美国网络安全政策审议报告

时间:2019-05-14 01:18:09下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《美国网络安全政策审议报告》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《美国网络安全政策审议报告》。

第一篇:美国网络安全政策审议报告

网络安全保护不力成为奥巴马政府面临的最紧迫的国家安全问题之一。因此,报告通过对与信息和通信基础设施有关的所有任务和活动进行评估,就未来如何实现拥有可靠、有韧性和值得信赖的数字基础设施进行说明。报告主要以五个主题介绍调查结果和行动方案:一是最高层实施领导,二是打造数字化国家的能力,三是共同承担网络安全责任,四是建立有效信息共享和事件反应框架,五是构筑未来架构。此外,报告还就行动计划提出近期和中期建议。报告指出,保护网络空间需要有先见之明的领导,需要在政策、技术、教育乃至法律等方面进行变革。此外,政府最高领导层、产业界和民间社会要共同致力于网络安全,使美在加强国家安全和促进全球经济的同时,继续在创新和尖端技术运用方面保持领先地位。

【本刊讯】美国白宫网站5月29日发表一份报告,题为《网络空间政策评估》,副题为《确保拥有可靠的和有韧性的信息与通信基础设施》,全文如下:

前 言

网络空间几乎涉及到每个人和每件事。网络空间提供了一个创新与繁荣的平台,提供了全世界改善整体福利的方法与途径。但是由于很多人都可以轻而易举地触及到管控松散的数字基础设施,各种巨大的风险正在对国家、私营企业和个人权利构成威胁。美国政府有责任解决这些网络空间的战略缺陷及弱点,确保美国及其公民与世界更多的国家共同充分发挥潜力,实现信息技术革命。

主要以国际互联网为基础的国家数字基础设施架构并不具有安全性,或者说韧性比较差。如果这些系统在安全上没有取得重大进展,或在如何构建和运营上没有实现重大改观,很难让人相信美国能够保护自己免受网络犯罪日益严重的威胁,免遭由国家支持的入侵和军事行动的日益严重威胁。我们的数字基础设施早已经遭受到入侵,犯罪分子已经窃取了亿万美元,一些国家和机构团体盗取了知识产权和敏感的军事情报。还有的入侵可能会损坏我们部分关键基础设施。美国的经济和安全利益都是以信息系统为基础,这些形形色色的风险有可能会动摇国家对信息系统的信赖。联邦政府还没有组织起来有效地解决这个目前或在未来日益严重的问题。联邦政府很多部门和机构都担负有网络安全的责任,但存在职权重叠的问题,没有一个部门拥有足够的决策权来指挥行动,协调一致地去处理相互矛盾的问题。政府需要综合考虑各方竞争的利益,制定出一个全面设想和计划,以解决美国面临的网络安全问题。国家需要制定出必要的政策和程序,培养相关人才和发展相关技术,以降低网络安全所面临的风险。

无论是在美国国内还是在国际上,信息和通信网络基本上是归私营部门所有并经营的。因此,解决网络安全问题需要建立起政府和私营部门两者之间的伙伴关系,要进行国际合作并制订国际准则。美国需要拥有一个全面的架构,以确保政府、私营部门和我们的盟国在发生重大网络事件或威胁时,协调一致地做出反应和进行防御。

美国需要开展一次全国性的网络安全讨论,从而使更多的民众认识到网络威胁与网络风险,以确保拥有一套完整的办法来满足国家对网络安全的需要,并履行国家做出的承诺,维护受宪法和法律保护的公民个人隐私权和自由权。

确保信息和通信基础设施安全并具有较强的韧性,仅仅依靠研究新的办法是远远不够的。政府需要加大研究经费投入,这将有助于解决网络安全上存在的弱点,同时也能满足我们经济和国家安全的需要。

概 述

总统指示要在60天内完成一份全面、全新的评估报告,对美国网络安全政策和组织结构进行评估。网络安全政策包括网络空间安全和网络空间运行的战略、方针及标准,涵盖了所有的降低威胁、减少弱点、威慑、国际参与、应急反应、确保韧性及恢复能力的政策与行动,并包括计算机网络运行、信息安全保障、执法、外交、军事和情报工作等。这些要素与全球信息与通信基础设施的安全与稳定息息相关。评估报告研究的内容并不包括与国家安全或基础设施安全无关的其它信息与通信政策。由政府网络安全专家组成的评估小组负责汇总产业界、学术界、公民自由与隐私维权团体、州政府、国际合作伙伴,以及国家立法和行政部门提出的具有广泛代表性的意见和建议。本文对评估小组的结论进行了综述,并概括地说明了在未来如何开始实现拥有可靠、有韧性和值得信赖的数字基础设施。

美国正处在十字路口。全球互联的数字信息与通信基础设施被称为“网络空间”。现代社会的方方面面几乎都离不开网络空间。网络空间对美国经济、民用基础设施、公共安全和国家安全提供了重要的支撑。这项技术已经使全球经济发生了改变,使人们以难以想象的方式联系在一起。然而,网络安全的风险也构成了二十一世纪最严峻的经济挑战和国家安全挑战。数字基础设施架构的构筑更多的是基于互通性和效率上的考虑,而不是从安全的角度进行考量的。因此,越来越多的国家和非国家行为体开始破坏、盗窃、篡改或毁坏信息,这会给美国的系统造成重大破坏。与此同时,传统的电信和互联网日益融为一体,而在其它基础设施领域,互联网正日益成为互联互通的主要手段。美国正面临着双重挑战,既要维护促进高效、创新、经济繁荣和自由贸易的良好环境,又要确保安全、保密,维护公民自由和隐私权。解决网络空间存在的战略漏洞,并确保美国和世界充分发挥潜能实现信息技术革命,这是我们政府的一个基本责任。

再也不能容忍目前的状况。美国必须向世界表明,美国将凭借强有力的领导和对远景的规划,严肃认真地迎接这一挑战。顶层领导应该得到加强,白宫应成为网络安全领导核心,提供指导,协调行动,并取得成效。此外,要落实联邦政府网络安全的领导责任制。这种方法要求明确联邦政府各部门和机构的网络安全任务和职责,同时提供相关政策、法律程序和必要的协调,使各部门能够各司其职。在过去的两年中,我们已经开始实施重大的计划,并通过对各机构的不同任务进行“衔接”而取得了长足的进步,但这样做并没有提供一个完备的解决办法。此外,这一问题超越了各个政府部门和机构的管辖范围。尽管每个部门和机构在网络安全方面都发挥着不可替代的作用,但任何一个部门都不具备足够广阔的视野或足够的权威,来彻底解决这个问题。

立即启动全国网络安全大讨论。美国政府应该与业界共同向民众解释清楚这个挑战的性质,并详细说明国家将通过何种方式来解决面临的问题。从某种程度上讲,也就是让美国公民充分认识采取行动的必要性。人们若不先了解网络问题的危急程度就不可能重视网络安全。因此,联邦政府应借鉴以往成功的宣传经验,发起一个全国性的网络空间安全公众意识教育运动。此外,与1957年10月苏联发射第一颗人造地球卫星后的一段时间类似,我们正面临一场全球数学和科学技能竞赛。我们继续拥有世界上最好的信息技术产业环境,但同时国家应培养参加全球竞争并保持领导地位所必需的劳动大军。

孤军奋战不可能保证网络空间安全。美国政府应加强与私营部门的合作。政府部门与私营部门的利益是交织在一起的,它们的共同责任就是确保拥有安全、可靠的基础设施。联邦政府在很多方面是可以与私营部门合作的。政府应该探究和开发那些可供选择的办法。政府与私营部门网络安全的合作伙伴关系必须得以发展,并清晰地界定这种关系的性质,包括明确各自的分工和职责。联邦政府应审查现有的政府与私营企业的合作伙伴关系,确定优先任务,采取具体行动,以发挥最大的效能。

美国还需要制定一个网络安全战略,以塑造国际环境,使志同道合的国家就领土管辖权、主权责任与动用军队的相关技术标准和公认法律规范等一系列问题达成共识。国际规范对于建立安全和繁荣的数字基础设施是至关重要的。此外,各个国家和地区不同的法律规定和做法也给创造安全、保密和值得信赖的网络环境带来严重挑战。这些法律上的差异对实现安全、可靠和有韧性的数字环境构成了挑战,并涉及到网络犯罪调查与起诉、数据保存、数据保护和数据隐私权、网络防御和应对网络攻击的反应等等一系列问题。只有通过与国际合作伙伴的共同努力,美国才有可能更好地应对这些挑战,加强网络安全,并全面享用数字时代带来的巨大利益。

在保护国家免遭网络事件或事故冲击方面,联邦政府既不能全部包办也不能回避职责。联邦政府担负有保卫国家的责任,各级政府担负着确保公民安全和福祉的责任。但是,私营部门设计、建造、拥有并经营着大部分的数字基础设施,为政府和私人使用者提供网络支持。美国需要有一个全面的框架方案,以确保在遇有重大事件发生时,联邦、州、地方和原住民保留地政府,以及私营部门和国际盟友做出协调一致的反应。执行本框架方案需要制订报告制度、针对不同情况的应急计划和灾后恢复计划,以及完成这些计划所必需的协调、信息共享和事件报告机制。

政府与重要的利益攸关方应共同努力,设计一个有效的机制以实现真正共同运作的构想,将政府和私营部门的信息整合成一体,并以此作为信息通畅、按轻重缓急顺序推进减灾工作和做出应急反应决策的基础。

与私营部门合作要求明确下一代基础设施的性能和安全目标。美国应充分利用技术优势满足国家经济和安全需要。即使面对敌人利用先进技术实施的攻击,联邦政府制定的政策也应该能够保证国家安全、知识产权保护和基础设施的不间断工作。联邦政府必须与私营部门及学术界合作,阐明协调一致的国家信息和通信基础设施的性能和安全目标。应与州、地方政府通力合作,制订有效的采购战略,推动市场制造更安全的产品并为公众提供各种有效的服务。政府还应探索另外的一些激励机制,包括调整法律责任(安全改善后责任减少,安全条件差则导致责任增加)、补偿及税收优惠、以及新的监管规定和执行机制等。

白宫必须指明前进的道路。在过去15年里,国家采取的网络安全措施没能跟上威胁的发展变化。我们需要向国内外证明,美国是在认真地对待网络安全相关的问题、政策和活动。这就要求由白宫挂帅,充分利用整个国家的力量,做到集思广益。

导 言

什么是网络空间:第54号国家安全总统令暨第23号国土安全总统令将网络空间定义为:信息技术基础设施相互依存的网络,包括互联网、电信网、电脑系统以及重要产业中的处理器和控制器。常见的用法还指信息虚拟环境以及人与人之间的互动。

全球相互联接的数字信息和通信基础设施被称之为“网络空间”。它几乎成为现代社会各领域的基础,并为美国经济、民用基础设施、公共安全和国家安全提供重要的支撑。信息技术已经改变了全球的经济,并超乎想象地把人和市场联接在一起。为充分享用数字革命带来的好处,所有用户必须树立起坚强的信心,确信敏感信息是安全的,商业活动不会受到损害和基础设施不会遭到入侵。世界各国还需要树立信心,相信支持其国家安全和经济繁荣的网络是安全的、有韧性的。拥有可靠的通信与信息基础设施将会确保美国充分发挥信息技术革命的潜力。第四十四届总统网络安全委员会在2008年12月的报告中明确指出,“美国网络安全保护不力是新一届美国政府所面临的最紧迫的国家安全问题之一”。

保护网络空间需要具有卓越的先见之明和强有力的领导,需要在政策、技术、教育乃至法律等方面进行变革。政府最高领导层、产业界和民间社会共同致力于网络安全,这会使美国在加强国家安全和促进全球经济的同时,继续在创新和尖端技术运用方面保持领先地位。

评估的理由

网络威胁对21世纪美国和我们盟友的经济和国家安全构成了最严重的挑战。

越来越多的国家和非国家行为体,如恐怖分子和国际犯罪集团,开始把攻击目标对准了美国的公民、商业、重要的基础设施和政府。他们有能力危害、窃取、篡改或完全毁坏信息。持续非法利用信息网络和破坏敏感数据等行为,特别是由国家实施的破坏行动,使美国经济竞争力和军事技术优势蒙受损失。正如国家情报总监最近在国会作证时所陈述的那样:“信息系统、互联网和其它基础设施之间越来越多地联接在一起,为攻击者破坏电信、电力、能源管道、炼油厂、金融网和其它关键基础设施创造了机会”。情报界分析认为,一些国家早已拥有了实施这种攻击的技术能力。

日趋复杂、广泛的犯罪活动,以及网络事件所造成的危害凸显出网络空间恶意行为的危害性,包括损害美国的竞争力、降低对隐私和公民自由的有效防护、破坏国家的安全或使公众失去信任感,甚至瘫痪社会。例如:

关键基础设施失灵。根据中央情报局报告,针对信息技术系统进行的恶意活动,已经使海外多个地区的供电设施遭到破坏。在其中的一起案例中,恶意行为曾导致多个城市断电。

恶意利用全球金融服务。据媒体报道,2008年11月,一家国际银行付款处理器遭到恶意侵犯,导致遍布49个城市的130多台自动取款机非正常交易达半小时之久。在媒体报道的另一起案件中,一家美国零售商在2007年遭遇了数据被破坏和个人身份识别信息丢失的恶性事件,殃及4500万张信用卡和借记卡。

美国经济遭受全面损失。业界估计,知识产权与数据失窃在2008年给美国造成了高达1万亿美元的损失。

本报告中提及的网络安全政策,包括了网络空间安全和网络运营战略、政策和标准,并涵盖了全面降低威胁、减少弱点、实施威慑、国际参与、应急反应、韧性和恢复政策及行动;还包括与全球信息与通信基础设施的安全与稳定息息相关的计算机网络运行、信息安全保障、执法、外交、军事和情报活动,但并不包括与国家安全及基础设施安全无关的其它信息与通信政策。

全新的评估

因为认识到所面临的挑战与机遇,总统将网络安全确定为本届政府的优先议题,并指示对此进行60天的全面审查,以评估美国网络安全政策与结构。评估与信息和通信基础设施有关的所有任务和活动,包括计算机网络防御、执法调查、军事与情报活动,以及与之有关的信息安全、反间谍,反恐、电信政策和综合的关键基础设施保护等方面内容。由政府网络安全专家组成的评估小组彻查了相关的总统政策令、行政命令、国家战略和政府顾问委员会及私营部门提供的研究报告。评估小组还向政府部门和机构征求了意见,让它们按要求就各自与网络安全相关的特别活动、权限和能力提供材料,并要求政府部门和机构确认那些可能没有列入评估初稿之中的新的需求或已存在的需求。于是很多的法律问题浮出水面,如集中管理问题,政府使用什么样机构来保护私有重要基础设施,互联网监控软件的安装,自动攻击检测和预警的应用,联邦政府与第三方数据共享和私人信息的保护责任等。评估小组还与联邦政府内外广大利益攸关方进行了沟通。小组力争透明,与产业界、学术界、公民自由与隐私社团、州政府、国际合作伙伴以及立法和行政部门广泛沟通,分析与评估其它相关的计划和事务。面对各方———学术界、产业界和政府———一道努力建立值得信赖和富有韧性的通信与信息基础设施的难得机会,评估小组给这些利益攸关方规定了评估的范围,并要求它们就相关领域提供材料。这种沟通工作包括40多次会议,形成了100多份带有具体建议和目标的文件。相关各方的反馈和公开说明,如国会证词等有助于确定重大需求,指明政策差距,提出改进或合作的领域,并为与网络空间安全相关的政策决策提供了参考。

评估小组发现,在整个信息和通信基础设施发展过程中,各部门和机构的任务与职权是依据当时管理多样化和分散的技术及产业的法律和政策确定的。而由此产生的各项计划主要是用于处理当时的特定问题,未必适应今天对数字化信息高度依赖的现实。

技术对国家和经济安全的影响促使联邦政府调整法律和组织机构,以适应形势发展。例如:

在1918年的一个联合决议案中,国会授权总统掌控美国所有电报系统,并根据需要在第一次世界大战期间使用电报系统。

1934年《通信法》决定由联邦无线电通信委员会组建联邦通信委员会,并为所有电报和无线电通信建立完备的规章制度,对此类技术的后继发展产生了深远的影响。

1965年《布鲁克斯法案》规定国家标准局———现在的商务部国家标准与技术研究院———负责制定自动数据处理标准和联邦计算机系统相关准则。

1984年,第12472号行政命令重新将美国国家通信系统特许经营权赋予联邦政府,作为满足国家安全和应急备用之需的联邦电信财产。2003年,美国国土安全部接管了美国国家通信系统的经营权。

1994年,美国国务院根据《对外关系授权法》,负责管理与国际通信和信息政策有关的外交政策。

要解决“谁负责”的问题,就必须解决政府部门和机构间任务和职权分配问题,特别是在电信网络和互联网相互融合,以及其它基础设施部门日益依赖互联网,以实现互联互通的背景下,情况更是如此。将已经发展了一个多世纪的任务职责统一起来,这就要求联邦政府详细阐明政策,分清政府各部门和机构在网络安全方面各自任务和责任。评估小组对20多个联邦政府部门和机构的反馈意见进行了分析,查明了网络安全相关政策存在的漏洞、重叠的任务职能和相互协作的机会。

随着威胁日益复杂,应对网络空间风险以及部门和机构间的沟通协作也因时而变。1998年5月签署的第63号总统令规定,在白宫的直接领导下设立了一个机构,指定牵头部门和机构,协调相关行动,并与私营企业相应部门合作,以“消除我们重要基础设施———特别是我们的网络系统———在防范和抵御物理和网络攻击方面存在的任何漏洞”。这项政策在2003年的《确保网络空间安全国家战略》文件中又进行了修订。

2003年底的第7号国家安全总统令进一步增强了这项工作。该命令赋予国土安全部全面协调国家重要基础设施———包括网络基础设施———的保护工作;可跨越所有部门与行政部门指定的具体机构进行合作。这两项政策的重点是防御性措施,第7号国家安全总统令并未包括保护联邦政府的信息系统。2007年,《国家网络安全综合计划》采取了不同的方略,其核心是把过去分散的网络防御任务与执法、情报、反间谍和军事能力“衔接”起来,解决各种各样来自远程网络入侵和内部违规操作所造成的网络威胁,以弥补存在的一系列不足。《国家网络安全综合计划》的策略在第54号和第23号国家安全总统令中被定为法律,主要针对行政部门的网络安全。但行政部门的网络在美国所依赖的全球信息与通信基础设施中仅仅占很小的份额。

本文总结了评估小组的调查结果,并介绍了有助于美国未来实现更可靠、有韧性、值得信赖的数字基础设施的一些初步步骤。它并未对各种选择或诸多计划的审核提供深入的分析。相反,它提出了需要加强协调和综合发展的政策。文章用5个主题详细地介绍了调查结果和行动方案:一是顶层领导,二是建设数字化国家的能力,三是共同负责网络安全,四是加强信息共享和应急反应,五是构筑未来架构。

第一章 从最高层实施领导

确保网络空间拥有足够韧性并值得信赖,以支持美国的经济增长、公民自由与隐私保护、国家安全和民主体制的完善,需要把网络安全列为国家头等大事。只有在政府最高层领导下才能完成这一重要而复杂的任务。

