奥巴马留给特朗普的网络安全“备忘录”——美网络安全促进委员会报告评述 作者:中国信息安全测评中心 /桂畅旎

        2016年12月1日,奥巴马总统直属的美国国家网络安全促进委员会(以下简称“委员会”)发布了《加强国家网络安全——促进数字经济的安全与发展》重磅报告,提出关于网络安全建设的建议,希望下一届特朗普政府继续将网络安全置于美国国家安全的优先位置。考虑到美国国家政策的相对稳定性和网络安全问题的特殊性,认真剖析这份“备忘录”将对我们了解国外动向、强化网络治理有所裨益。
       报告出台的背景
       奥巴马政府一直以来将网络安全威胁视为美国面临的最严重挑战之一。为维持美国在网络空间的领先地位,今年2月9日,奥巴马签署13718总统令,公布《网络安全国家行动计划》(以下简称“行动计划”),总结其执政7年的网络治理经验,从提升联邦政府网络安全能力、加大网络安全资金投入、增强关键基础设施安全性和恢复能力、提升网络事件响应能力以及保护个人隐私等方面,提出举措建议。《行动计划》可视为奥巴马总结其网络治理“政治遗产”的开端。
       1. 美国网络安全促进委员会的组成
       奥巴马总统在《行动计划》中正式提出成立一个网络安全促进委员会,“制定未来十年的详细行动建议⋯⋯使美国更好地掌握数字时代的安全”,并要求美国国家标准与技术研究所(NIST)全力支持,以便形成未来行动的路线图。委员会聚集了代表政府、企业和学术界等各方利益的12位精英人士,具体包括:前白宫国家安全事务助理多尼隆(担任委员会主席),IBM公司前首席执行官彭明盛(担任委员会副主席),前美国国家安全局局长基思·亚历山大,美国佐治亚理工学院互动计算学院院长安妮·安顿,万事达公司总裁兼CEO彭安杰,CrowdStrike公司总顾问兼首席风险官夏宾思基,匹兹堡大学校长兼标准与技术研究所前所长派崔克·盖勒,微软研究院副总裁彼得·李,斯坦福国家安全与合作中心网络政策与安全高级研究学者、胡佛研究所合作研究员林赫伯,美国金融危机调查委员会前任成员兼内华达癌症研究所创始人之一希瑟·海·玛伦,Uber公司首席安全官苏利文,和前线通讯公司执行主席马吉·维尔德罗特。可以看出,委员会不仅阵容强大、背景多元,且专业较广、经验丰富,反映出美国各方在网络空间安全方面的整体利益与诉求。
       2. 报告形成的过程
       奥巴马在委员会成立之初即寄语参与者不要拘泥于既有的规则体系,要直面核心问题。委员会一成立,即着手三方面工作:一是系统梳理已有的网络安全政策与法规,包括近三届政府共25份网络政策文件(其中,克林顿政府时期4份,布什政府时期4份,奥巴马政府时期17份),以及22项法律制度。二是举行系列专家研讨会。在今年4月至11月期间,该委员会共举行了7场公众听证会,研究最新的安全实践,分析重大网络安全事件,并向公众开放进行答疑解惑。三是广征公众意见。今年10月进行的一次集中的公众意见收集,涉及主题包括关键基础设施保护、物联网安全、网络技术研发、公众网络安全意识与教育、身份认证管理、网络安全保险等,共收到来自企业、行业以及个人约1100份对于政策改进的意见。在此基础上,委员会集思广益,最终出台该报告。
       报告的主要内容
       《加强网络安全——促进数字经济的安全与发展》报告共100页,包括概论、主要建议以及附件三部分,其内容主要有:
       1. 分析当前网络空间发展的九大特点
       一是在强大市场压力下,科技公司忙于快速创新及上市,网络安全常常被“束之高阁”;二是随着移动设备的兴起,企业及其职工的工作关系需更为灵活;三是大部分企业以及个人仍未满足网络安全保障的基本要求,还未采取基本的防护措施;四是网络空间攻防双方均可受益于技术创新,造成网络防御无突出优势;五是网络空间易攻难守,网络攻防双方资源不对称;六是技术的复杂化催生了网络安全漏洞的增长,网络安全隐患高发;七是在万物互联时代,供应链风险无处不在;八是政府在人才竞争与技术上的劣势导致政府的网络安全工作更具挑战性;九是数据的滥用及被操纵极大地影响了网络空间的互信,实施信任措施成为当务之急。
