第一篇:解读美国财政部最新汇率政策报告
解读美国财政部最新汇率政策报告
4月14日,美国财政部发表了半年度(每年4月和10月)关于美国主要贸易伙伴汇率政策的报告,一如市场预期以及美国总统特朗普事前预告,该报告并没有指控中国为汇率操纵国。然而,魔鬼尽在细节当中,解读该报告还是能为中国和美国在贸易和汇率上的政策取向提供参考。
首先,该报告并未改变游戏规则,所沿用的判断汇率操纵国的准则还是以往的三个条件:一是其对美双边贸易盈余超过200亿美元,二是其经常账户盈余超过GDP的3%,三是其持续、单边的汇市干预(指购买外币、抛售本币)在过去12个月期间超过GDP的2%。这些条件如果维持不变,美国财政部就不可能指控中国操纵人民币兑美元汇率,严格来说中国甚至连观察名单(在过去两份报告中曾满足其中两个条件,便会列入观察名单)都不必上,因为中国在连续两份报告中都只满足一项条件,即它对美国仍然录得全球最大的贸易顺差,2016年为3470亿美元,显著超过第二位日本689亿美元的水平,但同年中国的经常账户盈余收窄至GDP的1.8%,而且是净售汇而非净购汇。
美国财政部定期对主要贸易伙伴的汇率政策进行评估分析,所依据的是两项法案:1988年的《贸易和竞争力综合法案》(The Omnibus Trade and Competitiveness Act)和2015年的《贸易便利化和贸易执行法》(The Trade Facilitation and Trade Enforcement Act),前者主要为定性,后者主要为定量,即依据上述三个量化指标来帮助进行判断,一旦定量分析不能标签汇率操纵,也就不能下结论指控有关经济体从中取得不公平的竞争性优势。据此,要修改游戏规则,就先要修订这两个法案,在特朗普政府施政遇到阻力的情况下,这种做法并非是优先选项。
再者,专门针对中国修改游戏规则的一个副作用是会把其他贸易伙伴拖下水。美国财政部的这份报告只涵盖美国前十二大贸易伙伴,因为再往后,对美国商品贸易的占比个别来看都不足1.5%。如果经常账户盈余相当于GDP的条件从超过3%降至1.5%以针对中国,则会把意大利也拖下水,因为意大利2016年经常账户盈余相当于GDP的2.8%,至于其他五个经常账户为赤字的经济体,相信无论如何都不会达标。如果把汇市干预(净购汇,即外汇储备增加)的条件从超过GDP的2%降低,则有可能把中国台湾和印度拖下水,因为其2016年净购汇规模为相当于GDP的1.8%和0.4%(其余经济体要么零购汇,要么净售汇)。
尽管中国在连续两份报告中都只满足一项条件,但美国财政部的报告还是继续将之列入观察名单,同列观察名单的其他五个经济体均满足两项条件:日本、德国、韩国(连续两份报告中满足贸易盈余和经常账户盈余条件)、瑞士(连续两份报告中满足?常账户盈余和汇市干预条件)、中国台湾(上一份报告满足经常账户盈余和汇市干预两项条件,该份报告则只满足经常账户盈余一项条件,仍需再观察多半年时间)。对此做法,美国财政部又如何解释呢?
首先,一个经济体一旦曾列入观察名单,即使之后情况改善,美国财政部都至少要多观察一年时间(即两份报告),以确保情况的改善并非是因为一次性因素所导致。在2016年4月份的报告当中,中国因为贸易盈余和经常账户盈余条件而被列入观察名单,即使之后2016年10月份和今年4月份两份报告期间满足的条件降至一个,但仍受观察。再有,如果一个经济体对美国的贸易盈余庞大,光是因为这一条件美国政府就可以主观决定继续把该经济体置于观察名单之内。这可以说是专门针对中国乃至日本和德国的标准,要从观察名单除名完全取决于美国政府的主观取态。
5月初,中美首脑会面后,美国商务部长称双方同意百日计划,商讨降低美国对华巨额贸易逆差问题。尽管贸易为商务部的政策领域,汇率为财政部的政策领域,但从美国财政部的汇率报告中也可以看出美国政府的立场。2016年在商品贸易方面,中国对美贸易盈余从2015年的3670亿美元降至3470亿美元;在服务贸易方面,则美国一直是盈余国,其对华盈余增加40亿美元至370亿美元;两者加总,则中国对美国商品加服务总盈余为3100亿美元。美国分析其主要贸易伙伴是否操纵汇率只看商品贸易,而不看美国作为盈余国的服务贸易。要解决有关的商品贸易失衡,美国开出的药方是中国对美国的商品和服务进一步开放市场,降低壁垒,减少限制,同时加快落实改革,经济增长向消费主导转型。对于后者,也正是中国经济增长结构转型的方向,相信无大异议,但前者由于涉及市场准入,相关协商相对的难度就会较大。
至于汇市干预,在人民币兑美元连续第三年贬值的情况下,报告指出中国的汇市干预是反向操作的,旨在平抑人民币的贬值幅度,在统计上表现为外汇净消耗,规模为4350亿美元,相当于GDP的3.9%,而在2016年并没有出现逾8个月的外汇净购买的情况,因此不存在汇率操纵的问题。在缺乏官方统计、难以界定当中有多少为汇兑因素、有多少实为资金外流的情况下,美国财政部估计自2015年8月至2017年2月期间,中国共动用了约8000亿美元外汇储备来纾缓人民币的贬值压力,而目前约30000亿美元的外汇储备水平还是充裕的。
不过,报告仍有一定篇幅说明,在人民币过去三年的贬值周期之前,中国曾单边干预汇市以抑制人民币升值幅度达十年时间,渐进升值之余,对人民币汇率被低估的修正被拉长了,即升值周期也拖长了。对此评估,有两点启示:一是现时通过汇市干预缓解人民币贬值幅度的做法或许也会拉长贬值周期;二是可以预期未来如果人民币重新进入一轮升值周期,则美国或会变得非常介意旨在抑制人民币汇率升值幅度的汇市干预。
瑞士是美国主要贸易伙伴当中汇市干预最重要的经济体,在2016年其净购汇660亿美元,相当于GDP的比率高达10%,另外瑞士的经常账户盈余也高达GDP的10.7%,瑞士之所以未被指控操纵汇率,是因为其对美贸易盈余为137亿美元,离200亿美元的门槛还有一定距离。不过,美国财政部对瑞士汇市干预的态度并非十分强硬,指出是避险资金大规模流入所致,而且同意IMF的建议,即今后的汇市干预应只限于管理避险资金的流入。这样的取态可为中美之间就汇率问题的协商提供有用的启示。(作者单位:中银香港)
第二篇:财政部42号文政策解读
政策解读第一期
解读国办发〔2015〕42号:《财政部发展改革委人民银行关于在公共服务领域推广政府和社会资本合作模式指导意见的知》
关键词:政府和社会资本合作模式(PPP);效益;公共利益最大化
一、《通知》主要条款
1、政府采取竞争性方式择优选择具有投资、运营管理能力的社会资本,双方按照平等协商原则订立合同,明确责权利关系,由社会资本提供公共服务,政府依据公共服务绩效评价结果向社会资本支付相应对价,保证社会资本获得合理收益。
2、社会资本的境内外企业、社会组织和中介机构承担公共服务涉及的设计、建设、投资、融资、运营和维护等责任。
3、政府作为监督者和合作者,减少对微观事务的直接参与,加强发展战略制定、社会管理、市场监管、绩效考核等职责。
4、鼓励国有控股、民营、混合所有制等各类型企业积极参与提供公共服务,激发市场主体活力和发展潜力,盘活社会存量资本,形成多元化、可持续的公共服务资金投入渠道,打造新的经济增长点,增强经济增长动力。
5、完善财政投入和管理方式,提高财政资金使用效益。
6、在政府和社会资本合作模式下,政府以运营补贴等作为社会资本提供公共服务的对价,以绩效评价结果作为对价支付依据,并纳入预算管理、财政中期规划和政府财务报告,能够在当代人和后代人之间公平地分担公共资金投入,符合代际公平原则,有效弥补当期财政投入不足,有利于减轻当期财政支出压力,平滑间财政支出波动,防范和化解政府性债务风险。
二、主要原则
依法合规,重诺履约,公开透明,公众受益,积极稳妥的原则
三、保障措施
1、建立健全制度规范体系,实施全生命周期管理,保证项目实施质量。
2、建立完善管理细则,规范选择合作伙伴的程序和方法,维护国家利益、社会公共利益和社会资本的合法权益。
3、健全财政管理制度。开展财政承受能力论证,统筹评估和控制项目的财政支出责任,促进中长期财政可持续发展。
4、针对政府付费、使用者付费、可行性缺口补助等不同支付机制,将项目涉及的运营补贴、经营收费权和其他支付对价等,按照国家统一的会计制度进行核算,纳入预算、中期财政规划。
5、存量公共服务项目转型为政府和社会资本合作项目过程中,应依法进行资产评估,合理确定价值。
6、建立多层次监督管理体系。建立事前设定绩效目标、事中进行绩效跟踪、事后进行绩效评价的全生命周期绩效管理机制,将政府付费、使用者付费与绩效评价挂钩,并将绩效评价结果作为调价的重要依据,确保实现公共利益最大化。
7、价格调整机制。按照补偿成本、合理收益、节约资源、优质优价、公平负担的原则。广泛听取社会资本、公众和有关部门意见,确保定价调价的科学性。及时披露项目运行过程中的成本变化、公共服务质量等信息,提高定价调价的透明度。
8、完善法律法规体系。明确政府出资的法律依据和出资性质,规范政府和社会资本的责权利关系,明确政府相关部门的监督管理责任。
四、推进实施中主要规范以下
1、在能源、交通运输、水利、环境保护、市政工程等特定领域需要实施特许经营的,按《基础设施和公用事业特许经营管理办法》执行。
2、积极运用转让—运营—移交(TOT)、改建—运营—移交(ROT)等方式,将融资平台公司存量公共服务项目转型为政府和社会资本合作项目,引入社会资本参与改造和运营,在征得债权人同意的前提下,将政府性债务转换为非政府性债务,减轻地方政府的债务压力。
3、严禁融资平台公司通过保底承诺等方式参与政府和社会资本合作项目,进行变相融资。
4、提高项目决策科的学性。结合财政收支平衡状况,统筹论证新建项目的经济效益和社会效益,并进行财政承受能力论证,保证决策质量。
五、政策优惠措施
1、简化项目审核流程。进一步减少审批环节,建立项目实施方案联评联审机制,提高审查工作效率。项目合同签署后,可并行办理必要的审批手续。
2、多种方式保障项目用地。可按划拨方式供地,但不得改变土地用途;建成的项目经依法批准可以抵押,土地使用权性质不变;实现抵押权后改变项目性质应该以有偿方式取得土地使用权的,应依法办理土地有偿使用手续。不符合划拨用地目录的项目,以租赁方式取得土地使用权的,租金收入参照土地出让收入纳入政府性基金预算管理。以作价出资或者入股方式取得土地使用权的,应当以市、县人民政府作为出资人,制定作价出资或者入股方案,经市、县人民政府批准后实施。
3、探索通过以奖代补等措施,引导和鼓励地方融资平台存量项目转型为政府和社会资本合作项目。
4、支持公共服务事业的税收优惠政策,公共服务项目采取政府和社会资本合作模式的,可按规定享受相关税收优惠政策。鼓励地方政府在承担有限损失的前提下,与具有投资管理经验的金融机构共同发起设立基金,并通过引入结构化设计,吸引更多社会资本参与。
六、本人分析
该指导意见从PPP模式意义到保障PPP模式有效实施提出了很多具体的边界条件、政策指导、规范、政策优惠等,主要目的是为了减轻政府短期财政压力,减轻政府在公共服务领域支出上的乏力与不平衡问题,为实现政府与社会资本在公共领域经营性项目合作提出了切实可行的指引,具有非常高的现实与指导意义。
第三篇:财政部解读2011粮食
财政部解读粮食生产“七连增”背后财政支持措施
2011年04月01日08:51
