這是一份美國(guó)全國(guó)州首席信息官協(xié)會(huì)關(guān)于如何提高公共部門(mén)信息安全水平的建議書(shū)，它面向地方、州和聯(lián)邦政府首席信息官這樣一批特殊讀者，以建議的形式發(fā)出一種行動(dòng)呼吁。借鑒美國(guó)政府在此方面長(zhǎng)期工作所形成的豐富經(jīng)驗(yàn)和教訓(xùn)，對(duì)信息保障問(wèn)題進(jìn)行深入思考，對(duì)形成具體、可實(shí)施性強(qiáng)的中國(guó)信息安全保障國(guó)家戰(zhàn)略或許會(huì)有所裨益。

　　電子政務(wù)會(huì)給社會(huì)公眾和公司企業(yè)帶來(lái)許多直接好處。與此同時(shí)，安全風(fēng)險(xiǎn)和脆弱性也在與日俱增。電子政務(wù)需要具有前瞻性的IT管理和穩(wěn)固的基礎(chǔ)設(shè)施。如我們所知，網(wǎng)絡(luò)攻擊、系統(tǒng)故障和自然災(zāi)害都會(huì)使整個(gè)體系運(yùn)轉(zhuǎn)不暢。如果我們的數(shù)字基礎(chǔ)設(shè)施在關(guān)鍵部位出了問(wèn)題，政府的運(yùn)作就會(huì)陷于癱瘓，從而釀成災(zāi)難性后果。

　　建議一：建立一個(gè)相關(guān)人員都參與的IT管理結(jié)構(gòu)

　　設(shè)計(jì)一個(gè)涉及所有風(fēng)險(xiǎn)承擔(dān)者的IT管理結(jié)構(gòu)，該結(jié)構(gòu)應(yīng)該包括企業(yè)級(jí)安全管理，應(yīng)能在政策上做出應(yīng)急反應(yīng)，并適于通過(guò)檢查實(shí)施領(lǐng)導(dǎo)的工作方式。

　　在美國(guó)，公共部門(mén)的IT管理安排分別采用了以下3種特點(diǎn)各不相同的模式中的一種。

　　大學(xué)模式

　　許多州對(duì)首席信息官的安排可以稱(chēng)作是“大學(xué)式”的。在這種安排中，首席信息官直接對(duì)州長(zhǎng)負(fù)責(zé)，對(duì)首席信息官的任命來(lái)自州長(zhǎng)和州內(nèi)閣的決定。大學(xué)式管理看上去像一張網(wǎng)，其中以首席信息官（以及州長(zhǎng)）為中心，影響力和指令由此向外輻射到各部門(mén)、委員會(huì)和利益集團(tuán)。首席信息官通過(guò)長(zhǎng)期計(jì)劃、資金獎(jiǎng)勵(lì)、政策和人際關(guān)系進(jìn)行管理。首席信息官的人員班子通常規(guī)模很小，但其中都是政治聯(lián)盟的重要人物。

　　基于法規(guī)的安排

　　幾乎有相同數(shù)量的州對(duì)IT管理采用基于法規(guī)的安排方式，這些州都有成熟的組織體系和法律?；诜ㄒ?guī)的結(jié)構(gòu)通常設(shè)有一個(gè)執(zhí)行理事會(huì)，通過(guò)審批總結(jié)、制定政策、標(biāo)準(zhǔn)和計(jì)劃行使監(jiān)督職能。這種安排下的首席信息官人員班子比大學(xué)式班子要龐大些?；诜ㄒ?guī)的首席信息官人員設(shè)計(jì)了匯報(bào)程序、計(jì)分卡和例外報(bào)告。這是一種等級(jí)分明的結(jié)構(gòu)，它自上而下行使職責(zé)，通過(guò)各委員會(huì)提出重要方案。

　　基于角色的安排

　　如今，已有越來(lái)越多的州開(kāi)始采用基于角色的安排方式?；诮巧哪Ｊ酵ǔ６荚O(shè)有一個(gè)由各方代表組成的中央執(zhí)行理事會(huì)，理事會(huì)的代表來(lái)自所有分支、教育機(jī)構(gòu)、地方單位和私營(yíng)部門(mén)，州首席信息技術(shù)設(shè)計(jì)師是支持理事會(huì)的后盾。理事會(huì)負(fù)責(zé)政策、長(zhǎng)期計(jì)劃、項(xiàng)目管理標(biāo)準(zhǔn)和企業(yè)IT管理體系方面的工作，企業(yè)安全也在理事會(huì)的監(jiān)督之下。這種管理模式在設(shè)計(jì)上是模塊化的。

