美國國家網絡安全促進委員會報告《加強國家網絡安全
——促進數字經濟的安全與發展》（編譯）

美國國家網絡安全促進委員會報告《加強國家網絡安全
——促進數字經濟的安全與發展》（編譯）

2016年12月1日，奧巴馬總統直屬的美國國家網絡安全促進委員會（以下簡稱“委員會”）發布了《加強國家網絡安全——促進數字經濟的安全與發展》報告，提出關于網絡安全建設的建議，希望下一屆政府繼續將網絡安全置于美國國家安全的優先位置。委員會表示，考慮到網絡安全問題的緊迫性，大部分建議可以而且應該在短期內開始，下一任新政府應在執政頭100天即啟動計劃。

以下為該報告的簡要編譯。

一、委員會成員

委員會主席托馬斯?多尼隆，美邁斯律師事務所副主席，總統奧巴馬的前國家安全顧問；

委員會副主席彭明盛，IBM公司前董事長和CEO；

基思?亞歷山大，IronNet Cybersecurity創始人兼CEO，前國家安全局局長，美國網絡空間司令部前司令；

安妮?安頓，美國佐治亞理工學院互動計算學院院長；

彭安杰，萬事達公司總裁兼CEO；

史蒂文?查彬斯基，美國偉凱律師事務所全球數據、隱私和網絡安全主席；

派崔克?蓋勒，匹茲堡大學校長，標準與技術研究所前所長；

彼得?李，微軟研究院副總裁；

林赫伯，斯坦福大學國家安全與合作中心網絡政策與安全高級研究學者；

希瑟?穆倫，美國金融危機調查委員會前專員，內華達癌癥研究所創始人，美林證券全球消費品研究前總經理；

蘇利文，Uber公司首席安全官；

馬吉?維爾德羅特，Grand Reserve酒店主席兼CEO，邊際通訊公司前執行主席。

另：基爾斯滕·托德，加強國家網絡安全委員會執行委員

二、報告形成過程

2016年2月9日，奧巴馬公布13718行政命令《網絡安全國家行動計劃》（以下簡稱“行動計劃”），總結其執政7年的網絡治理經驗，從提升聯邦政府網絡安全能力、加大網絡安全資金投入、增強關鍵基礎設施安全性和恢復能力、提升網絡事件響應能力以及保護個人隱私等方面提出建議。本報告是《行動計劃》的一部分。

因為認識到互聯技術給數字經濟帶來的非凡利益，同時注意到隨之而來的網絡環境安全威脅構成的挑戰，奧巴馬總統成立了加強國家網絡安全委員會。指示其評估國家的網絡安全狀況，制定切實可行的建議，確保數字經濟安全?？偨y要求加強網絡安全的同時要保護隱私，確保公共安全和經濟、國家安全，并促進發現和發展新的技術解決方案。

委員會中4人由參議院兩黨領導人和眾議院代表推薦，其他人由總統選定。部分聯邦機構提供主題相關專家和其他工作人員協助委員會收集和分析信息。這些機構包括商務部的國家標準與技術研究所（NIST），擔任該委員會的秘書處；美國國土安全部（DHS）；國防部（DoD）；司法部（DOJ）；總務管理局（GSA）和財政部。所有工作人員在委員會指示下工作。

根據行政命令，委員會確定了10個網絡安全主題：

?聯邦治理

?關鍵基礎設施

?網絡安全研發

?網絡安全的勞動力

?身份管理和認證

?物聯網

?宣傳和教育

?州和地方政府的網絡安全

?預防措施

?國際問題

委員會主要做了三方面工作：

1.舉辦了6次全國公開聽證會，收集主題相關信息。

2.審查聯邦行政和立法部門以及私營部門過去編制的報告，從全國各地的網絡安全狀況綜合分析到具體領域的高度針對性分析。

3.發布公開征集意見，邀請廣大市民共享事實和意見。

委員會還考慮了更廣泛的影響這些主題的趨勢和問題，特別是信息技術與物理系統的融合，風險管理，隱私和信任，全球和國家領域的影響和控制，自由市場的有效性比較監管制度以及解決方案，法律和責任的考慮，以及開發有意義的網絡安全衡量標準的重要性和困難性，基于網絡安全方法的自動化技術，和消費者責任。

三、主要內容

（一）確認維護數字經濟安全與發展的基本原則

1.互聯網與現實世界的日益融合、相互聯系、相互依存和全球化性質，意昧著網絡安全必須在國際的、國家的、組織的以及個人的所有環境中更好地管理。

2.作為全球創新領袖，美國亦必須是網絡安全規則制定的旗手，這需要政府持續加大研究力度，加強國際合作。

3.政府是國家國防和安全的最終責任者，特別是在快速變化的關鍵基礎設施保護上負有重大運營責任。政府需要理清各部門的相關職責，包括更好地界定政府（包括個體機構）的角色和職責，解決缺失或脆弱的能力，以及確認和創造執行這些活動所需的能力。