粮食生产直接关系国家安全和国计民生。2010年,我国粮食产量实现半个世纪以来首次连续七年增产。这一喜人成绩离不开国家一系列强农惠农政策的支持,其背后更体现了国家财政的有力支撑。
“十二五”开局之际,梳理盘点国家粮食增产财政保障机制在促进粮食增产中发挥的作用,对于未来更好地完善这一机制,为保障国家粮食安全这一首要目标更好发力具有重要意义。为此,记者采访了财政部有关负责人。
加大财政投入 夯实粮食增产“资金保障”
粮食增产离不开财政资金支持。2004年以来,按照党中央、国务院决策部署,中央财政充分发挥公共财政职能,着力构建粮食增产财政保障机制。
该负责人介绍说,这一机制主要内容包括:着力加大扶持粮食生产发展投入,不断增强粮食生产资金保障力度;着力建立健全利益保护机制,充分调动农民和地方政府两个积极性;着力支持改善农田基本条件、农业科技和服务水平,不断提高粮食综合生产能力。
他指出,粮食增产财政保障机制是一个完整的政策体系,既有对种粮抓粮主体的奖励补贴,又有对提高粮食综合生产能力的支持;既有建设“良田”的投入,又有支持“良种、良法”的支
出;既有对粮食生产的稳定支持政策,又有保障粮食生产所需的临时性应急措施。中央财政积极构建粮食增产财政保障机制,既符合党中央、国务院稳定发展粮食生产的战略部署,也符合公共财政建设的政策取向,为促进粮食连续增产、保障我国粮食安全发挥了积极作用。
加大财政投入力度是粮食增产财政保障机制的首要内容。近年来,中央财政不断优化财政支出结构,着力加大扶持粮食生产投入力度,不断增强粮食生产资金保障力度,努力建立健全财政支农支出稳定增长机制。
统计数据显示,2004年至2010年,中央财政支持“三农”投入从2626.2亿元增加到8579.7亿元,年均增长21.8%,其中与粮食生产相关的投入从1029亿元增加到4575亿元。
此外,2010年,中央财政安排用于调动农民和地方政府积极性的奖励和补贴资金达到2843亿元,用于粮食综合生产能力建设的投入达1732亿元,分别占扶持粮食生产发展投入的62.1%和37.9%。
健全利益保护机制 调动农民和地方政府“两个积极性”保障粮食增产,除了加大财政投入,还需要充分调动农民群众种粮、地方政府抓粮的积极性。该负责人说,在这方面,中央财政着力建立健全对农民的利益保护机制和对粮食主产区的利益补偿机制,形成了显著的政策导向。
这一政策导向一方面体现在以促进粮食生产和防范风险为
核心,建立了对农民的利益保障机制。
中央财政自2002年以来先后出台了良种补贴、农机购置补贴、粮食直补、农资综合补贴等四项补贴政策,不断加大直接补贴力度,提高种粮农民生产积极性。2004年至2010年,“四项补贴”资金从145.22亿元增加到1225.9亿元,累计拨付资金达4594.28亿元。
与此同时,中央财政大力支持落实粮食收储政策和实施农业保险保费补贴政策,帮助农民防范化解种粮风险。2004年至2010年,中央财政累计安排最低收购价政策和临时收储政策支出678亿元,支持政策性粮食收购,有效缓解了农民“卖粮难”、“储粮难”的问题,消除了农民种粮的市场风险。同时,中央财政从2007年开始实施农业保险保费补贴政策。2007年至2010年,中央财政累计拨付种植业保险保费补贴资金136亿元,为我国农业生产提供了逾8000亿元的风险保障。
另一方面,为调动地方政府抓粮积极性,中央财政还以缓解地方财政困难为重点,建立了对粮食主产区的利益补偿机制。2005年以来,中央财政先后出台了产粮大县奖励、产油大县奖励、超级产粮大省奖励政策,对粮食主产区予以奖励,并不断增加奖励资金规模,六年累计安排奖励资金810亿元。从今年起,中央财政全部取消了主产区粮食风险基金地方配套,每年减轻主产区地方政府财政负担98亿元。
此外,2006年我国全面取消了农业税,从根本上扭转了农
民长期负担过重的局面,同时通过转移支付保障了地方政府特别是产粮地区政府的既得财力。2000年至2010年,中央财政累计安排农村税费改革转移支付资金5741.29亿元。
破解粮食增产“软硬约束” 支持提高粮食综合生产能力在调动农民和地方政府积极性的同时,中央财政还通过支持改善农田基本条件、提高农业科技和服务水平、增强农业抗灾能力等,着力缓解耕地、水资源、技术等要素的约束和自然灾害的影响,不断增强粮食综合生产能力,提高了粮食单产水平。该负责人介绍说,一方面中央财政大力支持高标准农田建设,缓解粮食增产“硬约束”。2004年至2010年,累计安排新增建设用地土地有偿使用费1015.6亿元,重点支持整体推进农村土地整治示范和农村土地整治重大工程。安排农业综合开发资金891.28亿元,重点用于中低产田改造和高标准农田示范工程建设,累计改造中低产田、建设高标准农田1.87亿亩,新增和改善农田灌溉面积1.71亿亩,新增和改善除涝面积0.59亿亩,显著提高了粮食综合生产能力。此外,还分别安排2005亿元和571.3亿元用于支持大中型水利工程和小型农田水利设施建设。另一方面,中央财政大力支持农业科技进步,缓解粮食增产“软约束”。“十一五”时期,累计安排农业科技经费263.52亿元,重点支持农业领域基础研究、前沿技术研究、社会公益研究、重大共性关键技术研发等,为粮食不断增产提供了科技支撑。同时加大资金投入,实施种子工程项目,支持农业科技转化推广和
服务体系建设。
此外,2004年至2010年,中央财政还通过中央基建投资安排资金143.7亿元,推进大型商品粮基地建设,实施优质粮食产业工程和新增千亿斤粮食规划,充分挖掘粮食主产区增产潜力。并安排农业生产救灾、病虫害防治、防汛抗旱和应急度汛等防灾减灾资金219.87亿元,着力减轻农业灾害对粮食生产的影响,支持灾后及时恢复粮食生产。
该负责人表示,“十二五”时期,我国粮食生产仍面临着资源约束、市场波动、气候变化等方面的严峻挑战,中央财政将进一步健全粮食增产财政保障机制,在调动农民和地方政府积极性、完善粮食市场调控机制的同时,大力支持高标准农田建设和农业科技进步,促进农业和粮食生产方式的根本转变,推动粮食综合生产能力建设不断迈上新的台阶。(来自财政部网站)
第四篇:美国《门户开放》报告权威解读
2012年11月16日
美国《门户开放》报告权威解读
赴美留学黄金时期 商科专业继续领跑
2012年11月12日,美国国际教育协会(IIE)发布2012年在美留学生《门户开放(Open Doors)》报告,对2011-2012学年在美留学的国际学生情况进行了详实的数据分析,包括人数、国籍、学历层次、就读学校和专业等多个方面。
赴美留学或迎来黄金时期
自2005年美国前国务卿赖斯宣布放宽政策以来,经过几年的酝酿和宣传,美国留学市场持续火热,特别是2008年奥巴马就任总统之后,仅中国赴美留学的学生人数就保持了两位数的增长,2009-2010学年中国留学生人数首次超过印度,成为美国最大的留学生群体。《门户开放(Open Doors)》报告称,2011-2012学年,在美国就读的国际学生达到历史最高值76.4万人,比上一学年增长5.7%。增长比例最大的是沙特阿拉伯,主要原因是沙特政府提供的大额奖学金,其次增长较大的是中国,比上一学年增长了23.1%。赴美留学的中国学生总人数达到历史峰值19.4万人,占在美国所有国际学生的比例为25.4%,即在美国四个外国留学生中,就有一名中国学生。虽然中国留学生人数达到新高,但因为美国有4000所经过认证的大学,且地域广大,中国留学生的比例并不算高。
启德美国项目总监、资深美国留学专家涂攀老师表示,越来越多的中国学生选择赴美深造,美国政府也不断出台各种利好政策,赴美留学已经迎来了黄金时期。此次奥巴马获得总统连任,势必延续赴美留学的大好态势,对于想去美国留学的中国学生来说,是非常不错的时机。
本科人数增率首次超研究生
2012《门户开放(Open Doors)》显示,2011-2012学年,赴美读本科的留学生总人数达30.9万人次(包括所有外国留学生),同比增长6.1%,而赴美读研究生的留学生人数增长率为1.3%,赴美就读本科的留学生人数增长率首次超过选择赴美读研究生。其中,赴美读本科的中国留学生人数增长率高达31%,高于研究生的增长比例,在美国读本科的中国留学生人数预计已经超过读研人数。
报告中也提到,2011-2012年赴美就读非学位课程的短期留学人数增长率为17.4%,为近四年最高,赴美进行短期留学也成为美国留学的新趋势之一。
启德美国项目总监、资深美国留学专家涂攀老师介绍,随着留学低龄化和多元化的发展趋势,赴美留学的中国学生学历层次也越来越丰富,选择就读高中、本科课程的人数都在不断增多,学生应该根据自身条件合理规划留学时间和课程。
商科、工程专业最受留学生青睐
《门户开放(Open Doors)》报告中对于留学生就读专业的数据分析显示,商科、工程仍然是留学生选择最多的两大专业,其中商科占比高达21.8%,工程占18.5%,遥遥领先其他专业。从增长速度来看,2011-2012学年增长较快的专业前三名为:语言培训(增长20%)、艺术类(增长12%)、数学和计算机(增长10.5%)。
启德美国项目总监、资深美国留学专家涂攀老师表示,美国的商科、工程类专业作为留学生最青睐的两大专业,竞争十分激烈,申请难度也有所提升。建议准备赴美留学的中国学生,可以在本科选择一些宽口径的基础学科,到研究生阶段在根据自身成绩和兴趣选择具体
2012年11月16日的专业方向继续深造,并不建议从本科就开始学习商科。
最受留学生欢迎的地区和大学
此次报告公布了招收国际学生最多的20所美国大学和十大州。这20所大学中14所为公立大学,6所为私立大学,全部都是研究型大学(提供本科、硕士和博士学位课程);招收国际学生最多的州基本都分布在西海岸、东北地区和五大湖地区,其中五大湖地区入选的州最多,加州(西海岸)和纽约州(东北地区)的国际学生人数远远多于其他州。
启德美国项目总监、资深美国留学专家涂攀老师介绍,这20所大学中有一些申请难度很大,尤其是哈佛大学、哥伦比亚大学、纽约大学等几所名校,申请竞争异常激烈。如果学生自身条件不是特别优秀,建议避开这几所大学。此外,除了公立大学之外,美国的文理学院、社区大学、地区大学等,也是留学生很好的选择。从留学地区来说,排名靠前的几大州如加州、纽约州、德州、佛罗里达州等,都是教育发达、大学密集、竞争最激烈的地区,学生在选择时一定要根据自身条件、将来的职业发展进行合理选择。
第五篇:美国网络安全政策审议报告
网络安全保护不力成为奥巴马政府面临的最紧迫的国家安全问题之一。因此,报告通过对与信息和通信基础设施有关的所有任务和活动进行评估,就未来如何实现拥有可靠、有韧性和值得信赖的数字基础设施进行说明。报告主要以五个主题介绍调查结果和行动方案:一是最高层实施领导,二是打造数字化国家的能力,三是共同承担网络安全责任,四是建立有效信息共享和事件反应框架,五是构筑未来架构。此外,报告还就行动计划提出近期和中期建议。报告指出,保护网络空间需要有先见之明的领导,需要在政策、技术、教育乃至法律等方面进行变革。此外,政府最高领导层、产业界和民间社会要共同致力于网络安全,使美在加强国家安全和促进全球经济的同时,继续在创新和尖端技术运用方面保持领先地位。
【本刊讯】美国白宫网站5月29日发表一份报告,题为《网络空间政策评估》,副题为《确保拥有可靠的和有韧性的信息与通信基础设施》,全文如下:
前 言
