第一篇:解讀美國財政部最新匯率政策報告
解讀美國財政部最新匯率政策報告
4月14日,美國財政部發表了半年度(每年4月和10月)關于美國主要貿易伙伴匯率政策的報告,一如市場預期以及美國總統特朗普事前預告,該報告并沒有指控中國為匯率操縱國。然而,魔鬼盡在細節當中,解讀該報告還是能為中國和美國在貿易和匯率上的政策取向提供參考。
首先,該報告并未改變游戲規則,所沿用的判斷匯率操縱國的準則還是以往的三個條件:一是其對美雙邊貿易盈余超過200億美元,二是其經常賬戶盈余超過GDP的3%,三是其持續、單邊的匯市干預(指購買外幣、拋售本幣)在過去12個月期間超過GDP的2%。這些條件如果維持不變,美國財政部就不可能指控中國操縱人民幣兌美元匯率,嚴格來說中國甚至連觀察名單(在過去兩份報告中曾滿足其中兩個條件,便會列入觀察名單)都不必上,因為中國在連續兩份報告中都只滿足一項條件,即它對美國仍然錄得全球最大的貿易順差,2016年為3470億美元,顯著超過第二位日本689億美元的水平,但同年中國的經常賬戶盈余收窄至GDP的1.8%,而且是凈售匯而非凈購匯。
美國財政部定期對主要貿易伙伴的匯率政策進行評估分析,所依據的是兩項法案:1988年的《貿易和競爭力綜合法案》(The Omnibus Trade and Competitiveness Act)和2015年的《貿易便利化和貿易執行法》(The Trade Facilitation and Trade Enforcement Act),前者主要為定性,后者主要為定量,即依據上述三個量化指標來幫助進行判斷,一旦定量分析不能標簽匯率操縱,也就不能下結論指控有關經濟體從中取得不公平的競爭性優勢。據此,要修改游戲規則,就先要修訂這兩個法案,在特朗普政府施政遇到阻力的情況下,這種做法并非是優先選項。
再者,專門針對中國修改游戲規則的一個副作用是會把其他貿易伙伴拖下水。美國財政部的這份報告只涵蓋美國前十二大貿易伙伴,因為再往后,對美國商品貿易的占比個別來看都不足1.5%。如果經常賬戶盈余相當于GDP的條件從超過3%降至1.5%以針對中國,則會把意大利也拖下水,因為意大利2016年經常賬戶盈余相當于GDP的2.8%,至于其他五個經常賬戶為赤字的經濟體,相信無論如何都不會達標。如果把匯市干預(凈購匯,即外匯儲備增加)的條件從超過GDP的2%降低,則有可能把中國臺灣和印度拖下水,因為其2016年凈購匯規模為相當于GDP的1.8%和0.4%(其余經濟體要么零購匯,要么凈售匯)。
盡管中國在連續兩份報告中都只滿足一項條件,但美國財政部的報告還是繼續將之列入觀察名單,同列觀察名單的其他五個經濟體均滿足兩項條件:日本、德國、韓國(連續兩份報告中滿足貿易盈余和經常賬戶盈余條件)、瑞士(連續兩份報告中滿足?常賬戶盈余和匯市干預條件)、中國臺灣(上一份報告滿足經常賬戶盈余和匯市干預兩項條件,該份報告則只滿足經常賬戶盈余一項條件,仍需再觀察多半年時間)。對此做法,美國財政部又如何解釋呢?
首先,一個經濟體一旦曾列入觀察名單,即使之后情況改善,美國財政部都至少要多觀察一年時間(即兩份報告),以確保情況的改善并非是因為一次性因素所導致。在2016年4月份的報告當中,中國因為貿易盈余和經常賬戶盈余條件而被列入觀察名單,即使之后2016年10月份和今年4月份兩份報告期間滿足的條件降至一個,但仍受觀察。再有,如果一個經濟體對美國的貿易盈余龐大,光是因為這一條件美國政府就可以主觀決定繼續把該經濟體置于觀察名單之內。這可以說是專門針對中國乃至日本和德國的標準,要從觀察名單除名完全取決于美國政府的主觀取態。
5月初,中美首腦會面后,美國商務部長稱雙方同意百日計劃,商討降低美國對華巨額貿易逆差問題。盡管貿易為商務部的政策領域,匯率為財政部的政策領域,但從美國財政部的匯率報告中也可以看出美國政府的立場。2016年在商品貿易方面,中國對美貿易盈余從2015年的3670億美元降至3470億美元;在服務貿易方面,則美國一直是盈余國,其對華盈余增加40億美元至370億美元;兩者加總,則中國對美國商品加服務總盈余為3100億美元。美國分析其主要貿易伙伴是否操縱匯率只看商品貿易,而不看美國作為盈余國的服務貿易。要解決有關的商品貿易失衡,美國開出的藥方是中國對美國的商品和服務進一步開放市場,降低壁壘,減少限制,同時加快落實改革,經濟增長向消費主導轉型。對于后者,也正是中國經濟增長結構轉型的方向,相信無大異議,但前者由于涉及市場準入,相關協商相對的難度就會較大。
至于匯市干預,在人民幣兌美元連續第三年貶值的情況下,報告指出中國的匯市干預是反向操作的,旨在平抑人民幣的貶值幅度,在統計上表現為外匯凈消耗,規模為4350億美元,相當于GDP的3.9%,而在2016年并沒有出現逾8個月的外匯凈購買的情況,因此不存在匯率操縱的問題。在缺乏官方統計、難以界定當中有多少為匯兌因素、有多少實為資金外流的情況下,美國財政部估計自2015年8月至2017年2月期間,中國共動用了約8000億美元外匯儲備來紓緩人民幣的貶值壓力,而目前約30000億美元的外匯儲備水平還是充裕的。
不過,報告仍有一定篇幅說明,在人民幣過去三年的貶值周期之前,中國曾單邊干預匯市以抑制人民幣升值幅度達十年時間,漸進升值之余,對人民幣匯率被低估的修正被拉長了,即升值周期也拖長了。對此評估,有兩點啟示:一是現時通過匯市干預緩解人民幣貶值幅度的做法或許也會拉長貶值周期;二是可以預期未來如果人民幣重新進入一輪升值周期,則美國或會變得非常介意旨在抑制人民幣匯率升值幅度的匯市干預。
瑞士是美國主要貿易伙伴當中匯市干預最重要的經濟體,在2016年其凈購匯660億美元,相當于GDP的比率高達10%,另外瑞士的經常賬戶盈余也高達GDP的10.7%,瑞士之所以未被指控操縱匯率,是因為其對美貿易盈余為137億美元,離200億美元的門檻還有一定距離。不過,美國財政部對瑞士匯市干預的態度并非十分強硬,指出是避險資金大規模流入所致,而且同意IMF的建議,即今后的匯市干預應只限于管理避險資金的流入。這樣的取態可為中美之間就匯率問題的協商提供有用的啟示。(作者單位:中銀香港)
第二篇:財政部42號文政策解讀
政策解讀第一期
解讀國辦發〔2015〕42號:《財政部發展改革委人民銀行關于在公共服務領域推廣政府和社會資本合作模式指導意見的知》
關鍵詞:政府和社會資本合作模式(PPP);效益;公共利益最大化
一、《通知》主要條款
1、政府采取競爭性方式擇優選擇具有投資、運營管理能力的社會資本,雙方按照平等協商原則訂立合同,明確責權利關系,由社會資本提供公共服務,政府依據公共服務績效評價結果向社會資本支付相應對價,保證社會資本獲得合理收益。
2、社會資本的境內外企業、社會組織和中介機構承擔公共服務涉及的設計、建設、投資、融資、運營和維護等責任。
3、政府作為監督者和合作者,減少對微觀事務的直接參與,加強發展戰略制定、社會管理、市場監管、績效考核等職責。
4、鼓勵國有控股、民營、混合所有制等各類型企業積極參與提供公共服務,激發市場主體活力和發展潛力,盤活社會存量資本,形成多元化、可持續的公共服務資金投入渠道,打造新的經濟增長點,增強經濟增長動力。
5、完善財政投入和管理方式,提高財政資金使用效益。
6、在政府和社會資本合作模式下,政府以運營補貼等作為社會資本提供公共服務的對價,以績效評價結果作為對價支付依據,并納入預算管理、財政中期規劃和政府財務報告,能夠在當代人和后代人之間公平地分擔公共資金投入,符合代際公平原則,有效彌補當期財政投入不足,有利于減輕當期財政支出壓力,平滑間財政支出波動,防范和化解政府性債務風險。
二、主要原則
依法合規,重諾履約,公開透明,公眾受益,積極穩妥的原則
三、保障措施
1、建立健全制度規范體系,實施全生命周期管理,保證項目實施質量。
2、建立完善管理細則,規范選擇合作伙伴的程序和方法,維護國家利益、社會公共利益和社會資本的合法權益。
3、健全財政管理制度。開展財政承受能力論證,統籌評估和控制項目的財政支出責任,促進中長期財政可持續發展。
4、針對政府付費、使用者付費、可行性缺口補助等不同支付機制,將項目涉及的運營補貼、經營收費權和其他支付對價等,按照國家統一的會計制度進行核算,納入預算、中期財政規劃。
5、存量公共服務項目轉型為政府和社會資本合作項目過程中,應依法進行資產評估,合理確定價值。
6、建立多層次監督管理體系。建立事前設定績效目標、事中進行績效跟蹤、事后進行績效評價的全生命周期績效管理機制,將政府付費、使用者付費與績效評價掛鉤,并將績效評價結果作為調價的重要依據,確保實現公共利益最大化。
7、價格調整機制。按照補償成本、合理收益、節約資源、優質優價、公平負擔的原則。廣泛聽取社會資本、公眾和有關部門意見,確保定價調價的科學性。及時披露項目運行過程中的成本變化、公共服務質量等信息,提高定價調價的透明度。
8、完善法律法規體系。明確政府出資的法律依據和出資性質,規范政府和社會資本的責權利關系,明確政府相關部門的監督管理責任。
四、推進實施中主要規范以下
1、在能源、交通運輸、水利、環境保護、市政工程等特定領域需要實施特許經營的,按《基礎設施和公用事業特許經營管理辦法》執行。
2、積極運用轉讓—運營—移交(TOT)、改建—運營—移交(ROT)等方式,將融資平臺公司存量公共服務項目轉型為政府和社會資本合作項目,引入社會資本參與改造和運營,在征得債權人同意的前提下,將政府性債務轉換為非政府性債務,減輕地方政府的債務壓力。
3、嚴禁融資平臺公司通過保底承諾等方式參與政府和社會資本合作項目,進行變相融資。
4、提高項目決策科的學性。結合財政收支平衡狀況,統籌論證新建項目的經濟效益和社會效益,并進行財政承受能力論證,保證決策質量。
五、政策優惠措施
1、簡化項目審核流程。進一步減少審批環節,建立項目實施方案聯評聯審機制,提高審查工作效率。項目合同簽署后,可并行辦理必要的審批手續。
2、多種方式保障項目用地。可按劃撥方式供地,但不得改變土地用途;建成的項目經依法批準可以抵押,土地使用權性質不變;實現抵押權后改變項目性質應該以有償方式取得土地使用權的,應依法辦理土地有償使用手續。不符合劃撥用地目錄的項目,以租賃方式取得土地使用權的,租金收入參照土地出讓收入納入政府性基金預算管理。以作價出資或者入股方式取得土地使用權的,應當以市、縣人民政府作為出資人,制定作價出資或者入股方案,經市、縣人民政府批準后實施。
3、探索通過以獎代補等措施,引導和鼓勵地方融資平臺存量項目轉型為政府和社會資本合作項目。
4、支持公共服務事業的稅收優惠政策,公共服務項目采取政府和社會資本合作模式的,可按規定享受相關稅收優惠政策。鼓勵地方政府在承擔有限損失的前提下,與具有投資管理經驗的金融機構共同發起設立基金,并通過引入結構化設計,吸引更多社會資本參與。
六、本人分析
該指導意見從PPP模式意義到保障PPP模式有效實施提出了很多具體的邊界條件、政策指導、規范、政策優惠等,主要目的是為了減輕政府短期財政壓力,減輕政府在公共服務領域支出上的乏力與不平衡問題,為實現政府與社會資本在公共領域經營性項目合作提出了切實可行的指引,具有非常高的現實與指導意義。
第三篇:財政部解讀2011糧食
財政部解讀糧食生產“七連增”背后財政支持措施
2011年04月01日08:51
