第一篇:美國國家網絡安全教育戰略計劃倡議
美國國家網絡安全教育戰略計劃倡議
?
?
報名試駕BMW贏萊卡相機 2012年10月06日15:29 作者:知遠
正文
我來說兩句(0人參與)
? ? ? 打印 字號 保存到博客
行動綱要
我們的國家正在面臨風險。國家政府及關鍵基礎設施中的網絡安全漏洞對于國家安全、公共安全和經濟繁榮來說是一種風險。現在,是時候發起一項全國性計劃,重點提高對網絡安全的認識、教育、訓練和專業開發。美國必須鼓勵發展國家網絡安全能力,組建一支敏捷、高度熟練的勞動力隊伍,用以應對一組動態的、迅速發展的威脅。
這份文件闡述的是國家網絡安全教育計劃的第一份戰略規劃,該規劃將隨計劃推進在今后幾年里進行更新。這份出版物面向廣大人群,包括日常生活涉及網絡的美國普通公民,我們的學生、教師,首席信息官,人力資源總監,企業家,和那些保護在線消息、在線交易和網絡進程的人。
國家網絡安全教育的目的,是為了整體提高美國的網絡安全水平。通過加速發展教育和訓練資源,提高各層次人口的網絡行為、技術和知識,形成一個更安全的網絡環境。
國家網絡安全教育計劃實施后,通過革新的網絡安全教育、訓練和廣泛認知水平,我們可以期待一個安全的數字化美國,在21世紀擁有高度發展的經濟和國家安全水平。
國家網絡安全教育計劃將通過實現這三個目標來完成這一愿景:
1.增強美國公眾的網絡行為風險意識
2.擴大支持國家網絡安全技術的工人儲備
3.開發和保有一支國際頂尖的網絡安全工作隊伍
這份報告描述了國家網絡安全教育計劃的戰略目標及其所支持的戰術目標。這些戰略目標為執行計劃中的任務及完成其愿景搭建了一個框架。而戰術目標明確了為了實現戰略目標所需開戰的高級行動。每一個目標的成果可成為國家網絡安全教育計劃完成度的衡量標準。對每一個戰術目標的戰略則描述了為了達成目標可能的前進路線或是可用的機制。整個計劃為美國提供了一條通向更安全的數字化國家的道路。
一、簡介
戰略背景
我們的關鍵基礎設施——例如電網、財政部門和運輸網這些支撐著我們生活的設施——遭受著日復一日的網絡入侵,網絡犯罪在過去的10年里也戲劇性的增長著。總統因此對網絡安全給予了行政優先權。兩年前,當總統發布他的網絡政策回顧時,他聲明:“網絡威脅是我們面對的最嚴重經濟和國家安全挑戰之一。”
為了保護和保衛國家數字情報和基礎設施,美國必須鼓勵發展國家網絡安全能力,組建一支敏捷、高度熟練的勞動力隊伍,用以應對一組動態的、迅速發展的威脅。
目的
國家網絡安全教育計劃的戰略規劃明確了戰略目標和戰術目標,以幫助實現網絡安全的公共環境和具有全球競爭力的網絡安全勞動力。
國家網絡安全教育計劃的任務
國家網絡安全教育計劃將通過加速發展教育和訓練資源,提高各層次人口的網絡行為、技術和知識,全面提高美國的網絡安全水平。
國家網絡安全教育計劃的愿景
通過革新的網絡安全教育、訓練和廣泛認知水平,我們可以期待一個安全的數字化美國,在21世紀擁有高度發展的經濟和國家安全水平。
國家網絡安全教育計劃的戰略目標
1.增強美國公眾的網絡行為風險意識
2.擴大支持國家網絡安全技術的工人儲備
3.開發和保有一支國際頂尖的網絡安全工作隊伍
國家網絡安全教育計劃的利益相關者
國家網絡安全教育計劃的利益相關人群范圍涵蓋了整個美國社會,從高級政府官員到每一個美國公民。保護網絡安全,保證我們自己、我們的家人和我們的網絡社區的安全,每一個網絡用戶都將參與其中,所以,公民個人將成為關鍵的受益人。
這些關鍵受益人存在于聯邦、州、部落、地方與領土政府中,也存在于那些支持共享網絡安全訓練、教育和情報的協會中。
國家網絡安全教育計劃也將使那些私營部門的人員受益,包括關鍵基礎設施的所有者/經營者,大型公司,小型企業,學術機構,和其他相關黨派。
國家網絡安全教育計劃的伙伴關系
利益相關者們與國家網絡安全教育計劃有著特殊的關系,他們對這一計劃將對他們產生怎樣的影響非常感興趣。許多該計劃的利益相關者們都已經積極的參與到相關的規劃、管理和開發活動中。他們的努力同其他各方面的努力一樣,對國家網絡安全教育計劃的有效實施起到關鍵性的作用。因此,加強同積極的受益者的合作關系,結成新的工作關系,在全國采取行動,最大化行動的影響力,是十分重要的。這些伙伴關系通過將教育、認知和工作能力開發等活動,直接貢獻于計劃的戰略目標和戰術目標。
合作關系將在企業、政府和學術界這些受益者的組織間形成。同時,合作伙伴們將利用他們共同的力量和能力來產生更大更持久的影響力和附加價值,這些是他們每一個個體所無法單獨實現的。這些合作關系是自發、多方向、參與式、可信、可持續的,并被信息流和理念所支持。合作關系的締結對國家網絡安全教育計劃的規劃、實施和評價是極其重要的,使我們可以確保這些行動是適當、有效和可持續的。圖1 NICE伙伴關系
[保存到相冊]
政府參與者
美國國家標準技術研究所(NIST)作為該計劃的指定領導將促進協調現存的和將來的網絡安全教育、訓練和認知活動,以提高和加強他們的效力。可以想象,國土安全部(DHS),國防部(DoD),教育部(ED),國家標準技術研究所 和國家科學基金會(NSF)將主要負責第一目標;國土安全部、教育部、國家標準技術研究所、國家科學基金會和國家安全局(NSA)將主要負責第二目標;國土安全部、國防部、教育部、國家標準技術研究所、國家科學基金會和國家安全局、國家科學基金會和人事管理局(OPM)將主要負責第三目標。
二、國家網絡安全教育計劃戰略概述
國家網絡安全教育計劃是一個多維度的首創,其目標在于使國家的數字素養和網絡安全知識制度化。從向大眾提供信息到專業的工作和發展,國家網絡安全教育的戰略規劃為其提供了一系列的國家網絡安全的知識。以下所討論的大目標和小目標主要集中在三個首要的成果:
提升公眾對網絡風險的認識,使其能負責任的使用網絡,并且使網絡安全成為一條事業道路。
發展培養下一代的網絡安全人才,培養對科學、技術、工程和數學(STEM)的興趣;
通過教育、訓練、雇傭和認證,提升信息安全相關從業人員和專家們的能力。
圖2表述了頻譜中各種元素與國家網絡安全教育計劃的目標和總體的戰略成果的聯系 圖2 戰略結果
[保存到相冊]
這項國家首創的計劃的演變使得參與一個戰略計劃程序成為必要,這個程序將影響國家網絡安全教育計劃的受益者、合作伙伴和政府活動。聯邦、州、部落、地方與領土政府中的受益者以及學術界和工業界都已向這個程序進行投入。這總體的戰略規劃將隨著時間推移而更新,以體現最新的優先級、完成度、投入和信息。
表一介紹了國家網絡安全教育計劃的戰略目標和具體目的。第三部分對他們分別進行了詳細的說明。
這個戰略目標的剩余部分,“網絡安全勞動力”是指那些工作主要集中在網絡安全方面的人。例如,在醫院里護士需要上傳病人的醫療保健記錄,他/她必須按照網絡安全政策來工作以保護病人的個人隱私,那么這家醫院就需要有員工來主要負責計劃、實施和維護醫院的網絡系統的安全狀況。這是我國的勞動力的一部分,將從目標1(提升認知)中獲益。那個負責醫院網絡安全的員工或是承包商就是“網絡安全勞動力”的一部分。目標3集中在使“網絡安全勞動力”的技術更加專業化。目標2則是旨在向網絡安全事業領域輸送人才。