　　IT管理絕不僅限于上述3種模式，地方、州和聯(lián)邦政府往往會(huì)綜合采用各種模式。就州一級(jí)政府而言，這種IT管理模式應(yīng)該把政府的所有分支均涵蓋在內(nèi)，應(yīng)該明確安全工作領(lǐng)導(dǎo)權(quán)并任命一個(gè)機(jī)構(gòu)負(fù)責(zé)監(jiān)督政策和指令的執(zhí)行情況。政府的所有分支都應(yīng)服從于企業(yè)整體體系及其共享基礎(chǔ)設(shè)施、項(xiàng)目管理標(biāo)準(zhǔn)、安全表現(xiàn)度量標(biāo)準(zhǔn)以及用于外部和內(nèi)部審查控制的審計(jì)標(biāo)準(zhǔn)。

　　IT安全還必須與州和地方政府級(jí)的應(yīng)急反應(yīng)相結(jié)合。由于州政府居于地方政府與聯(lián)邦政府之間，因此會(huì)在這種結(jié)合中發(fā)揮主導(dǎo)作用。此外，州政府的這種地位還會(huì)因其IT基礎(chǔ)設(shè)施與城市、鎮(zhèn)區(qū)、縣以及涉及公眾生活和工作的其他管轄范圍聯(lián)系密切而得到強(qiáng)化。出于這一原因，州政府應(yīng)該將其IT基礎(chǔ)設(shè)施與地方和聯(lián)邦政府的IT基礎(chǔ)設(shè)施完全融合到一起。

　　建議二：實(shí)現(xiàn)企業(yè)安全計(jì)劃目標(biāo)

　　實(shí)現(xiàn)企業(yè)安全計(jì)劃目標(biāo)，其中包括對(duì)成功以及最佳處理方法做出評(píng)估，同時(shí)確保所有部門(mén)共享資源。

　　安全依賴(lài)于人及其專(zhuān)業(yè)水平和合作態(tài)度。在龐大的政府機(jī)構(gòu)中，有許多IT技術(shù)人員和業(yè)務(wù)專(zhuān)家，他們掌握各種高新技術(shù)，對(duì)IT系統(tǒng)的建設(shè)起著重要作用。怎樣協(xié)調(diào)涉及專(zhuān)業(yè)領(lǐng)域如此廣泛的龐大員工隊(duì)伍，對(duì)于首席信息官來(lái)說(shuō)是一種嚴(yán)峻挑戰(zhàn)，共享的IT基礎(chǔ)設(shè)施和巨大的應(yīng)用工作量使這種挑戰(zhàn)進(jìn)一步復(fù)雜化了。要想應(yīng)對(duì)這樣的局面，首席信息官必須尋求制定一整套前后連貫的設(shè)計(jì)原則和標(biāo)準(zhǔn)處理方法，并根據(jù)信息管理原則做出技術(shù)選擇。

　　首席信息官的任務(wù)絕非僅僅牽涉技術(shù)和管理，而首席技術(shù)官的工作重心也超出了IT情況研究的范疇。中央IT基礎(chǔ)設(shè)施開(kāi)發(fā)官負(fù)責(zé)技術(shù)方面的工作，側(cè)重于資源共享，而設(shè)計(jì)師的工作重點(diǎn)則是技術(shù)標(biāo)準(zhǔn)。一般而言，技術(shù)設(shè)計(jì)師最好不兼任首席信息官。這種職務(wù)的分離有利于監(jiān)督和平衡。設(shè)計(jì)師通常負(fù)責(zé)規(guī)劃和制定標(biāo)準(zhǔn)，而首席信息官則負(fù)責(zé)實(shí)施和管理技術(shù)體系和標(biāo)準(zhǔn)。這兩個(gè)職務(wù)在規(guī)劃功能上是重疊的。

　　建議三：開(kāi)發(fā)安全度量標(biāo)準(zhǔn)

　　開(kāi)發(fā)安全度量標(biāo)準(zhǔn)，以準(zhǔn)確測(cè)定有害入侵、破壞安全和易受攻擊環(huán)節(jié)。相關(guān)報(bào)告應(yīng)以摘要形式分發(fā)給州政府的行政、立法和司法分支以及其他政府機(jī)構(gòu)。報(bào)告應(yīng)在政府單位中嚴(yán)格保密。

　　為了使安全這條主線貫穿機(jī)構(gòu)的計(jì)劃和文化，首席信息官需要開(kāi)發(fā)一套報(bào)告標(biāo)準(zhǔn)，用以清晰顯示安全要求是否得到滿足。這套標(biāo)準(zhǔn)所依據(jù)的是以下幾個(gè)重要信息來(lái)源。

