第一篇:美國網絡安全政策審議報告
網絡安全保護不力成為奧巴馬政府面臨的最緊迫的國家安全問題之一。因此,報告通過對與信息和通信基礎設施有關的所有任務和活動進行評估,就未來如何實現擁有可靠、有韌性和值得信賴的數字基礎設施進行說明。報告主要以五個主題介紹調查結果和行動方案:一是最高層實施領導,二是打造數字化國家的能力,三是共同承擔網絡安全責任,四是建立有效信息共享和事件反應框架,五是構筑未來架構。此外,報告還就行動計劃提出近期和中期建議。報告指出,保護網絡空間需要有先見之明的領導,需要在政策、技術、教育乃至法律等方面進行變革。此外,政府最高領導層、產業界和民間社會要共同致力于網絡安全,使美在加強國家安全和促進全球經濟的同時,繼續在創新和尖端技術運用方面保持領先地位。
【本刊訊】美國白宮網站5月29日發表一份報告,題為《網絡空間政策評估》,副題為《確保擁有可靠的和有韌性的信息與通信基礎設施》,全文如下:
前 言
網絡空間幾乎涉及到每個人和每件事。網絡空間提供了一個創新與繁榮的平臺,提供了全世界改善整體福利的方法與途徑。但是由于很多人都可以輕而易舉地觸及到管控松散的數字基礎設施,各種巨大的風險正在對國家、私營企業和個人權利構成威脅。美國政府有責任解決這些網絡空間的戰略缺陷及弱點,確保美國及其公民與世界更多的國家共同充分發揮潛力,實現信息技術革命。
主要以國際互聯網為基礎的國家數字基礎設施架構并不具有安全性,或者說韌性比較差。如果這些系統在安全上沒有取得重大進展,或在如何構建和運營上沒有實現重大改觀,很難讓人相信美國能夠保護自己免受網絡犯罪日益嚴重的威脅,免遭由國家支持的入侵和軍事行動的日益嚴重威脅。我們的數字基礎設施早已經遭受到入侵,犯罪分子已經竊取了億萬美元,一些國家和機構團體盜取了知識產權和敏感的軍事情報。還有的入侵可能會損壞我們部分關鍵基礎設施。美國的經濟和安全利益都是以信息系統為基礎,這些形形色色的風險有可能會動搖國家對信息系統的信賴。聯邦政府還沒有組織起來有效地解決這個目前或在未來日益嚴重的問題。聯邦政府很多部門和機構都擔負有網絡安全的責任,但存在職權重疊的問題,沒有一個部門擁有足夠的決策權來指揮行動,協調一致地去處理相互矛盾的問題。政府需要綜合考慮各方競爭的利益,制定出一個全面設想和計劃,以解決美國面臨的網絡安全問題。國家需要制定出必要的政策和程序,培養相關人才和發展相關技術,以降低網絡安全所面臨的風險。
無論是在美國國內還是在國際上,信息和通信網絡基本上是歸私營部門所有并經營的。因此,解決網絡安全問題需要建立起政府和私營部門兩者之間的伙伴關系,要進行國際合作并制訂國際準則。美國需要擁有一個全面的架構,以確保政府、私營部門和我們的盟國在發生重大網絡事件或威脅時,協調一致地做出反應和進行防御。
美國需要開展一次全國性的網絡安全討論,從而使更多的民眾認識到網絡威脅與網絡風險,以確保擁有一套完整的辦法來滿足國家對網絡安全的需要,并履行國家做出的承諾,維護受憲法和法律保護的公民個人隱私權和自由權。
確保信息和通信基礎設施安全并具有較強的韌性,僅僅依靠研究新的辦法是遠遠不夠的。政府需要加大研究經費投入,這將有助于解決網絡安全上存在的弱點,同時也能滿足我們經濟和國家安全的需要。
概 述
總統指示要在60天內完成一份全面、全新的評估報告,對美國網絡安全政策和組織結構進行評估。網絡安全政策包括網絡空間安全和網絡空間運行的戰略、方針及標準,涵蓋了所有的降低威脅、減少弱點、威懾、國際參與、應急反應、確保韌性及恢復能力的政策與行動,并包括計算機網絡運行、信息安全保障、執法、外交、軍事和情報工作等。這些要素與全球信息與通信基礎設施的安全與穩定息息相關。評估報告研究的內容并不包括與國家安全或基礎設施安全無關的其它信息與通信政策。由政府網絡安全專家組成的評估小組負責匯總產業界、學術界、公民自由與隱私維權團體、州政府、國際合作伙伴,以及國家立法和行政部門提出的具有廣泛代表性的意見和建議。本文對評估小組的結論進行了綜述,并概括地說明了在未來如何開始實現擁有可靠、有韌性和值得信賴的數字基礎設施。
美國正處在十字路口。全球互聯的數字信息與通信基礎設施被稱為“網絡空間”。現代社會的方方面面幾乎都離不開網絡空間。網絡空間對美國經濟、民用基礎設施、公共安全和國家安全提供了重要的支撐。這項技術已經使全球經濟發生了改變,使人們以難以想象的方式聯系在一起。然而,網絡安全的風險也構成了二十一世紀最嚴峻的經濟挑戰和國家安全挑戰。數字基礎設施架構的構筑更多的是基于互通性和效率上的考慮,而不是從安全的角度進行考量的。因此,越來越多的國家和非國家行為體開始破壞、盜竊、篡改或毀壞信息,這會給美國的系統造成重大破壞。與此同時,傳統的電信和互聯網日益融為一體,而在其它基礎設施領域,互聯網正日益成為互聯互通的主要手段。美國正面臨著雙重挑戰,既要維護促進高效、創新、經濟繁榮和自由貿易的良好環境,又要確保安全、保密,維護公民自由和隱私權。解決網絡空間存在的戰略漏洞,并確保美國和世界充分發揮潛能實現信息技術革命,這是我們政府的一個基本責任。
再也不能容忍目前的狀況。美國必須向世界表明,美國將憑借強有力的領導和對遠景的規劃,嚴肅認真地迎接這一挑戰。頂層領導應該得到加強,白宮應成為網絡安全領導核心,提供指導,協調行動,并取得成效。此外,要落實聯邦政府網絡安全的領導責任制。這種方法要求明確聯邦政府各部門和機構的網絡安全任務和職責,同時提供相關政策、法律程序和必要的協調,使各部門能夠各司其職。在過去的兩年中,我們已經開始實施重大的計劃,并通過對各機構的不同任務進行“銜接”而取得了長足的進步,但這樣做并沒有提供一個完備的解決辦法。此外,這一問題超越了各個政府部門和機構的管轄范圍。盡管每個部門和機構在網絡安全方面都發揮著不可替代的作用,但任何一個部門都不具備足夠廣闊的視野或足夠的權威,來徹底解決這個問題。
立即啟動全國網絡安全大討論。美國政府應該與業界共同向民眾解釋清楚這個挑戰的性質,并詳細說明國家將通過何種方式來解決面臨的問題。從某種程度上講,也就是讓美國公民充分認識采取行動的必要性。人們若不先了解網絡問題的危急程度就不可能重視網絡安全。因此,聯邦政府應借鑒以往成功的宣傳經驗,發起一個全國性的網絡空間安全公眾意識教育運動。此外,與1957年10月蘇聯發射第一顆人造地球衛星后的一段時間類似,我們正面臨一場全球數學和科學技能競賽。我們繼續擁有世界上最好的信息技術產業環境,但同時國家應培養參加全球競爭并保持領導地位所必需的勞動大軍。
孤軍奮戰不可能保證網絡空間安全。美國政府應加強與私營部門的合作。政府部門與私營部門的利益是交織在一起的,它們的共同責任就是確保擁有安全、可靠的基礎設施。聯邦政府在很多方面是可以與私營部門合作的。政府應該探究和開發那些可供選擇的辦法。政府與私營部門網絡安全的合作伙伴關系必須得以發展,并清晰地界定這種關系的性質,包括明確各自的分工和職責。聯邦政府應審查現有的政府與私營企業的合作伙伴關系,確定優先任務,采取具體行動,以發揮最大的效能。
美國還需要制定一個網絡安全戰略,以塑造國際環境,使志同道合的國家就領土管轄權、主權責任與動用軍隊的相關技術標準和公認法律規范等一系列問題達成共識。國際規范對于建立安全和繁榮的數字基礎設施是至關重要的。此外,各個國家和地區不同的法律規定和做法也給創造安全、保密和值得信賴的網絡環境帶來嚴重挑戰。這些法律上的差異對實現安全、可靠和有韌性的數字環境構成了挑戰,并涉及到網絡犯罪調查與起訴、數據保存、數據保護和數據隱私權、網絡防御和應對網絡攻擊的反應等等一系列問題。只有通過與國際合作伙伴的共同努力,美國才有可能更好地應對這些挑戰,加強網絡安全,并全面享用數字時代帶來的巨大利益。
在保護國家免遭網絡事件或事故沖擊方面,聯邦政府既不能全部包辦也不能回避職責。聯邦政府擔負有保衛國家的責任,各級政府擔負著確保公民安全和福祉的責任。但是,私營部門設計、建造、擁有并經營著大部分的數字基礎設施,為政府和私人使用者提供網絡支持。美國需要有一個全面的框架方案,以確保在遇有重大事件發生時,聯邦、州、地方和原住民保留地政府,以及私營部門和國際盟友做出協調一致的反應。執行本框架方案需要制訂報告制度、針對不同情況的應急計劃和災后恢復計劃,以及完成這些計劃所必需的協調、信息共享和事件報告機制。
政府與重要的利益攸關方應共同努力,設計一個有效的機制以實現真正共同運作的構想,將政府和私營部門的信息整合成一體,并以此作為信息通暢、按輕重緩急順序推進減災工作和做出應急反應決策的基礎。
與私營部門合作要求明確下一代基礎設施的性能和安全目標。美國應充分利用技術優勢滿足國家經濟和安全需要。即使面對敵人利用先進技術實施的攻擊,聯邦政府制定的政策也應該能夠保證國家安全、知識產權保護和基礎設施的不間斷工作。聯邦政府必須與私營部門及學術界合作,闡明協調一致的國家信息和通信基礎設施的性能和安全目標。應與州、地方政府通力合作,制訂有效的采購戰略,推動市場制造更安全的產品并為公眾提供各種有效的服務。政府還應探索另外的一些激勵機制,包括調整法律責任(安全改善后責任減少,安全條件差則導致責任增加)、補償及稅收優惠、以及新的監管規定和執行機制等。
白宮必須指明前進的道路。在過去15年里,國家采取的網絡安全措施沒能跟上威脅的發展變化。我們需要向國內外證明,美國是在認真地對待網絡安全相關的問題、政策和活動。這就要求由白宮掛帥,充分利用整個國家的力量,做到集思廣益。
導 言
什么是網絡空間:第54號國家安全總統令暨第23號國土安全總統令將網絡空間定義為:信息技術基礎設施相互依存的網絡,包括互聯網、電信網、電腦系統以及重要產業中的處理器和控制器。常見的用法還指信息虛擬環境以及人與人之間的互動。
全球相互聯接的數字信息和通信基礎設施被稱之為“網絡空間”。它幾乎成為現代社會各領域的基礎,并為美國經濟、民用基礎設施、公共安全和國家安全提供重要的支撐。信息技術已經改變了全球的經濟,并超乎想象地把人和市場聯接在一起。為充分享用數字革命帶來的好處,所有用戶必須樹立起堅強的信心,確信敏感信息是安全的,商業活動不會受到損害和基礎設施不會遭到入侵。世界各國還需要樹立信心,相信支持其國家安全和經濟繁榮的網絡是安全的、有韌性的。擁有可靠的通信與信息基礎設施將會確保美國充分發揮信息技術革命的潛力。第四十四屆總統網絡安全委員會在2008年12月的報告中明確指出,“美國網絡安全保護不力是新一屆美國政府所面臨的最緊迫的國家安全問題之一”。
保護網絡空間需要具有卓越的先見之明和強有力的領導,需要在政策、技術、教育乃至法律等方面進行變革。政府最高領導層、產業界和民間社會共同致力于網絡安全,這會使美國在加強國家安全和促進全球經濟的同時,繼續在創新和尖端技術運用方面保持領先地位。
評估的理由
網絡威脅對21世紀美國和我們盟友的經濟和國家安全構成了最嚴重的挑戰。
越來越多的國家和非國家行為體,如恐怖分子和國際犯罪集團,開始把攻擊目標對準了美國的公民、商業、重要的基礎設施和政府。他們有能力危害、竊取、篡改或完全毀壞信息。持續非法利用信息網絡和破壞敏感數據等行為,特別是由國家實施的破壞行動,使美國經濟競爭力和軍事技術優勢蒙受損失。正如國家情報總監最近在國會作證時所陳述的那樣:“信息系統、互聯網和其它基礎設施之間越來越多地聯接在一起,為攻擊者破壞電信、電力、能源管道、煉油廠、金融網和其它關鍵基礎設施創造了機會”。情報界分析認為,一些國家早已擁有了實施這種攻擊的技術能力。
日趨復雜、廣泛的犯罪活動,以及網絡事件所造成的危害凸顯出網絡空間惡意行為的危害性,包括損害美國的競爭力、降低對隱私和公民自由的有效防護、破壞國家的安全或使公眾失去信任感,甚至癱瘓社會。例如:
關鍵基礎設施失靈。根據中央情報局報告,針對信息技術系統進行的惡意活動,已經使海外多個地區的供電設施遭到破壞。在其中的一起案例中,惡意行為曾導致多個城市斷電。
惡意利用全球金融服務。據媒體報道,2008年11月,一家國際銀行付款處理器遭到惡意侵犯,導致遍布49個城市的130多臺自動取款機非正常交易達半小時之久。在媒體報道的另一起案件中,一家美國零售商在2007年遭遇了數據被破壞和個人身份識別信息丟失的惡性事件,殃及4500萬張信用卡和借記卡。
美國經濟遭受全面損失。業界估計,知識產權與數據失竊在2008年給美國造成了高達1萬億美元的損失。
本報告中提及的網絡安全政策,包括了網絡空間安全和網絡運營戰略、政策和標準,并涵蓋了全面降低威脅、減少弱點、實施威懾、國際參與、應急反應、韌性和恢復政策及行動;還包括與全球信息與通信基礎設施的安全與穩定息息相關的計算機網絡運行、信息安全保障、執法、外交、軍事和情報活動,但并不包括與國家安全及基礎設施安全無關的其它信息與通信政策。
全新的評估
因為認識到所面臨的挑戰與機遇,總統將網絡安全確定為本屆政府的優先議題,并指示對此進行60天的全面審查,以評估美國網絡安全政策與結構。評估與信息和通信基礎設施有關的所有任務和活動,包括計算機網絡防御、執法調查、軍事與情報活動,以及與之有關的信息安全、反間諜,反恐、電信政策和綜合的關鍵基礎設施保護等方面內容。由政府網絡安全專家組成的評估小組徹查了相關的總統政策令、行政命令、國家戰略和政府顧問委員會及私營部門提供的研究報告。評估小組還向政府部門和機構征求了意見,讓它們按要求就各自與網絡安全相關的特別活動、權限和能力提供材料,并要求政府部門和機構確認那些可能沒有列入評估初稿之中的新的需求或已存在的需求。于是很多的法律問題浮出水面,如集中管理問題,政府使用什么樣機構來保護私有重要基礎設施,互聯網監控軟件的安裝,自動攻擊檢測和預警的應用,聯邦政府與第三方數據共享和私人信息的保護責任等。評估小組還與聯邦政府內外廣大利益攸關方進行了溝通。小組力爭透明,與產業界、學術界、公民自由與隱私社團、州政府、國際合作伙伴以及立法和行政部門廣泛溝通,分析與評估其它相關的計劃和事務。面對各方———學術界、產業界和政府———一道努力建立值得信賴和富有韌性的通信與信息基礎設施的難得機會,評估小組給這些利益攸關方規定了評估的范圍,并要求它們就相關領域提供材料。這種溝通工作包括40多次會議,形成了100多份帶有具體建議和目標的文件。相關各方的反饋和公開說明,如國會證詞等有助于確定重大需求,指明政策差距,提出改進或合作的領域,并為與網絡空間安全相關的政策決策提供了參考。
評估小組發現,在整個信息和通信基礎設施發展過程中,各部門和機構的任務與職權是依據當時管理多樣化和分散的技術及產業的法律和政策確定的。而由此產生的各項計劃主要是用于處理當時的特定問題,未必適應今天對數字化信息高度依賴的現實。
技術對國家和經濟安全的影響促使聯邦政府調整法律和組織機構,以適應形勢發展。例如:
在1918年的一個聯合決議案中,國會授權總統掌控美國所有電報系統,并根據需要在第一次世界大戰期間使用電報系統。
1934年《通信法》決定由聯邦無線電通信委員會組建聯邦通信委員會,并為所有電報和無線電通信建立完備的規章制度,對此類技術的后繼發展產生了深遠的影響。
1965年《布魯克斯法案》規定國家標準局———現在的商務部國家標準與技術研究院———負責制定自動數據處理標準和聯邦計算機系統相關準則。
1984年,第12472號行政命令重新將美國國家通信系統特許經營權賦予聯邦政府,作為滿足國家安全和應急備用之需的聯邦電信財產。2003年,美國國土安全部接管了美國國家通信系統的經營權。
1994年,美國國務院根據《對外關系授權法》,負責管理與國際通信和信息政策有關的外交政策。
要解決“誰負責”的問題,就必須解決政府部門和機構間任務和職權分配問題,特別是在電信網絡和互聯網相互融合,以及其它基礎設施部門日益依賴互聯網,以實現互聯互通的背景下,情況更是如此。將已經發展了一個多世紀的任務職責統一起來,這就要求聯邦政府詳細闡明政策,分清政府各部門和機構在網絡安全方面各自任務和責任。評估小組對20多個聯邦政府部門和機構的反饋意見進行了分析,查明了網絡安全相關政策存在的漏洞、重疊的任務職能和相互協作的機會。
隨著威脅日益復雜,應對網絡空間風險以及部門和機構間的溝通協作也因時而變。1998年5月簽署的第63號總統令規定,在白宮的直接領導下設立了一個機構,指定牽頭部門和機構,協調相關行動,并與私營企業相應部門合作,以“消除我們重要基礎設施———特別是我們的網絡系統———在防范和抵御物理和網絡攻擊方面存在的任何漏洞”。這項政策在2003年的《確保網絡空間安全國家戰略》文件中又進行了修訂。
2003年底的第7號國家安全總統令進一步增強了這項工作。該命令賦予國土安全部全面協調國家重要基礎設施———包括網絡基礎設施———的保護工作;可跨越所有部門與行政部門指定的具體機構進行合作。這兩項政策的重點是防御性措施,第7號國家安全總統令并未包括保護聯邦政府的信息系統。2007年,《國家網絡安全綜合計劃》采取了不同的方略,其核心是把過去分散的網絡防御任務與執法、情報、反間諜和軍事能力“銜接”起來,解決各種各樣來自遠程網絡入侵和內部違規操作所造成的網絡威脅,以彌補存在的一系列不足。《國家網絡安全綜合計劃》的策略在第54號和第23號國家安全總統令中被定為法律,主要針對行政部門的網絡安全。但行政部門的網絡在美國所依賴的全球信息與通信基礎設施中僅僅占很小的份額。
本文總結了評估小組的調查結果,并介紹了有助于美國未來實現更可靠、有韌性、值得信賴的數字基礎設施的一些初步步驟。它并未對各種選擇或諸多計劃的審核提供深入的分析。相反,它提出了需要加強協調和綜合發展的政策。文章用5個主題詳細地介紹了調查結果和行動方案:一是頂層領導,二是建設數字化國家的能力,三是共同負責網絡安全,四是加強信息共享和應急反應,五是構筑未來架構。
第一章 從最高層實施領導
確保網絡空間擁有足夠韌性并值得信賴,以支持美國的經濟增長、公民自由與隱私保護、國家安全和民主體制的完善,需要把網絡安全列為國家頭等大事。只有在政府最高層領導下才能完成這一重要而復雜的任務。