糧食生產直接關系國家安全和國計民生。2010年,我國糧食產量實現半個世紀以來首次連續七年增產。這一喜人成績離不開國家一系列強農惠農政策的支持,其背后更體現了國家財政的有力支撐。
“十二五”開局之際,梳理盤點國家糧食增產財政保障機制在促進糧食增產中發揮的作用,對于未來更好地完善這一機制,為保障國家糧食安全這一首要目標更好發力具有重要意義。為此,記者采訪了財政部有關負責人。
加大財政投入 夯實糧食增產“資金保障”
糧食增產離不開財政資金支持。2004年以來,按照黨中央、國務院決策部署,中央財政充分發揮公共財政職能,著力構建糧食增產財政保障機制。
該負責人介紹說,這一機制主要內容包括:著力加大扶持糧食生產發展投入,不斷增強糧食生產資金保障力度;著力建立健全利益保護機制,充分調動農民和地方政府兩個積極性;著力支持改善農田基本條件、農業科技和服務水平,不斷提高糧食綜合生產能力。
他指出,糧食增產財政保障機制是一個完整的政策體系,既有對種糧抓糧主體的獎勵補貼,又有對提高糧食綜合生產能力的支持;既有建設“良田”的投入,又有支持“良種、良法”的支
出;既有對糧食生產的穩定支持政策,又有保障糧食生產所需的臨時性應急措施。中央財政積極構建糧食增產財政保障機制,既符合黨中央、國務院穩定發展糧食生產的戰略部署,也符合公共財政建設的政策取向,為促進糧食連續增產、保障我國糧食安全發揮了積極作用。
加大財政投入力度是糧食增產財政保障機制的首要內容。近年來,中央財政不斷優化財政支出結構,著力加大扶持糧食生產投入力度,不斷增強糧食生產資金保障力度,努力建立健全財政支農支出穩定增長機制。
統計數據顯示,2004年至2010年,中央財政支持“三農”投入從2626.2億元增加到8579.7億元,年均增長21.8%,其中與糧食生產相關的投入從1029億元增加到4575億元。
此外,2010年,中央財政安排用于調動農民和地方政府積極性的獎勵和補貼資金達到2843億元,用于糧食綜合生產能力建設的投入達1732億元,分別占扶持糧食生產發展投入的62.1%和37.9%。
健全利益保護機制 調動農民和地方政府“兩個積極性”保障糧食增產,除了加大財政投入,還需要充分調動農民群眾種糧、地方政府抓糧的積極性。該負責人說,在這方面,中央財政著力建立健全對農民的利益保護機制和對糧食主產區的利益補償機制,形成了顯著的政策導向。
這一政策導向一方面體現在以促進糧食生產和防范風險為
核心,建立了對農民的利益保障機制。
中央財政自2002年以來先后出臺了良種補貼、農機購置補貼、糧食直補、農資綜合補貼等四項補貼政策,不斷加大直接補貼力度,提高種糧農民生產積極性。2004年至2010年,“四項補貼”資金從145.22億元增加到1225.9億元,累計撥付資金達4594.28億元。
與此同時,中央財政大力支持落實糧食收儲政策和實施農業保險保費補貼政策,幫助農民防范化解種糧風險。2004年至2010年,中央財政累計安排最低收購價政策和臨時收儲政策支出678億元,支持政策性糧食收購,有效緩解了農民“賣糧難”、“儲糧難”的問題,消除了農民種糧的市場風險。同時,中央財政從2007年開始實施農業保險保費補貼政策。2007年至2010年,中央財政累計撥付種植業保險保費補貼資金136億元,為我國農業生產提供了逾8000億元的風險保障。
另一方面,為調動地方政府抓糧積極性,中央財政還以緩解地方財政困難為重點,建立了對糧食主產區的利益補償機制。2005年以來,中央財政先后出臺了產糧大縣獎勵、產油大縣獎勵、超級產糧大省獎勵政策,對糧食主產區予以獎勵,并不斷增加獎勵資金規模,六年累計安排獎勵資金810億元。從今年起,中央財政全部取消了主產區糧食風險基金地方配套,每年減輕主產區地方政府財政負擔98億元。
此外,2006年我國全面取消了農業稅,從根本上扭轉了農
民長期負擔過重的局面,同時通過轉移支付保障了地方政府特別是產糧地區政府的既得財力。2000年至2010年,中央財政累計安排農村稅費改革轉移支付資金5741.29億元。
破解糧食增產“軟硬約束” 支持提高糧食綜合生產能力在調動農民和地方政府積極性的同時,中央財政還通過支持改善農田基本條件、提高農業科技和服務水平、增強農業抗災能力等,著力緩解耕地、水資源、技術等要素的約束和自然災害的影響,不斷增強糧食綜合生產能力,提高了糧食單產水平。該負責人介紹說,一方面中央財政大力支持高標準農田建設,緩解糧食增產“硬約束”。2004年至2010年,累計安排新增建設用地土地有償使用費1015.6億元,重點支持整體推進農村土地整治示范和農村土地整治重大工程。安排農業綜合開發資金891.28億元,重點用于中低產田改造和高標準農田示范工程建設,累計改造中低產田、建設高標準農田1.87億畝,新增和改善農田灌溉面積1.71億畝,新增和改善除澇面積0.59億畝,顯著提高了糧食綜合生產能力。此外,還分別安排2005億元和571.3億元用于支持大中型水利工程和小型農田水利設施建設。另一方面,中央財政大力支持農業科技進步,緩解糧食增產“軟約束”。“十一五”時期,累計安排農業科技經費263.52億元,重點支持農業領域基礎研究、前沿技術研究、社會公益研究、重大共性關鍵技術研發等,為糧食不斷增產提供了科技支撐。同時加大資金投入,實施種子工程項目,支持農業科技轉化推廣和
服務體系建設。
此外,2004年至2010年,中央財政還通過中央基建投資安排資金143.7億元,推進大型商品糧基地建設,實施優質糧食產業工程和新增千億斤糧食規劃,充分挖掘糧食主產區增產潛力。并安排農業生產救災、病蟲害防治、防汛抗旱和應急度汛等防災減災資金219.87億元,著力減輕農業災害對糧食生產的影響,支持災后及時恢復糧食生產。
該負責人表示,“十二五”時期,我國糧食生產仍面臨著資源約束、市場波動、氣候變化等方面的嚴峻挑戰,中央財政將進一步健全糧食增產財政保障機制,在調動農民和地方政府積極性、完善糧食市場調控機制的同時,大力支持高標準農田建設和農業科技進步,促進農業和糧食生產方式的根本轉變,推動糧食綜合生產能力建設不斷邁上新的臺階。(來自財政部網站)
第四篇:美國《門戶開放》報告權威解讀
2012年11月16日
美國《門戶開放》報告權威解讀
赴美留學黃金時期 商科專業繼續領跑
2012年11月12日,美國國際教育協會(IIE)發布2012年在美留學生《門戶開放(Open Doors)》報告,對2011-2012學年在美留學的國際學生情況進行了詳實的數據分析,包括人數、國籍、學歷層次、就讀學校和專業等多個方面。
赴美留學或迎來黃金時期
自2005年美國前國務卿賴斯宣布放寬政策以來,經過幾年的醞釀和宣傳,美國留學市場持續火熱,特別是2008年奧巴馬就任總統之后,僅中國赴美留學的學生人數就保持了兩位數的增長,2009-2010學年中國留學生人數首次超過印度,成為美國最大的留學生群體。《門戶開放(Open Doors)》報告稱,2011-2012學年,在美國就讀的國際學生達到歷史最高值76.4萬人,比上一學年增長5.7%。增長比例最大的是沙特阿拉伯,主要原因是沙特政府提供的大額獎學金,其次增長較大的是中國,比上一學年增長了23.1%。赴美留學的中國學生總人數達到歷史峰值19.4萬人,占在美國所有國際學生的比例為25.4%,即在美國四個外國留學生中,就有一名中國學生。雖然中國留學生人數達到新高,但因為美國有4000所經過認證的大學,且地域廣大,中國留學生的比例并不算高。
啟德美國項目總監、資深美國留學專家涂攀老師表示,越來越多的中國學生選擇赴美深造,美國政府也不斷出臺各種利好政策,赴美留學已經迎來了黃金時期。此次奧巴馬獲得總統連任,勢必延續赴美留學的大好態勢,對于想去美國留學的中國學生來說,是非常不錯的時機。
本科人數增率首次超研究生
2012《門戶開放(Open Doors)》顯示,2011-2012學年,赴美讀本科的留學生總人數達30.9萬人次(包括所有外國留學生),同比增長6.1%,而赴美讀研究生的留學生人數增長率為1.3%,赴美就讀本科的留學生人數增長率首次超過選擇赴美讀研究生。其中,赴美讀本科的中國留學生人數增長率高達31%,高于研究生的增長比例,在美國讀本科的中國留學生人數預計已經超過讀研人數。
報告中也提到,2011-2012年赴美就讀非學位課程的短期留學人數增長率為17.4%,為近四年最高,赴美進行短期留學也成為美國留學的新趨勢之一。
啟德美國項目總監、資深美國留學專家涂攀老師介紹,隨著留學低齡化和多元化的發展趨勢,赴美留學的中國學生學歷層次也越來越豐富,選擇就讀高中、本科課程的人數都在不斷增多,學生應該根據自身條件合理規劃留學時間和課程。
商科、工程專業最受留學生青睞
《門戶開放(Open Doors)》報告中對于留學生就讀專業的數據分析顯示,商科、工程仍然是留學生選擇最多的兩大專業,其中商科占比高達21.8%,工程占18.5%,遙遙領先其他專業。從增長速度來看,2011-2012學年增長較快的專業前三名為:語言培訓(增長20%)、藝術類(增長12%)、數學和計算機(增長10.5%)。
啟德美國項目總監、資深美國留學專家涂攀老師表示,美國的商科、工程類專業作為留學生最青睞的兩大專業,競爭十分激烈,申請難度也有所提升。建議準備赴美留學的中國學生,可以在本科選擇一些寬口徑的基礎學科,到研究生階段在根據自身成績和興趣選擇具體
2012年11月16日的專業方向繼續深造,并不建議從本科就開始學習商科。
最受留學生歡迎的地區和大學
此次報告公布了招收國際學生最多的20所美國大學和十大州。這20所大學中14所為公立大學,6所為私立大學,全部都是研究型大學(提供本科、碩士和博士學位課程);招收國際學生最多的州基本都分布在西海岸、東北地區和五大湖地區,其中五大湖地區入選的州最多,加州(西海岸)和紐約州(東北地區)的國際學生人數遠遠多于其他州。
啟德美國項目總監、資深美國留學專家涂攀老師介紹,這20所大學中有一些申請難度很大,尤其是哈佛大學、哥倫比亞大學、紐約大學等幾所名校,申請競爭異常激烈。如果學生自身條件不是特別優秀,建議避開這幾所大學。此外,除了公立大學之外,美國的文理學院、社區大學、地區大學等,也是留學生很好的選擇。從留學地區來說,排名靠前的幾大州如加州、紐約州、德州、佛羅里達州等,都是教育發達、大學密集、競爭最激烈的地區,學生在選擇時一定要根據自身條件、將來的職業發展進行合理選擇。
第五篇:美國網絡安全政策審議報告
網絡安全保護不力成為奧巴馬政府面臨的最緊迫的國家安全問題之一。因此,報告通過對與信息和通信基礎設施有關的所有任務和活動進行評估,就未來如何實現擁有可靠、有韌性和值得信賴的數字基礎設施進行說明。報告主要以五個主題介紹調查結果和行動方案:一是最高層實施領導,二是打造數字化國家的能力,三是共同承擔網絡安全責任,四是建立有效信息共享和事件反應框架,五是構筑未來架構。此外,報告還就行動計劃提出近期和中期建議。報告指出,保護網絡空間需要有先見之明的領導,需要在政策、技術、教育乃至法律等方面進行變革。此外,政府最高領導層、產業界和民間社會要共同致力于網絡安全,使美在加強國家安全和促進全球經濟的同時,繼續在創新和尖端技術運用方面保持領先地位。
【本刊訊】美國白宮網站5月29日發表一份報告,題為《網絡空間政策評估》,副題為《確保擁有可靠的和有韌性的信息與通信基礎設施》,全文如下:
前 言
