第一篇:美国国家网络安全教育战略计划倡议
美国国家网络安全教育战略计划倡议
报名试驾BMW赢莱卡相机 2012年10月06日15:29 作者:知远
正文
我来说两句(0人参与)
打印 字号 保存到博客
行动纲要
我们的国家正在面临风险。国家政府及关键基础设施中的网络安全漏洞对于国家安全、公共安全和经济繁荣来说是一种风险。现在,是时候发起一项全国性计划,重点提高对网络安全的认识、教育、训练和专业开发。美国必须鼓励发展国家网络安全能力,组建一支敏捷、高度熟练的劳动力队伍,用以应对一组动态的、迅速发展的威胁。
这份文件阐述的是国家网络安全教育计划的第一份战略规划,该规划将随计划推进在今后几年里进行更新。这份出版物面向广大人群,包括日常生活涉及网络的美国普通公民,我们的学生、教师,首席信息官,人力资源总监,企业家,和那些保护在线消息、在线交易和网络进程的人。
国家网络安全教育的目的,是为了整体提高美国的网络安全水平。通过加速发展教育和训练资源,提高各层次人口的网络行为、技术和知识,形成一个更安全的网络环境。
国家网络安全教育计划实施后,通过革新的网络安全教育、训练和广泛认知水平,我们可以期待一个安全的数字化美国,在21世纪拥有高度发展的经济和国家安全水平。
国家网络安全教育计划将通过实现这三个目标来完成这一愿景:
1.增强美国公众的网络行为风险意识
2.扩大支持国家网络安全技术的工人储备
3.开发和保有一支国际顶尖的网络安全工作队伍
这份报告描述了国家网络安全教育计划的战略目标及其所支持的战术目标。这些战略目标为执行计划中的任务及完成其愿景搭建了一个框架。而战术目标明确了为了实现战略目标所需开战的高级行动。每一个目标的成果可成为国家网络安全教育计划完成度的衡量标准。对每一个战术目标的战略则描述了为了达成目标可能的前进路线或是可用的机制。整个计划为美国提供了一条通向更安全的数字化国家的道路。
一、简介
战略背景
我们的关键基础设施——例如电网、财政部门和运输网这些支撑着我们生活的设施——遭受着日复一日的网络入侵,网络犯罪在过去的10年里也戏剧性的增长着。总统因此对网络安全给予了行政优先权。两年前,当总统发布他的网络政策回顾时,他声明:“网络威胁是我们面对的最严重经济和国家安全挑战之一。”
为了保护和保卫国家数字情报和基础设施,美国必须鼓励发展国家网络安全能力,组建一支敏捷、高度熟练的劳动力队伍,用以应对一组动态的、迅速发展的威胁。
目的
国家网络安全教育计划的战略规划明确了战略目标和战术目标,以帮助实现网络安全的公共环境和具有全球竞争力的网络安全劳动力。
国家网络安全教育计划的任务
国家网络安全教育计划将通过加速发展教育和训练资源,提高各层次人口的网络行为、技术和知识,全面提高美国的网络安全水平。
国家网络安全教育计划的愿景
通过革新的网络安全教育、训练和广泛认知水平,我们可以期待一个安全的数字化美国,在21世纪拥有高度发展的经济和国家安全水平。
国家网络安全教育计划的战略目标
1.增强美国公众的网络行为风险意识
2.扩大支持国家网络安全技术的工人储备
3.开发和保有一支国际顶尖的网络安全工作队伍
国家网络安全教育计划的利益相关者
国家网络安全教育计划的利益相关人群范围涵盖了整个美国社会,从高级政府官员到每一个美国公民。保护网络安全,保证我们自己、我们的家人和我们的网络社区的安全,每一个网络用户都将参与其中,所以,公民个人将成为关键的受益人。
这些关键受益人存在于联邦、州、部落、地方与领土政府中,也存在于那些支持共享网络安全训练、教育和情报的协会中。
国家网络安全教育计划也将使那些私营部门的人员受益,包括关键基础设施的所有者/经营者,大型公司,小型企业,学术机构,和其他相关党派。