4.網絡安全事件發生前后的公私合作對于創建和維護一個可防御的、有彈性的網絡環境至關重要。

5.每個企業網絡安全風險管理與治理戰略的相關責任、授權、能力以及問責需清晰且一致。

6.持續提高公眾的網絡安全意識與能力，并將其塑造為國家網絡安全保障的主要參與者。

7.人類的行為和技術是互相交織的，是影響網絡安全的重要因素，因此，網絡安全技術與產品應使安全行為易行，危險動作難做。

8.在構思網絡相關技術和政策的最初就要考慮安全、隱私和互信。提高透明度和問責制將改善隱私和信任，維護公民自由。

9.中小企業是網絡安全，特別是供應鏈安全中，必不可少的利益攸關方，因此，需特別考慮其網絡安全訴求。

10.堅持市場激勵為主，政策規制為輔，綜合運用各項激勵政策。

（二）確定實現網絡安全和保障數字經濟的主要挑戰

1.在巨大市場壓力下，科技公司急于快速創新和推向市場，往往以犧牲網絡安全為代價；

2.組織機構及其員工需要靈活和移動的工作環境，但移動設備的安全往往不像其他計算平臺的安全性那樣被同等重視?？傊?，安全邊界的傳統概念在很大程度上已經過時了；

3.大部分組織和個人仍未做到優先考慮基本的網絡安全行動，仍漠視基本的防護措施；

4.網絡空間攻防雙方均可受益于技術創新；

5.網絡空間易攻難守，攻擊一個系統的成本僅為其防衛的一小部分，攻擊者更具優勢；

6.技術的復雜化催生了網絡安全漏洞的增長，成倍擴大了網絡風險的機會；

7.在萬物互聯時代，供應鏈風險無處不在；

8.政府在運作上對網絡空間的依賴導致其面臨更大的網絡安全挑戰；

9.數據的泄露、濫用和被操縱極大地影響了網絡空間的互信，實施信任措施成為當務之急。

（三）確定6項必要事項以及16項建議和53項行動項目

1.保護、防御并保護當今信息基礎設施和數字網絡。

私營部門和政府應該在提高數字網絡安全的路線圖上進行合作，特別是構建強健的網絡，抵抗對用戶和國家的網絡基礎設施的拒絕服務攻擊、電子詐騙和其他攻擊。

隨著互聯網和現實世界的日益融合，聯邦政府應與私營部門密切合作，建立保護關鍵基礎設施的新模式。

下一屆政府應啟動一個全國性的公私合作倡議，增加使用強認證提高身份管理，借此實現較大范圍的安全和改善隱私。

下一屆政府應積極維持和增加使用“關鍵基礎設施網絡安全框架”，以此為基礎降低關鍵基礎設施內外的風險。

下一屆政府應該制定具體的扶持力度，加強中小企業的網絡安全。

2.創新并加速安全、數字網絡發展和數字經濟投資。

聯邦政府和私營部門的合作伙伴必須攜手合作，迅速而有針對性地提高物聯網的安全。

聯邦政府應該將開發經濟實惠、安全可靠、有韌性的系統列為網絡安全研發的當務之急。

3.幫助消費者在數字時代獲得更多實惠。

信息技術和通信部門的企業領導需要與消費者組織和聯邦貿易委員會合作為消費者提供更好的信息，便于他們在采購和使用網絡產品和服務時能夠做出明智的決定。

聯邦政府應該建立、加強和擴大對消費者的研究項目投資，更深入地了解消費者行為習慣及其與物聯網等連接技術的相互作用，提高網絡安全以及消費產品和數字技術的可用性。

4.加強網絡安全勞動力建設。

國家應積極通過能力建設解決勞動力缺口，同時投資那些將重新分配未來所需勞動力的創新項目。

5.更好地讓政府在數字時代安全有效行使職責。

聯邦政府應該利用其能力鞏固基本的網絡運營，分享部分信息技術基礎設施。

總統和國會應促進網絡技術的采用，加快技術在聯邦部門更新的速度。

將聯邦機構的網絡安全需求管理方法轉變為企業化風險管理模式。

聯邦政府應該使網絡安全責任更好地配合總統行政辦公室的結構和職位。

各級政府必須澄清各部門和機構的網絡安全任務責任，以保護、防御、應對網絡事件并及時恢復。

6.確保開放、公平、競爭、安全的全球數字經濟。

政府應鼓勵和積極配合國際社會創建和協調關于網絡安全法和全球行為規范的網絡安全政策、措施和共同的國際協議。

(整理：陳帥 責任編輯：李曉暉)