网络空间几乎涉及到每个人和每件事。网络空间提供了一个创新与繁荣的平台,提供了全世界改善整体福利的方法与途径。但是由于很多人都可以轻而易举地触及到管控松散的数字基础设施,各种巨大的风险正在对国家、私营企业和个人权利构成威胁。美国政府有责任解决这些网络空间的战略缺陷及弱点,确保美国及其公民与世界更多的国家共同充分发挥潜力,实现信息技术革命。
主要以国际互联网为基础的国家数字基础设施架构并不具有安全性,或者说韧性比较差。如果这些系统在安全上没有取得重大进展,或在如何构建和运营上没有实现重大改观,很难让人相信美国能够保护自己免受网络犯罪日益严重的威胁,免遭由国家支持的入侵和军事行动的日益严重威胁。我们的数字基础设施早已经遭受到入侵,犯罪分子已经窃取了亿万美元,一些国家和机构团体盗取了知识产权和敏感的军事情报。还有的入侵可能会损坏我们部分关键基础设施。美国的经济和安全利益都是以信息系统为基础,这些形形色色的风险有可能会动摇国家对信息系统的信赖。联邦政府还没有组织起来有效地解决这个目前或在未来日益严重的问题。联邦政府很多部门和机构都担负有网络安全的责任,但存在职权重叠的问题,没有一个部门拥有足够的决策权来指挥行动,协调一致地去处理相互矛盾的问题。政府需要综合考虑各方竞争的利益,制定出一个全面设想和计划,以解决美国面临的网络安全问题。国家需要制定出必要的政策和程序,培养相关人才和发展相关技术,以降低网络安全所面临的风险。
无论是在美国国内还是在国际上,信息和通信网络基本上是归私营部门所有并经营的。因此,解决网络安全问题需要建立起政府和私营部门两者之间的伙伴关系,要进行国际合作并制订国际准则。美国需要拥有一个全面的架构,以确保政府、私营部门和我们的盟国在发生重大网络事件或威胁时,协调一致地做出反应和进行防御。
美国需要开展一次全国性的网络安全讨论,从而使更多的民众认识到网络威胁与网络风险,以确保拥有一套完整的办法来满足国家对网络安全的需要,并履行国家做出的承诺,维护受宪法和法律保护的公民个人隐私权和自由权。
确保信息和通信基础设施安全并具有较强的韧性,仅仅依靠研究新的办法是远远不够的。政府需要加大研究经费投入,这将有助于解决网络安全上存在的弱点,同时也能满足我们经济和国家安全的需要。
概 述
总统指示要在60天内完成一份全面、全新的评估报告,对美国网络安全政策和组织结构进行评估。网络安全政策包括网络空间安全和网络空间运行的战略、方针及标准,涵盖了所有的降低威胁、减少弱点、威慑、国际参与、应急反应、确保韧性及恢复能力的政策与行动,并包括计算机网络运行、信息安全保障、执法、外交、军事和情报工作等。这些要素与全球信息与通信基础设施的安全与稳定息息相关。评估报告研究的内容并不包括与国家安全或基础设施安全无关的其它信息与通信政策。由政府网络安全专家组成的评估小组负责汇总产业界、学术界、公民自由与隐私维权团体、州政府、国际合作伙伴,以及国家立法和行政部门提出的具有广泛代表性的意见和建议。本文对评估小组的结论进行了综述,并概括地说明了在未来如何开始实现拥有可靠、有韧性和值得信赖的数字基础设施。
美国正处在十字路口。全球互联的数字信息与通信基础设施被称为“网络空间”。现代社会的方方面面几乎都离不开网络空间。网络空间对美国经济、民用基础设施、公共安全和国家安全提供了重要的支撑。这项技术已经使全球经济发生了改变,使人们以难以想象的方式联系在一起。然而,网络安全的风险也构成了二十一世纪最严峻的经济挑战和国家安全挑战。数字基础设施架构的构筑更多的是基于互通性和效率上的考虑,而不是从安全的角度进行考量的。因此,越来越多的国家和非国家行为体开始破坏、盗窃、篡改或毁坏信息,这会给美国的系统造成重大破坏。与此同时,传统的电信和互联网日益融为一体,而在其它基础设施领域,互联网正日益成为互联互通的主要手段。美国正面临着双重挑战,既要维护促进高效、创新、经济繁荣和自由贸易的良好环境,又要确保安全、保密,维护公民自由和隐私权。解决网络空间存在的战略漏洞,并确保美国和世界充分发挥潜能实现信息技术革命,这是我们政府的一个基本责任。
再也不能容忍目前的状况。美国必须向世界表明,美国将凭借强有力的领导和对远景的规划,严肃认真地迎接这一挑战。顶层领导应该得到加强,白宫应成为网络安全领导核心,提供指导,协调行动,并取得成效。此外,要落实联邦政府网络安全的领导责任制。这种方法要求明确联邦政府各部门和机构的网络安全任务和职责,同时提供相关政策、法律程序和必要的协调,使各部门能够各司其职。在过去的两年中,我们已经开始实施重大的计划,并通过对各机构的不同任务进行“衔接”而取得了长足的进步,但这样做并没有提供一个完备的解决办法。此外,这一问题超越了各个政府部门和机构的管辖范围。尽管每个部门和机构在网络安全方面都发挥着不可替代的作用,但任何一个部门都不具备足够广阔的视野或足够的权威,来彻底解决这个问题。
立即启动全国网络安全大讨论。美国政府应该与业界共同向民众解释清楚这个挑战的性质,并详细说明国家将通过何种方式来解决面临的问题。从某种程度上讲,也就是让美国公民充分认识采取行动的必要性。人们若不先了解网络问题的危急程度就不可能重视网络安全。因此,联邦政府应借鉴以往成功的宣传经验,发起一个全国性的网络空间安全公众意识教育运动。此外,与1957年10月苏联发射第一颗人造地球卫星后的一段时间类似,我们正面临一场全球数学和科学技能竞赛。我们继续拥有世界上最好的信息技术产业环境,但同时国家应培养参加全球竞争并保持领导地位所必需的劳动大军。
孤军奋战不可能保证网络空间安全。美国政府应加强与私营部门的合作。政府部门与私营部门的利益是交织在一起的,它们的共同责任就是确保拥有安全、可靠的基础设施。联邦政府在很多方面是可以与私营部门合作的。政府应该探究和开发那些可供选择的办法。政府与私营部门网络安全的合作伙伴关系必须得以发展,并清晰地界定这种关系的性质,包括明确各自的分工和职责。联邦政府应审查现有的政府与私营企业的合作伙伴关系,确定优先任务,采取具体行动,以发挥最大的效能。
美国还需要制定一个网络安全战略,以塑造国际环境,使志同道合的国家就领土管辖权、主权责任与动用军队的相关技术标准和公认法律规范等一系列问题达成共识。国际规范对于建立安全和繁荣的数字基础设施是至关重要的。此外,各个国家和地区不同的法律规定和做法也给创造安全、保密和值得信赖的网络环境带来严重挑战。这些法律上的差异对实现安全、可靠和有韧性的数字环境构成了挑战,并涉及到网络犯罪调查与起诉、数据保存、数据保护和数据隐私权、网络防御和应对网络攻击的反应等等一系列问题。只有通过与国际合作伙伴的共同努力,美国才有可能更好地应对这些挑战,加强网络安全,并全面享用数字时代带来的巨大利益。
在保护国家免遭网络事件或事故冲击方面,联邦政府既不能全部包办也不能回避职责。联邦政府担负有保卫国家的责任,各级政府担负着确保公民安全和福祉的责任。但是,私营部门设计、建造、拥有并经营着大部分的数字基础设施,为政府和私人使用者提供网络支持。美国需要有一个全面的框架方案,以确保在遇有重大事件发生时,联邦、州、地方和原住民保留地政府,以及私营部门和国际盟友做出协调一致的反应。执行本框架方案需要制订报告制度、针对不同情况的应急计划和灾后恢复计划,以及完成这些计划所必需的协调、信息共享和事件报告机制。
政府与重要的利益攸关方应共同努力,设计一个有效的机制以实现真正共同运作的构想,将政府和私营部门的信息整合成一体,并以此作为信息通畅、按轻重缓急顺序推进减灾工作和做出应急反应决策的基础。
与私营部门合作要求明确下一代基础设施的性能和安全目标。美国应充分利用技术优势满足国家经济和安全需要。即使面对敌人利用先进技术实施的攻击,联邦政府制定的政策也应该能够保证国家安全、知识产权保护和基础设施的不间断工作。联邦政府必须与私营部门及学术界合作,阐明协调一致的国家信息和通信基础设施的性能和安全目标。应与州、地方政府通力合作,制订有效的采购战略,推动市场制造更安全的产品并为公众提供各种有效的服务。政府还应探索另外的一些激励机制,包括调整法律责任(安全改善后责任减少,安全条件差则导致责任增加)、补偿及税收优惠、以及新的监管规定和执行机制等。
白宫必须指明前进的道路。在过去15年里,国家采取的网络安全措施没能跟上威胁的发展变化。我们需要向国内外证明,美国是在认真地对待网络安全相关的问题、政策和活动。这就要求由白宫挂帅,充分利用整个国家的力量,做到集思广益。
导 言
什么是网络空间:第54号国家安全总统令暨第23号国土安全总统令将网络空间定义为:信息技术基础设施相互依存的网络,包括互联网、电信网、电脑系统以及重要产业中的处理器和控制器。常见的用法还指信息虚拟环境以及人与人之间的互动。
全球相互联接的数字信息和通信基础设施被称之为“网络空间”。它几乎成为现代社会各领域的基础,并为美国经济、民用基础设施、公共安全和国家安全提供重要的支撑。信息技术已经改变了全球的经济,并超乎想象地把人和市场联接在一起。为充分享用数字革命带来的好处,所有用户必须树立起坚强的信心,确信敏感信息是安全的,商业活动不会受到损害和基础设施不会遭到入侵。世界各国还需要树立信心,相信支持其国家安全和经济繁荣的网络是安全的、有韧性的。拥有可靠的通信与信息基础设施将会确保美国充分发挥信息技术革命的潜力。第四十四届总统网络安全委员会在2008年12月的报告中明确指出,“美国网络安全保护不力是新一届美国政府所面临的最紧迫的国家安全问题之一”。
保护网络空间需要具有卓越的先见之明和强有力的领导,需要在政策、技术、教育乃至法律等方面进行变革。政府最高领导层、产业界和民间社会共同致力于网络安全,这会使美国在加强国家安全和促进全球经济的同时,继续在创新和尖端技术运用方面保持领先地位。
评估的理由
网络威胁对21世纪美国和我们盟友的经济和国家安全构成了最严重的挑战。
越来越多的国家和非国家行为体,如恐怖分子和国际犯罪集团,开始把攻击目标对准了美国的公民、商业、重要的基础设施和政府。他们有能力危害、窃取、篡改或完全毁坏信息。持续非法利用信息网络和破坏敏感数据等行为,特别是由国家实施的破坏行动,使美国经济竞争力和军事技术优势蒙受损失。正如国家情报总监最近在国会作证时所陈述的那样:“信息系统、互联网和其它基础设施之间越来越多地联接在一起,为攻击者破坏电信、电力、能源管道、炼油厂、金融网和其它关键基础设施创造了机会”。情报界分析认为,一些国家早已拥有了实施这种攻击的技术能力。
日趋复杂、广泛的犯罪活动,以及网络事件所造成的危害凸显出网络空间恶意行为的危害性,包括损害美国的竞争力、降低对隐私和公民自由的有效防护、破坏国家的安全或使公众失去信任感,甚至瘫痪社会。例如:
关键基础设施失灵。根据中央情报局报告,针对信息技术系统进行的恶意活动,已经使海外多个地区的供电设施遭到破坏。在其中的一起案例中,恶意行为曾导致多个城市断电。
恶意利用全球金融服务。据媒体报道,2008年11月,一家国际银行付款处理器遭到恶意侵犯,导致遍布49个城市的130多台自动取款机非正常交易达半小时之久。在媒体报道的另一起案件中,一家美国零售商在2007年遭遇了数据被破坏和个人身份识别信息丢失的恶性事件,殃及4500万张信用卡和借记卡。
美国经济遭受全面损失。业界估计,知识产权与数据失窃在2008年给美国造成了高达1万亿美元的损失。