国家网络安全教育计划的伙伴关系
利益相关者们与国家网络安全教育计划有着特殊的关系,他们对这一计划将对他们产生怎样的影响非常感兴趣。许多该计划的利益相关者们都已经积极的参与到相关的规划、管理和开发活动中。他们的努力同其他各方面的努力一样,对国家网络安全教育计划的有效实施起到关键性的作用。因此,加强同积极的受益者的合作关系,结成新的工作关系,在全国采取行动,最大化行动的影响力,是十分重要的。这些伙伴关系通过将教育、认知和工作能力开发等活动,直接贡献于计划的战略目标和战术目标。
合作关系将在企业、政府和学术界这些受益者的组织间形成。同时,合作伙伴们将利用他们共同的力量和能力来产生更大更持久的影响力和附加价值,这些是他们每一个个体所无法单独实现的。这些合作关系是自发、多方向、参与式、可信、可持续的,并被信息流和理念所支持。合作关系的缔结对国家网络安全教育计划的规划、实施和评价是极其重要的,使我们可以确保这些行动是适当、有效和可持续的。图1 NICE伙伴关系
[保存到相册]
政府参与者
美国国家标准技术研究所(NIST)作为该计划的指定领导将促进协调现存的和将来的网络安全教育、训练和认知活动,以提高和加强他们的效力。可以想象,国土安全部(DHS),国防部(DoD),教育部(ED),国家标准技术研究所 和国家科学基金会(NSF)将主要负责第一目标;国土安全部、教育部、国家标准技术研究所、国家科学基金会和国家安全局(NSA)将主要负责第二目标;国土安全部、国防部、教育部、国家标准技术研究所、国家科学基金会和国家安全局、国家科学基金会和人事管理局(OPM)将主要负责第三目标。
二、国家网络安全教育计划战略概述
国家网络安全教育计划是一个多维度的首创,其目标在于使国家的数字素养和网络安全知识制度化。从向大众提供信息到专业的工作和发展,国家网络安全教育的战略规划为其提供了一系列的国家网络安全的知识。以下所讨论的大目标和小目标主要集中在三个首要的成果:
提升公众对网络风险的认识,使其能负责任的使用网络,并且使网络安全成为一条事业道路。
发展培养下一代的网络安全人才,培养对科学、技术、工程和数学(STEM)的兴趣;
通过教育、训练、雇佣和认证,提升信息安全相关从业人员和专家们的能力。
图2表述了频谱中各种元素与国家网络安全教育计划的目标和总体的战略成果的联系 图2 战略结果
[保存到相册]
这项国家首创的计划的演变使得参与一个战略计划程序成为必要,这个程序将影响国家网络安全教育计划的受益者、合作伙伴和政府活动。联邦、州、部落、地方与领土政府中的受益者以及学术界和工业界都已向这个程序进行投入。这总体的战略规划将随着时间推移而更新,以体现最新的优先级、完成度、投入和信息。
表一介绍了国家网络安全教育计划的战略目标和具体目的。第三部分对他们分别进行了详细的说明。
这个战略目标的剩余部分,“网络安全劳动力”是指那些工作主要集中在网络安全方面的人。例如,在医院里护士需要上传病人的医疗保健记录,他/她必须按照网络安全政策来工作以保护病人的个人隐私,那么这家医院就需要有员工来主要负责计划、实施和维护医院的网络系统的安全状况。这是我国的劳动力的一部分,将从目标1(提升认知)中获益。那个负责医院网络安全的员工或是承包商就是“网络安全劳动力”的一部分。目标3集中在使“网络安全劳动力”的技术更加专业化。目标2则是旨在向网络安全事业领域输送人才。
三、国家网络安全教育计划的目标
该部分详细介绍了国家网络安全教育计划的战略目标和次要目标。这些目标为执行计划任务和完成愿景提供了一个框架。在每个战略目标里提到的次要目标显示了为了达成战略目标而必须采取的高级行动。该战略描述了一条达成各项次要目标的前进道路,这些目标的达成标示了整个计划的进程。
