美國白宮 《網絡安全國家行動計劃》(2016年2月）

編者按：2月9日，奧巴馬公布《網絡安全國家行動計劃》，将從提升網絡基礎設施水準、加強專業人才隊伍建設、增進與企業的合作等五個方面入手，全面提高美國在數字空間的安全。該行動計劃中的多項決策值得關注，包括：提議在國會2017财政年度預算中拿出190億美元用于加強網絡安全，第一次設立聯邦首席資訊安全官（ciso），下令成立國家網絡安全促進委員會、聯邦政府隐私委員會等。

中國信通院資料研究中心第一時間将該行動計劃的内容進行了較為詳細的編譯，供參考。

正文摘譯：

從上任之初，奧巴馬總統就将網絡安全視作美國面臨的最大挑戰之一，并采取了各種應對舉措。如在剛剛過去的2015年，和國會一起釋出了《網絡安全法》（the cybersecurity act of 2015），提供必要的網絡安全工具，尤其是使私營企業與政府間可以更輕松地共享網絡威脅資訊。

但奧巴馬政府認為，還應該采取更多舉措，使公民有必要的工具保護自己，使企業能夠安全地營運和保護資訊，政府也能夠保護群眾及送出的資訊，這恰恰是此次釋出《網絡安全國家行動計劃》(cnap)的目的，它既提供了短期行動計劃，也給出了長期戰略目标，包括提高對網絡安全的關注和保護，保護隐私，保證公衆安全以及經濟和國家安全，使美國群眾能夠更好地掌控數字安全。

(一)面臨的挑戰

從網上購物到公司營運，再到與我們喜愛的人溝通，網絡世界已經從根本上重塑了人們的生活。但是，數字世界在給人們、企業、經濟提供無限機遇的同時，也帶來新的威脅。罪犯、恐怖主義者以及一些國家都意識到，較之面對面的攻擊，線上攻擊更為容易。越來越多的敏感資料被存儲在網上，受到的網絡攻擊也愈演愈烈。目前，身份竊取成為美國增長最快的犯罪行為。創新者和企業促進美國經濟增長并使得美國在全球居于領先位置，但是著名企業被黑或被欺騙的事情屢屢發生，使得越來越多的美國人不禁懷疑：技術帶來的好處是否要被其帶來的風險吞沒？

盡管美國可以應對、掌控威脅，但确實需要采取更積極的行動。如果要融入網絡，就要有适當的保護措施。這需要政府、企業、公民共同努力。為此，美國政府釋出《網絡安全國家行動計劃》。

(二)主要舉措

《網絡安全國家行動計劃》(cnap)包含一系列短期舉措，以提高聯邦政府内部乃至整個美國的網絡安全。但鑒于問題的複雜性和嚴峻性，總統要求政府外頂尖的戰略、企業和技術專家研究和彙報：如何提高網絡安全意識，保護隐私，保障公共安全以及經濟、國家安全。奧巴馬表示，需要采取一些大膽的行動，提升美國在全球數字經濟中的競争力。

《網絡安全國家行動計劃》是美國政府七年來的經驗總結，吸納了來自網絡安全趨勢、威脅、入侵等方面的教訓。這一計劃既包含聯邦政府近期行動，也有長期改進舉措，旨在全面提升聯邦政府、私營企業以及個人生活的網絡安全。cnap的一些要點包括：

● 建立“國家網絡安全促進委員會”（commission on enhancing national cybersecurity）——由頂尖的企業與技術專家組成，部分人員由國會任命，共同勾勒出一份為期十年、涵蓋公私兩方面的網絡安全技術、政策發展路線圖，以推廣各類最佳實踐。這項計劃将包含：強化網絡安全意識，保護隐私、公共安全，維護經濟、國家安全并保證美國擁有更強大的數字安全控制能力，促進聯邦、州和本地政府以及企業間的合作。

● 專門配置設定31億美元的資訊技術現代化基金，用于更新已過時或難維護的政府it和網絡安全管理基礎設施。同時設立聯邦首席資訊安全官（the federal chief information security officer），監督政府部門實施這些工作。其具體職責包括開發、管理并協調整個聯邦政府體系内的網絡安全政策，以及操作的執行。

