美國(guó)國(guó)家網(wǎng)絡(luò)安全促進(jìn)委員會(huì)報(bào)告《加強(qiáng)國(guó)家網(wǎng)絡(luò)安全
——促進(jìn)數(shù)字經(jīng)濟(jì)的安全與發(fā)展》（編譯）

2016年12月1日，奧巴馬總統(tǒng)直屬的美國(guó)國(guó)家網(wǎng)絡(luò)安全促進(jìn)委員會(huì)（以下簡(jiǎn)稱“委員會(huì)”）發(fā)布了《加強(qiáng)國(guó)家網(wǎng)絡(luò)安全——促進(jìn)數(shù)字經(jīng)濟(jì)的安全與發(fā)展》報(bào)告，提出關(guān)于網(wǎng)絡(luò)安全建設(shè)的建議，希望下一屆政府繼續(xù)將網(wǎng)絡(luò)安全置于美國(guó)國(guó)家安全的優(yōu)先位置。委員會(huì)表示，考慮到網(wǎng)絡(luò)安全問(wèn)題的緊迫性，大部分建議可以而且應(yīng)該在短期內(nèi)開(kāi)始，下一任新政府應(yīng)在執(zhí)政頭100天即啟動(dòng)計(jì)劃。

以下為該報(bào)告的簡(jiǎn)要編譯。

一、委員會(huì)成員

委員會(huì)主席托馬斯?多尼隆，美邁斯律師事務(wù)所副主席，總統(tǒng)奧巴馬的前國(guó)家安全顧問(wèn)；

委員會(huì)副主席彭明盛，IBM公司前董事長(zhǎng)和CEO；

基思?亞歷山大，IronNet Cybersecurity創(chuàng)始人兼CEO，前國(guó)家安全局局長(zhǎng)，美國(guó)網(wǎng)絡(luò)空間司令部前司令；

安妮?安頓，美國(guó)佐治亞理工學(xué)院互動(dòng)計(jì)算學(xué)院院長(zhǎng)；

彭安杰，萬(wàn)事達(dá)公司總裁兼CEO；

史蒂文?查彬斯基，美國(guó)偉凱律師事務(wù)所全球數(shù)據(jù)、隱私和網(wǎng)絡(luò)安全主席；

派崔克?蓋勒，匹茲堡大學(xué)校長(zhǎng)，標(biāo)準(zhǔn)與技術(shù)研究所前所長(zhǎng)；

彼得?李，微軟研究院副總裁；

林赫伯，斯坦福大學(xué)國(guó)家安全與合作中心網(wǎng)絡(luò)政策與安全高級(jí)研究學(xué)者；

希瑟?穆倫，美國(guó)金融危機(jī)調(diào)查委員會(huì)前專員，內(nèi)華達(dá)癌癥研究所創(chuàng)始人，美林證券全球消費(fèi)品研究前總經(jīng)理；

蘇利文，Uber公司首席安全官；

馬吉?維爾德羅特，Grand Reserve酒店主席兼CEO，邊際通訊公司前執(zhí)行主席。

另：基爾斯滕·托德，加強(qiáng)國(guó)家網(wǎng)絡(luò)安全委員會(huì)執(zhí)行委員

二、報(bào)告形成過(guò)程

2016年2月9日，奧巴馬公布13718行政命令《網(wǎng)絡(luò)安全國(guó)家行動(dòng)計(jì)劃》（以下簡(jiǎn)稱“行動(dòng)計(jì)劃”），總結(jié)其執(zhí)政7年的網(wǎng)絡(luò)治理經(jīng)驗(yàn)，從提升聯(lián)邦政府網(wǎng)絡(luò)安全能力、加大網(wǎng)絡(luò)安全資金投入、增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施安全性和恢復(fù)能力、提升網(wǎng)絡(luò)事件響應(yīng)能力以及保護(hù)個(gè)人隱私等方面提出建議。本報(bào)告是《行動(dòng)計(jì)劃》的一部分。