三、國家網絡安全教育計劃的目標
該部分詳細介紹了國家網絡安全教育計劃的戰略目標和次要目標。這些目標為執行計劃任務和完成愿景提供了一個框架。在每個戰略目標里提到的次要目標顯示了為了達成戰略目標而必須采取的高級行動。該戰略描述了一條達成各項次要目標的前進道路,這些目標的達成標示了整個計劃的進程。
目標1.提高對網絡行為風險的認知水平
美國民眾越來越依賴于網絡來管理他們日常生活的各個方面,但很大一部分人沒有意識到一些威脅著他們個人隱私、人生安全和財產安全的風險。各種非網絡組織也越來越熱衷于進行網上貿易,卻缺乏對該行為風險的充分認識。在線,表示一種連通的狀態,多數情況下是指在網絡上。本計劃需要讓更多的人意識到惡意行為的存在,且會因為他們樂于從互聯網接受信息或是樂于向互聯網提供信息而被利用。本目標將向公眾發出信息來提倡負責地使用網絡,提升對網絡詐騙、身份盜用、網絡掠奪和網絡道德的認識。本目標旨在提升家庭、工作和公共場合中的網絡風險。
圖3顯示了國家網絡安全教育計劃希望個人和各組織一步步達到的網絡安全知識的不同階段。階段1 – 認識到網絡安全問題,每個人都面臨著風險;階段2 – 從技術和社會層面上理解這個問題;階段3 – 對自我責任的認識,這是每個人應該做的,也是必須做的。階段4 – 獲取防護工具和知識,通過各種資源來獲得應對的能力;階段5 – 利用獲取的工具和技術反過來來豐富資源;階段6 – 保持并不斷的學習以應對不斷變化的威脅。圖3 網絡安全知識 [保存到相冊]
目標1被三個次要目標所支持。次要目標1.1面向美國公民,次要目標1.2 面向我們所工作的各種組織,次要目標1.3 詣在提供公民和組織所需要的網絡安全資源。
次要目標1.1提升公眾的知識,使其在處理網絡風險時做出明智的選擇
大眾對網絡信息共享的風險認知還遠遠不夠,它可以影響到個人甚至是國家的安全。我們必須使美國人更加了解可以使他們遠離網絡威脅所帶來的消極后果的工具和訓練。
圖3顯示了一種分段式的提高網絡安全知識的途徑。國家網絡安全教育計劃集中提升每一個階段的人的數量,并宣傳支持每一個階段的認知水平教育課程。
收益
次要目標1.1的順利進行將會有如下幾個收益:
人們將更少的受害于網絡欺詐。
人們在網上共享信息之前會先考慮安全隱私是否有被侵犯的可能。
更多的人將會安裝安全工具來應對網絡威脅。
網絡安全的概念將被普及,人們知道網絡安全就如同他們知道吸煙有害健康、安全帶的重要性、良好的飲食和運動會帶來健康收益一樣。
戰略
從「停下,思考,互聯」1開始認知教育計劃。
為面向美國大眾的數字素養訓練制定標準和戰略,保證大眾能夠使用工具和技術來減少網絡風險。
學。
通過一系列的途徑向公民普及不斷變化的網絡威脅情況,包括認知教育計劃、公共 向教育者發布資源,使其可以在所有網絡相關的課堂上更好的同學生交流和進行教服務公告、技術交流會、商務會議、因特網和其他媒體渠道。
次要目標1.2:提升組織內部的網絡安全意識,使網絡資源所面對的最直接和最嚴重的威脅得到很好的處理
美國人所生活的環境中,網絡犯罪者們總在發明新的復雜的技術來慢慢損害各種組織的網絡安全。因為這些威脅的不斷變化和演變,我們必須對這些變化進行追蹤,并且及時通知各組織關于現存的威脅和相關緩解技術。各組織應當有機會通過教育、訓練和認知教育計劃學習到多種方式來在網絡上加強對知識產權、客戶資料、服務和關鍵設施的保護,并且能了解不斷發展和進步的網絡安全保護工具和保護措施。
圖三顯示了一個分段式的路徑來達到提升私營部門的網絡安全知識的成熟度的目的。因為并不是所有的私營組織都將同一階段作為起點,也不能保證他們一定擁有足夠的資源來達到階段4到6,所以次要目標1.2旨在幫助所有組織提升他們的網絡安全認知水平。國家網絡安全教育計劃的目的,在于鼓勵私營企業檢查他們的網絡風險,從而使他們能做出知情決策來獲取、實現和維護網絡安全狀態以應對這些風險。
認知資源的目的在于一些生產和出售網絡相關技術的企業也可以影響其他企業。次要目標1.2力爭使我國的創造者們在設計的初始階段就將網絡安全考慮在內。次要目標1.2也致力于讓當下的發明家們從網絡安全專家那里了解可用的網絡安全工具和最優措施,這樣也可以讓他們的產品在全球范圍內更具有競爭力。之后在文章中將討論目標2,旨在鼓勵正式教育以培育出更多的網絡安全專家。
收益
次要目標1.2的順利進行將為私營企業帶來如下收益:
提高對技術問題和威脅所導致的工具獲取和訓練的必要性認識。
向所有員工宣傳網絡安全意識。
對財產、功能、聲望和管理能力的保護。
向員工宣傳隱私意識。
生產包含了安全措施的軟件和硬件。
網絡安全產品的質量將會提高,美國大眾可用的網絡安全服務也將會提升。
增加對供應鏈缺陷的認識。
使用網絡安全工具來支持產品開發。
戰略
通過一系列的途徑向私營企業組織普及不斷變化的網絡威脅情況,包括認知教育計劃、公共服務公告、技術交流會、商務會議、因特網和其他媒體渠道。
宣傳網絡安全保護措施,如使用安全工具和訓練、教育勞動力、需求追蹤和宣傳最優措施和網絡安全標準。
向小型企業和組織提供網絡安全知識。
次要目標1.3: 提供可用的網絡安全資源
美國人缺少權威的可負擔的并且易于獲取的信息來源,以讓他們得以區分網絡安全的現實與夸張炒作,并且分辨哪些是好的工具而哪些不是。政府、學術界和工業界應當共同努力,向美國人民提供好的資源和工具來保障他們的網絡安全,并且加強我們在此方面所作的努力。
收益
次要目標1.3的順利進行將帶來如下收益:
提高資源的可用性,及時獲取和證實信息;以及
加強對抗網絡威脅的工具的應用。
戰略
與私營部門、學術機構以及國家/州/部落政府合作來傳播工具、訓練方式和資源。
在IT政策和管理體制的配合下,創造、傳播和推廣網絡安全的最佳范例和指導。
目標1的相關活動和產品
國家網絡安全教育計劃的網站
網絡安全學習入門(NICS)的國民機構
網民論壇,網絡安全教育志愿者(C-SAVE)計劃,以及其他志愿者計劃
國家網絡安全意識運動:停下,思考,互聯
國家網絡安全意識挑戰 3
目標2.提高高素質工人的數量以支持國家網絡安全建設
圖4所示的學術管道描述了建設數字化國家所必須的網絡安全中角色的轉換,這是在總統的網絡安全政策回顧中所呼吁的。目標2直接旨在用正規教育增加能滿足國家需求的具有網絡安全素質的人才數量。圖4 網絡安全教育與訓練管道 [保存到相冊]
為了培養下一代網絡安全專家,我國的教育體系需要在小學里就培養學生對數學的興趣,并且保有這種興趣直到中學畢業。在高中里,我國的教育系統需要創造一些機會來讓學生探索計算機思維,讓更多的學生為在大學乃至碩士學習中鉆研網絡安全做好準備。所有這些活動旨在助力美國政府發起的一項工作,與老師、家長、學生已經商業組織共同協作,來提升科學、技術、工程和數學(STEM)教育以讓學生們更好的為引領21世紀做好準備。
次要目標2.1 加強基礎教育階段的科學、技術、工程和數學的教學,強調數學和計算機思維的重要性
學術管道從STEM開始,特別是中小學的數學教育。如今,美國的高中生在數學和科學上經常落后于其他國家的同齡人。盡管國家、州和地方政府作出很多努力來提高他們的STEM成績,仍然有很多需要被做的事情。