由白宫实施领导由白宫掌握网络安全相关政策的领导权并提升领导的层级,会向美国和国际社会发出明确的信号,即我们对网络安全问题的态度是非常严肃认真的。许多政府的部门和机构,以及总统办事机构将需要协调不同的职责和权限,以有效地促进网络安全。目前,没有一个人或一个组织专门担负着协调联邦政府网络安全相关活动的职责。如果没有一个中央协调机制、没有更新的国家战略、没有各行政部门制定和协调的行动计划,以及没有国会的支持,靠单打独斗的工作方式不足以应付这一挑战。

政府行政部门早已经设立了一个由国家安全委员会和国土安全委员会共同领导的信息和通信基础设施跨部门政策委员会,作为解决有关网络问题的主要政策协调机构,以便获得可信、可靠、安全和长久的全球信息和通信基础设施及相关能力。

美国总统应该考虑再任命一名白宫网络安全政策官,该官员应向国家安全委员会和国家经济委员会报告,以协调全国范围内与网络安全有关的政策和活动。此官员将主管信息和通信基础设施跨部门政策委员会工作,加强与总统办事机构其它部门协调领导工作,解决各种优先任务和协调政府部门间网络安全政策和战略的发展。网络安全政策官应该参与所有相关的经济、反恐和科学与技术政策的讨论和研究,并制定网络安全长远规划。

要取得成功,总统网络安全政策官必须得到总统的全力支持、拥有权威和足够的资源,以便在政策制定和协调部门间的网络安全相关活动中有效地开展工作。其手下至少有国家安全委员会的两名资深主任和适当的工作人员辅佐,并至少有一名国家经济委员会的资深主任和适量的工作人员为其工作。这些资深主任应通过网络安全政策官向上汇报工作,并共同致力于达成本报告所设定的目标及其它国家政策。此外,为促进国家安全委员会内部的整合,委员会中的每个地区主管局和职能局应当专设一名工作人员,负责本单位职能范围内的网络安全事务,并与国安会新设的网络安全局协调工作。

网络安全政策官不应拥有管理网络运营的责任或权力,也没有权力自己制定政策。网络安全政策官应当利用政府部门和机构间的协调程序,一切工作都要与联邦政府的首席技术官和首席信息官,以及管理与预算局、科学与技术政策办公室和国家经济委员会等相关部门进行商议,协调整个联邦政府有关网络安全的政策和技术工作,确保在总统的预算中能反映出网络安全工作是联邦政府的优先工作,并进入立法议程。

该网络安全政策官亦可被任命担任白宫网络应急反应行动官(其职能与白宫监控恐怖袭击和自然灾害的行动官员相类似),这一任命也将使美国更有效地进行危机管理;政府部门和机构将继续担负各自的网络运营职责。

为了便于协调,所有联邦政府部门和机构应该在各自内部设立一名联络官,负责协助白宫处理网络安全事务。

通过政府跨部门政策制定程序,网络安全政策官为总统起草准备新的国家战略,以确保信息和通信基础设施安全。这项战略应包括对《国家网络安全综合计划》的落实情况的后继评估,并适当汲取其成功的经验。新国家战略应侧重使高层领导集中精力和时间,消除阻挡美国实现拥有可信、可靠、安全和富有韧性的全球信息与通信基础设施以及相关能力的障碍。该战略将帮助政府努力提高公众意识,恢复和建立国际联盟及公私部门之间的伙伴关系,建立一个更加周全的国家网络应急反应与恢复计划,并采取积极的研究与发展计划,催生提高网络安全的新技术。

联邦政府应继续落实《国家网络安全综合计划》提出的“任务衔接”原则。政府各部门和机构应加强网络防御单位与负责美国网络空间作战的情报、军事和执法单位的合作,就网络威胁、网络交易、网络技术和网络存在弱点等问题进行交流,扩大网络经验、知识和观点看法的共享。此外,网络安全政策官应当帮助协调涉及网络空间的情报、军事政策和战略———包括打击网络恐怖主义,确保所有的任务有机融合在一起。网络安全政策官还应当与外部的咨询机构保持联系。许多咨询机构都涉足与网络安全相关的问题,这些机构包括国家安全和电信咨询委员会、国家基础设施咨询委员会、重要基础设施合作咨询委员会以及信息安全与隐私咨询委员会。网络安全政策官应审查这些机构的职能,并提出必要的改革建议使其咨询服务最优化,并杜绝不必要的重复。

为确保公民自由和隐私权利得到保护,还需要得到其它组织的帮助。这些组织将可以在政府网络安全计划和公民自由与隐私团体以及公众之间建立起信任,显示网络安全计划的透明,这在网络计划开始实施之初尤为重要。当务之急是要建立隐私与公民自由监督委员会,加快委员会成员的选举工作,并考虑是否寻求修订法案以扩大其工作范围———包括处理与网络安全有关事务。其它可行的办法还包括:加强政府负责公民自由事务部门与隐私顾问们就网络安全的政策问题进行定期沟通,或在国家安全委员会内任命一名负责隐私与公民自由事务的官员(或范围再大一些,在总统办事机构内任命一名负责隐私和公民自由权利的官员),与私营部门隐私与公民自由团体、隐私与公民自由监督委员会和政府负责隐私与公民自由事务的官员进行协商。

与制定网络安全政策同样重要的是确保有效地执行和落实这项政策,以实现更远大的战略目标。因此,网络安全政策官同管理与预算局、总统办事机构其它部门协商,必须确保有效地落实网络安全相关政策和采取相关行动。在60天的评估期间,有关各方就协调和监督网络安全活动提出了各种各样的办法。一些评论家确信,强有力的行政领导,以及多年来政府部门和机构的努力,是确保美国政府拥有可以有效执行网络安全计划机制的重要基础。目前,一些网络安全监督职能都不是在总统办事机构领导下实现的。例如,归属国家情报总监领导的跨部门联合网络特遣队,目前负责协调和监督执行《国家网络安全综合计划》。网络安全政策官通过管理与预算局和总统办事机构其它部门协商,应该就组织机制调整提出建议,以实现相应的监督、执行和其它的一些职能,包括在管理与预算局或总统办事机构建立一个类似拥有跨部门联合网络特遣队功能的机构,创立一个类似艾森豪威尔总统行动协调委员会的实体,或建立一些可协助评估联邦政府部门与机构表现和监督联邦政府网络安全标准遵守情况的组织机构。在这样一个办公室成立之前,跨部门联合网络特遣队将继续执行其任务。

评估相关法律和政策

总统的网络安全政策官应与政府部门和机构合作,提供协调一致的政策指导,并在必要时详细说明整个联邦政府确保网络安全相关活动的职权、作用和责任。适用于信息和通信网络的法律是由宪法、国内法、国外法和国际法拼凑而成的一个复杂法律体系,这一体系制约着政策选择。在美国,这种拼凑在一起的法律混合体之所以存在,是因为联邦政府在整个信息和通信基础设施发展过程中,颁布了诸多法律和政策,以控制多样化的产业和技术。

由于传统的电信网络和互联网日益融为一体,以及其它基础设施领域日益将互联网作为互联互通的主要手段,法律和政策应当继续找寻出一种综合性方法,将保护公民自由、隐私权利、公共安全、国家和经济安全的利益与灵活多样的网络应用和网络服务所带来的好处结合起来。在一些领域中缺乏司法裁定既带来了机遇也带来了危险,决策者对此应充分理解———法院可以介入并规范法律的应用,特别是涉及到宪法权利的领域。制订政策必然受到法律框架的规范和制约,而且在政策上深思熟虑有助于找出现行法律中存在的差距和争议,让我们知道必须要做出的法律改进。这一过程可能会根据美国的法律原则提议组建新的立法框架,对加之于信息、通信、网络和技术上的相互重叠的法律进行合理调整,或会对已有的法律进行新的诠释,使之适应技术变革与实现政治目标。不过,采用其中任何方式都会有风险,可能使联邦政府保护信息和通信基础设施的一些活动更加困难。

政府应适当地与国会进行有效合作,以确保拥有完备的法律、政策和资源用于完成美国网络安全相关工作。国会已对国家有关网络安全的需求表示关注,并决定由两党共同担任领导,政府将会从国会的知识和经验中获益。与政府部门和机构共同工作的网络安全政策官应与产业界进行协商,以便了解法律和政策给网络运营方面带来的影响。

加强网络安全工作的联邦政府领导和责任制

在数字化时代,仅仅依靠白宫将不足以领导美国实现广泛的目标,整个联邦政府都必须担负起领导职责。将网络安全列入总统议事日程的优先项目、根据既定的目标审查政府部门和机构的网络安全工作进展等,有助于落实责任和推动工作进度。网络安全政策官———与国家安全委员会、管理与预算局、国家经济委员会和科学与技术政策办公室协商———将界定工作进度和成功的标准,提高网络安全工作在所有机构预算中的“能见度”。

要使网络安全工作透明并对整个网络安全投资进行有效管理,管理与预算局应利用其项目评估机制,确保政府部门和机构在追求网络安全目标时有效使用预算。正规的网络安全项目评估机制可以使政府部门和机构详细说明每个计划的意图与目标,并建立是否达成目标的统一标准。《国家网络安全综合计划》已经成功地运用了一种类似的做法。

根据2002年《联邦信息安全管理法》要求,政府部门和机构的领导人必须承担起责任。政府与国会共同努力,更新并强化这项法规。政府部门和机构的领导执行计划要求各部门和机构及时汇报在确保网络系统安全方面的工作进展情况。美国联邦政府应制定备选方案,支持政府部门和机构落实遵守网络安全政策的领导责任制,坚决执行相应的网络安全程序。

提升各级地方政府网络安全事务的领导层级州、地方和原住民保留地政府应考虑把网络安全当成一件大事来抓,指定一名领导人专门负责,以确保首席信息官、首席信息安全官与州国土安全顾问之间的有效协调。评估小组从美国州长协会的代表那里听到一些反映,说网络安全是他们在保护各州重要基础设施资产工作中最薄弱的环节。州国土安全顾问可以从若干国土安全部批准的项目中开支,用于网络安全工作。但从历史上看,所提供的资金在很大程度上并没有优先用来确保网络安全。州、地方和原住民保留地政府应考虑是否应把网络安全当成一个大问题,并确保首席信息官、首席信息安全官与州国土安全顾问协调一致,保持强大的防御态势。

第二章 打造数字化国家的竞争力

国家正处于一个十字路口。计算机几乎改变了日常生活的一切,不论是在家中还是工作场所。网上银行、网上购物和报税等都已是司空见惯。国家的基础设施正在经历一场革命,数字化和网络技术不断通过大型系统进行整合,如智能电网和下一代空中交通系统。近期颁布的《美国复苏与再投资法案》中的内容鼓励发展现代信息和通信设施,以便提高美国的竞争能力,并使用技术来解决国家所面临的最为紧迫的问题。美国面临着双重挑战:在维护一个促进创新、开放式互联、经济繁荣、自由贸易及自由环境的同时,也要保证公众安全、公民自由和隐私。

大众需要明确了解技术的安全使用。另外,美国需要一个技术先进的工作组来维持其在21世纪的经济竞争力。在学校,数学和科学必须成为首选学科。美国应发起一项K-12(注:指从幼儿园到高中的教育)网络安全教育计划,以便进行数字安全、道德和保护教育;扩展大学课程;并且为培养一支数字化时代的称职的劳动力队伍创造条件。正如总统曾提到的,“美国所面临的挑战中,让我们的孩子为全球经济竞争做好准备最为紧迫。”为了帮助完成这些目标,国家应该:

提高全民的网络安全风险意识;建立一个教育系统以促进对网络安全的了解,并让美国继续在信息技术的科研、工程和市场领域保持和扩大领先地位;

扩展并培训用于保护国家竞争优势的劳动力队伍;帮助组织和个人在风险管理上做出明智的选择。

提高公众意识

形成对网上活动风险以及如何对其进行管理的广泛的公众意识,需要制定一个有效的战略。联邦政府应该与教育者及产业界部门一起,引导国家网络安全的公共意识和教育。总统网络安全政策官员应该负责这一公众意识战略的制定并指导其执行,并且应寻求国会、联邦政府、地方与原住民保留地政府、私营部门及公民自由与隐私组织的支持。战略应该涉及对公众进行关于威胁和怎样提高数字化安全及道德的教育。恶意行为体经常利用人们通过互联网接受信息或提交个人信息的行为。因此,该行动应专注于公众信息以便提高对网络使用的责任心,并加强对欺诈、身份盗窃、网络掠夺及网络道德等方面的防范意识。过去在公共安全活动中的一些成功做法,例如为了防火而设置的警示牌、推广使用汽车安全带的提示条等,都可以当作一个模本加以利用,以便通知和帮助公众认识到网络安全的重要性。这些公共服务行动应该注重培养儿童的网络安全意识,以及那些准备选择职业的高年级学生的意识。知名人士、同技术一同成长起来的一代及新型媒体,都可以在有效传递信息上发挥重要作用。

加强网络安全教育

类似于前苏联在1957年10月发射人造地球卫星之后的一段时期,美国处在一个以数学和科技技能为主的全球竞争之中。根据《经济学人》中的一则报道,出色的信息技术职业者“到处短缺,但是形势会更加严峻,因为所需技能的本质正在发生改变。除了技术知识以外,明天的信息技术职业者将要求在项目管理、变革管理和业务分析等方面具有专业知识”。这项研究指出,美国继续拥有世界上最好的信息技术公司运营环境,在教育、基础设施、创新鼓励和法律保护等多个重要领域均具有规模和质量优势,可帮助打造竞争力。然而,2007年至2008年关于计算机学位和入学趋势的“托比调查”显示,美国的计算机科学和工程学位毕业生比2004年的高峰时期减少了约一半。国家无法容忍这种衰退继续下去。

联邦政府以及全体机构应该扩大对关键教育计划和研发的支持,以便保证国家在信息时代经济中持续的竞争力。现有的计划应该加以升级,或者扩大,而且其它的活动可以作为额外的计划模式参考。例如:

2006年国家科学基金开始征集关于其“恢复计算机大学教育的途径”的建议。这个项目试图打造一支“具有计算机能力和技能的美国劳动力,以便推动21世纪国家的健康、安全和繁荣”。

作为直接激励措施,不仅为那些在网络安全教育领域追求进取的学生,同时也向那些立志在联邦政府获得相关职位的学生提供奖学金。国家科学基金和国土安全部为34个大学的服务计划提供奖学金。超过1000名学生在该计划的前8年得到了支持,其中超过80%的学生在联邦政府获得了工作。国家科学基金会强调,考虑到迫切需要壮大相应的劳动力队伍,加强研究和教育之间的协同作用再怎么强调也不为过。

国家信息安全教育与研究学术中心,由国家安全局于1988年创立,从2004年开始由国土安全部共同资助,在38个州和哥伦比亚特区的94所大学推行更高水平的信息安全教育。这些中心已经同众多知名大学建立了合作关系,包括一些社区、西班牙语和传统黑人学院。国防部也对这些大学中的信息安全奖学金计划提供了赞助。

全国大学网络保护竞赛、美国数学奥林匹克协会、能源部科学杯以及西门子基金数学、科学和技术竞赛都提供了以竞赛为导向的范例。其它范例包括国家科学基金援引国防先期研究计划局的重大挑战而组织的一个学术小组,马可姆波里奇国家奖以及旨在建立高级加密标准的竞赛。

扩充联邦信息技术劳动力队伍

总统的网络安全政策官员应同信息和通信设施联合部门委员会协作,考虑如何更好地吸引网络安全专业人才,并采取措施慰留联邦政府内拥有此类技能的职员。各个部门和机构已在吸引产业界人才方面获得了一些成功,但由于获取、转移或更新安全审查需要大量的时间,这造成了机会的流失。联邦职员还应该有机会丰富个人工作履历和促进其职业发展,而单独某一家政府部门常常无法提供这类机会。展开共同培训、进行部门间轮岗甚至与私营部门之间进行可能的岗位轮换不但是一项有效的做法,而且会有利于人才素质综合培养和专业人才库的建立。

将提高网络安全视为企业领导责任联邦政府应该继续促进在各级政府和产业界中关于威胁、漏洞和有效措施的计划和信息分享。只有信息技术劳动力队伍了解网络安全的重要性是不够的,各级政府和产业界领导需要根据现实和潜在风险,做出业务和投资决定。联邦、地方和原住民保留地政府面临着类似的问题。州政府经常起到革新孵化器的作用,因而可能会提供一些在管理信息和通信设施方面所得到的经验。联邦政府应该继续同产业界一起确认并发布在安全设计和信息技术产品经营方面的有效措施。

第三章 共同承担网络安全责任

如果联邦政府孤立地开展工作,那么联邦政府在许多方面都不可能确保网络空间的安全。关于这一点,公共与私营部门有着共同的利益,以确保为商业和政府服务提供一个安全、可靠的基础设施平台。政府和产业界领导者在国内和国际事务上,都需要界定角色与责任、整合各种能力并发现各自的问题,以便制定出整体的解决方案。只有通过这样的合作关系,美国才能够提高网络安全水平,获得数字革命所带来的全部效益。保证网络空间的安全,这一全球性的挑战要求各方做出更大的努力。这一努力应寻求同私营部门进行持续的协作,通过制定全球标准来提高可被共同使用的网络的安全,扩展法律系统打击网络犯罪的能力,继续发展并推广成功的实践经验,并保持稳定、有效的互联网治理。

加强私营部门和政府间的合作关系

联邦政府有责任保护、捍卫国家,并且各级政府有责任确保其公民的安全与健康。然而,私营部门设计、建立、拥有以及运作的大多数网络基础设施同时为政府和私人用户提供支持。对于基础设施的安全性和可靠性以及通过这些设施所发生的交易,业界和政府承担着共同的责任,二者应该紧密合作以解决这些相互依赖性问题。联邦政府可以采取多种不同的手段来应对这些挑战,其中有些可能要求修改相应的法律和政策。

私营部门应帮助弥补执法和国家安全的局限性问题。当前的法律允许使用某些工具来保护政府网络,但不是私营网络。产业界领导者可以利用企业信息共享来帮助说明数据泄露、工业间谍活动以及服务能力丧失或降低给公司带来的风险以及对盈利能力的影响。产业界领导者可以要求销售商和服务供应商提供更多保证,同时承担起开发更加安全的软件和设备的责任。企业应想出有效的途径,以便在彼此以及联邦政府之间分享检测方法、关于违规和攻击方法的信息、修复技术及取证能力。

如果风险和后果可以以货币价值的形式来衡量,那么各个机构就将拥有更大的能力和动力去解决网络安全问题。尤其是,私营部门经常试图通过业务个案来证明以下两方面所需的资源支出的合理性:一是把信息与通信系统安全整合到公司的风险管理之中;二是建立可以缓解风险的伙伴关系。政府可以考虑利用以激励为主的立法或监管工具来协助形成好的价值取向,并且帮助培养一个可以促进并鼓励伙伴关系和信息共享的环境。

总统的网络安全政策官员应同相关部门机构及私营部门进行合作,共同考察现有的公私伙伴关系和信息共享机制,以便识别或建立最为有效的模型。过去十多年以来,公私伙伴关系促进了信息共享,并为美国重要基础设施保护和网络安全政策奠定了基础。在这一段时期,联邦政府和私营部门共同建立了大量有关网络安全和信息与通信设施问题的论坛。