由白宮實施領導由白宮掌握網絡安全相關政策的領導權并提升領導的層級,會向美國和國際社會發出明確的信號,即我們對網絡安全問題的態度是非常嚴肅認真的。許多政府的部門和機構,以及總統辦事機構將需要協調不同的職責和權限,以有效地促進網絡安全。目前,沒有一個人或一個組織專門擔負著協調聯邦政府網絡安全相關活動的職責。如果沒有一個中央協調機制、沒有更新的國家戰略、沒有各行政部門制定和協調的行動計劃,以及沒有國會的支持,靠單打獨斗的工作方式不足以應付這一挑戰。
政府行政部門早已經設立了一個由國家安全委員會和國土安全委員會共同領導的信息和通信基礎設施跨部門政策委員會,作為解決有關網絡問題的主要政策協調機構,以便獲得可信、可靠、安全和長久的全球信息和通信基礎設施及相關能力。
美國總統應該考慮再任命一名白宮網絡安全政策官,該官員應向國家安全委員會和國家經濟委員會報告,以協調全國范圍內與網絡安全有關的政策和活動。此官員將主管信息和通信基礎設施跨部門政策委員會工作,加強與總統辦事機構其它部門協調領導工作,解決各種優先任務和協調政府部門間網絡安全政策和戰略的發展。網絡安全政策官應該參與所有相關的經濟、反恐和科學與技術政策的討論和研究,并制定網絡安全長遠規劃。
要取得成功,總統網絡安全政策官必須得到總統的全力支持、擁有權威和足夠的資源,以便在政策制定和協調部門間的網絡安全相關活動中有效地開展工作。其手下至少有國家安全委員會的兩名資深主任和適當的工作人員輔佐,并至少有一名國家經濟委員會的資深主任和適量的工作人員為其工作。這些資深主任應通過網絡安全政策官向上匯報工作,并共同致力于達成本報告所設定的目標及其它國家政策。此外,為促進國家安全委員會內部的整合,委員會中的每個地區主管局和職能局應當專設一名工作人員,負責本單位職能范圍內的網絡安全事務,并與國安會新設的網絡安全局協調工作。
網絡安全政策官不應擁有管理網絡運營的責任或權力,也沒有權力自己制定政策。網絡安全政策官應當利用政府部門和機構間的協調程序,一切工作都要與聯邦政府的首席技術官和首席信息官,以及管理與預算局、科學與技術政策辦公室和國家經濟委員會等相關部門進行商議,協調整個聯邦政府有關網絡安全的政策和技術工作,確保在總統的預算中能反映出網絡安全工作是聯邦政府的優先工作,并進入立法議程。
該網絡安全政策官亦可被任命擔任白宮網絡應急反應行動官(其職能與白宮監控恐怖襲擊和自然災害的行動官員相類似),這一任命也將使美國更有效地進行危機管理;政府部門和機構將繼續擔負各自的網絡運營職責。
為了便于協調,所有聯邦政府部門和機構應該在各自內部設立一名聯絡官,負責協助白宮處理網絡安全事務。
通過政府跨部門政策制定程序,網絡安全政策官為總統起草準備新的國家戰略,以確保信息和通信基礎設施安全。這項戰略應包括對《國家網絡安全綜合計劃》的落實情況的后繼評估,并適當汲取其成功的經驗。新國家戰略應側重使高層領導集中精力和時間,消除阻擋美國實現擁有可信、可靠、安全和富有韌性的全球信息與通信基礎設施以及相關能力的障礙。該戰略將幫助政府努力提高公眾意識,恢復和建立國際聯盟及公私部門之間的伙伴關系,建立一個更加周全的國家網絡應急反應與恢復計劃,并采取積極的研究與發展計劃,催生提高網絡安全的新技術。
聯邦政府應繼續落實《國家網絡安全綜合計劃》提出的“任務銜接”原則。政府各部門和機構應加強網絡防御單位與負責美國網絡空間作戰的情報、軍事和執法單位的合作,就網絡威脅、網絡交易、網絡技術和網絡存在弱點等問題進行交流,擴大網絡經驗、知識和觀點看法的共享。此外,網絡安全政策官應當幫助協調涉及網絡空間的情報、軍事政策和戰略———包括打擊網絡恐怖主義,確保所有的任務有機融合在一起。網絡安全政策官還應當與外部的咨詢機構保持聯系。許多咨詢機構都涉足與網絡安全相關的問題,這些機構包括國家安全和電信咨詢委員會、國家基礎設施咨詢委員會、重要基礎設施合作咨詢委員會以及信息安全與隱私咨詢委員會。網絡安全政策官應審查這些機構的職能,并提出必要的改革建議使其咨詢服務最優化,并杜絕不必要的重復。
為確保公民自由和隱私權利得到保護,還需要得到其它組織的幫助。這些組織將可以在政府網絡安全計劃和公民自由與隱私團體以及公眾之間建立起信任,顯示網絡安全計劃的透明,這在網絡計劃開始實施之初尤為重要。當務之急是要建立隱私與公民自由監督委員會,加快委員會成員的選舉工作,并考慮是否尋求修訂法案以擴大其工作范圍———包括處理與網絡安全有關事務。其它可行的辦法還包括:加強政府負責公民自由事務部門與隱私顧問們就網絡安全的政策問題進行定期溝通,或在國家安全委員會內任命一名負責隱私與公民自由事務的官員(或范圍再大一些,在總統辦事機構內任命一名負責隱私和公民自由權利的官員),與私營部門隱私與公民自由團體、隱私與公民自由監督委員會和政府負責隱私與公民自由事務的官員進行協商。
與制定網絡安全政策同樣重要的是確保有效地執行和落實這項政策,以實現更遠大的戰略目標。因此,網絡安全政策官同管理與預算局、總統辦事機構其它部門協商,必須確保有效地落實網絡安全相關政策和采取相關行動。在60天的評估期間,有關各方就協調和監督網絡安全活動提出了各種各樣的辦法。一些評論家確信,強有力的行政領導,以及多年來政府部門和機構的努力,是確保美國政府擁有可以有效執行網絡安全計劃機制的重要基礎。目前,一些網絡安全監督職能都不是在總統辦事機構領導下實現的。例如,歸屬國家情報總監領導的跨部門聯合網絡特遣隊,目前負責協調和監督執行《國家網絡安全綜合計劃》。網絡安全政策官通過管理與預算局和總統辦事機構其它部門協商,應該就組織機制調整提出建議,以實現相應的監督、執行和其它的一些職能,包括在管理與預算局或總統辦事機構建立一個類似擁有跨部門聯合網絡特遣隊功能的機構,創立一個類似艾森豪威爾總統行動協調委員會的實體,或建立一些可協助評估聯邦政府部門與機構表現和監督聯邦政府網絡安全標準遵守情況的組織機構。在這樣一個辦公室成立之前,跨部門聯合網絡特遣隊將繼續執行其任務。
評估相關法律和政策
總統的網絡安全政策官應與政府部門和機構合作,提供協調一致的政策指導,并在必要時詳細說明整個聯邦政府確保網絡安全相關活動的職權、作用和責任。適用于信息和通信網絡的法律是由憲法、國內法、國外法和國際法拼湊而成的一個復雜法律體系,這一體系制約著政策選擇。在美國,這種拼湊在一起的法律混合體之所以存在,是因為聯邦政府在整個信息和通信基礎設施發展過程中,頒布了諸多法律和政策,以控制多樣化的產業和技術。
由于傳統的電信網絡和互聯網日益融為一體,以及其它基礎設施領域日益將互聯網作為互聯互通的主要手段,法律和政策應當繼續找尋出一種綜合性方法,將保護公民自由、隱私權利、公共安全、國家和經濟安全的利益與靈活多樣的網絡應用和網絡服務所帶來的好處結合起來。在一些領域中缺乏司法裁定既帶來了機遇也帶來了危險,決策者對此應充分理解———法院可以介入并規范法律的應用,特別是涉及到憲法權利的領域。制訂政策必然受到法律框架的規范和制約,而且在政策上深思熟慮有助于找出現行法律中存在的差距和爭議,讓我們知道必須要做出的法律改進。這一過程可能會根據美國的法律原則提議組建新的立法框架,對加之于信息、通信、網絡和技術上的相互重疊的法律進行合理調整,或會對已有的法律進行新的詮釋,使之適應技術變革與實現政治目標。不過,采用其中任何方式都會有風險,可能使聯邦政府保護信息和通信基礎設施的一些活動更加困難。
政府應適當地與國會進行有效合作,以確保擁有完備的法律、政策和資源用于完成美國網絡安全相關工作。國會已對國家有關網絡安全的需求表示關注,并決定由兩黨共同擔任領導,政府將會從國會的知識和經驗中獲益。與政府部門和機構共同工作的網絡安全政策官應與產業界進行協商,以便了解法律和政策給網絡運營方面帶來的影響。
加強網絡安全工作的聯邦政府領導和責任制
在數字化時代,僅僅依靠白宮將不足以領導美國實現廣泛的目標,整個聯邦政府都必須擔負起領導職責。將網絡安全列入總統議事日程的優先項目、根據既定的目標審查政府部門和機構的網絡安全工作進展等,有助于落實責任和推動工作進度。網絡安全政策官———與國家安全委員會、管理與預算局、國家經濟委員會和科學與技術政策辦公室協商———將界定工作進度和成功的標準,提高網絡安全工作在所有機構預算中的“能見度”。
要使網絡安全工作透明并對整個網絡安全投資進行有效管理,管理與預算局應利用其項目評估機制,確保政府部門和機構在追求網絡安全目標時有效使用預算。正規的網絡安全項目評估機制可以使政府部門和機構詳細說明每個計劃的意圖與目標,并建立是否達成目標的統一標準。《國家網絡安全綜合計劃》已經成功地運用了一種類似的做法。
根據2002年《聯邦信息安全管理法》要求,政府部門和機構的領導人必須承擔起責任。政府與國會共同努力,更新并強化這項法規。政府部門和機構的領導執行計劃要求各部門和機構及時匯報在確保網絡系統安全方面的工作進展情況。美國聯邦政府應制定備選方案,支持政府部門和機構落實遵守網絡安全政策的領導責任制,堅決執行相應的網絡安全程序。
提升各級地方政府網絡安全事務的領導層級州、地方和原住民保留地政府應考慮把網絡安全當成一件大事來抓,指定一名領導人專門負責,以確保首席信息官、首席信息安全官與州國土安全顧問之間的有效協調。評估小組從美國州長協會的代表那里聽到一些反映,說網絡安全是他們在保護各州重要基礎設施資產工作中最薄弱的環節。州國土安全顧問可以從若干國土安全部批準的項目中開支,用于網絡安全工作。但從歷史上看,所提供的資金在很大程度上并沒有優先用來確保網絡安全。州、地方和原住民保留地政府應考慮是否應把網絡安全當成一個大問題,并確保首席信息官、首席信息安全官與州國土安全顧問協調一致,保持強大的防御態勢。
第二章 打造數字化國家的競爭力
國家正處于一個十字路口。計算機幾乎改變了日常生活的一切,不論是在家中還是工作場所。網上銀行、網上購物和報稅等都已是司空見慣。國家的基礎設施正在經歷一場革命,數字化和網絡技術不斷通過大型系統進行整合,如智能電網和下一代空中交通系統。近期頒布的《美國復蘇與再投資法案》中的內容鼓勵發展現代信息和通信設施,以便提高美國的競爭能力,并使用技術來解決國家所面臨的最為緊迫的問題。美國面臨著雙重挑戰:在維護一個促進創新、開放式互聯、經濟繁榮、自由貿易及自由環境的同時,也要保證公眾安全、公民自由和隱私。
大眾需要明確了解技術的安全使用。另外,美國需要一個技術先進的工作組來維持其在21世紀的經濟競爭力。在學校,數學和科學必須成為首選學科。美國應發起一項K-12(注:指從幼兒園到高中的教育)網絡安全教育計劃,以便進行數字安全、道德和保護教育;擴展大學課程;并且為培養一支數字化時代的稱職的勞動力隊伍創造條件。正如總統曾提到的,“美國所面臨的挑戰中,讓我們的孩子為全球經濟競爭做好準備最為緊迫。”為了幫助完成這些目標,國家應該:
提高全民的網絡安全風險意識;建立一個教育系統以促進對網絡安全的了解,并讓美國繼續在信息技術的科研、工程和市場領域保持和擴大領先地位;
擴展并培訓用于保護國家競爭優勢的勞動力隊伍;幫助組織和個人在風險管理上做出明智的選擇。
提高公眾意識
形成對網上活動風險以及如何對其進行管理的廣泛的公眾意識,需要制定一個有效的戰略。聯邦政府應該與教育者及產業界部門一起,引導國家網絡安全的公共意識和教育。總統網絡安全政策官員應該負責這一公眾意識戰略的制定并指導其執行,并且應尋求國會、聯邦政府、地方與原住民保留地政府、私營部門及公民自由與隱私組織的支持。戰略應該涉及對公眾進行關于威脅和怎樣提高數字化安全及道德的教育。惡意行為體經常利用人們通過互聯網接受信息或提交個人信息的行為。因此,該行動應專注于公眾信息以便提高對網絡使用的責任心,并加強對欺詐、身份盜竊、網絡掠奪及網絡道德等方面的防范意識。過去在公共安全活動中的一些成功做法,例如為了防火而設置的警示牌、推廣使用汽車安全帶的提示條等,都可以當作一個模本加以利用,以便通知和幫助公眾認識到網絡安全的重要性。這些公共服務行動應該注重培養兒童的網絡安全意識,以及那些準備選擇職業的高年級學生的意識。知名人士、同技術一同成長起來的一代及新型媒體,都可以在有效傳遞信息上發揮重要作用。
加強網絡安全教育
類似于前蘇聯在1957年10月發射人造地球衛星之后的一段時期,美國處在一個以數學和科技技能為主的全球競爭之中。根據《經濟學人》中的一則報道,出色的信息技術職業者“到處短缺,但是形勢會更加嚴峻,因為所需技能的本質正在發生改變。除了技術知識以外,明天的信息技術職業者將要求在項目管理、變革管理和業務分析等方面具有專業知識”。這項研究指出,美國繼續擁有世界上最好的信息技術公司運營環境,在教育、基礎設施、創新鼓勵和法律保護等多個重要領域均具有規模和質量優勢,可幫助打造競爭力。然而,2007年至2008年關于計算機學位和入學趨勢的“托比調查”顯示,美國的計算機科學和工程學位畢業生比2004年的高峰時期減少了約一半。國家無法容忍這種衰退繼續下去。
聯邦政府以及全體機構應該擴大對關鍵教育計劃和研發的支持,以便保證國家在信息時代經濟中持續的競爭力。現有的計劃應該加以升級,或者擴大,而且其它的活動可以作為額外的計劃模式參考。例如:
2006年國家科學基金開始征集關于其“恢復計算機大學教育的途徑”的建議。這個項目試圖打造一支“具有計算機能力和技能的美國勞動力,以便推動21世紀國家的健康、安全和繁榮”。
作為直接激勵措施,不僅為那些在網絡安全教育領域追求進取的學生,同時也向那些立志在聯邦政府獲得相關職位的學生提供獎學金。國家科學基金和國土安全部為34個大學的服務計劃提供獎學金。超過1000名學生在該計劃的前8年得到了支持,其中超過80%的學生在聯邦政府獲得了工作。國家科學基金會強調,考慮到迫切需要壯大相應的勞動力隊伍,加強研究和教育之間的協同作用再怎么強調也不為過。
國家信息安全教育與研究學術中心,由國家安全局于1988年創立,從2004年開始由國土安全部共同資助,在38個州和哥倫比亞特區的94所大學推行更高水平的信息安全教育。這些中心已經同眾多知名大學建立了合作關系,包括一些社區、西班牙語和傳統黑人學院。國防部也對這些大學中的信息安全獎學金計劃提供了贊助。
全國大學網絡保護競賽、美國數學奧林匹克協會、能源部科學杯以及西門子基金數學、科學和技術競賽都提供了以競賽為導向的范例。其它范例包括國家科學基金援引國防先期研究計劃局的重大挑戰而組織的一個學術小組,馬可姆波里奇國家獎以及旨在建立高級加密標準的競賽。
擴充聯邦信息技術勞動力隊伍
總統的網絡安全政策官員應同信息和通信設施聯合部門委員會協作,考慮如何更好地吸引網絡安全專業人才,并采取措施慰留聯邦政府內擁有此類技能的職員。各個部門和機構已在吸引產業界人才方面獲得了一些成功,但由于獲取、轉移或更新安全審查需要大量的時間,這造成了機會的流失。聯邦職員還應該有機會豐富個人工作履歷和促進其職業發展,而單獨某一家政府部門常常無法提供這類機會。展開共同培訓、進行部門間輪崗甚至與私營部門之間進行可能的崗位輪換不但是一項有效的做法,而且會有利于人才素質綜合培養和專業人才庫的建立。
將提高網絡安全視為企業領導責任聯邦政府應該繼續促進在各級政府和產業界中關于威脅、漏洞和有效措施的計劃和信息分享。只有信息技術勞動力隊伍了解網絡安全的重要性是不夠的,各級政府和產業界領導需要根據現實和潛在風險,做出業務和投資決定。聯邦、地方和原住民保留地政府面臨著類似的問題。州政府經常起到革新孵化器的作用,因而可能會提供一些在管理信息和通信設施方面所得到的經驗。聯邦政府應該繼續同產業界一起確認并發布在安全設計和信息技術產品經營方面的有效措施。
第三章 共同承擔網絡安全責任
如果聯邦政府孤立地開展工作,那么聯邦政府在許多方面都不可能確保網絡空間的安全。關于這一點,公共與私營部門有著共同的利益,以確保為商業和政府服務提供一個安全、可靠的基礎設施平臺。政府和產業界領導者在國內和國際事務上,都需要界定角色與責任、整合各種能力并發現各自的問題,以便制定出整體的解決方案。只有通過這樣的合作關系,美國才能夠提高網絡安全水平,獲得數字革命所帶來的全部效益。保證網絡空間的安全,這一全球性的挑戰要求各方做出更大的努力。這一努力應尋求同私營部門進行持續的協作,通過制定全球標準來提高可被共同使用的網絡的安全,擴展法律系統打擊網絡犯罪的能力,繼續發展并推廣成功的實踐經驗,并保持穩定、有效的互聯網治理。
加強私營部門和政府間的合作關系
聯邦政府有責任保護、捍衛國家,并且各級政府有責任確保其公民的安全與健康。然而,私營部門設計、建立、擁有以及運作的大多數網絡基礎設施同時為政府和私人用戶提供支持。對于基礎設施的安全性和可靠性以及通過這些設施所發生的交易,業界和政府承擔著共同的責任,二者應該緊密合作以解決這些相互依賴性問題。聯邦政府可以采取多種不同的手段來應對這些挑戰,其中有些可能要求修改相應的法律和政策。
私營部門應幫助彌補執法和國家安全的局限性問題。當前的法律允許使用某些工具來保護政府網絡,但不是私營網絡。產業界領導者可以利用企業信息共享來幫助說明數據泄露、工業間諜活動以及服務能力喪失或降低給公司帶來的風險以及對盈利能力的影響。產業界領導者可以要求銷售商和服務供應商提供更多保證,同時承擔起開發更加安全的軟件和設備的責任。企業應想出有效的途徑,以便在彼此以及聯邦政府之間分享檢測方法、關于違規和攻擊方法的信息、修復技術及取證能力。
如果風險和后果可以以貨幣價值的形式來衡量,那么各個機構就將擁有更大的能力和動力去解決網絡安全問題。尤其是,私營部門經常試圖通過業務個案來證明以下兩方面所需的資源支出的合理性:一是把信息與通信系統安全整合到公司的風險管理之中;二是建立可以緩解風險的伙伴關系。政府可以考慮利用以激勵為主的立法或監管工具來協助形成好的價值取向,并且幫助培養一個可以促進并鼓勵伙伴關系和信息共享的環境。