因?yàn)檎J(rèn)識(shí)到互聯(lián)技術(shù)給數(shù)字經(jīng)濟(jì)帶來(lái)的非凡利益，同時(shí)注意到隨之而來(lái)的網(wǎng)絡(luò)環(huán)境安全威脅構(gòu)成的挑戰(zhàn)，奧巴馬總統(tǒng)成立了加強(qiáng)國(guó)家網(wǎng)絡(luò)安全委員會(huì)。指示其評(píng)估國(guó)家的網(wǎng)絡(luò)安全狀況，制定切實(shí)可行的建議，確保數(shù)字經(jīng)濟(jì)安全。總統(tǒng)要求加強(qiáng)網(wǎng)絡(luò)安全的同時(shí)要保護(hù)隱私，確保公共安全和經(jīng)濟(jì)、國(guó)家安全，并促進(jìn)發(fā)現(xiàn)和發(fā)展新的技術(shù)解決方案。

委員會(huì)中4人由參議院兩黨領(lǐng)導(dǎo)人和眾議院代表推薦，其他人由總統(tǒng)選定。部分聯(lián)邦機(jī)構(gòu)提供主題相關(guān)專家和其他工作人員協(xié)助委員會(huì)收集和分析信息。這些機(jī)構(gòu)包括商務(wù)部的國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST），擔(dān)任該委員會(huì)的秘書處；美國(guó)國(guó)土安全部（DHS）；國(guó)防部（DoD）；司法部（DOJ）；總務(wù)管理局（GSA）和財(cái)政部。所有工作人員在委員會(huì)指示下工作。

根據(jù)行政命令，委員會(huì)確定了10個(gè)網(wǎng)絡(luò)安全主題：

?聯(lián)邦治理

?關(guān)鍵基礎(chǔ)設(shè)施

?網(wǎng)絡(luò)安全研發(fā)

?網(wǎng)絡(luò)安全的勞動(dòng)力

?身份管理和認(rèn)證

?物聯(lián)網(wǎng)

?宣傳和教育

?州和地方政府的網(wǎng)絡(luò)安全

?預(yù)防措施

?國(guó)際問(wèn)題

委員會(huì)主要做了三方面工作：

1.舉辦了6次全國(guó)公開(kāi)聽(tīng)證會(huì)，收集主題相關(guān)信息。

2.審查聯(lián)邦行政和立法部門以及私營(yíng)部門過(guò)去編制的報(bào)告，從全國(guó)各地的網(wǎng)絡(luò)安全狀況綜合分析到具體領(lǐng)域的高度針對(duì)性分析。

3.發(fā)布公開(kāi)征集意見(jiàn)，邀請(qǐng)廣大市民共享事實(shí)和意見(jiàn)。

委員會(huì)還考慮了更廣泛的影響這些主題的趨勢(shì)和問(wèn)題，特別是信息技術(shù)與物理系統(tǒng)的融合，風(fēng)險(xiǎn)管理，隱私和信任，全球和國(guó)家領(lǐng)域的影響和控制，自由市場(chǎng)的有效性比較監(jiān)管制度以及解決方案，法律和責(zé)任的考慮，以及開(kāi)發(fā)有意義的網(wǎng)絡(luò)安全衡量標(biāo)準(zhǔn)的重要性和困難性，基于網(wǎng)絡(luò)安全方法的自動(dòng)化技術(shù)，和消費(fèi)者責(zé)任。

三、主要內(nèi)容

（一）確認(rèn)維護(hù)數(shù)字經(jīng)濟(jì)安全與發(fā)展的基本原則

1.互聯(lián)網(wǎng)與現(xiàn)實(shí)世界的日益融合、相互聯(lián)系、相互依存和全球化性質(zhì)，意昧著網(wǎng)絡(luò)安全必須在國(guó)際的、國(guó)家的、組織的以及個(gè)人的所有環(huán)境中更好地管理。

2.作為全球創(chuàng)新領(lǐng)袖，美國(guó)亦必須是網(wǎng)絡(luò)安全規(guī)則制定的旗手，這需要政府持續(xù)加大研究力度，加強(qiáng)國(guó)際合作。

3.政府是國(guó)家國(guó)防和安全的最終責(zé)任者，特別是在快速變化的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)上負(fù)有重大運(yùn)營(yíng)責(zé)任。政府需要理清各部門的相關(guān)職責(zé)，包括更好地界定政府（包括個(gè)體機(jī)構(gòu)）的角色和職責(zé)，解決缺失或脆弱的能力，以及確認(rèn)和創(chuàng)造執(zhí)行這些活動(dòng)所需的能力。