● 加強線上賬戶的保護，除密碼外，輔以指紋、短信發送一次性密碼等更多安全措施。通過“國家網絡安全聯盟”（the national cyber security alliance）發起新的國家網絡安全宣傳行動（national cybersecurity awareness campaign），專注多重認證，以提升、培育資訊消費者的網絡安全意識。“國家網絡安全聯盟”為非營利性組織，其成員包括美國國土安全部（dhs）以及賽門鐵克、思科、微軟、saic與emc等私營企業。其呼籲并鼓勵使用多重驗證機制，同時實施一套尚未最終定名的“有效身份認證”方案。合作者包括google、facebook、dropbox、microsoft等頂尖技術公司，以及mastercard、visa、paypal和venmo等交易服務公司。

● 2017财年預算中，網絡安全總體支出達190億美元，較2016财年增長35%。

(三)設立“國家網絡安全促進委員會”

經過40多年的發展，計算機技術和網際網路給美國國家、群眾及其盟友帶來戰略性優勢。但是如果基本的網絡安全、身份問題得不到解決，美國對數字基礎設施的依賴将成為戰略風險的來源。為此，必須了解和消除網絡脆弱性的根源，而不僅僅是解決現有問題，這需要長期的、國家層面的解決方案。

由此，總統成立“國家網絡安全促進委員會”，成員既包括政府外的戰略、企業和技術專家，也包括議會任命的兩黨議員。委員會的任務是制定未來十年的詳細行動建議，包括提高網絡安全意識，增強私有領域和政府部門的保護，保護隐私，維護公共安全以及經濟、國家安全，使美國更好地掌控數字時代的安全。該委員會将受到美國國家标準與技術研究所（nist）的全力支援。委員會将在2016年底前将相關發現和建議向總統彙報，并給出未來行動的路線圖。

(四)提升國家整體網絡安全水準

1.加強聯邦政府網絡安全

聯邦政府的網絡安全能力得到極大提升，但仍有很多工作要做。為延續已有進步和解決聯邦網絡安全長久以來面臨的系統性挑戰，需重新審視聯邦政府網絡安全和資訊技術的傳統做法——它要求各部門建立和維護自己的網絡。這些行動建立在《網絡安全跨部門優先目标》（cybersecurity cross-agency priority goals）和《2015年網絡安全戰略和實施計劃》（2015 cybersecurity strategy and implementation plan）奠定的基礎之上。

● 總統在2017年預算中專門設立 31 億美元的資訊技術現代化基金，用以報廢、替換那些急需現代化的功能差、難以維護和保證安全的既有it網絡和系統。

● 設立聯邦政府首席資訊安全官（ federal chief information security officer），用于監督聯邦政府部門的網絡安全政策、計劃和實施。這是美國首次設立專職的進階政府職位，緻力于制定、管理和協調整個聯邦政府範圍内的網絡安全戰略、政策和運作。

● 要求相關部門确定、優先考慮最有價值和面臨最大風險的it資産，采取專門措施提升其安全性。

● 國土安全部、總務署等聯邦部門應該推動政府部門間it和網絡安全共享服務的可用性，目标是使每個機構從業務建設、擁有和運作自己的it設施中解放出來，提供更加高效、有效和安全的選擇，使他們免受最複雜的威脅。

● 拓展“愛因斯坦”項目，即國土安全部用于記錄、分析網絡流量并針對政府網絡資訊進行入侵檢測的系統方案。總統的 2017年預算中支援所有聯邦民事機構都具備這些能力。

● 從聯邦政府和企業招聘最優秀的網絡安全人才，将國土安全部下轄的民用網絡防禦團隊增至48個，這些團隊将保護整個聯邦政府的民用網絡、系統和資料安全，實作滲透測試，主動跟蹤入侵者，并提供安全專業知識及事故響應服務。