这些团体做了很多贡献,但是由于精力分散,已使一些参与者对缺乏明确界定的角色和责任、各团体之间参差不齐的能力以及不断增加的计划和建议,感到灰心丧气。结果,政府和私营部门的人员、时间及资源被大量浪费于重复、不连贯的工作中。伙伴关系必须进行转变,以便明确界定这一关系的性质、不同团体及其参与者的角色和责任、对各方贡献的期望,以及责任机制。联邦政府应对各种资源进行优化、调整,然后把它们提供给现有的组织,以此来完善其识别优先等级的能力,实现更加有效的执行效率并制定响应与恢复计划。

为期60天的评估考察了大量有效的公私伙伴关系模型。尽管这些模型功能差异很大,但它们却共享着某些重要的特性。每一个模型都有一个定义明确的机构使命、明确参与者的角色和责任,以及清晰的鼓励参与的价值取向。通过在成员之间培养并维持一种相互信任的氛围,每一模型都可以减轻担忧,否则这些担忧可能会妨碍参与。现有的网络安全伙伴关系也许会应用这些模型所具有的那些最为有效的特征。

评估妨碍公私伙伴关系转变的潜在障碍

私营部门中的有些成员一直担心,某些联邦法律也许会妨碍私营部门和政府之间全面协作性质的伙伴关系及运作信息共享。例如,业界中的有些人担心在现有的伙伴关系模型中,同一领域成员之间进行的信息共享和统一规划,也许会被认为同禁止贸易限制的法律“互相串通”或相抵触。业界还表示会有所保留地向联邦政府透露敏感性或专有的商业信息,例如弱点和数据或网络漏洞。这种担忧一直存在着,即便相关的法令对此给予了保护,例如《商业机密法》和《关键基础设施信息法》。这两项法律的颁布旨在消除产业界对于《信息自由法》的担忧。除了这些问题以外,产业界也许还会担心共享信息所带来的名誉损害、责任或管制影响。相反,鉴于对敏感的情报来源和方法或者个人的隐私权利的法律保护,联邦政府有时会限制政府与私营部门共享的信息。

这些担忧并不是孤立存在的。面对不公平竞争,各种反垄断法律提供了重要的安全保障,并且《信息自由法》将协助确保政府的透明性,这对于维持公众信心至关重要。公民自由和隐私团体表示,担心不断扩展的保护措施只不过是一块逃避责任的合法盾牌。此外,信息与通信市场的全球性特点会使信息共享的挑战变得更加的复杂。如果在美国运营的产业界成员是外国公司,那么强制性的信息共享或排斥此类公司加入信息共享体制,可能会对贸易产生影响。

政府应同私营部门进行创造性的合作,以便找出恰当的解决方案———同时照顾到交流信息和保护公共和私人利益这两个方面的要求,从而采用统筹兼顾的方法解决国家安全和经济安全问题。这些解决方案应该识别出明确的、可执行的信息共享目标,并制定事件报告标准。私营部门将更乐于分享那些不需要更改数据所有权的解决方案,例如英国模型中的做法:选择经过审核的信息安全提供方而不是政府作为合并数据的链接点。

最后,联邦政府应该请学术界、公民自由与隐私团体、开放政府的提倡者以及消费者积极参与,以确保政府政策充分考虑到了这些群体所代表的广泛利益。几乎没有什么问题可以简单地看作是一个孤立的程序、政策或技术问题。技术的变化通常会成为政策制定的考虑要素,也许会要求改变现有的程序。政策改变(例如规章或税收鼓励措施的通过)可以影响到采购或技术研发方面的决定。联邦政府还可以考虑这样的方式:它能够把更多的资源集中到可能“改变产业界格局的”领域的研究上,例如行为与政策方面的以及以激励为主的网络安全解决方案。鉴于这些问题的密切相关性,更需要确保所有利益攸关方的利益都得到体现。

与国际社会进行有效的合作

国际规范对于建造安全、稳定的数字基础设施来说至关重要。美国需要制定一项战略,以便打造国际环境并把对一系列问题有着类似观点的国家聚集在一起,这些问题包括有关领土管辖权、主权责任及武力使用等可以接受的规范。此外,不同国家与地区的法律和实践———例如涉及以下多个方面的各种法律:网络犯罪的调查和起诉、数据保存、保护与隐私,以及网络防御和网络攻击响应的途径,为打造一个安全、安定并具有韧性的环境带来了巨大的挑战。要解决这些问题需要美国同所有国家以及国际机构、军事同盟与情报伙伴进行合作,包括发展中国家,它们在构建其数字经济与设施的过程中也面临着这些问题。

在过去十年中,联邦的通信、基础设施和网络安全相关的政策都是沿着不同的道路发展。采用更加综合的政策制定方法可以确保制定相互支持的目标,并可以让美国通过更为有效的、恰当的立场把握其国际机遇。对于一系列独立领域(包括网络安全和对言论自由及其它公民自由的保护)的国家利益,美国应采用综合的解决方法以便制定一贯的政策。

总统的网络安全政策官员应与各部门和机构合作,加强并整合机构间制定及调整国际网络安全立场的流程。此外,联邦政府在继续同私营部门的长期合作的同时,应制定一套积极参与计划以供国际标准机构使用。这其中应包括对现有政策的评估并对立场的确定、完善或重申进行协调,从而确保与网络安全相关的经济、国家安全、公共安全和隐私利益都被考虑在内。包括联合国、八国集团、北大西洋公约组织、欧洲理事会、亚太经合组织、美洲国家组织、经济合作与发展组织、国际电信联盟、国际标准化组织在内的十多家机构都致力于解决信息和通信基础设施方面的问题。新组织正开始考虑与网络安全相关的政策和活动,其它组织也在拓展现有的工作范围。这些机构所考察的政策和所开展的活动有时会彼此冲突,并经常重合。这些组织公布的协议、标准或实践都具有不可忽视的全球影响力。它们的绝对数量、类型,以及这些地区不同的侧重点超出了包括美国在内的许多政府的应对能力。

总统的网络安全政策官员应与各部门机构合作,加强其对国际立场、磋商和讨论的识别、跟踪和优化的能力,与网络安全相关的协议、标准、活动和政策都是在这些过程中形成的。以往的经验表明,美国将需要继续参与一系列的国际活动。联邦政府应与私营部门及其它国家密切合作,以确保各成员充分参与到相应的论坛之中,就关乎美国未来全球信息和通信基础设施利益最重要的问题进行讨论。美国及其国际盟友应利用参与区域或其它论坛的机遇,促成共同的政策目标,关注现有国际组织的工作,并减少重复性的工作。例如,国际电信联盟和国际标准化组织都在从事关于网络安全取证标准的制定。对于主题更为宽泛的论坛,美国也应寻求机会,以促进相关项目中有关信息和通信基础设施的安全和发展。联邦政府应与私营部门共同协调和发展国际伙伴关系,以应对信息和通信基础设施相关的一系列网络安全方面的活动、政策和机遇,这些基础设施是美国商业、政府服务、美国军队以及国家的根本所在。政府和产业界间新签署的协议应加以备案,以促进国际信息共享和战略运营合作。对于指导对外发展及发展海外能力,联邦政府应增加资源并提高警惕。例如,美国应加快步伐帮助其它国家建立法律框架、提高打击网络犯罪的能力,并且继续推广网络安全方面的准则和标准。美国也应与其盟友合作,确保互联网的稳定性和国际互用性,同时提高互联网的安全性和可靠性,使所有用户受益。

第四章 建立有效的信息共享和事故响应框架

美国需要建立一个全面的框架,以便协调政府、私营部门和盟国共同应对重大的网络事故。联邦、州、地方及原住民保留地政府应与业界合作,提前完善其正用于检测、预防及应对重大网络安全事件的计划和资源。由于此类事件可能影响到政府和产业界部门之间的互联网络,因而在重大事件发生之前、期间和之后,对此类计划和行动进行协调就显得特别重要。例如,尽管收到关于“Conficker”蠕虫病毒的提前预警和网络防御的指示,但如果蠕虫病毒在2009年4月1日激活时附带恶意的有效负载,那么一些联邦部门和机构就无法应对。

建立事故响应框架

与其他重大国家事故一样,在发生重大网络事故时,只有白宫有权协调与事故响应相关的一系列职能部门和权力机构。各部门和机构应按白宫总体战略方向履行各自责任。总统的网络安全政策官员应为白宫网络事故应急的执行官(其职能与帮助白宫检测恐怖主义袭击或自然灾害的执行官类似)。

联邦政府应建立一套明确且具权威性的网络事故响应框架,该框架在修改后的《国家响应框架之网络事故附件》中备案。到目前为止,针对网络事故的联邦响应还未统一。对于涉及国家安全/应急准备通信的情况,第12472号美国总统令明确了现存的职能部门和处理流程;然而,根据当前的法律政策,各部门和机构仍各自负责决定和实施隔离、保护和恢复自身计算机网络和数据的措施。

由于国家安全和其它联邦网络之间现存的法律而非人为差异,联邦网络事故响应的责任分散到了不同的联邦部门和机构之中。根据事件的性质,例如重大的漏洞、犯罪袭击,或军事事件,不同部门或机构可能负有或承担着主要的应急责任,而其它部门或机构则可能对此一无所知。另外,对整个事故的责任分配可能还不明确。尽管每个参与者都有着明确的专长领域和合法权利,但它们很难统一到一个单一的协调框架中。把任何权力部门合并到一个统一架构中可能都需要通过法律来实现。信息和通信设施联合部门委员会进程应明确同事故响应相关的不同部门和机构的角色、职责及资源,必要时对其协调或补充;了解事故响应的各个方面如网络安全、执法、情报及军事等部门及其各自的优势。

众多评论家强调建立事故报告和响应门槛的重要性。网络运营商和服务提供商每天都会处理大量尚未达到“滋扰”级别的事件。在这些低级别事故中,藏匿有相对少量的可能产生巨大影响的入侵或攻击。其它政府和私营部门的网络运营商很想了解此类事件的技术细节,以帮助其抵御相似的网络威胁;执法部门和情报机构也可借此跟踪并寻求方法制止网络安全方面的犯罪和来自国外的威胁活动。

网络运营和服务提供商:互联网由管理运作和为客户提供服务的企业联合运营。网络运营商建立和维护信息通信基础设施,为客户提供接入和宽带服务。服务提供商提供互联网接入网关、安全服务、存储或处理服务,以及信息的获取(如互联网地址或新闻)和应用设备(如搜索引擎)。单个的公司可提供独特的接入、信息和服务的混合组合(如社交网络)。

联邦政府应与州、地方和原住民保留地政府和业界合作,总结一系列威胁情况和衡量指标,以供风险管理决策、制定恢复计划及确定研发优先顺序。同时应发展建模和模拟能力,以帮助演练这些计划并确定可能的破坏级别。

信息和通信设施联合部门委员会应在各部门和机构中建立明晰、可执行的事件即时汇报规则,以便提高机构间响应的效率。各部门和机构在各自管辖范围外的事件汇报存在差异,其对重大事件的即时汇报将使联邦的整体应急响应受益。

总统的网络安全政策官员应与信息和通信设施联合部门委员会合作,确定发展和保持态势感知和事故响应能力的最有效方法。《国家网络安全综合计划》应继续致力于提高联邦网络的防御能力,同时考虑调整实施计划或增添内容的需要。总统的网络安全政策官员尤其应该:

与私营部门合作,探索如何更好地将技术能力应用到国家基础设施的防御中来,以及需要什么样的法律框架来保障隐私权和公民自由。

审议国家网络安全中心的运作理念及其实施,决定该中心关于责任、资源战略和管理的提议是否充分,使其能够提供支持网络事故响应努力所必需的态势感知共享信息。

继续向可信任的互联网接入项目的目标迈进,减少政府网络接入的数量,同时根据对挑战的现实评估,再次考虑项目中的目标和时间表。在过去的两年里,一些部门和机构在减少接入数量和部署系统上取得了进步,这些系统将帮助联邦政府阻止并检测恶意的行为。然而,政府在充分发挥能力之前仍然有很多工作要做,而且可能需要考虑额外的政策以促进战略的全面实施。

为了联邦网络的利益,适当评估并与公民自由和隐私团体继续协商进行入侵检测和防御系统的试点部署工作,评估这些系统的性能,并且继续研究若将这些系统应用到州政府系统中会产生的问题。(系统中的)传感器将对联邦网络获得态势感知信息具有关键作用;随着这些部署工作的进行,政府也将从政策、法律或技术层面受益。

探索———与业界、公民自由和隐私团体协作———其它长期的入侵检测和防御体系建构。

联邦政府应提高自身向总统提供网络入侵或攻击的战略预警的能力。联邦政府应继续利用国家为促进密码技术、信息保障技术和必要配套设施的根本发展的投资。这些投资以及其它的情报能力,对于网络攻击的战略预警至关重要。此外,联邦政府应找出执法能力上的差距,或保护国家基础设施所建立的调查权威。所有新设的权威部门需始终保障公民自由和隐私权。

美国政府应投资有助于防御网络应急事件的流程、技术和基础设施。内容包括增加安全检测、投资网络管理自动化或中央化系统,以及对某些非保密系统实施更严格的互联网接入。

政府需要建立一套可靠持续的机制,以便将所有适宜信息整合在一起,形成一张共同的运行图。联邦网络安全中心经常分享彼此的信息,但其中没有一家机构可以将来自不同中心和其它资源处得到的所有信息综合起来,制成一张不断更新且涵盖网络威胁和网络状况的全局图,以预报迫在眉睫的应急事故,以及支持协调事故响应。国防部负责整合关于网络健康和状况、入侵企图和对自身网络的攻击的信息;情报界负责自身网络;国土安全部美国电脑应急反应小组负责民事联邦机构以及在某种程度上对私营部门负责;执法和情报机构收集与网络有关的犯罪和国外威胁活动证据,但也需要具有处理有一定规模的犯罪活动的额外能力。

联邦政府应考虑若信息和通信基础设施遭受重大损害,尤其是当信息和通信网络融为一体时,是否有充足的可用替代品或通信设施储备。基础设施的替换或修复也要求有额外的计划和资源,尤其是当网络或电网中难以替换的元件受到物理损害时。

联邦政府应利用现有资源,在各级政府和私营部门间建立有助于防御、检测和应对网络应急事件的流程。联邦政府应利用州际信息共享和分析中心、全国58座州立和地方融合中心等现有资源,帮助树立信息和通信基础设施方面的态势感知意识。

加强信息共享,提高事故应对能力

信息是防御、检测和应对网络事故的关键。网络软硬件提供商、网络运营商、数据拥有者、安全服务提供商以及某些情况下的执法或情报机构可能各自拥有信息。这些信息能够帮助检测和了解复杂的入侵或攻击问题。只有将上述各类信息来源整合起来,才有可能全面了解事故并做出有效的响应,使所有人受益。

联邦政府应与州、地方和原住民保留地政府及私营部门(包括数据拥有者、网络运营商及隐私和公民自由专家)合作,寻求网络安全方面的信息共享方案,消除有关隐私和专有信息的担忧,使信息共享符合国家的利益,达到互利的目的。鉴于私营企业关心其信息的潜在使用问题,政府必须保障其隐私权、做到执法公正、保护情报来源和方法,以及可能导致不公平竞争优势的政府信息。为了解决这些担忧,政府和私营部门都需要做到透明、诚信。可选方案包括:

设立一个政府和私营部门都信任的第三方非营利性非政府组织,作为政府和私营部门共享信息的平台,以此提高政府和私营部门之间的关键网络安全性。此类组织可使用商业服务,并且不会扰乱日益壮大的安全服务市场。

联邦政府(如执法机构)与个体公司或公司集团(可能还有州、地方和原住民保留地政府的参与)之间持续的约束,在特定的部门或区域内实现一定程度自愿性的信息共享,超越在更广泛的背景下实现的信息共享。

美国政府应与受影响方和国会协商,考虑制定适当的信息共享激励措施。作为最后的手段,这些措施可包括综合方案中的监管措施,以满足社会对健全和具有韧性的关键基础设施的利益需求,保障公民自由和隐私权,维护作为美国经济系统基础的、公正公开的经济市场。加密或控制接入认证等强化隐私保障技术可减少信息共享中的某些风险。

联邦政府应全面评估妨碍网络安全信息共享的有关安全分级和人员涉密等方面的政策,同时寻求信息共享改善方案,并确保公民自由和隐私权得到保障,敏感信息得到适宜的保护。联邦政府各部门和机构当前关于信息搜集,使用、保留和散布的政策很大程度上都是基于法定权限、对隐私和公民自由的关注、对来源和方法的担心以及历史惯例而来。这些政策严重阻碍了联邦政府间的网络安全信息共享。此次评估应将联邦政府通过安全性和适用性改革倡议所取得的进展考虑在内,同时也要考虑信息共享环境在检查安全和适用性处理组件的所有方面时所做出的努力。

联邦政府应与私营部门合作,制定私营部门网络运营商向联邦政府进行事件汇报的标准。业界表达了作为受害者对汇报其网络事故的担心,包括随之而来的股东的担忧、市场反应或监管行动所带来的潜在消极影响。一家业内机构提议成立政府—企业工作组,设立具体到部门的网络事件门槛,以保证将信息汇报给安全官员。需制定相应的规则并监督政府对此类信息的使用,以保障隐私权和公民自由。另一完善报告程序的途径是考虑适当的数据破坏通知法案,要求企业将相关信息通知给公众和政府,其中包括可进行调查的执法部门。联邦政府也应检查已有的市场监管汇报规定的有效性和工作范围。与此同时,联邦政府需制定与私营部门进行事件汇报共享的流程和规则。这些规则的制定需考虑事件的分类和隐私问题。另外,联邦政府应协助研究团体获得网络安全事件的数据,并对此加以适当控制。这些数据可用来开发工具、测试理论和制定可行性解决方案。此类共享需要解决关于敏感或专有数据及个人身份信息的保护问题。

联邦政府应努力扩大与主要盟友在网络事件和漏洞方面的信息共享,寻求改善网络安全的双边或多边安排,并确保这些安排符合美国其它方面的经济和安全利益,使公民自由和隐私权得到保障。国际合作为美国政府与私营部门的合作带来了更多挑战。若美国政府计划与其它国家共享美国私营企业的行业信息,则国内合法的私营部门关于信息共享的担忧将会增加。私营部门和联邦政府再次需要做到明晰和诚信,来控制、散发和使用私营部门与政府共享的信息,包括对使用美国和国际社会之间共享信息的理解。

提高所有基础设施的网络安全性

联邦政府应与私营部门合作,明确公私伙伴关系的职能,以做好私有关键基础设施和重要资源的防御工作。联邦政府的核心责任之一即是共同保护私有关键基础设施不受武装攻击、物理入侵或国外军事力量、国际恐怖分子的破坏。同样,政府也在保护这些基础设施不受罪犯或国内恐怖分子的破坏上发挥着重要作用。然而,若攻击是通过计算机网络远程进行而非直接的物理行为,那么政府应对相同行为人,对相同基础设施施加的相同损害负多大程度的责任,这个问题尚未解决。大多数网络运营商和服务提供商都将自身网络的维护和防御工作归为自己的责任,但私营部门的重要组织已表示,业界希望形成一个工作框架,在此框架下政府将追捕恶意行为人,为私营部门运营商提供信息和技术支持,帮助私营部门保护自身网络。

在网络安全解决方案的制定过程中,联邦政府应考虑出台鼓励集体行动和竞争的激励措施。例如,网络空间至今还未出现“照顾标准”的法律概念。可能的激励措施包括调整法律责任(安全改善后责任减少,安全条件差则导致责任增加)、补充赔偿、税收鼓励政策、以及新的监管规定和执行机制。