網絡空間幾乎涉及到每個人和每件事。網絡空間提供了一個創新與繁榮的平臺,提供了全世界改善整體福利的方法與途徑。但是由于很多人都可以輕而易舉地觸及到管控松散的數字基礎設施,各種巨大的風險正在對國家、私營企業和個人權利構成威脅。美國政府有責任解決這些網絡空間的戰略缺陷及弱點,確保美國及其公民與世界更多的國家共同充分發揮潛力,實現信息技術革命。
主要以國際互聯網為基礎的國家數字基礎設施架構并不具有安全性,或者說韌性比較差。如果這些系統在安全上沒有取得重大進展,或在如何構建和運營上沒有實現重大改觀,很難讓人相信美國能夠保護自己免受網絡犯罪日益嚴重的威脅,免遭由國家支持的入侵和軍事行動的日益嚴重威脅。我們的數字基礎設施早已經遭受到入侵,犯罪分子已經竊取了億萬美元,一些國家和機構團體盜取了知識產權和敏感的軍事情報。還有的入侵可能會損壞我們部分關鍵基礎設施。美國的經濟和安全利益都是以信息系統為基礎,這些形形色色的風險有可能會動搖國家對信息系統的信賴。聯邦政府還沒有組織起來有效地解決這個目前或在未來日益嚴重的問題。聯邦政府很多部門和機構都擔負有網絡安全的責任,但存在職權重疊的問題,沒有一個部門擁有足夠的決策權來指揮行動,協調一致地去處理相互矛盾的問題。政府需要綜合考慮各方競爭的利益,制定出一個全面設想和計劃,以解決美國面臨的網絡安全問題。國家需要制定出必要的政策和程序,培養相關人才和發展相關技術,以降低網絡安全所面臨的風險。
無論是在美國國內還是在國際上,信息和通信網絡基本上是歸私營部門所有并經營的。因此,解決網絡安全問題需要建立起政府和私營部門兩者之間的伙伴關系,要進行國際合作并制訂國際準則。美國需要擁有一個全面的架構,以確保政府、私營部門和我們的盟國在發生重大網絡事件或威脅時,協調一致地做出反應和進行防御。
美國需要開展一次全國性的網絡安全討論,從而使更多的民眾認識到網絡威脅與網絡風險,以確保擁有一套完整的辦法來滿足國家對網絡安全的需要,并履行國家做出的承諾,維護受憲法和法律保護的公民個人隱私權和自由權。
確保信息和通信基礎設施安全并具有較強的韌性,僅僅依靠研究新的辦法是遠遠不夠的。政府需要加大研究經費投入,這將有助于解決網絡安全上存在的弱點,同時也能滿足我們經濟和國家安全的需要。
概 述
總統指示要在60天內完成一份全面、全新的評估報告,對美國網絡安全政策和組織結構進行評估。網絡安全政策包括網絡空間安全和網絡空間運行的戰略、方針及標準,涵蓋了所有的降低威脅、減少弱點、威懾、國際參與、應急反應、確保韌性及恢復能力的政策與行動,并包括計算機網絡運行、信息安全保障、執法、外交、軍事和情報工作等。這些要素與全球信息與通信基礎設施的安全與穩定息息相關。評估報告研究的內容并不包括與國家安全或基礎設施安全無關的其它信息與通信政策。由政府網絡安全專家組成的評估小組負責匯總產業界、學術界、公民自由與隱私維權團體、州政府、國際合作伙伴,以及國家立法和行政部門提出的具有廣泛代表性的意見和建議。本文對評估小組的結論進行了綜述,并概括地說明了在未來如何開始實現擁有可靠、有韌性和值得信賴的數字基礎設施。
美國正處在十字路口。全球互聯的數字信息與通信基礎設施被稱為“網絡空間”。現代社會的方方面面幾乎都離不開網絡空間。網絡空間對美國經濟、民用基礎設施、公共安全和國家安全提供了重要的支撐。這項技術已經使全球經濟發生了改變,使人們以難以想象的方式聯系在一起。然而,網絡安全的風險也構成了二十一世紀最嚴峻的經濟挑戰和國家安全挑戰。數字基礎設施架構的構筑更多的是基于互通性和效率上的考慮,而不是從安全的角度進行考量的。因此,越來越多的國家和非國家行為體開始破壞、盜竊、篡改或毀壞信息,這會給美國的系統造成重大破壞。與此同時,傳統的電信和互聯網日益融為一體,而在其它基礎設施領域,互聯網正日益成為互聯互通的主要手段。美國正面臨著雙重挑戰,既要維護促進高效、創新、經濟繁榮和自由貿易的良好環境,又要確保安全、保密,維護公民自由和隱私權。解決網絡空間存在的戰略漏洞,并確保美國和世界充分發揮潛能實現信息技術革命,這是我們政府的一個基本責任。
再也不能容忍目前的狀況。美國必須向世界表明,美國將憑借強有力的領導和對遠景的規劃,嚴肅認真地迎接這一挑戰。頂層領導應該得到加強,白宮應成為網絡安全領導核心,提供指導,協調行動,并取得成效。此外,要落實聯邦政府網絡安全的領導責任制。這種方法要求明確聯邦政府各部門和機構的網絡安全任務和職責,同時提供相關政策、法律程序和必要的協調,使各部門能夠各司其職。在過去的兩年中,我們已經開始實施重大的計劃,并通過對各機構的不同任務進行“銜接”而取得了長足的進步,但這樣做并沒有提供一個完備的解決辦法。此外,這一問題超越了各個政府部門和機構的管轄范圍。盡管每個部門和機構在網絡安全方面都發揮著不可替代的作用,但任何一個部門都不具備足夠廣闊的視野或足夠的權威,來徹底解決這個問題。
立即啟動全國網絡安全大討論。美國政府應該與業界共同向民眾解釋清楚這個挑戰的性質,并詳細說明國家將通過何種方式來解決面臨的問題。從某種程度上講,也就是讓美國公民充分認識采取行動的必要性。人們若不先了解網絡問題的危急程度就不可能重視網絡安全。因此,聯邦政府應借鑒以往成功的宣傳經驗,發起一個全國性的網絡空間安全公眾意識教育運動。此外,與1957年10月蘇聯發射第一顆人造地球衛星后的一段時間類似,我們正面臨一場全球數學和科學技能競賽。我們繼續擁有世界上最好的信息技術產業環境,但同時國家應培養參加全球競爭并保持領導地位所必需的勞動大軍。
孤軍奮戰不可能保證網絡空間安全。美國政府應加強與私營部門的合作。政府部門與私營部門的利益是交織在一起的,它們的共同責任就是確保擁有安全、可靠的基礎設施。聯邦政府在很多方面是可以與私營部門合作的。政府應該探究和開發那些可供選擇的辦法。政府與私營部門網絡安全的合作伙伴關系必須得以發展,并清晰地界定這種關系的性質,包括明確各自的分工和職責。聯邦政府應審查現有的政府與私營企業的合作伙伴關系,確定優先任務,采取具體行動,以發揮最大的效能。
美國還需要制定一個網絡安全戰略,以塑造國際環境,使志同道合的國家就領土管轄權、主權責任與動用軍隊的相關技術標準和公認法律規范等一系列問題達成共識。國際規范對于建立安全和繁榮的數字基礎設施是至關重要的。此外,各個國家和地區不同的法律規定和做法也給創造安全、保密和值得信賴的網絡環境帶來嚴重挑戰。這些法律上的差異對實現安全、可靠和有韌性的數字環境構成了挑戰,并涉及到網絡犯罪調查與起訴、數據保存、數據保護和數據隱私權、網絡防御和應對網絡攻擊的反應等等一系列問題。只有通過與國際合作伙伴的共同努力,美國才有可能更好地應對這些挑戰,加強網絡安全,并全面享用數字時代帶來的巨大利益。
在保護國家免遭網絡事件或事故沖擊方面,聯邦政府既不能全部包辦也不能回避職責。聯邦政府擔負有保衛國家的責任,各級政府擔負著確保公民安全和福祉的責任。但是,私營部門設計、建造、擁有并經營著大部分的數字基礎設施,為政府和私人使用者提供網絡支持。美國需要有一個全面的框架方案,以確保在遇有重大事件發生時,聯邦、州、地方和原住民保留地政府,以及私營部門和國際盟友做出協調一致的反應。執行本框架方案需要制訂報告制度、針對不同情況的應急計劃和災后恢復計劃,以及完成這些計劃所必需的協調、信息共享和事件報告機制。
政府與重要的利益攸關方應共同努力,設計一個有效的機制以實現真正共同運作的構想,將政府和私營部門的信息整合成一體,并以此作為信息通暢、按輕重緩急順序推進減災工作和做出應急反應決策的基礎。
與私營部門合作要求明確下一代基礎設施的性能和安全目標。美國應充分利用技術優勢滿足國家經濟和安全需要。即使面對敵人利用先進技術實施的攻擊,聯邦政府制定的政策也應該能夠保證國家安全、知識產權保護和基礎設施的不間斷工作。聯邦政府必須與私營部門及學術界合作,闡明協調一致的國家信息和通信基礎設施的性能和安全目標。應與州、地方政府通力合作,制訂有效的采購戰略,推動市場制造更安全的產品并為公眾提供各種有效的服務。政府還應探索另外的一些激勵機制,包括調整法律責任(安全改善后責任減少,安全條件差則導致責任增加)、補償及稅收優惠、以及新的監管規定和執行機制等。
白宮必須指明前進的道路。在過去15年里,國家采取的網絡安全措施沒能跟上威脅的發展變化。我們需要向國內外證明,美國是在認真地對待網絡安全相關的問題、政策和活動。這就要求由白宮掛帥,充分利用整個國家的力量,做到集思廣益。
導 言
什么是網絡空間:第54號國家安全總統令暨第23號國土安全總統令將網絡空間定義為:信息技術基礎設施相互依存的網絡,包括互聯網、電信網、電腦系統以及重要產業中的處理器和控制器。常見的用法還指信息虛擬環境以及人與人之間的互動。
全球相互聯接的數字信息和通信基礎設施被稱之為“網絡空間”。它幾乎成為現代社會各領域的基礎,并為美國經濟、民用基礎設施、公共安全和國家安全提供重要的支撐。信息技術已經改變了全球的經濟,并超乎想象地把人和市場聯接在一起。為充分享用數字革命帶來的好處,所有用戶必須樹立起堅強的信心,確信敏感信息是安全的,商業活動不會受到損害和基礎設施不會遭到入侵。世界各國還需要樹立信心,相信支持其國家安全和經濟繁榮的網絡是安全的、有韌性的。擁有可靠的通信與信息基礎設施將會確保美國充分發揮信息技術革命的潛力。第四十四屆總統網絡安全委員會在2008年12月的報告中明確指出,“美國網絡安全保護不力是新一屆美國政府所面臨的最緊迫的國家安全問題之一”。
保護網絡空間需要具有卓越的先見之明和強有力的領導,需要在政策、技術、教育乃至法律等方面進行變革。政府最高領導層、產業界和民間社會共同致力于網絡安全,這會使美國在加強國家安全和促進全球經濟的同時,繼續在創新和尖端技術運用方面保持領先地位。
評估的理由
網絡威脅對21世紀美國和我們盟友的經濟和國家安全構成了最嚴重的挑戰。
越來越多的國家和非國家行為體,如恐怖分子和國際犯罪集團,開始把攻擊目標對準了美國的公民、商業、重要的基礎設施和政府。他們有能力危害、竊取、篡改或完全毀壞信息。持續非法利用信息網絡和破壞敏感數據等行為,特別是由國家實施的破壞行動,使美國經濟競爭力和軍事技術優勢蒙受損失。正如國家情報總監最近在國會作證時所陳述的那樣:“信息系統、互聯網和其它基礎設施之間越來越多地聯接在一起,為攻擊者破壞電信、電力、能源管道、煉油廠、金融網和其它關鍵基礎設施創造了機會”。情報界分析認為,一些國家早已擁有了實施這種攻擊的技術能力。
日趨復雜、廣泛的犯罪活動,以及網絡事件所造成的危害凸顯出網絡空間惡意行為的危害性,包括損害美國的競爭力、降低對隱私和公民自由的有效防護、破壞國家的安全或使公眾失去信任感,甚至癱瘓社會。例如:
關鍵基礎設施失靈。根據中央情報局報告,針對信息技術系統進行的惡意活動,已經使海外多個地區的供電設施遭到破壞。在其中的一起案例中,惡意行為曾導致多個城市斷電。
惡意利用全球金融服務。據媒體報道,2008年11月,一家國際銀行付款處理器遭到惡意侵犯,導致遍布49個城市的130多臺自動取款機非正常交易達半小時之久。在媒體報道的另一起案件中,一家美國零售商在2007年遭遇了數據被破壞和個人身份識別信息丟失的惡性事件,殃及4500萬張信用卡和借記卡。
美國經濟遭受全面損失。業界估計,知識產權與數據失竊在2008年給美國造成了高達1萬億美元的損失。
