杜林+程彥博

本期封面報道的照片中顯示的是美國加利福尼亞州Palo Alto市的街景。Palo Alto市位于硅谷的中心，很多科技公司聚集于此。近年來，由它的名字命名的網(wǎng)絡(luò)安全廠商Palo Alto Networks因為率先推出下一代防火墻（NGFW）并在市場上取得領(lǐng)先，讓Palo Alto這個名字更被全世界的信息安全從業(yè)者熟知。

信息安全不僅直接關(guān)系到信息系統(tǒng)建設(shè)和應(yīng)用的成敗，如果從國家和社會的層面來講，信息安全怎么說都有理，都不為過。

如今，我們對于信息安全的熱情空氣高漲，大力提倡自主可控。美國是信息技術(shù)的發(fā)源地，硅谷現(xiàn)在仍然是全球IT的創(chuàng)新中心?？匆豢此麄兲幵谑裁次恢?，看一看他們對于信息安全的理念和策略、技術(shù)和方法，我們或許才能夠更好地尋找相應(yīng)的措施和解決方案。

從下一代防火墻到下一代安全

6月底，Gartner發(fā)布了2014年十大信息安全技術(shù)，同時指出了這些技術(shù)對信息安全部門的意義。這些技術(shù)包括云端訪問安全代理服務(wù)、全面沙箱分析與入侵指標(biāo)確認(rèn)、端點偵測及回應(yīng)解決方案、 針對物聯(lián)網(wǎng)的安全網(wǎng)關(guān)與防火墻……

Gartner副總裁Neil MacDonald表示：“企業(yè)正投入越來越多的資源以應(yīng)對信息安全與風(fēng)險。盡管如此，攻擊的頻率與精密度卻越來越高。高階鎖定目標(biāo)的攻擊與軟件中的安全漏洞，讓移動化、云端、社交與大數(shù)據(jù)所產(chǎn)生的‘力量連結(jié)（Nexus of Forces）在創(chuàng)造全新商機的同時也帶來了更多令人頭疼的破壞性問題。伴隨著力量連結(jié)商機而來的是風(fēng)險。負(fù)責(zé)信息安全與風(fēng)險的領(lǐng)導(dǎo)者們必須全面掌握最新的科技趨勢，才能規(guī)劃、達(dá)成和維護有效的信息安全與風(fēng)險管理項目，同時抓住商機并管理好風(fēng)險。”

簡單地說，云計算、移動、社交網(wǎng)絡(luò)等新興技術(shù)和應(yīng)用，給信息安全帶來前所未有的安全挑戰(zhàn)。名不見經(jīng)傳的美國網(wǎng)絡(luò)安全廠商Palo Alto Networks推出了第一款下一代防火墻，讓自己的名字迅速走紅。下一代防火墻應(yīng)運而生，正是因為當(dāng)前新興技術(shù)和應(yīng)用為各類組織和機構(gòu)帶來的安全威脅，它們呈現(xiàn)出和傳統(tǒng)威脅并不相同的特征，需要用戶不僅要對網(wǎng)絡(luò)層以下的數(shù)據(jù)包和流量進行過濾，更需要對上層的應(yīng)用進行識別和分析。而下一代防火墻除了要實現(xiàn)傳統(tǒng)防火墻的功能以外，一個重要特征就是要具有業(yè)務(wù)的識別能力并具有安全的可視化，它能夠識別應(yīng)用程序并在應(yīng)用層上執(zhí)行網(wǎng)絡(luò)安全策略。

現(xiàn)在，幾乎各個安全廠商都在推廣自己的下一代防火墻產(chǎn)品，這其中有傳統(tǒng)的網(wǎng)絡(luò)安全廠商，也有新興的應(yīng)用安全廠商，但是毫無例外，他們都將下一代防火墻作為自己的主推產(chǎn)品。這樣一種趨勢，一方面說明了下一代防火墻作為傳統(tǒng)防火墻的替代品或者升級版，具有非常巨大的潛在市場；另一方面，在由下一代防火墻開始的信息安全產(chǎn)業(yè)變革中，融合的趨勢越來越顯著。