收益
次要目標2.1的順利進行將帶來如下收益:
在接下來的10年內,美國學生將從國際評定水平的中間上升到前端水平
更多的學生將帶著對網絡安全的求知欲和足以進一步學習網絡安全專業/事業的能力畢業
戰略
從2013財年開始,成立幼兒園聯盟,通過12個年級(K-12)進行STEM教育以支持一系列的戰略4
從2013財年開始,成立正式網絡安全教育預算聯盟用于國家網絡安全教育計劃
發展能力以協助私人發行的計算機科學及網絡安全教材、工具和資源,有體制的在國家及地方實施K-12 STEM教育計劃
協助企業及基金會:(1)在國家范圍內將計算機科學的教育的力量組織起來,(2)教育他們的員工/合作伙伴,使其了解我們必須有更好的教育水平,尤其在電腦科學方面,并且(3)努力更好的基于各種例證來加強STEM教育
樣。
次要目標2.2:提升大學里計算機科學課程的數量以及質量 幫助網絡安全工作者與當地學校合作,向老師提供專業的教學內容并向學生樹立榜
多數的高中并不提供嚴格的學術性的計算機科學課程。相反,高中電腦課程一般集中于教學生打字及使用標準辦公軟件。他們教學生使用科技,卻不教學生如何創造科技,不去培養學生成為那些可以讓科學技術隨自己理念發展的人。很少的州采用了K-12計算機教育標準,只有極少數的學校有對計算機科學教師的認證過程。更糟的是,這種趨勢是負面的。據計算機科學教師協會報告,自2005年,學校教授低于17%的入門級計算機科學課程和低于33%的進階計算機科學課程。
作為結果,大多數的學生帶著對計算機科學的皮毛認知進入了大學,很少一部分學生選擇繼續學習IT技術。自2000年,大學新生選擇計算機專業的比率下降了70%;這個數據在女性、少數民族和殘障人士中尤其真實。國家科學基金會通常支持大學理事會實施被提議的新大學預修課程(AP)---計算機科學原理來解決這一問題。這一課程將對網絡安全知識進行更嚴格的系統的介紹并進入高中計算機科學課程。
收益
次要目標2.2的順利進行將帶來如下收益:
到2018年,全國50%的高中將開設有良好師資教學的嚴格學術性的計算機科學課程。
到2018年,將會有更多的學生在高等學府選擇繼續學習計算機技術。
到2018年,25%的州將在K-12中采用國家網絡安全教育標準。
戰略
對高中計算機課程,包括網絡安全,通過一系列的“投放軌跡”提供更易獲取的課程、教材和評估體系(如,4年制數學課程,職業和技術教育(CTE)課程序列,以及被提議的新大學預修課程計算機科學原理(AP CS)課程)。
借助聯邦機構和企業以及基金會的合作來支持高中計算機科學教師,特別是那些教授高水品課程的教師例如被提案的新大學預修課程計算機科學原理(AP CS)課程。
次要目標2.3:提升本科生和碩士生網絡安全課程的數量以及質量,包括一些IT和安全相關的學位課程
本科網絡安全課程需要集中在一連串的解決方案上,包括完整協調的安全措施的效力。為了同時滿足公眾和私營部門的網絡安全需要,一個網絡安全相關專業的越來越大的本科生比例需要去上一些要求學士或大專學位的課程,如計算機科學,計算機工程,軟件工程,信息系統,和信息科技。網絡安全專家不可能從單一的安全課程中誕生,而必須有很多其他課程做基礎。降低網絡安全方向的研究生入學難度將為培養更多的專家提供機會,并且會促使一些學生選擇繼續研讀相關的博士學位。
收益
更多的學生將獲得學位,并擁有被用人企業所需要的專業知識,使他們可以從事網絡安全領域的工作。
國家信息保障教育卓越學術中心(CAE/IAE)將回顧并更新他們的標準和專業準則來滿足不斷變化的網絡安全需求。
到2018年,專攻特殊關鍵基礎設施和數字取證以及其他方向的CAE指定的學術機構的數量將上升25%
到2018年,工人的網絡安全學位項目將增加20% 到2018年,20%的社區大學和技校將提供網絡安全學徒制或相關資質認證
到2014年,最少150個大學生機構將參與國家網絡安全教育虛擬實驗室,一個關于網絡安全研究的國家機構。
戰略
通過提供向國家網絡安全研究機構的接入口,向高校學生提供在線網絡安全課程/實驗室
鼓勵公眾和私人協作創造資源中心,例如國家虛擬實驗室,提供基礎設施,內容存儲庫和師資培訓。
向本科以及研究生增加獎學金、助學金的種類,并提供研究經歷、校外實習機會
鼓勵開設認證的網絡安全學位課程
為共享師資、課程和虛擬實驗室樹立榜樣,并且使這些更易獲取/公眾可用。
向高等院校投入資金
設立競賽以激勵創造遠程教學/在線課程教材
次要目標2.4:對研究生院的網絡安全研究給予物質激勵,支持和認可
主動性的研究將促使未來電腦用戶日常網絡安全方案的發展。研究生級別的網絡安全研究與開發機會將會促使那些正在斟酌畢業后去向的研究生們更傾向選擇網絡安全作為他們的學術專精方向。為了培養一些具有學術水準的可以繼續教育下一代網絡安全知識的人才,這些研究和開發的機會是關鍵的一環。增加研究生的訓練和實習的機會可以幫助開發全新的技術,以抵御如今的網絡攻擊,為更好的面對將來的網絡安全挑戰打下基礎。
收益
提高了獎學金和助學金的獲取率
更易連接到動態學習環境,如虛擬化和/或遠程圖書館
提高作為信息保障研究卓越學術中心(CAE-R)的大學的數量
提高轉移大學研究的機會
戰略
對提高研究生研究與開發的數量與質量的機構進行認同與實現
利用網絡與信息技術研發計劃(NITRD)來創造/支持一個政府/學術界/私人企業論壇來找出研究的問題所在 利用基礎設施類項目將CAE-R組成聯盟
與企業合作,向研究生提供更多的獎學金和助學金
用外部資金激勵學生參加專業的會議和交流
支持目標2的活動和產品
美國國家科學基金會的21世紀計算機教育計劃(CE21)和10000高中的10000計算機科學教師計劃(CS 10K),聯邦網絡服務:服務獎學金計劃(SFS),先進技術教育計劃(ATE)
CAE/IAE計劃
一些競賽例如:國家大學生網絡防御競賽 13和國家科學碗 14
主要目標3:開發和保有一只無可比擬的具有全球競爭力的勞動力隊伍
信息技術的利用率成指數級增長,這對于一個國家的力量和繁榮來說既可以是一個優勢也可以是一個弱點,所以我們必須保護它不受攻擊和不被濫用。光有技術方案是沒有辦法確保這項基礎設施和它所包含的信息的安全的。除了技術方案和基礎架構解決方案之外,意志靈活的、高度熟練的專業網絡安全工作隊伍對保護、保衛和防御我國的信息系統來說是十分必要的。在全美國,私營和公共組織都對訓練有素的專業人員有著迫切的需求,以對他們的網絡安全方案和戰略進行評估、設計、開發和實施。然而,雖然這種需求在日益增長,網絡安全的專業隊伍卻沒有相應的擴大。
努力建設我國的網絡安全勞動力包括三個相輔相成的部分:人力規劃,專業開發和核心專業素質能力的鑒定。人力規劃分析了為了達成當前目標、預測未來發展所需的能力,并且確定網絡安全專業所需的知識、技術和能力。專業開發包括正式訓練和教育以保持網絡安全專業隊伍的技術水準。網絡安全專業化確定了核心專業能力,為技術的開發、認證,以及網絡安全從業者們的工作表現評估設立了客觀標準,并在網絡安全規約范圍內設定職業規劃。