　　審計(jì)結(jié)果

　　內(nèi)部和外部審計(jì)員對(duì)總體控制和應(yīng)用控制做出評(píng)價(jià)，決定需要采取什么級(jí)別的審計(jì)來(lái)確定財(cái)務(wù)報(bào)告的準(zhǔn)確性和可靠性。審計(jì)工作可以找出管理方法以及安全方面的缺陷。對(duì)于首席信息官、IT基礎(chǔ)設(shè)施開(kāi)發(fā)官、首席安全官、首席技術(shù)官和首席技術(shù)設(shè)計(jì)師來(lái)說(shuō)，負(fù)責(zé)評(píng)價(jià)與IT系統(tǒng)和安全相關(guān)的具體控制的審計(jì)員是一種內(nèi)容豐富的信息來(lái)源。

　　入侵企圖和滲透

　　IT安全官會(huì)對(duì)審計(jì)報(bào)告中出現(xiàn)的入侵次數(shù)以及滲透次數(shù)、滲透級(jí)別和滲透性質(zhì)感興趣，他們對(duì)來(lái)自?xún)?nèi)部和外部的攻擊次數(shù)高度敏感。這方面的信息應(yīng)該在企業(yè)的部門(mén)一級(jí)上收集，然后通過(guò)首席信息官上報(bào)給企業(yè)管理層并進(jìn)入IT管理結(jié)構(gòu)體系。

　　病毒報(bào)警和恢復(fù)

　　必須有一個(gè)常備中心、入侵反應(yīng)小組或類(lèi)似的部門(mén)清楚病毒何時(shí)滲入了本機(jī)構(gòu)，它們是如何沖破安全網(wǎng)闖進(jìn)應(yīng)用中的資源的，以將受病毒侵害的系統(tǒng)恢復(fù)過(guò)來(lái)。分布式拒絕服務(wù)攻擊、病毒、蠕蟲(chóng)、黑客、物理破壞和軟件故障僅僅是這類(lèi)問(wèn)題中的幾種。要點(diǎn)在于，首席信息官要知道這些事件的增加何時(shí)超過(guò)了底線。此外，首席信息官還必須了解是什么因素造成了出現(xiàn)峰值。

　　全國(guó)警報(bào)

　　對(duì)于首席信息官和首席安全官來(lái)說(shuō)，全國(guó)警報(bào)是一大重要信息來(lái)源。有許多全國(guó)性組織發(fā)出全國(guó)警報(bào)并向用戶(hù)提供預(yù)訂服務(wù)。如計(jì)算機(jī)應(yīng)急反應(yīng)小組、全國(guó)基礎(chǔ)設(shè)施保護(hù)中心、關(guān)鍵信息安全聯(lián)盟、系統(tǒng)管理、網(wǎng)絡(luò)技術(shù)和安全學(xué)會(huì)、全國(guó)州地理信息理事會(huì)、州際安全信息共享和分析中心等。

　　許多州建立了州際安全信息共享和分析中心，以幫助本部門(mén)安全官分析危險(xiǎn)的入侵。這些州際安全信息共享和分析中心通常與一個(gè)常備中心相連，由這個(gè)中心協(xié)調(diào)州政府的應(yīng)急反應(yīng)和恢復(fù)工作。

　　有些州際安全信息共享和分析中心由機(jī)構(gòu)內(nèi)部成員組成，便于州首席安全官向本系統(tǒng)負(fù)責(zé)IT的官員發(fā)出警報(bào)。這些中心還便于成員共同就入侵事件進(jìn)行分析和提出反應(yīng)建議。隨著州際安全信息共享和分析中心的發(fā)展逐漸成熟，它們還將配備硬件、軟件、網(wǎng)絡(luò)和物理安全方面的專(zhuān)家。它們還將擁有接受過(guò)緊急事件管理訓(xùn)練、精通IT災(zāi)難預(yù)防和恢復(fù)的應(yīng)急反應(yīng)專(zhuān)家。

　　建議四：配置安全技術(shù)

　　以下建議涵蓋了組織機(jī)構(gòu)用來(lái)選擇適宜安全技術(shù)的各種方法。在下面的例子中，IT安全體系被劃分為3個(gè)級(jí)別。至于應(yīng)該選擇哪個(gè)安全級(jí)來(lái)保護(hù)某一特定資產(chǎn)，則取決于該資產(chǎn)的重要性、脆弱性和價(jià)值。必須有一份最新并且準(zhǔn)確的IT資產(chǎn)清單方能開(kāi)始安全級(jí)選擇程序。