總統的網絡安全政策官員應同相關部門機構及私營部門進行合作,共同考察現有的公私伙伴關系和信息共享機制,以便識別或建立最為有效的模型。過去十多年以來,公私伙伴關系促進了信息共享,并為美國重要基礎設施保護和網絡安全政策奠定了基礎。在這一段時期,聯邦政府和私營部門共同建立了大量有關網絡安全和信息與通信設施問題的論壇。
這些團體做了很多貢獻,但是由于精力分散,已使一些參與者對缺乏明確界定的角色和責任、各團體之間參差不齊的能力以及不斷增加的計劃和建議,感到灰心喪氣。結果,政府和私營部門的人員、時間及資源被大量浪費于重復、不連貫的工作中。伙伴關系必須進行轉變,以便明確界定這一關系的性質、不同團體及其參與者的角色和責任、對各方貢獻的期望,以及責任機制。聯邦政府應對各種資源進行優化、調整,然后把它們提供給現有的組織,以此來完善其識別優先等級的能力,實現更加有效的執行效率并制定響應與恢復計劃。
為期60天的評估考察了大量有效的公私伙伴關系模型。盡管這些模型功能差異很大,但它們卻共享著某些重要的特性。每一個模型都有一個定義明確的機構使命、明確參與者的角色和責任,以及清晰的鼓勵參與的價值取向。通過在成員之間培養并維持一種相互信任的氛圍,每一模型都可以減輕擔憂,否則這些擔憂可能會妨礙參與。現有的網絡安全伙伴關系也許會應用這些模型所具有的那些最為有效的特征。
評估妨礙公私伙伴關系轉變的潛在障礙
私營部門中的有些成員一直擔心,某些聯邦法律也許會妨礙私營部門和政府之間全面協作性質的伙伴關系及運作信息共享。例如,業界中的有些人擔心在現有的伙伴關系模型中,同一領域成員之間進行的信息共享和統一規劃,也許會被認為同禁止貿易限制的法律“互相串通”或相抵觸。業界還表示會有所保留地向聯邦政府透露敏感性或專有的商業信息,例如弱點和數據或網絡漏洞。這種擔憂一直存在著,即便相關的法令對此給予了保護,例如《商業機密法》和《關鍵基礎設施信息法》。這兩項法律的頒布旨在消除產業界對于《信息自由法》的擔憂。除了這些問題以外,產業界也許還會擔心共享信息所帶來的名譽損害、責任或管制影響。相反,鑒于對敏感的情報來源和方法或者個人的隱私權利的法律保護,聯邦政府有時會限制政府與私營部門共享的信息。
這些擔憂并不是孤立存在的。面對不公平競爭,各種反壟斷法律提供了重要的安全保障,并且《信息自由法》將協助確保政府的透明性,這對于維持公眾信心至關重要。公民自由和隱私團體表示,擔心不斷擴展的保護措施只不過是一塊逃避責任的合法盾牌。此外,信息與通信市場的全球性特點會使信息共享的挑戰變得更加的復雜。如果在美國運營的產業界成員是外國公司,那么強制性的信息共享或排斥此類公司加入信息共享體制,可能會對貿易產生影響。
政府應同私營部門進行創造性的合作,以便找出恰當的解決方案———同時照顧到交流信息和保護公共和私人利益這兩個方面的要求,從而采用統籌兼顧的方法解決國家安全和經濟安全問題。這些解決方案應該識別出明確的、可執行的信息共享目標,并制定事件報告標準。私營部門將更樂于分享那些不需要更改數據所有權的解決方案,例如英國模型中的做法:選擇經過審核的信息安全提供方而不是政府作為合并數據的鏈接點。
最后,聯邦政府應該請學術界、公民自由與隱私團體、開放政府的提倡者以及消費者積極參與,以確保政府政策充分考慮到了這些群體所代表的廣泛利益。幾乎沒有什么問題可以簡單地看作是一個孤立的程序、政策或技術問題。技術的變化通常會成為政策制定的考慮要素,也許會要求改變現有的程序。政策改變(例如規章或稅收鼓勵措施的通過)可以影響到采購或技術研發方面的決定。聯邦政府還可以考慮這樣的方式:它能夠把更多的資源集中到可能“改變產業界格局的”領域的研究上,例如行為與政策方面的以及以激勵為主的網絡安全解決方案。鑒于這些問題的密切相關性,更需要確保所有利益攸關方的利益都得到體現。
與國際社會進行有效的合作
國際規范對于建造安全、穩定的數字基礎設施來說至關重要。美國需要制定一項戰略,以便打造國際環境并把對一系列問題有著類似觀點的國家聚集在一起,這些問題包括有關領土管轄權、主權責任及武力使用等可以接受的規范。此外,不同國家與地區的法律和實踐———例如涉及以下多個方面的各種法律:網絡犯罪的調查和起訴、數據保存、保護與隱私,以及網絡防御和網絡攻擊響應的途徑,為打造一個安全、安定并具有韌性的環境帶來了巨大的挑戰。要解決這些問題需要美國同所有國家以及國際機構、軍事同盟與情報伙伴進行合作,包括發展中國家,它們在構建其數字經濟與設施的過程中也面臨著這些問題。
在過去十年中,聯邦的通信、基礎設施和網絡安全相關的政策都是沿著不同的道路發展。采用更加綜合的政策制定方法可以確保制定相互支持的目標,并可以讓美國通過更為有效的、恰當的立場把握其國際機遇。對于一系列獨立領域(包括網絡安全和對言論自由及其它公民自由的保護)的國家利益,美國應采用綜合的解決方法以便制定一貫的政策。
總統的網絡安全政策官員應與各部門和機構合作,加強并整合機構間制定及調整國際網絡安全立場的流程。此外,聯邦政府在繼續同私營部門的長期合作的同時,應制定一套積極參與計劃以供國際標準機構使用。這其中應包括對現有政策的評估并對立場的確定、完善或重申進行協調,從而確保與網絡安全相關的經濟、國家安全、公共安全和隱私利益都被考慮在內。包括聯合國、八國集團、北大西洋公約組織、歐洲理事會、亞太經合組織、美洲國家組織、經濟合作與發展組織、國際電信聯盟、國際標準化組織在內的十多家機構都致力于解決信息和通信基礎設施方面的問題。新組織正開始考慮與網絡安全相關的政策和活動,其它組織也在拓展現有的工作范圍。這些機構所考察的政策和所開展的活動有時會彼此沖突,并經常重合。這些組織公布的協議、標準或實踐都具有不可忽視的全球影響力。它們的絕對數量、類型,以及這些地區不同的側重點超出了包括美國在內的許多政府的應對能力。
總統的網絡安全政策官員應與各部門機構合作,加強其對國際立場、磋商和討論的識別、跟蹤和優化的能力,與網絡安全相關的協議、標準、活動和政策都是在這些過程中形成的。以往的經驗表明,美國將需要繼續參與一系列的國際活動。聯邦政府應與私營部門及其它國家密切合作,以確保各成員充分參與到相應的論壇之中,就關乎美國未來全球信息和通信基礎設施利益最重要的問題進行討論。美國及其國際盟友應利用參與區域或其它論壇的機遇,促成共同的政策目標,關注現有國際組織的工作,并減少重復性的工作。例如,國際電信聯盟和國際標準化組織都在從事關于網絡安全取證標準的制定。對于主題更為寬泛的論壇,美國也應尋求機會,以促進相關項目中有關信息和通信基礎設施的安全和發展。聯邦政府應與私營部門共同協調和發展國際伙伴關系,以應對信息和通信基礎設施相關的一系列網絡安全方面的活動、政策和機遇,這些基礎設施是美國商業、政府服務、美國軍隊以及國家的根本所在。政府和產業界間新簽署的協議應加以備案,以促進國際信息共享和戰略運營合作。對于指導對外發展及發展海外能力,聯邦政府應增加資源并提高警惕。例如,美國應加快步伐幫助其它國家建立法律框架、提高打擊網絡犯罪的能力,并且繼續推廣網絡安全方面的準則和標準。美國也應與其盟友合作,確保互聯網的穩定性和國際互用性,同時提高互聯網的安全性和可靠性,使所有用戶受益。
第四章 建立有效的信息共享和事故響應框架
美國需要建立一個全面的框架,以便協調政府、私營部門和盟國共同應對重大的網絡事故。聯邦、州、地方及原住民保留地政府應與業界合作,提前完善其正用于檢測、預防及應對重大網絡安全事件的計劃和資源。由于此類事件可能影響到政府和產業界部門之間的互聯網絡,因而在重大事件發生之前、期間和之后,對此類計劃和行動進行協調就顯得特別重要。例如,盡管收到關于“Conficker”蠕蟲病毒的提前預警和網絡防御的指示,但如果蠕蟲病毒在2009年4月1日激活時附帶惡意的有效負載,那么一些聯邦部門和機構就無法應對。
建立事故響應框架
與其他重大國家事故一樣,在發生重大網絡事故時,只有白宮有權協調與事故響應相關的一系列職能部門和權力機構。各部門和機構應按白宮總體戰略方向履行各自責任。總統的網絡安全政策官員應為白宮網絡事故應急的執行官(其職能與幫助白宮檢測恐怖主義襲擊或自然災害的執行官類似)。
聯邦政府應建立一套明確且具權威性的網絡事故響應框架,該框架在修改后的《國家響應框架之網絡事故附件》中備案。到目前為止,針對網絡事故的聯邦響應還未統一。對于涉及國家安全/應急準備通信的情況,第12472號美國總統令明確了現存的職能部門和處理流程;然而,根據當前的法律政策,各部門和機構仍各自負責決定和實施隔離、保護和恢復自身計算機網絡和數據的措施。
由于國家安全和其它聯邦網絡之間現存的法律而非人為差異,聯邦網絡事故響應的責任分散到了不同的聯邦部門和機構之中。根據事件的性質,例如重大的漏洞、犯罪襲擊,或軍事事件,不同部門或機構可能負有或承擔著主要的應急責任,而其它部門或機構則可能對此一無所知。另外,對整個事故的責任分配可能還不明確。盡管每個參與者都有著明確的專長領域和合法權利,但它們很難統一到一個單一的協調框架中。把任何權力部門合并到一個統一架構中可能都需要通過法律來實現。信息和通信設施聯合部門委員會進程應明確同事故響應相關的不同部門和機構的角色、職責及資源,必要時對其協調或補充;了解事故響應的各個方面如網絡安全、執法、情報及軍事等部門及其各自的優勢。
眾多評論家強調建立事故報告和響應門檻的重要性。網絡運營商和服務提供商每天都會處理大量尚未達到“滋擾”級別的事件。在這些低級別事故中,藏匿有相對少量的可能產生巨大影響的入侵或攻擊。其它政府和私營部門的網絡運營商很想了解此類事件的技術細節,以幫助其抵御相似的網絡威脅;執法部門和情報機構也可借此跟蹤并尋求方法制止網絡安全方面的犯罪和來自國外的威脅活動。
網絡運營和服務提供商:互聯網由管理運作和為客戶提供服務的企業聯合運營。網絡運營商建立和維護信息通信基礎設施,為客戶提供接入和寬帶服務。服務提供商提供互聯網接入網關、安全服務、存儲或處理服務,以及信息的獲取(如互聯網地址或新聞)和應用設備(如搜索引擎)。單個的公司可提供獨特的接入、信息和服務的混合組合(如社交網絡)。
聯邦政府應與州、地方和原住民保留地政府和業界合作,總結一系列威脅情況和衡量指標,以供風險管理決策、制定恢復計劃及確定研發優先順序。同時應發展建模和模擬能力,以幫助演練這些計劃并確定可能的破壞級別。
信息和通信設施聯合部門委員會應在各部門和機構中建立明晰、可執行的事件即時匯報規則,以便提高機構間響應的效率。各部門和機構在各自管轄范圍外的事件匯報存在差異,其對重大事件的即時匯報將使聯邦的整體應急響應受益。
總統的網絡安全政策官員應與信息和通信設施聯合部門委員會合作,確定發展和保持態勢感知和事故響應能力的最有效方法。《國家網絡安全綜合計劃》應繼續致力于提高聯邦網絡的防御能力,同時考慮調整實施計劃或增添內容的需要。總統的網絡安全政策官員尤其應該:
與私營部門合作,探索如何更好地將技術能力應用到國家基礎設施的防御中來,以及需要什么樣的法律框架來保障隱私權和公民自由。
審議國家網絡安全中心的運作理念及其實施,決定該中心關于責任、資源戰略和管理的提議是否充分,使其能夠提供支持網絡事故響應努力所必需的態勢感知共享信息。
繼續向可信任的互聯網接入項目的目標邁進,減少政府網絡接入的數量,同時根據對挑戰的現實評估,再次考慮項目中的目標和時間表。在過去的兩年里,一些部門和機構在減少接入數量和部署系統上取得了進步,這些系統將幫助聯邦政府阻止并檢測惡意的行為。然而,政府在充分發揮能力之前仍然有很多工作要做,而且可能需要考慮額外的政策以促進戰略的全面實施。
為了聯邦網絡的利益,適當評估并與公民自由和隱私團體繼續協商進行入侵檢測和防御系統的試點部署工作,評估這些系統的性能,并且繼續研究若將這些系統應用到州政府系統中會產生的問題。(系統中的)傳感器將對聯邦網絡獲得態勢感知信息具有關鍵作用;隨著這些部署工作的進行,政府也將從政策、法律或技術層面受益。
探索———與業界、公民自由和隱私團體協作———其它長期的入侵檢測和防御體系建構。
聯邦政府應提高自身向總統提供網絡入侵或攻擊的戰略預警的能力。聯邦政府應繼續利用國家為促進密碼技術、信息保障技術和必要配套設施的根本發展的投資。這些投資以及其它的情報能力,對于網絡攻擊的戰略預警至關重要。此外,聯邦政府應找出執法能力上的差距,或保護國家基礎設施所建立的調查權威。所有新設的權威部門需始終保障公民自由和隱私權。
美國政府應投資有助于防御網絡應急事件的流程、技術和基礎設施。內容包括增加安全檢測、投資網絡管理自動化或中央化系統,以及對某些非保密系統實施更嚴格的互聯網接入。
政府需要建立一套可靠持續的機制,以便將所有適宜信息整合在一起,形成一張共同的運行圖。聯邦網絡安全中心經常分享彼此的信息,但其中沒有一家機構可以將來自不同中心和其它資源處得到的所有信息綜合起來,制成一張不斷更新且涵蓋網絡威脅和網絡狀況的全局圖,以預報迫在眉睫的應急事故,以及支持協調事故響應。國防部負責整合關于網絡健康和狀況、入侵企圖和對自身網絡的攻擊的信息;情報界負責自身網絡;國土安全部美國電腦應急反應小組負責民事聯邦機構以及在某種程度上對私營部門負責;執法和情報機構收集與網絡有關的犯罪和國外威脅活動證據,但也需要具有處理有一定規模的犯罪活動的額外能力。
聯邦政府應考慮若信息和通信基礎設施遭受重大損害,尤其是當信息和通信網絡融為一體時,是否有充足的可用替代品或通信設施儲備。基礎設施的替換或修復也要求有額外的計劃和資源,尤其是當網絡或電網中難以替換的元件受到物理損害時。
聯邦政府應利用現有資源,在各級政府和私營部門間建立有助于防御、檢測和應對網絡應急事件的流程。聯邦政府應利用州際信息共享和分析中心、全國58座州立和地方融合中心等現有資源,幫助樹立信息和通信基礎設施方面的態勢感知意識。
加強信息共享,提高事故應對能力
信息是防御、檢測和應對網絡事故的關鍵。網絡軟硬件提供商、網絡運營商、數據擁有者、安全服務提供商以及某些情況下的執法或情報機構可能各自擁有信息。這些信息能夠幫助檢測和了解復雜的入侵或攻擊問題。只有將上述各類信息來源整合起來,才有可能全面了解事故并做出有效的響應,使所有人受益。
聯邦政府應與州、地方和原住民保留地政府及私營部門(包括數據擁有者、網絡運營商及隱私和公民自由專家)合作,尋求網絡安全方面的信息共享方案,消除有關隱私和專有信息的擔憂,使信息共享符合國家的利益,達到互利的目的。鑒于私營企業關心其信息的潛在使用問題,政府必須保障其隱私權、做到執法公正、保護情報來源和方法,以及可能導致不公平競爭優勢的政府信息。為了解決這些擔憂,政府和私營部門都需要做到透明、誠信。可選方案包括:
設立一個政府和私營部門都信任的第三方非營利性非政府組織,作為政府和私營部門共享信息的平臺,以此提高政府和私營部門之間的關鍵網絡安全性。此類組織可使用商業服務,并且不會擾亂日益壯大的安全服務市場。
聯邦政府(如執法機構)與個體公司或公司集團(可能還有州、地方和原住民保留地政府的參與)之間持續的約束,在特定的部門或區域內實現一定程度自愿性的信息共享,超越在更廣泛的背景下實現的信息共享。
美國政府應與受影響方和國會協商,考慮制定適當的信息共享激勵措施。作為最后的手段,這些措施可包括綜合方案中的監管措施,以滿足社會對健全和具有韌性的關鍵基礎設施的利益需求,保障公民自由和隱私權,維護作為美國經濟系統基礎的、公正公開的經濟市場。加密或控制接入認證等強化隱私保障技術可減少信息共享中的某些風險。
聯邦政府應全面評估妨礙網絡安全信息共享的有關安全分級和人員涉密等方面的政策,同時尋求信息共享改善方案,并確保公民自由和隱私權得到保障,敏感信息得到適宜的保護。聯邦政府各部門和機構當前關于信息搜集,使用、保留和散布的政策很大程度上都是基于法定權限、對隱私和公民自由的關注、對來源和方法的擔心以及歷史慣例而來。這些政策嚴重阻礙了聯邦政府間的網絡安全信息共享。此次評估應將聯邦政府通過安全性和適用性改革倡議所取得的進展考慮在內,同時也要考慮信息共享環境在檢查安全和適用性處理組件的所有方面時所做出的努力。
聯邦政府應與私營部門合作,制定私營部門網絡運營商向聯邦政府進行事件匯報的標準。業界表達了作為受害者對匯報其網絡事故的擔心,包括隨之而來的股東的擔憂、市場反應或監管行動所帶來的潛在消極影響。一家業內機構提議成立政府—企業工作組,設立具體到部門的網絡事件門檻,以保證將信息匯報給安全官員。需制定相應的規則并監督政府對此類信息的使用,以保障隱私權和公民自由。另一完善報告程序的途徑是考慮適當的數據破壞通知法案,要求企業將相關信息通知給公眾和政府,其中包括可進行調查的執法部門。聯邦政府也應檢查已有的市場監管匯報規定的有效性和工作范圍。與此同時,聯邦政府需制定與私營部門進行事件匯報共享的流程和規則。這些規則的制定需考慮事件的分類和隱私問題。另外,聯邦政府應協助研究團體獲得網絡安全事件的數據,并對此加以適當控制。這些數據可用來開發工具、測試理論和制定可行性解決方案。此類共享需要解決關于敏感或專有數據及個人身份信息的保護問題。
聯邦政府應努力擴大與主要盟友在網絡事件和漏洞方面的信息共享,尋求改善網絡安全的雙邊或多邊安排,并確保這些安排符合美國其它方面的經濟和安全利益,使公民自由和隱私權得到保障。國際合作為美國政府與私營部門的合作帶來了更多挑戰。若美國政府計劃與其它國家共享美國私營企業的行業信息,則國內合法的私營部門關于信息共享的擔憂將會增加。私營部門和聯邦政府再次需要做到明晰和誠信,來控制、散發和使用私營部門與政府共享的信息,包括對使用美國和國際社會之間共享信息的理解。
提高所有基礎設施的網絡安全性
聯邦政府應與私營部門合作,明確公私伙伴關系的職能,以做好私有關鍵基礎設施和重要資源的防御工作。聯邦政府的核心責任之一即是共同保護私有關鍵基礎設施不受武裝攻擊、物理入侵或國外軍事力量、國際恐怖分子的破壞。同樣,政府也在保護這些基礎設施不受罪犯或國內恐怖分子的破壞上發揮著重要作用。然而,若攻擊是通過計算機網絡遠程進行而非直接的物理行為,那么政府應對相同行為人,對相同基礎設施施加的相同損害負多大程度的責任,這個問題尚未解決。大多數網絡運營商和服務提供商都將自身網絡的維護和防御工作歸為自己的責任,但私營部門的重要組織已表示,業界希望形成一個工作框架,在此框架下政府將追捕惡意行為人,為私營部門運營商提供信息和技術支持,幫助私營部門保護自身網絡。