具有決定性的領導意識和獨一無二的網絡安全工作天賦對于確保有足夠的發起并且維持人力規劃和專業開發的時間和精力是必需的。溝通戰略和包括網絡安全的挑戰與應對需要成為領導能力發展計劃的一部分。管理網絡安全人員將成為各個級別的組織領導能力的一部分。
目標3.1:發展一個可用的網絡安全能力框架
有效的人力資源計劃使我們的國家能夠擁有正確的人,具有正確的專業技能,并且能夠出現在正確的時間和地點。網絡安全人員所具有的天賦是全國范圍內所有商業地區都非常關心的問題。信息基礎設施和美國公民隱私的保護依靠知識和這些專業人員的能力。作為一個新興領域,網絡安全缺少一個職業路徑,崗位描述和資格證明的共同術語。一個國家的網絡安全的能力架構是實現有效的人類生產計劃的一個先決條件。建立這樣的勞動力定義和標準不僅僅為網絡安全的專業人士提供清晰的標準而且還統一這些專業人士的招聘,布置和績效考核。這些最初為聯邦政府使用和網絡與人力資源學科專家審查而制定的定義和標準,將作為公開可用的標準適當應用在公眾和私營部門組織中,包括國家的,本地的,部落政府。這些建立中的定義對于以任一相同的標準測量和評估網絡安全人員非常重要。
圖5描繪了一個基于國家核心能力框架的用于構建和貫徹一個有組織的網絡安全員工能力和發展模式的定向途徑。圖5 網絡安全勞動力能力和發展模式 [保存到相冊]
國家的勞動力健康測量過程
一個被普遍接受的網絡安全專業技能架構為專業人士提供了一條知識,技能和行為的基線,這條基線橫跨不同的網絡安全科目種類,網絡安全基礎教育和使他們勝任這些職業的必要訓練。這個網絡安全能力架構還可以促進對培訓需求的了解和引導設計一份專業人員培養計劃。此外,一個通用的框架能夠幫助組織機構從指定的知識,技能和表現期望上來決定是否當前的和潛在的員工在不需要額外的或者循環的拓展活動就能滿足崗位技能要求;還可以通過提供一個評估知識和技能的模型,制作員工專業發展計劃。
成果
標準化的功能性角色和能力公開可用。
到2012年,聯邦政府機構采用網絡安全能力模型。
網絡安全專業人士的不足和技能空白被確定。
到2013年,聯邦機構在人力資源指導下從事網絡安全工作。
到2015年,州,地方,部落政府采用通用的勞動力描述。
到2015年,制作一個對國家網絡安全勞動力健康情況的評估。
到2015年,同聯邦政府尋求合作的行業采用勞動力描述。
到2015年,各行業給可用職位繪制他們的網絡安全勞動力描述。
到2015年,工作地的合格的網絡安全專業人員人數將增長百分之二十。
戰略
到2013年,評估與已確定的網絡安全能力相對的聯邦政府,州政府和地方政府的網絡安全勞動力的長處。
為網絡安全專業人員制定一條必須具備技能的基線。
到2015年,評估與已計劃的市場需求相對的私營部門的網絡安全勞動力的能力。
鼓勵公私合作利用網絡安全能力框架。
同學術界和行業界協作決定從變化的技術和威脅中新興的新的勞動力需求。
鼓勵網絡安全職業認證程序的提高和進步。
為網絡安全專業人員建立一條貫穿多個行業部門的基線。
目標3.2:為受關注的網絡安全培訓 提供一個框架來滿足進一步的需求。
培訓是一個旅程,不是一個目的地,持續的職業發展需要持續的培訓;然而,專業化的網絡安全勞動力培訓程序是矛盾的而且可能不能滿足這一特定勞動力群體獨一無二的需求。專業的網絡安全培訓必須保證網絡安全勞動力擁有實用技能,資源和可信度來完成他們的任務。一個被普遍接受的核心培訓框架在確保勞動力能力標準貫穿整個國家和在培訓課程中為新興的或已確定的網絡安全從業人員提供一致性起到至關重要的作用。一個標準化的培訓框架的使用將幫助確保這種培訓能夠普及并且以一致的方式進行。此外,隨著網絡安全勞動力的需求進一步加大,一個標準化的培訓框架將幫助確保培訓力度以滿足變化的需求為目標。
成果
設計出一項世界級的綜合培訓項目來滿足政府和私營組織部門的功能要求。
標準化的培訓工具,間諜情報技術和方法論。
一個使政府,學術界和行業界能夠分享網絡安全經驗來提高和更新培訓項目的機制。在各個級別上均衡和協調網絡安全培訓項目。
戰略
促進一套用來滿足政府和私營部門需求的世界級的綜合培訓項目管理體制。
編輯一條綜合的網絡安全培訓目錄,并且促進新課程的發展來填補已確定的缺陷。
與通常標準、學習目標和難度水平對立的衡量培訓效果。
目標3.3:學習網絡安全職業領域的專業化,認證和許可標準的應用
為了保護我們個人,公共和私營部門的信息,信息系統和網絡,我們國家必
須為每一個網絡職業的類別,專業,級別和功能開發一個對于概念,原則和應用具有一般理解的勞動力。網絡安全的實踐是專業學科;為了承認人員在這些學科中的專業地位和成就并且提高實踐的質量,以一種廣泛的和始終如一的方式給將要做的準備,熟練度和能力定義一個期望水平是值得的,比如專業化,認證或者許可。通過為技能發展,認證和工作表現設置客觀標準,職業化將提供一個網絡安全從業人員活動和能力的一般理解,就像它在其它學科中一樣。
成果
制定一套文件齊全并被廣泛接受的職業發展規劃,包括靈活的,有挑戰的和值得的職業道路和軌跡。
維持網絡安全專業人員的地位。
戰略
學習和調查在其它職業領域中職業化的影響。
目標 3 支持的活動和產品
聯邦信息系統安全教育家協會
虛擬環境訓練
行業協會
認證協會
合作的網絡安全研究和教育機構
將包括網絡安全勞動力管理的領導能力發展項目作為一個組織的需要
四、交流和拓展
國家網絡安全教育計劃將承擔四項交流和拓展活動來保證本文前三部分已經明確的“目的和目標”有效的實現。活動將利用所有形式的媒體。
這四項活動支持國家網絡安全教育計劃有能力利用和建立公私合作;參加國家網絡安全教育,培訓和認識參與活動;發展網絡安全教育,宣傳培訓和認識的最佳做法,并正式的鼓勵開發與創新;在利益相關的機構之間提供協調。
公私部門合作
為了促進國家網絡安全教育計劃的重要性和提供參與的機會,國家網絡安全教育計劃將利用現存的能確保美國聯邦部門,機構,州,地方,部落和特區政府與私營部門之間合作和信息共享的公私部門合作關系。國家網絡安全教育計劃將確定沒有覆蓋在當前伙伴關系的不足和在聯邦政策的范圍內建立實現其目標所必須的新的公私部門合作伙伴關系。
會議,研習班,座談會和網絡競賽
聯邦政府部門和機構,以及各州,地方,部落政府,私營部門合作伙伴和學術界都使用會議,研習班,座談會,公民大會和網絡競賽來達到他們的目標。國家網絡安全教育計劃想要利用這些活動來建立對于國家網絡安全教育計劃的目標和這些活動為利益相關方所提供的實現國家網絡安全教育計劃的目標的機遇的認識。
開放的政府
在透明和開放的政府備忘錄中,發布日期2009年1月21日,總統指導白宮管理和預算辦公室發布一項政府開放令,強調披露“公眾容易發現和使用”信息的重要性。國家網絡安全教育計劃將建立并維持一個允許公眾較容易的發現和使用關于網絡安全意識和教育信息的網站。
政府倉庫
除了一個公眾網頁之外,國家網絡安全教育計劃還將建立一個政府內部的合作,交流和所有政府活動的發展機制來實現該計劃。這個基于內部網絡的機制將存儲支持國家網絡安全教育計劃能力的信息來發展消息共享,儲存參考資料和滿足數據庫需求,追蹤國家網絡安全教育計劃的相互作用。知遠/嚴美
第二篇:《網絡安全教育宣傳計劃》
網絡安全教育宣傳計劃