目标1.提高对网络行为风险的认知水平
美国民众越来越依赖于网络来管理他们日常生活的各个方面,但很大一部分人没有意识到一些威胁着他们个人隐私、人生安全和财产安全的风险。各种非网络组织也越来越热衷于进行网上贸易,却缺乏对该行为风险的充分认识。在线,表示一种连通的状态,多数情况下是指在网络上。本计划需要让更多的人意识到恶意行为的存在,且会因为他们乐于从互联网接受信息或是乐于向互联网提供信息而被利用。本目标将向公众发出信息来提倡负责地使用网络,提升对网络诈骗、身份盗用、网络掠夺和网络道德的认识。本目标旨在提升家庭、工作和公共场合中的网络风险。
图3显示了国家网络安全教育计划希望个人和各组织一步步达到的网络安全知识的不同阶段。阶段1 – 认识到网络安全问题,每个人都面临着风险;阶段2 – 从技术和社会层面上理解这个问题;阶段3 – 对自我责任的认识,这是每个人应该做的,也是必须做的。阶段4 – 获取防护工具和知识,通过各种资源来获得应对的能力;阶段5 – 利用获取的工具和技术反过来来丰富资源;阶段6 – 保持并不断的学习以应对不断变化的威胁。图3 网络安全知识 [保存到相册]
目标1被三个次要目标所支持。次要目标1.1面向美国公民,次要目标1.2 面向我们所工作的各种组织,次要目标1.3 诣在提供公民和组织所需要的网络安全资源。
次要目标1.1提升公众的知识,使其在处理网络风险时做出明智的选择
大众对网络信息共享的风险认知还远远不够,它可以影响到个人甚至是国家的安全。我们必须使美国人更加了解可以使他们远离网络威胁所带来的消极后果的工具和训练。
图3显示了一种分段式的提高网络安全知识的途径。国家网络安全教育计划集中提升每一个阶段的人的数量,并宣传支持每一个阶段的认知水平教育课程。
收益
次要目标1.1的顺利进行将会有如下几个收益:
人们将更少的受害于网络欺诈。
人们在网上共享信息之前会先考虑安全隐私是否有被侵犯的可能。
更多的人将会安装安全工具来应对网络威胁。
网络安全的概念将被普及,人们知道网络安全就如同他们知道吸烟有害健康、安全带的重要性、良好的饮食和运动会带来健康收益一样。
战略
从「停下,思考,互联」¹开始认知教育计划。
为面向美国大众的数字素养训练制定标准和战略,保证大众能够使用工具和技术来减少网络风险。
学。
通过一系列的途径向公民普及不断变化的网络威胁情况,包括认知教育计划、公共 向教育者发布资源,使其可以在所有网络相关的课堂上更好的同学生交流和进行教服务公告、技术交流会、商务会议、因特网和其他媒体渠道。
次要目标1.2:提升组织内部的网络安全意识,使网络资源所面对的最直接和最严重的威胁得到很好的处理
美国人所生活的环境中,网络犯罪者们总在发明新的复杂的技术来慢慢损害各种组织的网络安全。因为这些威胁的不断变化和演变,我们必须对这些变化进行追踪,并且及时通知各组织关于现存的威胁和相关缓解技术。各组织应当有机会通过教育、训练和认知教育计划学习到多种方式来在网络上加强对知识产权、客户资料、服务和关键设施的保护,并且能了解不断发展和进步的网络安全保护工具和保护措施。
图三显示了一个分段式的路径来达到提升私营部门的网络安全知识的成熟度的目的。因为并不是所有的私营组织都将同一阶段作为起点,也不能保证他们一定拥有足够的资源来达到阶段4到6,所以次要目标1.2旨在帮助所有组织提升他们的网络安全认知水平。国家网络安全教育计划的目的,在于鼓励私营企业检查他们的网络风险,从而使他们能做出知情决策来获取、实现和维护网络安全状态以应对这些风险。