Palo Alto Networks率先推出下一代防火墻并且成為行業(yè)標(biāo)桿，這一行為不僅捧紅了自己，也捧紅了一個詞——“下一代（Next-Generation）”。比如，與下一代防火墻相配合的，與傳統(tǒng)IPS相對應(yīng)的下一代IPS（NGIPS）同樣浮出水面。根據(jù)Gartner的定義，下一代IPS除了具有傳統(tǒng)IPS的功能以外，還需要具有對應(yīng)用的可視化和控制功能，情景感知（Context Awareness）、內(nèi)容感知（Content Awareness）以及敏捷式引擎。

Gartner認(rèn)為，下一代IPS正是為了解決在新興業(yè)務(wù)環(huán)境下出現(xiàn)的新型高級網(wǎng)絡(luò)攻擊而傳統(tǒng)IPS產(chǎn)品無法應(yīng)對的問題。下一代IPS的與傳統(tǒng)IPS核心的區(qū)別為是否具有自適應(yīng)安全能力的敏捷式安全引擎，下一代IPS借此才能夠?qū)崿F(xiàn)周而復(fù)始不間斷地發(fā)現(xiàn)辨識網(wǎng)絡(luò)信息、學(xué)習(xí)并關(guān)聯(lián)信息、自動調(diào)整行動策略的自動防御能力。

已經(jīng)被思科收購、以入侵檢測和防護見長的網(wǎng)絡(luò)安全廠商Sourcefire發(fā)布的下一代IPS就聲稱能夠針對高級威脅為用戶提供智能化的實時檢測和上下文感知、完整的可視化，以及自動化的智能安全，它可以通過被動入侵檢測模式將可疑的網(wǎng)絡(luò)通信流量和行為及時通知給用戶，并通過內(nèi)聯(lián) IPS 模式阻止威脅。在年初由NSS實驗室公布的數(shù)據(jù)中心場景IPS測試結(jié)果中，SourceFire產(chǎn)品的滲透攻擊阻擋率達(dá)到99.4 %，并100%有效防范了逃逸技術(shù)。

事實上，無論是下一代防火墻還是下一代IPS產(chǎn)品的問世，其根源都在于新技術(shù)和新應(yīng)用所帶來的劃時代的巨變，給信息系統(tǒng)的安全帶來了顛覆式的變化。而在下一代防火墻和下一代IPS之后，也有很多信息安全領(lǐng)域人士開始討論更深入的話題——下一代安全。

顯然，下一代安全包含了更多的內(nèi)涵。放眼望去，處在這個IT時代變革的交叉點上，IT的下一代必然帶來安全的下一代。但是，當(dāng)下一代IT已經(jīng)端倪初現(xiàn)，神秘的面紗正在慢慢揭開之時，究竟如何構(gòu)建與下一代IT相適應(yīng)的下一代安全，似乎還沒有人能夠具有完整清晰的思路。

云計算就是下一代IT的典型一例。云計算的新特性讓傳統(tǒng)的信息安全防護體系不再能夠提供足夠的防護。當(dāng)然，云安全也出現(xiàn)在今年Gartner提及的十大信息安全技術(shù)中，云端訪問安全代理服務(wù)（Cloud Access Security Brokers）即部署在企業(yè)內(nèi)部或云端的安全策略執(zhí)行點，位于云端服務(wù)消費者與云端服務(wù)供應(yīng)商之間，負(fù)責(zé)在云端資源被訪問時套用企業(yè)安全策略。在許多應(yīng)用實例中，用戶初期所采用的云端服務(wù)都處于IT掌控之外，而云端訪問安全代理服務(wù)則能讓企業(yè)在用戶訪問云端資源時加以掌握和管控。

MTM Technologies公司戰(zhàn)略和創(chuàng)新總監(jiān)Bill Kleyman則認(rèn)為，由軟件定義的下一代安全將重新定義云計算。他指出，為解決云計算的安全問題，下一代安全將呈現(xiàn)三個方面的特征：