本报告中提及的网络安全政策,包括了网络空间安全和网络运营战略、政策和标准,并涵盖了全面降低威胁、减少弱点、实施威慑、国际参与、应急反应、韧性和恢复政策及行动;还包括与全球信息与通信基础设施的安全与稳定息息相关的计算机网络运行、信息安全保障、执法、外交、军事和情报活动,但并不包括与国家安全及基础设施安全无关的其它信息与通信政策。
全新的评估
因为认识到所面临的挑战与机遇,总统将网络安全确定为本届政府的优先议题,并指示对此进行60天的全面审查,以评估美国网络安全政策与结构。评估与信息和通信基础设施有关的所有任务和活动,包括计算机网络防御、执法调查、军事与情报活动,以及与之有关的信息安全、反间谍,反恐、电信政策和综合的关键基础设施保护等方面内容。由政府网络安全专家组成的评估小组彻查了相关的总统政策令、行政命令、国家战略和政府顾问委员会及私营部门提供的研究报告。评估小组还向政府部门和机构征求了意见,让它们按要求就各自与网络安全相关的特别活动、权限和能力提供材料,并要求政府部门和机构确认那些可能没有列入评估初稿之中的新的需求或已存在的需求。于是很多的法律问题浮出水面,如集中管理问题,政府使用什么样机构来保护私有重要基础设施,互联网监控软件的安装,自动攻击检测和预警的应用,联邦政府与第三方数据共享和私人信息的保护责任等。评估小组还与联邦政府内外广大利益攸关方进行了沟通。小组力争透明,与产业界、学术界、公民自由与隐私社团、州政府、国际合作伙伴以及立法和行政部门广泛沟通,分析与评估其它相关的计划和事务。面对各方———学术界、产业界和政府———一道努力建立值得信赖和富有韧性的通信与信息基础设施的难得机会,评估小组给这些利益攸关方规定了评估的范围,并要求它们就相关领域提供材料。这种沟通工作包括40多次会议,形成了100多份带有具体建议和目标的文件。相关各方的反馈和公开说明,如国会证词等有助于确定重大需求,指明政策差距,提出改进或合作的领域,并为与网络空间安全相关的政策决策提供了参考。
评估小组发现,在整个信息和通信基础设施发展过程中,各部门和机构的任务与职权是依据当时管理多样化和分散的技术及产业的法律和政策确定的。而由此产生的各项计划主要是用于处理当时的特定问题,未必适应今天对数字化信息高度依赖的现实。
技术对国家和经济安全的影响促使联邦政府调整法律和组织机构,以适应形势发展。例如:
在1918年的一个联合决议案中,国会授权总统掌控美国所有电报系统,并根据需要在第一次世界大战期间使用电报系统。
1934年《通信法》决定由联邦无线电通信委员会组建联邦通信委员会,并为所有电报和无线电通信建立完备的规章制度,对此类技术的后继发展产生了深远的影响。
1965年《布鲁克斯法案》规定国家标准局———现在的商务部国家标准与技术研究院———负责制定自动数据处理标准和联邦计算机系统相关准则。
1984年,第12472号行政命令重新将美国国家通信系统特许经营权赋予联邦政府,作为满足国家安全和应急备用之需的联邦电信财产。2003年,美国国土安全部接管了美国国家通信系统的经营权。
1994年,美国国务院根据《对外关系授权法》,负责管理与国际通信和信息政策有关的外交政策。
要解决“谁负责”的问题,就必须解决政府部门和机构间任务和职权分配问题,特别是在电信网络和互联网相互融合,以及其它基础设施部门日益依赖互联网,以实现互联互通的背景下,情况更是如此。将已经发展了一个多世纪的任务职责统一起来,这就要求联邦政府详细阐明政策,分清政府各部门和机构在网络安全方面各自任务和责任。评估小组对20多个联邦政府部门和机构的反馈意见进行了分析,查明了网络安全相关政策存在的漏洞、重叠的任务职能和相互协作的机会。
随着威胁日益复杂,应对网络空间风险以及部门和机构间的沟通协作也因时而变。1998年5月签署的第63号总统令规定,在白宫的直接领导下设立了一个机构,指定牵头部门和机构,协调相关行动,并与私营企业相应部门合作,以“消除我们重要基础设施———特别是我们的网络系统———在防范和抵御物理和网络攻击方面存在的任何漏洞”。这项政策在2003年的《确保网络空间安全国家战略》文件中又进行了修订。
2003年底的第7号国家安全总统令进一步增强了这项工作。该命令赋予国土安全部全面协调国家重要基础设施———包括网络基础设施———的保护工作;可跨越所有部门与行政部门指定的具体机构进行合作。这两项政策的重点是防御性措施,第7号国家安全总统令并未包括保护联邦政府的信息系统。2007年,《国家网络安全综合计划》采取了不同的方略,其核心是把过去分散的网络防御任务与执法、情报、反间谍和军事能力“衔接”起来,解决各种各样来自远程网络入侵和内部违规操作所造成的网络威胁,以弥补存在的一系列不足。《国家网络安全综合计划》的策略在第54号和第23号国家安全总统令中被定为法律,主要针对行政部门的网络安全。但行政部门的网络在美国所依赖的全球信息与通信基础设施中仅仅占很小的份额。
本文总结了评估小组的调查结果,并介绍了有助于美国未来实现更可靠、有韧性、值得信赖的数字基础设施的一些初步步骤。它并未对各种选择或诸多计划的审核提供深入的分析。相反,它提出了需要加强协调和综合发展的政策。文章用5个主题详细地介绍了调查结果和行动方案:一是顶层领导,二是建设数字化国家的能力,三是共同负责网络安全,四是加强信息共享和应急反应,五是构筑未来架构。
第一章 从最高层实施领导
确保网络空间拥有足够韧性并值得信赖,以支持美国的经济增长、公民自由与隐私保护、国家安全和民主体制的完善,需要把网络安全列为国家头等大事。只有在政府最高层领导下才能完成这一重要而复杂的任务。
由白宫实施领导由白宫掌握网络安全相关政策的领导权并提升领导的层级,会向美国和国际社会发出明确的信号,即我们对网络安全问题的态度是非常严肃认真的。许多政府的部门和机构,以及总统办事机构将需要协调不同的职责和权限,以有效地促进网络安全。目前,没有一个人或一个组织专门担负着协调联邦政府网络安全相关活动的职责。如果没有一个中央协调机制、没有更新的国家战略、没有各行政部门制定和协调的行动计划,以及没有国会的支持,靠单打独斗的工作方式不足以应付这一挑战。
政府行政部门早已经设立了一个由国家安全委员会和国土安全委员会共同领导的信息和通信基础设施跨部门政策委员会,作为解决有关网络问题的主要政策协调机构,以便获得可信、可靠、安全和长久的全球信息和通信基础设施及相关能力。
美国总统应该考虑再任命一名白宫网络安全政策官,该官员应向国家安全委员会和国家经济委员会报告,以协调全国范围内与网络安全有关的政策和活动。此官员将主管信息和通信基础设施跨部门政策委员会工作,加强与总统办事机构其它部门协调领导工作,解决各种优先任务和协调政府部门间网络安全政策和战略的发展。网络安全政策官应该参与所有相关的经济、反恐和科学与技术政策的讨论和研究,并制定网络安全长远规划。
要取得成功,总统网络安全政策官必须得到总统的全力支持、拥有权威和足够的资源,以便在政策制定和协调部门间的网络安全相关活动中有效地开展工作。其手下至少有国家安全委员会的两名资深主任和适当的工作人员辅佐,并至少有一名国家经济委员会的资深主任和适量的工作人员为其工作。这些资深主任应通过网络安全政策官向上汇报工作,并共同致力于达成本报告所设定的目标及其它国家政策。此外,为促进国家安全委员会内部的整合,委员会中的每个地区主管局和职能局应当专设一名工作人员,负责本单位职能范围内的网络安全事务,并与国安会新设的网络安全局协调工作。
网络安全政策官不应拥有管理网络运营的责任或权力,也没有权力自己制定政策。网络安全政策官应当利用政府部门和机构间的协调程序,一切工作都要与联邦政府的首席技术官和首席信息官,以及管理与预算局、科学与技术政策办公室和国家经济委员会等相关部门进行商议,协调整个联邦政府有关网络安全的政策和技术工作,确保在总统的预算中能反映出网络安全工作是联邦政府的优先工作,并进入立法议程。
该网络安全政策官亦可被任命担任白宫网络应急反应行动官(其职能与白宫监控恐怖袭击和自然灾害的行动官员相类似),这一任命也将使美国更有效地进行危机管理;政府部门和机构将继续担负各自的网络运营职责。
为了便于协调,所有联邦政府部门和机构应该在各自内部设立一名联络官,负责协助白宫处理网络安全事务。
通过政府跨部门政策制定程序,网络安全政策官为总统起草准备新的国家战略,以确保信息和通信基础设施安全。这项战略应包括对《国家网络安全综合计划》的落实情况的后继评估,并适当汲取其成功的经验。新国家战略应侧重使高层领导集中精力和时间,消除阻挡美国实现拥有可信、可靠、安全和富有韧性的全球信息与通信基础设施以及相关能力的障碍。该战略将帮助政府努力提高公众意识,恢复和建立国际联盟及公私部门之间的伙伴关系,建立一个更加周全的国家网络应急反应与恢复计划,并采取积极的研究与发展计划,催生提高网络安全的新技术。
联邦政府应继续落实《国家网络安全综合计划》提出的“任务衔接”原则。政府各部门和机构应加强网络防御单位与负责美国网络空间作战的情报、军事和执法单位的合作,就网络威胁、网络交易、网络技术和网络存在弱点等问题进行交流,扩大网络经验、知识和观点看法的共享。此外,网络安全政策官应当帮助协调涉及网络空间的情报、军事政策和战略———包括打击网络恐怖主义,确保所有的任务有机融合在一起。网络安全政策官还应当与外部的咨询机构保持联系。许多咨询机构都涉足与网络安全相关的问题,这些机构包括国家安全和电信咨询委员会、国家基础设施咨询委员会、重要基础设施合作咨询委员会以及信息安全与隐私咨询委员会。网络安全政策官应审查这些机构的职能,并提出必要的改革建议使其咨询服务最优化,并杜绝不必要的重复。
为确保公民自由和隐私权利得到保护,还需要得到其它组织的帮助。这些组织将可以在政府网络安全计划和公民自由与隐私团体以及公众之间建立起信任,显示网络安全计划的透明,这在网络计划开始实施之初尤为重要。当务之急是要建立隐私与公民自由监督委员会,加快委员会成员的选举工作,并考虑是否寻求修订法案以扩大其工作范围———包括处理与网络安全有关事务。其它可行的办法还包括:加强政府负责公民自由事务部门与隐私顾问们就网络安全的政策问题进行定期沟通,或在国家安全委员会内任命一名负责隐私与公民自由事务的官员(或范围再大一些,在总统办事机构内任命一名负责隐私和公民自由权利的官员),与私营部门隐私与公民自由团体、隐私与公民自由监督委员会和政府负责隐私与公民自由事务的官员进行协商。
与制定网络安全政策同样重要的是确保有效地执行和落实这项政策,以实现更远大的战略目标。因此,网络安全政策官同管理与预算局、总统办事机构其它部门协商,必须确保有效地落实网络安全相关政策和采取相关行动。在60天的评估期间,有关各方就协调和监督网络安全活动提出了各种各样的办法。一些评论家确信,强有力的行政领导,以及多年来政府部门和机构的努力,是确保美国政府拥有可以有效执行网络安全计划机制的重要基础。目前,一些网络安全监督职能都不是在总统办事机构领导下实现的。例如,归属国家情报总监领导的跨部门联合网络特遣队,目前负责协调和监督执行《国家网络安全综合计划》。网络安全政策官通过管理与预算局和总统办事机构其它部门协商,应该就组织机制调整提出建议,以实现相应的监督、执行和其它的一些职能,包括在管理与预算局或总统办事机构建立一个类似拥有跨部门联合网络特遣队功能的机构,创立一个类似艾森豪威尔总统行动协调委员会的实体,或建立一些可协助评估联邦政府部门与机构表现和监督联邦政府网络安全标准遵守情况的组织机构。在这样一个办公室成立之前,跨部门联合网络特遣队将继续执行其任务。