本報告中提及的網絡安全政策,包括了網絡空間安全和網絡運營戰略、政策和標準,并涵蓋了全面降低威脅、減少弱點、實施威懾、國際參與、應急反應、韌性和恢復政策及行動;還包括與全球信息與通信基礎設施的安全與穩定息息相關的計算機網絡運行、信息安全保障、執法、外交、軍事和情報活動,但并不包括與國家安全及基礎設施安全無關的其它信息與通信政策。
全新的評估
因為認識到所面臨的挑戰與機遇,總統將網絡安全確定為本屆政府的優先議題,并指示對此進行60天的全面審查,以評估美國網絡安全政策與結構。評估與信息和通信基礎設施有關的所有任務和活動,包括計算機網絡防御、執法調查、軍事與情報活動,以及與之有關的信息安全、反間諜,反恐、電信政策和綜合的關鍵基礎設施保護等方面內容。由政府網絡安全專家組成的評估小組徹查了相關的總統政策令、行政命令、國家戰略和政府顧問委員會及私營部門提供的研究報告。評估小組還向政府部門和機構征求了意見,讓它們按要求就各自與網絡安全相關的特別活動、權限和能力提供材料,并要求政府部門和機構確認那些可能沒有列入評估初稿之中的新的需求或已存在的需求。于是很多的法律問題浮出水面,如集中管理問題,政府使用什么樣機構來保護私有重要基礎設施,互聯網監控軟件的安裝,自動攻擊檢測和預警的應用,聯邦政府與第三方數據共享和私人信息的保護責任等。評估小組還與聯邦政府內外廣大利益攸關方進行了溝通。小組力爭透明,與產業界、學術界、公民自由與隱私社團、州政府、國際合作伙伴以及立法和行政部門廣泛溝通,分析與評估其它相關的計劃和事務。面對各方———學術界、產業界和政府———一道努力建立值得信賴和富有韌性的通信與信息基礎設施的難得機會,評估小組給這些利益攸關方規定了評估的范圍,并要求它們就相關領域提供材料。這種溝通工作包括40多次會議,形成了100多份帶有具體建議和目標的文件。相關各方的反饋和公開說明,如國會證詞等有助于確定重大需求,指明政策差距,提出改進或合作的領域,并為與網絡空間安全相關的政策決策提供了參考。
評估小組發現,在整個信息和通信基礎設施發展過程中,各部門和機構的任務與職權是依據當時管理多樣化和分散的技術及產業的法律和政策確定的。而由此產生的各項計劃主要是用于處理當時的特定問題,未必適應今天對數字化信息高度依賴的現實。
技術對國家和經濟安全的影響促使聯邦政府調整法律和組織機構,以適應形勢發展。例如:
在1918年的一個聯合決議案中,國會授權總統掌控美國所有電報系統,并根據需要在第一次世界大戰期間使用電報系統。
1934年《通信法》決定由聯邦無線電通信委員會組建聯邦通信委員會,并為所有電報和無線電通信建立完備的規章制度,對此類技術的后繼發展產生了深遠的影響。
1965年《布魯克斯法案》規定國家標準局———現在的商務部國家標準與技術研究院———負責制定自動數據處理標準和聯邦計算機系統相關準則。
1984年,第12472號行政命令重新將美國國家通信系統特許經營權賦予聯邦政府,作為滿足國家安全和應急備用之需的聯邦電信財產。2003年,美國國土安全部接管了美國國家通信系統的經營權。
1994年,美國國務院根據《對外關系授權法》,負責管理與國際通信和信息政策有關的外交政策。
要解決“誰負責”的問題,就必須解決政府部門和機構間任務和職權分配問題,特別是在電信網絡和互聯網相互融合,以及其它基礎設施部門日益依賴互聯網,以實現互聯互通的背景下,情況更是如此。將已經發展了一個多世紀的任務職責統一起來,這就要求聯邦政府詳細闡明政策,分清政府各部門和機構在網絡安全方面各自任務和責任。評估小組對20多個聯邦政府部門和機構的反饋意見進行了分析,查明了網絡安全相關政策存在的漏洞、重疊的任務職能和相互協作的機會。
隨著威脅日益復雜,應對網絡空間風險以及部門和機構間的溝通協作也因時而變。1998年5月簽署的第63號總統令規定,在白宮的直接領導下設立了一個機構,指定牽頭部門和機構,協調相關行動,并與私營企業相應部門合作,以“消除我們重要基礎設施———特別是我們的網絡系統———在防范和抵御物理和網絡攻擊方面存在的任何漏洞”。這項政策在2003年的《確保網絡空間安全國家戰略》文件中又進行了修訂。
2003年底的第7號國家安全總統令進一步增強了這項工作。該命令賦予國土安全部全面協調國家重要基礎設施———包括網絡基礎設施———的保護工作;可跨越所有部門與行政部門指定的具體機構進行合作。這兩項政策的重點是防御性措施,第7號國家安全總統令并未包括保護聯邦政府的信息系統。2007年,《國家網絡安全綜合計劃》采取了不同的方略,其核心是把過去分散的網絡防御任務與執法、情報、反間諜和軍事能力“銜接”起來,解決各種各樣來自遠程網絡入侵和內部違規操作所造成的網絡威脅,以彌補存在的一系列不足。《國家網絡安全綜合計劃》的策略在第54號和第23號國家安全總統令中被定為法律,主要針對行政部門的網絡安全。但行政部門的網絡在美國所依賴的全球信息與通信基礎設施中僅僅占很小的份額。
本文總結了評估小組的調查結果,并介紹了有助于美國未來實現更可靠、有韌性、值得信賴的數字基礎設施的一些初步步驟。它并未對各種選擇或諸多計劃的審核提供深入的分析。相反,它提出了需要加強協調和綜合發展的政策。文章用5個主題詳細地介紹了調查結果和行動方案:一是頂層領導,二是建設數字化國家的能力,三是共同負責網絡安全,四是加強信息共享和應急反應,五是構筑未來架構。
第一章 從最高層實施領導
確保網絡空間擁有足夠韌性并值得信賴,以支持美國的經濟增長、公民自由與隱私保護、國家安全和民主體制的完善,需要把網絡安全列為國家頭等大事。只有在政府最高層領導下才能完成這一重要而復雜的任務。
由白宮實施領導由白宮掌握網絡安全相關政策的領導權并提升領導的層級,會向美國和國際社會發出明確的信號,即我們對網絡安全問題的態度是非常嚴肅認真的。許多政府的部門和機構,以及總統辦事機構將需要協調不同的職責和權限,以有效地促進網絡安全。目前,沒有一個人或一個組織專門擔負著協調聯邦政府網絡安全相關活動的職責。如果沒有一個中央協調機制、沒有更新的國家戰略、沒有各行政部門制定和協調的行動計劃,以及沒有國會的支持,靠單打獨斗的工作方式不足以應付這一挑戰。
政府行政部門早已經設立了一個由國家安全委員會和國土安全委員會共同領導的信息和通信基礎設施跨部門政策委員會,作為解決有關網絡問題的主要政策協調機構,以便獲得可信、可靠、安全和長久的全球信息和通信基礎設施及相關能力。
美國總統應該考慮再任命一名白宮網絡安全政策官,該官員應向國家安全委員會和國家經濟委員會報告,以協調全國范圍內與網絡安全有關的政策和活動。此官員將主管信息和通信基礎設施跨部門政策委員會工作,加強與總統辦事機構其它部門協調領導工作,解決各種優先任務和協調政府部門間網絡安全政策和戰略的發展。網絡安全政策官應該參與所有相關的經濟、反恐和科學與技術政策的討論和研究,并制定網絡安全長遠規劃。
要取得成功,總統網絡安全政策官必須得到總統的全力支持、擁有權威和足夠的資源,以便在政策制定和協調部門間的網絡安全相關活動中有效地開展工作。其手下至少有國家安全委員會的兩名資深主任和適當的工作人員輔佐,并至少有一名國家經濟委員會的資深主任和適量的工作人員為其工作。這些資深主任應通過網絡安全政策官向上匯報工作,并共同致力于達成本報告所設定的目標及其它國家政策。此外,為促進國家安全委員會內部的整合,委員會中的每個地區主管局和職能局應當專設一名工作人員,負責本單位職能范圍內的網絡安全事務,并與國安會新設的網絡安全局協調工作。
網絡安全政策官不應擁有管理網絡運營的責任或權力,也沒有權力自己制定政策。網絡安全政策官應當利用政府部門和機構間的協調程序,一切工作都要與聯邦政府的首席技術官和首席信息官,以及管理與預算局、科學與技術政策辦公室和國家經濟委員會等相關部門進行商議,協調整個聯邦政府有關網絡安全的政策和技術工作,確保在總統的預算中能反映出網絡安全工作是聯邦政府的優先工作,并進入立法議程。
該網絡安全政策官亦可被任命擔任白宮網絡應急反應行動官(其職能與白宮監控恐怖襲擊和自然災害的行動官員相類似),這一任命也將使美國更有效地進行危機管理;政府部門和機構將繼續擔負各自的網絡運營職責。
為了便于協調,所有聯邦政府部門和機構應該在各自內部設立一名聯絡官,負責協助白宮處理網絡安全事務。
通過政府跨部門政策制定程序,網絡安全政策官為總統起草準備新的國家戰略,以確保信息和通信基礎設施安全。這項戰略應包括對《國家網絡安全綜合計劃》的落實情況的后繼評估,并適當汲取其成功的經驗。新國家戰略應側重使高層領導集中精力和時間,消除阻擋美國實現擁有可信、可靠、安全和富有韌性的全球信息與通信基礎設施以及相關能力的障礙。該戰略將幫助政府努力提高公眾意識,恢復和建立國際聯盟及公私部門之間的伙伴關系,建立一個更加周全的國家網絡應急反應與恢復計劃,并采取積極的研究與發展計劃,催生提高網絡安全的新技術。
聯邦政府應繼續落實《國家網絡安全綜合計劃》提出的“任務銜接”原則。政府各部門和機構應加強網絡防御單位與負責美國網絡空間作戰的情報、軍事和執法單位的合作,就網絡威脅、網絡交易、網絡技術和網絡存在弱點等問題進行交流,擴大網絡經驗、知識和觀點看法的共享。此外,網絡安全政策官應當幫助協調涉及網絡空間的情報、軍事政策和戰略———包括打擊網絡恐怖主義,確保所有的任務有機融合在一起。網絡安全政策官還應當與外部的咨詢機構保持聯系。許多咨詢機構都涉足與網絡安全相關的問題,這些機構包括國家安全和電信咨詢委員會、國家基礎設施咨詢委員會、重要基礎設施合作咨詢委員會以及信息安全與隱私咨詢委員會。網絡安全政策官應審查這些機構的職能,并提出必要的改革建議使其咨詢服務最優化,并杜絕不必要的重復。
為確保公民自由和隱私權利得到保護,還需要得到其它組織的幫助。這些組織將可以在政府網絡安全計劃和公民自由與隱私團體以及公眾之間建立起信任,顯示網絡安全計劃的透明,這在網絡計劃開始實施之初尤為重要。當務之急是要建立隱私與公民自由監督委員會,加快委員會成員的選舉工作,并考慮是否尋求修訂法案以擴大其工作范圍———包括處理與網絡安全有關事務。其它可行的辦法還包括:加強政府負責公民自由事務部門與隱私顧問們就網絡安全的政策問題進行定期溝通,或在國家安全委員會內任命一名負責隱私與公民自由事務的官員(或范圍再大一些,在總統辦事機構內任命一名負責隱私和公民自由權利的官員),與私營部門隱私與公民自由團體、隱私與公民自由監督委員會和政府負責隱私與公民自由事務的官員進行協商。
與制定網絡安全政策同樣重要的是確保有效地執行和落實這項政策,以實現更遠大的戰略目標。因此,網絡安全政策官同管理與預算局、總統辦事機構其它部門協商,必須確保有效地落實網絡安全相關政策和采取相關行動。在60天的評估期間,有關各方就協調和監督網絡安全活動提出了各種各樣的辦法。一些評論家確信,強有力的行政領導,以及多年來政府部門和機構的努力,是確保美國政府擁有可以有效執行網絡安全計劃機制的重要基礎。目前,一些網絡安全監督職能都不是在總統辦事機構領導下實現的。例如,歸屬國家情報總監領導的跨部門聯合網絡特遣隊,目前負責協調和監督執行《國家網絡安全綜合計劃》。網絡安全政策官通過管理與預算局和總統辦事機構其它部門協商,應該就組織機制調整提出建議,以實現相應的監督、執行和其它的一些職能,包括在管理與預算局或總統辦事機構建立一個類似擁有跨部門聯合網絡特遣隊功能的機構,創立一個類似艾森豪威爾總統行動協調委員會的實體,或建立一些可協助評估聯邦政府部門與機構表現和監督聯邦政府網絡安全標準遵守情況的組織機構。在這樣一個辦公室成立之前,跨部門聯合網絡特遣隊將繼續執行其任務。