信息安全是業務工作正常開展的基礎,信息安全是單位工作的重中之重。多年來,堅持利用多種渠道和有效載體,認真做好有關單位網絡安全的法律、法規的宣傳教育工作,積極開展“網絡安全”宣傳教育活動,使廣大員工的網絡安全意識不斷增強。為認真貫徹落實****安全工作會議精神,創建“網絡安全”,結合工作實際,特制定網絡安全教育宣傳計劃如下:
一、活動主題
本次活動主題為“共建網絡安全,共享網絡文明”,旨在提高和普及我單位員工的網絡安全知識,重點圍繞網絡涉密、網絡攻擊、網購安全等開展宣傳活動,讓員工了解、感知、感受身邊的網絡泄密、智能手機泄密及網絡購物方面的網絡安全潛在風險,提高安全防范意識。
二、時間地點
網絡安全宣傳周統一于每年9月份第三周舉辦。
網絡安全宣傳周中的重要活動,可選在但不限于二樓會議室進行,也可根據實際情況對舉行地點進行安排。
三、活動方式
(一)繼續加強信息安全建設活動
為進一步加強信息安全的建設,確保單位信息網絡的安全有序,使廣大員工有一個良好的工作環境,使員工不斷受到網絡安全教育。進一步修訂完善網絡安全管理制度,加強網絡硬件、軟件安全性建設,活動方案和考核辦法,并對活動進行總結表彰,樹立優秀典型,推廣先進經驗,促進安全工作生活。
(二)開展網絡安全教育、進行現場實操演練
不斷規范網絡安全管理,時刻做到安全警鐘長鳴。針對辦公網絡、有關涉密電腦、移動設備的防涉密常識,發現涉密風險的報警方法,使用時自測的方法和查毒殺毒的使用等信息安全知識,舉辦“員工自檢防涉知識講座”。讓員工們了解信息安全的基本要求、掌握使用涉密設備自檢自防的基本方法。定期進行自檢自防演練,增強員工的信息安全意識,提高防涉密能力。
(三)不斷加強信息安全教育活動
單位結合“網絡安全教育周”開展系列活動。利用每周四下午單位生活民主會、單位宣傳欄和會議室投影等多種形式,特別是觀看網絡安全宣傳片、網絡安全案例等視頻,對員工進行網絡安全教育活動。同時,組織員工開展網絡安全知識競賽,對成績優秀的給以獎勵,從而調動員工的積極性,增加員工對所學所觀知識、視頻的理解,讓大家樹立“網絡安全”的觀念,增強防范意識,讓網絡安全警鐘長鳴。
(四)積極開展“網絡安全”宣傳活動
禁絕涉密,預防為主,教育在先。為進一步加強單位網絡安全宣傳教育工作,強化對網絡泄密危害的認識,增強自我保護意識,開展以“共建網絡安全,共享網絡文明”為主題的大型宣傳教育及簽名活動。通過參觀圖板、學習網絡安全教育材料,大家對網絡泄密的危害性,有進一步的認識。讓大家知道,一定要遠離泄密,保護信息安全。全體員工共同在宣傳橫幅上鄭重簽上自己的名字、寫下莊嚴的承諾。這項活動將持之以恒地開展下去。
(五)嚴格單位值周、值勤制度
為強化單位規范化管理,制定值周制度。值周人員24小時內及時處理單位內發生的網絡安全事件。每天有記錄,每周有匯總和反饋。值勤人員嚴格執行單位規定,利用**等技術加強網絡巡邏,對不安全的網絡信息進行監控屏蔽,確保了單位網絡信息平安。
四、活動要求
加強組織領導。各科室有關部門要深刻認識網絡安全意識和技能培養工作的重要性和緊迫性,將網絡安全宣傳活動列入重要議事日程,加強領導,提前謀劃,認真制定活動方案,在單位網絡安全宣傳周期間集中組織開展網絡安全宣傳教育活動,加大投入力度,調動全單位各科室積極性,切實辦好網絡安全宣傳周。
突出宣傳實效。充分利用宣傳欄、網站、宣傳手冊、QQ群等渠道,加強活動宣傳,制作播出專題欄目,開展知識競賽、主題會議等,普及網絡安全防護技能,提升全單位網絡安全意識。
做好總結評估。網絡安全宣傳周結束后,做好總結工作,對宣傳活動中好的做法要繼續發揚、出現的問題要糾結糾正,并將相關情況進行匯總,形成總結報告。
XXXX
2016年9月11日
第三篇:論美國信息安全主導國家戰略文檔
文本Tag:政策法規安全策略【IT168 特稿】十一年以前,我們就開始對美國的信息安全保障進行跟蹤、學習,我們對美國的信息安全保障問題很重視,用科學發展的態度不斷更新,不斷提高。下面,由中國工程院沈昌祥院士為大家介紹這方面的問題,以下為談話內容:
一、美國將網絡空間安全由“政策”、“計劃”提升到國家戰略。
美國將網絡安全列入國家計劃開始規劃,還認為不夠又提升為國家戰略。美國在克林頓政府時期就把建設信息保護作為根本政策,同時發現了很多的網絡安全問題。
1998年5月,克林頓政府發布了第63號總統令(PDD63):《克林頓政府對關鍵基礎設施保護的政策》,成為直至現在沒有政府建設網絡空間安全的指導性文件。
2000年1月,克林頓政府發布了《信息系統保護國家計劃V1.0》,提出了沒有政府在21世紀之初若干年的網絡空間安全發展規劃。
2001年10月16日,布什政府意識到了911之后信息安全的嚴峻性,發布了第13231號行政令《信息時代的關鍵基礎設施保護》,宣布成立“總統關鍵基礎設施保護委員會”,簡稱PCIPB,代表政府全面負責國家的網絡空間安全工作。委員會由克拉克擔任主席。
委員會成立以后,系統地總結了美國的信息網絡安全問題,提出了無數個問題向國民廣泛征求意見。征求意見以后,馬上頒布了《保護網絡空間的國家戰略》,這個《戰略》很有意思,主要從系統角度加以分辨保護,提出分為五級:第一級家庭用戶與小型商業;第二級:大型企業;第三級:關鍵部門;第四級:國家的優先任務;第五級全球。
2003年2月,在征求國民意見的基礎上,發布了《保護網絡空間的國家戰略》的正式版本,對原草案版本做了大篇幅的改動,重點突出國家政府層面上的戰略任務,這是一個非常大的跨越。
新的《保護網絡空間的國家戰略》提出了三大戰略目標:
一是預防美國的關鍵基礎設施遭到信息網絡攻擊;
二是減少國家對信息網絡攻擊的脆弱性;
三是減少國家在信息網絡攻擊中遭受的破壞,減少恢復時間。
五項重點任務:
一是國家網絡空間安全響應系統;
二是國家網絡空間威脅和脆弱性減少項目;
三是國家網絡空間安全意識和培訓項目;
四是國家網絡空間安全保護政府網絡空間的安全;
五是國家安全和國際網絡空間安全合作。
2005年4月14日,美國政府公布了美國總統IT咨詢委員會2月14日向總統布什提交的《網絡空間安全:迫在眉睫的危機》的緊急報告,對美國2003年的信息安全戰略提出不同看法,指出過去十年中美國保護國家信息技術基礎建設工作是失敗的。短期彌補修復不解決根本問題。GIG耗資一千億美元,而安全問題沒有解決,仍是漏洞百出。(他們認為是不能用的)
當時,提出了四個問題和建議:
1、政府對民間網絡空間安全研究的資助不夠,建議每年撥NSF九千萬美金;
2、網絡空間安全基礎性研究團體規模小,七年時間團體規模擴大一倍;
3、安全研究成果的成功轉化不夠,政府加強在技術轉讓方面與企業的合作;
4、缺乏政府部門間協作與監管是安全對策無重點和無效率的根源;
5、建議成立“重要信息基礎設施保護跨部門工作組”。
2006年4月,信息安全研究委員會發布的《聯邦網絡空間安全及信息保護研究與發展計劃(CSIA)》確定了14個技術優先研究領域,13個重要投入領域。
為改變無窮無盡打補丁的封堵防御策略,從體系整體上解決問題,提出了十個優先研究項目,包括:認證、協議、安全軟件、整體系統、監控檢測、恢復、網絡執法、模型和測試、評價標準、非技術原因。