一是邏輯安全的抽象。下一代安全將具備足夠的技術(shù)能力與各個層面進行交互，這意味著可以將安全部署為直接與底層物理組件進行交互的虛擬服務(wù)。在任何情況下，數(shù)據(jù)中心的安全性都將圍繞著虛擬化和云展開。endprint

二是可擴展的安全服務(wù)。下一代安全使用各項服務(wù)來控制和安全相關(guān)的基礎(chǔ)設(shè)施數(shù)據(jù)。應(yīng)用程序防火墻、網(wǎng)絡(luò)流量監(jiān)控設(shè)備將提供新的安全級別。設(shè)想一下這樣的場景，在關(guān)鍵應(yīng)用程序的后臺存在一個強大的安全引擎，而這個引擎可以試探性地學(xué)會如何運行應(yīng)用程序并停止任何異常流量。

三是數(shù)據(jù)安全與控制。它不只保護用戶的信息，在大數(shù)據(jù)時代，下一代安全解決方案還將幫助用戶控制流量。管理者可以設(shè)置控件來管理用戶和用戶組，這將創(chuàng)建一個動態(tài)的環(huán)境，當(dāng)用戶使用云計算時他們可以在那里讓數(shù)據(jù)管理和用戶管理更加智能化。更重要的是，因為數(shù)據(jù)和虛擬機是流動的，它們能夠快速地遍歷數(shù)據(jù)中心中的節(jié)點，所以下一代安全應(yīng)該精確地知道如何有效控制這些數(shù)據(jù)，并且在這些數(shù)據(jù)穿過各個節(jié)點時為其提供足夠的防護。這將更加有效地幫助用戶實現(xiàn)數(shù)據(jù)的安全性、完整性和可控性。

沙箱不是萬能藥

如果說云計算等下一代IT讓信息安全體系不得不做出改變，必須被動轉(zhuǎn)向下一代安全的話，那么沙箱（Sandbox）技術(shù)則是信息安全技術(shù)主動出擊，從而應(yīng)對更為復(fù)雜的、未知的安全威脅，特別是APT攻擊的偉大嘗試。

Gartner認(rèn)為，全面沙箱分析與入侵指標(biāo)（IOC）確認(rèn)將成為今年十大信息安全技術(shù)之一。這是因為，某些攻擊將越過傳統(tǒng)的封鎖與安全防護機制，在這種情況下，最重要的就是要盡可能在最短時間內(nèi)迅速察覺入侵，將黑客可能造成的損害或泄露的敏感信息降至最低。

所謂沙箱，是一種動態(tài)模擬分析技術(shù)，也就是利用虛擬化環(huán)境，來偵測惡意程序的行為。通過沙箱，用戶可發(fā)現(xiàn)電子郵件附件、共享文件或網(wǎng)站中的異常，把任何可疑的東西標(biāo)注出來；在虛擬環(huán)境中測試嫌疑程序，看它們是不是真的有害，如果有害，這些威脅就被隔離、禁用。

實際上，沙箱的實現(xiàn)并不困難，但真正的核心是如何對沙箱內(nèi)的行為進行分析，判斷哪些是惡意程序，并辨識出新的攻擊手法。很多防毒軟件都號稱有沙箱，但多數(shù)偏向針對執(zhí)行層的過濾，但現(xiàn)在很多APT攻擊是通過文件層進行的，這就需要更專業(yè)的模擬環(huán)境去進行檢測。

許多信息安全平臺都具備在虛擬機（VM）當(dāng)中運行（即“引爆”）執(zhí)行文件和內(nèi)容的沙箱功能，并且可以通過虛擬機觀察這些惡意文件和內(nèi)容的一些入侵指標(biāo)。目前，這一功能已迅速融入到一些較強大的平臺當(dāng)中，不再屬于獨立的產(chǎn)品。一旦偵測到可疑的攻擊，必須再通過其他不同層面的入侵指標(biāo)進一步確認(rèn)，比如需要比較網(wǎng)絡(luò)威脅偵測系統(tǒng)在沙箱環(huán)境中所看到的，以及實際端點裝置所觀察到的狀況（包括活動進程、操作行為以及注冊表項等），再加以判斷和區(qū)分。