在網絡安全解決方案的制定過程中,聯邦政府應考慮出臺鼓勵集體行動和競爭的激勵措施。例如,網絡空間至今還未出現“照顧標準”的法律概念。可能的激勵措施包括調整法律責任(安全改善后責任減少,安全條件差則導致責任增加)、補充賠償、稅收鼓勵政策、以及新的監管規定和執行機制。
總統的網絡安全政策官員應與各級政府、私營部門及國際伙伴合作,制定戰略和計劃,鼓勵創新型網絡安全解決方案,確保基礎設施系統的安全和韌性。基礎設施范例包括:
政府應協助世界銀行、國際貨幣基金組織等國際金融機構,向其提供必要的信息、工具及專業知識,并鼓勵其運用最佳準則來保護自身的信息系統。2008年這些機構的系統曾遭受一系列的嚴重入侵。
《美國復蘇與再投資法案》通過儲備基金來推廣醫療信息技術的使用。隨著電子記錄保存(系統)在互聯網上的日益普及和獲取這些信息的便利性,病人信息的保護工作將事關美國政府可否得到公眾的認可。
能源部應與聯邦能源監管委員會合作決定是否需要為能源方面的工業控制系統另行制定安全執行令和程序。另外,隨著新的智能網技術在美國的普及,聯邦政府務必要制定和通過相應的安全標準,以避免為對手制造可乘之機,侵入上述系統或對其發動大規模攻擊。
交通部下屬的美國聯邦航空管理局在維持現有系統的同時,已制定了向下一代空中交通控制系統過渡的長期計劃。交通部檢察長于2009年3月18日在眾議院航空交通和基礎設施小組委員會上作證時稱,需要評估潛在的安全漏洞,制定一套健全的網絡安全戰略和設計方案。
第五章 鼓勵創新
對于韌性的要求:基礎設施必須具有一定的恢復能力以防物理破壞、非法操作和電子攻擊。除了對本身信息的保護,減輕網絡空間風險的戰略必須側重于訪問基礎設施的設備,基礎設施提供的服務,網絡的支持要素及所有用于移動、存儲和處理信息的手段。這一戰略還必須包括預防、減緩和應對針對運營并受益于基礎設施的人員所遭受的威脅或破壞,運營或利用基礎設施的程序以及用于建造并維護基礎設施的供應鏈。
信息與通信部門正在創建一個聚合平臺,在此平臺上數據、音頻和視頻應用占用共同的基礎設施。當前國際互聯網模型的分散性質,可以允許個人和企業家在無需得到許可的情況下,開發并配置創新的應用程序。創新帶動了價值數十億美元的新型業務,它們徹底改變了用戶與網絡及用戶彼此之間的互動方式。隨著科技對美國越來越重要,對于這一不斷演變發展的基礎設施,保持信心和信任至關重要。總統已呼吁聯邦政府同業界保持合作,共同開發“下一代的安全計算機和應用于國家安全的網絡互聯”,制定“新的、嚴格的網絡安全與物理恢復力新標準”,以及“保護個人數據的標準”。
美國應充分利用技術創新以便消除網絡安全擔憂。雖然市場上早就存在著許多可以明顯增強安全性的技術和網絡管理的解決方案,但由于成本或復雜的原因這些技術和解決方案并沒有得到廣泛的使用。另外,鑒于國際互聯網基礎設施的內在設計,現有的解決方案已發揮到了極限,無法再繼續提高。從長遠來看,開放和創新將有助于建立一個透明且責任明晰的更加強大的基礎設施。聯邦政策必須滿足國家安全要求,保護知識產權,并且要保持基礎設施的可用性和連續性———即便在其遭受強勁對手攻擊的情況下。聯邦政府還必須注意不要制定一些不必要的政策與規章,它們可能會妨礙創新、導致低效率或使安全性降低。
未來
根據2006年的國家研究院報告《振興美國的通信研究》一文指出:“通信網絡是龐大、復雜的系統,其可靠性、安全性及演化性取決于連貫的、構思良好的架構概念的發展。”這一報告還指出:“有多家廠商的產品被用來配置美國的電信基礎設施并提供服務……(它們)超越了供應商的服務范圍。由于業界正朝著水平結構發展并且其分解出了大量的小型公司,不論是廠商還是服務提供商都不會準備去負責終端對終端系統的設計。”
這樣一來,在處理政策、標準、研究、市場開發或采購問題時,就沒有可以用來指導私營部門、學術界和政府做決定的統一建議。聯邦政府、私營部門及其它利益攸關方應共同制定未來基礎設施的技術中立的性能和安全目標,既滿足其作為消費者的自身需求,同時又發揮其作為公眾利益管理人的作用。聯邦政府同其合作伙伴應針對具體的部門和組織,分別制定一系列綜合的全國信息與通信基礎設施目標。這些目標可以參考不同的計算平臺模型或網絡控制概念,以及通過政府、學術界或業界的研究項目產生的技術解決方案。
數據和服務向第三方的聯網服務器的移動被稱作為“云朵”,這為全球的私營部門和政府帶來了新的政策挑戰。跨越司法管轄邊界的數據移動帶來了以下三方面的挑戰:法律執行、不同國家分別制定的隱私與公民自由保護,以及出現數據或網絡漏洞時的決策責任。有些客戶會試圖限制服務提供商移動或存儲數據的地點,而另一些跨國經營客戶則會尋求利用地理和時區的差異性。
基礎設施安全構想:眾多的機構和部門都在努力制定某些科技或基礎設施部門的遠景規劃。例如,美國能源部與業界合作于2005年推出了一個為期10年的路線圖,以便發展用于電網的控制系統。這一計劃期望達到的目標是,截至2015年,“將實現關鍵應用控制系統的設計、安裝、運作和維護以便能夠承受蓄意的網絡攻擊,同時不會喪失重要的功能”。國防部先期研究計劃局的顧問小組把對當前基于《互聯網協議》的網絡防御稱作是一項虧本的買賣,呼吁“對可供選擇的基礎設施進行單獨的考察”,從而完成對最佳候選基礎設施的實驗與評估。根據2009年3月的一份簡報,國防部先期研究計劃局正進行一項為期6個月的候選基礎設施分析。
研發框架與基礎設施開發的結合在總統網絡安全政策官的領導下,聯邦政府應與其它的總統辦事機構部門及信息和通信設施聯合部門委員會進行合作,提供研究與開發戰略———專注于可以實現基礎設施目標的、具有變革意義的技術框架,進一步完善當前的網絡和信息技術研發戰略及其它與研發相關的工作。聯邦政府應擴大這些戰略同業界與學術研究努力的協調,以便避免重復性的工作,利用具有互補性的功能和議事日程并使之同步,并且確保實現該技術換代并進入市場。
為了提高美國的競爭力,聯邦政府應與業界合作,共同制定換代路徑和刺激措施以便快速促進研究與技術開發,包括鼓勵學術界與業界實驗室之間的協作。
聯邦政府還應與私營部門及其它利益攸關方合作,利用基礎設施目標和研發框架為國家與國際標準機構制定目標。
建立身份管理
如果不能提高認證水平,我們就無法提高網絡安全性。身份管理不只是用于人員認證。認證機制還可以幫助確保在線交易,僅涉及那些對于網絡和設備而言可以信任的數據、硬件和軟件的交易。盡管大多數系統今天都適于進行網絡交易,但人們用于建立信任的電子提示技術等也許還沒出現、不完整或者難于理解,起不到應有的作用。身份管理也許能夠為可信任社團的個人和組織提供幫助,這些社團都是基于不同程度的身份公開和彼此約定的責任制而建立的。同時,它還可以排除不受歡迎的入侵者或不適當的會員請求。身份管理通過對個人識別信息的發布進行額外的保護,還可能提高隱私水平。
聯邦政府與業界及公民自由與隱私社團合作,應共同制定一個基于網絡安全的國家身份管理構想與戰略,為此需要考察一系列的方法,包括提高隱私水平的技術。聯邦政府必須通過大量的信息、服務與福利計劃同公民展開互動。這樣一來,政府才會對保護公眾的隱私信息產生興趣。在線交易變得日益普遍,涉及金融、衛生與商業等諸多方面,需要一個在交易方之間建立信任的基礎。
對于高附加值的業務(例如智能電網),國家應該建立一系列可以選擇加入的、能夠相互配合的身份管理系統,以便為在線交易建立信任并提高隱私水平。
國家科學技術委員會下設的生物測定和身份管理附屬委員會于2008年發布了一項報告,該報告提供了一個未來聯邦身份管理構想以及一系列的研究與開發建議。聯邦政府應把這項報告作為身份管理戰略的一個出發點。
聯邦政府應與國際伙伴進行合作,共同制定相關的政策,鼓勵發展可以信任的全球體系,這種系統需要保護隱私權和公民自由并控制旨在保護公民與基礎設施的法律實施活動的適當利用。
在國土安全第12號總統令的指導下,聯邦政府正尋求在聯邦事業中運用可相互通用的聯邦身份認證機制。聯邦政府應確保在聯邦機構全面落實第12號總統令時,相關的資源都是可以利用的。聯邦政府還應考慮讓以下兩方在國家緊急狀態期間也能夠使用聯邦身份管理系統:重要基礎設施的運營商,以及私營部門緊急響應與維修服務提供商。
全球化政策與供應鏈的整合
信息技術革命及自由貿易政策帶來的結果之一,是為在全球范圍內分布有設備設施的公司建立了一個全球性的環境,用于其信息與通信產品的研究、設計、制造與服務。這一全球市場通過為美國的高科技商品和服務打開世界范圍內的市場,給美國創造了巨大的利益。然而,新的制造、設計與研究中心在全球范圍內的出現,使人們更加擔憂微小的硬件或軟件操作會更加輕易地導致計算機和網絡的崩潰。仿造產品已帶來了非常明顯的供應問題,但記錄在案的明確、蓄意的破壞的例子卻很少存在。
需要對風險管理進行一種廣泛的整體分析,而不是全面地否定外國產品與服務。供應鏈攻擊所面臨的挑戰是,老練的對手也許會縮小目標范圍,僅專注于特殊的系統,這樣基本上就會使操作變得讓人無從察覺。國外制造的確會給民族國家的對手帶來更加容易的破壞產品的機會,但是,通過招募重要的內線人員或其它的間諜活動,也可以實現同樣的目標。
最好的防御也許是通過持續的創新來保證美國的市場領導地位。創新可以提高美國的市場領導地位,并且促進在維護具有彈性的、多樣化的供應鏈與基礎設施方面的最佳實踐的應用。總統網絡安全政策官與各部門機構應:
以國家安全局為國防部所做的工作為基礎,通過綜合服務管理局制定商業產品與服務的采購戰略,以便建立市場激勵機制,使安全成為硬件與軟件產品設計、新的安全技術及安全的托管服務的一部分;
擴大同州、地方與原住民保留地政府及國際合作伙伴的合作關系以便使這些采購的市場影響最大化;
同國會一起識別相關的機制,以便能夠讓各部門機構在適當的特定情形下,在做出購買決定時考慮到相關的威脅信息;
從經濟和威脅的角度出發,與業界一起提供威脅信息并確認管理供應鏈和內部風險的最佳方案。
保持國家安全/應急準備的能力
聯邦政府保護美國民眾和提供共同防御的義務,包括負責確保國家在危機時刻能夠進行通信并做出響應。通信系統可能會最先遭受此類事件的沖擊,因此必須具有可以恢復的韌性或能力,以便應對響應并保護政府的職能。《1934年通信法》授權總統當國家處于從“公共危險”到“戰爭”的不同警戒等級時,如果他認為有必要維護國家安全或防御并且存在必要的臨界條件的話,他可以運用、控制或者中止聯邦通信委員會管轄下的通信服務、系統和網絡。第12472號行政命令要求建立一個政府和業界聯合的國家協調中心以便為通信服務或設施在所有危機或緊急情況下的啟動、協調、恢復或重建提供幫助。關于“國家連續性政策”(2007年5月4日)的國家安全第51號總統令暨國土安全第20號總統令在聯邦政府內對有關連續性通信的職責進行了分配。
國土安全部正在努力朝著這一目標前進:幫助國家安全和緊急狀況用戶提供下一代網絡的聚合信息服務,并確保在各種災難及其它會致使公眾用戶遭受通信服務嚴重惡化或中斷的事件期間,其所提供的服務具有極大成功的可能性。下一代網絡在國家安全方面的改進將包括數據、音頻與視頻等多種服務。由于主要運營商和服務提供商所構想的各種架構具有較大差異,這會使得國土安全部的努力變得復雜化。為此,國土安全部正在考察、比較不同的方案,并爭取在提交給標準組織進行考核的方案上與業界達成一致。聯邦政府應:
針對下一代網絡的國家安全與應急準備通信的能力,制定一個協調計劃,包括進度時刻表與經費開支要求;提供聯邦政府可以獲取的附加服務的選擇,或者引導政府將用在信息與通信基礎設施上的投資用于提高在自然災害、危機或沖突時期的通訊設施的存活性;與國際合作伙伴與標準制定機構進行配合,以便在遍布全球范圍內的下一代網絡環境中維護下一代國家安全/應急準備的通信能力;確保與行政部門連續性通信基礎設施和下一代服務計劃的開發相關的努力得到足夠的人力資源支持。
第六章 行動計劃
近期行動建議
⒈任命一名網絡安全政策官,負責協調全國的網絡安全政策與活動;該官員同時具有國家安全委員會和國家經濟委員會雙重職責。在國家安全委員會內增設一個職能強大的局,在網絡安全政策官的領導下,協調政府部門間的網絡安全戰略和政策的制定。
⒉為總統批準實行確保信息和通信基礎設施安全的最新國家戰略做好準備。這一戰略應包括對《國家網絡安全綜合計劃》落實情況的評估,明確可以進一步發揮其成功經驗的相關領域。
⒊將網絡安全列為總統議事日程的優先項目,并制定工作業績指標。
⒋在增設的國家安全委員會網絡安全局中指派一名官員,負責公民隱私和自由權利事務。
⒌召集政府相關機構,就在制定政策過程中遇到的網絡安全相關事宜進行清除跨越部門界限的法律分析研究;并制定統一的政策指導,以明確政府各部門網絡安全工作的任務、職責和權限。
⒍發起一場促進網絡安全公眾意識的全國性教育運動。
⒎發展并完善政府對組建國際網絡安全政策框架的觀點與立場,加強與國際伙伴的關系,主動創新,解決所有與網絡安全相關的問題。
⒏制訂網絡安全應急反應計劃;啟動旨在加強政府與私營企業伙伴關系的對話,理順關系、加強協作,為擴大私營企業的參與并發揮其作用創造條件。
⒐與總統辦事機構其它部門合作,制訂出一個研究和發展戰略的框架,側重發展有助于提高數字基礎設施安全性、可靠性、韌性和可信度的革命性技術;讓研究界有權使用涉及重大事件的數據,以便開發手段,測試理論,并找出可行的解決辦法。
⒑建立基于網絡安全的身份管理構想和法律規定,以滿足隱私和公民自由權利的關切,指導與加強隱私權保護的相關技術發展。
中期行動建議
⒈對于有關法律解釋、政策應用及網絡操作權限的機構間的分歧,改進其解決的過程。
⒉使用管理和預算局項目評估框架來確保各部門機構在追求網絡安全目標時使用基于績效的預算編制。
⒊擴大對關鍵教育項目和研發的支持,以便確保國家在信息時代的經濟環境中保持持續的競爭能力。
⒋制定擴充與培訓勞動力的戰略,包括吸引并維持聯邦政府內的網絡安全專門技術人才。
⒌確定最高效、最有效的機制以便獲得戰略性警報、保持情態感知能力和事故響應能力。
⒍制定一系列的威脅情景和指標,用于風險管理決策、恢復規劃及研發的優先順序確定。
⒎在政府和私營部門之間制定一項程序以便協助防范、偵測并響應網絡事故。
⒏建立網絡安全相關的信息共享機制,消除有關隱私與專有信息的擔憂并使信息共享具有互利性。
⒐制定相應的解決方案,要求在自然災害、危機或沖突時期可以提供應急通信能力,同時確保網絡的中立性。
⒑擴大與重要同盟之間有關網絡事故和弱點的信息共享,并尋求雙邊和多邊安排,這種安排將可以在提高經濟與安全利益的同時,保護公民自由和隱私權。
⒒鼓勵學術界和業界實驗室之間的合作以便制定換代路徑,以及鼓勵快速采用研究與技術開發創新的刺激措施。
⒓利用基礎設施目標和研發框架來幫助界定國家與國際標準制定機構的目標。
⒔對于高附加值的業務(例如智能電網),建立一系列可以選擇加入的、能夠相互配合的身份管理系統,以便為在線交易建立信任并提高隱私水平。
⒕完善政府采購戰略,并且對于具有韌性且安全的硬件與軟件產品、新的安全創新及安全的托管服務,建立市場激勵機制。
第二篇:美國國土安全部2011年網絡安全戰略報告全文
報告在《四年國土安全評估報告》的基礎上撰寫,列出了兩大行動領域:保護當前的關鍵信息基礎設施,建設未來的網絡生態系統。指出保護關鍵信息基礎設施的四項目標是:減少網絡安全風險;快速應對網絡安全事件、提高網絡恢復能力;共享網絡安全信息;增強網絡抗壓能力。此外,報告提出加強網絡生態系統建設的四項目標:提高個人和組織安全使用網絡的能力;研發和應用更可信的網絡協議、產品、服務、配置和架構;構建合作型網絡社區;建立透明的安全流程。該報告的撰寫意圖是呼吁保護對美至關重要的關鍵基礎設施,并在一段時間后開發出更強大的信息和通信技術,使政府、企業和個人更安全地使用互聯網。
【本刊訊】美國國土安全部網站12月12日發表2011年網絡安全戰略報告,題為《確保未來網絡安全的藍圖》,副題為《美國土安全相關實體網絡安全戰略報告》,全文如下:
部長致辭(美國國土安全部部長珍妮特納波利塔諾)我很高興公布《確保未來網絡安全的藍圖———美國土安全相關實體網絡安全戰略報告》(以下簡稱報告)。報告是根據《四年國土安全評估報告》要求公布的,反映了網絡空間對我們經濟、安全以及生活方式的重要性。
我們致力于建設的網絡具有以下作用:推動創新和繁榮,推進經濟利益和國家安全,并將保護個人公民自由、隱私權納入美國土安全部的網絡活動當中。報告為打造這樣的網絡提供了藍圖。報告旨在保護對美國至關重要的關鍵基礎設施,并在一段時間后開發出更強大的信息和通信技術,使政府、企業和個人更安全地使用互聯網。
維護網絡安全人人有責,我們每個人都需在這方面發揮作用。網絡安全威脅日益嚴峻,需要整個社會———包括政府執法部門、私營企業乃至公眾參與維護網絡安全。當前,美面臨多層次的網絡安全威脅。構成網絡安全威脅的主體既有黑客和有組織犯罪團體,也有擁有先進技術的國家。個人和組織嚴密的團體利用網絡薄弱環節盜取美國的知識產權、個人信息及金融數據。網絡竊密技術日益先進以及網絡安全事件不斷增多,對我們的經濟競爭力構成潛在威脅,并削弱了公眾獲得基本網絡服務的能力。政府、非政府組織、私營部門乃至個人、家庭以及社區必須同心協力,有效減少網絡安全風險。
州及地方政府、產業界、學術界、非政府組織及許多具有奉獻精神的個人都為報告的撰寫做出了貢獻。他們的參與使國土安全部獲益良多,在此謹致謝意。國土安全部還與聯邦政府各個部門密切協同,完善這一報告,并確保報告與《2010年國家安全戰略報告》、《網絡空間行動戰略報告》以及《網絡空間國際戰略報告》保持一致。