● 聯邦政府将通過網絡空間安全教育國家法案等，加強網絡空間安全教育和全國教育訓練，雇用更多的網絡空間安全專家，以確定聯邦機構安全。

● 作為cnap的一部分，總統預算在網絡空間安全人員方面投資6200 萬美元。這主要用于：

1) 通過建立網絡安全預備役（cybercorps reserve）計劃，為想獲得網絡安全教育，并在民事聯邦政府服務的美國人提供獎學金；

2) 開設網絡安全的核心課程，以確定想就職聯邦政府的網絡安全的畢業生，有必要的知識和技能；

3) 加強《國家網絡空間安全學術卓越中心計劃》（national centersfor academic excellence in cybersecurity program），以增加參與的學術機構和學生數量，通過程式和課程的演變，豐富學生的知識；

4) 增加國家網絡安全學術卓越中心項目内所涵蓋的大學與高校數量，同時将獎學金數額同聯邦政府網絡安全核心課程與網絡安全水準挂鈎。作為回饋，獎學金接收方将作為政府網絡安全計劃的參與者，并借此提升學生助學貸款金額。

其後續擴充包括，通過少數集中位置運作全部政府網際網路流量，并配合入侵檢測系統對其加以監控。另外，擴充國土安全部之持續診斷與減災方案，以實作網絡風險評估自動化。

2.提升個人網絡安全防護能力

所有線上美國人日常生活的隐私和安全，與國家安全和經濟狀況越來越緊密相關。新行動計劃基于總統的 2014年安全購買倡議（2014 buysecure initiative），旨在加強消費者資料的安全性：

● 總統呼籲當登入線上賬戶時，不要僅僅使用密碼，要利用多重身份驗證。私營企業、非營利組織以及聯邦政府共同努力，通過新一輪的宣傳活動，重點是廣泛采用多重身份驗證，建立“一停二想再連接配接”的觀念，以及實施網絡空間可信身份國家戰略（national strategy for trusted identities in cyberspace），幫助更多的美國人實作聯機安全。國家網絡安全聯盟将與領先的技術公司和民間社團共同發力，使數以百萬使用者更容易保證自己的線上賬戶安全。這将提升公衆對個人網絡安全角色的認識。

● 在面向公民提供的數字服務中，聯邦政府正在加強多重身份驗證和身份證明。美國總務署将建立一個新計劃，當公民到聯邦政府部門辦理事務時，将更好地保護和保障資料和個人資訊安全，包括稅收資料和福利資訊互動。

● 政府當局正系統地評估，在哪些方面可以減少将社會安全号碼作為公民身份辨別符的使用頻率。

● 美國聯邦貿易委員會最近重新啟動identitytheft.gov網站，為受害者報告身份資訊被盜事項提供一站式資源服務，可以建立個人資訊的恢複計劃，列印預填充的信函，以及發送給征信機構、商業和債主的表格。

● 小企業管理局(sba)與聯邦貿易委員會、美國國家标準和技術研究所(nist)、能源部将通過68個sba小企業管理局區域辦公室、9個國家标準和技術研究所nist制造業擴充合作中心和全國其他區域網絡，為140萬個小企業和小企業利益相關者提供網絡安全教育訓練。

政府當局在總統安全購買倡議中設立裡程碑舉措，以確定金融交易安全。到今天為止，聯邦政府已提供超過250萬張更安全的晶片加密碼的支付卡，财政部可以管理所有讀卡器完成向這個新技術的過度。在政府和私營部門帶領下，美國對更安全的晶片卡的發行量超過了世界上任何國家。

3.增強關鍵基礎設施安全性和恢複能力

美國的國家和經濟安全取決于國家關鍵基礎設施的可靠運作。關鍵基礎設施的業主與營運商的持續合作将提高網絡和國家安全。這項工作基于之前有關網絡安全的 2013年關鍵基礎設施行政令（executive orders on critical infrastructure(2013)）和2015年資訊共享的行政令（executive orders on informationsharing）。

● 國土安全部、商務部和能源部正在排程資源和能力，以建立“國家網絡安全恢複能力中心”（national center for cybersecurity resilience），公司和行業組織可以在一個封閉的環境中測試系統的安全性，例如電網遭受網絡攻擊的抗壓能力。