美國國防部2007年2月4日公布的《四年一度防務評審》報告非常關注網絡空間安全,提出加強網絡空間安全研究作為未來重點發展的作戰力量之一。
報告指出,網絡不僅是一種企業資產,還應作為一種武裝系統加以保護,如同國家其他的關鍵基礎設施那樣受到保護。針對當前和未來可能的網絡攻擊,報告重點提出了“設計、運行和保護網絡”,確保聯合作戰的需求。
美國總統簽署命令,擴大網絡監控范圍。
美國總統2008年1月8日簽署一項擴大情報機構監控因特網通信范圍的聯合保密指令,以防御對聯邦政府計算機系統日益增多的攻擊,這項指令授權以國家安全局為首的情報部門監控整個聯邦機構計算機網絡。指令的具體內容保密。這項行動將花費數十億美金,資金將列入2009年財政預算中。
國土安全局將收集和監控入侵的數據,配置防御攻擊和加密數據的技術。另外國土安全局還將致力于把政府因特網端口從2000個減少至50個。
同時,為了進一步加強政府核心部分的防范,發布了總統54號令,這個令是保密的。我們了解到主要是“設立了綜合性國家網絡安全計劃”,主要對政府系統加以進一步地防范。還拓展了國家安全局對政府信息系統安全的主管權力。
內容導航
二、美國網絡空間安全當前的戰略
(一)美國網絡空間安全戰略
網絡空間指全球互聯的數字信息,也是對通信技術設施的總稱,稱為四大空間以外的第五空間。
布什總統在信息安全上弄得焦頭爛額,他的任期快到了,也解決不了問題,他希望下一屆總統解決這個問題。因此,就成立了《第44屆總統網絡空間安全委員會》,經過一年半的工作,形成了《提交第44屆總統的保護網絡空間安全的報告》。
報告引言:暗戰,以二戰時期“阿爾發和英格瑪”事件為警示,提出:網絡安全是美國在一個競爭更加激烈的新國際環境中面臨的最大安全挑戰之一,美國處于英格瑪被破境地。報告認為,過去20年來,美國一直在努力設計一種戰略來應對這些新型威脅和保護自身利益,但始終都不算成功。無效的網絡安全以及信息基礎設施在激烈競爭中受到攻擊,削弱了美國力量,使國家處于風險之中。
報告提出了十二項、25條建議,分別從制定戰略、設立部門、制定法律法規、身份管理、技術研發等方面進行了闡述。
尤其是第一條,建議設定一條基本原則,即網絡空間是國家一項關鍵資產,美國將動用國家力量的所有工具對其施以保護,以確保國家和公眾安全、經濟繁榮以及關鍵服務對美國公眾的順暢提供。
報告認為:僅僅靠自愿采取行動是遠遠不夠的。美國必須評估風險并按重要性對各種風險進行等級劃分,在此基礎上制定出保護網絡空間的最低標準,以確保網絡空間的關鍵服務即便在美國遭受攻擊的情況下也能不間斷地工作。
提出12項建議:
1、制定一項全面的網絡空間國家安全戰略
2、構建網絡空間安全機構
3、與私營部門的合作伙伴關系
4、網絡安全法規
5、保護工業控制系統和SCADA(監督、控制和數據采集系統)的安全
6、通過采購規則提高安全性
7、身份管理
8、法律法規現代化
9、修訂聯邦網絡空間安全管理法案
10、消除民用系統與國家安全系統的區別
11、網絡教育和勞動力發展培訓
12、網絡空間安全研發
(二)奧巴馬政府的戰略舉措
2008年12月,為了加深奧巴馬政府對信息安全現狀的認識,美國開展了為期2天的“模擬網絡戰”,總計有230名來自軍方、政府和企業的代表參與了這次演習活動。
演習結果認為,美國在網絡攻擊前抵抗能力很差,這為奧巴馬政府敲響了警鐘。
2009年5月26日,發布《總統關于白宮國土安全和反恐組織的聲明》,宣布一種將增強國家安全和國家保障的新方法。
主要決定重點解決機構問題
對白宮官員進行全面整合,以支持國家和國土安全。成立“國家安全參謀部”,由國家安全協調官領導,統一支持國土安全委員會和國家安全委員會。
在國家安全參謀部中新增人員和職務,用以處理21世紀所面臨的新挑戰,包括網絡安全、大規模殺傷性武器、恐怖主義,跨國界安全,信息共享和彈性政策,這些人員和職務具有對事件進行預防和響應的職能。
2009年2月9日,奧巴馬指示美國國家安全委員會和國土安全委員會負責網絡空間事務的代理主管梅利薩?哈撒韋主持組織對美國的網絡安全狀況展開為期60天的全面評估。經過幾個月的工作,2009年5月29日,奧巴馬在白宮東廳公布了名為《網絡空間政策評估——保障可信和強健的信息和通信基礎設施》的報告,并發表重要講話。
奧巴馬在演講詞中強調,美國21世紀的經濟繁榮將依賴于網絡空間安全。
他將網絡空間安全威脅定位為“我們舉國面臨的最嚴重的國家經濟和國家安全挑戰之一”,并宣布“從現在起,我們的數字基礎設施將被視為國家戰略資產。保護這一基礎設施將成為國家安全的優先事項。”
報告全長76頁,除前言、內容提要、簡介外,正文包括6個章節,分別是:
1、加強頂層領導。通過以下事項來加強對網絡空間安全的領導:設立一個總統的網絡空間安全政策官員和支持機構;審查法律和政策;加強聯邦對網絡空間安全的領導力,強化對聯邦的問責制;提升州、地方和部落政府的領導力。
2、建立數字國家的能力。提升公眾的網絡安全意識,加強網絡安全教育,擴大聯邦信息技術隊伍,使網絡安全成為各級政府領導人的一種責任。
3、共擔網絡安全責任。改進私營部門和政府的合作關系,評估公私合作中存在的潛在障礙,與國際社會有效合作。
4、建立有效的信息共享和應急響應機制。建立事件響應框架,加強事件響應方面的信息共享,提高所有基礎設施的安全性。
5、鼓勵創新。通過創新來解決網絡空間安全問題,制定全面、協調并面向新一代技術的研發框架,建立國家的身份管理戰略,將全球化政策與供應鏈安全綜合考慮,保持國家安全/應急戰備能力。
6、行動計劃。提出了近期行動計劃10項和中期行動計劃14項。
此外,美國政府發布的這份報告還在附錄回顧了現代通信技術在美國的發展情況以及信息安全相關法律和法規框架的制定情況。
報告強調:
1、國家現在處于一個十字路口;
2、現狀已不能再接受;
3、必須從今天開始全國性的網絡空間安全對話;
4、如果孤立地工作美國不可能成功地確保網絡空間的安全;
5、聯邦政府不能完全委托或取消其保護國家免受網絡事件或事故影響的角色;
6、與私營部門合作,必須定義下一代基礎設施的性能和安全目標;
7、白宮必須領導前進的道路。
內容導航
三、思考與啟示
1、充分認識信息安全國家戰略地位,全面落實27號文件各項工作,加快信息安全保障體系建設。應總結評估27號文件貫徹落實情況,提出新的戰略對策。
2、加強國家信息安全統一領導和協調,既要各職能部門做好本職工作,更要相互配合。國家必須統一領導和協調。國家應恢復國家網絡與信息安全協調小組和辦公室。
3、加快推進信息安全等級保護,從整體提高信息安全保障能力。技術與管理并重,控制源頭,內外兼防,克服盲目封堵、打補丁的被動局面。
4、加強以密碼技術為基礎的信息安全防護和網絡信任體系的建設。加大研發投入,從基礎技術上做到自主創新、自主可控。加快制定信息安全國家標準,加大力度推進可信計算技術等核心產業發展。
5、加快人才培養,增強全民安全意識。確定信息安全人才教育和培訓體系。信息安全應列為一級學科,培養各級專門人才,同時開展社會化的培訓和普及教育。
只有這樣,才能使我國的網絡安全做得越來越好,我講這么多,謝謝大家!
