度实施一次全面、 深入评估。跨机构网络空间联合特别工作组（JIACTF ）o GAO从与ODNI的访谈中获得的信息是， 第54号国家安全总统令 将CNCI的监督和协调职责赋予了 ODNI。为此，ODNI于2008年 2月专门成立了跨机构网络空间联合特别工作组，该工作组要确保情报机

39、构和非情报机构都 能全面参与 CNCI， 并为监督 CNCI 的执行制定绩效评价指标。 JIACTF 代理主任认为， 虽 然ODNI承担了协调者的角色，但其并未获得授权去指挥其他机构，只能监督并向总统汇报 CNCI 的 进 展。目前还没有资料能够说明PCC与JIACTF的监督职责如何分配，但显然JIACTF占主导， 两者定期联合召开情况分析会， 且建立了以下的报告机制：多个跨机构工作小组。根据总统令的 要求，对于 CNCI 中的每一项活动，都有跨机构工 作小组为之提出具体的工作成果要求，例如实施计划、 报告等。 JIACTF 协助每一个跨机构 工作组起草了 3、 9、 18和 36个月的实施目

40、标，这也是 JIACTF 在监督时的考核指标。对个 别活动， 还包括 12、 24和 30个月的 实施目标。目前，已经制定的考核指标超过80个。季报。JIACTF要求各机构向其提交进展报告，每一季度与CNCI各活动的负责人会面， 深度讨论 CNCI 的工作成果、挑战及风险。 此外， JIACTF 还要向白宫提交季度报告，并抄 送 OMB。 OMB 官员证实，这些报告正在变得越来越 翔实。3CNCI 当前 面临的主要问题GAO 总结了 CNCI 当前面临的 6个主要问题 ： 一是联邦政府各机构之间存在职责交叉，协调力度不大，新任命的 白宫 协调员尚未开展 工作。二是 CNCI 的评价指标仍不完善

41、，不足以衡量 CNCI 的 3 个目标是否实现。三是 CNCI 的透 明度不够，影响 了 私营部门的合 作 ，也不利于审计。四是责任部门间对于网络安全 教育 的范围 有争议，这项活动的跨机构工作小组建议该活动的 范围应尽可能拓宽，包括公民教育 以及中小学、大学和研究生院，但白宫 认为 应严格限定在政府的 工作人员范围 ，因此一直没 有批准工作计划。五是联邦政府尚未制定国际合作战略，包括标准化 、执法和信息共享等活 动。六是在战略上缺少对联邦信息系统的身份管理 和鉴别工作的重视。OMB 承认了后5个问题，但对于第1个问题坚决否认，认为 CNCI 的执行职责非常清 楚，不应把整个政府的信息安全 协

42、调问题与CNCI的协调问题相提并论。但GAO并不接受 OMB 的说辞，举例说 正因为对信息安全 事件处置工作缺少协调，国家网络安全中心 （NCSC） 始终没 有正常运行， 甚至国土安全部 内部在这项 工作上都存在机构重叠问题。对最后 2个问题， OMB 虽予以承认，但强调这些问题超出了 CNCI 的范围。 OMB 还提 供了如下的信息：政府信息 系统的身份管理和鉴别工作十分重要，目前联邦政府正在制定专 门的计划， 实施全范围的身份和证书管理，这个计划的 草稿已经于2009年 11月完成，目前 正在抓紧修改GAO接受了 OMB的解释，在正式审计报告中将最后2个问题定位为“ CNCI 之外仍需关注的联邦信息系统安全战略挑战”。- 7 -