评估相关法律和政策
总统的网络安全政策官应与政府部门和机构合作,提供协调一致的政策指导,并在必要时详细说明整个联邦政府确保网络安全相关活动的职权、作用和责任。适用于信息和通信网络的法律是由宪法、国内法、国外法和国际法拼凑而成的一个复杂法律体系,这一体系制约着政策选择。在美国,这种拼凑在一起的法律混合体之所以存在,是因为联邦政府在整个信息和通信基础设施发展过程中,颁布了诸多法律和政策,以控制多样化的产业和技术。
由于传统的电信网络和互联网日益融为一体,以及其它基础设施领域日益将互联网作为互联互通的主要手段,法律和政策应当继续找寻出一种综合性方法,将保护公民自由、隐私权利、公共安全、国家和经济安全的利益与灵活多样的网络应用和网络服务所带来的好处结合起来。在一些领域中缺乏司法裁定既带来了机遇也带来了危险,决策者对此应充分理解———法院可以介入并规范法律的应用,特别是涉及到宪法权利的领域。制订政策必然受到法律框架的规范和制约,而且在政策上深思熟虑有助于找出现行法律中存在的差距和争议,让我们知道必须要做出的法律改进。这一过程可能会根据美国的法律原则提议组建新的立法框架,对加之于信息、通信、网络和技术上的相互重叠的法律进行合理调整,或会对已有的法律进行新的诠释,使之适应技术变革与实现政治目标。不过,采用其中任何方式都会有风险,可能使联邦政府保护信息和通信基础设施的一些活动更加困难。
政府应适当地与国会进行有效合作,以确保拥有完备的法律、政策和资源用于完成美国网络安全相关工作。国会已对国家有关网络安全的需求表示关注,并决定由两党共同担任领导,政府将会从国会的知识和经验中获益。与政府部门和机构共同工作的网络安全政策官应与产业界进行协商,以便了解法律和政策给网络运营方面带来的影响。
加强网络安全工作的联邦政府领导和责任制
在数字化时代,仅仅依靠白宫将不足以领导美国实现广泛的目标,整个联邦政府都必须担负起领导职责。将网络安全列入总统议事日程的优先项目、根据既定的目标审查政府部门和机构的网络安全工作进展等,有助于落实责任和推动工作进度。网络安全政策官———与国家安全委员会、管理与预算局、国家经济委员会和科学与技术政策办公室协商———将界定工作进度和成功的标准,提高网络安全工作在所有机构预算中的“能见度”。
要使网络安全工作透明并对整个网络安全投资进行有效管理,管理与预算局应利用其项目评估机制,确保政府部门和机构在追求网络安全目标时有效使用预算。正规的网络安全项目评估机制可以使政府部门和机构详细说明每个计划的意图与目标,并建立是否达成目标的统一标准。《国家网络安全综合计划》已经成功地运用了一种类似的做法。
根据2002年《联邦信息安全管理法》要求,政府部门和机构的领导人必须承担起责任。政府与国会共同努力,更新并强化这项法规。政府部门和机构的领导执行计划要求各部门和机构及时汇报在确保网络系统安全方面的工作进展情况。美国联邦政府应制定备选方案,支持政府部门和机构落实遵守网络安全政策的领导责任制,坚决执行相应的网络安全程序。
提升各级地方政府网络安全事务的领导层级州、地方和原住民保留地政府应考虑把网络安全当成一件大事来抓,指定一名领导人专门负责,以确保首席信息官、首席信息安全官与州国土安全顾问之间的有效协调。评估小组从美国州长协会的代表那里听到一些反映,说网络安全是他们在保护各州重要基础设施资产工作中最薄弱的环节。州国土安全顾问可以从若干国土安全部批准的项目中开支,用于网络安全工作。但从历史上看,所提供的资金在很大程度上并没有优先用来确保网络安全。州、地方和原住民保留地政府应考虑是否应把网络安全当成一个大问题,并确保首席信息官、首席信息安全官与州国土安全顾问协调一致,保持强大的防御态势。
第二章 打造数字化国家的竞争力
国家正处于一个十字路口。计算机几乎改变了日常生活的一切,不论是在家中还是工作场所。网上银行、网上购物和报税等都已是司空见惯。国家的基础设施正在经历一场革命,数字化和网络技术不断通过大型系统进行整合,如智能电网和下一代空中交通系统。近期颁布的《美国复苏与再投资法案》中的内容鼓励发展现代信息和通信设施,以便提高美国的竞争能力,并使用技术来解决国家所面临的最为紧迫的问题。美国面临着双重挑战:在维护一个促进创新、开放式互联、经济繁荣、自由贸易及自由环境的同时,也要保证公众安全、公民自由和隐私。
大众需要明确了解技术的安全使用。另外,美国需要一个技术先进的工作组来维持其在21世纪的经济竞争力。在学校,数学和科学必须成为首选学科。美国应发起一项K-12(注:指从幼儿园到高中的教育)网络安全教育计划,以便进行数字安全、道德和保护教育;扩展大学课程;并且为培养一支数字化时代的称职的劳动力队伍创造条件。正如总统曾提到的,“美国所面临的挑战中,让我们的孩子为全球经济竞争做好准备最为紧迫。”为了帮助完成这些目标,国家应该:
提高全民的网络安全风险意识;建立一个教育系统以促进对网络安全的了解,并让美国继续在信息技术的科研、工程和市场领域保持和扩大领先地位;
扩展并培训用于保护国家竞争优势的劳动力队伍;帮助组织和个人在风险管理上做出明智的选择。
提高公众意识
形成对网上活动风险以及如何对其进行管理的广泛的公众意识,需要制定一个有效的战略。联邦政府应该与教育者及产业界部门一起,引导国家网络安全的公共意识和教育。总统网络安全政策官员应该负责这一公众意识战略的制定并指导其执行,并且应寻求国会、联邦政府、地方与原住民保留地政府、私营部门及公民自由与隐私组织的支持。战略应该涉及对公众进行关于威胁和怎样提高数字化安全及道德的教育。恶意行为体经常利用人们通过互联网接受信息或提交个人信息的行为。因此,该行动应专注于公众信息以便提高对网络使用的责任心,并加强对欺诈、身份盗窃、网络掠夺及网络道德等方面的防范意识。过去在公共安全活动中的一些成功做法,例如为了防火而设置的警示牌、推广使用汽车安全带的提示条等,都可以当作一个模本加以利用,以便通知和帮助公众认识到网络安全的重要性。这些公共服务行动应该注重培养儿童的网络安全意识,以及那些准备选择职业的高年级学生的意识。知名人士、同技术一同成长起来的一代及新型媒体,都可以在有效传递信息上发挥重要作用。
加强网络安全教育
类似于前苏联在1957年10月发射人造地球卫星之后的一段时期,美国处在一个以数学和科技技能为主的全球竞争之中。根据《经济学人》中的一则报道,出色的信息技术职业者“到处短缺,但是形势会更加严峻,因为所需技能的本质正在发生改变。除了技术知识以外,明天的信息技术职业者将要求在项目管理、变革管理和业务分析等方面具有专业知识”。这项研究指出,美国继续拥有世界上最好的信息技术公司运营环境,在教育、基础设施、创新鼓励和法律保护等多个重要领域均具有规模和质量优势,可帮助打造竞争力。然而,2007年至2008年关于计算机学位和入学趋势的“托比调查”显示,美国的计算机科学和工程学位毕业生比2004年的高峰时期减少了约一半。国家无法容忍这种衰退继续下去。
联邦政府以及全体机构应该扩大对关键教育计划和研发的支持,以便保证国家在信息时代经济中持续的竞争力。现有的计划应该加以升级,或者扩大,而且其它的活动可以作为额外的计划模式参考。例如:
2006年国家科学基金开始征集关于其“恢复计算机大学教育的途径”的建议。这个项目试图打造一支“具有计算机能力和技能的美国劳动力,以便推动21世纪国家的健康、安全和繁荣”。
作为直接激励措施,不仅为那些在网络安全教育领域追求进取的学生,同时也向那些立志在联邦政府获得相关职位的学生提供奖学金。国家科学基金和国土安全部为34个大学的服务计划提供奖学金。超过1000名学生在该计划的前8年得到了支持,其中超过80%的学生在联邦政府获得了工作。国家科学基金会强调,考虑到迫切需要壮大相应的劳动力队伍,加强研究和教育之间的协同作用再怎么强调也不为过。
国家信息安全教育与研究学术中心,由国家安全局于1988年创立,从2004年开始由国土安全部共同资助,在38个州和哥伦比亚特区的94所大学推行更高水平的信息安全教育。这些中心已经同众多知名大学建立了合作关系,包括一些社区、西班牙语和传统黑人学院。国防部也对这些大学中的信息安全奖学金计划提供了赞助。
全国大学网络保护竞赛、美国数学奥林匹克协会、能源部科学杯以及西门子基金数学、科学和技术竞赛都提供了以竞赛为导向的范例。其它范例包括国家科学基金援引国防先期研究计划局的重大挑战而组织的一个学术小组,马可姆波里奇国家奖以及旨在建立高级加密标准的竞赛。
扩充联邦信息技术劳动力队伍
总统的网络安全政策官员应同信息和通信设施联合部门委员会协作,考虑如何更好地吸引网络安全专业人才,并采取措施慰留联邦政府内拥有此类技能的职员。各个部门和机构已在吸引产业界人才方面获得了一些成功,但由于获取、转移或更新安全审查需要大量的时间,这造成了机会的流失。联邦职员还应该有机会丰富个人工作履历和促进其职业发展,而单独某一家政府部门常常无法提供这类机会。展开共同培训、进行部门间轮岗甚至与私营部门之间进行可能的岗位轮换不但是一项有效的做法,而且会有利于人才素质综合培养和专业人才库的建立。
将提高网络安全视为企业领导责任联邦政府应该继续促进在各级政府和产业界中关于威胁、漏洞和有效措施的计划和信息分享。只有信息技术劳动力队伍了解网络安全的重要性是不够的,各级政府和产业界领导需要根据现实和潜在风险,做出业务和投资决定。联邦、地方和原住民保留地政府面临着类似的问题。州政府经常起到革新孵化器的作用,因而可能会提供一些在管理信息和通信设施方面所得到的经验。联邦政府应该继续同产业界一起确认并发布在安全设计和信息技术产品经营方面的有效措施。
第三章 共同承担网络安全责任
如果联邦政府孤立地开展工作,那么联邦政府在许多方面都不可能确保网络空间的安全。关于这一点,公共与私营部门有着共同的利益,以确保为商业和政府服务提供一个安全、可靠的基础设施平台。政府和产业界领导者在国内和国际事务上,都需要界定角色与责任、整合各种能力并发现各自的问题,以便制定出整体的解决方案。只有通过这样的合作关系,美国才能够提高网络安全水平,获得数字革命所带来的全部效益。保证网络空间的安全,这一全球性的挑战要求各方做出更大的努力。这一努力应寻求同私营部门进行持续的协作,通过制定全球标准来提高可被共同使用的网络的安全,扩展法律系统打击网络犯罪的能力,继续发展并推广成功的实践经验,并保持稳定、有效的互联网治理。
加强私营部门和政府间的合作关系
联邦政府有责任保护、捍卫国家,并且各级政府有责任确保其公民的安全与健康。然而,私营部门设计、建立、拥有以及运作的大多数网络基础设施同时为政府和私人用户提供支持。对于基础设施的安全性和可靠性以及通过这些设施所发生的交易,业界和政府承担着共同的责任,二者应该紧密合作以解决这些相互依赖性问题。联邦政府可以采取多种不同的手段来应对这些挑战,其中有些可能要求修改相应的法律和政策。
私营部门应帮助弥补执法和国家安全的局限性问题。当前的法律允许使用某些工具来保护政府网络,但不是私营网络。产业界领导者可以利用企业信息共享来帮助说明数据泄露、工业间谍活动以及服务能力丧失或降低给公司带来的风险以及对盈利能力的影响。产业界领导者可以要求销售商和服务供应商提供更多保证,同时承担起开发更加安全的软件和设备的责任。企业应想出有效的途径,以便在彼此以及联邦政府之间分享检测方法、关于违规和攻击方法的信息、修复技术及取证能力。