       2. 提出维护数字经济安全与发展的十大原则
       第一,互联网与现实世界日益融合、相互交织,决定了网络安全举措需进行国际、国家、行业以及个人等多维度的考量。第二,作为全球创新领袖,美国亦必须是网络安全规则制定的旗手,这需要政府持续加大研究力度,加强国际合作。第三,政府是国家网络安全防御,特别是在关键基础设施保护上的最终责任者,因此,需进一步理清各部门的相关职责和发挥相应作用。第四,网络安全事件发生前后的公私合作至关重要。第五,每个企业网络安全风险管理与治理战略的相关责任、授权以及问责需清晰且一致。第六,持续提高公众的网络安全意识与能力,并将其塑造为国家网络安全保障的主要参与者。第七,公众个人行为是影响网络安全的重要因素,因此,网络安全技术与产品应充分履行用户友好原则,设置为“安全行为易行,危险动作难做”的操作偏好。第八,将安全、隐私、互信等贯彻到网络政策制定过程中,提高政策的透明度。第九,中小企业是网络安全,特别是供应链安全中,必不可少的利益攸关方,因此,需特别考虑其网络安全诉求。第十,坚持市场激励为主,政策规制为辅,综合运用各项激励政策。
       3. 提出下届政府六大当务之急的报告核心
       报告的核心内容包括6项必要事项、16项具体建议以及53项行动项目,其要点包括:
       第一,保护关键基础设施与数字网络
随着互联互通的加深,关键基础设施的保护范围不断扩大,再加上僵尸网络以及分布式拒绝服务(DDOS)攻击带来的危害日益加重,政府与私营企业应通力合作、协同应对。首先,总统应直接任命高级别的行政机构牵头落实公私合作倡议,并制度化为“国家网络安全公私合作项目(NCP)”,使其成为应对网络攻击的主要平台。其次,建立保护关键基础设施的新模式,改变目前公私合作仅限于网络安全事件响应阶段的现状,将其扩至整个供应链,贯穿信息保障全过程。第三,推广强身份认证管理。改变目前大部分身份认证仍是依赖于单纯的口令登入、存在极大的安全隐患的现状,亟须引入双因素、生物识别等强身份认证举措。第四,用好“关键基础设施网络安全框架”。NIST于2014年发布的“关键基础设施网络安全框架”,实施基于风险的合规评定,被证实具有“低成本、高收益”的特点,因此,联邦政府应通过税收减免、技术支持等激励措施鼓励更多企业引进利用该框架。最后,重视加强中小企业的网络安全。由于中小企业资源有限以及意识上的缺乏,其面临的网络安全挑战更为严峻,因此,政府应积极将中小企业纳入网络安全评估框架中,帮助其运用好现有的网络安全技术。
       第二,加大数字经济发展与安全的创新与投入
报告强调,网络安全的创新与投入应坚持“政府主导、公私合作”的原则。一方面,政府与企业应合力提高物联网安全,包括授权NIST建立物联网安全准则,授权工业控制系统网络应急响应小组(ICS-CERT)出台物联网安全的指导方针,并注重对措施实施的效果评估与改进。另一方面,政府应重视网络安全的创新与研发,加大经费支持,与私营企业合作开发国家级的网络防御研发计划,并扩大网络安全研究的范围,包括政策法规的影响、个人行为的偏好、量化指标的研究等以前较少涉及的领域。此外,网络研发需注重集成现有的网络安全技术资源,并注重研发成果的转化。
       第三,帮助消费者在数字时代获得更多实惠
报告指出,负责任的消费习惯可助力形成健康的网络安全生态系统,因此,政府与生产者应做好针对消费者的宣传活动。但是,此前的相关宣传过分专注于技术解释而忽视对消费者行为习惯的研究,使得宣传活动收效甚微。因此,政企应合作进行相关的改进:一方面,政府需继续提高消费者安全意识,包括在下届总统上任100天之内召开集政、商、学、产在内的高级别专家峰会,发起全面的网络安全意识宣传活动;联邦贸易委员会(FTC)牵头拟定“数字经济时代消费者网络安全职责”作为宣传模板,使用统一的标准和规则,使消费者更易明白其网络安全的权利与义务。另一方面,企业需提供安全且简单的指导,可参考权威的第三方评估标准建立网络安全“营养标签”,清楚表明其产品的安全性与隐私遵循度,帮助消费者做出有利于网络安全的消费选择。