談到沙箱技術(shù)，就不得不提及美國另一個迅速崛起的新興安全廠商——FireEye。FireEye提出的APT攻擊防御解決方案創(chuàng)造性地為自己開辟了一片新的市場，也讓自己推向了信息安全解決方案的最前沿，倍受各界關(guān)注。去年9月，F(xiàn)ireEye上市首日股價即上漲80%，可見市場對FireEye的前景大為看好。

FireEye備受關(guān)注，很大程度上源于其反惡意軟件的沙箱技術(shù)。FireEye的沙箱有很多特有機制，比如內(nèi)建啟發(fā)式（Heuristics）、動態(tài)分析（Dynamic Analysis）機制，它們可以用來檢測網(wǎng)頁、電子郵件夾帶的各種文件格式，甚至包括Mp3、RealPlayer、圖像等類型的文件。FireEye的沙箱技術(shù)被很多知名安全廠商所效仿，這些廠商承認(rèn)他們有意將自己的一些技術(shù)變得“更像FireEye”，這其中就包括邁克菲和Palo Alto Networks。如Palo Alto Networks推出的基于云的反惡意軟件技術(shù)就被稱為WildFire。

當(dāng)然，沙箱技術(shù)也并非完美。沙箱分析非常耗費資源，如果用戶都將文件放到云端分析并在沙箱中虛擬執(zhí)行的話，有可能會在超過1個小時后才能獲得分析結(jié)果，這就無法做到及時攔截，更應(yīng)付不了在幾分鐘內(nèi)即可快速變形的惡意攻擊。美國圣芭芭拉加州大學(xué)計算機科學(xué)系副教授兼Lastline公司首席科學(xué)家Christopher Kruegel認(rèn)為，雖然沙箱（尤其在電子郵件領(lǐng)域）已經(jīng)成為發(fā)現(xiàn)組織破壞與數(shù)據(jù)竊取等零日攻擊的絕佳利器，但是它的卓越表現(xiàn)也引發(fā)了攻擊者的注意，并開始想辦法繞過沙箱。

Lastline公司介紹了幾種關(guān)于沙箱的逃避技術(shù)，值得警惕。一種技術(shù)被稱為“停頓代碼”。該技術(shù)能夠拖延惡意代碼的發(fā)作過程、靜待沙箱檢測流程結(jié)束之后再繼續(xù)執(zhí)行。在此期間，惡意軟件并不是簡單的中止運行，而是繼續(xù)執(zhí)行某些并無意義的計算活動，這使其從直觀角度來看與合法進程高度一致?！盀榱吮O(jiān)測惡意軟件，沙箱通常會啟用hook技術(shù)?！盋hristopher Kruegel指出，此類技術(shù)能夠直接深入程序代碼內(nèi)部來獲取函數(shù)及庫調(diào)用過程中產(chǎn)生的通告信息。更深入的問題在于，程序代碼必須出現(xiàn)變動才能被正確監(jiān)控，但是惡意軟件也同樣能夠檢測到這種變動。Christopher Kruegel認(rèn)為，對系統(tǒng)調(diào)用指令進行監(jiān)控的最大局限在于沙箱無法揪出惡意軟件在兩次調(diào)用活動之間所執(zhí)行的指令，這一顯著的盲點很可能被攻擊者所利用。

另外一種逃避技術(shù)是通過環(huán)境檢查來實現(xiàn)的。Lastline公司指出，攻擊者可以在惡意代碼中添加與操作系統(tǒng)相關(guān)的新型零日環(huán)境檢查，并通過操縱返回值的方式逃避沙箱檢測，供應(yīng)商只能通過安裝補丁來堵上這類缺口。