如果风险和后果可以以货币价值的形式来衡量,那么各个机构就将拥有更大的能力和动力去解决网络安全问题。尤其是,私营部门经常试图通过业务个案来证明以下两方面所需的资源支出的合理性:一是把信息与通信系统安全整合到公司的风险管理之中;二是建立可以缓解风险的伙伴关系。政府可以考虑利用以激励为主的立法或监管工具来协助形成好的价值取向,并且帮助培养一个可以促进并鼓励伙伴关系和信息共享的环境。
总统的网络安全政策官员应同相关部门机构及私营部门进行合作,共同考察现有的公私伙伴关系和信息共享机制,以便识别或建立最为有效的模型。过去十多年以来,公私伙伴关系促进了信息共享,并为美国重要基础设施保护和网络安全政策奠定了基础。在这一段时期,联邦政府和私营部门共同建立了大量有关网络安全和信息与通信设施问题的论坛。
这些团体做了很多贡献,但是由于精力分散,已使一些参与者对缺乏明确界定的角色和责任、各团体之间参差不齐的能力以及不断增加的计划和建议,感到灰心丧气。结果,政府和私营部门的人员、时间及资源被大量浪费于重复、不连贯的工作中。伙伴关系必须进行转变,以便明确界定这一关系的性质、不同团体及其参与者的角色和责任、对各方贡献的期望,以及责任机制。联邦政府应对各种资源进行优化、调整,然后把它们提供给现有的组织,以此来完善其识别优先等级的能力,实现更加有效的执行效率并制定响应与恢复计划。
为期60天的评估考察了大量有效的公私伙伴关系模型。尽管这些模型功能差异很大,但它们却共享着某些重要的特性。每一个模型都有一个定义明确的机构使命、明确参与者的角色和责任,以及清晰的鼓励参与的价值取向。通过在成员之间培养并维持一种相互信任的氛围,每一模型都可以减轻担忧,否则这些担忧可能会妨碍参与。现有的网络安全伙伴关系也许会应用这些模型所具有的那些最为有效的特征。
评估妨碍公私伙伴关系转变的潜在障碍
私营部门中的有些成员一直担心,某些联邦法律也许会妨碍私营部门和政府之间全面协作性质的伙伴关系及运作信息共享。例如,业界中的有些人担心在现有的伙伴关系模型中,同一领域成员之间进行的信息共享和统一规划,也许会被认为同禁止贸易限制的法律“互相串通”或相抵触。业界还表示会有所保留地向联邦政府透露敏感性或专有的商业信息,例如弱点和数据或网络漏洞。这种担忧一直存在着,即便相关的法令对此给予了保护,例如《商业机密法》和《关键基础设施信息法》。这两项法律的颁布旨在消除产业界对于《信息自由法》的担忧。除了这些问题以外,产业界也许还会担心共享信息所带来的名誉损害、责任或管制影响。相反,鉴于对敏感的情报来源和方法或者个人的隐私权利的法律保护,联邦政府有时会限制政府与私营部门共享的信息。
这些担忧并不是孤立存在的。面对不公平竞争,各种反垄断法律提供了重要的安全保障,并且《信息自由法》将协助确保政府的透明性,这对于维持公众信心至关重要。公民自由和隐私团体表示,担心不断扩展的保护措施只不过是一块逃避责任的合法盾牌。此外,信息与通信市场的全球性特点会使信息共享的挑战变得更加的复杂。如果在美国运营的产业界成员是外国公司,那么强制性的信息共享或排斥此类公司加入信息共享体制,可能会对贸易产生影响。
政府应同私营部门进行创造性的合作,以便找出恰当的解决方案———同时照顾到交流信息和保护公共和私人利益这两个方面的要求,从而采用统筹兼顾的方法解决国家安全和经济安全问题。这些解决方案应该识别出明确的、可执行的信息共享目标,并制定事件报告标准。私营部门将更乐于分享那些不需要更改数据所有权的解决方案,例如英国模型中的做法:选择经过审核的信息安全提供方而不是政府作为合并数据的链接点。
最后,联邦政府应该请学术界、公民自由与隐私团体、开放政府的提倡者以及消费者积极参与,以确保政府政策充分考虑到了这些群体所代表的广泛利益。几乎没有什么问题可以简单地看作是一个孤立的程序、政策或技术问题。技术的变化通常会成为政策制定的考虑要素,也许会要求改变现有的程序。政策改变(例如规章或税收鼓励措施的通过)可以影响到采购或技术研发方面的决定。联邦政府还可以考虑这样的方式:它能够把更多的资源集中到可能“改变产业界格局的”领域的研究上,例如行为与政策方面的以及以激励为主的网络安全解决方案。鉴于这些问题的密切相关性,更需要确保所有利益攸关方的利益都得到体现。
与国际社会进行有效的合作
国际规范对于建造安全、稳定的数字基础设施来说至关重要。美国需要制定一项战略,以便打造国际环境并把对一系列问题有着类似观点的国家聚集在一起,这些问题包括有关领土管辖权、主权责任及武力使用等可以接受的规范。此外,不同国家与地区的法律和实践———例如涉及以下多个方面的各种法律:网络犯罪的调查和起诉、数据保存、保护与隐私,以及网络防御和网络攻击响应的途径,为打造一个安全、安定并具有韧性的环境带来了巨大的挑战。要解决这些问题需要美国同所有国家以及国际机构、军事同盟与情报伙伴进行合作,包括发展中国家,它们在构建其数字经济与设施的过程中也面临着这些问题。
在过去十年中,联邦的通信、基础设施和网络安全相关的政策都是沿着不同的道路发展。采用更加综合的政策制定方法可以确保制定相互支持的目标,并可以让美国通过更为有效的、恰当的立场把握其国际机遇。对于一系列独立领域(包括网络安全和对言论自由及其它公民自由的保护)的国家利益,美国应采用综合的解决方法以便制定一贯的政策。
总统的网络安全政策官员应与各部门和机构合作,加强并整合机构间制定及调整国际网络安全立场的流程。此外,联邦政府在继续同私营部门的长期合作的同时,应制定一套积极参与计划以供国际标准机构使用。这其中应包括对现有政策的评估并对立场的确定、完善或重申进行协调,从而确保与网络安全相关的经济、国家安全、公共安全和隐私利益都被考虑在内。包括联合国、八国集团、北大西洋公约组织、欧洲理事会、亚太经合组织、美洲国家组织、经济合作与发展组织、国际电信联盟、国际标准化组织在内的十多家机构都致力于解决信息和通信基础设施方面的问题。新组织正开始考虑与网络安全相关的政策和活动,其它组织也在拓展现有的工作范围。这些机构所考察的政策和所开展的活动有时会彼此冲突,并经常重合。这些组织公布的协议、标准或实践都具有不可忽视的全球影响力。它们的绝对数量、类型,以及这些地区不同的侧重点超出了包括美国在内的许多政府的应对能力。
总统的网络安全政策官员应与各部门机构合作,加强其对国际立场、磋商和讨论的识别、跟踪和优化的能力,与网络安全相关的协议、标准、活动和政策都是在这些过程中形成的。以往的经验表明,美国将需要继续参与一系列的国际活动。联邦政府应与私营部门及其它国家密切合作,以确保各成员充分参与到相应的论坛之中,就关乎美国未来全球信息和通信基础设施利益最重要的问题进行讨论。美国及其国际盟友应利用参与区域或其它论坛的机遇,促成共同的政策目标,关注现有国际组织的工作,并减少重复性的工作。例如,国际电信联盟和国际标准化组织都在从事关于网络安全取证标准的制定。对于主题更为宽泛的论坛,美国也应寻求机会,以促进相关项目中有关信息和通信基础设施的安全和发展。联邦政府应与私营部门共同协调和发展国际伙伴关系,以应对信息和通信基础设施相关的一系列网络安全方面的活动、政策和机遇,这些基础设施是美国商业、政府服务、美国军队以及国家的根本所在。政府和产业界间新签署的协议应加以备案,以促进国际信息共享和战略运营合作。对于指导对外发展及发展海外能力,联邦政府应增加资源并提高警惕。例如,美国应加快步伐帮助其它国家建立法律框架、提高打击网络犯罪的能力,并且继续推广网络安全方面的准则和标准。美国也应与其盟友合作,确保互联网的稳定性和国际互用性,同时提高互联网的安全性和可靠性,使所有用户受益。
第四章 建立有效的信息共享和事故响应框架
美国需要建立一个全面的框架,以便协调政府、私营部门和盟国共同应对重大的网络事故。联邦、州、地方及原住民保留地政府应与业界合作,提前完善其正用于检测、预防及应对重大网络安全事件的计划和资源。由于此类事件可能影响到政府和产业界部门之间的互联网络,因而在重大事件发生之前、期间和之后,对此类计划和行动进行协调就显得特别重要。例如,尽管收到关于“Conficker”蠕虫病毒的提前预警和网络防御的指示,但如果蠕虫病毒在2009年4月1日激活时附带恶意的有效负载,那么一些联邦部门和机构就无法应对。
建立事故响应框架
与其他重大国家事故一样,在发生重大网络事故时,只有白宫有权协调与事故响应相关的一系列职能部门和权力机构。各部门和机构应按白宫总体战略方向履行各自责任。总统的网络安全政策官员应为白宫网络事故应急的执行官(其职能与帮助白宫检测恐怖主义袭击或自然灾害的执行官类似)。
联邦政府应建立一套明确且具权威性的网络事故响应框架,该框架在修改后的《国家响应框架之网络事故附件》中备案。到目前为止,针对网络事故的联邦响应还未统一。对于涉及国家安全/应急准备通信的情况,第12472号美国总统令明确了现存的职能部门和处理流程;然而,根据当前的法律政策,各部门和机构仍各自负责决定和实施隔离、保护和恢复自身计算机网络和数据的措施。
由于国家安全和其它联邦网络之间现存的法律而非人为差异,联邦网络事故响应的责任分散到了不同的联邦部门和机构之中。根据事件的性质,例如重大的漏洞、犯罪袭击,或军事事件,不同部门或机构可能负有或承担着主要的应急责任,而其它部门或机构则可能对此一无所知。另外,对整个事故的责任分配可能还不明确。尽管每个参与者都有着明确的专长领域和合法权利,但它们很难统一到一个单一的协调框架中。把任何权力部门合并到一个统一架构中可能都需要通过法律来实现。信息和通信设施联合部门委员会进程应明确同事故响应相关的不同部门和机构的角色、职责及资源,必要时对其协调或补充;了解事故响应的各个方面如网络安全、执法、情报及军事等部门及其各自的优势。
众多评论家强调建立事故报告和响应门槛的重要性。网络运营商和服务提供商每天都会处理大量尚未达到“滋扰”级别的事件。在这些低级别事故中,藏匿有相对少量的可能产生巨大影响的入侵或攻击。其它政府和私营部门的网络运营商很想了解此类事件的技术细节,以帮助其抵御相似的网络威胁;执法部门和情报机构也可借此跟踪并寻求方法制止网络安全方面的犯罪和来自国外的威胁活动。
网络运营和服务提供商:互联网由管理运作和为客户提供服务的企业联合运营。网络运营商建立和维护信息通信基础设施,为客户提供接入和宽带服务。服务提供商提供互联网接入网关、安全服务、存储或处理服务,以及信息的获取(如互联网地址或新闻)和应用设备(如搜索引擎)。单个的公司可提供独特的接入、信息和服务的混合组合(如社交网络)。
联邦政府应与州、地方和原住民保留地政府和业界合作,总结一系列威胁情况和衡量指标,以供风险管理决策、制定恢复计划及确定研发优先顺序。同时应发展建模和模拟能力,以帮助演练这些计划并确定可能的破坏级别。
信息和通信设施联合部门委员会应在各部门和机构中建立明晰、可执行的事件即时汇报规则,以便提高机构间响应的效率。各部门和机构在各自管辖范围外的事件汇报存在差异,其对重大事件的即时汇报将使联邦的整体应急响应受益。