我還想感謝國土安全部各位同仁、成千上萬的網絡科學家、系統工程師、執法人員以及為保護網絡安全忘我工作的其他專業人員。我很高興代表他們發布這份報告。
摘要
報告為建設可靠、安全及具有恢復能力的網絡提供了一個明確方案。報告是在《四年國土安全評估報告》基礎上撰寫的。在該報告的指導下,美各級政府、私營部門以及國際伙伴能夠密切合作,增強維護網絡安全的能力。這些能力對于我們的經濟、國家安全以及公共衛生和安全至關重要。報告列出了兩大行動領域:保護當前的關鍵信息基礎設施,建設未來的網絡生態系統。報告旨在保護最為關鍵的系統和資產,并推動人機協同方式的根本轉變,以確保網絡安全。在維護網絡安全活動過程中,保護公民自由及隱私權是國土安全部的一項基本要求。
報告列出了保護關鍵信息基礎設施的四項目標:
減少網絡安全風險
快速應對網絡安全事件、提高網絡恢復能力
共享網絡安全信息
增強網絡抗壓能力報告將上述四項目標細化成九項具體目標。能否實現這九項目標取決于美國國土安全相關實體的能力建設情況,而這些能力在實際工作過程中將轉化成具體措施。美國國土安全相關實體需要綜合運用這些措施,以有效地預測和應對各種網絡安全威脅。報告中介紹的一些措施在當前行之有效,而其他措施則需要進一步完善,還有一些措施需要進一步論證。為實現上述目標,有必要建立一個相互協作并能做出快速反應的網絡安全社區。
報告還提出了加強網絡生態系統建設的四項目標:
提高個人和組織安全使用網絡的能力
研發和應用更可信的網絡協議、產品、服務、配置和架構
構建合作型網絡社區
建立透明的安全流程報告將上述四項目標細化成十一項具體目標。這些具體目標能否實現取決于報告中提到的一系列能力建設情況。
構建可靠、安全和具有恢復能力的網絡環境的工作包括:評估網絡安全能力建設的進展、確定這些能力能否有效應對不斷演變的安全威脅。根據上述評估結果,我們將對每年工作表現進行對比。這種方法將指出我們在能力建設方面的成績和不足,明確下一步努力方向。
網絡空間支撐著美國生活的方方面面,并為美國經濟、民用基礎設施、公共安全及國家安全提供了重要支持。保護網絡空間需要遠見、強有力的領導及國土安全相關實體所有成員的共同努力。美國土安全部撰寫這份報告的目的,就是為了探討美國家安全相關實體如何更好確保網絡安全。
引言根據2010年《四年國土安全評估報告》制定的戰略框架,國土安全相關實體實施行動的共同目標是:確保美國本土的安全,并有能力抵御恐怖主義及其他危險。為實現這一目標,《四年國土安全評估報告》明確提出了五項核心任務,其中重點強調了網絡安全對國家的重要性。
所有國土安全相關實體都有責任完成上述任務。來自各級政府、私營部門和非政府組織的個人都參與了上述任務。除國土安全部等正式肩負網絡安全責任的機構外,每臺電腦的所有者和關鍵基礎設施的所有者及操作者都有責任維護網絡安全。國土安全相關實體在維護網絡安全過程中擔負的責任和發揮的作用,反映出其規模龐大、豐富多樣及相互依賴的特性。
《四年國土安全評估報告》將網絡空間安全確定為核心任務的依據是總統發布的《國家安全戰略報告》,該報告包括:
宣布數字基礎設施是國家的戰略資產;
將網絡威脅視為最嚴重的國家安全、公共安全及經濟挑戰之一;
并將數字基礎設施的防護作為國家安全的重點。國土安全部發布《確保未來網絡安全的藍圖》的目的,是為國土安全相關實體落實《國家安全戰略報告》相關內容和實現《四年國土安全評估報告》提出的目標提供一套明確的行動計劃:
建立安全和有抗壓能力的網絡環境
推廣網絡安全知識和推進網絡安全技術創新該報告的唯一指導原則是:在保護現有關鍵信息基礎設施的同時,建設未來更為強大的網絡生態系統。這一原則將指導資源的優化組合,從而系統地發展維護網絡空間安全所需的多種能力。
范圍
2002年《國土安全法》、第7號國土安全總統行政令、第54號國家安全總統行政令及《2002年聯邦信息安全管理法》等文件指出,國土安全部在聯邦各部門中負責牽頭實施以下任務:保護聯邦政府文職部門的信息和通信系統,與相關部門和企業合作保護關鍵基礎設施,與各級政府合作保護其信息系統。“國家基礎設施保護計劃”、“國家快速反應框架”等文件描述了國土安全部及其他聯邦政府部門在確認和保護國家關鍵基礎設施中的作用。但聯邦政府僅僅是國土安全相關實體中的一部分,該戰略能否成功需要相關各方的共同努力。尤其要指出的是,網絡安全需要公共和私營部門在信息共享、創新、推廣經驗等領域展開強有力的雙向合作。
從上述內容看,本報告旨在向國土安全相關實體提供實際和有意義的指導,使其能夠確保網絡空間的安全,并使所有希望能安全使用信息及通信技術的人受益。
與其他重要政策和戰略的關系本報告支持以“政府一盤棋”的方式維護國家安全,并在制定過程中充分考慮了當前的國家網絡空間戰略和政策,其中包括:《白宮網絡空間政策評估報告》、《網絡空間國際戰略》、《打擊跨國有組織犯罪戰略》、《綜合國家網絡安全倡議》、第7號國土安全總統行政令、第54號國家安全總統行政令、《網絡空間可信任身份國家戰略》及《國防部網絡空間行動戰略》。
動機
美國高度依賴網絡空間。網絡空間是現代社會的支柱之一。但網絡技術在豐富我們的專業和個人生活的同時,也賦予一些人擾亂或破壞我們生活方式的能力。保衛和控制網絡空間隸屬國土安全工作的范疇,是因為可能導致嚴重后果的大規模網絡事件將損害公共和私有部門的重要功能與服務,影響我們的國家安全、經濟活力及公共健康和安全。
由于惡意使用網絡者正在使用越來越復雜的手段、技術及程序,網絡事件的數量和復雜程度不斷上升:
關鍵基礎設施必須能夠抵御復雜和持續的破壞行動,并做好應對更多破壞性攻擊的準備。這種破壞行動可以削弱或擾亂我們所依賴的基本服務。
政府機構必須防備可能移除或損毀敏感數據并干擾重要服務的非法行為。
大型企業、小企業和非營利組織面臨著技術日益復雜的入侵行為,其對象主要是上述機構的消費者和客戶的知識產權及個人信息。
消費者面臨的風險通常是個人信息被盜,入侵者主要通過互聯網上無數的站點實施未經授權的入侵行為。
戰略預想
盡管我們無法預測未來網絡空間的具體情形,但我們必須制定一套充分掌握正在塑造未來網絡空間的各種力量要素的相關戰略,以確保美國擁有在網絡空間中的領導、影響和應變能力。鑒此,該戰略應建立在以下預想之上:
惡意網絡行為的數量和復雜程度的不斷提升,要求我們共享網絡安全信息,快速應對網絡安全事件,打造一支專業的網絡安全人才隊伍。
社會、經濟和產業領域對信息和通信技術的依賴不斷加深,不僅有助于提高生產力和促進創新,而且也增加了網絡用戶群、擴展了網絡技術設施以及需要保護的網絡路徑。
網絡發達的互通性使其超越了地理邊界,為國際合作提供了極大便利。但其存在的風險也從根本上改變了美國安全威脅的構成,這就要求我們調整現有的安全和威懾機制。
隨著網絡數據信息的急劇膨脹,分散和遠程的網絡管理既提供了新的機遇,也帶來了更多的安全挑戰。移動技術的發展使入侵者更容易獲得敏感信息。網絡風險的差異和個人、機構等對網絡安全等級要求的不同,使以往“一刀切”式的安全防護措施不再有效。相關部門應制定一套基于風險的應對方案,使之能夠隨時進行調整、重點關注網絡輸出和運行情況、提高用戶應對能力、促進創新和符合費效比原則。
信息和通信技術供應鏈的全球化為促進創新和鼓勵競爭提供了機遇,同時也帶來了更多風險。
第一章 我們所追求的未來
信息革命幾乎改變了我們日常生活的方方面面。可靠的數字化基礎設施將為創新和經濟繁榮提供一個持續的平臺,并使我們能夠在遵循我們核心價值觀的情況下,推進美國的經濟和安全利益。為使我們的下一代發揮出信息革命的全部潛力,國土安全相關實體必須確保建立可靠、安全和具有抗壓能力的網絡空間,同時提升網絡安全意識和創新能力。這一復雜而高強度的行動需要大量研發投入并經過實踐的檢驗。本報告將為此提供強有力的基礎。
根據《四年國土安全評估報告》的相關要求,國土安全相關實體應致力于創建:
一、安全的網絡空間
保護美國及其民眾、核心利益和生活方式未來,我們將在確保網絡空間安全方面取得重大進展。國防和創新領域的敏感信息將得到進一步保護。美國民眾在進行網上交易時將更有信心,影響關鍵信息基礎設施的安全風險將被降至最低。個人和機構將具有較強的網絡安全意識,并能采取相應的安全措施。美國國內及國際網絡安全政策、法規將能及時反映當前的網絡環境狀況,并預見到未來的安全需求。監管機構擁有必要的網絡工具和人才隊伍,以確保各機構落實相應的安全措施。各國成為負責任的網絡空間行為體,并拒絕為惡意使用網絡者提供“庇護所”。一旦網絡空間被惡意利用,各機構能使用必要的手段鎖定入侵者并將其繩之于法。聯邦機構和私營領域實體將擁有必要的網絡安全專業技術人員,以滿足其任務需求。
二、具有抗壓能力的網絡空間
提升個人、社區網絡系統的活力、適應能力、快速反應能力和修復能力未來,我們打造的網絡安全框架將能實時偵測網絡威脅,并根據不同的突發事件制定相應的信息防護措施。包括通過模擬、仿真和演習,來確認和降低安全威脅等級。演習能定期檢驗關鍵基礎設施的快速反應能力和計劃的可持續性,并為決策者和投資者提供對策建議。國土安全相關實體將擁有靈活的信息分享機制———關于威脅、弱點和防護能力的重要內容將在公共和私營部門進行實時傳輸。在網絡安全關鍵行動繼續展開的同時,網絡安全框架也將對重大事件做出快速反應。
三、鼓勵創新的網絡空間
通過合作創新,實現人、設施和市場的互聯,以促進經濟增長未來,美國人將擁有無處不在的網絡接入設施。它將使個人、企業和市場之間的互聯互通更加迅速和便捷。隨著互聯網用戶使用新的網絡設備,以往各自隔離的實體之間的交流將越來越多。新的信息和通信技術將把新興市場與發達市場連接起來,并隨著信息的加速流動,推動跨地區合作和促進欠發達地區的經濟增長。以往的單機裝置,如能源儀表和家用電器,將越來越具有通用性,消費者和企業將從中受益。更具活力的安全機制將降低消費者的風險,并使各機構獲得更優質的服務和安全防護能力。在確保網絡空間安全的同時,我們還要維護自由貿易原則、促進更廣范圍信息的自由流通、承擔全球責任以及滿足國家的需求。
四、保護公共安全的網絡空間
確保美國民眾的安全
未來,管控能源、交通運輸、化工和關鍵制造業等關鍵基礎設施部門的工業系統和控制系統,以及運行在各類醫療設備、交通工具和其他領域中的嵌入式系統,均能更好地抵御各類可能危害公共安全的網絡破壞和攻擊行為。在這一網絡空間中,執法和應急反應等重要公共安全部門也能繼續依賴完整且隨時可以使用的信息和通信技術。
五、促進經濟利益和國家安全的網絡空間
增強美國的經濟競爭力和國防安全
未來,安全、可靠的網絡空間將為美國經濟增加動力,使美繼續保持經濟強國地位。在該網絡空間中,商業部門將更加充分地了解其面臨的風險,對其知識產權的保密性、完整性和可用性也將充滿信心。安全的網絡空間能夠支持國民經濟有效運行,也可支持各類關鍵社會服務的開展。健康的網絡空間還有利于國土安全部完成其他任務:預防恐怖主義、維護邊境安全、執行移民法以及從事故災難中迅速恢復。最后,通過同美國國防部合作,這一安全的網絡空間將支持美國政府履行其保護國家安全的關鍵使命。
第二章 指導原則
美國人的價值觀、基本原則和生活方式為報告提供了指導原則,其基礎是保護隱私和公民自由。報告也體現了美國提出的“開放政府倡議”中的透明、參與和協作等理念。開放使民主變得更為強大,也可使政府的效能與效率得到提升。堅持上述原則是各利益攸關方增強本報告所述各種能力的關鍵。
一、隱私和公民自由
在確保網絡空間安全的過程中,國土安全相關實體將保護公民權利和尊重隱私。每個公民都可了解其個人數據將如何被使用,并可相信其使用將是恰當的。美國國土安全相關實體將支持一個開放、互動的網絡空間,個人可借此在全球范圍內尋找、接收和影響各種信息和思想。信息的自由流動是互聯網快速演變和成長的關鍵所在。網絡空間也必須繼續成為自由聯接和自由表達的場所。
二、透明的安全流程
國土安全相關實體將在高度透明和負責任的流程下開展保護網絡空間安全的活動。堅持“按需分享”和“誰提供誰負責”的合作原則,將使具體、可操作的網絡安全信息得以傳送給需要的人員,同時保護公民自由和隱私。美國政府、私營部門和國際伙伴之間的互動,可增進安全措施的效能,并提升決策質量。這既兼顧了公私利益,又有助于共享網絡安全信息。
三、在分布式環境中共擔責任
保護網絡空間安全的各種力量散布在國土安全相關實體中,大量的網絡安全專家也分布在諸多不同領域。因此,國土安全相關實體將利用網絡空間這一分散性來保護網絡自身。國土安全相關實體將繼續努力增強地方政府和個人的能力,通過集體行動匯聚所有力量,以實現共同的安全利益。為確保所有人都處于安全的網絡空間環境中,每個人都必須承擔責任。國土安全相關實體將培養共同的責任感和公民義務意識,也將綜合運用各種知識來處理安全問題和開展網絡空間安全行動。
四、基于風險、費效比高且便于應用的安全政策措施
在個人、機構和國家等層面,網絡空間的安全風險和對這些風險的承受能力各不相同。在確定網絡空間中的關鍵系統及資產和必須應對的最主要風險的過程中,國土安全相關實體必須與他們分享見解。國土安全相關實體將區分網絡空間安全行動的輕重緩急,以確保將資源持續地用于可最大程度降低風險的領域。有效降低網絡空間的脆弱性,有賴于全面系統地評估各種網絡空間安全政策措施的風險、成本和應用情況。在使用信息和通信技術的過程中,所有用戶都面臨某些風險。必須更好地了解這些風險,才能在參與網絡活動和交流時做出明智的決定。
第三章 戰略概念
報告體現的唯一且一致的戰略概念是:在保護現有關鍵信息基礎設施的同時,建設未來更為強大的網絡生態系統。這一戰略概念將指導美建立安全、可靠及具備抗壓能力的網絡空間,并形成各利益攸關方共同致力于提升美網絡空間能力的局面。
一、重點關注領域
該戰略概念包含兩個互為補充的重點關注領域:保護關鍵信息基礎設施。重點關注網絡生態系統中軟、硬件設施對美國至關重要。減少信息基礎設施面臨的威脅、確保其具備快速反應能力和網絡安全信息共享能力,以及增強其快速恢復能力是保護信息基礎設施的最佳途徑。
提升網絡生態系統的能力。此舉旨在推動人機協同方式發生徹底改變,使人與設備能夠更好地“融合”,以此確保網絡空間的安全。這一革命性的改變將通過提高個人維護網絡安全的能力、研發和使用更為可靠地網絡協議、服務和產品、加強相關部門在維護網絡安全方面的協作,以及建立透明的工作流程等方式實現。
二、成功的含義
國土安全相關實體的投入產出效益將通過量化的標準加以衡量。
(一)保護關鍵信息
基礎設施在面臨最嚴峻的威脅時,基于效果的衡量標準如果能夠證實關鍵信息基礎設施的所有者和經營者能夠妥善管理風險,信息基礎設施能夠確保安全,我們認為關鍵信息基礎設施得到了切實有效的保護。
(二)建設網絡生態系統
當符合下列條件時,網絡生態系統才是安全的:
用戶能夠充分認清、掌握和管理信息和通信技術風險;
機構和個人能夠按規定執行安全和隱私條令;
個人、機構、網絡、服務和設備滿足網絡安全標準;
信息和通信技術具備安全的通用性;
接近實時的端對端協作能夠對網絡安全事件發出警告并自動做出反應。
三、如何保護關鍵信息基礎設施
確保國家關鍵信息基礎設施的安全,需要聯邦政府各個部門和機構之間的多邊合作,也需要聯邦,州和地方政府、非政府組織和私營部門之間業務合作。在聯邦政府層面,國土安全部與軍隊、情報界和執法部門的協作是我們防范和有效應對網絡威脅的基礎。報告描述了國土安全部如何根據第7號國土安全總統行政令、第54號國家安全總統行政令及《2002年聯邦信息安全管理法》,與合作伙伴共同采取防范措施。國土安全部將發揮堅強的領導作用,保護聯邦政府中非保密的文職部門。
在下文中,報告列出了保護關鍵信息基礎設施的四項目標,國土安全部將采取九項措施實現上述目標。實施過程中,各種措施需要相互配合以有效地預測和應對的各種威脅。下文中介紹的一些措施在當前行之有效,而其他一些措施則需進一步完善,還有一些措施需要進一步論證。為實現上述目標,有必要建立一個相互協作且能做出快速反應的網絡安全社區。
每種能力都包含相應的人員、流程和技術因素。由于網絡社會具有全球性,我們需要與國際伙伴共同建設和運用這些能力。報告的結語部分將詳細介紹如何在后續的實施計劃中對能力進行優化組合。
美國國土安全部支持通過新的立法,以促進在政府和私營部門之間自愿分享合法獲取的網絡安全信息。此外,相關立法行動應在現有指導原則之下,為私營部門分享網絡安全信息提供免責保護。相關法案還應鼓勵政府和私營部門以適當方式及時分享網絡安全信息。
網絡安全立法活動應在透明和充分吸收廣大民眾意見的基礎上授予或加強國土安全部以下權力:
為加強網絡安全,確定擁有或負責運行關鍵信息基礎設施的實體;
確定需要應對的具體網絡安全風險;
評估并確定應對上述風險的標準化程序;
要求相關實體完善維護網絡安全的計劃,確定應對上述網絡安全風險的方法;
建立第三方評估機制,評估相關實體在管理和應對網絡安全風險方面的效能。
國土安全部支持通過修正《聯邦信息安全管理法》,使國土安全部擔負起聯邦文職行政部門信息安全的主要責任,這將賦予國土安全部以下權力:
公布必須執行的信息安全政策和命令;
評估相關機構的信息安全計劃;
指定相關實體負責接收信息安全方面的報告,內容包括信息安全事件、威脅及影響信息系統的弱點等。
(一)減少網絡安全風險
1.規避威脅:通過持續運用國土安全部國家網絡安全保護系統,削弱國內外罪犯利用、損害、癱瘓或摧毀關鍵信息基礎設施的能力。
國土安全相關實體應具備的核心能力包括:
防入侵系統及其他安全技術。可減少進出信息和通信系統的惡意流量。
在防止、調查和起訴網絡犯罪行為過程中加強國內法和國際法的執法力度。
通過專門的技術訓練、使用先進的調查手段、建立相關國際合作等方式,加強證據共享及將犯罪分子繩之以法的能力。
通過全源信息搜集和分析,確認相關威脅的實施者及其使用的策略、技術及步驟。