       第四,加强网络安全人力资源建设
       报告表示,由于学科教育与培训缺失,美国网络安全行业目前面临严峻的人才短缺与技术滞后等问题。首先,联邦政府应出台国家级的网络安全人才教育计划,填补人才空缺,具体包括启动国家网络安全工作专家计划、人员计划以及学徒计划等,以期在2020年前分别培养200名网络安全顶级专家、100000名网络安全技术人员和50000名网络安全从业者。政府可通过提供奖学金、助学贷款,以及减免费用等措施吸引更多学生选择网络安全专业。其次,政府与学术机构合作开发基础的网络安全课程,寻求网络课程的标准化和制度化。第三,政府与教育机构合作将网络安全意识教育提前至学前阶段,并贯穿义务阶段全过程。此外,企业应加大对网络安全教育及培训项目的资助,并与政府合作开展中高层领导的“轮岗”项目,提升网络安全领导层的管理能力。
       第五,优化政府在数字时代的权力与职责
       报告明确,政府在网络安全保障中负有最主要的责任,呼吁充分发挥政府的主导作用。一是完善机制设置。为增强网络、系统和数据的安全,联邦政府应设立负责“网络安全与关键基础设施保护”的职能机构,升级政府网络安全协调员成为总统网络安全助理专门负责统筹各部门资源,实施统一标准的网络安全举措,并持续跟踪与引进最新的信息技术。二是加快联邦政府网络设施的更新换代进程,包括建立信息技术现代化基金(ITMF),投入专项预算,调整采购计划。三是引进企业化的风险管理模式,落实好联邦信息安全管理法案(FISMA),将部门和机构静态的基于纸张的遵从性报告,发展为连续性、实时监测的网络安全测评。四是做好评估工作,考察相关部门是否履行好网络安全保障措施,将网络安全指标作为机构运行指标的重要组成部分,与常规预算相挂钩。
       第六,确保开放、安全、公平的全球数字经济生态环境
       报告提出,随着跨国网络犯罪的日益猖獗,网络空间国际规则的缺失,严重冲击着全球网络治理的成效,也造成跨国企业的合规成本高企。因此,报告认为,加强国际合作,协同治理势在必行。首先,联邦政府应加强与国际组织在网络空间国际行为准则制定上的合作,具体包括在技术标准、合规性要求、国际法的适用性以及网络执法等问题上的合作。其次,设立网络安全大使,负责协调各国在网络安全标准和在最佳实践的运用上达成一致,与盟国一道构建和平时期国家行为体在网络空间的行为规范与准则,推动多边和双边的信任措施的落实。第三,继续加强司法部《法律互助条约》(MLAT)的效力,扩大在刑事调查中获取信息与数据外国管辖权的权力。
       报告的主要特点
       1. 总结奥巴马网络治理的“政治遗产”
报告提出的主要建议均是对奥巴马网络治理理念的全面总结,包括加强网络基础设施建设、专业人才培养、公私合作、公众网络安全意识宣传等方面,都是建立在奥巴马政府时期的政策法规和最佳实践的积累之上。类似于其在上台初进行的为期60天的政府网络安全状况全面评估工作,奥巴马在离任前发布该份总结性的评估报告,体现了其有意塑造“政治遗产”的用意,力图影响下届政府的网络安全治理走向。
       2. 关联网络安全与数字贸易
报告通篇大谈数字经济与贸易的安全与发展,将网络安全与贸易相联系,体现了美国作为数字贸易大国推行其商业利益的意图,同时也反映了美国在“数字经济与网络安全”话题上塑造话语权的考量,这将极大扩展网络安全概念的外延,使得网络安全问题更加复杂。考虑到此报告公开发布于特朗普胜选总统之后,在某种程度上讲,也有迎合具有“商业化”取向的候任总统之意。
       3. 紧扣网络空间治理现实问题
报告中反映的关键基础设施保护、网络安全研发、公私合作问题,不是美国独有,而是当前全球网络治理的共性问题。此外,在全球化深入发展以及万物互联时代,报告也注意到安全威胁的变化,多次强调物联网安全问题与供应链安全问题,提出物联网已成为网络安全中的薄弱环节,全球ICT供应链问题越来越突出。在此背景下,报告提出的解决方案和最佳实践也为全球网络治理提供了借鉴与参考。