总统的网络安全政策官员应与信息和通信设施联合部门委员会合作,确定发展和保持态势感知和事故响应能力的最有效方法。《国家网络安全综合计划》应继续致力于提高联邦网络的防御能力,同时考虑调整实施计划或增添内容的需要。总统的网络安全政策官员尤其应该:
与私营部门合作,探索如何更好地将技术能力应用到国家基础设施的防御中来,以及需要什么样的法律框架来保障隐私权和公民自由。
审议国家网络安全中心的运作理念及其实施,决定该中心关于责任、资源战略和管理的提议是否充分,使其能够提供支持网络事故响应努力所必需的态势感知共享信息。
继续向可信任的互联网接入项目的目标迈进,减少政府网络接入的数量,同时根据对挑战的现实评估,再次考虑项目中的目标和时间表。在过去的两年里,一些部门和机构在减少接入数量和部署系统上取得了进步,这些系统将帮助联邦政府阻止并检测恶意的行为。然而,政府在充分发挥能力之前仍然有很多工作要做,而且可能需要考虑额外的政策以促进战略的全面实施。
为了联邦网络的利益,适当评估并与公民自由和隐私团体继续协商进行入侵检测和防御系统的试点部署工作,评估这些系统的性能,并且继续研究若将这些系统应用到州政府系统中会产生的问题。(系统中的)传感器将对联邦网络获得态势感知信息具有关键作用;随着这些部署工作的进行,政府也将从政策、法律或技术层面受益。
探索———与业界、公民自由和隐私团体协作———其它长期的入侵检测和防御体系建构。
联邦政府应提高自身向总统提供网络入侵或攻击的战略预警的能力。联邦政府应继续利用国家为促进密码技术、信息保障技术和必要配套设施的根本发展的投资。这些投资以及其它的情报能力,对于网络攻击的战略预警至关重要。此外,联邦政府应找出执法能力上的差距,或保护国家基础设施所建立的调查权威。所有新设的权威部门需始终保障公民自由和隐私权。
美国政府应投资有助于防御网络应急事件的流程、技术和基础设施。内容包括增加安全检测、投资网络管理自动化或中央化系统,以及对某些非保密系统实施更严格的互联网接入。
政府需要建立一套可靠持续的机制,以便将所有适宜信息整合在一起,形成一张共同的运行图。联邦网络安全中心经常分享彼此的信息,但其中没有一家机构可以将来自不同中心和其它资源处得到的所有信息综合起来,制成一张不断更新且涵盖网络威胁和网络状况的全局图,以预报迫在眉睫的应急事故,以及支持协调事故响应。国防部负责整合关于网络健康和状况、入侵企图和对自身网络的攻击的信息;情报界负责自身网络;国土安全部美国电脑应急反应小组负责民事联邦机构以及在某种程度上对私营部门负责;执法和情报机构收集与网络有关的犯罪和国外威胁活动证据,但也需要具有处理有一定规模的犯罪活动的额外能力。
联邦政府应考虑若信息和通信基础设施遭受重大损害,尤其是当信息和通信网络融为一体时,是否有充足的可用替代品或通信设施储备。基础设施的替换或修复也要求有额外的计划和资源,尤其是当网络或电网中难以替换的元件受到物理损害时。
联邦政府应利用现有资源,在各级政府和私营部门间建立有助于防御、检测和应对网络应急事件的流程。联邦政府应利用州际信息共享和分析中心、全国58座州立和地方融合中心等现有资源,帮助树立信息和通信基础设施方面的态势感知意识。
加强信息共享,提高事故应对能力
信息是防御、检测和应对网络事故的关键。网络软硬件提供商、网络运营商、数据拥有者、安全服务提供商以及某些情况下的执法或情报机构可能各自拥有信息。这些信息能够帮助检测和了解复杂的入侵或攻击问题。只有将上述各类信息来源整合起来,才有可能全面了解事故并做出有效的响应,使所有人受益。
联邦政府应与州、地方和原住民保留地政府及私营部门(包括数据拥有者、网络运营商及隐私和公民自由专家)合作,寻求网络安全方面的信息共享方案,消除有关隐私和专有信息的担忧,使信息共享符合国家的利益,达到互利的目的。鉴于私营企业关心其信息的潜在使用问题,政府必须保障其隐私权、做到执法公正、保护情报来源和方法,以及可能导致不公平竞争优势的政府信息。为了解决这些担忧,政府和私营部门都需要做到透明、诚信。可选方案包括:
设立一个政府和私营部门都信任的第三方非营利性非政府组织,作为政府和私营部门共享信息的平台,以此提高政府和私营部门之间的关键网络安全性。此类组织可使用商业服务,并且不会扰乱日益壮大的安全服务市场。
联邦政府(如执法机构)与个体公司或公司集团(可能还有州、地方和原住民保留地政府的参与)之间持续的约束,在特定的部门或区域内实现一定程度自愿性的信息共享,超越在更广泛的背景下实现的信息共享。
美国政府应与受影响方和国会协商,考虑制定适当的信息共享激励措施。作为最后的手段,这些措施可包括综合方案中的监管措施,以满足社会对健全和具有韧性的关键基础设施的利益需求,保障公民自由和隐私权,维护作为美国经济系统基础的、公正公开的经济市场。加密或控制接入认证等强化隐私保障技术可减少信息共享中的某些风险。
联邦政府应全面评估妨碍网络安全信息共享的有关安全分级和人员涉密等方面的政策,同时寻求信息共享改善方案,并确保公民自由和隐私权得到保障,敏感信息得到适宜的保护。联邦政府各部门和机构当前关于信息搜集,使用、保留和散布的政策很大程度上都是基于法定权限、对隐私和公民自由的关注、对来源和方法的担心以及历史惯例而来。这些政策严重阻碍了联邦政府间的网络安全信息共享。此次评估应将联邦政府通过安全性和适用性改革倡议所取得的进展考虑在内,同时也要考虑信息共享环境在检查安全和适用性处理组件的所有方面时所做出的努力。
联邦政府应与私营部门合作,制定私营部门网络运营商向联邦政府进行事件汇报的标准。业界表达了作为受害者对汇报其网络事故的担心,包括随之而来的股东的担忧、市场反应或监管行动所带来的潜在消极影响。一家业内机构提议成立政府—企业工作组,设立具体到部门的网络事件门槛,以保证将信息汇报给安全官员。需制定相应的规则并监督政府对此类信息的使用,以保障隐私权和公民自由。另一完善报告程序的途径是考虑适当的数据破坏通知法案,要求企业将相关信息通知给公众和政府,其中包括可进行调查的执法部门。联邦政府也应检查已有的市场监管汇报规定的有效性和工作范围。与此同时,联邦政府需制定与私营部门进行事件汇报共享的流程和规则。这些规则的制定需考虑事件的分类和隐私问题。另外,联邦政府应协助研究团体获得网络安全事件的数据,并对此加以适当控制。这些数据可用来开发工具、测试理论和制定可行性解决方案。此类共享需要解决关于敏感或专有数据及个人身份信息的保护问题。
联邦政府应努力扩大与主要盟友在网络事件和漏洞方面的信息共享,寻求改善网络安全的双边或多边安排,并确保这些安排符合美国其它方面的经济和安全利益,使公民自由和隐私权得到保障。国际合作为美国政府与私营部门的合作带来了更多挑战。若美国政府计划与其它国家共享美国私营企业的行业信息,则国内合法的私营部门关于信息共享的担忧将会增加。私营部门和联邦政府再次需要做到明晰和诚信,来控制、散发和使用私营部门与政府共享的信息,包括对使用美国和国际社会之间共享信息的理解。
提高所有基础设施的网络安全性
联邦政府应与私营部门合作,明确公私伙伴关系的职能,以做好私有关键基础设施和重要资源的防御工作。联邦政府的核心责任之一即是共同保护私有关键基础设施不受武装攻击、物理入侵或国外军事力量、国际恐怖分子的破坏。同样,政府也在保护这些基础设施不受罪犯或国内恐怖分子的破坏上发挥着重要作用。然而,若攻击是通过计算机网络远程进行而非直接的物理行为,那么政府应对相同行为人,对相同基础设施施加的相同损害负多大程度的责任,这个问题尚未解决。大多数网络运营商和服务提供商都将自身网络的维护和防御工作归为自己的责任,但私营部门的重要组织已表示,业界希望形成一个工作框架,在此框架下政府将追捕恶意行为人,为私营部门运营商提供信息和技术支持,帮助私营部门保护自身网络。
在网络安全解决方案的制定过程中,联邦政府应考虑出台鼓励集体行动和竞争的激励措施。例如,网络空间至今还未出现“照顾标准”的法律概念。可能的激励措施包括调整法律责任(安全改善后责任减少,安全条件差则导致责任增加)、补充赔偿、税收鼓励政策、以及新的监管规定和执行机制。
总统的网络安全政策官员应与各级政府、私营部门及国际伙伴合作,制定战略和计划,鼓励创新型网络安全解决方案,确保基础设施系统的安全和韧性。基础设施范例包括:
政府应协助世界银行、国际货币基金组织等国际金融机构,向其提供必要的信息、工具及专业知识,并鼓励其运用最佳准则来保护自身的信息系统。2008年这些机构的系统曾遭受一系列的严重入侵。
《美国复苏与再投资法案》通过储备基金来推广医疗信息技术的使用。随着电子记录保存(系统)在互联网上的日益普及和获取这些信息的便利性,病人信息的保护工作将事关美国政府可否得到公众的认可。
能源部应与联邦能源监管委员会合作决定是否需要为能源方面的工业控制系统另行制定安全执行令和程序。另外,随着新的智能网技术在美国的普及,联邦政府务必要制定和通过相应的安全标准,以避免为对手制造可乘之机,侵入上述系统或对其发动大规模攻击。
交通部下属的美国联邦航空管理局在维持现有系统的同时,已制定了向下一代空中交通控制系统过渡的长期计划。交通部检察长于2009年3月18日在众议院航空交通和基础设施小组委员会上作证时称,需要评估潜在的安全漏洞,制定一套健全的网络安全战略和设计方案。
第五章 鼓励创新
对于韧性的要求:基础设施必须具有一定的恢复能力以防物理破坏、非法操作和电子攻击。除了对本身信息的保护,减轻网络空间风险的战略必须侧重于访问基础设施的设备,基础设施提供的服务,网络的支持要素及所有用于移动、存储和处理信息的手段。这一战略还必须包括预防、减缓和应对针对运营并受益于基础设施的人员所遭受的威胁或破坏,运营或利用基础设施的程序以及用于建造并维护基础设施的供应链。
信息与通信部门正在创建一个聚合平台,在此平台上数据、音频和视频应用占用共同的基础设施。当前国际互联网模型的分散性质,可以允许个人和企业家在无需得到许可的情况下,开发并配置创新的应用程序。创新带动了价值数十亿美元的新型业务,它们彻底改变了用户与网络及用户彼此之间的互动方式。随着科技对美国越来越重要,对于这一不断演变发展的基础设施,保持信心和信任至关重要。总统已呼吁联邦政府同业界保持合作,共同开发“下一代的安全计算机和应用于国家安全的网络互联”,制定“新的、严格的网络安全与物理恢复力新标准”,以及“保护个人数据的标准”。
美国应充分利用技术创新以便消除网络安全担忧。虽然市场上早就存在着许多可以明显增强安全性的技术和网络管理的解决方案,但由于成本或复杂的原因这些技术和解决方案并没有得到广泛的使用。另外,鉴于国际互联网基础设施的内在设计,现有的解决方案已发挥到了极限,无法再继续提高。从长远来看,开放和创新将有助于建立一个透明且责任明晰的更加强大的基础设施。联邦政策必须满足国家安全要求,保护知识产权,并且要保持基础设施的可用性和连续性———即便在其遭受强劲对手攻击的情况下。联邦政府还必须注意不要制定一些不必要的政策与规章,它们可能会妨碍创新、导致低效率或使安全性降低。
未来
根据2006年的国家研究院报告《振兴美国的通信研究》一文指出:“通信网络是庞大、复杂的系统,其可靠性、安全性及演化性取决于连贯的、构思良好的架构概念的发展。”这一报告还指出:“有多家厂商的产品被用来配置美国的电信基础设施并提供服务……(它们)超越了供应商的服务范围。由于业界正朝着水平结构发展并且其分解出了大量的小型公司,不论是厂商还是服务提供商都不会准备去负责终端对终端系统的设计。”