就關鍵信息基礎設施面臨的最嚴重威脅發布及時、有針對性和可操作性的信息。信息共享論壇、分析中心、工作小組、提供合作的門戶網站、簡報及其他機制的運行,有利于國土安全相關實體中的利益攸關方進行威脅信息的分發和交換。
組建與威脅信息的發布者和使用者進行接觸的團體,從而確立描述、解讀和自動處理威脅信息的標準。
將網絡安全事件報告的指導方針和激勵措施發放至適當的機構和個人,包括網絡安全專家和各級政府,以及聯邦執法部門和突發事件反應中心。
2.強化關鍵信息基礎設施:采用適當的安全措施以管理關鍵系統和資產面臨的風險。
國土安全相關實體應具備的核心能力包括:
確定在受到干擾、破壞或毀壞的情況下,最有可能對國家安全、經濟安全和公共健康或安全造成影響的關鍵信息基礎設施,其中包括網絡互聯節點、域名系統、衛星地面站、電纜平臺、工業和監控系統、關鍵商業或交通系統和其他支持關鍵功能和服務的系統。
運用技術和相關指導原則對網絡進行管理。
評估各類網絡威脅并根據結果確定重點的領域,如某個特定的威脅會利用網絡的脆弱性并引發嚴重的后果。在系統、組織、部門、區域、國家和國際層面的威脅評估將幫助公共和私營部門的相關實體了解其面臨的風險,從而使其能確定優先行動領域以降低風險和進行投資。
借助相關網絡安全標準有效應對威脅。運用具體的管理手段、技術和安保措施以降低風險,這已被寫入聯邦政府文件當中。
不間斷地對內部網絡進行監督和測定,確保風險管理根據技術或風險環境的變化實時進行調整。對風險管理的第三方評估將驗證該行動是否符合標準。
上述措施將對關鍵基礎設施的技術弱點進行界定、分類,并找出需關注的重點領域。
3.實現革新:尋找新方法以應對業已存在的問題,同時開發應對潛在安全挑戰的新技術。
國土安全相關實體應具備的核心能力包括:
將研發重點放在需要優先考慮的關鍵安全領域。聯邦網絡和信息技術研究與開發計劃列出以下研究重點:“內置式安全措施”、“定制可信的網絡空間”、“移動目標”及“網絡經濟激勵措施”。
迅速應用新開發的產品和工具,以應對不斷變化的網絡安全威脅。
整合國家網絡研發活動,包括國防、執法、反情報部門等開展的研究活動。
(二)快速應對網絡安全事件、提高網絡恢復能力
1.鼓勵相關實體優先采取行動:重大網絡安全事件威脅公共安全、削弱公眾信心、影響國民經濟和國家安全。因此,一旦發生重大網絡安全事件,相關實體應采取聯合行動,迅速做出反應,恢復網絡安全。
國土安全相關實體應具備的核心能力包括:
及時和準確查明、報告、分析網絡安全事件并做出反應的能力:當網絡安全事件發生時,應通過國家網絡安全和通信中心等負責監視和預警部門,協調有關部門,搜集與匯總網絡安全事件的信息,協調聯邦、州、地方政府部門以及私營機構和國際伙伴的行動,以及時和準確地查明、報告、分析網絡安全事件并做出反應。
制定成熟和操作性強的應對和恢復預案的能力:該預案不僅能應對網絡安全事件造成的物理性后果,還要能消除物理破壞造成的網絡影響。
建立強大伙伴關系的能力:為能迅速重建關鍵信息基礎設施,國土安全相關實體需要建立強大的伙伴關系,包括與第一批做出反應的相關實體密切合作,以及在必要時政府或私營部門的專家提供遠程或現場技術幫助。
網絡威脅調查和分析能力:通過網絡威脅調查和分析,確定惡意網絡行為對基礎設施的影響。通過提供法律行動所需的證據,為采取反制措施提供前瞻性分析,預測和防范未來可能發生的敵意行為。聯邦調查局領導的國家網絡調查聯合特別工作組就是專門從事網絡威脅調查和分析的跨部門機構,它具有扭轉攻擊造成的被動局面、確定攻擊者的數字和物理特征等能力。
標準化的自動修復能力:將系統恢復至正常、安全的狀態。
2.做好網絡突發事件應急準備:舉行網絡安全演習,以檢驗應急計劃并總結經驗教訓。
國土安全相關實體應具備的核心能力包括:
組織跨部門演習的能力:評估和驗證各個部門在信息共享、事件反應和恢復等方面的準備情況。
組織在特定機構和部門內部舉行演習的能力:在系統、組織、機構、地區、國家和國際等各種層面,檢驗其應對網絡事件反應并從中恢復所需的步驟、程序、報告機制等。
整體規劃能力:運用商業網站、與軟硬件和網絡服務供應商達成協議等手段,并綜合考慮設施、人員、裝備、軟件、數據文件和系統構件的基本情況,進行整體規劃。
建立相關機制的能力:該機制應包括對演習進行評估、總結經驗教訓和制訂改進計劃等內容。
(三)共享網絡安全信息
共享網絡安全信息是減少網絡安全風險、快速應對網絡事件和提高自我恢復能力的關鍵。
1.整合信息:對從不同機構、地域、國家和國際資源中獲得的信息進行整理、歸納。
國土安全相關實體應具備的核心能力包括:
國家網絡安全防護系統:該系統由人和傳感器組成,可根據特定網絡安全相關實體的需要搜集并實時交換信息,這些信息主要涉及網絡威脅、弱點、后果、預警和反制措施的信息。
分析能力:迅速分析不同來源的相關信息,幫助各級決策者和網絡安全設施防止惡意網絡行為。為此,國土安全部應與其他聯邦機構合作,向國土安全相關實體提供無差別的、有用的網絡安全信息。
與可信賴的伙伴共享信息:這些伙伴包括同類和相互依賴的組織、政府機構和企業,將他們聯系一起的機構是降低風險聯合中心、特定部門信息共享和分析中心、部門協調委員會、安全和網絡行動中心、計算機事件反應小組。
建立統一的標準:按照預定程序搜集和存取信息,根據相關協議或諒解備忘錄、部門間協議等建立可信的信息共享環境;簽署協議和建立國家層級的機制,如保護關鍵基礎設施信息項目的信息標識,以保護私營機構與聯邦政府所共享的信息。
2.有效分發信息:利用多種平臺及時發布特定的、行動性信息。
國土安全相關實體應具備的核心能力包括:
及時交換網絡預警信息:美國政府與各利益攸關方通過以下平臺交換網絡預警信息,如美國計算機應急小組預警系統、國防部網絡態勢預警系統、聯邦調查局初級防護項目、美國特勤局電子犯罪特別小組、國家標準和技術數據研究所等。
建立強大的信息分發平臺:該平臺無論在平時,還是在發生重大網絡事件時,均能向各利益攸關方持續分發網絡威脅的特征、標識、弱點等信息,并提供應對威脅的具體方案。
有效的溝通戰略:利用社會媒體進行溝通時,應努力確保時效性與溝通頻率,保持溝通順暢并能控制相關風險。
可方便使用數據信息的措施:在必要時或向更多公眾提供信息時,該措施能保護信息來源、傳播途徑和平臺安全。
經濟激勵等措施:通過贈予、補貼、稅收優惠以及提供可靠的保護措施等手段以促進合作。
3.為網絡從業人員提供專門的網絡安全培訓和認證:培訓網絡從業人員以提高其競爭力。
國土安全相關實體應具備的核心能力包括:
改進培訓方法:使網絡技術人員能夠設計、建立安全且具有恢復能力的信息技術系統。
做網絡安全專業知識的提供者:這種知識能夠通過課堂或其他類似環境下的學習,以及在公共與私營部門之間進行人員輪崗的方式來實現。
發展并運用網絡安全相關職業與領域的“成熟能力模式”:這些職業與領域包括信息技術管理、電子工程、計算機工程和通信業。“成熟能力模式”一詞是用來描述在初、中、高三種等級從事特定任務所必需的技術能力。
(四)增強網絡抗壓能力
1.提高網絡的糾錯能力:增強系統在網絡安全環境惡化的情況下完成核心任務的能力。
國土安全相關實體應具備的核心能力包括:
全面理解關鍵基礎設施存在的弱點和可能導致系統崩潰的潛在漏洞。
設立結構性指導原則和恢復能力標準,例如,減少多路通信過程中可能出現的單點阻塞、在正常狀態下快速存儲、出現錯誤時立即實行隔離并遏制擴散、建立恢復模式以最大限度減少損失。
與現有恢復能力標準和指導原則保持一致,包括符合美國國家標準與技術研究所出版的《信息技術系統的應急計劃指導》、國際標準化與國際電子技術委員會頒布的《信息技術安全技能:信息與通信技術長期規劃指針》的相關要求。
根據“網絡與信息技術研究發展項目”,掌握在軟件和網絡方面自主創新的方法。
持續評估確保恢復能力的戰略與項目的效果。
四、如何建設網絡生態系統
如上文所說的“智能電網”一樣,關鍵信息基礎設施屬于網絡生態系統一部分。國土安全相關實體將在維護網絡生態系統安全性方面取得階段性進展。這需要我們增強個人與組織安全使用網絡的能力;開發和使用值得信賴的協議、產品、服務、配置及架構;建設合作型網絡社區以及確保進程透明。為加強網絡生態系統建設,本報告提出以下四項目標以及11項具體目標。
(一)增強個人和組織安全使用網絡的能力
1.增加公共與私營部門的網絡從業人員:維持一支強大的網絡安全專業隊伍,其工作是開發和應用網絡安全技術,以確保消除當前及未來的威脅。
國土安全相關實體應具備的核心能力包括:
發展一套嚴格的網絡安全與軟件學習課程,以保證能持續學習特殊領域的專業知識。相關科目應涉及科學、技術、工程及數學。美國國家網絡安全教育機構將推出正式網絡安全教育項目,通過設立從幼兒園開始的12級技能培訓、更高等級的教育與職業項目等方式,提高相關人員的技術水平。此外,四年制及有資格授予研究生學位的大學應成為美國信息技術教育方面的學術研究中心。
通過提供獎學金、補貼及稅務優惠等措施鼓勵學生學習特定領域的專業知識。“聯邦網絡服務:公共事業項目獎學金”將向那些進入特定機構進行深入學習的學生提供獎學金,以資助其在書本、學費及住宿等方面的開支。
拴心留人。保留人才可通過以下方式進行:積極招募、快速錄用、破格提拔、在職培訓以及開展雇員滿意程度調查。
具備必要技能。包括視情頒發網絡安全專業合格證書。
2.為分布式安全建立基礎:向個人提供與其地位相符的資源,如工具、建議、教育、培訓等,使其能依據當前網絡安全特性及協議、產品與服務情況維護各自網絡安全。
國土安全相關實體應具備的核心能力包括:
在國家、社區及機構三個層面開展網絡安全活動,為特定人群提供建議、資源、工具,幫助其理解網絡安全威脅,并在加強網絡生態系統建設方面發揮各自作用。這些活動在聯邦、州、市、縣、印第安人保留地及海外領土等各個層級展開,包括國土安全部的“停一停、想一想、再上網”活動,“國家網絡安全意識月”等。
為個人采取網絡安全措施提供最佳行動指導。
建立一套機制,提醒用戶其使用的工具和系統存在漏洞或已被感染,并使用戶能據此采取行動。
(二)開發并使用可信的網絡協議、產品、服務、配置與架構
1.降低脆弱性:開發并應用專門用于減少漏洞的信息與通信技術,該技術能通過維持或強化系統安全態勢,及時感知、應對及輸送系統內部及周邊系統安全態勢所出現的變化。
國土安全相關實體應具備的核心能力包括:
在那些有權設立國際標準的組織和論壇上保持領導地位;
推廣使用安全的軟硬件產品;
樹立貫穿于系統開發整個周期的安全意識;
建立安全產品的評估與認證制度;
增強開發技術、擬定標準的研究能力;
改革商業市場,縮短新技術應用周期,以應對不斷出現的網絡威脅;
整合供應鏈,提高值得信賴的產品與服務的應用效率。
2.提高可用性:開發值得信賴的技術,使之易于使用、易于管理,并能快速定制,發揮預期的效能。
國土安全相關部門應具備的核心能力包括:
提出需求和指導綱領,以闡明在部件組裝、體系構造、運行管理、人機界面和可用性網絡性能方面的主要特點。人機界面的標準由美國國家標準協會發布,而可用性網絡標準是由歐盟發起制訂的。
研究并確定有關用戶社區內那些可被迅速采納和標準化的安全技術,并使之融入研發進程。
(三)建設合作型網絡社區
國土安全部白皮書《強化網絡空間的分布式安全》提出了認證、兼容和自動控制等三種能力。
1.網絡身份認證:采取基于風險的原則進行認證,提高參與網上信息交換的個人和機構的網絡身份信任等級。
國土安全相關實體應具備的核心能力包括:
基于風險和敏感活動的認證和授權。上述敏感活動通過證明需求、屬性/授權需求、遠程進入準則和界定信任模型。
采取加密登錄、數字證書和其他多種認證方法,以降低敏感信息交換的風險。
加強網絡管理包括改進體系設計、基于用戶的設計、基于政策的郵件路由和儲備、確保內部關聯和避免相互干擾、提高系統兼容性以及管理方法。
2.提高各技術設備之間的技術和政策兼容水平:在設備對設備層級,加強合作,促進創新,增強網絡安全信息共享能力。
國土安全相關實體應具備的核心能力包括:
具備網絡突發事件的預警能力。該工作借助有關重要信息要素的標準化參考文件展開,內容包括確認軟件脆弱性、薄弱環節、網絡攻擊范式、惡意軟件分類以及傳輸的安全內容,而后者是依據所需時自動分享原則而設置的。其信息來源包括“國家脆弱目標信息庫”、“普通脆弱性和暴露性目標(信息庫)”、以及屬于“國家檢驗清單項目”的“信息確保清單”。
建立統一的界面標準,以使諸如公共關鍵密碼系統標準、無線電頻率識別器空中界面標準和數據格式標準能夠實現技術兼容,實現辨別指紋、面部和其他生物特征信息。
3.自動化安全步驟:以接近實時反應的方式,通過自動化機制,預測和防止攻擊事件,縮小事件在聯網各設備之間的傳播,將事件危害降至最低水平。
采取數字化政策,使所有者和用戶能夠采取可靠的安全行動,按照有關政策,將遭受病毒感染的設備脫離網絡連接。經批準后,改變未受病毒感染設備的配置,使其更加強健,以應對網絡入侵,并防止惡意軟件攻擊和未經授權的網絡信息外流。
確立合作框架和程度,建立一致的網絡安全目標、共同行動原則,從而提高反應速度,優化決策程序,以便于采取新的安全措施。
(四)建立透明的安全流程
1.公布網絡空間的突發事件及原因:像衛生官員向公眾通報健康和疾病信息一樣,向公眾提供詳實的網絡空間安全威脅信息,核實當前和未來網絡地址(如.gov,.com和.edu)中攻擊事件發生的位置,了解其原因、范圍和影響。
國土安全相關實體應具備的核心能力包括:
設立信息共享機制,以使匿名化傳輸的事件數據能被當前事件監管部門兼容使用。
向國土安全相關實體和國際伙伴分發有關網絡安全能力、態勢、危險和事件爆發的信息,以使有關各方能自動采取預防措施。
與國防和情報界合作偵測網絡威脅。
2.基于效果采取安全舉措:同有關各方分享有關網絡協議、產品、服務、配置、設計、供應鏈和組織流程的安全績效信息。
國土安全相關實體應具備的核心能力包括:
向國土安全相關實體和國際伙伴分發有關網絡協議、產品、服務、配置、設計、供應鏈和組織流程的安全績效信息,以遏制網絡危險的傳播和影響。
建立一種機制,使投入優先向基于效果和能力的項目傾斜。這種效果和能力應被證明能將風險減至可接受的水平。
3.關注投資回報:評估網絡安全投資對組織機構的影響,集中于運行成本、基本建設預算、業務靈活性、以及因數據侵權或未能履行服務協議而支付的賠償支出。
國土安全相關實體應具備的核心能力包括:
通過使用量化網絡安全投入和迅速確立投入產出比的方法,加快采取和執行網絡安全措施的速度。
維護并共享數據,以便論證網絡安全的投入產出效率。
4.激勵履行職責:建立、維護并提高有關網絡安全的目標和措施體系。
國土安全相關實體應具備的核心能力包括:
設定希望達成的目標和成果并積極采取行動,以使國土安全相關實體能明確其任務要求。
提出支持國土安全相關各方目標的需求、指導原則、政策方針、步驟流程和自愿性的行動守則。
建立相關程序和機制,評估檢驗其獲得的進展。
分析網絡安全措施、項目和計劃的功效和影響,如發現不足,應努力重新設定目標,并不斷取得進步。
結語
網絡空間支撐著美國生活的方方面面,并為美國經濟、民用基礎設施、公共安全及國家安全提供了重要的支持。保護網絡空間需要遠見、強有力的領導及國土安全相關實體所有成員的共同努力。這種努力預見和增強了團隊協作、相互負責、認可與支持的文化。
這一戰略明確闡述了如何實現國家安全戰略構想及《四年國土安全評估報告》目標的方式,即建立可靠、安全和具有恢復能力的網絡環境,推廣網絡安全知識和創新。“保護關鍵信息基礎設施”和“加強網絡生態系統”兩大任務重點將促進國土安全相關實體的能力、行動及資源的優化組合。在國土安全部,這一進程將有助于制定為期五年的“未來國土安全項目”。
國土安全部將與國土安全相關實體中的利益攸關方合作,共同制定一份能夠合理安排行動、設定關鍵轉折點和跟蹤進程的實施計劃,用以建設該戰略所需的各種能力。此外,國土安全部將帶領國土安全相關實體制定相關標準,用以衡量關鍵安全能力的有效性。國土安全部還將在國土安全相關實體內部設立相關基線,從而能將每年的成績與上一年進行比較。這一行動將重點突出取得的成績、存在的問題及額外需要的資源。為滿足遂行網絡安全任務的需要,國土安全部將繼續根據相關法律和原則保護隱私及公民權利。
保護網絡空間是一項要求所有人都積極參與的復雜事業。通過利用這一報告提供的框架,我們將為實現我們的目標而努力進取。通過上述努力,國土安全相關實體能使網絡空間成為推動美國生活方式繁榮永續的安全之所。(武益祖譯)
第三篇:2018美國最新留學政策
美中國際出國留學官網:http://www.tmdps.cnmon App對課程和成績要求更詳細
Common App(CA)作為美國大學本科申請的重要系統,該系統的正確使用直接關系著大家能否順利申請到理想美國院校的offer。
CA申請系統新增Courses & Grades功能,將要求學生列出高中期間的所有課程,此外,成績也要顯示出來。雖然學校最終也會收到官方上傳的成績報告,但手動輸入成績會幫助學生對自己的成績變化有一個概覽。
其次,CA在填表的時候,從個人資料的8個方面到家庭狀況的4個部分,再到Education(教育信息)和參加考試。
美國留學新政策二 N美國留學新政策
12所學校需申請者自報成績目前
有12個美國大學要求申請者自報成績和課程: 喬治華盛頓大學
The George Washington University(Washington, DC);南加州大學
University of Southern California(CA);俄亥俄州立大學
The Ohio State University(OH);普渡大學
Purdue University(IN);西弗吉尼亞大學
West Virginia University(WV);伯明翰南方學院
Birmingham-Southern College(AL);查普曼大學
Chapman University(CA);愛達荷學院
