美國國家網(wǎng)絡(luò)安全促進(jìn)委員會報告《加強(qiáng)國家網(wǎng)絡(luò)安全
——促進(jìn)數(shù)字經(jīng)濟(jì)的安全與發(fā)展》（編譯）

2016年12月1日，奧巴馬總統(tǒng)直屬的美國國家網(wǎng)絡(luò)安全促進(jìn)委員會（以下簡稱“委員會”）發(fā)布了《加強(qiáng)國家網(wǎng)絡(luò)安全——促進(jìn)數(shù)字經(jīng)濟(jì)的安全與發(fā)展》報告，提出關(guān)于網(wǎng)絡(luò)安全建設(shè)的建議，希望下一屆政府繼續(xù)將網(wǎng)絡(luò)安全置于美國國家安全的優(yōu)先位置。委員會表示，考慮到網(wǎng)絡(luò)安全問題的緊迫性，大部分建議可以而且應(yīng)該在短期內(nèi)開始，下一任新政府應(yīng)在執(zhí)政頭100天即啟動計劃。

以下為該報告的簡要編譯。

一、委員會成員

委員會主席托馬斯?多尼隆，美邁斯律師事務(wù)所副主席，總統(tǒng)奧巴馬的前國家安全顧問；

委員會副主席彭明盛，IBM公司前董事長和CEO；

基思?亞歷山大，IronNet Cybersecurity創(chuàng)始人兼CEO，前國家安全局局長，美國網(wǎng)絡(luò)空間司令部前司令；

安妮?安頓，美國佐治亞理工學(xué)院互動計算學(xué)院院長；

彭安杰，萬事達(dá)公司總裁兼CEO；

史蒂文?查彬斯基，美國偉凱律師事務(wù)所全球數(shù)據(jù)、隱私和網(wǎng)絡(luò)安全主席；

派崔克?蓋勒，匹茲堡大學(xué)校長，標(biāo)準(zhǔn)與技術(shù)研究所前所長；

彼得?李，微軟研究院副總裁；

林赫伯，斯坦福大學(xué)國家安全與合作中心網(wǎng)絡(luò)政策與安全高級研究學(xué)者；

希瑟?穆倫，美國金融危機(jī)調(diào)查委員會前專員，內(nèi)華達(dá)癌癥研究所創(chuàng)始人，美林證券全球消費品研究前總經(jīng)理；

蘇利文，Uber公司首席安全官；

馬吉?維爾德羅特，Grand Reserve酒店主席兼CEO，邊際通訊公司前執(zhí)行主席。

另：基爾斯滕·托德，加強(qiáng)國家網(wǎng)絡(luò)安全委員會執(zhí)行委員

二、報告形成過程

2016年2月9日，奧巴馬公布13718行政命令《網(wǎng)絡(luò)安全國家行動計劃》（以下簡稱“行動計劃”），總結(jié)其執(zhí)政7年的網(wǎng)絡(luò)治理經(jīng)驗，從提升聯(lián)邦政府網(wǎng)絡(luò)安全能力、加大網(wǎng)絡(luò)安全資金投入、增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施安全性和恢復(fù)能力、提升網(wǎng)絡(luò)事件響應(yīng)能力以及保護(hù)個人隱私等方面提出建議。本報告是《行動計劃》的一部分。

因為認(rèn)識到互聯(lián)技術(shù)給數(shù)字經(jīng)濟(jì)帶來的非凡利益，同時注意到隨之而來的網(wǎng)絡(luò)環(huán)境安全威脅構(gòu)成的挑戰(zhàn)，奧巴馬總統(tǒng)成立了加強(qiáng)國家網(wǎng)絡(luò)安全委員會。指示其評估國家的網(wǎng)絡(luò)安全狀況，制定切實可行的建議，確保數(shù)字經(jīng)濟(jì)安全?？偨y(tǒng)要求加強(qiáng)網(wǎng)絡(luò)安全的同時要保護(hù)隱私，確保公共安全和經(jīng)濟(jì)、國家安全，并促進(jìn)發(fā)現(xiàn)和發(fā)展新的技術(shù)解決方案。

委員會中4人由參議院兩黨領(lǐng)導(dǎo)人和眾議院代表推薦，其他人由總統(tǒng)選定。部分聯(lián)邦機(jī)構(gòu)提供主題相關(guān)專家和其他工作人員協(xié)助委員會收集和分析信息。這些機(jī)構(gòu)包括商務(wù)部的國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST），擔(dān)任該委員會的秘書處；美國國土安全部（DHS）；國防部（DoD）；司法部（DOJ）；總務(wù)管理局（GSA）和財政部。所有工作人員在委員會指示下工作。

根據(jù)行政命令，委員會確定了10個網(wǎng)絡(luò)安全主題：

?聯(lián)邦治理

?關(guān)鍵基礎(chǔ)設(shè)施

?網(wǎng)絡(luò)安全研發(fā)