正如Christopher Kruegel所說，有些APT攻擊非常高級和復(fù)雜，往往具備環(huán)境感知能力，一旦其發(fā)現(xiàn)自己處在常見的虛擬主機環(huán)境時，便會立即停止活動，從而對沙箱產(chǎn)生“抵抗力”。鑒于此，F(xiàn)ireEye的威脅防御平臺（Threat Prevention Platform）是以自主研發(fā)的虛擬主機環(huán)境來運行沙箱，采取非開放原始碼的特殊虛擬主機技術(shù)，不僅讓黑客無法掌握回避的方法，同時搭配專屬硬件設(shè)計，可以由微調(diào)核心程序來優(yōu)化執(zhí)行效能，更可同時運行模擬多種客戶端環(huán)境。endprint

此外，F(xiàn)ireEye還進一步擴展其偵測方案，推出實時、不間斷的防護平臺Oculus。除了以既有的威脅防御平臺為基礎(chǔ)，該平臺還包含了動態(tài)威脅情報（Dynamic Threat Intelligence，DTI）機制，為FireEye在全球部署搜集威脅情報。它運用海量數(shù)據(jù)分析技術(shù)，可以快速匯集并分析大量攻擊資料，以提升最新攻擊模式的辨識能力，協(xié)助用戶發(fā)現(xiàn)潛在的實際受害者，并提供相關(guān)預(yù)測信息。

當(dāng)然，信息安全領(lǐng)域圍繞沙箱技術(shù)的努力與創(chuàng)新也再次印證了兩條定律：一是安全只是相對的，永遠(yuǎn)沒有絕對的安全；二是只有各種安全技術(shù)聯(lián)合起來，協(xié)同作戰(zhàn)才能獲得更為有效的防御效果。

協(xié)同，還是協(xié)同

每年的RSA大會是全球信息安全趨勢的風(fēng)向標(biāo)之一，相信很多人還對今年RSA大會的主題“運用集體智慧”印象深刻。其實，協(xié)同作戰(zhàn)一直是信息安全領(lǐng)域極力倡導(dǎo)的，這是因為面對越來越復(fù)雜的環(huán)境和強大的敵人時，協(xié)同作戰(zhàn)總是比單兵作戰(zhàn)效能大增。

無論是APT攻擊還是移動、云計算中存在的更加泛化的安全威脅，都讓企業(yè)的信息安全環(huán)境變得日益復(fù)雜。另外，物聯(lián)網(wǎng)的逐漸崛起，更加速了安全威脅泛化的趨勢。Gartner研究副總裁Earl Perkins就表示，到2020年，物聯(lián)網(wǎng)的安全需求將要求全球超過一半的企業(yè) IT 安全計劃重新制定和擴大。

物聯(lián)網(wǎng)的安全網(wǎng)關(guān)、代理與防火墻成為今年備受關(guān)注的信息安全技術(shù)，是因為企業(yè)都有一些設(shè)備制造商所提供的運營技術(shù)（OT），尤其是一些資產(chǎn)密集型產(chǎn)業(yè)，如制造業(yè)、公共事業(yè)等，而這些運營技術(shù)逐漸從專屬通信與網(wǎng)絡(luò)轉(zhuǎn)移至標(biāo)準(zhǔn)化網(wǎng)際網(wǎng)絡(luò)通信協(xié)議（IP）技術(shù)。越來越多的企業(yè)資產(chǎn)都是利用以商用軟件產(chǎn)品為基礎(chǔ)的OT系統(tǒng)進行自動化，其結(jié)果是這些嵌入式軟件資產(chǎn)必須受到妥善的管理、保護及配發(fā)才能用于企業(yè)級用途。OT涵蓋了數(shù)十億個彼此相連的感應(yīng)器、設(shè)備與系統(tǒng)，許多無人為介入就能彼此通信，因此必須受到保護與防護。

Earl Perkins認(rèn)為，面對物聯(lián)網(wǎng)所帶來的安全威脅，用戶可以通過自下而上的方式，建立臨時的安全規(guī)劃和策略。同時，面對各類不斷涌現(xiàn)的安全規(guī)劃和解決方案，企業(yè)應(yīng)該從細(xì)微著手，開發(fā)基于特定業(yè)務(wù)用例的物聯(lián)網(wǎng)安全項目。