4.網(wǎng)絡(luò)安全事件發(fā)生前后的公私合作對(duì)于創(chuàng)建和維護(hù)一個(gè)可防御的、有彈性的網(wǎng)絡(luò)環(huán)境至關(guān)重要。

5.每個(gè)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理與治理戰(zhàn)略的相關(guān)責(zé)任、授權(quán)、能力以及問(wèn)責(zé)需清晰且一致。

6.持續(xù)提高公眾的網(wǎng)絡(luò)安全意識(shí)與能力，并將其塑造為國(guó)家網(wǎng)絡(luò)安全保障的主要參與者。

7.人類的行為和技術(shù)是互相交織的，是影響網(wǎng)絡(luò)安全的重要因素，因此，網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品應(yīng)使安全行為易行，危險(xiǎn)動(dòng)作難做。

8.在構(gòu)思網(wǎng)絡(luò)相關(guān)技術(shù)和政策的最初就要考慮安全、隱私和互信。提高透明度和問(wèn)責(zé)制將改善隱私和信任，維護(hù)公民自由。

9.中小企業(yè)是網(wǎng)絡(luò)安全，特別是供應(yīng)鏈安全中，必不可少的利益攸關(guān)方，因此，需特別考慮其網(wǎng)絡(luò)安全訴求。

10.堅(jiān)持市場(chǎng)激勵(lì)為主，政策規(guī)制為輔，綜合運(yùn)用各項(xiàng)激勵(lì)政策。

（二）確定實(shí)現(xiàn)網(wǎng)絡(luò)安全和保障數(shù)字經(jīng)濟(jì)的主要挑戰(zhàn)

1.在巨大市場(chǎng)壓力下，科技公司急于快速創(chuàng)新和推向市場(chǎng)，往往以犧牲網(wǎng)絡(luò)安全為代價(jià)；

2.組織機(jī)構(gòu)及其員工需要靈活和移動(dòng)的工作環(huán)境，但移動(dòng)設(shè)備的安全往往不像其他計(jì)算平臺(tái)的安全性那樣被同等重視?？傊?，安全邊界的傳統(tǒng)概念在很大程度上已經(jīng)過(guò)時(shí)了；

3.大部分組織和個(gè)人仍未做到優(yōu)先考慮基本的網(wǎng)絡(luò)安全行動(dòng)，仍漠視基本的防護(hù)措施；

4.網(wǎng)絡(luò)空間攻防雙方均可受益于技術(shù)創(chuàng)新；

5.網(wǎng)絡(luò)空間易攻難守，攻擊一個(gè)系統(tǒng)的成本僅為其防衛(wèi)的一小部分，攻擊者更具優(yōu)勢(shì)；

6.技術(shù)的復(fù)雜化催生了網(wǎng)絡(luò)安全漏洞的增長(zhǎng)，成倍擴(kuò)大了網(wǎng)絡(luò)風(fēng)險(xiǎn)的機(jī)會(huì)；

7.在萬(wàn)物互聯(lián)時(shí)代，供應(yīng)鏈風(fēng)險(xiǎn)無(wú)處不在；

8.政府在運(yùn)作上對(duì)網(wǎng)絡(luò)空間的依賴導(dǎo)致其面臨更大的網(wǎng)絡(luò)安全挑戰(zhàn)；

9.數(shù)據(jù)的泄露、濫用和被操縱極大地影響了網(wǎng)絡(luò)空間的互信，實(shí)施信任措施成為當(dāng)務(wù)之急。

（三）確定6項(xiàng)必要事項(xiàng)以及16項(xiàng)建議和53項(xiàng)行動(dòng)項(xiàng)目

1.保護(hù)、防御并保護(hù)當(dāng)今信息基礎(chǔ)設(shè)施和數(shù)字網(wǎng)絡(luò)。

私營(yíng)部門和政府應(yīng)該在提高數(shù)字網(wǎng)絡(luò)安全的路線圖上進(jìn)行合作，特別是構(gòu)建強(qiáng)健的網(wǎng)絡(luò)，抵抗對(duì)用戶和國(guó)家的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的拒絕服務(wù)攻擊、電子詐騙和其他攻擊。