第四篇:論美國信息安全主導國家戰略
論美國信息安全主導國家戰略
—— 2009中國計算機網絡安全應急年會在長沙召開
十一年以前,我們就開始對美國的信息安全保障進行跟蹤、學習,我們對美國的信息安全保障問題很重視,用科學發展的態度不斷更新,不斷提高。下面,由中國工程院沈昌祥院士為大家介紹這方面的問題,以下為談話內容:
一、美國將網絡空間安全由“政策”、“計劃”提升到國家戰略。
美國將網絡安全列入國家計劃開始規劃,還認為不夠又提升為國家戰略。美國在克林頓政府時期就把建設信息保護作為根本政策,同時發現了很多的網絡安全問題。
1998年5月,克林頓政府發布了第63號總統令(PDD63):《克林頓政府對關鍵基礎設施保護的政策》,成為直至現在沒有政府建設網絡空間安全的指導性文件。
2000年1月,克林頓政府發布了《信息系統保護國家計劃V1.0》,提出了沒有政府在21世紀之初若干年的網絡空間安全發展規劃。
2001年10月16日,布什政府意識到了911之后信息安全的嚴峻性,發布了第13231號行政令《信息時代的關鍵基礎設施保護》,宣布成立“總統關鍵基礎設施保護委員會”,簡稱PCIPB,代表政府全面負責國家的網絡空間安全工作。委員會由克拉克擔任主席。
委員會成立以后,系統地總結了美國的信息網絡安全問題,提出了無數個問題向國民廣泛征求意見。征求意見以后,馬上頒布了《保護網絡空間的國家戰略》,這個《戰略》很有意思,主要從系統角度加以分辨保護,提出分為五級:第一級 家庭用戶與小型商業;第二級:大型企業;第三級:關鍵部門;第四級:國家的優先任務;第五級全球。
2003年2月,在征求國民意見的基礎上,發布了《保護網絡空間的國家戰略》的正式版本,對原草案版本做了大篇幅的改動,重點突出國家政府層面上的戰略任務,這是一個非常大的跨越。
新的《保護網絡空間的國家戰略》提出了三大戰略目標:
一是預防美國的關鍵基礎設施遭到信息網絡攻擊;
二是減少國家對信息網絡攻擊的脆弱性;
三是減少國家在信息網絡攻擊中遭受的破壞,減少恢復時間。
五項重點任務:
一是國家網絡空間安全響應系統;
二是國家網絡空間威脅和脆弱性減少項目;
三是國家網絡空間安全意識和培訓項目;
四是國家網絡空間安全保護政府網絡空間的安全;
五是國家安全和國際網絡空間安全合作。
2005年4月14日,美國政府公布了美國總統IT咨詢委員會2月14日向總統布什提交的《網絡空間安全:迫在眉睫的危機》的緊急報告,對美國2003年的信息安全戰略提出不同看法,指出過去十年中美國保護國家信息技術基礎建設工作是失敗的。短期彌補修復不解決根本問題。GIG耗資一千億美元,而安全問題沒有解決,仍是漏洞百出。(他們認為是不能用的)
當時,提出了四個問題和建議:
1、政府對民間網絡空間安全研究的資助不夠,建議每年撥NSF九千萬美金;
2、網絡空間安全基礎性研究團體規模小,七年時間團體規模擴大一倍;
3、安全研究成果的成功轉化不夠,政府加強在技術轉讓方面與企業的合作;
4、缺乏政府部門間協作與監管是安全對策無重點和無效率的根源;
5、建議成立“重要信息基礎設施保護跨部門工作組”。
2006年4月,信息安全研究委員會發布的《聯邦網絡空間安全及信息保護研究與發展計劃(CSIA)》確定了14個技術優先研究領域,13個重要投入領域。
為改變無窮無盡打補丁的封堵防御策略,從體系整體上解決問題,提出了十個優先研究項目,包括:認證、協議、安全軟件、整體系統、監控檢測、恢復、網絡執法、模型和測試、評價標準、非技術原因。
美國國防部2007年2月4日公布的《四年一度防務評審》報告非常關注網絡空間安全,提出加強網絡空間安全研究作為未來重點發展的作戰力量之一。
報告指出,網絡不僅是一種企業資產,還應作為一種武裝系統加以保護,如同國家其他的關鍵基礎設施那樣受到保護。針對當前和未來可能的網絡攻擊,報告重點提出了“設計、運行和保護網絡”,確保聯合作戰的需求。
美國總統簽署命令,擴大網絡監控范圍。
美國總統2008年1月8日簽署一項擴大情報機構監控因特網通信范圍的聯合保密指令,以防御對聯邦政府計算機系統日益增多的攻擊,這項指令授權以國家安全局為首的情報部門監控整個聯邦機構計算機網絡。指令的具體內容保密。這項行動將花費數十億美金,資金將列入2009年財政預算中。
國土安全局將收集和監控入侵的數據,配置防御攻擊和加密數據的技術。另外國土安全局還將致力于把政府因特網端口從2000個減少至50個。
同時,為了進一步加強政府核心部分的防范,發布了總統54號令,這個令是保密的。我們了解到主要是“設立了綜合性國家網絡安全計劃”,主要對政府系統加以進一步地防范。還拓展了國家安全局對政府信息系統安全的主管權力。
二、美國網絡空間安全當前的戰略
(一)美國網絡空間安全戰略
網絡空間指全球互聯的數字信息,也是對通信技術設施的總稱,稱為四大空間以外的第五空間。
布什總統在信息安全上弄得焦頭爛額,他的任期快到了,也解決不了問題,他希望下一屆總統解決這個問題。因此,就成立了《第44屆總統網絡空間安全委員會》,經過一年半的工作,形成了《提交第44屆總統的保護網絡空間安全的報告》。
報告引言:暗戰,以二戰時期“阿爾發和英格瑪”事件為警示,提出:網絡安全是美國在一個競爭更加激烈的新國際環境中面臨的最大安全挑戰之一,美國處于英格瑪被破境地。
報告認為,過去20年來,美國一直在努力設計一種戰略來應對這些新型威脅和保護自身利益,但始終都不算成功。無效的網絡安全以及信息基礎設施在激烈競爭中受到攻擊,削弱了美國力量,使國家處于風險之中。
報告提出了十二項、25條建議,分別從制定戰略、設立部門、制定法律法規、身份管理、技術研發等方面進行了闡述。
尤其是第一條,建議設定一條基本原則,即網絡空間是國家一項關鍵資產,美國將動用國家力量的所有工具對其施以保護,以確保國家和公眾安全、經濟繁榮以及關鍵服務對美國公眾的順暢提供。
報告認為:僅僅靠自愿采取行動是遠遠不夠的。美國必須評估風險并按重要性對各種風險進行等級劃分,在此基礎上制定出保護網絡空間的最低標準,以確保網絡空間的關鍵服務即便在美國遭受攻擊的情況下也能不間斷地工作。
提出12項建議:
1、制定一項全面的網絡空間國家安全戰略
2、構建網絡空間安全機構
3、與私營部門的合作伙伴關系
4、網絡安全法規
5、保護工業控制系統和SCADA(監督、控制和數據采集系統)的安全
6、通過采購規則提高安全性
7、身份管理
8、法律法規現代化
9、修訂聯邦網絡空間安全管理法案
10、消除民用系統與國家安全系統的區別
11、網絡教育和勞動力發展培訓
12、網絡空間安全研發
(二)奧巴馬政府的戰略舉措
2008年12月,為了加深奧巴馬政府對信息安全現狀的認識,美國開展了為期2天的“模擬網絡戰”,總計有230名來自軍方、政府和企業的代表參與了這次演習活動。
演習結果認為,美國在網絡攻擊前抵抗能力很差,這為奧巴馬政府敲響了警鐘。
2009年5月26日,發布《總統關于白宮國土安全和反恐組織的聲明》,宣布一種將增強國家安全和國家保障的新方法。
主要決定重點解決機構問題