总统的网络安全政策官员应与各级政府、私营部门及国际伙伴合作,制定战略和计划,鼓励创新型网络安全解决方案,确保基础设施系统的安全和韧性。基础设施范例包括:

政府应协助世界银行、国际货币基金组织等国际金融机构,向其提供必要的信息、工具及专业知识,并鼓励其运用最佳准则来保护自身的信息系统。2008年这些机构的系统曾遭受一系列的严重入侵。

《美国复苏与再投资法案》通过储备基金来推广医疗信息技术的使用。随着电子记录保存(系统)在互联网上的日益普及和获取这些信息的便利性,病人信息的保护工作将事关美国政府可否得到公众的认可。

能源部应与联邦能源监管委员会合作决定是否需要为能源方面的工业控制系统另行制定安全执行令和程序。另外,随着新的智能网技术在美国的普及,联邦政府务必要制定和通过相应的安全标准,以避免为对手制造可乘之机,侵入上述系统或对其发动大规模攻击。

交通部下属的美国联邦航空管理局在维持现有系统的同时,已制定了向下一代空中交通控制系统过渡的长期计划。交通部检察长于2009年3月18日在众议院航空交通和基础设施小组委员会上作证时称,需要评估潜在的安全漏洞,制定一套健全的网络安全战略和设计方案。

第五章 鼓励创新

对于韧性的要求:基础设施必须具有一定的恢复能力以防物理破坏、非法操作和电子攻击。除了对本身信息的保护,减轻网络空间风险的战略必须侧重于访问基础设施的设备,基础设施提供的服务,网络的支持要素及所有用于移动、存储和处理信息的手段。这一战略还必须包括预防、减缓和应对针对运营并受益于基础设施的人员所遭受的威胁或破坏,运营或利用基础设施的程序以及用于建造并维护基础设施的供应链。

信息与通信部门正在创建一个聚合平台,在此平台上数据、音频和视频应用占用共同的基础设施。当前国际互联网模型的分散性质,可以允许个人和企业家在无需得到许可的情况下,开发并配置创新的应用程序。创新带动了价值数十亿美元的新型业务,它们彻底改变了用户与网络及用户彼此之间的互动方式。随着科技对美国越来越重要,对于这一不断演变发展的基础设施,保持信心和信任至关重要。总统已呼吁联邦政府同业界保持合作,共同开发“下一代的安全计算机和应用于国家安全的网络互联”,制定“新的、严格的网络安全与物理恢复力新标准”,以及“保护个人数据的标准”。

美国应充分利用技术创新以便消除网络安全担忧。虽然市场上早就存在着许多可以明显增强安全性的技术和网络管理的解决方案,但由于成本或复杂的原因这些技术和解决方案并没有得到广泛的使用。另外,鉴于国际互联网基础设施的内在设计,现有的解决方案已发挥到了极限,无法再继续提高。从长远来看,开放和创新将有助于建立一个透明且责任明晰的更加强大的基础设施。联邦政策必须满足国家安全要求,保护知识产权,并且要保持基础设施的可用性和连续性———即便在其遭受强劲对手攻击的情况下。联邦政府还必须注意不要制定一些不必要的政策与规章,它们可能会妨碍创新、导致低效率或使安全性降低。

未来

根据2006年的国家研究院报告《振兴美国的通信研究》一文指出:“通信网络是庞大、复杂的系统,其可靠性、安全性及演化性取决于连贯的、构思良好的架构概念的发展。”这一报告还指出:“有多家厂商的产品被用来配置美国的电信基础设施并提供服务……(它们)超越了供应商的服务范围。由于业界正朝着水平结构发展并且其分解出了大量的小型公司,不论是厂商还是服务提供商都不会准备去负责终端对终端系统的设计。”

这样一来,在处理政策、标准、研究、市场开发或采购问题时,就没有可以用来指导私营部门、学术界和政府做决定的统一建议。联邦政府、私营部门及其它利益攸关方应共同制定未来基础设施的技术中立的性能和安全目标,既满足其作为消费者的自身需求,同时又发挥其作为公众利益管理人的作用。联邦政府同其合作伙伴应针对具体的部门和组织,分别制定一系列综合的全国信息与通信基础设施目标。这些目标可以参考不同的计算平台模型或网络控制概念,以及通过政府、学术界或业界的研究项目产生的技术解决方案。

数据和服务向第三方的联网服务器的移动被称作为“云朵”,这为全球的私营部门和政府带来了新的政策挑战。跨越司法管辖边界的数据移动带来了以下三方面的挑战:法律执行、不同国家分别制定的隐私与公民自由保护,以及出现数据或网络漏洞时的决策责任。有些客户会试图限制服务提供商移动或存储数据的地点,而另一些跨国经营客户则会寻求利用地理和时区的差异性。

基础设施安全构想:众多的机构和部门都在努力制定某些科技或基础设施部门的远景规划。例如,美国能源部与业界合作于2005年推出了一个为期10年的路线图,以便发展用于电网的控制系统。这一计划期望达到的目标是,截至2015年,“将实现关键应用控制系统的设计、安装、运作和维护以便能够承受蓄意的网络攻击,同时不会丧失重要的功能”。国防部先期研究计划局的顾问小组把对当前基于《互联网协议》的网络防御称作是一项亏本的买卖,呼吁“对可供选择的基础设施进行单独的考察”,从而完成对最佳候选基础设施的实验与评估。根据2009年3月的一份简报,国防部先期研究计划局正进行一项为期6个月的候选基础设施分析。

研发框架与基础设施开发的结合在总统网络安全政策官的领导下,联邦政府应与其它的总统办事机构部门及信息和通信设施联合部门委员会进行合作,提供研究与开发战略———专注于可以实现基础设施目标的、具有变革意义的技术框架,进一步完善当前的网络和信息技术研发战略及其它与研发相关的工作。联邦政府应扩大这些战略同业界与学术研究努力的协调,以便避免重复性的工作,利用具有互补性的功能和议事日程并使之同步,并且确保实现该技术换代并进入市场。

为了提高美国的竞争力,联邦政府应与业界合作,共同制定换代路径和刺激措施以便快速促进研究与技术开发,包括鼓励学术界与业界实验室之间的协作。

联邦政府还应与私营部门及其它利益攸关方合作,利用基础设施目标和研发框架为国家与国际标准机构制定目标。

建立身份管理

如果不能提高认证水平,我们就无法提高网络安全性。身份管理不只是用于人员认证。认证机制还可以帮助确保在线交易,仅涉及那些对于网络和设备而言可以信任的数据、硬件和软件的交易。尽管大多数系统今天都适于进行网络交易,但人们用于建立信任的电子提示技术等也许还没出现、不完整或者难于理解,起不到应有的作用。身份管理也许能够为可信任社团的个人和组织提供帮助,这些社团都是基于不同程度的身份公开和彼此约定的责任制而建立的。同时,它还可以排除不受欢迎的入侵者或不适当的会员请求。身份管理通过对个人识别信息的发布进行额外的保护,还可能提高隐私水平。

联邦政府与业界及公民自由与隐私社团合作,应共同制定一个基于网络安全的国家身份管理构想与战略,为此需要考察一系列的方法,包括提高隐私水平的技术。联邦政府必须通过大量的信息、服务与福利计划同公民展开互动。这样一来,政府才会对保护公众的隐私信息产生兴趣。在线交易变得日益普遍,涉及金融、卫生与商业等诸多方面,需要一个在交易方之间建立信任的基础。

对于高附加值的业务(例如智能电网),国家应该建立一系列可以选择加入的、能够相互配合的身份管理系统,以便为在线交易建立信任并提高隐私水平。

国家科学技术委员会下设的生物测定和身份管理附属委员会于2008年发布了一项报告,该报告提供了一个未来联邦身份管理构想以及一系列的研究与开发建议。联邦政府应把这项报告作为身份管理战略的一个出发点。

联邦政府应与国际伙伴进行合作,共同制定相关的政策,鼓励发展可以信任的全球体系,这种系统需要保护隐私权和公民自由并控制旨在保护公民与基础设施的法律实施活动的适当利用。

在国土安全第12号总统令的指导下,联邦政府正寻求在联邦事业中运用可相互通用的联邦身份认证机制。联邦政府应确保在联邦机构全面落实第12号总统令时,相关的资源都是可以利用的。联邦政府还应考虑让以下两方在国家紧急状态期间也能够使用联邦身份管理系统:重要基础设施的运营商,以及私营部门紧急响应与维修服务提供商。

全球化政策与供应链的整合

信息技术革命及自由贸易政策带来的结果之一,是为在全球范围内分布有设备设施的公司建立了一个全球性的环境,用于其信息与通信产品的研究、设计、制造与服务。这一全球市场通过为美国的高科技商品和服务打开世界范围内的市场,给美国创造了巨大的利益。然而,新的制造、设计与研究中心在全球范围内的出现,使人们更加担忧微小的硬件或软件操作会更加轻易地导致计算机和网络的崩溃。仿造产品已带来了非常明显的供应问题,但记录在案的明确、蓄意的破坏的例子却很少存在。

需要对风险管理进行一种广泛的整体分析,而不是全面地否定外国产品与服务。供应链攻击所面临的挑战是,老练的对手也许会缩小目标范围,仅专注于特殊的系统,这样基本上就会使操作变得让人无从察觉。国外制造的确会给民族国家的对手带来更加容易的破坏产品的机会,但是,通过招募重要的内线人员或其它的间谍活动,也可以实现同样的目标。

最好的防御也许是通过持续的创新来保证美国的市场领导地位。创新可以提高美国的市场领导地位,并且促进在维护具有弹性的、多样化的供应链与基础设施方面的最佳实践的应用。总统网络安全政策官与各部门机构应:

以国家安全局为国防部所做的工作为基础,通过综合服务管理局制定商业产品与服务的采购战略,以便建立市场激励机制,使安全成为硬件与软件产品设计、新的安全技术及安全的托管服务的一部分;

扩大同州、地方与原住民保留地政府及国际合作伙伴的合作关系以便使这些采购的市场影响最大化;

同国会一起识别相关的机制,以便能够让各部门机构在适当的特定情形下,在做出购买决定时考虑到相关的威胁信息;

从经济和威胁的角度出发,与业界一起提供威胁信息并确认管理供应链和内部风险的最佳方案。

保持国家安全/应急准备的能力

联邦政府保护美国民众和提供共同防御的义务,包括负责确保国家在危机时刻能够进行通信并做出响应。通信系统可能会最先遭受此类事件的冲击,因此必须具有可以恢复的韧性或能力,以便应对响应并保护政府的职能。《1934年通信法》授权总统当国家处于从“公共危险”到“战争”的不同警戒等级时,如果他认为有必要维护国家安全或防御并且存在必要的临界条件的话,他可以运用、控制或者中止联邦通信委员会管辖下的通信服务、系统和网络。第12472号行政命令要求建立一个政府和业界联合的国家协调中心以便为通信服务或设施在所有危机或紧急情况下的启动、协调、恢复或重建提供帮助。关于“国家连续性政策”(2007年5月4日)的国家安全第51号总统令暨国土安全第20号总统令在联邦政府内对有关连续性通信的职责进行了分配。

国土安全部正在努力朝着这一目标前进:帮助国家安全和紧急状况用户提供下一代网络的聚合信息服务,并确保在各种灾难及其它会致使公众用户遭受通信服务严重恶化或中断的事件期间,其所提供的服务具有极大成功的可能性。下一代网络在国家安全方面的改进将包括数据、音频与视频等多种服务。由于主要运营商和服务提供商所构想的各种架构具有较大差异,这会使得国土安全部的努力变得复杂化。为此,国土安全部正在考察、比较不同的方案,并争取在提交给标准组织进行考核的方案上与业界达成一致。联邦政府应:

针对下一代网络的国家安全与应急准备通信的能力,制定一个协调计划,包括进度时刻表与经费开支要求;提供联邦政府可以获取的附加服务的选择,或者引导政府将用在信息与通信基础设施上的投资用于提高在自然灾害、危机或冲突时期的通讯设施的存活性;与国际合作伙伴与标准制定机构进行配合,以便在遍布全球范围内的下一代网络环境中维护下一代国家安全/应急准备的通信能力;确保与行政部门连续性通信基础设施和下一代服务计划的开发相关的努力得到足够的人力资源支持。

第六章 行动计划

近期行动建议

⒈任命一名网络安全政策官,负责协调全国的网络安全政策与活动;该官员同时具有国家安全委员会和国家经济委员会双重职责。在国家安全委员会内增设一个职能强大的局,在网络安全政策官的领导下,协调政府部门间的网络安全战略和政策的制定。

⒉为总统批准实行确保信息和通信基础设施安全的最新国家战略做好准备。这一战略应包括对《国家网络安全综合计划》落实情况的评估,明确可以进一步发挥其成功经验的相关领域。

⒊将网络安全列为总统议事日程的优先项目,并制定工作业绩指标。

⒋在增设的国家安全委员会网络安全局中指派一名官员,负责公民隐私和自由权利事务。

⒌召集政府相关机构,就在制定政策过程中遇到的网络安全相关事宜进行清除跨越部门界限的法律分析研究;并制定统一的政策指导,以明确政府各部门网络安全工作的任务、职责和权限。

⒍发起一场促进网络安全公众意识的全国性教育运动。

⒎发展并完善政府对组建国际网络安全政策框架的观点与立场,加强与国际伙伴的关系,主动创新,解决所有与网络安全相关的问题。

⒏制订网络安全应急反应计划;启动旨在加强政府与私营企业伙伴关系的对话,理顺关系、加强协作,为扩大私营企业的参与并发挥其作用创造条件。

⒐与总统办事机构其它部门合作,制订出一个研究和发展战略的框架,侧重发展有助于提高数字基础设施安全性、可靠性、韧性和可信度的革命性技术;让研究界有权使用涉及重大事件的数据,以便开发手段,测试理论,并找出可行的解决办法。

⒑建立基于网络安全的身份管理构想和法律规定,以满足隐私和公民自由权利的关切,指导与加强隐私权保护的相关技术发展。

中期行动建议

⒈对于有关法律解释、政策应用及网络操作权限的机构间的分歧,改进其解决的过程。

⒉使用管理和预算局项目评估框架来确保各部门机构在追求网络安全目标时使用基于绩效的预算编制。

⒊扩大对关键教育项目和研发的支持,以便确保国家在信息时代的经济环境中保持持续的竞争能力。

⒋制定扩充与培训劳动力的战略,包括吸引并维持联邦政府内的网络安全专门技术人才。

⒌确定最高效、最有效的机制以便获得战略性警报、保持情态感知能力和事故响应能力。

⒍制定一系列的威胁情景和指标,用于风险管理决策、恢复规划及研发的优先顺序确定。

⒎在政府和私营部门之间制定一项程序以便协助防范、侦测并响应网络事故。

⒏建立网络安全相关的信息共享机制,消除有关隐私与专有信息的担忧并使信息共享具有互利性。

⒐制定相应的解决方案,要求在自然灾害、危机或冲突时期可以提供应急通信能力,同时确保网络的中立性。

⒑扩大与重要同盟之间有关网络事故和弱点的信息共享,并寻求双边和多边安排,这种安排将可以在提高经济与安全利益的同时,保护公民自由和隐私权。

⒒鼓励学术界和业界实验室之间的合作以便制定换代路径,以及鼓励快速采用研究与技术开发创新的刺激措施。

⒓利用基础设施目标和研发框架来帮助界定国家与国际标准制定机构的目标。

⒔对于高附加值的业务(例如智能电网),建立一系列可以选择加入的、能够相互配合的身份管理系统,以便为在线交易建立信任并提高隐私水平。

⒕完善政府采购战略,并且对于具有韧性且安全的硬件与软件产品、新的安全创新及安全的托管服务,建立市场激励机制。

第二篇:美国国土安全部2011年网络安全战略报告全文

报告在《四年国土安全评估报告》的基础上撰写,列出了两大行动领域:保护当前的关键信息基础设施,建设未来的网络生态系统。指出保护关键信息基础设施的四项目标是:减少网络安全风险;快速应对网络安全事件、提高网络恢复能力;共享网络安全信息;增强网络抗压能力。此外,报告提出加强网络生态系统建设的四项目标:提高个人和组织安全使用网络的能力;研发和应用更可信的网络协议、产品、服务、配置和架构;构建合作型网络社区;建立透明的安全流程。该报告的撰写意图是呼吁保护对美至关重要的关键基础设施,并在一段时间后开发出更强大的信息和通信技术,使政府、企业和个人更安全地使用互联网。

【本刊讯】美国国土安全部网站12月12日发表2011年网络安全战略报告,题为《确保未来网络安全的蓝图》,副题为《美国土安全相关实体网络安全战略报告》,全文如下:

部长致辞(美国国土安全部部长珍妮特纳波利塔诺)我很高兴公布《确保未来网络安全的蓝图———美国土安全相关实体网络安全战略报告》(以下简称报告)。报告是根据《四年国土安全评估报告》要求公布的,反映了网络空间对我们经济、安全以及生活方式的重要性。

我们致力于建设的网络具有以下作用:推动创新和繁荣,推进经济利益和国家安全,并将保护个人公民自由、隐私权纳入美国土安全部的网络活动当中。报告为打造这样的网络提供了蓝图。报告旨在保护对美国至关重要的关键基础设施,并在一段时间后开发出更强大的信息和通信技术,使政府、企业和个人更安全地使用互联网。

维护网络安全人人有责,我们每个人都需在这方面发挥作用。网络安全威胁日益严峻,需要整个社会———包括政府执法部门、私营企业乃至公众参与维护网络安全。当前,美面临多层次的网络安全威胁。构成网络安全威胁的主体既有黑客和有组织犯罪团体,也有拥有先进技术的国家。个人和组织严密的团体利用网络薄弱环节盗取美国的知识产权、个人信息及金融数据。网络窃密技术日益先进以及网络安全事件不断增多,对我们的经济竞争力构成潜在威胁,并削弱了公众获得基本网络服务的能力。政府、非政府组织、私营部门乃至个人、家庭以及社区必须同心协力,有效减少网络安全风险。

州及地方政府、产业界、学术界、非政府组织及许多具有奉献精神的个人都为报告的撰写做出了贡献。他们的参与使国土安全部获益良多,在此谨致谢意。国土安全部还与联邦政府各个部门密切协同,完善这一报告,并确保报告与《2010年国家安全战略报告》、《网络空间行动战略报告》以及《网络空间国际战略报告》保持一致。

我还想感谢国土安全部各位同仁、成千上万的网络科学家、系统工程师、执法人员以及为保护网络安全忘我工作的其他专业人员。我很高兴代表他们发布这份报告。

摘要

报告为建设可靠、安全及具有恢复能力的网络提供了一个明确方案。报告是在《四年国土安全评估报告》基础上撰写的。在该报告的指导下,美各级政府、私营部门以及国际伙伴能够密切合作,增强维护网络安全的能力。这些能力对于我们的经济、国家安全以及公共卫生和安全至关重要。报告列出了两大行动领域:保护当前的关键信息基础设施,建设未来的网络生态系统。报告旨在保护最为关键的系统和资产,并推动人机协同方式的根本转变,以确保网络安全。在维护网络安全活动过程中,保护公民自由及隐私权是国土安全部的一项基本要求。

报告列出了保护关键信息基础设施的四项目标:

减少网络安全风险

快速应对网络安全事件、提高网络恢复能力

共享网络安全信息

增强网络抗压能力报告将上述四项目标细化成九项具体目标。能否实现这九项目标取决于美国国土安全相关实体的能力建设情况,而这些能力在实际工作过程中将转化成具体措施。美国国土安全相关实体需要综合运用这些措施,以有效地预测和应对各种网络安全威胁。报告中介绍的一些措施在当前行之有效,而其他措施则需要进一步完善,还有一些措施需要进一步论证。为实现上述目标,有必要建立一个相互协作并能做出快速反应的网络安全社区。

报告还提出了加强网络生态系统建设的四项目标:

提高个人和组织安全使用网络的能力

研发和应用更可信的网络协议、产品、服务、配置和架构

构建合作型网络社区

建立透明的安全流程报告将上述四项目标细化成十一项具体目标。这些具体目标能否实现取决于报告中提到的一系列能力建设情况。

构建可靠、安全和具有恢复能力的网络环境的工作包括:评估网络安全能力建设的进展、确定这些能力能否有效应对不断演变的安全威胁。根据上述评估结果,我们将对每年工作表现进行对比。这种方法将指出我们在能力建设方面的成绩和不足,明确下一步努力方向。

网络空间支撑着美国生活的方方面面,并为美国经济、民用基础设施、公共安全及国家安全提供了重要支持。保护网络空间需要远见、强有力的领导及国土安全相关实体所有成员的共同努力。美国土安全部撰写这份报告的目的,就是为了探讨美国家安全相关实体如何更好确保网络安全。

引言根据2010年《四年国土安全评估报告》制定的战略框架,国土安全相关实体实施行动的共同目标是:确保美国本土的安全,并有能力抵御恐怖主义及其他危险。为实现这一目标,《四年国土安全评估报告》明确提出了五项核心任务,其中重点强调了网络安全对国家的重要性。

所有国土安全相关实体都有责任完成上述任务。来自各级政府、私营部门和非政府组织的个人都参与了上述任务。除国土安全部等正式肩负网络安全责任的机构外,每台电脑的所有者和关键基础设施的所有者及操作者都有责任维护网络安全。国土安全相关实体在维护网络安全过程中担负的责任和发挥的作用,反映出其规模庞大、丰富多样及相互依赖的特性。

《四年国土安全评估报告》将网络空间安全确定为核心任务的依据是总统发布的《国家安全战略报告》,该报告包括:

宣布数字基础设施是国家的战略资产;

将网络威胁视为最严重的国家安全、公共安全及经济挑战之一;

并将数字基础设施的防护作为国家安全的重点。国土安全部发布《确保未来网络安全的蓝图》的目的,是为国土安全相关实体落实《国家安全战略报告》相关内容和实现《四年国土安全评估报告》提出的目标提供一套明确的行动计划:

建立安全和有抗压能力的网络环境

推广网络安全知识和推进网络安全技术创新该报告的唯一指导原则是:在保护现有关键信息基础设施的同时,建设未来更为强大的网络生态系统。这一原则将指导资源的优化组合,从而系统地发展维护网络空间安全所需的多种能力。

范围

2002年《国土安全法》、第7号国土安全总统行政令、第54号国家安全总统行政令及《2002年联邦信息安全管理法》等文件指出,国土安全部在联邦各部门中负责牵头实施以下任务:保护联邦政府文职部门的信息和通信系统,与相关部门和企业合作保护关键基础设施,与各级政府合作保护其信息系统。“国家基础设施保护计划”、“国家快速反应框架”等文件描述了国土安全部及其他联邦政府部门在确认和保护国家关键基础设施中的作用。但联邦政府仅仅是国土安全相关实体中的一部分,该战略能否成功需要相关各方的共同努力。尤其要指出的是,网络安全需要公共和私营部门在信息共享、创新、推广经验等领域展开强有力的双向合作。

从上述内容看,本报告旨在向国土安全相关实体提供实际和有意义的指导,使其能够确保网络空间的安全,并使所有希望能安全使用信息及通信技术的人受益。

与其他重要政策和战略的关系本报告支持以“政府一盘棋”的方式维护国家安全,并在制定过程中充分考虑了当前的国家网络空间战略和政策,其中包括:《白宫网络空间政策评估报告》、《网络空间国际战略》、《打击跨国有组织犯罪战略》、《综合国家网络安全倡议》、第7号国土安全总统行政令、第54号国家安全总统行政令、《网络空间可信任身份国家战略》及《国防部网络空间行动战略》。

动机

美国高度依赖网络空间。网络空间是现代社会的支柱之一。但网络技术在丰富我们的专业和个人生活的同时,也赋予一些人扰乱或破坏我们生活方式的能力。保卫和控制网络空间隶属国土安全工作的范畴,是因为可能导致严重后果的大规模网络事件将损害公共和私有部门的重要功能与服务,影响我们的国家安全、经济活力及公共健康和安全。

由于恶意使用网络者正在使用越来越复杂的手段、技术及程序,网络事件的数量和复杂程度不断上升:

关键基础设施必须能够抵御复杂和持续的破坏行动,并做好应对更多破坏性攻击的准备。这种破坏行动可以削弱或扰乱我们所依赖的基本服务。

政府机构必须防备可能移除或损毁敏感数据并干扰重要服务的非法行为。

大型企业、小企业和非营利组织面临着技术日益复杂的入侵行为,其对象主要是上述机构的消费者和客户的知识产权及个人信息。

消费者面临的风险通常是个人信息被盗,入侵者主要通过互联网上无数的站点实施未经授权的入侵行为。

战略预想

尽管我们无法预测未来网络空间的具体情形,但我们必须制定一套充分掌握正在塑造未来网络空间的各种力量要素的相关战略,以确保美国拥有在网络空间中的领导、影响和应变能力。鉴此,该战略应建立在以下预想之上:

恶意网络行为的数量和复杂程度的不断提升,要求我们共享网络安全信息,快速应对网络安全事件,打造一支专业的网络安全人才队伍。

社会、经济和产业领域对信息和通信技术的依赖不断加深,不仅有助于提高生产力和促进创新,而且也增加了网络用户群、扩展了网络技术设施以及需要保护的网络路径。

网络发达的互通性使其超越了地理边界,为国际合作提供了极大便利。但其存在的风险也从根本上改变了美国安全威胁的构成,这就要求我们调整现有的安全和威慑机制。

随着网络数据信息的急剧膨胀,分散和远程的网络管理既提供了新的机遇,也带来了更多的安全挑战。移动技术的发展使入侵者更容易获得敏感信息。网络风险的差异和个人、机构等对网络安全等级要求的不同,使以往“一刀切”式的安全防护措施不再有效。相关部门应制定一套基于风险的应对方案,使之能够随时进行调整、重点关注网络输出和运行情况、提高用户应对能力、促进创新和符合费效比原则。

信息和通信技术供应链的全球化为促进创新和鼓励竞争提供了机遇,同时也带来了更多风险。

第一章 我们所追求的未来

信息革命几乎改变了我们日常生活的方方面面。可靠的数字化基础设施将为创新和经济繁荣提供一个持续的平台,并使我们能够在遵循我们核心价值观的情况下,推进美国的经济和安全利益。为使我们的下一代发挥出信息革命的全部潜力,国土安全相关实体必须确保建立可靠、安全和具有抗压能力的网络空间,同时提升网络安全意识和创新能力。这一复杂而高强度的行动需要大量研发投入并经过实践的检验。本报告将为此提供强有力的基础。

根据《四年国土安全评估报告》的相关要求,国土安全相关实体应致力于创建:

一、安全的网络空间

保护美国及其民众、核心利益和生活方式未来,我们将在确保网络空间安全方面取得重大进展。国防和创新领域的敏感信息将得到进一步保护。美国民众在进行网上交易时将更有信心,影响关键信息基础设施的安全风险将被降至最低。个人和机构将具有较强的网络安全意识,并能采取相应的安全措施。美国国内及国际网络安全政策、法规将能及时反映当前的网络环境状况,并预见到未来的安全需求。监管机构拥有必要的网络工具和人才队伍,以确保各机构落实相应的安全措施。各国成为负责任的网络空间行为体,并拒绝为恶意使用网络者提供“庇护所”。一旦网络空间被恶意利用,各机构能使用必要的手段锁定入侵者并将其绳之于法。联邦机构和私营领域实体将拥有必要的网络安全专业技术人员,以满足其任务需求。

二、具有抗压能力的网络空间

提升个人、社区网络系统的活力、适应能力、快速反应能力和修复能力未来,我们打造的网络安全框架将能实时侦测网络威胁,并根据不同的突发事件制定相应的信息防护措施。包括通过模拟、仿真和演习,来确认和降低安全威胁等级。演习能定期检验关键基础设施的快速反应能力和计划的可持续性,并为决策者和投资者提供对策建议。国土安全相关实体将拥有灵活的信息分享机制———关于威胁、弱点和防护能力的重要内容将在公共和私营部门进行实时传输。在网络安全关键行动继续展开的同时,网络安全框架也将对重大事件做出快速反应。

三、鼓励创新的网络空间

通过合作创新,实现人、设施和市场的互联,以促进经济增长未来,美国人将拥有无处不在的网络接入设施。它将使个人、企业和市场之间的互联互通更加迅速和便捷。随着互联网用户使用新的网络设备,以往各自隔离的实体之间的交流将越来越多。新的信息和通信技术将把新兴市场与发达市场连接起来,并随着信息的加速流动,推动跨地区合作和促进欠发达地区的经济增长。以往的单机装置,如能源仪表和家用电器,将越来越具有通用性,消费者和企业将从中受益。更具活力的安全机制将降低消费者的风险,并使各机构获得更优质的服务和安全防护能力。在确保网络空间安全的同时,我们还要维护自由贸易原则、促进更广范围信息的自由流通、承担全球责任以及满足国家的需求。

四、保护公共安全的网络空间

确保美国民众的安全

未来,管控能源、交通运输、化工和关键制造业等关键基础设施部门的工业系统和控制系统,以及运行在各类医疗设备、交通工具和其他领域中的嵌入式系统,均能更好地抵御各类可能危害公共安全的网络破坏和攻击行为。在这一网络空间中,执法和应急反应等重要公共安全部门也能继续依赖完整且随时可以使用的信息和通信技术。

五、促进经济利益和国家安全的网络空间

增强美国的经济竞争力和国防安全

未来,安全、可靠的网络空间将为美国经济增加动力,使美继续保持经济强国地位。在该网络空间中,商业部门将更加充分地了解其面临的风险,对其知识产权的保密性、完整性和可用性也将充满信心。安全的网络空间能够支持国民经济有效运行,也可支持各类关键社会服务的开展。健康的网络空间还有利于国土安全部完成其他任务:预防恐怖主义、维护边境安全、执行移民法以及从事故灾难中迅速恢复。最后,通过同美国国防部合作,这一安全的网络空间将支持美国政府履行其保护国家安全的关键使命。

第二章 指导原则

美国人的价值观、基本原则和生活方式为报告提供了指导原则,其基础是保护隐私和公民自由。报告也体现了美国提出的“开放政府倡议”中的透明、参与和协作等理念。开放使民主变得更为强大,也可使政府的效能与效率得到提升。坚持上述原则是各利益攸关方增强本报告所述各种能力的关键。

一、隐私和公民自由

在确保网络空间安全的过程中,国土安全相关实体将保护公民权利和尊重隐私。每个公民都可了解其个人数据将如何被使用,并可相信其使用将是恰当的。美国国土安全相关实体将支持一个开放、互动的网络空间,个人可借此在全球范围内寻找、接收和影响各种信息和思想。信息的自由流动是互联网快速演变和成长的关键所在。网络空间也必须继续成为自由联接和自由表达的场所。

二、透明的安全流程

国土安全相关实体将在高度透明和负责任的流程下开展保护网络空间安全的活动。坚持“按需分享”和“谁提供谁负责”的合作原则,将使具体、可操作的网络安全信息得以传送给需要的人员,同时保护公民自由和隐私。美国政府、私营部门和国际伙伴之间的互动,可增进安全措施的效能,并提升决策质量。这既兼顾了公私利益,又有助于共享网络安全信息。

三、在分布式环境中共担责任

保护网络空间安全的各种力量散布在国土安全相关实体中,大量的网络安全专家也分布在诸多不同领域。因此,国土安全相关实体将利用网络空间这一分散性来保护网络自身。国土安全相关实体将继续努力增强地方政府和个人的能力,通过集体行动汇聚所有力量,以实现共同的安全利益。为确保所有人都处于安全的网络空间环境中,每个人都必须承担责任。国土安全相关实体将培养共同的责任感和公民义务意识,也将综合运用各种知识来处理安全问题和开展网络空间安全行动。

四、基于风险、费效比高且便于应用的安全政策措施

在个人、机构和国家等层面,网络空间的安全风险和对这些风险的承受能力各不相同。在确定网络空间中的关键系统及资产和必须应对的最主要风险的过程中,国土安全相关实体必须与他们分享见解。国土安全相关实体将区分网络空间安全行动的轻重缓急,以确保将资源持续地用于可最大程度降低风险的领域。有效降低网络空间的脆弱性,有赖于全面系统地评估各种网络空间安全政策措施的风险、成本和应用情况。在使用信息和通信技术的过程中,所有用户都面临某些风险。必须更好地了解这些风险,才能在参与网络活动和交流时做出明智的决定。

第三章 战略概念

报告体现的唯一且一致的战略概念是:在保护现有关键信息基础设施的同时,建设未来更为强大的网络生态系统。这一战略概念将指导美建立安全、可靠及具备抗压能力的网络空间,并形成各利益攸关方共同致力于提升美网络空间能力的局面。

一、重点关注领域

该战略概念包含两个互为补充的重点关注领域:保护关键信息基础设施。重点关注网络生态系统中软、硬件设施对美国至关重要。减少信息基础设施面临的威胁、确保其具备快速反应能力和网络安全信息共享能力,以及增强其快速恢复能力是保护信息基础设施的最佳途径。

提升网络生态系统的能力。此举旨在推动人机协同方式发生彻底改变,使人与设备能够更好地“融合”,以此确保网络空间的安全。这一革命性的改变将通过提高个人维护网络安全的能力、研发和使用更为可靠地网络协议、服务和产品、加强相关部门在维护网络安全方面的协作,以及建立透明的工作流程等方式实现。

二、成功的含义

国土安全相关实体的投入产出效益将通过量化的标准加以衡量。

(一)保护关键信息

基础设施在面临最严峻的威胁时,基于效果的衡量标准如果能够证实关键信息基础设施的所有者和经营者能够妥善管理风险,信息基础设施能够确保安全,我们认为关键信息基础设施得到了切实有效的保护。

(二)建设网络生态系统

当符合下列条件时,网络生态系统才是安全的:

用户能够充分认清、掌握和管理信息和通信技术风险;

机构和个人能够按规定执行安全和隐私条令;

个人、机构、网络、服务和设备满足网络安全标准;

信息和通信技术具备安全的通用性;

接近实时的端对端协作能够对网络安全事件发出警告并自动做出反应。

三、如何保护关键信息基础设施

确保国家关键信息基础设施的安全,需要联邦政府各个部门和机构之间的多边合作,也需要联邦,州和地方政府、非政府组织和私营部门之间业务合作。在联邦政府层面,国土安全部与军队、情报界和执法部门的协作是我们防范和有效应对网络威胁的基础。报告描述了国土安全部如何根据第7号国土安全总统行政令、第54号国家安全总统行政令及《2002年联邦信息安全管理法》,与合作伙伴共同采取防范措施。国土安全部将发挥坚强的领导作用,保护联邦政府中非保密的文职部门。

在下文中,报告列出了保护关键信息基础设施的四项目标,国土安全部将采取九项措施实现上述目标。实施过程中,各种措施需要相互配合以有效地预测和应对的各种威胁。下文中介绍的一些措施在当前行之有效,而其他一些措施则需进一步完善,还有一些措施需要进一步论证。为实现上述目标,有必要建立一个相互协作且能做出快速反应的网络安全社区。

每种能力都包含相应的人员、流程和技术因素。由于网络社会具有全球性,我们需要与国际伙伴共同建设和运用这些能力。报告的结语部分将详细介绍如何在后续的实施计划中对能力进行优化组合。

美国国土安全部支持通过新的立法,以促进在政府和私营部门之间自愿分享合法获取的网络安全信息。此外,相关立法行动应在现有指导原则之下,为私营部门分享网络安全信息提供免责保护。相关法案还应鼓励政府和私营部门以适当方式及时分享网络安全信息。

网络安全立法活动应在透明和充分吸收广大民众意见的基础上授予或加强国土安全部以下权力:

为加强网络安全,确定拥有或负责运行关键信息基础设施的实体;

确定需要应对的具体网络安全风险;

评估并确定应对上述风险的标准化程序;

要求相关实体完善维护网络安全的计划,确定应对上述网络安全风险的方法;

建立第三方评估机制,评估相关实体在管理和应对网络安全风险方面的效能。

国土安全部支持通过修正《联邦信息安全管理法》,使国土安全部担负起联邦文职行政部门信息安全的主要责任,这将赋予国土安全部以下权力:

公布必须执行的信息安全政策和命令;

评估相关机构的信息安全计划;

指定相关实体负责接收信息安全方面的报告,内容包括信息安全事件、威胁及影响信息系统的弱点等。

(一)减少网络安全风险

1.规避威胁:通过持续运用国土安全部国家网络安全保护系统,削弱国内外罪犯利用、损害、瘫痪或摧毁关键信息基础设施的能力。

国土安全相关实体应具备的核心能力包括:

防入侵系统及其他安全技术。可减少进出信息和通信系统的恶意流量。

在防止、调查和起诉网络犯罪行为过程中加强国内法和国际法的执法力度。

通过专门的技术训练、使用先进的调查手段、建立相关国际合作等方式,加强证据共享及将犯罪分子绳之以法的能力。

通过全源信息搜集和分析,确认相关威胁的实施者及其使用的策略、技术及步骤。

就关键信息基础设施面临的最严重威胁发布及时、有针对性和可操作性的信息。信息共享论坛、分析中心、工作小组、提供合作的门户网站、简报及其他机制的运行,有利于国土安全相关实体中的利益攸关方进行威胁信息的分发和交换。

组建与威胁信息的发布者和使用者进行接触的团体,从而确立描述、解读和自动处理威胁信息的标准。

将网络安全事件报告的指导方针和激励措施发放至适当的机构和个人,包括网络安全专家和各级政府,以及联邦执法部门和突发事件反应中心。

2.强化关键信息基础设施:采用适当的安全措施以管理关键系统和资产面临的风险。

国土安全相关实体应具备的核心能力包括:

确定在受到干扰、破坏或毁坏的情况下,最有可能对国家安全、经济安全和公共健康或安全造成影响的关键信息基础设施,其中包括网络互联节点、域名系统、卫星地面站、电缆平台、工业和监控系统、关键商业或交通系统和其他支持关键功能和服务的系统。

运用技术和相关指导原则对网络进行管理。

评估各类网络威胁并根据结果确定重点的领域,如某个特定的威胁会利用网络的脆弱性并引发严重的后果。在系统、组织、部门、区域、国家和国际层面的威胁评估将帮助公共和私营部门的相关实体了解其面临的风险,从而使其能确定优先行动领域以降低风险和进行投资。

借助相关网络安全标准有效应对威胁。运用具体的管理手段、技术和安保措施以降低风险,这已被写入联邦政府文件当中。

不间断地对内部网络进行监督和测定,确保风险管理根据技术或风险环境的变化实时进行调整。对风险管理的第三方评估将验证该行动是否符合标准。

上述措施将对关键基础设施的技术弱点进行界定、分类,并找出需关注的重点领域。

3.实现革新:寻找新方法以应对业已存在的问题,同时开发应对潜在安全挑战的新技术。

国土安全相关实体应具备的核心能力包括:

将研发重点放在需要优先考虑的关键安全领域。联邦网络和信息技术研究与开发计划列出以下研究重点:“内置式安全措施”、“定制可信的网络空间”、“移动目标”及“网络经济激励措施”。

迅速应用新开发的产品和工具,以应对不断变化的网络安全威胁。

整合国家网络研发活动,包括国防、执法、反情报部门等开展的研究活动。

(二)快速应对网络安全事件、提高网络恢复能力

1.鼓励相关实体优先采取行动:重大网络安全事件威胁公共安全、削弱公众信心、影响国民经济和国家安全。因此,一旦发生重大网络安全事件,相关实体应采取联合行动,迅速做出反应,恢复网络安全。

国土安全相关实体应具备的核心能力包括:

及时和准确查明、报告、分析网络安全事件并做出反应的能力:当网络安全事件发生时,应通过国家网络安全和通信中心等负责监视和预警部门,协调有关部门,搜集与汇总网络安全事件的信息,协调联邦、州、地方政府部门以及私营机构和国际伙伴的行动,以及时和准确地查明、报告、分析网络安全事件并做出反应。

制定成熟和操作性强的应对和恢复预案的能力:该预案不仅能应对网络安全事件造成的物理性后果,还要能消除物理破坏造成的网络影响。

建立强大伙伴关系的能力:为能迅速重建关键信息基础设施,国土安全相关实体需要建立强大的伙伴关系,包括与第一批做出反应的相关实体密切合作,以及在必要时政府或私营部门的专家提供远程或现场技术帮助。

网络威胁调查和分析能力:通过网络威胁调查和分析,确定恶意网络行为对基础设施的影响。通过提供法律行动所需的证据,为采取反制措施提供前瞻性分析,预测和防范未来可能发生的敌意行为。联邦调查局领导的国家网络调查联合特别工作组就是专门从事网络威胁调查和分析的跨部门机构,它具有扭转攻击造成的被动局面、确定攻击者的数字和物理特征等能力。

标准化的自动修复能力:将系统恢复至正常、安全的状态。

2.做好网络突发事件应急准备:举行网络安全演习,以检验应急计划并总结经验教训。

国土安全相关实体应具备的核心能力包括:

组织跨部门演习的能力:评估和验证各个部门在信息共享、事件反应和恢复等方面的准备情况。

组织在特定机构和部门内部举行演习的能力:在系统、组织、机构、地区、国家和国际等各种层面,检验其应对网络事件反应并从中恢复所需的步骤、程序、报告机制等。

整体规划能力:运用商业网站、与软硬件和网络服务供应商达成协议等手段,并综合考虑设施、人员、装备、软件、数据文件和系统构件的基本情况,进行整体规划。

建立相关机制的能力:该机制应包括对演习进行评估、总结经验教训和制订改进计划等内容。

(三)共享网络安全信息

共享网络安全信息是减少网络安全风险、快速应对网络事件和提高自我恢复能力的关键。

1.整合信息:对从不同机构、地域、国家和国际资源中获得的信息进行整理、归纳。

国土安全相关实体应具备的核心能力包括:

国家网络安全防护系统:该系统由人和传感器组成,可根据特定网络安全相关实体的需要搜集并实时交换信息,这些信息主要涉及网络威胁、弱点、后果、预警和反制措施的信息。

分析能力:迅速分析不同来源的相关信息,帮助各级决策者和网络安全设施防止恶意网络行为。为此,国土安全部应与其他联邦机构合作,向国土安全相关实体提供无差别的、有用的网络安全信息。

与可信赖的伙伴共享信息:这些伙伴包括同类和相互依赖的组织、政府机构和企业,将他们联系一起的机构是降低风险联合中心、特定部门信息共享和分析中心、部门协调委员会、安全和网络行动中心、计算机事件反应小组。

建立统一的标准:按照预定程序搜集和存取信息,根据相关协议或谅解备忘录、部门间协议等建立可信的信息共享环境;签署协议和建立国家层级的机制,如保护关键基础设施信息项目的信息标识,以保护私营机构与联邦政府所共享的信息。

2.有效分发信息:利用多种平台及时发布特定的、行动性信息。

国土安全相关实体应具备的核心能力包括:

及时交换网络预警信息:美国政府与各利益攸关方通过以下平台交换网络预警信息,如美国计算机应急小组预警系统、国防部网络态势预警系统、联邦调查局初级防护项目、美国特勤局电子犯罪特别小组、国家标准和技术数据研究所等。

建立强大的信息分发平台:该平台无论在平时,还是在发生重大网络事件时,均能向各利益攸关方持续分发网络威胁的特征、标识、弱点等信息,并提供应对威胁的具体方案。

有效的沟通战略:利用社会媒体进行沟通时,应努力确保时效性与沟通频率,保持沟通顺畅并能控制相关风险。

可方便使用数据信息的措施:在必要时或向更多公众提供信息时,该措施能保护信息来源、传播途径和平台安全。

经济激励等措施:通过赠予、补贴、税收优惠以及提供可靠的保护措施等手段以促进合作。

3.为网络从业人员提供专门的网络安全培训和认证:培训网络从业人员以提高其竞争力。

国土安全相关实体应具备的核心能力包括:

改进培训方法:使网络技术人员能够设计、建立安全且具有恢复能力的信息技术系统。

做网络安全专业知识的提供者:这种知识能够通过课堂或其他类似环境下的学习,以及在公共与私营部门之间进行人员轮岗的方式来实现。

发展并运用网络安全相关职业与领域的“成熟能力模式”:这些职业与领域包括信息技术管理、电子工程、计算机工程和通信业。“成熟能力模式”一词是用来描述在初、中、高三种等级从事特定任务所必需的技术能力。

(四)增强网络抗压能力

1.提高网络的纠错能力:增强系统在网络安全环境恶化的情况下完成核心任务的能力。

国土安全相关实体应具备的核心能力包括:

全面理解关键基础设施存在的弱点和可能导致系统崩溃的潜在漏洞。

设立结构性指导原则和恢复能力标准,例如,减少多路通信过程中可能出现的单点阻塞、在正常状态下快速存储、出现错误时立即实行隔离并遏制扩散、建立恢复模式以最大限度减少损失。

与现有恢复能力标准和指导原则保持一致,包括符合美国国家标准与技术研究所出版的《信息技术系统的应急计划指导》、国际标准化与国际电子技术委员会颁布的《信息技术安全技能:信息与通信技术长期规划指针》的相关要求。

根据“网络与信息技术研究发展项目”,掌握在软件和网络方面自主创新的方法。

持续评估确保恢复能力的战略与项目的效果。

四、如何建设网络生态系统

如上文所说的“智能电网”一样,关键信息基础设施属于网络生态系统一部分。国土安全相关实体将在维护网络生态系统安全性方面取得阶段性进展。这需要我们增强个人与组织安全使用网络的能力;开发和使用值得信赖的协议、产品、服务、配置及架构;建设合作型网络社区以及确保进程透明。为加强网络生态系统建设,本报告提出以下四项目标以及11项具体目标。

(一)增强个人和组织安全使用网络的能力

1.增加公共与私营部门的网络从业人员:维持一支强大的网络安全专业队伍,其工作是开发和应用网络安全技术,以确保消除当前及未来的威胁。

国土安全相关实体应具备的核心能力包括:

发展一套严格的网络安全与软件学习课程,以保证能持续学习特殊领域的专业知识。相关科目应涉及科学、技术、工程及数学。美国国家网络安全教育机构将推出正式网络安全教育项目,通过设立从幼儿园开始的12级技能培训、更高等级的教育与职业项目等方式,提高相关人员的技术水平。此外,四年制及有资格授予研究生学位的大学应成为美国信息技术教育方面的学术研究中心。

通过提供奖学金、补贴及税务优惠等措施鼓励学生学习特定领域的专业知识。“联邦网络服务:公共事业项目奖学金”将向那些进入特定机构进行深入学习的学生提供奖学金,以资助其在书本、学费及住宿等方面的开支。

拴心留人。保留人才可通过以下方式进行:积极招募、快速录用、破格提拔、在职培训以及开展雇员满意程度调查。

具备必要技能。包括视情颁发网络安全专业合格证书。

2.为分布式安全建立基础:向个人提供与其地位相符的资源,如工具、建议、教育、培训等,使其能依据当前网络安全特性及协议、产品与服务情况维护各自网络安全。

国土安全相关实体应具备的核心能力包括:

在国家、社区及机构三个层面开展网络安全活动,为特定人群提供建议、资源、工具,帮助其理解网络安全威胁,并在加强网络生态系统建设方面发挥各自作用。这些活动在联邦、州、市、县、印第安人保留地及海外领土等各个层级展开,包括国土安全部的“停一停、想一想、再上网”活动,“国家网络安全意识月”等。

为个人采取网络安全措施提供最佳行动指导。

建立一套机制,提醒用户其使用的工具和系统存在漏洞或已被感染,并使用户能据此采取行动。

(二)开发并使用可信的网络协议、产品、服务、配置与架构

1.降低脆弱性:开发并应用专门用于减少漏洞的信息与通信技术,该技术能通过维持或强化系统安全态势,及时感知、应对及输送系统内部及周边系统安全态势所出现的变化。

国土安全相关实体应具备的核心能力包括:

在那些有权设立国际标准的组织和论坛上保持领导地位;

推广使用安全的软硬件产品;

树立贯穿于系统开发整个周期的安全意识;

建立安全产品的评估与认证制度;

增强开发技术、拟定标准的研究能力;

改革商业市场,缩短新技术应用周期,以应对不断出现的网络威胁;

整合供应链,提高值得信赖的产品与服务的应用效率。

2.提高可用性:开发值得信赖的技术,使之易于使用、易于管理,并能快速定制,发挥预期的效能。

国土安全相关部门应具备的核心能力包括:

提出需求和指导纲领,以阐明在部件组装、体系构造、运行管理、人机界面和可用性网络性能方面的主要特点。人机界面的标准由美国国家标准协会发布,而可用性网络标准是由欧盟发起制订的。

研究并确定有关用户社区内那些可被迅速采纳和标准化的安全技术,并使之融入研发进程。

(三)建设合作型网络社区

国土安全部白皮书《强化网络空间的分布式安全》提出了认证、兼容和自动控制等三种能力。

1.网络身份认证:采取基于风险的原则进行认证,提高参与网上信息交换的个人和机构的网络身份信任等级。

国土安全相关实体应具备的核心能力包括:

基于风险和敏感活动的认证和授权。上述敏感活动通过证明需求、属性/授权需求、远程进入准则和界定信任模型。

采取加密登录、数字证书和其他多种认证方法,以降低敏感信息交换的风险。

加强网络管理包括改进体系设计、基于用户的设计、基于政策的邮件路由和储备、确保内部关联和避免相互干扰、提高系统兼容性以及管理方法。

2.提高各技术设备之间的技术和政策兼容水平:在设备对设备层级,加强合作,促进创新,增强网络安全信息共享能力。

国土安全相关实体应具备的核心能力包括:

具备网络突发事件的预警能力。该工作借助有关重要信息要素的标准化参考文件展开,内容包括确认软件脆弱性、薄弱环节、网络攻击范式、恶意软件分类以及传输的安全内容,而后者是依据所需时自动分享原则而设置的。其信息来源包括“国家脆弱目标信息库”、“普通脆弱性和暴露性目标(信息库)”、以及属于“国家检验清单项目”的“信息确保清单”。

建立统一的界面标准,以使诸如公共关键密码系统标准、无线电频率识别器空中界面标准和数据格式标准能够实现技术兼容,实现辨别指纹、面部和其他生物特征信息。

3.自动化安全步骤:以接近实时反应的方式,通过自动化机制,预测和防止攻击事件,缩小事件在联网各设备之间的传播,将事件危害降至最低水平。

采取数字化政策,使所有者和用户能够采取可靠的安全行动,按照有关政策,将遭受病毒感染的设备脱离网络连接。经批准后,改变未受病毒感染设备的配置,使其更加强健,以应对网络入侵,并防止恶意软件攻击和未经授权的网络信息外流。

确立合作框架和程度,建立一致的网络安全目标、共同行动原则,从而提高反应速度,优化决策程序,以便于采取新的安全措施。

(四)建立透明的安全流程

1.公布网络空间的突发事件及原因:像卫生官员向公众通报健康和疾病信息一样,向公众提供详实的网络空间安全威胁信息,核实当前和未来网络地址(如.gov,.com和.edu)中攻击事件发生的位置,了解其原因、范围和影响。

国土安全相关实体应具备的核心能力包括:

设立信息共享机制,以使匿名化传输的事件数据能被当前事件监管部门兼容使用。

向国土安全相关实体和国际伙伴分发有关网络安全能力、态势、危险和事件爆发的信息,以使有关各方能自动采取预防措施。

与国防和情报界合作侦测网络威胁。

2.基于效果采取安全举措:同有关各方分享有关网络协议、产品、服务、配置、设计、供应链和组织流程的安全绩效信息。

国土安全相关实体应具备的核心能力包括:

向国土安全相关实体和国际伙伴分发有关网络协议、产品、服务、配置、设计、供应链和组织流程的安全绩效信息,以遏制网络危险的传播和影响。

建立一种机制,使投入优先向基于效果和能力的项目倾斜。这种效果和能力应被证明能将风险减至可接受的水平。

3.关注投资回报:评估网络安全投资对组织机构的影响,集中于运行成本、基本建设预算、业务灵活性、以及因数据侵权或未能履行服务协议而支付的赔偿支出。

国土安全相关实体应具备的核心能力包括:

通过使用量化网络安全投入和迅速确立投入产出比的方法,加快采取和执行网络安全措施的速度。

维护并共享数据,以便论证网络安全的投入产出效率。

4.激励履行职责:建立、维护并提高有关网络安全的目标和措施体系。

国土安全相关实体应具备的核心能力包括:

设定希望达成的目标和成果并积极采取行动,以使国土安全相关实体能明确其任务要求。

提出支持国土安全相关各方目标的需求、指导原则、政策方针、步骤流程和自愿性的行动守则。

建立相关程序和机制,评估检验其获得的进展。

分析网络安全措施、项目和计划的功效和影响,如发现不足,应努力重新设定目标,并不断取得进步。

结语

网络空间支撑着美国生活的方方面面,并为美国经济、民用基础设施、公共安全及国家安全提供了重要的支持。保护网络空间需要远见、强有力的领导及国土安全相关实体所有成员的共同努力。这种努力预见和增强了团队协作、相互负责、认可与支持的文化。

这一战略明确阐述了如何实现国家安全战略构想及《四年国土安全评估报告》目标的方式,即建立可靠、安全和具有恢复能力的网络环境,推广网络安全知识和创新。“保护关键信息基础设施”和“加强网络生态系统”两大任务重点将促进国土安全相关实体的能力、行动及资源的优化组合。在国土安全部,这一进程将有助于制定为期五年的“未来国土安全项目”。

国土安全部将与国土安全相关实体中的利益攸关方合作,共同制定一份能够合理安排行动、设定关键转折点和跟踪进程的实施计划,用以建设该战略所需的各种能力。此外,国土安全部将带领国土安全相关实体制定相关标准,用以衡量关键安全能力的有效性。国土安全部还将在国土安全相关实体内部设立相关基线,从而能将每年的成绩与上一年进行比较。这一行动将重点突出取得的成绩、存在的问题及额外需要的资源。为满足遂行网络安全任务的需要,国土安全部将继续根据相关法律和原则保护隐私及公民权利。

保护网络空间是一项要求所有人都积极参与的复杂事业。通过利用这一报告提供的框架,我们将为实现我们的目标而努力进取。通过上述努力,国土安全相关实体能使网络空间成为推动美国生活方式繁荣永续的安全之所。(武益祖译)

第三篇:2018美国最新留学政策

美中国际出国留学官网:http://www.xiexiebang.common App对课程和成绩要求更详细

Common App(CA)作为美国大学本科申请的重要系统,该系统的正确使用直接关系着大家能否顺利申请到理想美国院校的offer。

CA申请系统新增Courses & Grades功能,将要求学生列出高中期间的所有课程,此外,成绩也要显示出来。虽然学校最终也会收到官方上传的成绩报告,但手动输入成绩会帮助学生对自己的成绩变化有一个概览。

其次,CA在填表的时候,从个人资料的8个方面到家庭状况的4个部分,再到Education(教育信息)和参加考试。

美国留学新政策二 N美国留学新政策

12所学校需申请者自报成绩目前

有12个美国大学要求申请者自报成绩和课程: 乔治华盛顿大学

The George Washington University(Washington, DC);南加州大学

University of Southern California(CA);俄亥俄州立大学

The Ohio State University(OH);普渡大学

Purdue University(IN);西弗吉尼亚大学

West Virginia University(WV);伯明翰南方学院

Birmingham-Southern College(AL);查普曼大学

Chapman University(CA);爱达荷学院

College of Idaho(ID);New York School of Career & Applied Studies of Touro College & University System(NY);美中国际国际教育http://www.usaedu.net

美中国际出国留学官网:http://www.usaedu.net

瑞盆学院 Ripon College(WI);圣若望大学 St.John's University(NY);Underwood International College, Yonsei University(Seoul, South Korea)美国研究生招生重点

由于美国大学研究生阶段的学习,更多的专业知识的深入研究与探索,因此,美国院校招收会很看重学生的GPA成绩。小编提醒大家,在美国校方看来GPA就代表着学生的学术能力,因此,更能突出学生入学之后,能否有一定调研与深入研究的专业能力。

GPA是门槛性质的要求,满足最低标准后,就能进入下一环节。当你的GPA是明显的硬伤的时候,一定不能谎报。但可以通过以下四个方法做弥补:

强调自己的排名,即在年级的前5%或10%。如果学校整体给分较低,这样也可以突出自己学习能力强的优势。

强调自己的Major GPA,或是在PS里强调自己在专业中取得的成就。如果一些核心的专业课程考砸了,尽量不要在PS中试图挽回。因为这属于极难洗白的硬伤,越描越黑,所以最好祈祷课程名译为英文后,对方没有看出这是一门核心课程。

在PS里强调自己的成绩的递增趋势,同时可以指出自己对专业越来越了解,越来越热爱。

通过海外交流的机会证明自己的学习能力。海外交流经历如果可以转换成正式学分,则可以提高GPA。除此之外,还可以在PS或者简历中特别指出交流期间的成绩,证明自己的学习能力。如果能拿到对方官方的成绩单,增加成绩的公信力,就最好啦。

各大学校的GPA成绩具体要求都可以查到。不过,如果你的GPA达到了3.5、3.6那么可以完全不用为自己的GPA操心了。

美国留学新政策三 N美国留学新政策

CB官网调整2017-2018年SAT出分政策

为了让SAT考试能够尽快出分,2017-2018年的出分政策有了新的变化,2017年下半年起SAT出分时间缩短至2周。往常SAT的出分惯列是阅读、数学、写作同步出分,而调整后的出分政策变为:阅读和数学成绩将早于写作公布,写作部分成绩将在其它成绩发放后的5天公布。

因此,选择不考SAT写作部分的同学可以早些收到分数,并且将分数送至大学。美国留学新政策四 N美国留学新政策

川普修改税法,留学生“奶酪”变化

据报道,这份新的税改法案通过之后,将对美国145000名研究生和众多留美博士生的学费与奖学金产生重要影响。而影响人群最大的当属,美国留学申请人数最多的STEM类专业。