物聯(lián)網(wǎng)是對互聯(lián)網(wǎng)的延伸，它也將來自互聯(lián)網(wǎng)的威脅進行了延伸。面對包括物聯(lián)網(wǎng)在內(nèi)的各類更為復(fù)雜的安全挑戰(zhàn)，協(xié)同是永恒的話題。通常，為了給客戶帶來更為有效的安全服務(wù)，廠商常常通過收購或者戰(zhàn)略合作，來進行優(yōu)勢互補，交付完整的安全防護解決方案。在協(xié)同作戰(zhàn)方面，美國或者說國外信息安全廠商的愿望也似乎更為強烈。通過對安全廠商并購的動作，我們也可以看出當(dāng)前信息安全發(fā)展的一些趨勢。

鏈接 美國電子政府的信息安全策略

美國的“電子政府戰(zhàn)略”對引領(lǐng)全美電子政府健康、快速發(fā)展起到了重要而又積極的作用。至今為止，美國的“電子政府戰(zhàn)略”仍然作為其電子政府發(fā)展的基本綱領(lǐng)，繼續(xù)驅(qū)動著美國電子政府前進的車輪。但作為全球最先進的電子政務(wù)國家，其電子政務(wù)信息安全問題一直是其電子政務(wù)戰(zhàn)略的重點。分析研究美國的電子政府信息安全策略，可以對我國的電子政務(wù)信息安全發(fā)展有很好的借鑒和啟示。美國電子政府信息安全的防范策略包括：

1. 傾力扶持國有信息安全產(chǎn)業(yè)的發(fā)展

自主的信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化是保證電子政府信息安全的根本。信息安全技術(shù)、產(chǎn)品受制于他國是對國家安全利益的極大威脅。美國對國有信息安全產(chǎn)業(yè)的發(fā)展予以充分的政策和財政支持。當(dāng)前，美國正在以下3種技術(shù)上求得突破：一是從技術(shù)上全面地不間斷地進行升級，逐步改善信息安全狀況、帶有普遍性的關(guān)鍵技術(shù)。如密碼技術(shù)、鑒別技術(shù)、病毒防御技術(shù)、入侵檢測技術(shù)等；二是突破技術(shù)難關(guān)，創(chuàng)新新技術(shù)，發(fā)揮技術(shù)的杠桿作用。如網(wǎng)絡(luò)偵察技術(shù)、信息監(jiān)測技術(shù)、風(fēng)險管理技術(shù)、測試評估技術(shù)和TEMPEST技術(shù)等；三是形成“撒手锏”的戰(zhàn)略性技術(shù)系統(tǒng)。如操作系統(tǒng)、密碼專用芯片和安全處理器等。還要狠抓技術(shù)及系統(tǒng)的綜合集成，以確保電子政府信息系統(tǒng)的安全可靠。

2. 進一步健全法律制度，嚴(yán)格執(zhí)法

法律是保障電子政府信息安全的最有力手段，美國已經(jīng)在政府信息安全立法方面積累了成功經(jīng)驗，如美國的《情報自由法》和《陽光下的政府法》等。預(yù)防和打擊計算機犯罪法規(guī)、數(shù)字簽名認(rèn)證法、電子憑證（票據(jù)）法、網(wǎng)上知識產(chǎn)權(quán)法等，電子政府信息安全管理走上法制化軌道。