● 國土安全部将網絡安全顧問數翻倍，協助私營部門組織開展有針對性的網絡安全評估和最佳實踐。

● 國土安全部正在與ul等行業夥伴合作，制訂網絡空間安全保障計劃（cybersecurity assurance program），以檢驗和證明“物聯網”中的聯網裝置——無論是冰箱還是醫用打點滴泵，使得使用者購買産品時，可以肯定它已獲認證，符合安全标準。

● 美國國家标準和技術研究所正在為進一步發展其網絡安全架構征求回報意見。該架構的目标是提高關鍵基礎設施的網絡安全，這項工作已在美國及世界各地組織開展兩年。

2月8日，新的國家網絡空間安全卓越中心（national cybersecurity center of excellence）剪彩，它是政府、企業合作的研究與發展平台，将開發和部署高優先級的網絡安全技術解決方案，并将新發現與更廣泛的團體共享。

政府當局呼籲主要醫療保險公司和醫療利益攸關者，幫助他們采取新的、重大的步驟，加強資料管理工作實踐，確定消費者可以信任他們，保證敏感的健康資料是安全、可靠和可用于指導臨床決策。

4.促進安全技術發展

雖然美國如今已經在着力改善網絡防禦，但未來國家還必須大力投資科學、技術、工具和基礎設施，確定這些技術工程應用時能夠滿足安全要求。

美國政府釋出《2016年聯邦網絡安全研究和發展戰略計劃》（2016 federal cybersecurity research and development strategic plan）。這項計劃在《2014年網絡安全增強法案》中提出，勾畫出美國的國家戰略研究和開發目标，促進科學有效性和效率，驅動網絡安全技術的發展。

(五) 阻止、勸阻并破壞網絡空間的惡意行為

更好地保護數字基礎設施隻是方案的一部分。美國必須帶領國際社會，将這些準則變為負責任國家的行為準則，包括在阻止、破壞惡意行為時。美國無法獨自實作這些目标——美國必須與盟友和全球合作夥伴一起行動。

2015年，g20成員國與美國就重要規範達成一緻，包括國際法在網絡空間的适用性，各國政府不應該支援出于商業目的利用網絡盜取知識産權的行為，歡迎聯合國政府專家組釋出相關報告、加強國際合作，防止對民用基礎設施的攻擊，支援計算應急小組提供重建和容災服務。美國政府試圖通過進一步的雙邊或多邊承諾，建立信任措施實施這些準則。

司法部包括聯邦調查局有關網絡安全的行動資金增加了超過23%，以提高識别、破壞和逮捕惡意網絡行為者的能力。美國軍方的網絡司令部正在組建133支共計6200人的網絡部隊。該部隊目前已開始參與一些網絡行動，按計劃将于2018年開始全面運作。

(六)提高網絡事件響應能力

在注重預防和阻止惡意網絡行為的同時，美國還必須保持事件發生時的網絡恢複能力。2015年，美國受到大範圍的網絡入侵，從網絡犯罪到網絡間諜。吸取過去的教訓，可以提高未來網絡安全事件管理和網絡的恢複能力。

2016年春天，美國政府将釋出國内網絡安全事件合作的政策，以及評估事件嚴重性的方法，以使政府機構和私營企業間有效交流，并采取适當、一緻的響應。

(七)保護個人隐私

從建國之初，隐私在美國一直是關注的核心，而在數字時代隐私顯得尤其關鍵。美國政府做出突破性舉措，加強聯邦政府間合作，保護個人隐私和資訊安全。

如今，總統簽署了成立“聯邦隐私委員會”（federal privacy council）的行政令,将彙集政府各部門保護隐私的官員，以幫助確定更具有戰略性和綜合性的聯邦隐私準則的實施。像網絡安全、隐私必須得到有效和持續的關注，促進技術研發和創新，利用大資料帶來的好處，應對不斷演進的網絡威脅。

(八)加大網絡安全資金投入

為了實作這些翻天覆地的變化，聯邦政府必須在網絡安全上投入更多的資源。這就是為什麼2017年網絡安全的預算配置設定超過190億美元——在2016年的基礎上增加了35％。這些資源将使機構能夠提高他們的網絡安全水準，幫助私營部門、組織和個人更好地保護自己，破壞和阻止敵人的活動，并更有效地對網絡安全事件進行響應。

本文轉自d1net（轉載）