?網(wǎng)絡(luò)安全的勞動力

?身份管理和認(rèn)證

?物聯(lián)網(wǎng)

?宣傳和教育

?州和地方政府的網(wǎng)絡(luò)安全

?預(yù)防措施

?國際問題

委員會主要做了三方面工作：

1.舉辦了6次全國公開聽證會，收集主題相關(guān)信息。

2.審查聯(lián)邦行政和立法部門以及私營部門過去編制的報告，從全國各地的網(wǎng)絡(luò)安全狀況綜合分析到具體領(lǐng)域的高度針對性分析。

3.發(fā)布公開征集意見，邀請廣大市民共享事實和意見。

委員會還考慮了更廣泛的影響這些主題的趨勢和問題，特別是信息技術(shù)與物理系統(tǒng)的融合，風(fēng)險管理，隱私和信任，全球和國家領(lǐng)域的影響和控制，自由市場的有效性比較監(jiān)管制度以及解決方案，法律和責(zé)任的考慮，以及開發(fā)有意義的網(wǎng)絡(luò)安全衡量標(biāo)準(zhǔn)的重要性和困難性，基于網(wǎng)絡(luò)安全方法的自動化技術(shù)，和消費者責(zé)任。

三、主要內(nèi)容

（一）確認(rèn)維護(hù)數(shù)字經(jīng)濟(jì)安全與發(fā)展的基本原則

1.互聯(lián)網(wǎng)與現(xiàn)實世界的日益融合、相互聯(lián)系、相互依存和全球化性質(zhì)，意昧著網(wǎng)絡(luò)安全必須在國際的、國家的、組織的以及個人的所有環(huán)境中更好地管理。

2.作為全球創(chuàng)新領(lǐng)袖，美國亦必須是網(wǎng)絡(luò)安全規(guī)則制定的旗手，這需要政府持續(xù)加大研究力度，加強(qiáng)國際合作。

3.政府是國家國防和安全的最終責(zé)任者，特別是在快速變化的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)上負(fù)有重大運營責(zé)任。政府需要理清各部門的相關(guān)職責(zé)，包括更好地界定政府（包括個體機(jī)構(gòu)）的角色和職責(zé)，解決缺失或脆弱的能力，以及確認(rèn)和創(chuàng)造執(zhí)行這些活動所需的能力。

4.網(wǎng)絡(luò)安全事件發(fā)生前后的公私合作對于創(chuàng)建和維護(hù)一個可防御的、有彈性的網(wǎng)絡(luò)環(huán)境至關(guān)重要。

5.每個企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理與治理戰(zhàn)略的相關(guān)責(zé)任、授權(quán)、能力以及問責(zé)需清晰且一致。

6.持續(xù)提高公眾的網(wǎng)絡(luò)安全意識與能力，并將其塑造為國家網(wǎng)絡(luò)安全保障的主要參與者。

7.人類的行為和技術(shù)是互相交織的，是影響網(wǎng)絡(luò)安全的重要因素，因此，網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品應(yīng)使安全行為易行，危險動作難做。

8.在構(gòu)思網(wǎng)絡(luò)相關(guān)技術(shù)和政策的最初就要考慮安全、隱私和互信。提高透明度和問責(zé)制將改善隱私和信任，維護(hù)公民自由。

9.中小企業(yè)是網(wǎng)絡(luò)安全，特別是供應(yīng)鏈安全中，必不可少的利益攸關(guān)方，因此，需特別考慮其網(wǎng)絡(luò)安全訴求。

10.堅持市場激勵為主，政策規(guī)制為輔，綜合運用各項激勵政策。

（二）確定實現(xiàn)網(wǎng)絡(luò)安全和保障數(shù)字經(jīng)濟(jì)的主要挑戰(zhàn)

1.在巨大市場壓力下，科技公司急于快速創(chuàng)新和推向市場，往往以犧牲網(wǎng)絡(luò)安全為代價；

2.組織機(jī)構(gòu)及其員工需要靈活和移動的工作環(huán)境，但移動設(shè)備的安全往往不像其他計算平臺的安全性那樣被同等重視。總之，安全邊界的傳統(tǒng)概念在很大程度上已經(jīng)過時了；

