国家网络安全综合计划CNCI.pdfVIP

美政府“国家网络安全综合计划（CNCI）” 揭开神秘面纱 US Government Unveiled the Mysteries of the Comprehensive National Cybersecurity Initiative (CNCI) 中国信息安全认证中心 陈晓桦，左晓栋 China Information Security Certification Center, Chen Xiaohua, Zuo Xiaodong 一、引言 2008 年1 月，时任美国总统布什发布了一项重大信息安全政策，称为第54 号国家安全 总统令（NSPD54 ），同时也是第23 号国土安全总统令（HSPD23 ），其核心是国家网络安全 综合计划（CNCI，Comprehensive National Cybersecurity Initiative ）。CNCI 是美国政府对重 大信息安全行动做出的总体部署，被美国一些媒体称为信息安全的 “曼哈顿计划”。这个计 划早在2007 年便已提出，通过NSPD54/HSPD23 上升为强制性的政府命令。CNCI 十分敏感， 被以国家安全的原因列为高度机密。其预算也对外界讳莫如深，但美国国内很多分析家认为， CNCI 在若干年内的预算可能达到400 亿美元。而据媒体报道，布什在2009 财年情报预算 中的最大单笔预算请求便是为支持 CNCI；在 2010 财年，仅国土安全部（DHS ）的CNCI 项目预算便有 3.34 亿美元；最近的20 11 财年预算报道则透露出，美国政府在下一财年为 CNCI 提出的预算请求为36 亿美元。 CNCI 甫一出台便引起了广泛关注，但各界均对这一计划对外保密持批评态度。舆论普 遍认为，信息安全行动需要政府和私营部门的密切合作，需要所有人的共同努力，且政府的 信息安全行动往往涉及到监控及与之有关的公民隐私保护等问题，因而将这一计划保密的做 法十分不妥。2008 年 6 月，参议院国土安全和政府事务委员会致函国土安全部，要求了解 CNCI 的细节信息以及国土安全部在CNCI 中的角色。国土安全部虽然被迫对一些敏感问题 作了回复，但这份回复在对外公开时仍然以黑墨覆盖了多处敏感内容。国土安全部负责网络 安全和电信的助理部长格雷戈里 加西亚也曾感慨，CNCI 保密的内容过多，这对官员发言 和表态很不方便，使其不得不在提高公众认知度和避免因泄露过多信息而获罪之间小心翼翼 地踱步。 美国政府在国会和公众的压力下，于2008 年下半年还是公开了CNCI 的12 项重大活动 的基本信息：（1）通过可信因特网连接把联邦的企业级规模的网络作为一个单一的网络组织 进行管理；（2 ）部署一个由遍布整个联邦的感应器组成的入侵检测系统；（3）寻求在整个联 邦范围内部署入侵防御系统；（4 ）对研发工作进行协调并重新定向；（5 ）把当前的各网络行 动中心相互连接起来，加强态势感知；（6 ）制定和实施一个覆盖整个政府部门的网络情报对 抗计划；（7 ）增强涉密网络的安全；（8 ）扩大网络安全教育；（9 ）定义和制定能“超越未来” 的持久的技术、战略与规划；（10）定义和发展持久的遏制战略与项目；（11）建立全方位的 方法来实施全球供应链风险管理；（12）明确联邦的角色，将网络安全延伸到关键基础设施 领域。 2010 年3 月2 日，奥巴马的特别助理和网络安全协调官霍华德 施密特在RSA 会 上宣 布，为了体现奥巴马做出的“实现前所未有的政府开放性”的承诺，政府的信息安全工作将 尽可能透明，为此政府解密了CNCI 的概要部分，以期提高大众的集体知识，并使全社会各 - 1 - 方之间的合作关系更加稳固。与此同时，美国政府审计办公室 （GAO ，由原审计总署更名 而来）也于3 月初发布了对CNCI 执行情况的审计报告，这为我们了解CNCI 提供了更多的 信息。 以下部分摘录了CNCI 摘要的解密内容，并对有关情况进行了分析。最后，通过政府审 计办公室发布的审计报告，进一步提炼了对我们有价值的信息。 二、CNCI 摘要的解密内容 1 通过可信因特网连接把联邦的企业级规模的网络作为一个单一的网络组织进行管理 1 Manage the F