认知资源的目的在于一些生产和出售网络相关技术的企业也可以影响其他企业。次要目标1.2力争使我国的创造者们在设计的初始阶段就将网络安全考虑在内。次要目标1.2也致力于让当下的发明家们从网络安全专家那里了解可用的网络安全工具和最优措施,这样也可以让他们的产品在全球范围内更具有竞争力。之后在文章中将讨论目标2,旨在鼓励正式教育以培育出更多的网络安全专家。
收益
次要目标1.2的顺利进行将为私营企业带来如下收益:
提高对技术问题和威胁所导致的工具获取和训练的必要性认识。
向所有员工宣传网络安全意识。
对财产、功能、声望和管理能力的保护。
向员工宣传隐私意识。
生产包含了安全措施的软件和硬件。
网络安全产品的质量将会提高,美国大众可用的网络安全服务也将会提升。
增加对供应链缺陷的认识。
使用网络安全工具来支持产品开发。
战略
通过一系列的途径向私营企业组织普及不断变化的网络威胁情况,包括认知教育计划、公共服务公告、技术交流会、商务会议、因特网和其他媒体渠道。
宣传网络安全保护措施,如使用安全工具和训练、教育劳动力、需求追踪和宣传最优措施和网络安全标准。
向小型企业和组织提供网络安全知识。
次要目标1.3: 提供可用的网络安全资源
美国人缺少权威的可负担的并且易于获取的信息来源,以让他们得以区分网络安全的现实与夸张炒作,并且分辨哪些是好的工具而哪些不是。政府、学术界和工业界应当共同努力,向美国人民提供好的资源和工具来保障他们的网络安全,并且加强我们在此方面所作的努力。
收益
次要目标1.3的顺利进行将带来如下收益:
提高资源的可用性,及时获取和证实信息;以及
加强对抗网络威胁的工具的应用。
战略
与私营部门、学术机构以及国家/州/部落政府合作来传播工具、训练方式和资源。
在IT政策和管理体制的配合下,创造、传播和推广网络安全的最佳范例和指导。
目标1的相关活动和产品
国家网络安全教育计划的网站
网络安全学习入门(NICS)的国民机构
网民论坛,网络安全教育志愿者(C-SAVE)计划,以及其他志愿者计划
国家网络安全意识运动:停下,思考,互联
国家网络安全意识挑战 ³
目标2.提高高素质工人的数量以支持国家网络安全建设
图4所示的学术管道描述了建设数字化国家所必须的网络安全中角色的转换,这是在总统的网络安全政策回顾中所呼吁的。目标2直接旨在用正规教育增加能满足国家需求的具有网络安全素质的人才数量。图4 网络安全教育与训练管道 [保存到相册]
为了培养下一代网络安全专家,我国的教育体系需要在小学里就培养学生对数学的兴趣,并且保有这种兴趣直到中学毕业。在高中里,我国的教育系统需要创造一些机会来让学生探索计算机思维,让更多的学生为在大学乃至硕士学习中钻研网络安全做好准备。所有这些活动旨在助力美国政府发起的一项工作,与老师、家长、学生已经商业组织共同协作,来提升科学、技术、工程和数学(STEM)教育以让学生们更好的为引领21世纪做好准备。
次要目标2.1 加强基础教育阶段的科学、技术、工程和数学的教学,强调数学和计算机思维的重要性
学术管道从STEM开始,特别是中小学的数学教育。如今,美国的高中生在数学和科学上经常落后于其他国家的同龄人。尽管国家、州和地方政府作出很多努力来提高他们的STEM成绩,仍然有很多需要被做的事情。
收益
次要目标2.1的顺利进行将带来如下收益:
在接下来的10年内,美国学生将从国际评定水平的中间上升到前端水平
更多的学生将带着对网络安全的求知欲和足以进一步学习网络安全专业/事业的能力毕业
战略
从2013财年开始,成立幼儿园联盟,通过12个年级(K-12)进行STEM教育以支持一系列的战略4
从2013财年开始,成立正式网络安全教育预算联盟用于国家网络安全教育计划
发展能力以协助私人发行的计算机科学及网络安全教材、工具和资源,有体制的在国家及地方实施K-12 STEM教育计划