3. 建立嚴(yán)格的安全預(yù)警機制

OMB A-130附錄3規(guī)定每個聯(lián)邦機構(gòu)都應(yīng)當(dāng)制定和實施信息安全計劃，以確保所有聯(lián)邦機構(gòu)的信息收集、處理、傳輸、存儲或分發(fā)的充分安全。安全計劃應(yīng)當(dāng)根據(jù)聯(lián)邦機構(gòu)自身的職能及業(yè)務(wù)需求制定，遵循由聯(lián)邦總統(tǒng)管理和預(yù)算辦公室（ OMB） 、商務(wù)部、總務(wù)管理局（GSA）和人事管理辦公室（OPM）發(fā)行的政府范圍內(nèi)的政策、標(biāo)準(zhǔn)和規(guī)程，將其內(nèi)容細(xì)化，設(shè)定安全目標(biāo)。美國政府要求各聯(lián)邦機構(gòu)對所制定的安全計劃，至少每隔三年要執(zhí)行一次獨立的安全檢查或?qū)徲嫛τ谏婕案唢L(fēng)險的系統(tǒng)和主要應(yīng)用程序，檢查和審計應(yīng)當(dāng)縮短周期。對各種應(yīng)急計劃還要經(jīng)常進行演練和測試，以保證它的有效性和可行性，使各類人員熟悉程序，以及各自所履行的職責(zé)。檢查通常從不同的側(cè)面，采取不同的手段進行，如過程檢查和技術(shù)測試等。檢查的內(nèi)容是核實已被分配安全職責(zé)履行情況，該機構(gòu)的安全計劃是否是可行的、適當(dāng)?shù)?，以及管理人員的授權(quán)處理情況等。按照2002年通過的“聯(lián)邦信息安全管理法案”規(guī)定，要求聯(lián)邦機構(gòu)每年對安全計劃和信息系統(tǒng)進行檢查，寫出獨立的綜合檢查員評估報告（IG Report），并報告給OMB，OMB再以年度報告的形式報告給國會，同時要求各聯(lián)邦機構(gòu)信息安全計劃要經(jīng)過OMB的年度審查。

4. 政府各部門密切協(xié)作

美國政府在信息安全計劃中，既有各自明確的分工和職責(zé)，又有相互的合作和幫助。如在制定標(biāo)準(zhǔn)和指南方面，NIST（美國國家標(biāo)準(zhǔn)與技術(shù)研究院）和OMB與NSA（美國國家安全局）合作協(xié)調(diào)，并以適當(dāng)?shù)姆绞綆椭鶱SA ，NIST制定的標(biāo)準(zhǔn)和指南，以及技術(shù)建議，“最大程度地、切實可行地確保非國家安全系統(tǒng)的標(biāo)準(zhǔn)和指南成為制定國家安全系統(tǒng)標(biāo)準(zhǔn)和指南的補充”；在技術(shù)風(fēng)險評估和測試方面，NSA也對NIST 提供技術(shù)建議和幫助，包括安全產(chǎn)品，對發(fā)現(xiàn)的技術(shù)漏洞和補救方法及時通報給NIST 。美國政府在保護關(guān)鍵信息基礎(chǔ)設(shè)施和資源方面，則是動員全社會的力量，在本土安全部帶領(lǐng)下，聯(lián)合私營部門、盟國、州、部落、地方政府、學(xué)術(shù)團體和一般公眾的力量一起合作，美國計算機應(yīng)急事件預(yù)備隊（The United States Computer Emergency Readi-ness Team，US-CERT）就是這樣的一個產(chǎn)物。US-CERT成立的目的就是為了保護國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施，US-CERT與主要的軟件制造商、卡內(nèi)基梅隆（Carnegie Mellon）計算機事故應(yīng)急響應(yīng)組以及法律執(zhí)行和情報團體保持密切的關(guān)系，與他們一道工作，分析惡意代碼和各種攻擊特征，并由它負(fù)責(zé)協(xié)調(diào)全國的網(wǎng)絡(luò)攻擊的防御和響應(yīng)，從技術(shù)上為聯(lián)邦機構(gòu)、企業(yè)單位和個人提供援助、咨詢，及時發(fā)布各種網(wǎng)絡(luò)安全威脅信息和處理方法。另外，我們從NIST出版的SP800系列出版物中，也可以看到NIST信息技術(shù)實驗室與產(chǎn)業(yè)界、政府部門、學(xué)術(shù)研究組織的共同合作的各種活動。endprint