對白宮官員進行全面整合,以支持國家和國土安全。成立“國家安全參謀部”,由國家安全協調官領導,統一支持國土安全委員會和國家安全委員會。
在國家安全參謀部中新增人員和職務,用以處理21世紀所面臨的新挑戰,包括網絡安全、大規模殺傷性武器、恐怖主義,跨國界安全,信息共享和彈性政策,這些人員和職務具有對事件進行預防和響應的職能。
2009年2月9日,奧巴馬指示美國國家安全委員會和國土安全委員會負責網絡空間事務的代理主管梅利薩?哈撒韋主持組織對美國的網絡安全狀況展開為期60天的全面評估。
經過幾個月的工作,2009年5月29日,奧巴馬在白宮東廳公布了名為《網絡空間政策評估——保障可信和強健的信息和通信基礎設施》的報告,并發表重要講話。
奧巴馬在演講詞中強調,美國21世紀的經濟繁榮將依賴于網絡空間安全。
他將網絡空間安全威脅定位為“我們舉國面臨的最嚴重的國家經濟和國家安全挑戰之一”,并宣布“從現在起,我們的數字基礎設施將被視為國家戰略資產。保護這一基礎設施將成為國家安全的優先事項。”
報告全長76頁,除前言、內容提要、簡介外,正文包括6個章節,分別是:
1、加強頂層領導。通過以下事項來加強對網絡空間安全的領導:設立一個總統的網絡空間安全政策官員和支持機構;審查法律和政策;加強聯邦對網絡空間安全的領導力,強化對聯邦的問責制;提升州、地方和部落政府的領導力。
2、建立數字國家的能力。提升公眾的網絡安全意識,加強網絡安全教育,擴大聯邦信息技術隊伍,使網絡安全成為各級政府領導人的一種責任。
3、共擔網絡安全責任。改進私營部門和政府的合作關系,評估公私合作中存在的潛在障礙,與國際社會有效合作。
4、建立有效的信息共享和應急響應機制。建立事件響應框架,加強事件響應方面的信息共享,提高所有基礎設施的安全性。
5、鼓勵創新。通過創新來解決網絡空間安全問題,制定全面、協調并面向新一代技術的研發框架,建立國家的身份管理戰略,將全球化政策與供應鏈安全綜合考慮,保持國家安全/應急戰備能力。
6、行動計劃。提出了近期行動計劃10項和中期行動計劃14項。
此外,美國政府發布的這份報告還在附錄回顧了現代通信技術在美國的發展情況以及信息安全相關法律和法規框架的制定情況。
報告強調:
1、國家現在處于一個十字路口;
2、現狀已不能再接受;
3、必須從今天開始全國性的網絡空間安全對話;
4、如果孤立地工作美國不可能成功地確保網絡空間的安全;
5、聯邦政府不能完全委托或取消其保護國家免受網絡事件或事故影響的角色;
6、與私營部門合作,必須定義下一代基礎設施的性能和安全目標;
7、白宮必須領導前進的道路。
三、思考與啟示
1、充分認識信息安全國家戰略地位,全面落實27號文件各項工作,加快信息安全保障體系建設。應總結評估27號文件貫徹落實情況,提出新的戰略對策。
2、加強國家信息安全統一領導和協調,既要各職能部門做好本職工作,更要相互配合。國家必須統一領導和協調。國家應恢復國家網絡與信息安全協調小組和辦公室。
3、加快推進信息安全等級保護,從整體提高信息安全保障能力。技術與管理并重,控制源頭,內外兼防,克服盲目封堵、打補丁的被動局面。
4、加強以密碼技術為基礎的信息安全防護和網絡信任體系的建設。加大研發投入,從基礎技術上做到自主創新、自主可控。加快制定信息安全國家標準,加大力度推進可信計算技術等核心產業發展。
5、加快人才培養,增強全民安全意識。確定信息安全人才教育和培訓體系。信息安全應列為一級學科,培養各級專門人才,同時開展社會化的培訓和普及教育。
只有這樣,才能使我國的網絡安全做得越來越好,我講這么多,謝謝大家!
第五篇:國家知識產權戰略實施推進計劃2010
2010年國家知識產權戰略實施推進計劃
為全面推進2010年國家知識產權戰略實施工作,按照國家知識產權戰略實施工作部際聯席會議的部署,國家知識產權戰略實施部際聯席會議28個成員單位共同研究制定了《2010年國家知識產權戰略實施推進計劃》(以下簡稱《2010年推進計劃》),并于3月26日印發實施。
《2010年推進計劃》在總結2009年戰略實施成績的基礎上,結合當前形勢和我國發展目標,確定2010年戰略實施的工作重點是:全面落實《國家知識產權戰略綱要》部署,鼓勵知識產權創造和運用,依法加強知識產權保護,夯實知識產權戰略實施工作基礎,推動知識產權戰略更有效實施,為促進經濟發展方式轉變和經濟結構調整發揮更大作用。
《2010年推進計劃》從提升知識產權創造能力、鼓勵知識產權轉化運用、加快知識產權法制建設、提高知識產權執法水平、加強知識產權行政管理、發展知識產權中介服務、加強知識產權人才隊伍建設、推進知識產權文化建設、擴大知識產權對外交流合作等九方面提出具體措施。
《2010年國家知識產權戰略實施推進計劃》(要點)
全面落實《國家知識產權戰略綱要》部署,鼓勵知識產權創造和運用,依法加強知識產權保護,夯實知識產權戰略實施工作基礎,推動知識產權戰略更有效實施,為促進經濟發展方式轉變和經濟結構調整發揮更大作用。
(一)鼓勵知識產權創造和運用,提高自主知識產權水平
1.通過政策引導、資金扶持,推動重點技術領域自主知識產權創造水平提高和具有自主知識產權重大創新成果產業化。
2.圍繞國家科技重大專項、產業調整振興規劃和培育戰略性新興產業部署,建設知識產權工作機制,強化知識產權管理。
3.引導和支持市場主體加大知識產權投入,鼓勵企業、高校、科研單位等在國內外獲取知識產權。
4.完善知識產權投融資體制,拓展知識產權投融資渠道,積極搭建知識產權交易平臺,創新交易產品和服務內容。
5.加大行業知識產權工作力度,積極開展知識產權分析和預警工作,提升行業重點領域核心競爭力。
6.積極發揮知識產權在區域經濟協調發展中的促進作用,引導開發和運用具有區域特色的知識產權。
(二)依法加強知識產權保護,完善知識產權法治環境
1.加快知識產權法律、法規和規章制定工作,加快知識產權司法解釋、規范
性文件出臺。
2.完善知識產權審判體制和工作機制,積極開展由知識產權庭集中審理知識產權民事、行政和刑事案件的試點,調整知識產權民事案件級別管轄標準。
3.加大知識產權侵權犯罪懲處力度,降低維權成本,提高侵權代價,遏制侵權行為。
4.提高知識產權執法水平,推動建設行政執法和刑事司法銜接機制。
5.推動執法規范化建設,加強知識產權日常執法和專項整治行動力度,做好世博會知識產權保護工作。
(三)夯實知識產權戰略實施工作基礎,積極營造有利于實施知識產權戰略的環境
1.完善部際聯席會議統籌協調、各地區各部門分工負責、協同推進的實施知識產權戰略工作體系。
2.加強戰略實施平臺建設,建立健全戰略信息溝通機制、績效評估機制、工作督察機制。
3.積極出臺實施知識產權戰略相關配套政策,并確保各項措施切實落實。
4.全面推進知識產權“十二五”規劃編制工作。
5.加快培養知識產權人才,推動國家知識產權戰略人才培養基地建設。
6.加強知識產權文化建設,積極宣傳我國知識產權戰略實施的典型經驗和知識產權保護成果,增強全社會創造、運用、保護知識產權意識。
7.努力拓展知識產權對外交流與合作,積極參與國際規則制定,加強海外知識產權維權和服務,妥善處理知識產權爭端,引導企業積極參與國際知識產權競爭與合作。
點擊咨詢 