　　第一級(jí)：基本級(jí)

　　這個(gè)最低級(jí)別是指最低限度安全體系。基本安全包括對(duì)物理進(jìn)入數(shù)據(jù)中心和企業(yè)網(wǎng)絡(luò)的控制，需要有持卡進(jìn)入和日志報(bào)告之類(lèi)驗(yàn)證程序才能物理進(jìn)入數(shù)據(jù)中心和其他安全區(qū)。此外，需要有密碼才能電子進(jìn)入IT系統(tǒng)，密碼至少應(yīng)該有9個(gè)字符，由大小寫(xiě)字母、數(shù)字和符號(hào)組成。軟件應(yīng)能拒絕重復(fù)使用的或與個(gè)人使用的歷史密碼十分接近的密碼改動(dòng)，密碼必須每隔兩周或四周改動(dòng)一次。最后，對(duì)于基本安全處理方法來(lái)說(shuō)，網(wǎng)絡(luò)掃描和病毒保護(hù)至關(guān)重要。

　　第二級(jí)：中級(jí)

　　中級(jí)安全要求體系強(qiáng)調(diào)進(jìn)入IT系統(tǒng)者必須接受全面驗(yàn)證。驗(yàn)證范圍包括公共關(guān)鍵基礎(chǔ)設(shè)施、生物測(cè)定、密碼卡技術(shù)或者可用來(lái)證實(shí)某使用者確實(shí)是提出申請(qǐng)者本人的變量。此外，復(fù)查技術(shù)也常常用來(lái)證實(shí)某些裝置已得到授權(quán)進(jìn)入網(wǎng)絡(luò)。

　　就關(guān)鍵任務(wù)應(yīng)用而言，管理員要對(duì)用于緊急調(diào)整的密碼負(fù)責(zé)。這些密碼保存在密封的信封里鎖起來(lái)，每個(gè)只能使用一次，所有密碼均由至少256位加密算法編寫(xiě)而成。最后，使用者在兩次適當(dāng)輸入正確密碼和／或用戶(hù)名失敗后將被禁止進(jìn)入系統(tǒng)。所有例外都被記錄在日志中，由系統(tǒng)管理員及系統(tǒng)擁有者獨(dú)立進(jìn)行檢查。

　　密碼卡技術(shù)可允許使用者每次執(zhí)行任務(wù)均使用惟一的密碼，這項(xiàng)技術(shù)通常用于執(zhí)法用途，密碼使用一定時(shí)間后就會(huì)注銷(xiāo)。此外，密碼是完全加密的，安全管理員會(huì)嚴(yán)密監(jiān)督密碼卡的使用。更為尖端的網(wǎng)絡(luò)掃描、事務(wù)覆蓋（如隧道技術(shù)）和請(qǐng)求回叫技術(shù)也可用在中級(jí)安全的安全系統(tǒng)上。最后，以這一安全級(jí)通過(guò)網(wǎng)絡(luò)的關(guān)鍵數(shù)據(jù)應(yīng)該完全加密。

　　第三級(jí)：高級(jí)

　　最高安全級(jí)由防御轉(zhuǎn)入了進(jìn)攻。網(wǎng)絡(luò)能夠了解什么人正在尋求進(jìn)入某一特定系統(tǒng)，一旦出現(xiàn)非授權(quán)進(jìn)入或非授權(quán)進(jìn)入企圖，就會(huì)發(fā)出警報(bào)。通過(guò)全面認(rèn)證、基于應(yīng)用安全的確認(rèn)和全面授權(quán)可以掌握使用者的情況。

　　確保安全是一項(xiàng)代價(jià)高昂的艱巨工作。要想實(shí)施總體和應(yīng)用控制，就必須滿足以下3個(gè)標(biāo)準(zhǔn)。第一，首先必須建立控制體系。第二，控制體系必須有效運(yùn)轉(zhuǎn)。第三，對(duì)控制體系的運(yùn)轉(zhuǎn)必須通過(guò)獨(dú)立的管理驗(yàn)證加以監(jiān)督。這3個(gè)要求的任何一個(gè)沒(méi)有被滿足，嚴(yán)格意義上的控制就不可能存在。