这样一来,在处理政策、标准、研究、市场开发或采购问题时,就没有可以用来指导私营部门、学术界和政府做决定的统一建议。联邦政府、私营部门及其它利益攸关方应共同制定未来基础设施的技术中立的性能和安全目标,既满足其作为消费者的自身需求,同时又发挥其作为公众利益管理人的作用。联邦政府同其合作伙伴应针对具体的部门和组织,分别制定一系列综合的全国信息与通信基础设施目标。这些目标可以参考不同的计算平台模型或网络控制概念,以及通过政府、学术界或业界的研究项目产生的技术解决方案。
数据和服务向第三方的联网服务器的移动被称作为“云朵”,这为全球的私营部门和政府带来了新的政策挑战。跨越司法管辖边界的数据移动带来了以下三方面的挑战:法律执行、不同国家分别制定的隐私与公民自由保护,以及出现数据或网络漏洞时的决策责任。有些客户会试图限制服务提供商移动或存储数据的地点,而另一些跨国经营客户则会寻求利用地理和时区的差异性。
基础设施安全构想:众多的机构和部门都在努力制定某些科技或基础设施部门的远景规划。例如,美国能源部与业界合作于2005年推出了一个为期10年的路线图,以便发展用于电网的控制系统。这一计划期望达到的目标是,截至2015年,“将实现关键应用控制系统的设计、安装、运作和维护以便能够承受蓄意的网络攻击,同时不会丧失重要的功能”。国防部先期研究计划局的顾问小组把对当前基于《互联网协议》的网络防御称作是一项亏本的买卖,呼吁“对可供选择的基础设施进行单独的考察”,从而完成对最佳候选基础设施的实验与评估。根据2009年3月的一份简报,国防部先期研究计划局正进行一项为期6个月的候选基础设施分析。
研发框架与基础设施开发的结合在总统网络安全政策官的领导下,联邦政府应与其它的总统办事机构部门及信息和通信设施联合部门委员会进行合作,提供研究与开发战略———专注于可以实现基础设施目标的、具有变革意义的技术框架,进一步完善当前的网络和信息技术研发战略及其它与研发相关的工作。联邦政府应扩大这些战略同业界与学术研究努力的协调,以便避免重复性的工作,利用具有互补性的功能和议事日程并使之同步,并且确保实现该技术换代并进入市场。
为了提高美国的竞争力,联邦政府应与业界合作,共同制定换代路径和刺激措施以便快速促进研究与技术开发,包括鼓励学术界与业界实验室之间的协作。
联邦政府还应与私营部门及其它利益攸关方合作,利用基础设施目标和研发框架为国家与国际标准机构制定目标。
建立身份管理
如果不能提高认证水平,我们就无法提高网络安全性。身份管理不只是用于人员认证。认证机制还可以帮助确保在线交易,仅涉及那些对于网络和设备而言可以信任的数据、硬件和软件的交易。尽管大多数系统今天都适于进行网络交易,但人们用于建立信任的电子提示技术等也许还没出现、不完整或者难于理解,起不到应有的作用。身份管理也许能够为可信任社团的个人和组织提供帮助,这些社团都是基于不同程度的身份公开和彼此约定的责任制而建立的。同时,它还可以排除不受欢迎的入侵者或不适当的会员请求。身份管理通过对个人识别信息的发布进行额外的保护,还可能提高隐私水平。
联邦政府与业界及公民自由与隐私社团合作,应共同制定一个基于网络安全的国家身份管理构想与战略,为此需要考察一系列的方法,包括提高隐私水平的技术。联邦政府必须通过大量的信息、服务与福利计划同公民展开互动。这样一来,政府才会对保护公众的隐私信息产生兴趣。在线交易变得日益普遍,涉及金融、卫生与商业等诸多方面,需要一个在交易方之间建立信任的基础。
对于高附加值的业务(例如智能电网),国家应该建立一系列可以选择加入的、能够相互配合的身份管理系统,以便为在线交易建立信任并提高隐私水平。
国家科学技术委员会下设的生物测定和身份管理附属委员会于2008年发布了一项报告,该报告提供了一个未来联邦身份管理构想以及一系列的研究与开发建议。联邦政府应把这项报告作为身份管理战略的一个出发点。
联邦政府应与国际伙伴进行合作,共同制定相关的政策,鼓励发展可以信任的全球体系,这种系统需要保护隐私权和公民自由并控制旨在保护公民与基础设施的法律实施活动的适当利用。
在国土安全第12号总统令的指导下,联邦政府正寻求在联邦事业中运用可相互通用的联邦身份认证机制。联邦政府应确保在联邦机构全面落实第12号总统令时,相关的资源都是可以利用的。联邦政府还应考虑让以下两方在国家紧急状态期间也能够使用联邦身份管理系统:重要基础设施的运营商,以及私营部门紧急响应与维修服务提供商。
全球化政策与供应链的整合
信息技术革命及自由贸易政策带来的结果之一,是为在全球范围内分布有设备设施的公司建立了一个全球性的环境,用于其信息与通信产品的研究、设计、制造与服务。这一全球市场通过为美国的高科技商品和服务打开世界范围内的市场,给美国创造了巨大的利益。然而,新的制造、设计与研究中心在全球范围内的出现,使人们更加担忧微小的硬件或软件操作会更加轻易地导致计算机和网络的崩溃。仿造产品已带来了非常明显的供应问题,但记录在案的明确、蓄意的破坏的例子却很少存在。
需要对风险管理进行一种广泛的整体分析,而不是全面地否定外国产品与服务。供应链攻击所面临的挑战是,老练的对手也许会缩小目标范围,仅专注于特殊的系统,这样基本上就会使操作变得让人无从察觉。国外制造的确会给民族国家的对手带来更加容易的破坏产品的机会,但是,通过招募重要的内线人员或其它的间谍活动,也可以实现同样的目标。
最好的防御也许是通过持续的创新来保证美国的市场领导地位。创新可以提高美国的市场领导地位,并且促进在维护具有弹性的、多样化的供应链与基础设施方面的最佳实践的应用。总统网络安全政策官与各部门机构应:
以国家安全局为国防部所做的工作为基础,通过综合服务管理局制定商业产品与服务的采购战略,以便建立市场激励机制,使安全成为硬件与软件产品设计、新的安全技术及安全的托管服务的一部分;
扩大同州、地方与原住民保留地政府及国际合作伙伴的合作关系以便使这些采购的市场影响最大化;
同国会一起识别相关的机制,以便能够让各部门机构在适当的特定情形下,在做出购买决定时考虑到相关的威胁信息;
从经济和威胁的角度出发,与业界一起提供威胁信息并确认管理供应链和内部风险的最佳方案。
保持国家安全/应急准备的能力
联邦政府保护美国民众和提供共同防御的义务,包括负责确保国家在危机时刻能够进行通信并做出响应。通信系统可能会最先遭受此类事件的冲击,因此必须具有可以恢复的韧性或能力,以便应对响应并保护政府的职能。《1934年通信法》授权总统当国家处于从“公共危险”到“战争”的不同警戒等级时,如果他认为有必要维护国家安全或防御并且存在必要的临界条件的话,他可以运用、控制或者中止联邦通信委员会管辖下的通信服务、系统和网络。第12472号行政命令要求建立一个政府和业界联合的国家协调中心以便为通信服务或设施在所有危机或紧急情况下的启动、协调、恢复或重建提供帮助。关于“国家连续性政策”(2007年5月4日)的国家安全第51号总统令暨国土安全第20号总统令在联邦政府内对有关连续性通信的职责进行了分配。
国土安全部正在努力朝着这一目标前进:帮助国家安全和紧急状况用户提供下一代网络的聚合信息服务,并确保在各种灾难及其它会致使公众用户遭受通信服务严重恶化或中断的事件期间,其所提供的服务具有极大成功的可能性。下一代网络在国家安全方面的改进将包括数据、音频与视频等多种服务。由于主要运营商和服务提供商所构想的各种架构具有较大差异,这会使得国土安全部的努力变得复杂化。为此,国土安全部正在考察、比较不同的方案,并争取在提交给标准组织进行考核的方案上与业界达成一致。联邦政府应:
针对下一代网络的国家安全与应急准备通信的能力,制定一个协调计划,包括进度时刻表与经费开支要求;提供联邦政府可以获取的附加服务的选择,或者引导政府将用在信息与通信基础设施上的投资用于提高在自然灾害、危机或冲突时期的通讯设施的存活性;与国际合作伙伴与标准制定机构进行配合,以便在遍布全球范围内的下一代网络环境中维护下一代国家安全/应急准备的通信能力;确保与行政部门连续性通信基础设施和下一代服务计划的开发相关的努力得到足够的人力资源支持。
第六章 行动计划
近期行动建议
⒈任命一名网络安全政策官,负责协调全国的网络安全政策与活动;该官员同时具有国家安全委员会和国家经济委员会双重职责。在国家安全委员会内增设一个职能强大的局,在网络安全政策官的领导下,协调政府部门间的网络安全战略和政策的制定。
⒉为总统批准实行确保信息和通信基础设施安全的最新国家战略做好准备。这一战略应包括对《国家网络安全综合计划》落实情况的评估,明确可以进一步发挥其成功经验的相关领域。
⒊将网络安全列为总统议事日程的优先项目,并制定工作业绩指标。
⒋在增设的国家安全委员会网络安全局中指派一名官员,负责公民隐私和自由权利事务。
⒌召集政府相关机构,就在制定政策过程中遇到的网络安全相关事宜进行清除跨越部门界限的法律分析研究;并制定统一的政策指导,以明确政府各部门网络安全工作的任务、职责和权限。
⒍发起一场促进网络安全公众意识的全国性教育运动。
⒎发展并完善政府对组建国际网络安全政策框架的观点与立场,加强与国际伙伴的关系,主动创新,解决所有与网络安全相关的问题。
⒏制订网络安全应急反应计划;启动旨在加强政府与私营企业伙伴关系的对话,理顺关系、加强协作,为扩大私营企业的参与并发挥其作用创造条件。
⒐与总统办事机构其它部门合作,制订出一个研究和发展战略的框架,侧重发展有助于提高数字基础设施安全性、可靠性、韧性和可信度的革命性技术;让研究界有权使用涉及重大事件的数据,以便开发手段,测试理论,并找出可行的解决办法。
⒑建立基于网络安全的身份管理构想和法律规定,以满足隐私和公民自由权利的关切,指导与加强隐私权保护的相关技术发展。
中期行动建议
⒈对于有关法律解释、政策应用及网络操作权限的机构间的分歧,改进其解决的过程。
⒉使用管理和预算局项目评估框架来确保各部门机构在追求网络安全目标时使用基于绩效的预算编制。
⒊扩大对关键教育项目和研发的支持,以便确保国家在信息时代的经济环境中保持持续的竞争能力。
⒋制定扩充与培训劳动力的战略,包括吸引并维持联邦政府内的网络安全专门技术人才。
⒌确定最高效、最有效的机制以便获得战略性警报、保持情态感知能力和事故响应能力。
⒍制定一系列的威胁情景和指标,用于风险管理决策、恢复规划及研发的优先顺序确定。
⒎在政府和私营部门之间制定一项程序以便协助防范、侦测并响应网络事故。
⒏建立网络安全相关的信息共享机制,消除有关隐私与专有信息的担忧并使信息共享具有互利性。
⒐制定相应的解决方案,要求在自然灾害、危机或冲突时期可以提供应急通信能力,同时确保网络的中立性。
⒑扩大与重要同盟之间有关网络事故和弱点的信息共享,并寻求双边和多边安排,这种安排将可以在提高经济与安全利益的同时,保护公民自由和隐私权。
⒒鼓励学术界和业界实验室之间的合作以便制定换代路径,以及鼓励快速采用研究与技术开发创新的刺激措施。
⒓利用基础设施目标和研发框架来帮助界定国家与国际标准制定机构的目标。
⒔对于高附加值的业务(例如智能电网),建立一系列可以选择加入的、能够相互配合的身份管理系统,以便为在线交易建立信任并提高隐私水平。
⒕完善政府采购战略,并且对于具有韧性且安全的硬件与软件产品、新的安全创新及安全的托管服务,建立市场激励机制。
点击咨询 