評估相關法律和政策
總統的網絡安全政策官應與政府部門和機構合作,提供協調一致的政策指導,并在必要時詳細說明整個聯邦政府確保網絡安全相關活動的職權、作用和責任。適用于信息和通信網絡的法律是由憲法、國內法、國外法和國際法拼湊而成的一個復雜法律體系,這一體系制約著政策選擇。在美國,這種拼湊在一起的法律混合體之所以存在,是因為聯邦政府在整個信息和通信基礎設施發展過程中,頒布了諸多法律和政策,以控制多樣化的產業和技術。
由于傳統的電信網絡和互聯網日益融為一體,以及其它基礎設施領域日益將互聯網作為互聯互通的主要手段,法律和政策應當繼續找尋出一種綜合性方法,將保護公民自由、隱私權利、公共安全、國家和經濟安全的利益與靈活多樣的網絡應用和網絡服務所帶來的好處結合起來。在一些領域中缺乏司法裁定既帶來了機遇也帶來了危險,決策者對此應充分理解———法院可以介入并規范法律的應用,特別是涉及到憲法權利的領域。制訂政策必然受到法律框架的規范和制約,而且在政策上深思熟慮有助于找出現行法律中存在的差距和爭議,讓我們知道必須要做出的法律改進。這一過程可能會根據美國的法律原則提議組建新的立法框架,對加之于信息、通信、網絡和技術上的相互重疊的法律進行合理調整,或會對已有的法律進行新的詮釋,使之適應技術變革與實現政治目標。不過,采用其中任何方式都會有風險,可能使聯邦政府保護信息和通信基礎設施的一些活動更加困難。
政府應適當地與國會進行有效合作,以確保擁有完備的法律、政策和資源用于完成美國網絡安全相關工作。國會已對國家有關網絡安全的需求表示關注,并決定由兩黨共同擔任領導,政府將會從國會的知識和經驗中獲益。與政府部門和機構共同工作的網絡安全政策官應與產業界進行協商,以便了解法律和政策給網絡運營方面帶來的影響。
加強網絡安全工作的聯邦政府領導和責任制
在數字化時代,僅僅依靠白宮將不足以領導美國實現廣泛的目標,整個聯邦政府都必須擔負起領導職責。將網絡安全列入總統議事日程的優先項目、根據既定的目標審查政府部門和機構的網絡安全工作進展等,有助于落實責任和推動工作進度。網絡安全政策官———與國家安全委員會、管理與預算局、國家經濟委員會和科學與技術政策辦公室協商———將界定工作進度和成功的標準,提高網絡安全工作在所有機構預算中的“能見度”。
要使網絡安全工作透明并對整個網絡安全投資進行有效管理,管理與預算局應利用其項目評估機制,確保政府部門和機構在追求網絡安全目標時有效使用預算。正規的網絡安全項目評估機制可以使政府部門和機構詳細說明每個計劃的意圖與目標,并建立是否達成目標的統一標準。《國家網絡安全綜合計劃》已經成功地運用了一種類似的做法。
根據2002年《聯邦信息安全管理法》要求,政府部門和機構的領導人必須承擔起責任。政府與國會共同努力,更新并強化這項法規。政府部門和機構的領導執行計劃要求各部門和機構及時匯報在確保網絡系統安全方面的工作進展情況。美國聯邦政府應制定備選方案,支持政府部門和機構落實遵守網絡安全政策的領導責任制,堅決執行相應的網絡安全程序。
提升各級地方政府網絡安全事務的領導層級州、地方和原住民保留地政府應考慮把網絡安全當成一件大事來抓,指定一名領導人專門負責,以確保首席信息官、首席信息安全官與州國土安全顧問之間的有效協調。評估小組從美國州長協會的代表那里聽到一些反映,說網絡安全是他們在保護各州重要基礎設施資產工作中最薄弱的環節。州國土安全顧問可以從若干國土安全部批準的項目中開支,用于網絡安全工作。但從歷史上看,所提供的資金在很大程度上并沒有優先用來確保網絡安全。州、地方和原住民保留地政府應考慮是否應把網絡安全當成一個大問題,并確保首席信息官、首席信息安全官與州國土安全顧問協調一致,保持強大的防御態勢。
第二章 打造數字化國家的競爭力
國家正處于一個十字路口。計算機幾乎改變了日常生活的一切,不論是在家中還是工作場所。網上銀行、網上購物和報稅等都已是司空見慣。國家的基礎設施正在經歷一場革命,數字化和網絡技術不斷通過大型系統進行整合,如智能電網和下一代空中交通系統。近期頒布的《美國復蘇與再投資法案》中的內容鼓勵發展現代信息和通信設施,以便提高美國的競爭能力,并使用技術來解決國家所面臨的最為緊迫的問題。美國面臨著雙重挑戰:在維護一個促進創新、開放式互聯、經濟繁榮、自由貿易及自由環境的同時,也要保證公眾安全、公民自由和隱私。
大眾需要明確了解技術的安全使用。另外,美國需要一個技術先進的工作組來維持其在21世紀的經濟競爭力。在學校,數學和科學必須成為首選學科。美國應發起一項K-12(注:指從幼兒園到高中的教育)網絡安全教育計劃,以便進行數字安全、道德和保護教育;擴展大學課程;并且為培養一支數字化時代的稱職的勞動力隊伍創造條件。正如總統曾提到的,“美國所面臨的挑戰中,讓我們的孩子為全球經濟競爭做好準備最為緊迫。”為了幫助完成這些目標,國家應該:
提高全民的網絡安全風險意識;建立一個教育系統以促進對網絡安全的了解,并讓美國繼續在信息技術的科研、工程和市場領域保持和擴大領先地位;
擴展并培訓用于保護國家競爭優勢的勞動力隊伍;幫助組織和個人在風險管理上做出明智的選擇。
提高公眾意識
形成對網上活動風險以及如何對其進行管理的廣泛的公眾意識,需要制定一個有效的戰略。聯邦政府應該與教育者及產業界部門一起,引導國家網絡安全的公共意識和教育。總統網絡安全政策官員應該負責這一公眾意識戰略的制定并指導其執行,并且應尋求國會、聯邦政府、地方與原住民保留地政府、私營部門及公民自由與隱私組織的支持。戰略應該涉及對公眾進行關于威脅和怎樣提高數字化安全及道德的教育。惡意行為體經常利用人們通過互聯網接受信息或提交個人信息的行為。因此,該行動應專注于公眾信息以便提高對網絡使用的責任心,并加強對欺詐、身份盜竊、網絡掠奪及網絡道德等方面的防范意識。過去在公共安全活動中的一些成功做法,例如為了防火而設置的警示牌、推廣使用汽車安全帶的提示條等,都可以當作一個模本加以利用,以便通知和幫助公眾認識到網絡安全的重要性。這些公共服務行動應該注重培養兒童的網絡安全意識,以及那些準備選擇職業的高年級學生的意識。知名人士、同技術一同成長起來的一代及新型媒體,都可以在有效傳遞信息上發揮重要作用。
加強網絡安全教育
類似于前蘇聯在1957年10月發射人造地球衛星之后的一段時期,美國處在一個以數學和科技技能為主的全球競爭之中。根據《經濟學人》中的一則報道,出色的信息技術職業者“到處短缺,但是形勢會更加嚴峻,因為所需技能的本質正在發生改變。除了技術知識以外,明天的信息技術職業者將要求在項目管理、變革管理和業務分析等方面具有專業知識”。這項研究指出,美國繼續擁有世界上最好的信息技術公司運營環境,在教育、基礎設施、創新鼓勵和法律保護等多個重要領域均具有規模和質量優勢,可幫助打造競爭力。然而,2007年至2008年關于計算機學位和入學趨勢的“托比調查”顯示,美國的計算機科學和工程學位畢業生比2004年的高峰時期減少了約一半。國家無法容忍這種衰退繼續下去。
聯邦政府以及全體機構應該擴大對關鍵教育計劃和研發的支持,以便保證國家在信息時代經濟中持續的競爭力。現有的計劃應該加以升級,或者擴大,而且其它的活動可以作為額外的計劃模式參考。例如:
2006年國家科學基金開始征集關于其“恢復計算機大學教育的途徑”的建議。這個項目試圖打造一支“具有計算機能力和技能的美國勞動力,以便推動21世紀國家的健康、安全和繁榮”。
作為直接激勵措施,不僅為那些在網絡安全教育領域追求進取的學生,同時也向那些立志在聯邦政府獲得相關職位的學生提供獎學金。國家科學基金和國土安全部為34個大學的服務計劃提供獎學金。超過1000名學生在該計劃的前8年得到了支持,其中超過80%的學生在聯邦政府獲得了工作。國家科學基金會強調,考慮到迫切需要壯大相應的勞動力隊伍,加強研究和教育之間的協同作用再怎么強調也不為過。
國家信息安全教育與研究學術中心,由國家安全局于1988年創立,從2004年開始由國土安全部共同資助,在38個州和哥倫比亞特區的94所大學推行更高水平的信息安全教育。這些中心已經同眾多知名大學建立了合作關系,包括一些社區、西班牙語和傳統黑人學院。國防部也對這些大學中的信息安全獎學金計劃提供了贊助。
全國大學網絡保護競賽、美國數學奧林匹克協會、能源部科學杯以及西門子基金數學、科學和技術競賽都提供了以競賽為導向的范例。其它范例包括國家科學基金援引國防先期研究計劃局的重大挑戰而組織的一個學術小組,馬可姆波里奇國家獎以及旨在建立高級加密標準的競賽。
擴充聯邦信息技術勞動力隊伍
總統的網絡安全政策官員應同信息和通信設施聯合部門委員會協作,考慮如何更好地吸引網絡安全專業人才,并采取措施慰留聯邦政府內擁有此類技能的職員。各個部門和機構已在吸引產業界人才方面獲得了一些成功,但由于獲取、轉移或更新安全審查需要大量的時間,這造成了機會的流失。聯邦職員還應該有機會豐富個人工作履歷和促進其職業發展,而單獨某一家政府部門常常無法提供這類機會。展開共同培訓、進行部門間輪崗甚至與私營部門之間進行可能的崗位輪換不但是一項有效的做法,而且會有利于人才素質綜合培養和專業人才庫的建立。
將提高網絡安全視為企業領導責任聯邦政府應該繼續促進在各級政府和產業界中關于威脅、漏洞和有效措施的計劃和信息分享。只有信息技術勞動力隊伍了解網絡安全的重要性是不夠的,各級政府和產業界領導需要根據現實和潛在風險,做出業務和投資決定。聯邦、地方和原住民保留地政府面臨著類似的問題。州政府經常起到革新孵化器的作用,因而可能會提供一些在管理信息和通信設施方面所得到的經驗。聯邦政府應該繼續同產業界一起確認并發布在安全設計和信息技術產品經營方面的有效措施。
第三章 共同承擔網絡安全責任
如果聯邦政府孤立地開展工作,那么聯邦政府在許多方面都不可能確保網絡空間的安全。關于這一點,公共與私營部門有著共同的利益,以確保為商業和政府服務提供一個安全、可靠的基礎設施平臺。政府和產業界領導者在國內和國際事務上,都需要界定角色與責任、整合各種能力并發現各自的問題,以便制定出整體的解決方案。只有通過這樣的合作關系,美國才能夠提高網絡安全水平,獲得數字革命所帶來的全部效益。保證網絡空間的安全,這一全球性的挑戰要求各方做出更大的努力。這一努力應尋求同私營部門進行持續的協作,通過制定全球標準來提高可被共同使用的網絡的安全,擴展法律系統打擊網絡犯罪的能力,繼續發展并推廣成功的實踐經驗,并保持穩定、有效的互聯網治理。
加強私營部門和政府間的合作關系
聯邦政府有責任保護、捍衛國家,并且各級政府有責任確保其公民的安全與健康。然而,私營部門設計、建立、擁有以及運作的大多數網絡基礎設施同時為政府和私人用戶提供支持。對于基礎設施的安全性和可靠性以及通過這些設施所發生的交易,業界和政府承擔著共同的責任,二者應該緊密合作以解決這些相互依賴性問題。聯邦政府可以采取多種不同的手段來應對這些挑戰,其中有些可能要求修改相應的法律和政策。
私營部門應幫助彌補執法和國家安全的局限性問題。當前的法律允許使用某些工具來保護政府網絡,但不是私營網絡。產業界領導者可以利用企業信息共享來幫助說明數據泄露、工業間諜活動以及服務能力喪失或降低給公司帶來的風險以及對盈利能力的影響。產業界領導者可以要求銷售商和服務供應商提供更多保證,同時承擔起開發更加安全的軟件和設備的責任。企業應想出有效的途徑,以便在彼此以及聯邦政府之間分享檢測方法、關于違規和攻擊方法的信息、修復技術及取證能力。