由于法案要求研究生应为被减免的学费交税,法案生效后,在美研究生的纳税金额将增加3-4倍。《华盛顿邮报》则援引国会税收联合委员会估算称,法案将在未来10年给学生和家庭增加超过710亿美元的负担。

美中国际国际教育http://www.usaedu.net

美中国际出国留学官网:http://www.usaedu.net

不少留学生削尖脑袋申请美国读博,除了因为美国教育的强大外,还有一个重要原因就是美国学校给出的诱人奖学金,靠着每个月的工资支持着很多博士一熬七八上十年。而如今这仅有的经济支持也要被税改削弱,新税改政策明确提出,博士们不再享受税务减免!其中引起民众最大反响的是“学生的免费学费要缴税”,这将加大学生的学费负担。因为根据美国现有的税收法规,政府对助学金征税,但对免除的学费免税。一般而言,美国大学一年的学费在 4-5 万美元,公立大学因为有州政府的补贴,学费在 2-3 万美元左右。

与此同时,美国高校,许多博士生在大学担任教学助理或研究助理以换取学校的助学金和学费减免,据美国求职网站 Glassdoor 统计,博士生助理每周工作约 20 到 40 小时,平均年薪不到 3 万美元。

据估计,假如最新的税改方案得以实施,学生平均每年将额外支付 2000 美元的费用,对学费较贵的私立大学学生和学时较长的博士生影响最大。

美国留学新政策五 N美国留学新政策

留学签证申请到时限发生变化

原规定“美签到期48个月内就可以享受免面谈续签服务”,现缩短至“到期12个月之内”才可享受免面谈续签服务。

该政策一出,下面三种人将在美生活将受到影响 1、2014年初来到美国后,再没回国的F类学生签证续签会受影响。

2、对目前持有10年有效期的B类商务/旅游签的中国公民几乎没有影响。

3、对目前于持有5年F类学生签,1年H类工作签证影响较小。

除此之外,美国开始加强留学生签证审核条件,增加电话调查。电话调查的对象:电话调查人员一般是使馆的中方工作人员,他们一般会致电担保人或申请人的单位,核实收入、工作背景等相关情况,以及申请人家庭的相关背景情况。

美国留学签证手续费变更

以前,留学生签证时只需一次性缴纳SEVIS费 200元,但新提案将会要求留学生每年都需要缴交这笔费用,赴美留学生就没有5年的多次入境签证。

转学、没有按时毕业,都要重新签证

此外,新提案考虑将规定在学生居留许可上列出预计攻读学位的截止日期。如果大学毕业后要申请研究生项目,必须重新取得学生居留许可。

美中国际国际教育http://www.usaedu.net

第四篇:美国中东政策评析

美国中东政策评析

安惠侯

2012-11-20 16:45:18 来源:《阿拉伯世界》(沪)2006年01期

作者简介:安惠侯,中国国际问题研究基金会常务理事,中国前驻阿尔及利亚、突尼斯兼巴勒斯坦、黎巴嫩和埃及大使。(北京100006)

内容提要:美国在中东遇到大麻烦,主要战略目标未能实现。伊拉克安全形势持续严峻,巴以和谈停滞不前,伊朗核问题难以解决,压叙利亚屈服迄未奏效,恐怖活动越反越多,大中东改造计划受挫。美遇到的困难未超出其承受能力,美国在中东仍居主导地位,美中东政策在手法和策略上有所调整,实质上并无变化。

关 键 词:战略目标 主导地位 政策调整

中东地处欧亚非三大洲交接处,战略地位重要;中东拥有丰富的能源资源,能源供应和价格关系各国经济盛衰:中东又是热点问题集中地区,热点问题的走向影响地区乃至世界的和平与稳定。因此,中东地区形势一直是人们关注的重点。冷战后美国取得了对中东的主导地位,而不断加强对该地区的控制又是其全球谋霸战略的重要组成部分。“9•11”事件后,布什政府把反恐、防扩散置于美国安全战略的首位,把伊斯兰极端势力视作打击的首要目标,把中东作为实施其安全战略的重点地区。布什在第二任期,其中东政策有所调整,但战略重点并无变化。美国的中东政策是影响中东形势的最重要因素。

一、伊拉克安全形势持续严峻,政治重建也不顺利。

美国于2003年3月发动伊拉克战争,推翻萨达姆政权,军事占领伊拉克,迅速赢得战争,但迄今未能稳定伊拉克局势。伊拉克反美武装袭击不断,安全形势持续恶化,美军死亡数已超过2000人,受伤者1.5万人,其中7100人丧失战斗能力。美国防部长拉姆斯菲尔德承认,不论是美军,还是多国部队都无法歼灭伊拉克反美武装力量,伊拉克严峻的安全形势将持续8年,10年,甚至12年。(注:“驻伊美军撤军计划曝光,规模保持在13万人左右”,http:// news3.xinhuanet.com/mil/2005-08/08/content_3323652.htm。)

伊政治重建程序大体上在按计划实施。宪法草案引发严重分歧,但终获通过。12月15日举行了大选,将产生正式的议会和政府。但什叶派和逊尼派以及库尔德人之间的分歧、矛盾难以真正调和,被战争打破的政治力量平衡难以恢复,正式的政府恐也难以改善安全形势。近又揭露什叶派掌控的内政部虐待逊尼派囚犯的丑闻。11月19日在开罗召开的伊拉克和睦大会预备会议上,伊拉克三派意见严重对立。

美在推翻萨达姆政权时利用了伊什叶派阿拉伯人的支持,但考虑到什叶派阿拉伯人与伊朗什叶派的特殊关系,美并不希望占伊拉克人口60%的什叶派独揽大权。伊反美武装主要在逊尼派阿拉伯人区域活动,逊尼派是过去萨达姆政权和阿拉伯复兴党的主要依托,一直遭受美军的打击。为稳定伊政局和牵制什叶派,美不希望逊尼派被边缘化。它一方面压制什叶派不要排斥逊尼派,另一方面动员逊尼派参加政治重建。美国要在伊建立一个亲美民主政权,使其成为推行“大中东民主改造计划”的样板的战略目标远未实现,也难以实现。伊拉克乱局对美“大中东民主改造计划”产生的是负面影响,伊拉克战争一度对地区国家产生的强大威慑作用也大打折扣。美国在稳定伊局势之前,似难以再发动“先发制人”的战争,对其他国家实施“政权更迭”。

伊拉克的邻国出于各自利益考虑,都极为关注伊局势的演变。伊朗利用和伊拉克什叶派穆斯林的特殊关系,极力扩大对伊拉克的影响。土耳其因国内库尔德人一直是严重的不稳定因素,对伊拉克库尔德人势力及自治倾向的发展十分敏感。美国和伊拉克临时政府指责叙利亚为伊反美武装提供支持。阿拉伯联盟多数成员国既担心伊拉克什叶派穆斯林排斥逊尼派穆斯林,大权独揽后与伊朗关系过于密切;又担心库尔德人势力坐大,使伊拉克走向非阿拉伯化。与美国的影响相比,邻国因素居次要地位,但对伊局势也会产生不容忽视的影响。

伊拉克战争原是布什政府引以为荣的政绩,曾几何时已成为布什的“痛点”,遭到国内外舆论普遍的批评指责。

二、沙龙态度强硬,阿巴斯处境艰难,美国投入不多,巴以和谈停滞不前。

沙龙的单边行动计划于今年8月实施,以色列从加沙地区及约旦河西岸部分犹太定居点撤出,但仍保持对加沙地区对外通道的控制。沙龙继续修建隔离墙,扩建西岸犹太定居点,同时恢复对巴勒斯坦激进组织领导人的“定点清除”。他要求阿巴斯收缴巴激进派别武装并以此作为与阿巴斯恢复和谈的先决条件,还多次表示反对哈马斯参加明年1月份的巴勒斯坦立法选举。

沙龙在利库德集团内部受到以内塔尼亚胡为首的极右势力的挑战,9月利库德集团中央委员会以微弱多数否决内氏要求提前改选党魁的提案,使沙龙勉强保住党内领导地位,继续担任政府总理。11月工党党魁易人,新任工党主席佩雷茨要求提前大选,工党成员退出联合政府。沙龙同意提前举行大选,并宣布脱离利库德集团,另组“前进党”参加竞选。大选将于2006年3月28日举行。(注:“以外长:沙龙将同意提前大选,明年3月最合适”,http: //world.people.com.cn/GB/1029/42361/3862359.html。)以政治力量将重新组合,政局充满变数。

阿巴斯力主通过和平谈判实现巴建国,收复被占领土,恢复合法民族权利。阿巴斯为说服巴激进派别停止袭击以色列作出了不懈努力。巴以间暴力冲突明显减少,大体实现了停火。以色列撤出后,加沙地带一度秩序混乱。为稳定局面,需要收缴激进派别的武装,组成统一的军队和警察部队,但激进派别拒绝解除武装,阿巴斯担心引发内战,不愿也不敢强行解除。巴勒斯坦立法选举定于2006年1月25日举行,巴主流派方面希望激进派参加竞选,并以此为契机促使他们由武装团伙向政治派别转换,另一方面也欲加强争取民心的工作以应对哈马斯等激进组织不容忽视的影响,确保胜选。为应对巴内部派别和争取民众的支持,阿巴斯需要美国和以色列的支持和配合。他要求巴以尽早恢复和谈并指责沙龙将解除巴激进派别武装作为恢复巴以和谈的先决条件是企图将巴引向内战,希望布什政府履行诺言于2006年实现巴勒斯坦建国。

美国欢迎阿巴斯的温和路线,向巴直接提供财政援助,批评沙龙政府封锁加沙,继续扩建约旦河西岸定居点。布什还在白宫接待阿巴斯。然而阿巴斯10月访美时,布什一方面要求收缴激进派别武装,另一方面对2006年建国未作回应,也未重申在他任期内建立巴勒斯坦国的承诺。

当前,巴以力量对比严重失衡,巴方处境困难。巴以和谈能否恢复,恢复后能否取得进展,主动权在以色列。而以色列的态度,在很大程度上又取决于美国。布什政府把巴勒斯坦问题纳入其反恐和推行民主的中东战略之中,重点要求巴方停止袭击以色列并进而解除巴激进派别武装,实行改革,接受美式的民主、自由价值观。(注:《沙龙的政治赌博》,载《参考消息》2005年11月26日,第3版。)如巴方做到这两点,美国会支持建立一个主权有限的巴勒斯坦国。美在中东地区的当务之急是稳定伊拉克局势,不可能花大力气推动巴勒斯坦问题的解决,也不可能改变偏袒以色列的态度,难以施加大的压力逼以满足巴方合理要求。但另一方面,美也不愿阿巴斯的温和路线因得不到回报而失去巴民众的支持。因此也要求以作出适当的让步。美国务卿赖斯11月14日走访巴勒斯坦和以色列,在她调解下,以同意于11月25日开放加沙通往埃及的拉法边卡站,放松对加沙地区的封锁。(注:《巴以达成开放加沙边境协议》,载《参考消息》2005年11月16日,第2版。)估计巴以有可能恢复和谈,双方也会就一些具体问题达成妥协,但根本分歧还看不到解决的前景,巴建国很难短期实现。这种局面会继续加深阿拉伯——伊斯兰民众对美、以的不满和仇恨,巴勒斯坦激进派别与以色列间的暴力冲突恐怕也不会完全停止。

三、美国与伊朗间的矛盾难以化解,美国极力打压叙利亚屈服恐难完全得逞。

伊朗核问题是美国在中东地区面临的另一难题。伊朗表示无意发展核武器,但有权和平利用核能并掌握和平利用核能的技术。美国及其欧洲盟国则认为,掌握了和平利用核能的技术,离制造核武器仅一步之差,伊朗可以和平利用核能,但决不能掌握核技术。英国、法国和德国联手与伊朗谈判,历经数年,未能达成共识。美国虽未参与谈判,但一直影响谈判进程。

表面上看伊朗核问题是一个防扩散问题,实质上反映的是美国与伊朗之间的矛盾和敌对的关系。由于伊朗不听命于美和坚持反以的立场,美一直视伊朗伊斯兰政权为其推行中东战略的一大障碍。布什政府对伊朗推行更加强硬政策,将其从“无赖国家”升格为“邪恶轴心国”和“暴政前哨”,欲除之而后快。在推翻萨达姆政权后,国际媒体曾纷纷猜测美下一个军事打击目标可能是伊朗。后因伊拉克反美武装力量不间断的袭击,使美占领军深陷泥潭,这类猜测才逐渐减少。

美国对付伊朗的手段主要有三种:(一)继续支持欧洲三国与伊朗谈判,以经济许诺换取伊朗放弃掌握核技术。但伊朗不会轻易同意放弃掌握核技术,双方达成妥协的难度很大;(二)谈判破裂,美、欧将问题提交联合国安理会,要求安理会通过决议对伊朗实行制裁。国际社会,包括俄罗斯、中国普遍主张在国际原子能机构框架内解决伊朗核问题。即使该问题提交安理会,通过何种决议来解决,还是未知数。就算安理会决定对伊朗实行制裁,也只能使矛盾尖锐化,并不等于伊朗核问题获得了解决;(三)对伊朗实行先发制人的军事打击。这又有两种作法:一是由以色列或由美国对伊朗的核设施实施外科手术式的军事打击;二是发动一场伊拉克战争式的战争,推翻伊朗现政权,用枪杆子在伊朗建立亲美政权。无论实施哪一种军事打击手段,美国都将冒极大风险。首先,国际社会反对战争;第二,伊朗拥有遭受第一次打击后进行反击的军事能力,这将使美国付出比伊拉克战争高得多的代价;第三,伊朗是重要产油国,军事打击不仅会影响伊朗石油出口,而且可能迫使伊朗封锁霍尔木兹海峡,使占世界供应量40%的海湾石油无法出口,对世界经济产生灾难性的后果。内贾德当选总统后,伊朗在核问题上的立场更为坚定,伊朗核问题在短期内更难以解决。

美国对叙利亚的不满由来已久。因支持黎巴嫩真主党和巴勒斯坦激进组织,叙利亚被美列入“支持恐怖主义国家”的黑名单。伊拉克战争后,美又指责叙为伊斯兰反美武装人员进入伊拉克提供通道并予以暗中支持。2004年5月11日美对叙实施经济制裁,随后又联手法国促使联合国安理会通过1559号决议,以图阻挠亲叙的黎巴嫩总统拉胡德延长任期,并要求叙军队撤出黎巴嫩。在这项决议的煽动下,黎国内分歧突显。2005年2月14日,黎前总理哈里里遇刺身亡,在黎巴嫩政坛和黎叙关系中掀起轩然大波。美立即召回其驻叙大使,矛头指向叙利亚。在各方压力下,叙于4月26日从黎撤回全部军队和情报人员,结束了在黎29年的军事存在。据1595号决议,联合国派出梅利斯领导的国际调查委员会就哈里里遇害案进行调查,并于10月20日提交初步调查报告,矛头仍指向叙利亚。美、英、法又推动安理会通过1636号决议,要求叙在联合国调查哈里里遇害案过程中予以全面合作。与此同时,美军以追剿伊拉克反美武装为由多次越过伊叙边境,或派飞机越境轰炸,打死打伤叙边防军人多名。据英国《泰晤士报》10月15日透露,美私下向叙提出如下要求:满足联合国哈里里遇刺案调查委员会的任何要求;停止干涉黎巴嫩内政;停止支持伊拉克反美武装;停止支持黎巴嫩真主党、巴勒斯坦哈马斯和杰哈德等伊斯兰武装组织。(注:“美军打死叙利亚士兵攻入叙国境,称不合作即制裁”,http: //news.sohu.com/20051016/n227212357.shtml。)作为交换,美将和叙建立全面友好关系,确保其政权生存,并打开外国援助和投资之门。否则叙将面临国际制裁。该报认为,这类似于两年前美国与卡扎菲达成的协议。此外,对记者提问“是否会对叙利亚使用武力”时,美国政要回答说:不排除任何选择。其目的非常明显:借哈里里遇刺案压制叙利亚停止对其邻国的伊斯兰反美激进派别的一切支持,全面配合美中东政策的顺利实施。11月10日叙总统巴沙尔发表讲话指出,1636号决议是“被针对叙利亚的阴谋而政治化的产物”,“旨在逼叙利亚按照他们的所谓民主模式进行政治、经济和社会改革”,否认叙利亚与哈里里遇刺案有关,但表示将与国际调查委员会全面合作,同时强调合作的原则是“绝不允许对叙利亚的安全和稳定有任何损害”。与此同时,叙展开外交行动,争取阿拉伯世界和一些大国的同情和支持。(注:“叙利亚宣布从黎阶段性撤军,美以批评叙方‘折中’”,http: //news3.xinhuanet.com/world/2005-03/07/content_2660642.htm。)在讨论安理会1636号决议时,由于俄罗斯、中国和阿尔及利亚等国的坚持,删去了有关制裁叙利亚的内容。面对美国咄咄逼人的压力,叙利亚步步退让,避免矛盾激化。先是从黎巴嫩撤军,继而表示与国际调查委员会全面合作。但从巴沙尔的上述讲话看,叙仍坚持一些底线,不愿全面屈服于美。美叙关系如何演变,值得关注。

四、反恐效果不彰,大中东民主改造计划受挫。

“9•11”事件后,美国发起世界范围的反恐战争。4年后,美国本土未再发生大规模的恐怖事件,但在中东地区乃至世界范围内,恐怖活动有增无减。尤其是英国伦敦、埃及沙姆沙伊赫以及约旦安曼先后发生的恶性恐怖连环爆炸案,更令人震惊。

埃及总统穆巴拉克曾发出警告:美国发动伊拉克战争将制造出100个本•拉登。事态的发展证明了这一点。法国外交部计划厅副厅长菲利普•埃雷拉在英国《生存》季刊(2005年春季号)发表的《威胁的三个圈子》一文中指出:“每3名摩洛哥人当中就有2人,以及更高百分比的约旦人都认为,在伊拉克发生的针对美国人和西方人的自杀性炸弹爆炸事件是有正当理由的,超过10亿的穆斯林对美国的政策强烈不满,几亿穆斯林仇恨美国人。”(注:“基地已不再是个组织,演变成为一种社会现象”,http: //news.xinhuanet.com/mrdx/2005-07/05/content_3177526.htm。)法国《世界报》2005年7月27日刊登让•马里•科隆巴尼的《与恐怖主义一起生活》一文,他也指出美国入侵伊拉克加剧了伊斯兰武装分子的怨恨,扮演了“恐怖主义征兵官”的角色。“数亿穆斯林电视观众将伊拉克每天都在进行的杀戮归罪于美国”。(注:“中东形势与美国困境”,http: //www.xiexiebang.com/ReadNews.asp。)

针对美国及其盟友的恐怖活动越反越多,根本原因在于美国在中东推行霸权主义政策。美国在阿以冲突中一贯偏袒以色列,压制阿拉伯国家和巴勒斯坦;以编造的虚妄借口发动伊拉克战争并对伊实行军事占领;以传播“民主”为名,公然干涉阿拉伯国家内政,激起阿拉伯和穆斯林民众的强烈不满,为恐怖主义的发展壮大提供了沃土。在数以亿计的愤怒人群中不断产生“圣战者”和“圣战组织”,他们走向极端就会实施恐怖暴力行动。