College of Idaho(ID);New York School of Career & Applied Studies of Touro College & University System(NY);美中國際國際教育http://www.usaedu.net
美中國際出國留學官網:http://www.usaedu.net
瑞盆學院 Ripon College(WI);圣若望大學 St.John's University(NY);Underwood International College, Yonsei University(Seoul, South Korea)美國研究生招生重點
由于美國大學研究生階段的學習,更多的專業知識的深入研究與探索,因此,美國院校招收會很看重學生的GPA成績。小編提醒大家,在美國校方看來GPA就代表著學生的學術能力,因此,更能突出學生入學之后,能否有一定調研與深入研究的專業能力。
GPA是門檻性質的要求,滿足最低標準后,就能進入下一環節。當你的GPA是明顯的硬傷的時候,一定不能謊報。但可以通過以下四個方法做彌補:
強調自己的排名,即在年級的前5%或10%。如果學校整體給分較低,這樣也可以突出自己學習能力強的優勢。
強調自己的Major GPA,或是在PS里強調自己在專業中取得的成就。如果一些核心的專業課程考砸了,盡量不要在PS中試圖挽回。因為這屬于極難洗白的硬傷,越描越黑,所以最好祈禱課程名譯為英文后,對方沒有看出這是一門核心課程。
在PS里強調自己的成績的遞增趨勢,同時可以指出自己對專業越來越了解,越來越熱愛。
通過海外交流的機會證明自己的學習能力。海外交流經歷如果可以轉換成正式學分,則可以提高GPA。除此之外,還可以在PS或者簡歷中特別指出交流期間的成績,證明自己的學習能力。如果能拿到對方官方的成績單,增加成績的公信力,就最好啦。
各大學校的GPA成績具體要求都可以查到。不過,如果你的GPA達到了3.5、3.6那么可以完全不用為自己的GPA操心了。
美國留學新政策三 N美國留學新政策
CB官網調整2017-2018年SAT出分政策
為了讓SAT考試能夠盡快出分,2017-2018年的出分政策有了新的變化,2017年下半年起SAT出分時間縮短至2周。往常SAT的出分慣列是閱讀、數學、寫作同步出分,而調整后的出分政策變為:閱讀和數學成績將早于寫作公布,寫作部分成績將在其它成績發放后的5天公布。
因此,選擇不考SAT寫作部分的同學可以早些收到分數,并且將分數送至大學。美國留學新政策四 N美國留學新政策
川普修改稅法,留學生“奶酪”變化
據報道,這份新的稅改法案通過之后,將對美國145000名研究生和眾多留美博士生的學費與獎學金產生重要影響。而影響人群最大的當屬,美國留學申請人數最多的STEM類專業。
由于法案要求研究生應為被減免的學費交稅,法案生效后,在美研究生的納稅金額將增加3-4倍。《華盛頓郵報》則援引國會稅收聯合委員會估算稱,法案將在未來10年給學生和家庭增加超過710億美元的負擔。
美中國際國際教育http://www.usaedu.net
美中國際出國留學官網:http://www.usaedu.net
不少留學生削尖腦袋申請美國讀博,除了因為美國教育的強大外,還有一個重要原因就是美國學校給出的誘人獎學金,靠著每個月的工資支持著很多博士一熬七八上十年。而如今這僅有的經濟支持也要被稅改削弱,新稅改政策明確提出,博士們不再享受稅務減免!其中引起民眾最大反響的是“學生的免費學費要繳稅”,這將加大學生的學費負擔。因為根據美國現有的稅收法規,政府對助學金征稅,但對免除的學費免稅。一般而言,美國大學一年的學費在 4-5 萬美元,公立大學因為有州政府的補貼,學費在 2-3 萬美元左右。
與此同時,美國高校,許多博士生在大學擔任教學助理或研究助理以換取學校的助學金和學費減免,據美國求職網站 Glassdoor 統計,博士生助理每周工作約 20 到 40 小時,平均年薪不到 3 萬美元。
據估計,假如最新的稅改方案得以實施,學生平均每年將額外支付 2000 美元的費用,對學費較貴的私立大學學生和學時較長的博士生影響最大。
美國留學新政策五 N美國留學新政策
留學簽證申請到時限發生變化
原規定“美簽到期48個月內就可以享受免面談續簽服務”,現縮短至“到期12個月之內”才可享受免面談續簽服務。
該政策一出,下面三種人將在美生活將受到影響 1、2014年初來到美國后,再沒回國的F類學生簽證續簽會受影響。
2、對目前持有10年有效期的B類商務/旅游簽的中國公民幾乎沒有影響。
3、對目前于持有5年F類學生簽,1年H類工作簽證影響較小。
除此之外,美國開始加強留學生簽證審核條件,增加電話調查。電話調查的對象:電話調查人員一般是使館的中方工作人員,他們一般會致電擔保人或申請人的單位,核實收入、工作背景等相關情況,以及申請人家庭的相關背景情況。
美國留學簽證手續費變更
以前,留學生簽證時只需一次性繳納SEVIS費 200元,但新提案將會要求留學生每年都需要繳交這筆費用,赴美留學生就沒有5年的多次入境簽證。
轉學、沒有按時畢業,都要重新簽證
此外,新提案考慮將規定在學生居留許可上列出預計攻讀學位的截止日期。如果大學畢業后要申請研究生項目,必須重新取得學生居留許可。
美中國際國際教育http://www.usaedu.net
第四篇:美國中東政策評析
美國中東政策評析
安惠侯
2012-11-20 16:45:18 來源:《阿拉伯世界》(滬)2006年01期
作者簡介:安惠侯,中國國際問題研究基金會常務理事,中國前駐阿爾及利亞、突尼斯兼巴勒斯坦、黎巴嫩和埃及大使。(北京100006)
內容提要:美國在中東遇到大麻煩,主要戰略目標未能實現。伊拉克安全形勢持續嚴峻,巴以和談停滯不前,伊朗核問題難以解決,壓敘利亞屈服迄未奏效,恐怖活動越反越多,大中東改造計劃受挫。美遇到的困難未超出其承受能力,美國在中東仍居主導地位,美中東政策在手法和策略上有所調整,實質上并無變化。
關 鍵 詞:戰略目標 主導地位 政策調整
中東地處歐亞非三大洲交接處,戰略地位重要;中東擁有豐富的能源資源,能源供應和價格關系各國經濟盛衰:中東又是熱點問題集中地區,熱點問題的走向影響地區乃至世界的和平與穩定。因此,中東地區形勢一直是人們關注的重點。冷戰后美國取得了對中東的主導地位,而不斷加強對該地區的控制又是其全球謀霸戰略的重要組成部分。“9?11”事件后,布什政府把反恐、防擴散置于美國安全戰略的首位,把伊斯蘭極端勢力視作打擊的首要目標,把中東作為實施其安全戰略的重點地區。布什在第二任期,其中東政策有所調整,但戰略重點并無變化。美國的中東政策是影響中東形勢的最重要因素。
一、伊拉克安全形勢持續嚴峻,政治重建也不順利。
美國于2003年3月發動伊拉克戰爭,推翻薩達姆政權,軍事占領伊拉克,迅速贏得戰爭,但迄今未能穩定伊拉克局勢。伊拉克反美武裝襲擊不斷,安全形勢持續惡化,美軍死亡數已超過2000人,受傷者1.5萬人,其中7100人喪失戰斗能力。美國防部長拉姆斯菲爾德承認,不論是美軍,還是多國部隊都無法殲滅伊拉克反美武裝力量,伊拉克嚴峻的安全形勢將持續8年,10年,甚至12年。(注:“駐伊美軍撤軍計劃曝光,規模保持在13萬人左右”,http:// news3.xinhuanet.com/mil/2005-08/08/content_3323652.htm。)
伊政治重建程序大體上在按計劃實施。憲法草案引發嚴重分歧,但終獲通過。12月15日舉行了大選,將產生正式的議會和政府。但什葉派和遜尼派以及庫爾德人之間的分歧、矛盾難以真正調和,被戰爭打破的政治力量平衡難以恢復,正式的政府恐也難以改善安全形勢。近又揭露什葉派掌控的內政部虐待遜尼派囚犯的丑聞。11月19日在開羅召開的伊拉克和睦大會預備會議上,伊拉克三派意見嚴重對立。
美在推翻薩達姆政權時利用了伊什葉派阿拉伯人的支持,但考慮到什葉派阿拉伯人與伊朗什葉派的特殊關系,美并不希望占伊拉克人口60%的什葉派獨攬大權。伊反美武裝主要在遜尼派阿拉伯人區域活動,遜尼派是過去薩達姆政權和阿拉伯復興黨的主要依托,一直遭受美軍的打擊。為穩定伊政局和牽制什葉派,美不希望遜尼派被邊緣化。它一方面壓制什葉派不要排斥遜尼派,另一方面動員遜尼派參加政治重建。美國要在伊建立一個親美民主政權,使其成為推行“大中東民主改造計劃”的樣板的戰略目標遠未實現,也難以實現。伊拉克亂局對美“大中東民主改造計劃”產生的是負面影響,伊拉克戰爭一度對地區國家產生的強大威懾作用也大打折扣。美國在穩定伊局勢之前,似難以再發動“先發制人”的戰爭,對其他國家實施“政權更迭”。
伊拉克的鄰國出于各自利益考慮,都極為關注伊局勢的演變。伊朗利用和伊拉克什葉派穆斯林的特殊關系,極力擴大對伊拉克的影響。土耳其因國內庫爾德人一直是嚴重的不穩定因素,對伊拉克庫爾德人勢力及自治傾向的發展十分敏感。美國和伊拉克臨時政府指責敘利亞為伊反美武裝提供支持。阿拉伯聯盟多數成員國既擔心伊拉克什葉派穆斯林排斥遜尼派穆斯林,大權獨攬后與伊朗關系過于密切;又擔心庫爾德人勢力坐大,使伊拉克走向非阿拉伯化。與美國的影響相比,鄰國因素居次要地位,但對伊局勢也會產生不容忽視的影響。
伊拉克戰爭原是布什政府引以為榮的政績,曾幾何時已成為布什的“痛點”,遭到國內外輿論普遍的批評指責。
二、沙龍態度強硬,阿巴斯處境艱難,美國投入不多,巴以和談停滯不前。
沙龍的單邊行動計劃于今年8月實施,以色列從加沙地區及約旦河西岸部分猶太定居點撤出,但仍保持對加沙地區對外通道的控制。沙龍繼續修建隔離墻,擴建西岸猶太定居點,同時恢復對巴勒斯坦激進組織領導人的“定點清除”。他要求阿巴斯收繳巴激進派別武裝并以此作為與阿巴斯恢復和談的先決條件,還多次表示反對哈馬斯參加明年1月份的巴勒斯坦立法選舉。
沙龍在利庫德集團內部受到以內塔尼亞胡為首的極右勢力的挑戰,9月利庫德集團中央委員會以微弱多數否決內氏要求提前改選黨魁的提案,使沙龍勉強保住黨內領導地位,繼續擔任政府總理。11月工黨黨魁易人,新任工黨主席佩雷茨要求提前大選,工黨成員退出聯合政府。沙龍同意提前舉行大選,并宣布脫離利庫德集團,另組“前進黨”參加競選。大選將于2006年3月28日舉行。(注:“以外長:沙龍將同意提前大選,明年3月最合適”,http: //world.people.com.cn/GB/1029/42361/3862359.html。)以政治力量將重新組合,政局充滿變數。
阿巴斯力主通過和平談判實現巴建國,收復被占領土,恢復合法民族權利。阿巴斯為說服巴激進派別停止襲擊以色列作出了不懈努力。巴以間暴力沖突明顯減少,大體實現了停火。以色列撤出后,加沙地帶一度秩序混亂。為穩定局面,需要收繳激進派別的武裝,組成統一的軍隊和警察部隊,但激進派別拒絕解除武裝,阿巴斯擔心引發內戰,不愿也不敢強行解除。巴勒斯坦立法選舉定于2006年1月25日舉行,巴主流派方面希望激進派參加競選,并以此為契機促使他們由武裝團伙向政治派別轉換,另一方面也欲加強爭取民心的工作以應對哈馬斯等激進組織不容忽視的影響,確保勝選。為應對巴內部派別和爭取民眾的支持,阿巴斯需要美國和以色列的支持和配合。他要求巴以盡早恢復和談并指責沙龍將解除巴激進派別武裝作為恢復巴以和談的先決條件是企圖將巴引向內戰,希望布什政府履行諾言于2006年實現巴勒斯坦建國。
美國歡迎阿巴斯的溫和路線,向巴直接提供財政援助,批評沙龍政府封鎖加沙,繼續擴建約旦河西岸定居點。布什還在白宮接待阿巴斯。然而阿巴斯10月訪美時,布什一方面要求收繳激進派別武裝,另一方面對2006年建國未作回應,也未重申在他任期內建立巴勒斯坦國的承諾。
當前,巴以力量對比嚴重失衡,巴方處境困難。巴以和談能否恢復,恢復后能否取得進展,主動權在以色列。而以色列的態度,在很大程度上又取決于美國。布什政府把巴勒斯坦問題納入其反恐和推行民主的中東戰略之中,重點要求巴方停止襲擊以色列并進而解除巴激進派別武裝,實行改革,接受美式的民主、自由價值觀。(注:《沙龍的政治賭博》,載《參考消息》2005年11月26日,第3版。)如巴方做到這兩點,美國會支持建立一個主權有限的巴勒斯坦國。美在中東地區的當務之急是穩定伊拉克局勢,不可能花大力氣推動巴勒斯坦問題的解決,也不可能改變偏袒以色列的態度,難以施加大的壓力逼以滿足巴方合理要求。但另一方面,美也不愿阿巴斯的溫和路線因得不到回報而失去巴民眾的支持。因此也要求以作出適當的讓步。美國務卿賴斯11月14日走訪巴勒斯坦和以色列,在她調解下,以同意于11月25日開放加沙通往埃及的拉法邊卡站,放松對加沙地區的封鎖。(注:《巴以達成開放加沙邊境協議》,載《參考消息》2005年11月16日,第2版。)估計巴以有可能恢復和談,雙方也會就一些具體問題達成妥協,但根本分歧還看不到解決的前景,巴建國很難短期實現。這種局面會繼續加深阿拉伯——伊斯蘭民眾對美、以的不滿和仇恨,巴勒斯坦激進派別與以色列間的暴力沖突恐怕也不會完全停止。
三、美國與伊朗間的矛盾難以化解,美國極力打壓敘利亞屈服恐難完全得逞。
伊朗核問題是美國在中東地區面臨的另一難題。伊朗表示無意發展核武器,但有權和平利用核能并掌握和平利用核能的技術。美國及其歐洲盟國則認為,掌握了和平利用核能的技術,離制造核武器僅一步之差,伊朗可以和平利用核能,但決不能掌握核技術。英國、法國和德國聯手與伊朗談判,歷經數年,未能達成共識。美國雖未參與談判,但一直影響談判進程。
表面上看伊朗核問題是一個防擴散問題,實質上反映的是美國與伊朗之間的矛盾和敵對的關系。由于伊朗不聽命于美和堅持反以的立場,美一直視伊朗伊斯蘭政權為其推行中東戰略的一大障礙。布什政府對伊朗推行更加強硬政策,將其從“無賴國家”升格為“邪惡軸心國”和“暴政前哨”,欲除之而后快。在推翻薩達姆政權后,國際媒體曾紛紛猜測美下一個軍事打擊目標可能是伊朗。后因伊拉克反美武裝力量不間斷的襲擊,使美占領軍深陷泥潭,這類猜測才逐漸減少。
美國對付伊朗的手段主要有三種:(一)繼續支持歐洲三國與伊朗談判,以經濟許諾換取伊朗放棄掌握核技術。但伊朗不會輕易同意放棄掌握核技術,雙方達成妥協的難度很大;(二)談判破裂,美、歐將問題提交聯合國安理會,要求安理會通過決議對伊朗實行制裁。國際社會,包括俄羅斯、中國普遍主張在國際原子能機構框架內解決伊朗核問題。即使該問題提交安理會,通過何種決議來解決,還是未知數。就算安理會決定對伊朗實行制裁,也只能使矛盾尖銳化,并不等于伊朗核問題獲得了解決;(三)對伊朗實行先發制人的軍事打擊。這又有兩種作法:一是由以色列或由美國對伊朗的核設施實施外科手術式的軍事打擊;二是發動一場伊拉克戰爭式的戰爭,推翻伊朗現政權,用槍桿子在伊朗建立親美政權。無論實施哪一種軍事打擊手段,美國都將冒極大風險。首先,國際社會反對戰爭;第二,伊朗擁有遭受第一次打擊后進行反擊的軍事能力,這將使美國付出比伊拉克戰爭高得多的代價;第三,伊朗是重要產油國,軍事打擊不僅會影響伊朗石油出口,而且可能迫使伊朗封鎖霍爾木茲海峽,使占世界供應量40%的海灣石油無法出口,對世界經濟產生災難性的后果。內賈德當選總統后,伊朗在核問題上的立場更為堅定,伊朗核問題在短期內更難以解決。
美國對敘利亞的不滿由來已久。因支持黎巴嫩真主黨和巴勒斯坦激進組織,敘利亞被美列入“支持恐怖主義國家”的黑名單。伊拉克戰爭后,美又指責敘為伊斯蘭反美武裝人員進入伊拉克提供通道并予以暗中支持。2004年5月11日美對敘實施經濟制裁,隨后又聯手法國促使聯合國安理會通過1559號決議,以圖阻撓親敘的黎巴嫩總統拉胡德延長任期,并要求敘軍隊撤出黎巴嫩。在這項決議的煽動下,黎國內分歧突顯。2005年2月14日,黎前總理哈里里遇刺身亡,在黎巴嫩政壇和黎敘關系中掀起軒然大波。美立即召回其駐敘大使,矛頭指向敘利亞。在各方壓力下,敘于4月26日從黎撤回全部軍隊和情報人員,結束了在黎29年的軍事存在。據1595號決議,聯合國派出梅利斯領導的國際調查委員會就哈里里遇害案進行調查,并于10月20日提交初步調查報告,矛頭仍指向敘利亞。美、英、法又推動安理會通過1636號決議,要求敘在聯合國調查哈里里遇害案過程中予以全面合作。與此同時,美軍以追剿伊拉克反美武裝為由多次越過伊敘邊境,或派飛機越境轟炸,打死打傷敘邊防軍人多名。據英國《泰晤士報》10月15日透露,美私下向敘提出如下要求:滿足聯合國哈里里遇刺案調查委員會的任何要求;停止干涉黎巴嫩內政;停止支持伊拉克反美武裝;停止支持黎巴嫩真主黨、巴勒斯坦哈馬斯和杰哈德等伊斯蘭武裝組織。(注:“美軍打死敘利亞士兵攻入敘國境,稱不合作即制裁”,http: //news.sohu.com/20051016/n227212357.shtml。)作為交換,美將和敘建立全面友好關系,確保其政權生存,并打開外國援助和投資之門。否則敘將面臨國際制裁。該報認為,這類似于兩年前美國與卡扎菲達成的協議。此外,對記者提問“是否會對敘利亞使用武力”時,美國政要回答說:不排除任何選擇。其目的非常明顯:借哈里里遇刺案壓制敘利亞停止對其鄰國的伊斯蘭反美激進派別的一切支持,全面配合美中東政策的順利實施。11月10日敘總統巴沙爾發表講話指出,1636號決議是“被針對敘利亞的陰謀而政治化的產物”,“旨在逼敘利亞按照他們的所謂民主模式進行政治、經濟和社會改革”,否認敘利亞與哈里里遇刺案有關,但表示將與國際調查委員會全面合作,同時強調合作的原則是“絕不允許對敘利亞的安全和穩定有任何損害”。與此同時,敘展開外交行動,爭取阿拉伯世界和一些大國的同情和支持。(注:“敘利亞宣布從黎階段性撤軍,美以批評敘方‘折中’”,http: //news3.xinhuanet.com/world/2005-03/07/content_2660642.htm。)在討論安理會1636號決議時,由于俄羅斯、中國和阿爾及利亞等國的堅持,刪去了有關制裁敘利亞的內容。面對美國咄咄逼人的壓力,敘利亞步步退讓,避免矛盾激化。先是從黎巴嫩撤軍,繼而表示與國際調查委員會全面合作。但從巴沙爾的上述講話看,敘仍堅持一些底線,不愿全面屈服于美。美敘關系如何演變,值得關注。