　　建議五：開(kāi)發(fā)州安全入口

　　前文討論過(guò)的核心小組還應(yīng)含有一個(gè)安全設(shè)計(jì)小組，以向管理常備中心和安全信息共享和分析中心（ISAC）人員提供幫助。除管理應(yīng)急反應(yīng)外，還負(fù)責(zé)管理供依賴(lài)州政府服務(wù)的機(jī)構(gòu)、社會(huì)公眾和公司企業(yè)使用的一個(gè)安全入口。該入口有一個(gè)安全且面向公眾的登錄網(wǎng)站，可協(xié)助應(yīng)急管理人員發(fā)出通報(bào)，及時(shí)幫助處于危機(jī)中的公民。它還有助于協(xié)調(diào)企業(yè)對(duì)災(zāi)難和重大破壞事件的反應(yīng)。

　　建議六：建立州際安全信息共享和分析中心

　　許多州缺乏人員和資金建立自己的州際安全信息共享和分析中心。各州政府意識(shí)到，這方面的服務(wù)需要很大開(kāi)支，而尋找才智足以擊退黑客攻擊的人才也十分困難。應(yīng)對(duì)黑客對(duì)基礎(chǔ)設(shè)施的深層攻擊這項(xiàng)工作需要很高的專(zhuān)業(yè)技能，以聯(lián)邦部門(mén)ISAC模式建立的州際安全信息共享和分析中心可以在專(zhuān)業(yè)技能方面提供相關(guān)服務(wù)，同時(shí)將各州有關(guān)黑客攻擊事件的數(shù)據(jù)收集到一起，用以支持網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略規(guī)劃的實(shí)施。

　　此外，州際安全信息共享和分析中心還可以幫助各州政府協(xié)調(diào)對(duì)網(wǎng)絡(luò)攻擊做出的反應(yīng)，同時(shí)在執(zhí)法部門(mén)和國(guó)防部門(mén)之間提供聯(lián)絡(luò)服務(wù)。協(xié)調(diào)工作的內(nèi)容還包括傳播有關(guān)審計(jì)的例外情況以及實(shí)施監(jiān)督部門(mén)、內(nèi)部審計(jì)員和聯(lián)邦機(jī)構(gòu)提出的安全標(biāo)準(zhǔn)的最佳處理方法。對(duì)于州內(nèi)安全信息共享和分析中心，州際安全信息共享和分析中心必須承擔(dān)有關(guān)通用審計(jì)和安全標(biāo)準(zhǔn)的人員培訓(xùn)工作。

　　建議七：提出樣板式信息共享州立法法案

　　要想?yún)f(xié)調(diào)反應(yīng)行動(dòng)、了解關(guān)鍵基礎(chǔ)設(shè)施的情況、制定全國(guó)戰(zhàn)略和交流網(wǎng)絡(luò)安全的最佳處理方法，各州政府就必須相互共享敏感的安全信息。然而，這方面的信息一旦落到居心不良者手里，就會(huì)變成貽害無(wú)窮的武器。州際信息共享一直很受限制，原因就在于各州政府擔(dān)心，一旦本州信息出了本州州界或者交流給地方或聯(lián)邦政府部門(mén)，本州的安全活動(dòng)就會(huì)在其他州的公開(kāi)記錄中披露。此外，州首席信息官很難協(xié)調(diào)某部門(mén)、理事會(huì)或委員會(huì)高度敏感的安全信息的交流活動(dòng)。然而，協(xié)調(diào)信息共享對(duì)于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施來(lái)說(shuō)至為關(guān)鍵。這就需要在州和聯(lián)邦級(jí)別上分別立法，以確保安全報(bào)告在各級(jí)政府之間的交流在保密條件下進(jìn)行，安全、隱私權(quán)和公開(kāi)記錄三者必須達(dá)到平衡。最后，立法應(yīng)該禁止私營(yíng)公司泄漏通過(guò)正常渠道從政府部門(mén)獲得的敏感安全信息。

　　安全是一項(xiàng)艱巨的工作。只讓安全官員、技術(shù)人員和IT執(zhí)行人員來(lái)承受這副重?fù)?dān)是完全錯(cuò)誤的，確保安全是企業(yè)全體成員的共同職責(zé)。安全體系要建立在開(kāi)放、資源共享和重點(diǎn)突出的文化基礎(chǔ)上，絕不能只是在出現(xiàn)意外事件時(shí)才想起安全體系。要想使安全工作行之有效，各級(jí)政府就應(yīng)該向全體雇員傳授控制標(biāo)準(zhǔn)，同時(shí)把標(biāo)準(zhǔn)處理方法納入計(jì)劃和計(jì)量程序中。政府部門(mén)應(yīng)該通過(guò)審計(jì)報(bào)告和度量結(jié)果提供反饋信息，以確定安全工作是否運(yùn)轉(zhuǎn)正常。