美国“大中东民主改造”计划难以推行。“9•11”事件后,经过“反思”,美国认为二战后60年来,为了保持中东盟国的稳定,牺牲了民主,纵容了独裁,结果导致中东成为反美恐怖主义的策源地,只有实行民主才能从根本上消除恐怖主义。布什政府出台的“大中东民主改造计划”,旨在向中东国家推行美式民主和自由体制,要求其实行多党制、民主选举和“广场检验”(即让反对派不受限制地在广场上抨击政府)。该计划实为美国“反恐谋霸”总体战略的政策体现。阿拉伯国家并不拒绝民主,也正在按照自己的方式和需要进行社会改革。但他们不愿不顾自身条件照搬美式民主,更反对美国以促进民主为名干涉本国内政。所以,这项计划一出台,就遭到中东国家普遍的批评和抵制。(注:杨福昌:《美国的“大中东改革计划”实现难》,载《阿拉伯世界》2005年第5期,第12页。)广大民众从维护民族特性、伊斯兰教义、反对外国干涉出发,予以反对:执政者深知该计划将促使亲美民主派上台,结果很可能导致伊斯兰原教旨主义力量得势,危及自身政权,因而予以抵制。对中东国家来说,美国的大中东民主改造计划既是压力,更是威胁。它们在压力下会加快改革步伐,但同时又非常警惕地抵制外来的渗透、干涉和颠覆。中东一些国家已经、并将继续采取民主化改革措施。如埃及总统选举,由议会确定单一候选人改变为多名候选人参选。有些媒体将此视为美国大中东民主改造计划的功绩。这种看法不符合实际。总统选举制度的变化,完全是埃及审时度势,独立自主采取的民主化改革措施。

五、美国中东政策不得人心,虽在策略和手法上进行了一些调整,但基本政策和战略重点没有改变。

伊拉克问题已成为美国在中东地区所面临的最大难题。伊拉克的未来走向已经并将继续对中东地区其他热点问题产生重大影响,也在相当程度上成为美国中东政策成败的关键。

(一)事实表明,美国为发动伊拉克战争提出的“理由”,全是编造的谎言。美国前国务卿鲍威尔最近坦言,他在联合国阐述发动伊拉克战争理由时说的全是假话,对此深感懊悔。为了霸权利益,美国不顾伊拉克民众和美国士兵的死活发动了一场不义战争。加上随即发生的令人不耻的多起虐俘事件,使世人进一步认清美国政要整天挂在嘴上的“民主”、“自由”、“正义”、“人权”是何等虚伪。美在国际社会的可信度、号召力因此大减,对其软实力所产生的深远的负面影响不容低估。

(二)美国在伊拉克驻扎了13余万士兵,花费近3000亿美元,付出了2000多士兵的生命,造成数以万计的伊拉克民众的伤亡,迄今仍不能改善伊安全形势,无法进行有效的政治重建,伊民众生活比萨达姆执政时还要艰难。美国国内民众对布什伊拉克政策的支持率降到了35%。这又让世人进一步认识到,尽管美国综合国力、军事力量无人匹敌,但也有诸多的软肋,并不能为所欲为。

(三)发动伊拉克战争时,美国的单边主义盛极一时,但伊拉克乱局又迫使美不得不求助联合国和大国的配合,其政策的单边主义性已明显收敛。

(四)美国一度大肆宣扬“先发制人”战略,暗示在整治伊拉克后,还将入侵其他“邪恶国家”。现在它虽仍不时对一些国家发出武力威胁,但主要通过政治和外交手段解决问题。在稳定伊拉克局势之前,美难以再发动伊拉克战争式的“先发制人”军事行动。

(五)美国在推翻萨达姆政权后,提出“大中东民主改造计划”,一时间剑拔弩张,杀气腾腾:要么接受美式民主,要么选择萨达姆的下场。事关民族命运,阿拉伯国家强调“绝不接受强加的计划,中东人民有权自己决定中东的未来”。面对重重阻力,布什政府不得不承认在中东推行“民主”需要几代人的努力,从而放慢节奏,更换手法,收敛其强制施压的做派,更多采用柔性诱拉手段。

(六)美国在中东遇到的困难和挫折并未超出其承受能力。美国现在的军费占GDP3.74%;越南战争时美国军费占GDP10%;朝鲜战争时占14%。美军在伊拉克死去2000多人,引起国内反战情绪上升,但与越南战争和朝鲜战争时美军死亡人数相比,这个数字并不算大。有少数学者认为,美国将因伊拉克局势走向衰弱,这可能是夸大了美国的困难,低估了美国的承受能力。

(七)自冷战结束后美国全面确立在中东的主导地位。其中东政策不得人心,激起阿拉伯——伊斯兰民众反美、仇美情绪上升,但凭借惟一超级大国强大的综合国力和军力,美在中东地区仍处于强势地位。它在中东的主导地位确有所削弱,但远未动摇,在相当长时间里也无可替代。中东多数国家的政府虽对美内心不满并保持警惕,但都极力保持与其良好关系。即使少数被美视为“邪恶”、“无赖”或“暴政前哨”的国家也尽量避免与美正面碰撞。

(八)美国虽然对其中东政策作出调整,但只是手法和战术上的改变,其实质部分并无变化。美要全面控制中东地区,政策重点仍是:(1)反恐、防扩散;(2)遏制伊斯兰极端势力和打压“暴政前哨”国家;(3)推行“大中东民主改造计划”。手段仍是大棒加胡萝卜,软硬兼施。

(九)只要美国继续偏袒以色列,不能主导公正解决巴勒斯坦问题;继续军事占领伊拉克,对地区一些国家实施制裁或以武力相威胁;在防止大规模杀伤性武器扩散方面仍执行双重标准;继续以推行“民主”为由干涉地区国家内政、颠覆地区国家政权,阿拉伯—伊斯兰民众反美、仇美情绪就会更趋强烈,伊斯兰极端势力的群众基础会因此而日益壮大,恐怖活动可能越反越多;美国的大中东民主改造计划实难顺利实施,中东局势会长期紧张动荡,美国在中东也会遇到更多的麻烦,中东地区的热点问题将继续对美国的霸权主义构成牵制。

第五篇:职代会审议情况报告

篇一:职代会代表资格审议报告 岚皋公路管理段第十届一次职工代表大会 代表资格审查报告

各位代表:

岚皋公路管理段第十届一次职工代表大会代表资格审查小组,对出席大会的代表进行了资格审查。现将代表资格审查结果报告如下:

根据《岚皋公路管理段职工代表大会暨会员代表大会实施细则》、段党支部《关于同意召开岚皋公路段职工代表大会的通知》中有关代表产生办法和代表名额和代表组成的要求,全段各道班、股室根据分配的名额及代表的条件要求,经职工和会员群众充分酝酿和无记名投票,选举产生了出席岚皋段第十届职工代表大会的代表31名,整个选举过程已于9月20日全部完成。

岚皋段第十届职工代表大会会议代表的选举工作,从代表候选人的酝酿提名和代表的选举产生,都贯彻了民主集中制的原则,注意了发扬民主,尊重了选举人的意志和民主权利。这次选出的31名代表中,一线职工代表21名,占代表总数的68%;女职工3名,占代表总数10%;专技人员代表8人,占代表总数26%,一般管理人员代表11名,占代表总数35%;少数民族代表1人,占代表总数3%;外聘职工代表2名,占代表总数6%。

这次选出的代表具有广泛的群众性和代表性,他们是我段各部门和岗位的骨干,密切联系职工群众,为职工群众服务,得到了职工群众的信任和拥护,为我段的建设发展做出了积极贡献。

经代表资格审查小组审查,确认其选举程序、代表比例、组织结

1构符合有关规定,具有广泛的代表性,全段选出的 名代表,符合、《职工代表大会暂行条例》和我段党支部批准同意的岚皋公路管理段第十届职工代表大会代表产生的有关规定,代表资格全部有效。

本届会议还邀请了道班、路政大队、机关、养护中心16名职工列席大会。请大会审议。

岚皋公路管理段第十届职代会代表资格审查小组 二o一一年九月三十日

岚皋公路管理段第十届第一次职工代表大会代表名单 岚皋公路管理段第十届第一次职工代表大会列席代表名单

34篇二:2015年职代会报告初稿(审议稿)主动应对新常态 协同奋进谱新篇 全面推进现代化新型能源集团建设

——在山西焦煤五届二次职代会暨2015年工作会议上的报告(2015年1月26日)总经理 金智新(审议稿)

各位代表、同志们:

现在我向大会做工作报告,请予审议。第一部分:2014年工作回顾

2014年,集团公司深入贯彻落实省委省政府总体工作部署,审时度势,科学制定并全面实施“11236”发展战略和目标,紧紧围绕年初职代会和工作会具体安排,齐心协力应对市场变化,改革创新解决突出问题,扎实推进各项工作,企业整体实现平稳健康发展。

一、2014年主要生产经营指标完成情况

一年来,在集团上下的共同努力下,各项生产经营指标基本完成计划任务(见附表)。同比呈现七升五降一持平:主要产品产销量、收入、增加值都有增长;发电量、进尺、利润、税费、投资同比下降,特别是利润受煤炭价格大幅下滑的市场冲击,在去年同比下降47%的基础上,今年再降45%;在岗职工人均工资在企业效益大幅下降的情况下实现了基本持平。2014年集团公司主要生产经营指标完成情况表

二、2014年主要工作

回顾2014年工作,主要呈现以下六个方面的特点:

(一)夯基础,强管理,安全生产迈上新台阶

安全基础趋实。集团上下牢固树立安全“红线”意识,全面实施“838”安全工作部署,针对阶段工作特点制定落实“十六条”特别规定。强化“三基”管理,按照“三必管”、“党政同责、一岗双责、齐抓共管”要求,重新修订完善了各级安全岗位责任制;深入开展了“查隐患、堵漏洞、抓落实”安全反思活动、“知责履责”活动和谈心对话活动;强化责任追究,全年安全罚款539万元,问责和处理干部167人。加强现场质量标准化建设,分别建成一级、二级、三级安全质量标准化矿井23座、5座、5座。

安全监管加强。对各专业重大隐患进行梳理认定,编制了11个专业502类重大隐患目录;以隐患排查治理为重点强化安全监管,深入开展“四不两直”动态检查、安全“五人小组”检查、挂牌督导、跟班带班、系统会诊和专项整治等工作。全年共对188个单位和项目开展专项会诊,各类检查共发现隐患问题6.4万条,整改6.2万条。坚持隐患分级销号闭合,对重大隐患实施挂牌管理,全年共整改重大隐患342条。队伍素质向好。实施安全专业队伍与生产队伍分设,单独考核,形成有效制衡。严格按照“五统一”要求加强外委队伍属地管理,共清理外委队伍46支4039人。深入开展班前会事故案例教育、“干部上讲台、培训到现场”、应知应会培训、技能大师工作室等工作,共建成13个集团级技能大师工作室;强化动态抽考、以考促学,干部职工素质进一步提升。

生产组织有序。生产矿井全面完成了煤炭生产要素登记公示,已公示矿井34座,产能8690万吨/年;共对10座矿井进行了能力核定,提升产能1640万吨/年。积极推进安全高效矿井、洗煤厂和高产高效队组建设,22座矿井达到国家安全高效矿井标准,25座洗煤厂达到行业优质高效洗煤厂标准,建成200万吨/年以上综采队10支,6000米/年掘进队5支。

一年来,各单位在安全生产上因地制宜、各尽其能,特别是山焦西山坚持以“三基”工作为抓手,以李小鹏省长三次动态检查为契机,全面强化安全生产,连续三年实现安全“零目标”,成绩非常不易。在大家的共同努力下,今年全集团煤矿安全生产迈上了新台阶,圆满完成了年初提出的奋斗目标。

(二)抓五保,拓市场,煤炭销售创造新业绩

全力以赴保市场。集团领导分片督导煤炭销售工作;强化与重点用户的长协合作,实施点对点精准服务、菜单式供应和“大客户经理”服务模式;市场前移,在山东成功组建运行嘉祥港储配煤销售基地;充分发挥焦煤集团市场风向标作用,引导并稳定价格和市场。全年煤炭总销量同比增长7%,合同兑现率达到85%,同比提高11个百分点。

多管齐下保运力。建立“铁路、公路、贸易”协调运销体系,优化运力配臵;以租赁、合作等多种形式新开通6个发运站点;积极沟通加大铁路运力争取,全年铁路日均装车达到2699车,创造历史最好水平;特别是在运力极其紧张的太原路局南区,日均装车同比增加101车。千方百计保回款。制定出台了抵抹账管理办法和内部清欠办法,严格考核兑现,优化结算流程,全年共收回货款448亿元,货款回收率为89.8%,其中现汇比例39%。

坚定不移保生产。坚持把“不影响矿井生产”作为销售底线,充分发挥“公路保生产”作用,全年公路销量达到4128万吨;充分利用内部市场缓解销售压力,内部电力、焦化等用煤企业全年使用内部煤炭量达到1335万吨,同比增长9%。

多措并举保效益。坚持铁路优先、精煤优先,积极调整产品结构和用户结构,精煤产量增幅大于原煤产量增幅近3个百分点。32座复工复产整合矿井纳入集团统一销售序列。加强质量管理,商品煤稽查合格率99.7%。实施科学定价策略,实现同品种煤炭价格始终高于进口煤和地方煤,并紧跟市场形势率先上调价格,最大限度地提升了企业效益。一年来,销贸战线各级干部职工蛮拼的。山焦销售、山焦公路面对内外双重压力,负重前行,敢打敢拼,通过努力实现了矿井有序生产和稳定销售。贸易单位找货源、拓市场、多联手,集团公司煤炭总销量、贸易总收入均实现逆势增长。

(三)挖潜力,控风险,经营管理取得新成效

立标对标管理全面起步。内部建立煤炭、洗选、发电、焦炭等九大领域立标对标体系,外部组织大矿对标神华集团、老矿井对标河北峰峰,通过对标找准差距,提升精细化管理水平。篇三:一届四次职代会筹备情况汇报 陕西苍村煤业有限责任公司

一届四次职代会暨2015年工作(安全)会材料

陕西苍村煤业有限责任公司

关于一届四次职工代表大会筹备情况的报告 ***(2014年1月16日)各位代表:

苍村煤业一届四次职工代表大会,在矿党政领导的关心和相关部门的共同参与下,经过紧张有序的精心筹备,如期完成了大会的各项筹备工作。现在,我受筹备工作领导小组的委托,向各位代表汇报大会筹备工作情况。

一、大会各项工作的筹备

矿党政领导对这次职工代表大会极为重视,于去年12月份开始筹划准备,成立了以***为组长,工会主席为副组长,人力资源部、财务部、安检部、综合办公室、党群部为组员的筹备工作领导小组。下设材料、会务两个工作小组,具体负责各项筹备工作。工会作为职代会的工作机构,全力以赴,努力工作,制定了职代会筹备方案和推进计划,并向党委作了专题汇报,党委就有关问题进行了研究,要求各部门按照推进计划保质保量地完成各项筹备工作。1月7日,召开了筹备工作第一次会议,明确了分工、责任和完成期限。1月13日,召开了筹备工作第二次会议,就职代会筹备进度情况进行了检查督促,从而为一届四次职代会的顺利召开创造了条件、奠定了基础。

二、大会代表资格审查情况

根据《公司职工代表大会代表条件及产生办法》的规定,本次职代会代表共55名,占公司在册职工人数的10%。

出席本次会议的职工代表,结构如下:工人代表32名,占代表总数的58%;技术管理人员15名,占代表总数的27%;领导干部代表7名,占代表总数的13%,;45岁以上的代表24 名,占代表总数的44%;45岁以下青年代表31名,占代表总数的56%;党员代表21名,占代表总数的 38 %;非党群众代表34名,占代表总数的 62%。男职工代表50名,占代表总数的91%;女职工代表5名,占代表总数的9%;

三、大会的其它筹备工作

(1)代表组划分。根据职工代表的分布情况,本着便于开展工作的原则,这次大会共组建5个代表团。各代表组设团长1名,负责会前材料的预审,职工代表的组织、审议等活动。(2)认真做好民主评议领导干部的组织工作。根据上级有关规定,本届职代会将组织职工代表对7名领导班子成员进行民主评议,接受职工代表的民主评议,以促进矿领导班子建设。(3)起草大会材料并对主要材料预审。承担大会材料的部门本着“严谨、细致”的工作作风,认真起草这次职代会的文件材料,所有材料都经过了各主管领导的审查把关。其中,经理行政工作报告(初稿)经党委(扩大)会议审定。大会文件材料起草完成后,及时发至各代表团提前预审,有关部门结合代表们提出的意见和建议,对材料进行了必要的修改。(4)精心做好大会的各项服务工作。矿领导对大会的服务工作十分重视和关心,并多次检查过问筹备情况。

经过近半个多月的紧张工作,一届三次职代会各项筹备工作进展顺利,已基本就绪。整个筹备工作为职代会的如期召开奠定了良好的基础。在此,我代表筹备领导小组对广大职工的关心和支持表示衷心的感谢!

本次大会会期半天,共设7个议题,与会人员有正式代表、列席代表组成,其中正式代表55人,有事请假缺席代表人,列席代表 人。参加本次职工代表大会的职工代表超过应到代表人数三分之二以上,会议有效。

最后,预祝苍村煤业一届四次职工代表大会圆满成功!

下载美国网络安全政策审议报告word格式文档
下载美国网络安全政策审议报告.doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    财务审议报告

    关于学校财务工作报告的决议 XX学校教职工代表大会认真听取和审议了学校会计YY同志所做的财务工作报告。会议认为,财务工作报告实事求是地反映了学校的财务预决算和收支情况,......

    解读美国财政部最新汇率政策报告

    解读美国财政部最新汇率政策报告 4月14日,美国财政部发表了半年度(每年4月和10月)关于美国主要贸易伙伴汇率政策的报告,一如市场预期以及美国总统特朗普事前预告,该报告并没有指......

    网络安全报告

    《网络安全》报告 [摘要]Task 1. Task 2. Task 3. Task 4. Task 5. Task 6. Task 7. Task 8. Task 9. Task 10. Task 11. Task 12. Task 13. Task 14. Task 15. Task 16. T......

    关于美国等国家的国家网络安全计划的读书报告

    江苏大学京江学院 关于美国等国家的国家网络安全计划的读书报告 J计算机1401 潘庆 4141110020 美国可谓是目前世界上互联网产业最发达的地区,所以它对于网络安全的一些政策及......

    关于落实民族地区政策和市人大常委会《审议意见》情况的报告

    关于落实民族地区政策 和市人大常委会《审议意见》情况的报告市民族宗教事务局一、高度重视,全面落实民族政策和法律法规 一是完善民族自治地方配套条例。 二是营造良好的民......

    美国海关关税政策

    美国海关关税政策 责任编辑:北京中立诚会计师事务所文章来源:北京中立诚会计师事务所点击数:更新时间:2005/4/20 20:45:00 关税税则:协调制.自1980年7月1日起,按成交价征税. 自1......

    审议意见落实情况报告

    市人民政府关于市第×××届人大常委会第×××次会议审议意见落实情况的报告市人大常委会:×××市第×××届人大常委会第×××次会议,听取和审议了市国土资源局关于全市土......

    岗位职责和规章制度审议报告

    岗位职责和规章制度审议报告 各位代表、同志们: 在即将送走辉煌的2006年之际,我校四届二次教代会胜利召开了,这是我校政治生活中的一件大事,也是推动学校各项工作质量的全面提升......