如果風險和后果可以以貨幣價值的形式來衡量,那么各個機構就將擁有更大的能力和動力去解決網絡安全問題。尤其是,私營部門經常試圖通過業務個案來證明以下兩方面所需的資源支出的合理性:一是把信息與通信系統安全整合到公司的風險管理之中;二是建立可以緩解風險的伙伴關系。政府可以考慮利用以激勵為主的立法或監管工具來協助形成好的價值取向,并且幫助培養一個可以促進并鼓勵伙伴關系和信息共享的環境。
總統的網絡安全政策官員應同相關部門機構及私營部門進行合作,共同考察現有的公私伙伴關系和信息共享機制,以便識別或建立最為有效的模型。過去十多年以來,公私伙伴關系促進了信息共享,并為美國重要基礎設施保護和網絡安全政策奠定了基礎。在這一段時期,聯邦政府和私營部門共同建立了大量有關網絡安全和信息與通信設施問題的論壇。
這些團體做了很多貢獻,但是由于精力分散,已使一些參與者對缺乏明確界定的角色和責任、各團體之間參差不齊的能力以及不斷增加的計劃和建議,感到灰心喪氣。結果,政府和私營部門的人員、時間及資源被大量浪費于重復、不連貫的工作中。伙伴關系必須進行轉變,以便明確界定這一關系的性質、不同團體及其參與者的角色和責任、對各方貢獻的期望,以及責任機制。聯邦政府應對各種資源進行優化、調整,然后把它們提供給現有的組織,以此來完善其識別優先等級的能力,實現更加有效的執行效率并制定響應與恢復計劃。
為期60天的評估考察了大量有效的公私伙伴關系模型。盡管這些模型功能差異很大,但它們卻共享著某些重要的特性。每一個模型都有一個定義明確的機構使命、明確參與者的角色和責任,以及清晰的鼓勵參與的價值取向。通過在成員之間培養并維持一種相互信任的氛圍,每一模型都可以減輕擔憂,否則這些擔憂可能會妨礙參與。現有的網絡安全伙伴關系也許會應用這些模型所具有的那些最為有效的特征。
評估妨礙公私伙伴關系轉變的潛在障礙
私營部門中的有些成員一直擔心,某些聯邦法律也許會妨礙私營部門和政府之間全面協作性質的伙伴關系及運作信息共享。例如,業界中的有些人擔心在現有的伙伴關系模型中,同一領域成員之間進行的信息共享和統一規劃,也許會被認為同禁止貿易限制的法律“互相串通”或相抵觸。業界還表示會有所保留地向聯邦政府透露敏感性或專有的商業信息,例如弱點和數據或網絡漏洞。這種擔憂一直存在著,即便相關的法令對此給予了保護,例如《商業機密法》和《關鍵基礎設施信息法》。這兩項法律的頒布旨在消除產業界對于《信息自由法》的擔憂。除了這些問題以外,產業界也許還會擔心共享信息所帶來的名譽損害、責任或管制影響。相反,鑒于對敏感的情報來源和方法或者個人的隱私權利的法律保護,聯邦政府有時會限制政府與私營部門共享的信息。
這些擔憂并不是孤立存在的。面對不公平競爭,各種反壟斷法律提供了重要的安全保障,并且《信息自由法》將協助確保政府的透明性,這對于維持公眾信心至關重要。公民自由和隱私團體表示,擔心不斷擴展的保護措施只不過是一塊逃避責任的合法盾牌。此外,信息與通信市場的全球性特點會使信息共享的挑戰變得更加的復雜。如果在美國運營的產業界成員是外國公司,那么強制性的信息共享或排斥此類公司加入信息共享體制,可能會對貿易產生影響。
政府應同私營部門進行創造性的合作,以便找出恰當的解決方案———同時照顧到交流信息和保護公共和私人利益這兩個方面的要求,從而采用統籌兼顧的方法解決國家安全和經濟安全問題。這些解決方案應該識別出明確的、可執行的信息共享目標,并制定事件報告標準。私營部門將更樂于分享那些不需要更改數據所有權的解決方案,例如英國模型中的做法:選擇經過審核的信息安全提供方而不是政府作為合并數據的鏈接點。
最后,聯邦政府應該請學術界、公民自由與隱私團體、開放政府的提倡者以及消費者積極參與,以確保政府政策充分考慮到了這些群體所代表的廣泛利益。幾乎沒有什么問題可以簡單地看作是一個孤立的程序、政策或技術問題。技術的變化通常會成為政策制定的考慮要素,也許會要求改變現有的程序。政策改變(例如規章或稅收鼓勵措施的通過)可以影響到采購或技術研發方面的決定。聯邦政府還可以考慮這樣的方式:它能夠把更多的資源集中到可能“改變產業界格局的”領域的研究上,例如行為與政策方面的以及以激勵為主的網絡安全解決方案。鑒于這些問題的密切相關性,更需要確保所有利益攸關方的利益都得到體現。
與國際社會進行有效的合作
國際規范對于建造安全、穩定的數字基礎設施來說至關重要。美國需要制定一項戰略,以便打造國際環境并把對一系列問題有著類似觀點的國家聚集在一起,這些問題包括有關領土管轄權、主權責任及武力使用等可以接受的規范。此外,不同國家與地區的法律和實踐———例如涉及以下多個方面的各種法律:網絡犯罪的調查和起訴、數據保存、保護與隱私,以及網絡防御和網絡攻擊響應的途徑,為打造一個安全、安定并具有韌性的環境帶來了巨大的挑戰。要解決這些問題需要美國同所有國家以及國際機構、軍事同盟與情報伙伴進行合作,包括發展中國家,它們在構建其數字經濟與設施的過程中也面臨著這些問題。
在過去十年中,聯邦的通信、基礎設施和網絡安全相關的政策都是沿著不同的道路發展。采用更加綜合的政策制定方法可以確保制定相互支持的目標,并可以讓美國通過更為有效的、恰當的立場把握其國際機遇。對于一系列獨立領域(包括網絡安全和對言論自由及其它公民自由的保護)的國家利益,美國應采用綜合的解決方法以便制定一貫的政策。
總統的網絡安全政策官員應與各部門和機構合作,加強并整合機構間制定及調整國際網絡安全立場的流程。此外,聯邦政府在繼續同私營部門的長期合作的同時,應制定一套積極參與計劃以供國際標準機構使用。這其中應包括對現有政策的評估并對立場的確定、完善或重申進行協調,從而確保與網絡安全相關的經濟、國家安全、公共安全和隱私利益都被考慮在內。包括聯合國、八國集團、北大西洋公約組織、歐洲理事會、亞太經合組織、美洲國家組織、經濟合作與發展組織、國際電信聯盟、國際標準化組織在內的十多家機構都致力于解決信息和通信基礎設施方面的問題。新組織正開始考慮與網絡安全相關的政策和活動,其它組織也在拓展現有的工作范圍。這些機構所考察的政策和所開展的活動有時會彼此沖突,并經常重合。這些組織公布的協議、標準或實踐都具有不可忽視的全球影響力。它們的絕對數量、類型,以及這些地區不同的側重點超出了包括美國在內的許多政府的應對能力。
總統的網絡安全政策官員應與各部門機構合作,加強其對國際立場、磋商和討論的識別、跟蹤和優化的能力,與網絡安全相關的協議、標準、活動和政策都是在這些過程中形成的。以往的經驗表明,美國將需要繼續參與一系列的國際活動。聯邦政府應與私營部門及其它國家密切合作,以確保各成員充分參與到相應的論壇之中,就關乎美國未來全球信息和通信基礎設施利益最重要的問題進行討論。美國及其國際盟友應利用參與區域或其它論壇的機遇,促成共同的政策目標,關注現有國際組織的工作,并減少重復性的工作。例如,國際電信聯盟和國際標準化組織都在從事關于網絡安全取證標準的制定。對于主題更為寬泛的論壇,美國也應尋求機會,以促進相關項目中有關信息和通信基礎設施的安全和發展。聯邦政府應與私營部門共同協調和發展國際伙伴關系,以應對信息和通信基礎設施相關的一系列網絡安全方面的活動、政策和機遇,這些基礎設施是美國商業、政府服務、美國軍隊以及國家的根本所在。政府和產業界間新簽署的協議應加以備案,以促進國際信息共享和戰略運營合作。對于指導對外發展及發展海外能力,聯邦政府應增加資源并提高警惕。例如,美國應加快步伐幫助其它國家建立法律框架、提高打擊網絡犯罪的能力,并且繼續推廣網絡安全方面的準則和標準。美國也應與其盟友合作,確保互聯網的穩定性和國際互用性,同時提高互聯網的安全性和可靠性,使所有用戶受益。
第四章 建立有效的信息共享和事故響應框架
美國需要建立一個全面的框架,以便協調政府、私營部門和盟國共同應對重大的網絡事故。聯邦、州、地方及原住民保留地政府應與業界合作,提前完善其正用于檢測、預防及應對重大網絡安全事件的計劃和資源。由于此類事件可能影響到政府和產業界部門之間的互聯網絡,因而在重大事件發生之前、期間和之后,對此類計劃和行動進行協調就顯得特別重要。例如,盡管收到關于“Conficker”蠕蟲病毒的提前預警和網絡防御的指示,但如果蠕蟲病毒在2009年4月1日激活時附帶惡意的有效負載,那么一些聯邦部門和機構就無法應對。
建立事故響應框架
與其他重大國家事故一樣,在發生重大網絡事故時,只有白宮有權協調與事故響應相關的一系列職能部門和權力機構。各部門和機構應按白宮總體戰略方向履行各自責任。總統的網絡安全政策官員應為白宮網絡事故應急的執行官(其職能與幫助白宮檢測恐怖主義襲擊或自然災害的執行官類似)。
聯邦政府應建立一套明確且具權威性的網絡事故響應框架,該框架在修改后的《國家響應框架之網絡事故附件》中備案。到目前為止,針對網絡事故的聯邦響應還未統一。對于涉及國家安全/應急準備通信的情況,第12472號美國總統令明確了現存的職能部門和處理流程;然而,根據當前的法律政策,各部門和機構仍各自負責決定和實施隔離、保護和恢復自身計算機網絡和數據的措施。
由于國家安全和其它聯邦網絡之間現存的法律而非人為差異,聯邦網絡事故響應的責任分散到了不同的聯邦部門和機構之中。根據事件的性質,例如重大的漏洞、犯罪襲擊,或軍事事件,不同部門或機構可能負有或承擔著主要的應急責任,而其它部門或機構則可能對此一無所知。另外,對整個事故的責任分配可能還不明確。盡管每個參與者都有著明確的專長領域和合法權利,但它們很難統一到一個單一的協調框架中。把任何權力部門合并到一個統一架構中可能都需要通過法律來實現。信息和通信設施聯合部門委員會進程應明確同事故響應相關的不同部門和機構的角色、職責及資源,必要時對其協調或補充;了解事故響應的各個方面如網絡安全、執法、情報及軍事等部門及其各自的優勢。
眾多評論家強調建立事故報告和響應門檻的重要性。網絡運營商和服務提供商每天都會處理大量尚未達到“滋擾”級別的事件。在這些低級別事故中,藏匿有相對少量的可能產生巨大影響的入侵或攻擊。其它政府和私營部門的網絡運營商很想了解此類事件的技術細節,以幫助其抵御相似的網絡威脅;執法部門和情報機構也可借此跟蹤并尋求方法制止網絡安全方面的犯罪和來自國外的威脅活動。
網絡運營和服務提供商:互聯網由管理運作和為客戶提供服務的企業聯合運營。網絡運營商建立和維護信息通信基礎設施,為客戶提供接入和寬帶服務。服務提供商提供互聯網接入網關、安全服務、存儲或處理服務,以及信息的獲取(如互聯網地址或新聞)和應用設備(如搜索引擎)。單個的公司可提供獨特的接入、信息和服務的混合組合(如社交網絡)。
聯邦政府應與州、地方和原住民保留地政府和業界合作,總結一系列威脅情況和衡量指標,以供風險管理決策、制定恢復計劃及確定研發優先順序。同時應發展建模和模擬能力,以幫助演練這些計劃并確定可能的破壞級別。
信息和通信設施聯合部門委員會應在各部門和機構中建立明晰、可執行的事件即時匯報規則,以便提高機構間響應的效率。各部門和機構在各自管轄范圍外的事件匯報存在差異,其對重大事件的即時匯報將使聯邦的整體應急響應受益。