协助企业及基金会:(1)在国家范围内将计算机科学的教育的力量组织起来,(2)教育他们的员工/合作伙伴,使其了解我们必须有更好的教育水平,尤其在电脑科学方面,并且(3)努力更好的基于各种例证来加强STEM教育
样。
次要目标2.2:提升大学里计算机科学课程的数量以及质量 帮助网络安全工作者与当地学校合作,向老师提供专业的教学内容并向学生树立榜
多数的高中并不提供严格的学术性的计算机科学课程。相反,高中电脑课程一般集中于教学生打字及使用标准办公软件。他们教学生使用科技,却不教学生如何创造科技,不去培养学生成为那些可以让科学技术随自己理念发展的人。很少的州采用了K-12计算机教育标准,只有极少数的学校有对计算机科学教师的认证过程。更糟的是,这种趋势是负面的。据计算机科学教师协会报告,自2005年,学校教授低于17%的入门级计算机科学课程和低于33%的进阶计算机科学课程。
作为结果,大多数的学生带着对计算机科学的皮毛认知进入了大学,很少一部分学生选择继续学习IT技术。自2000年,大学新生选择计算机专业的比率下降了70%;这个数据在女性、少数民族和残障人士中尤其真实。国家科学基金会通常支持大学理事会实施被提议的新大学预修课程(AP)---计算机科学原理来解决这一问题。这一课程将对网络安全知识进行更严格的系统的介绍并进入高中计算机科学课程。
收益
次要目标2.2的顺利进行将带来如下收益:
到2018年,全国50%的高中将开设有良好师资教学的严格学术性的计算机科学课程。
到2018年,将会有更多的学生在高等学府选择继续学习计算机技术。
到2018年,25%的州将在K-12中采用国家网络安全教育标准。
战略
对高中计算机课程,包括网络安全,通过一系列的“投放轨迹”提供更易获取的课程、教材和评估体系(如,4年制数学课程,职业和技术教育(CTE)课程序列,以及被提议的新大学预修课程计算机科学原理(AP CS)课程)。
借助联邦机构和企业以及基金会的合作来支持高中计算机科学教师,特别是那些教授高水品课程的教师例如被提案的新大学预修课程计算机科学原理(AP CS)课程。
次要目标2.3:提升本科生和硕士生网络安全课程的数量以及质量,包括一些IT和安全相关的学位课程
本科网络安全课程需要集中在一连串的解决方案上,包括完整协调的安全措施的效力。为了同时满足公众和私营部门的网络安全需要,一个网络安全相关专业的越来越大的本科生比例需要去上一些要求学士或大专学位的课程,如计算机科学,计算机工程,软件工程,信息系统,和信息科技。网络安全专家不可能从单一的安全课程中诞生,而必须有很多其他课程做基础。降低网络安全方向的研究生入学难度将为培养更多的专家提供机会,并且会促使一些学生选择继续研读相关的博士学位。
收益
更多的学生将获得学位,并拥有被用人企业所需要的专业知识,使他们可以从事网络安全领域的工作。
国家信息保障教育卓越学术中心(CAE/IAE)将回顾并更新他们的标准和专业准则来满足不断变化的网络安全需求。
到2018年,专攻特殊关键基础设施和数字取证以及其他方向的CAE指定的学术机构的数量将上升25%
到2018年,工人的网络安全学位项目将增加20% 到2018年,20%的社区大学和技校将提供网络安全学徒制或相关资质认证
到2014年,最少150个大学生机构将参与国家网络安全教育虚拟实验室,一个关于网络安全研究的国家机构。
战略
通过提供向国家网络安全研究机构的接入口,向高校学生提供在线网络安全课程/实验室
鼓励公众和私人协作创造资源中心,例如国家虚拟实验室,提供基础设施,内容存储库和师资培训。
向本科以及研究生增加奖学金、助学金的种类,并提供研究经历、校外实习机会
鼓励开设认证的网络安全学位课程
为共享师资、课程和虚拟实验室树立榜样,并且使这些更易获取/公众可用。
