freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

从《国家安全战略报告》总结安全框架图
2019-09-06 17:22:58

最近读了对美国《国家安全战略》报告的分析和解读文章,感觉里边真的有很多我们可以参考和借鉴的地方,降维后又得到了一张指导企业的框架图。

报告的分析

“报告”有关网络安全的主要内容

“报告”称,美国的国家安全有四大支柱,分别是保卫美国本土、促进美国繁荣、以实力维护和平、提升美国影响,而“互联网作为美国的发明,应该反映我们的价值观”,且“强大、可靠的网络基础设施应促进经济增长、捍卫自由、保卫国家安全” 。 据此,“报告”在四个部分中分别阐述了对网络安全的看法和政策规划。

全面应对安全风险,“在网络时代确保美国安全”

“报告”强调,“美国在网络时代应对机遇与挑战的能力,将决定国家未来的繁荣与安全”,“在网络时代确保美国安全”是保卫国家安全的重要内容。网络空间的安全风险主要源于三大问题:

一是网络空间全球互联互通,各类行为主体无需跨越有形国界就可采取行动,影响美国的政治、经济和安全利益;

二是网络空间攻击成本低廉、难以溯源,却能制造巨大损失,美国的关键基础设施、商业与联邦政府网络、民众日常生活所需设备与技术,均有可能遭受严重毁伤;

三是互联网在设计之初并未将安全作为主要考虑因素,具有先天的不安全特性。

为应对这些挑战,需优先完成五项任务:

一是找出需优先应对的风险,以维护关键基础设施的安全与弹性;

二是运用最新商业能力、共享服务和最佳规范来建设可防护的政府网络;

三是威慑和摧毁恶意网络行为体;

四是与关键基础设施领域的伙伴合作,降低信息共享障碍,提升溯源能力;

五是与私营部门合作,实施分层防御,在网络内应对恶意行为,确保在恶意行为抵达预定目标前将其击败。

确保经济安全与促进经济繁荣,“创造财富依赖于可靠、安全的互联网”

美国自 20 世纪 90 年代以来就一直将网络与信息技术作为提振经济的主要驱动力。“报告”首次提出“经济安全就是国家安全”,对借助网络驱动经济发展更是高度重视,并做出以下规划:

一是为增加国家的竞争力,政府应与私营企业一起,改进包括电信在内的多种基础设施,特别是要增加带宽、改进带宽连接;

二是必须对基础设施加以保护,防止其遭受网络攻击,且保护对象除网络自身还包括网络上的数据;

三是阻止网络窃取知识财产、专利技术和早期创意的行为,减少外国竞争者通过不公平竞争获利的机会。

四是为维持国家优势,优先发展对于美国经济发展与安全有关键意义的前沿技术,包括数据科学、加密、自动化技术、人工智能等与网络高度相关的技术。

网络攻击成为现代冲突的重要特性”,网络军事实力亟需揽升

重塑美国军事实力,是特朗普竞选期间就给出的承诺,就任以来也确实成为其施政重点之一。“报告”从军事和外交两个层面强调“以实力求和平”,认为从军事上看,精确、廉价的武器及网络工具的使用,使得各类行为体可以在各个空间对美国构成巨大伤害,而其投入很小,也很难被追踪。这一状况使得“美国直到近期还拥有的陆、海、空、天、网主导权受到了挑战” 。“报告”认为,提升网络军事实力,需要在以下三个方面优先采取措施:

一是提升溯源、问责和响应能力,特别是增加对溯源技术的研究并提供更多资助;

二是改进冲突各个频谱中的网络工具,改进专业技术,保护美国政府设施和关键基础设施,保护数据与信息的完整性,并招募、培训和维持一支专业力量,确保能够在行动各频谱进行操作;

三是实现美国政府各部门资源与程序的高度集成,协调相关机构的网络行动,与国会合作改善情报与信息共享、规划与行动、开发必要网络工具。

互联网“应当反映美国价值观”,成为推广美国影响的主要工具

“报告”以“信息治国之道”为题设立专门的篇幅,谈论如何利用信息工具开展外交活动,以应对“竞争者将信息变成武器,攻击作为自由社会基础的价值观与机制”。这是之前同类报告中从未出现过的。虽然相关内容出现在“以实力求和平”部分,但其实质与第四大支柱“扩展美国影响”高度相关。

“报告”认为,当前美国面临三类安全挑战:以中、俄为代表的“修正主义国家”,以朝、伊为代表的“****”,以及恐怖组织、跨国犯罪集团等非国家行为体。这些行为体都以不同的方式运用信息扩大影响。需通过以下方式,充分运用信息工具应对挑战:

一是改进公共外交,将创新性技术整合到外交与发展项目当中;

二是充分调动私营部门、外国政府、地方机构的积极性,以可信的声音替代那些宣扬暴力与仇恨的信息;

三是充分利用多边论坛,在联合国、国际电信联盟(ITU)、互联网治理论坛(IGF)、互联网名称与数字地址分配机构(ICANN) 等重要组织中积极开展接触活动。

总结出来的两张框架图

网络安全政策(国家)


网络安全政策(国家).png

网络安全政策(企业)

网络安全政策(企业).png


参考资料:报告的分析引用自《信息安全与通信保密》期刊中《全面评估美国网络安全政策走向》一文。

# 网络安全战略
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者