總統的網絡安全政策官員應與信息和通信設施聯合部門委員會合作,確定發展和保持態勢感知和事故響應能力的最有效方法。《國家網絡安全綜合計劃》應繼續致力于提高聯邦網絡的防御能力,同時考慮調整實施計劃或增添內容的需要。總統的網絡安全政策官員尤其應該:
與私營部門合作,探索如何更好地將技術能力應用到國家基礎設施的防御中來,以及需要什么樣的法律框架來保障隱私權和公民自由。
審議國家網絡安全中心的運作理念及其實施,決定該中心關于責任、資源戰略和管理的提議是否充分,使其能夠提供支持網絡事故響應努力所必需的態勢感知共享信息。
繼續向可信任的互聯網接入項目的目標邁進,減少政府網絡接入的數量,同時根據對挑戰的現實評估,再次考慮項目中的目標和時間表。在過去的兩年里,一些部門和機構在減少接入數量和部署系統上取得了進步,這些系統將幫助聯邦政府阻止并檢測惡意的行為。然而,政府在充分發揮能力之前仍然有很多工作要做,而且可能需要考慮額外的政策以促進戰略的全面實施。
為了聯邦網絡的利益,適當評估并與公民自由和隱私團體繼續協商進行入侵檢測和防御系統的試點部署工作,評估這些系統的性能,并且繼續研究若將這些系統應用到州政府系統中會產生的問題。(系統中的)傳感器將對聯邦網絡獲得態勢感知信息具有關鍵作用;隨著這些部署工作的進行,政府也將從政策、法律或技術層面受益。
探索———與業界、公民自由和隱私團體協作———其它長期的入侵檢測和防御體系建構。
聯邦政府應提高自身向總統提供網絡入侵或攻擊的戰略預警的能力。聯邦政府應繼續利用國家為促進密碼技術、信息保障技術和必要配套設施的根本發展的投資。這些投資以及其它的情報能力,對于網絡攻擊的戰略預警至關重要。此外,聯邦政府應找出執法能力上的差距,或保護國家基礎設施所建立的調查權威。所有新設的權威部門需始終保障公民自由和隱私權。
美國政府應投資有助于防御網絡應急事件的流程、技術和基礎設施。內容包括增加安全檢測、投資網絡管理自動化或中央化系統,以及對某些非保密系統實施更嚴格的互聯網接入。
政府需要建立一套可靠持續的機制,以便將所有適宜信息整合在一起,形成一張共同的運行圖。聯邦網絡安全中心經常分享彼此的信息,但其中沒有一家機構可以將來自不同中心和其它資源處得到的所有信息綜合起來,制成一張不斷更新且涵蓋網絡威脅和網絡狀況的全局圖,以預報迫在眉睫的應急事故,以及支持協調事故響應。國防部負責整合關于網絡健康和狀況、入侵企圖和對自身網絡的攻擊的信息;情報界負責自身網絡;國土安全部美國電腦應急反應小組負責民事聯邦機構以及在某種程度上對私營部門負責;執法和情報機構收集與網絡有關的犯罪和國外威脅活動證據,但也需要具有處理有一定規模的犯罪活動的額外能力。
聯邦政府應考慮若信息和通信基礎設施遭受重大損害,尤其是當信息和通信網絡融為一體時,是否有充足的可用替代品或通信設施儲備。基礎設施的替換或修復也要求有額外的計劃和資源,尤其是當網絡或電網中難以替換的元件受到物理損害時。
聯邦政府應利用現有資源,在各級政府和私營部門間建立有助于防御、檢測和應對網絡應急事件的流程。聯邦政府應利用州際信息共享和分析中心、全國58座州立和地方融合中心等現有資源,幫助樹立信息和通信基礎設施方面的態勢感知意識。
加強信息共享,提高事故應對能力
信息是防御、檢測和應對網絡事故的關鍵。網絡軟硬件提供商、網絡運營商、數據擁有者、安全服務提供商以及某些情況下的執法或情報機構可能各自擁有信息。這些信息能夠幫助檢測和了解復雜的入侵或攻擊問題。只有將上述各類信息來源整合起來,才有可能全面了解事故并做出有效的響應,使所有人受益。
聯邦政府應與州、地方和原住民保留地政府及私營部門(包括數據擁有者、網絡運營商及隱私和公民自由專家)合作,尋求網絡安全方面的信息共享方案,消除有關隱私和專有信息的擔憂,使信息共享符合國家的利益,達到互利的目的。鑒于私營企業關心其信息的潛在使用問題,政府必須保障其隱私權、做到執法公正、保護情報來源和方法,以及可能導致不公平競爭優勢的政府信息。為了解決這些擔憂,政府和私營部門都需要做到透明、誠信。可選方案包括:
設立一個政府和私營部門都信任的第三方非營利性非政府組織,作為政府和私營部門共享信息的平臺,以此提高政府和私營部門之間的關鍵網絡安全性。此類組織可使用商業服務,并且不會擾亂日益壯大的安全服務市場。
聯邦政府(如執法機構)與個體公司或公司集團(可能還有州、地方和原住民保留地政府的參與)之間持續的約束,在特定的部門或區域內實現一定程度自愿性的信息共享,超越在更廣泛的背景下實現的信息共享。
美國政府應與受影響方和國會協商,考慮制定適當的信息共享激勵措施。作為最后的手段,這些措施可包括綜合方案中的監管措施,以滿足社會對健全和具有韌性的關鍵基礎設施的利益需求,保障公民自由和隱私權,維護作為美國經濟系統基礎的、公正公開的經濟市場。加密或控制接入認證等強化隱私保障技術可減少信息共享中的某些風險。
聯邦政府應全面評估妨礙網絡安全信息共享的有關安全分級和人員涉密等方面的政策,同時尋求信息共享改善方案,并確保公民自由和隱私權得到保障,敏感信息得到適宜的保護。聯邦政府各部門和機構當前關于信息搜集,使用、保留和散布的政策很大程度上都是基于法定權限、對隱私和公民自由的關注、對來源和方法的擔心以及歷史慣例而來。這些政策嚴重阻礙了聯邦政府間的網絡安全信息共享。此次評估應將聯邦政府通過安全性和適用性改革倡議所取得的進展考慮在內,同時也要考慮信息共享環境在檢查安全和適用性處理組件的所有方面時所做出的努力。
聯邦政府應與私營部門合作,制定私營部門網絡運營商向聯邦政府進行事件匯報的標準。業界表達了作為受害者對匯報其網絡事故的擔心,包括隨之而來的股東的擔憂、市場反應或監管行動所帶來的潛在消極影響。一家業內機構提議成立政府—企業工作組,設立具體到部門的網絡事件門檻,以保證將信息匯報給安全官員。需制定相應的規則并監督政府對此類信息的使用,以保障隱私權和公民自由。另一完善報告程序的途徑是考慮適當的數據破壞通知法案,要求企業將相關信息通知給公眾和政府,其中包括可進行調查的執法部門。聯邦政府也應檢查已有的市場監管匯報規定的有效性和工作范圍。與此同時,聯邦政府需制定與私營部門進行事件匯報共享的流程和規則。這些規則的制定需考慮事件的分類和隱私問題。另外,聯邦政府應協助研究團體獲得網絡安全事件的數據,并對此加以適當控制。這些數據可用來開發工具、測試理論和制定可行性解決方案。此類共享需要解決關于敏感或專有數據及個人身份信息的保護問題。
聯邦政府應努力擴大與主要盟友在網絡事件和漏洞方面的信息共享,尋求改善網絡安全的雙邊或多邊安排,并確保這些安排符合美國其它方面的經濟和安全利益,使公民自由和隱私權得到保障。國際合作為美國政府與私營部門的合作帶來了更多挑戰。若美國政府計劃與其它國家共享美國私營企業的行業信息,則國內合法的私營部門關于信息共享的擔憂將會增加。私營部門和聯邦政府再次需要做到明晰和誠信,來控制、散發和使用私營部門與政府共享的信息,包括對使用美國和國際社會之間共享信息的理解。
提高所有基礎設施的網絡安全性
聯邦政府應與私營部門合作,明確公私伙伴關系的職能,以做好私有關鍵基礎設施和重要資源的防御工作。聯邦政府的核心責任之一即是共同保護私有關鍵基礎設施不受武裝攻擊、物理入侵或國外軍事力量、國際恐怖分子的破壞。同樣,政府也在保護這些基礎設施不受罪犯或國內恐怖分子的破壞上發揮著重要作用。然而,若攻擊是通過計算機網絡遠程進行而非直接的物理行為,那么政府應對相同行為人,對相同基礎設施施加的相同損害負多大程度的責任,這個問題尚未解決。大多數網絡運營商和服務提供商都將自身網絡的維護和防御工作歸為自己的責任,但私營部門的重要組織已表示,業界希望形成一個工作框架,在此框架下政府將追捕惡意行為人,為私營部門運營商提供信息和技術支持,幫助私營部門保護自身網絡。
在網絡安全解決方案的制定過程中,聯邦政府應考慮出臺鼓勵集體行動和競爭的激勵措施。例如,網絡空間至今還未出現“照顧標準”的法律概念。可能的激勵措施包括調整法律責任(安全改善后責任減少,安全條件差則導致責任增加)、補充賠償、稅收鼓勵政策、以及新的監管規定和執行機制。
總統的網絡安全政策官員應與各級政府、私營部門及國際伙伴合作,制定戰略和計劃,鼓勵創新型網絡安全解決方案,確保基礎設施系統的安全和韌性。基礎設施范例包括:
政府應協助世界銀行、國際貨幣基金組織等國際金融機構,向其提供必要的信息、工具及專業知識,并鼓勵其運用最佳準則來保護自身的信息系統。2008年這些機構的系統曾遭受一系列的嚴重入侵。
《美國復蘇與再投資法案》通過儲備基金來推廣醫療信息技術的使用。隨著電子記錄保存(系統)在互聯網上的日益普及和獲取這些信息的便利性,病人信息的保護工作將事關美國政府可否得到公眾的認可。
能源部應與聯邦能源監管委員會合作決定是否需要為能源方面的工業控制系統另行制定安全執行令和程序。另外,隨著新的智能網技術在美國的普及,聯邦政府務必要制定和通過相應的安全標準,以避免為對手制造可乘之機,侵入上述系統或對其發動大規模攻擊。
交通部下屬的美國聯邦航空管理局在維持現有系統的同時,已制定了向下一代空中交通控制系統過渡的長期計劃。交通部檢察長于2009年3月18日在眾議院航空交通和基礎設施小組委員會上作證時稱,需要評估潛在的安全漏洞,制定一套健全的網絡安全戰略和設計方案。
第五章 鼓勵創新
對于韌性的要求:基礎設施必須具有一定的恢復能力以防物理破壞、非法操作和電子攻擊。除了對本身信息的保護,減輕網絡空間風險的戰略必須側重于訪問基礎設施的設備,基礎設施提供的服務,網絡的支持要素及所有用于移動、存儲和處理信息的手段。這一戰略還必須包括預防、減緩和應對針對運營并受益于基礎設施的人員所遭受的威脅或破壞,運營或利用基礎設施的程序以及用于建造并維護基礎設施的供應鏈。
信息與通信部門正在創建一個聚合平臺,在此平臺上數據、音頻和視頻應用占用共同的基礎設施。當前國際互聯網模型的分散性質,可以允許個人和企業家在無需得到許可的情況下,開發并配置創新的應用程序。創新帶動了價值數十億美元的新型業務,它們徹底改變了用戶與網絡及用戶彼此之間的互動方式。隨著科技對美國越來越重要,對于這一不斷演變發展的基礎設施,保持信心和信任至關重要。總統已呼吁聯邦政府同業界保持合作,共同開發“下一代的安全計算機和應用于國家安全的網絡互聯”,制定“新的、嚴格的網絡安全與物理恢復力新標準”,以及“保護個人數據的標準”。
美國應充分利用技術創新以便消除網絡安全擔憂。雖然市場上早就存在著許多可以明顯增強安全性的技術和網絡管理的解決方案,但由于成本或復雜的原因這些技術和解決方案并沒有得到廣泛的使用。另外,鑒于國際互聯網基礎設施的內在設計,現有的解決方案已發揮到了極限,無法再繼續提高。從長遠來看,開放和創新將有助于建立一個透明且責任明晰的更加強大的基礎設施。聯邦政策必須滿足國家安全要求,保護知識產權,并且要保持基礎設施的可用性和連續性———即便在其遭受強勁對手攻擊的情況下。聯邦政府還必須注意不要制定一些不必要的政策與規章,它們可能會妨礙創新、導致低效率或使安全性降低。
未來
根據2006年的國家研究院報告《振興美國的通信研究》一文指出:“通信網絡是龐大、復雜的系統,其可靠性、安全性及演化性取決于連貫的、構思良好的架構概念的發展。”這一報告還指出:“有多家廠商的產品被用來配置美國的電信基礎設施并提供服務……(它們)超越了供應商的服務范圍。由于業界正朝著水平結構發展并且其分解出了大量的小型公司,不論是廠商還是服務提供商都不會準備去負責終端對終端系統的設計。”