       4. 体现美国谋求网络空间优势地位的决心
报告明确表示,美国必须维持在网络空间的优势地位,继续充当数字经济安全与发展规则的旗手,主要体现在:一是引导国际网络安全的标准制定,鼓励联邦政府与私营企业参与到国际网络空间规则与标准的制定中去,体现美国的诉求。二是推广网络安全最佳实践。报告要求将NIST的网络安全框架嵌入到国际贸易中,推动形成全球统一使用的网络安全最佳实践。三是帮助其他国家建立其数字基础设施、遵从国际网络安全标准、发展抵御网络威胁的能力等,发展新兴合作伙伴。
       5. 提出既有创新性又具可操作性的举措
报告直面美国此前在网络安全上“纸上谈兵”的现实困境,针对政府机构责任模糊、职能交叉,私营企业与政府合作积极性不高,网络安全意识宣传活动效果不佳等老生常谈问题,提出了具体务实的行动方案。一是强化统一管理和制度创新。报告提出了设立总统网络安全助理、网络安全大使等创新性建议,同时就网络安全治理提出多项针对性的工作原则。二是明晰职责与任务。梳理既有的网络安全政府机构及其职责,明确各项任务的主责单位,如美国预算管理办公室(OMB)负责联邦网络工作人员战略的落实,美国行政事务管理局(GSA)负责调整网络安全相关的采购政策等。三是改进宣传方法。为充分调动消费者参与网络安全保障的积极性,报告提出要将复杂技术问题简单化,拟定网络安全“营养标签”,遵从用户友好的原则,帮助消费者参与到网络安全保障建设中来。四是注重绩效考核。网络安全面临的最大挑战之一就是缺乏量化指标,报告提出建立基于风险的性能指标体系,对各网络安全职能部门实施监督考核,并纳入绩效计划,具有激励作用。对此,奥巴马表示,委员会的建议经过“深思熟虑”且“求真务实”,并敦促委员会尽快向特朗普过渡政府作简要报告。
       对我们的启示
       政治遗产也好,锦囊妙计也罢,奥巴马政府在离任前抛出的这份报告,无疑会对特朗普政府的网络治理产生一定的影响,考虑到网络安全已成为中美关系中的重要议题,认真理性地分析消化该报告的相关内容,对我国管控中美之间的网络安全分歧,以及强化我国在网络空间治理方面的竞争力和影响力,均具有十分现实的意义。
       1. 处理好发展与安全的关系,提高自身网络治理能力
       习总书记就网络安全与信息化发展以及国际网络空间治理提出了完整系统的战略构想和政策主张,当务之急是要推动相关部门狠抓落实,务求实效。一方面,既要推进网络基础设施建设,鼓励网络安全技术创新和应用;另一方面,又要建立健全网络安全保障体系,提高网络安全保护能力。在大数据时代,物联网安全、供应链安全等新型网络安全问题愈发严峻,对此,相关政府部门和企业更应同步推进网络发展各项政策的落实和提升网络安全意识和能力。更重要的是,作为网络大国,我国应继续加强网络空间治理的国际合作和国际贡献,在坚决维护国家网络安全利益的同时,需适当兼顾国外企业的合理诉求,尤其要做好《网络安全法》的增信释疑工作,加强与国外的沟通和交流,争取更多的理解和支持。
       2. 继续管控好中美之间的网络安全问题
在奥巴马政府时期,中美两国对网络安全问题进行了有效管控,网络安全合作进程快速发展,并已成为两国关系的新亮点。随着特朗普政府的上台以及可能带来的中美关系变数,我国应根植于自身的发展,聚焦合作,深化对话机制,继续管控好网络安全分歧,以中国智慧和战略定力应对中美网络合作上的新挑战。
       3. 重视数字经济发展与网络安全之间的关系
数字经济与贸易已经成为目前美国贸易议程中的核心内容,因此,数字经济的发展与安全也上升为美国的核心利益之一。在此背景下,美国政府越来越频繁地将网络安全问题纳入贸易谈判中,黑客攻击和知识产权等问题成为美国对外贸易谈判的标准内容。对此,我国应更加重视经济贸易与网络安全之间的关系,及时加强对网络安全与投资贸易的问题研究,提前做好准备,争取积极主动的应对。

2017-01-04 14:23
来源:中国信息安全杂志(2016.12)
热门推荐更多
热点新闻更多