3.大部分組織和個人仍未做到優(yōu)先考慮基本的網(wǎng)絡(luò)安全行動，仍漠視基本的防護(hù)措施；

4.網(wǎng)絡(luò)空間攻防雙方均可受益于技術(shù)創(chuàng)新；

5.網(wǎng)絡(luò)空間易攻難守，攻擊一個系統(tǒng)的成本僅為其防衛(wèi)的一小部分，攻擊者更具優(yōu)勢；

6.技術(shù)的復(fù)雜化催生了網(wǎng)絡(luò)安全漏洞的增長，成倍擴(kuò)大了網(wǎng)絡(luò)風(fēng)險的機(jī)會；

7.在萬物互聯(lián)時代，供應(yīng)鏈風(fēng)險無處不在；

8.政府在運作上對網(wǎng)絡(luò)空間的依賴導(dǎo)致其面臨更大的網(wǎng)絡(luò)安全挑戰(zhàn)；

9.數(shù)據(jù)的泄露、濫用和被操縱極大地影響了網(wǎng)絡(luò)空間的互信，實施信任措施成為當(dāng)務(wù)之急。

（三）確定6項必要事項以及16項建議和53項行動項目

1.保護(hù)、防御并保護(hù)當(dāng)今信息基礎(chǔ)設(shè)施和數(shù)字網(wǎng)絡(luò)。

私營部門和政府應(yīng)該在提高數(shù)字網(wǎng)絡(luò)安全的路線圖上進(jìn)行合作，特別是構(gòu)建強(qiáng)健的網(wǎng)絡(luò)，抵抗對用戶和國家的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的拒絕服務(wù)攻擊、電子詐騙和其他攻擊。

隨著互聯(lián)網(wǎng)和現(xiàn)實世界的日益融合，聯(lián)邦政府應(yīng)與私營部門密切合作，建立保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的新模式。

下一屆政府應(yīng)啟動一個全國性的公私合作倡議，增加使用強(qiáng)認(rèn)證提高身份管理，借此實現(xiàn)較大范圍的安全和改善隱私。

下一屆政府應(yīng)積極維持和增加使用“關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架”，以此為基礎(chǔ)降低關(guān)鍵基礎(chǔ)設(shè)施內(nèi)外的風(fēng)險。

下一屆政府應(yīng)該制定具體的扶持力度，加強(qiáng)中小企業(yè)的網(wǎng)絡(luò)安全。

2.創(chuàng)新并加速安全、數(shù)字網(wǎng)絡(luò)發(fā)展和數(shù)字經(jīng)濟(jì)投資。

聯(lián)邦政府和私營部門的合作伙伴必須攜手合作，迅速而有針對性地提高物聯(lián)網(wǎng)的安全。

聯(lián)邦政府應(yīng)該將開發(fā)經(jīng)濟(jì)實惠、安全可靠、有韌性的系統(tǒng)列為網(wǎng)絡(luò)安全研發(fā)的當(dāng)務(wù)之急。

3.幫助消費者在數(shù)字時代獲得更多實惠。

信息技術(shù)和通信部門的企業(yè)領(lǐng)導(dǎo)需要與消費者組織和聯(lián)邦貿(mào)易委員會合作為消費者提供更好的信息，便于他們在采購和使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)時能夠做出明智的決定。

聯(lián)邦政府應(yīng)該建立、加強(qiáng)和擴(kuò)大對消費者的研究項目投資，更深入地了解消費者行為習(xí)慣及其與物聯(lián)網(wǎng)等連接技術(shù)的相互作用，提高網(wǎng)絡(luò)安全以及消費產(chǎn)品和數(shù)字技術(shù)的可用性。

4.加強(qiáng)網(wǎng)絡(luò)安全勞動力建設(shè)。

國家應(yīng)積極通過能力建設(shè)解決勞動力缺口，同時投資那些將重新分配未來所需勞動力的創(chuàng)新項目。

5.更好地讓政府在數(shù)字時代安全有效行使職責(zé)。

聯(lián)邦政府應(yīng)該利用其能力鞏固基本的網(wǎng)絡(luò)運營，分享部分信息技術(shù)基礎(chǔ)設(shè)施。

總統(tǒng)和國會應(yīng)促進(jìn)網(wǎng)絡(luò)技術(shù)的采用，加快技術(shù)在聯(lián)邦部門更新的速度。

將聯(lián)邦機(jī)構(gòu)的網(wǎng)絡(luò)安全需求管理方法轉(zhuǎn)變?yōu)槠髽I(yè)化風(fēng)險管理模式。

聯(lián)邦政府應(yīng)該使網(wǎng)絡(luò)安全責(zé)任更好地配合總統(tǒng)行政辦公室的結(jié)構(gòu)和職位。

各級政府必須澄清各部門和機(jī)構(gòu)的網(wǎng)絡(luò)安全任務(wù)責(zé)任，以保護(hù)、防御、應(yīng)對網(wǎng)絡(luò)事件并及時恢復(fù)。

6.確保開放、公平、競爭、安全的全球數(shù)字經(jīng)濟(jì)。

政府應(yīng)鼓勵和積極配合國際社會創(chuàng)建和協(xié)調(diào)關(guān)于網(wǎng)絡(luò)安全法和全球行為規(guī)范的網(wǎng)絡(luò)安全政策、措施和共同的國際協(xié)議。

(整理：陳帥 責(zé)任編輯：李曉暉)