隨著互聯(lián)網(wǎng)和現(xiàn)實(shí)世界的日益融合，聯(lián)邦政府應(yīng)與私營(yíng)部門密切合作，建立保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的新模式。

下一屆政府應(yīng)啟動(dòng)一個(gè)全國(guó)性的公私合作倡議，增加使用強(qiáng)認(rèn)證提高身份管理，借此實(shí)現(xiàn)較大范圍的安全和改善隱私。

下一屆政府應(yīng)積極維持和增加使用“關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架”，以此為基礎(chǔ)降低關(guān)鍵基礎(chǔ)設(shè)施內(nèi)外的風(fēng)險(xiǎn)。

下一屆政府應(yīng)該制定具體的扶持力度，加強(qiáng)中小企業(yè)的網(wǎng)絡(luò)安全。

2.創(chuàng)新并加速安全、數(shù)字網(wǎng)絡(luò)發(fā)展和數(shù)字經(jīng)濟(jì)投資。

聯(lián)邦政府和私營(yíng)部門的合作伙伴必須攜手合作，迅速而有針對(duì)性地提高物聯(lián)網(wǎng)的安全。

聯(lián)邦政府應(yīng)該將開(kāi)發(fā)經(jīng)濟(jì)實(shí)惠、安全可靠、有韌性的系統(tǒng)列為網(wǎng)絡(luò)安全研發(fā)的當(dāng)務(wù)之急。

3.幫助消費(fèi)者在數(shù)字時(shí)代獲得更多實(shí)惠。

信息技術(shù)和通信部門的企業(yè)領(lǐng)導(dǎo)需要與消費(fèi)者組織和聯(lián)邦貿(mào)易委員會(huì)合作為消費(fèi)者提供更好的信息，便于他們?cè)诓少?gòu)和使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)能夠做出明智的決定。

聯(lián)邦政府應(yīng)該建立、加強(qiáng)和擴(kuò)大對(duì)消費(fèi)者的研究項(xiàng)目投資，更深入地了解消費(fèi)者行為習(xí)慣及其與物聯(lián)網(wǎng)等連接技術(shù)的相互作用，提高網(wǎng)絡(luò)安全以及消費(fèi)產(chǎn)品和數(shù)字技術(shù)的可用性。

4.加強(qiáng)網(wǎng)絡(luò)安全勞動(dòng)力建設(shè)。

國(guó)家應(yīng)積極通過(guò)能力建設(shè)解決勞動(dòng)力缺口，同時(shí)投資那些將重新分配未來(lái)所需勞動(dòng)力的創(chuàng)新項(xiàng)目。

5.更好地讓政府在數(shù)字時(shí)代安全有效行使職責(zé)。

聯(lián)邦政府應(yīng)該利用其能力鞏固基本的網(wǎng)絡(luò)運(yùn)營(yíng)，分享部分信息技術(shù)基礎(chǔ)設(shè)施。

總統(tǒng)和國(guó)會(huì)應(yīng)促進(jìn)網(wǎng)絡(luò)技術(shù)的采用，加快技術(shù)在聯(lián)邦部門更新的速度。

將聯(lián)邦機(jī)構(gòu)的網(wǎng)絡(luò)安全需求管理方法轉(zhuǎn)變?yōu)槠髽I(yè)化風(fēng)險(xiǎn)管理模式。

聯(lián)邦政府應(yīng)該使網(wǎng)絡(luò)安全責(zé)任更好地配合總統(tǒng)行政辦公室的結(jié)構(gòu)和職位。

各級(jí)政府必須澄清各部門和機(jī)構(gòu)的網(wǎng)絡(luò)安全任務(wù)責(zé)任，以保護(hù)、防御、應(yīng)對(duì)網(wǎng)絡(luò)事件并及時(shí)恢復(fù)。

6.確保開(kāi)放、公平、競(jìng)爭(zhēng)、安全的全球數(shù)字經(jīng)濟(jì)。

政府應(yīng)鼓勵(lì)和積極配合國(guó)際社會(huì)創(chuàng)建和協(xié)調(diào)關(guān)于網(wǎng)絡(luò)安全法和全球行為規(guī)范的網(wǎng)絡(luò)安全政策、措施和共同的國(guó)際協(xié)議。

(整理：陳帥 責(zé)任編輯：李曉暉)