四、反恐效果不彰,大中東民主改造計劃受挫。
“9?11”事件后,美國發起世界范圍的反恐戰爭。4年后,美國本土未再發生大規模的恐怖事件,但在中東地區乃至世界范圍內,恐怖活動有增無減。尤其是英國倫敦、埃及沙姆沙伊赫以及約旦安曼先后發生的惡性恐怖連環爆炸案,更令人震驚。
埃及總統穆巴拉克曾發出警告:美國發動伊拉克戰爭將制造出100個本?拉登。事態的發展證明了這一點。法國外交部計劃廳副廳長菲利普?埃雷拉在英國《生存》季刊(2005年春季號)發表的《威脅的三個圈子》一文中指出:“每3名摩洛哥人當中就有2人,以及更高百分比的約旦人都認為,在伊拉克發生的針對美國人和西方人的自殺性炸彈爆炸事件是有正當理由的,超過10億的穆斯林對美國的政策強烈不滿,幾億穆斯林仇恨美國人。”(注:“基地已不再是個組織,演變成為一種社會現象”,http: //news.xinhuanet.com/mrdx/2005-07/05/content_3177526.htm。)法國《世界報》2005年7月27日刊登讓?馬里?科隆巴尼的《與恐怖主義一起生活》一文,他也指出美國入侵伊拉克加劇了伊斯蘭武裝分子的怨恨,扮演了“恐怖主義征兵官”的角色。“數億穆斯林電視觀眾將伊拉克每天都在進行的殺戮歸罪于美國”。(注:“中東形勢與美國困境”,http: //www.tmdps.cn/ReadNews.asp。)
針對美國及其盟友的恐怖活動越反越多,根本原因在于美國在中東推行霸權主義政策。美國在阿以沖突中一貫偏袒以色列,壓制阿拉伯國家和巴勒斯坦;以編造的虛妄借口發動伊拉克戰爭并對伊實行軍事占領;以傳播“民主”為名,公然干涉阿拉伯國家內政,激起阿拉伯和穆斯林民眾的強烈不滿,為恐怖主義的發展壯大提供了沃土。在數以億計的憤怒人群中不斷產生“圣戰者”和“圣戰組織”,他們走向極端就會實施恐怖暴力行動。
美國“大中東民主改造”計劃難以推行。“9?11”事件后,經過“反思”,美國認為二戰后60年來,為了保持中東盟國的穩定,犧牲了民主,縱容了獨裁,結果導致中東成為反美恐怖主義的策源地,只有實行民主才能從根本上消除恐怖主義。布什政府出臺的“大中東民主改造計劃”,旨在向中東國家推行美式民主和自由體制,要求其實行多黨制、民主選舉和“廣場檢驗”(即讓反對派不受限制地在廣場上抨擊政府)。該計劃實為美國“反恐謀霸”總體戰略的政策體現。阿拉伯國家并不拒絕民主,也正在按照自己的方式和需要進行社會改革。但他們不愿不顧自身條件照搬美式民主,更反對美國以促進民主為名干涉本國內政。所以,這項計劃一出臺,就遭到中東國家普遍的批評和抵制。(注:楊福昌:《美國的“大中東改革計劃”實現難》,載《阿拉伯世界》2005年第5期,第12頁。)廣大民眾從維護民族特性、伊斯蘭教義、反對外國干涉出發,予以反對:執政者深知該計劃將促使親美民主派上臺,結果很可能導致伊斯蘭原教旨主義力量得勢,危及自身政權,因而予以抵制。對中東國家來說,美國的大中東民主改造計劃既是壓力,更是威脅。它們在壓力下會加快改革步伐,但同時又非常警惕地抵制外來的滲透、干涉和顛覆。中東一些國家已經、并將繼續采取民主化改革措施。如埃及總統選舉,由議會確定單一候選人改變為多名候選人參選。有些媒體將此視為美國大中東民主改造計劃的功績。這種看法不符合實際。總統選舉制度的變化,完全是埃及審時度勢,獨立自主采取的民主化改革措施。
五、美國中東政策不得人心,雖在策略和手法上進行了一些調整,但基本政策和戰略重點沒有改變。
伊拉克問題已成為美國在中東地區所面臨的最大難題。伊拉克的未來走向已經并將繼續對中東地區其他熱點問題產生重大影響,也在相當程度上成為美國中東政策成敗的關鍵。
(一)事實表明,美國為發動伊拉克戰爭提出的“理由”,全是編造的謊言。美國前國務卿鮑威爾最近坦言,他在聯合國闡述發動伊拉克戰爭理由時說的全是假話,對此深感懊悔。為了霸權利益,美國不顧伊拉克民眾和美國士兵的死活發動了一場不義戰爭。加上隨即發生的令人不恥的多起虐俘事件,使世人進一步認清美國政要整天掛在嘴上的“民主”、“自由”、“正義”、“人權”是何等虛偽。美在國際社會的可信度、號召力因此大減,對其軟實力所產生的深遠的負面影響不容低估。
(二)美國在伊拉克駐扎了13余萬士兵,花費近3000億美元,付出了2000多士兵的生命,造成數以萬計的伊拉克民眾的傷亡,迄今仍不能改善伊安全形勢,無法進行有效的政治重建,伊民眾生活比薩達姆執政時還要艱難。美國國內民眾對布什伊拉克政策的支持率降到了35%。這又讓世人進一步認識到,盡管美國綜合國力、軍事力量無人匹敵,但也有諸多的軟肋,并不能為所欲為。
(三)發動伊拉克戰爭時,美國的單邊主義盛極一時,但伊拉克亂局又迫使美不得不求助聯合國和大國的配合,其政策的單邊主義性已明顯收斂。
(四)美國一度大肆宣揚“先發制人”戰略,暗示在整治伊拉克后,還將入侵其他“邪惡國家”。現在它雖仍不時對一些國家發出武力威脅,但主要通過政治和外交手段解決問題。在穩定伊拉克局勢之前,美難以再發動伊拉克戰爭式的“先發制人”軍事行動。
(五)美國在推翻薩達姆政權后,提出“大中東民主改造計劃”,一時間劍拔弩張,殺氣騰騰:要么接受美式民主,要么選擇薩達姆的下場。事關民族命運,阿拉伯國家強調“絕不接受強加的計劃,中東人民有權自己決定中東的未來”。面對重重阻力,布什政府不得不承認在中東推行“民主”需要幾代人的努力,從而放慢節奏,更換手法,收斂其強制施壓的做派,更多采用柔性誘拉手段。
(六)美國在中東遇到的困難和挫折并未超出其承受能力。美國現在的軍費占GDP3.74%;越南戰爭時美國軍費占GDP10%;朝鮮戰爭時占14%。美軍在伊拉克死去2000多人,引起國內反戰情緒上升,但與越南戰爭和朝鮮戰爭時美軍死亡人數相比,這個數字并不算大。有少數學者認為,美國將因伊拉克局勢走向衰弱,這可能是夸大了美國的困難,低估了美國的承受能力。
(七)自冷戰結束后美國全面確立在中東的主導地位。其中東政策不得人心,激起阿拉伯——伊斯蘭民眾反美、仇美情緒上升,但憑借惟一超級大國強大的綜合國力和軍力,美在中東地區仍處于強勢地位。它在中東的主導地位確有所削弱,但遠未動搖,在相當長時間里也無可替代。中東多數國家的政府雖對美內心不滿并保持警惕,但都極力保持與其良好關系。即使少數被美視為“邪惡”、“無賴”或“暴政前哨”的國家也盡量避免與美正面碰撞。
(八)美國雖然對其中東政策作出調整,但只是手法和戰術上的改變,其實質部分并無變化。美要全面控制中東地區,政策重點仍是:(1)反恐、防擴散;(2)遏制伊斯蘭極端勢力和打壓“暴政前哨”國家;(3)推行“大中東民主改造計劃”。手段仍是大棒加胡蘿卜,軟硬兼施。
(九)只要美國繼續偏袒以色列,不能主導公正解決巴勒斯坦問題;繼續軍事占領伊拉克,對地區一些國家實施制裁或以武力相威脅;在防止大規模殺傷性武器擴散方面仍執行雙重標準;繼續以推行“民主”為由干涉地區國家內政、顛覆地區國家政權,阿拉伯—伊斯蘭民眾反美、仇美情緒就會更趨強烈,伊斯蘭極端勢力的群眾基礎會因此而日益壯大,恐怖活動可能越反越多;美國的大中東民主改造計劃實難順利實施,中東局勢會長期緊張動蕩,美國在中東也會遇到更多的麻煩,中東地區的熱點問題將繼續對美國的霸權主義構成牽制。
第五篇:職代會審議情況報告
篇一:職代會代表資格審議報告 嵐皋公路管理段第十屆一次職工代表大會 代表資格審查報告
各位代表:
嵐皋公路管理段第十屆一次職工代表大會代表資格審查小組,對出席大會的代表進行了資格審查。現將代表資格審查結果報告如下:
根據《嵐皋公路管理段職工代表大會暨會員代表大會實施細則》、段黨支部《關于同意召開嵐皋公路段職工代表大會的通知》中有關代表產生辦法和代表名額和代表組成的要求,全段各道班、股室根據分配的名額及代表的條件要求,經職工和會員群眾充分醞釀和無記名投票,選舉產生了出席嵐皋段第十屆職工代表大會的代表31名,整個選舉過程已于9月20日全部完成。
嵐皋段第十屆職工代表大會會議代表的選舉工作,從代表候選人的醞釀提名和代表的選舉產生,都貫徹了民主集中制的原則,注意了發揚民主,尊重了選舉人的意志和民主權利。這次選出的31名代表中,一線職工代表21名,占代表總數的68%;女職工3名,占代表總數10%;專技人員代表8人,占代表總數26%,一般管理人員代表11名,占代表總數35%;少數民族代表1人,占代表總數3%;外聘職工代表2名,占代表總數6%。
這次選出的代表具有廣泛的群眾性和代表性,他們是我段各部門和崗位的骨干,密切聯系職工群眾,為職工群眾服務,得到了職工群眾的信任和擁護,為我段的建設發展做出了積極貢獻。
經代表資格審查小組審查,確認其選舉程序、代表比例、組織結
1構符合有關規定,具有廣泛的代表性,全段選出的 名代表,符合、《職工代表大會暫行條例》和我段黨支部批準同意的嵐皋公路管理段第十屆職工代表大會代表產生的有關規定,代表資格全部有效。
本屆會議還邀請了道班、路政大隊、機關、養護中心16名職工列席大會。請大會審議。
嵐皋公路管理段第十屆職代會代表資格審查小組 二o一一年九月三十日
嵐皋公路管理段第十屆第一次職工代表大會代表名單 嵐皋公路管理段第十屆第一次職工代表大會列席代表名單
34篇二:2015年職代會報告初稿(審議稿)主動應對新常態 協同奮進譜新篇 全面推進現代化新型能源集團建設
——在山西焦煤五屆二次職代會暨2015年工作會議上的報告(2015年1月26日)總經理 金智新(審議稿)
各位代表、同志們:
現在我向大會做工作報告,請予審議。第一部分:2014年工作回顧
2014年,集團公司深入貫徹落實省委省政府總體工作部署,審時度勢,科學制定并全面實施“11236”發展戰略和目標,緊緊圍繞年初職代會和工作會具體安排,齊心協力應對市場變化,改革創新解決突出問題,扎實推進各項工作,企業整體實現平穩健康發展。
一、2014年主要生產經營指標完成情況
一年來,在集團上下的共同努力下,各項生產經營指標基本完成計劃任務(見附表)。同比呈現七升五降一持平:主要產品產銷量、收入、增加值都有增長;發電量、進尺、利潤、稅費、投資同比下降,特別是利潤受煤炭價格大幅下滑的市場沖擊,在去年同比下降47%的基礎上,今年再降45%;在崗職工人均工資在企業效益大幅下降的情況下實現了基本持平。2014年集團公司主要生產經營指標完成情況表
二、2014年主要工作
回顧2014年工作,主要呈現以下六個方面的特點:
(一)夯基礎,強管理,安全生產邁上新臺階
安全基礎趨實。集團上下牢固樹立安全“紅線”意識,全面實施“838”安全工作部署,針對階段工作特點制定落實“十六條”特別規定。強化“三基”管理,按照“三必管”、“黨政同責、一崗雙責、齊抓共管”要求,重新修訂完善了各級安全崗位責任制;深入開展了“查隱患、堵漏洞、抓落實”安全反思活動、“知責履責”活動和談心對話活動;強化責任追究,全年安全罰款539萬元,問責和處理干部167人。加強現場質量標準化建設,分別建成一級、二級、三級安全質量標準化礦井23座、5座、5座。
安全監管加強。對各專業重大隱患進行梳理認定,編制了11個專業502類重大隱患目錄;以隱患排查治理為重點強化安全監管,深入開展“四不兩直”動態檢查、安全“五人小組”檢查、掛牌督導、跟班帶班、系統會診和專項整治等工作。全年共對188個單位和項目開展專項會診,各類檢查共發現隱患問題6.4萬條,整改6.2萬條。堅持隱患分級銷號閉合,對重大隱患實施掛牌管理,全年共整改重大隱患342條。隊伍素質向好。實施安全專業隊伍與生產隊伍分設,單獨考核,形成有效制衡。嚴格按照“五統一”要求加強外委隊伍屬地管理,共清理外委隊伍46支4039人。深入開展班前會事故案例教育、“干部上講臺、培訓到現場”、應知應會培訓、技能大師工作室等工作,共建成13個集團級技能大師工作室;強化動態抽考、以考促學,干部職工素質進一步提升。
生產組織有序。生產礦井全面完成了煤炭生產要素登記公示,已公示礦井34座,產能8690萬噸/年;共對10座礦井進行了能力核定,提升產能1640萬噸/年。積極推進安全高效礦井、洗煤廠和高產高效隊組建設,22座礦井達到國家安全高效礦井標準,25座洗煤廠達到行業優質高效洗煤廠標準,建成200萬噸/年以上綜采隊10支,6000米/年掘進隊5支。
一年來,各單位在安全生產上因地制宜、各盡其能,特別是山焦西山堅持以“三基”工作為抓手,以李小鵬省長三次動態檢查為契機,全面強化安全生產,連續三年實現安全“零目標”,成績非常不易。在大家的共同努力下,今年全集團煤礦安全生產邁上了新臺階,圓滿完成了年初提出的奮斗目標。
(二)抓五保,拓市場,煤炭銷售創造新業績
全力以赴保市場。集團領導分片督導煤炭銷售工作;強化與重點用戶的長協合作,實施點對點精準服務、菜單式供應和“大客戶經理”服務模式;市場前移,在山東成功組建運行嘉祥港儲配煤銷售基地;充分發揮焦煤集團市場風向標作用,引導并穩定價格和市場。全年煤炭總銷量同比增長7%,合同兌現率達到85%,同比提高11個百分點。
多管齊下保運力。建立“鐵路、公路、貿易”協調運銷體系,優化運力配臵;以租賃、合作等多種形式新開通6個發運站點;積極溝通加大鐵路運力爭取,全年鐵路日均裝車達到2699車,創造歷史最好水平;特別是在運力極其緊張的太原路局南區,日均裝車同比增加101車。千方百計保回款。制定出臺了抵抹賬管理辦法和內部清欠辦法,嚴格考核兌現,優化結算流程,全年共收回貨款448億元,貨款回收率為89.8%,其中現匯比例39%。
堅定不移保生產。堅持把“不影響礦井生產”作為銷售底線,充分發揮“公路保生產”作用,全年公路銷量達到4128萬噸;充分利用內部市場緩解銷售壓力,內部電力、焦化等用煤企業全年使用內部煤炭量達到1335萬噸,同比增長9%。
多措并舉保效益。堅持鐵路優先、精煤優先,積極調整產品結構和用戶結構,精煤產量增幅大于原煤產量增幅近3個百分點。32座復工復產整合礦井納入集團統一銷售序列。加強質量管理,商品煤稽查合格率99.7%。實施科學定價策略,實現同品種煤炭價格始終高于進口煤和地方煤,并緊跟市場形勢率先上調價格,最大限度地提升了企業效益。一年來,銷貿戰線各級干部職工蠻拼的。山焦銷售、山焦公路面對內外雙重壓力,負重前行,敢打敢拼,通過努力實現了礦井有序生產和穩定銷售。貿易單位找貨源、拓市場、多聯手,集團公司煤炭總銷量、貿易總收入均實現逆勢增長。
(三)挖潛力,控風險,經營管理取得新成效
立標對標管理全面起步。內部建立煤炭、洗選、發電、焦炭等九大領域立標對標體系,外部組織大礦對標神華集團、老礦井對標河北峰峰,通過對標找準差距,提升精細化管理水平。篇三:一屆四次職代會籌備情況匯報 陜西蒼村煤業有限責任公司
一屆四次職代會暨2015年工作(安全)會材料
陜西蒼村煤業有限責任公司
關于一屆四次職工代表大會籌備情況的報告 ***(2014年1月16日)各位代表:
蒼村煤業一屆四次職工代表大會,在礦黨政領導的關心和相關部門的共同參與下,經過緊張有序的精心籌備,如期完成了大會的各項籌備工作。現在,我受籌備工作領導小組的委托,向各位代表匯報大會籌備工作情況。
一、大會各項工作的籌備
礦黨政領導對這次職工代表大會極為重視,于去年12月份開始籌劃準備,成立了以***為組長,工會主席為副組長,人力資源部、財務部、安檢部、綜合辦公室、黨群部為組員的籌備工作領導小組。下設材料、會務兩個工作小組,具體負責各項籌備工作。工會作為職代會的工作機構,全力以赴,努力工作,制定了職代會籌備方案和推進計劃,并向黨委作了專題匯報,黨委就有關問題進行了研究,要求各部門按照推進計劃保質保量地完成各項籌備工作。1月7日,召開了籌備工作第一次會議,明確了分工、責任和完成期限。1月13日,召開了籌備工作第二次會議,就職代會籌備進度情況進行了檢查督促,從而為一屆四次職代會的順利召開創造了條件、奠定了基礎。
二、大會代表資格審查情況
根據《公司職工代表大會代表條件及產生辦法》的規定,本次職代會代表共55名,占公司在冊職工人數的10%。
出席本次會議的職工代表,結構如下:工人代表32名,占代表總數的58%;技術管理人員15名,占代表總數的27%;領導干部代表7名,占代表總數的13%,;45歲以上的代表24 名,占代表總數的44%;45歲以下青年代表31名,占代表總數的56%;黨員代表21名,占代表總數的 38 %;非黨群眾代表34名,占代表總數的 62%。男職工代表50名,占代表總數的91%;女職工代表5名,占代表總數的9%;
三、大會的其它籌備工作
(1)代表組劃分。根據職工代表的分布情況,本著便于開展工作的原則,這次大會共組建5個代表團。各代表組設團長1名,負責會前材料的預審,職工代表的組織、審議等活動。(2)認真做好民主評議領導干部的組織工作。根據上級有關規定,本屆職代會將組織職工代表對7名領導班子成員進行民主評議,接受職工代表的民主評議,以促進礦領導班子建設。(3)起草大會材料并對主要材料預審。承擔大會材料的部門本著“嚴謹、細致”的工作作風,認真起草這次職代會的文件材料,所有材料都經過了各主管領導的審查把關。其中,經理行政工作報告(初稿)經黨委(擴大)會議審定。大會文件材料起草完成后,及時發至各代表團提前預審,有關部門結合代表們提出的意見和建議,對材料進行了必要的修改。(4)精心做好大會的各項服務工作。礦領導對大會的服務工作十分重視和關心,并多次檢查過問籌備情況。
經過近半個多月的緊張工作,一屆三次職代會各項籌備工作進展順利,已基本就緒。整個籌備工作為職代會的如期召開奠定了良好的基礎。在此,我代表籌備領導小組對廣大職工的關心和支持表示衷心的感謝!
本次大會會期半天,共設7個議題,與會人員有正式代表、列席代表組成,其中正式代表55人,有事請假缺席代表人,列席代表 人。參加本次職工代表大會的職工代表超過應到代表人數三分之二以上,會議有效。
最后,預祝蒼村煤業一屆四次職工代表大會圓滿成功!
點擊咨詢 