网络安全协调员的工作描述

关于这一系列:在奥巴马总统宣布设立国家网络安全协调员之前,阿里尔·西尔弗斯通(Ariel Silverstone)撰写并发表了一篇论文,他是CISSP的一名成员,曾是以色列国防军的一名成员,在文中提出了他对美国有必要设立一名首席安全官的想法。在这第二部分中,他讨论了他认为CSO角色适合的地方,以及他认为对这个角色的成功至关重要的核心“三个原则”。Silverstone还列出了他对未来6项(共23项)任务的展望,他认为这些任务对美国的信息安全至关重要。

阅读第1部分:不可能的任务?保护联邦网络空间的计划

安置和报告这一职位将对整个文官政府负责。把它放在国土安全部(DHS)内传递了一个错误的信息,即其他机构不必遵守它的决定。此外,在传统上与国防无关的工业部门,可能存在一系列相互冲突的要求,如商务部的要求。

为了发出统一、有分寸和连贯的声音,我认为这一职位应该存在于总统办公厅内。正如国家首席信息官(CIO)和首席技术官(CTO)协调该办公室的工作一样,CSO也应与同行密切合作,扩大文官政府的范围。管理和预算办公室(OMB)将是开展这项工作的理想场所,办公室的职能可以在这里实际履行。

但是,对这一职位的日常监督应交给参谋长,该人应直接向美国总统报告所有紧急、战术和战略计划任务的进展情况。当然,我们称之为制衡的政府体系提供了额外的监督,使美国国会能够要求提交报告和执行某些任务。

在国土安全部设立这一职位以来,我们从中吸取了教训,这个职位必须有一个联邦采购局。为具体和政府范围内的任务作出预算决定的能力,不仅是为了提高效率,而且特别是影响业绩的能力,是必不可少的。

预算网络安全是一个不断演变的挑战,由于我们在这里处理不同的时间范围,我们必须要求国会为这个机会分配一个多年预算。这一挑战的规模之大,要求人们能够专注于适当的解决方案,无论是短期的还是长期的,并且不鼓励采取快速解决办法。

三个原则我提议在三个原则的基础上组织这一巨大的努力。这些支柱反映了我的信念,即这不是一个人能单独完成的工作。这个角色必须得到组织及其所属办公室的支持。正如我上面所描述的,这个角色的范围不仅仅是联邦机构。不断分享、更新、测试、核实和加强这一角色所需和产生的数据是必不可少的,也是至关重要的。

公共/私人合作为了使合作发挥作用,需要真正的双向思想共享。由于几代安全专业人士的辛勤和出色工作,美国政府雇用了一些信息安全领域最聪明的人。所做的研究和开发是有报酬的,而且是为了我们所有公民的利益。同样,创新通常被视为私营企业的职权范围。从硅谷到锡拉丘兹,聪明而有创业精神的男女都以非传统的方式发明和思考了解决所有信息用户所面临问题的方法,而不管他们的工资来源如何。

在许多国家,分享进展是一个自我理解、界定和根深蒂固的过程。我提议正式增加在我们海岸已经做的分享努力:

任务6:建立一个由行业和政府杰出人士组成的官方咨询委员会,为首席信息安全官的职责提供建议。

此外,为什么不利用政府内部的正式组织,甚至在国防和情报机构内部,对电子和其他敏感行业的保护措施提出建议和测试?尽管执行此类行动的法律框架必须得到澄清,但这样做将使最好的“红队”与最重要的私营部门数据以及这些数据的监护人进行比较。这样的努力只能带来进步。

虽然我清楚地预计,这一计划将在读者中产生许多惊愕,但我真诚地相信,其他国家(中国、以色列、法国,仅举几例)已经,并且已经有一段时间,使用这种分享方式来改善他们的国家,并可能损害我们的利益。

任务7:建议必要时进行立法修改,以允许利用公共能力测试和增强敏感行业的防御能力

信息共享

“信息共享”一词并不局限于测试一个部门的能力。联邦政府应该监控针对敏感行业的定向攻击,同时警告目标公司并参与行业防御。积极参与一家制药公司在电子攻击下的防御,与指派一个防空导弹炮兵连保卫同一家公司的建筑抵御轰炸机并无区别。主动警告银行防范有针对性的攻击与指派警察人员守卫银行入口并无区别。

在9-11恐怖袭击中,恐怖分子袭击了一些最明显的美国骄傲的象征。双子塔矗立在我们最显眼的城市,在某些人看来代表着我们美国的财富、影响力和力量。五角大楼代表着我们军事力量的力量。

想象一下,如果纽约市的目标稍有不同,会发生什么:如果拥有大量国家财富的金条的纽约联邦储备委员会(newyorkfederalreserveboard)遭到打击,会怎么样?如果某个数据中心的“hoteling”点是目标呢?

这些不是反问句。这些都是真实的、需要灵魂探索的问题,应该加以研究、解决和保护。失去生命的答案不容易知道。金融和交易损失,以及随之而来的对我们国家(乃至全球经济)的破坏,将是灾难性的。

任务8:在美国政府的援助、支持和核查下,所有确定的敏感部门将制定、维持、测试和更新需求备灾和业务连续性方案。

由于上述任务虽然对大多数人来说是必要的,但代价高昂,我敦促就其优先性、基本性质和减少费用进行公开辩论。我预计这项任务将是一个非常艰难的“推销”私营部门的许多因素。

由于我们越来越多的信息业务是由全球范围内的公司和网络处理的,我建议更积极地参与全球标准组织。其中最主要的是国际标准化组织ISO。

在美国所做的一些出色的工作,例如在灾难恢复领域,无论是在政府连续性(COG)、业务连续性(CoOP)或民用数据恢复(例如,灾难恢复研究所的工作)项下,都可以极大地促进正在制定的国际标准,从而将出自英国标准(BS)25999。同样,国际标准27001及其相关系列也适用于全球组织。这些标准很容易审核,而且还有一个额外的好处,那就是更容易获得人力资源来实施。

我赞扬美国国家标准与技术研究所(NIST)参与这些工作,特别是在NIST标准第3版(草案)和修订版“引入三部分战略,使FISMA安全标准和指南与国际安全标准协调一致,包括更新的ISO/iec27001安全控制映射表

任务9:冠军,与国家标准与技术研究所(NIST),美国的参与和领导世界标准组织。

如果不提及信息共享和分析中心(ISACs),任何关于信息共享的讨论都是不完整的。创造ISACs背后的理论是合理的。然而,大多数isac的执行,充其量只是乏力。

通过国土安全部国家保护和计划局(NPPD)和/或信息分析和基础设施保护局(IAIP)(以前包括国家基础设施保护中心(NIPC)),为ISAC提供资助的项目不仅是零星的,但在一个预算年度到下一个预算年度,这一点经常受到质疑。我们现在必须改变这个。国家基础设施保护的重要性不亚于民防。行业集团内部的合作必须不受反垄断法的约束,允许甚至要求自由流动、持续和记录。

任务10:必须为关键行业的知识共享工作提供资金。这一努力应该得到法律的协调和保护,这样思想和信息才能自由流动。

定向研究

“信息保护”并没有定义一种放火不管的态度。不断研究和改善我们的防御和其他姿态,对我们的经济生存至关重要。联邦政府应该作为卓越教育、信息安全工具、技术、程序和理解的研究和开发的拥护者、支持者和需求者,发挥应有的作用。