這樣一來,在處理政策、標準、研究、市場開發或采購問題時,就沒有可以用來指導私營部門、學術界和政府做決定的統一建議。聯邦政府、私營部門及其它利益攸關方應共同制定未來基礎設施的技術中立的性能和安全目標,既滿足其作為消費者的自身需求,同時又發揮其作為公眾利益管理人的作用。聯邦政府同其合作伙伴應針對具體的部門和組織,分別制定一系列綜合的全國信息與通信基礎設施目標。這些目標可以參考不同的計算平臺模型或網絡控制概念,以及通過政府、學術界或業界的研究項目產生的技術解決方案。
數據和服務向第三方的聯網服務器的移動被稱作為“云朵”,這為全球的私營部門和政府帶來了新的政策挑戰。跨越司法管轄邊界的數據移動帶來了以下三方面的挑戰:法律執行、不同國家分別制定的隱私與公民自由保護,以及出現數據或網絡漏洞時的決策責任。有些客戶會試圖限制服務提供商移動或存儲數據的地點,而另一些跨國經營客戶則會尋求利用地理和時區的差異性。
基礎設施安全構想:眾多的機構和部門都在努力制定某些科技或基礎設施部門的遠景規劃。例如,美國能源部與業界合作于2005年推出了一個為期10年的路線圖,以便發展用于電網的控制系統。這一計劃期望達到的目標是,截至2015年,“將實現關鍵應用控制系統的設計、安裝、運作和維護以便能夠承受蓄意的網絡攻擊,同時不會喪失重要的功能”。國防部先期研究計劃局的顧問小組把對當前基于《互聯網協議》的網絡防御稱作是一項虧本的買賣,呼吁“對可供選擇的基礎設施進行單獨的考察”,從而完成對最佳候選基礎設施的實驗與評估。根據2009年3月的一份簡報,國防部先期研究計劃局正進行一項為期6個月的候選基礎設施分析。
研發框架與基礎設施開發的結合在總統網絡安全政策官的領導下,聯邦政府應與其它的總統辦事機構部門及信息和通信設施聯合部門委員會進行合作,提供研究與開發戰略———專注于可以實現基礎設施目標的、具有變革意義的技術框架,進一步完善當前的網絡和信息技術研發戰略及其它與研發相關的工作。聯邦政府應擴大這些戰略同業界與學術研究努力的協調,以便避免重復性的工作,利用具有互補性的功能和議事日程并使之同步,并且確保實現該技術換代并進入市場。
為了提高美國的競爭力,聯邦政府應與業界合作,共同制定換代路徑和刺激措施以便快速促進研究與技術開發,包括鼓勵學術界與業界實驗室之間的協作。
聯邦政府還應與私營部門及其它利益攸關方合作,利用基礎設施目標和研發框架為國家與國際標準機構制定目標。
建立身份管理
如果不能提高認證水平,我們就無法提高網絡安全性。身份管理不只是用于人員認證。認證機制還可以幫助確保在線交易,僅涉及那些對于網絡和設備而言可以信任的數據、硬件和軟件的交易。盡管大多數系統今天都適于進行網絡交易,但人們用于建立信任的電子提示技術等也許還沒出現、不完整或者難于理解,起不到應有的作用。身份管理也許能夠為可信任社團的個人和組織提供幫助,這些社團都是基于不同程度的身份公開和彼此約定的責任制而建立的。同時,它還可以排除不受歡迎的入侵者或不適當的會員請求。身份管理通過對個人識別信息的發布進行額外的保護,還可能提高隱私水平。
聯邦政府與業界及公民自由與隱私社團合作,應共同制定一個基于網絡安全的國家身份管理構想與戰略,為此需要考察一系列的方法,包括提高隱私水平的技術。聯邦政府必須通過大量的信息、服務與福利計劃同公民展開互動。這樣一來,政府才會對保護公眾的隱私信息產生興趣。在線交易變得日益普遍,涉及金融、衛生與商業等諸多方面,需要一個在交易方之間建立信任的基礎。
對于高附加值的業務(例如智能電網),國家應該建立一系列可以選擇加入的、能夠相互配合的身份管理系統,以便為在線交易建立信任并提高隱私水平。
國家科學技術委員會下設的生物測定和身份管理附屬委員會于2008年發布了一項報告,該報告提供了一個未來聯邦身份管理構想以及一系列的研究與開發建議。聯邦政府應把這項報告作為身份管理戰略的一個出發點。
聯邦政府應與國際伙伴進行合作,共同制定相關的政策,鼓勵發展可以信任的全球體系,這種系統需要保護隱私權和公民自由并控制旨在保護公民與基礎設施的法律實施活動的適當利用。
在國土安全第12號總統令的指導下,聯邦政府正尋求在聯邦事業中運用可相互通用的聯邦身份認證機制。聯邦政府應確保在聯邦機構全面落實第12號總統令時,相關的資源都是可以利用的。聯邦政府還應考慮讓以下兩方在國家緊急狀態期間也能夠使用聯邦身份管理系統:重要基礎設施的運營商,以及私營部門緊急響應與維修服務提供商。
全球化政策與供應鏈的整合
信息技術革命及自由貿易政策帶來的結果之一,是為在全球范圍內分布有設備設施的公司建立了一個全球性的環境,用于其信息與通信產品的研究、設計、制造與服務。這一全球市場通過為美國的高科技商品和服務打開世界范圍內的市場,給美國創造了巨大的利益。然而,新的制造、設計與研究中心在全球范圍內的出現,使人們更加擔憂微小的硬件或軟件操作會更加輕易地導致計算機和網絡的崩潰。仿造產品已帶來了非常明顯的供應問題,但記錄在案的明確、蓄意的破壞的例子卻很少存在。
需要對風險管理進行一種廣泛的整體分析,而不是全面地否定外國產品與服務。供應鏈攻擊所面臨的挑戰是,老練的對手也許會縮小目標范圍,僅專注于特殊的系統,這樣基本上就會使操作變得讓人無從察覺。國外制造的確會給民族國家的對手帶來更加容易的破壞產品的機會,但是,通過招募重要的內線人員或其它的間諜活動,也可以實現同樣的目標。
最好的防御也許是通過持續的創新來保證美國的市場領導地位。創新可以提高美國的市場領導地位,并且促進在維護具有彈性的、多樣化的供應鏈與基礎設施方面的最佳實踐的應用。總統網絡安全政策官與各部門機構應:
以國家安全局為國防部所做的工作為基礎,通過綜合服務管理局制定商業產品與服務的采購戰略,以便建立市場激勵機制,使安全成為硬件與軟件產品設計、新的安全技術及安全的托管服務的一部分;
擴大同州、地方與原住民保留地政府及國際合作伙伴的合作關系以便使這些采購的市場影響最大化;
同國會一起識別相關的機制,以便能夠讓各部門機構在適當的特定情形下,在做出購買決定時考慮到相關的威脅信息;
從經濟和威脅的角度出發,與業界一起提供威脅信息并確認管理供應鏈和內部風險的最佳方案。
保持國家安全/應急準備的能力
聯邦政府保護美國民眾和提供共同防御的義務,包括負責確保國家在危機時刻能夠進行通信并做出響應。通信系統可能會最先遭受此類事件的沖擊,因此必須具有可以恢復的韌性或能力,以便應對響應并保護政府的職能。《1934年通信法》授權總統當國家處于從“公共危險”到“戰爭”的不同警戒等級時,如果他認為有必要維護國家安全或防御并且存在必要的臨界條件的話,他可以運用、控制或者中止聯邦通信委員會管轄下的通信服務、系統和網絡。第12472號行政命令要求建立一個政府和業界聯合的國家協調中心以便為通信服務或設施在所有危機或緊急情況下的啟動、協調、恢復或重建提供幫助。關于“國家連續性政策”(2007年5月4日)的國家安全第51號總統令暨國土安全第20號總統令在聯邦政府內對有關連續性通信的職責進行了分配。
國土安全部正在努力朝著這一目標前進:幫助國家安全和緊急狀況用戶提供下一代網絡的聚合信息服務,并確保在各種災難及其它會致使公眾用戶遭受通信服務嚴重惡化或中斷的事件期間,其所提供的服務具有極大成功的可能性。下一代網絡在國家安全方面的改進將包括數據、音頻與視頻等多種服務。由于主要運營商和服務提供商所構想的各種架構具有較大差異,這會使得國土安全部的努力變得復雜化。為此,國土安全部正在考察、比較不同的方案,并爭取在提交給標準組織進行考核的方案上與業界達成一致。聯邦政府應:
針對下一代網絡的國家安全與應急準備通信的能力,制定一個協調計劃,包括進度時刻表與經費開支要求;提供聯邦政府可以獲取的附加服務的選擇,或者引導政府將用在信息與通信基礎設施上的投資用于提高在自然災害、危機或沖突時期的通訊設施的存活性;與國際合作伙伴與標準制定機構進行配合,以便在遍布全球范圍內的下一代網絡環境中維護下一代國家安全/應急準備的通信能力;確保與行政部門連續性通信基礎設施和下一代服務計劃的開發相關的努力得到足夠的人力資源支持。
第六章 行動計劃
近期行動建議
⒈任命一名網絡安全政策官,負責協調全國的網絡安全政策與活動;該官員同時具有國家安全委員會和國家經濟委員會雙重職責。在國家安全委員會內增設一個職能強大的局,在網絡安全政策官的領導下,協調政府部門間的網絡安全戰略和政策的制定。
⒉為總統批準實行確保信息和通信基礎設施安全的最新國家戰略做好準備。這一戰略應包括對《國家網絡安全綜合計劃》落實情況的評估,明確可以進一步發揮其成功經驗的相關領域。
⒊將網絡安全列為總統議事日程的優先項目,并制定工作業績指標。
⒋在增設的國家安全委員會網絡安全局中指派一名官員,負責公民隱私和自由權利事務。
⒌召集政府相關機構,就在制定政策過程中遇到的網絡安全相關事宜進行清除跨越部門界限的法律分析研究;并制定統一的政策指導,以明確政府各部門網絡安全工作的任務、職責和權限。
⒍發起一場促進網絡安全公眾意識的全國性教育運動。
⒎發展并完善政府對組建國際網絡安全政策框架的觀點與立場,加強與國際伙伴的關系,主動創新,解決所有與網絡安全相關的問題。
⒏制訂網絡安全應急反應計劃;啟動旨在加強政府與私營企業伙伴關系的對話,理順關系、加強協作,為擴大私營企業的參與并發揮其作用創造條件。
⒐與總統辦事機構其它部門合作,制訂出一個研究和發展戰略的框架,側重發展有助于提高數字基礎設施安全性、可靠性、韌性和可信度的革命性技術;讓研究界有權使用涉及重大事件的數據,以便開發手段,測試理論,并找出可行的解決辦法。
⒑建立基于網絡安全的身份管理構想和法律規定,以滿足隱私和公民自由權利的關切,指導與加強隱私權保護的相關技術發展。
中期行動建議
⒈對于有關法律解釋、政策應用及網絡操作權限的機構間的分歧,改進其解決的過程。
⒉使用管理和預算局項目評估框架來確保各部門機構在追求網絡安全目標時使用基于績效的預算編制。
⒊擴大對關鍵教育項目和研發的支持,以便確保國家在信息時代的經濟環境中保持持續的競爭能力。
⒋制定擴充與培訓勞動力的戰略,包括吸引并維持聯邦政府內的網絡安全專門技術人才。
⒌確定最高效、最有效的機制以便獲得戰略性警報、保持情態感知能力和事故響應能力。
⒍制定一系列的威脅情景和指標,用于風險管理決策、恢復規劃及研發的優先順序確定。
⒎在政府和私營部門之間制定一項程序以便協助防范、偵測并響應網絡事故。
⒏建立網絡安全相關的信息共享機制,消除有關隱私與專有信息的擔憂并使信息共享具有互利性。
⒐制定相應的解決方案,要求在自然災害、危機或沖突時期可以提供應急通信能力,同時確保網絡的中立性。
⒑擴大與重要同盟之間有關網絡事故和弱點的信息共享,并尋求雙邊和多邊安排,這種安排將可以在提高經濟與安全利益的同時,保護公民自由和隱私權。
⒒鼓勵學術界和業界實驗室之間的合作以便制定換代路徑,以及鼓勵快速采用研究與技術開發創新的刺激措施。
⒓利用基礎設施目標和研發框架來幫助界定國家與國際標準制定機構的目標。
⒔對于高附加值的業務(例如智能電網),建立一系列可以選擇加入的、能夠相互配合的身份管理系統,以便為在線交易建立信任并提高隱私水平。
⒕完善政府采購戰略,并且對于具有韌性且安全的硬件與軟件產品、新的安全創新及安全的托管服務,建立市場激勵機制。
點擊咨詢 