向高等院校投入资金
设立竞赛以激励创造远程教学/在线课程教材
次要目标2.4:对研究生院的网络安全研究给予物质激励,支持和认可
主动性的研究将促使未来电脑用户日常网络安全方案的发展。研究生级别的网络安全研究与开发机会将会促使那些正在斟酌毕业后去向的研究生们更倾向选择网络安全作为他们的学术专精方向。为了培养一些具有学术水准的可以继续教育下一代网络安全知识的人才,这些研究和开发的机会是关键的一环。增加研究生的训练和实习的机会可以帮助开发全新的技术,以抵御如今的网络攻击,为更好的面对将来的网络安全挑战打下基础。
收益
提高了奖学金和助学金的获取率
更易连接到动态学习环境,如虚拟化和/或远程图书馆
提高作为信息保障研究卓越学术中心(CAE-R)的大学的数量
提高转移大学研究的机会
战略
对提高研究生研究与开发的数量与质量的机构进行认同与实现
利用网络与信息技术研发计划(NITRD)来创造/支持一个政府/学术界/私人企业论坛来找出研究的问题所在 利用基础设施类项目将CAE-R组成联盟
与企业合作,向研究生提供更多的奖学金和助学金
用外部资金激励学生参加专业的会议和交流
支持目标2的活动和产品
美国国家科学基金会的21世纪计算机教育计划(CE21)和10000高中的10000计算机科学教师计划(CS 10K),联邦网络服务:服务奖学金计划(SFS),先进技术教育计划(ATE)
CAE/IAE计划
一些竞赛例如:国家大学生网络防御竞赛 13和国家科学碗 14
主要目标3:开发和保有一只无可比拟的具有全球竞争力的劳动力队伍
信息技术的利用率成指数级增长,这对于一个国家的力量和繁荣来说既可以是一个优势也可以是一个弱点,所以我们必须保护它不受攻击和不被滥用。光有技术方案是没有办法确保这项基础设施和它所包含的信息的安全的。除了技术方案和基础架构解决方案之外,意志灵活的、高度熟练的专业网络安全工作队伍对保护、保卫和防御我国的信息系统来说是十分必要的。在全美国,私营和公共组织都对训练有素的专业人员有着迫切的需求,以对他们的网络安全方案和战略进行评估、设计、开发和实施。然而,虽然这种需求在日益增长,网络安全的专业队伍却没有相应的扩大。
努力建设我国的网络安全劳动力包括三个相辅相成的部分:人力规划,专业开发和核心专业素质能力的鉴定。人力规划分析了为了达成当前目标、预测未来发展所需的能力,并且确定网络安全专业所需的知识、技术和能力。专业开发包括正式训练和教育以保持网络安全专业队伍的技术水准。网络安全专业化确定了核心专业能力,为技术的开发、认证,以及网络安全从业者们的工作表现评估设立了客观标准,并在网络安全规约范围内设定职业规划。
具有决定性的领导意识和独一无二的网络安全工作天赋对于确保有足够的发起并且维持人力规划和专业开发的时间和精力是必需的。沟通战略和包括网络安全的挑战与应对需要成为领导能力发展计划的一部分。管理网络安全人员将成为各个级别的组织领导能力的一部分。
目标3.1:发展一个可用的网络安全能力框架
有效的人力资源计划使我们的国家能够拥有正确的人,具有正确的专业技能,并且能够出现在正确的时间和地点。网络安全人员所具有的天赋是全国范围内所有商业地区都非常关心的问题。信息基础设施和美国公民隐私的保护依靠知识和这些专业人员的能力。作为一个新兴领域,网络安全缺少一个职业路径,岗位描述和资格证明的共同术语。一个国家的网络安全的能力架构是实现有效的人类生产计划的一个先决条件。建立这样的劳动力定义和标准不仅仅为网络安全的专业人士提供清晰的标准而且还统一这些专业人士的招聘,布置和绩效考核。这些最初为联邦政府使用和网络与人力资源学科专家审查而制定的定义和标准,将作为公开可用的标准适当应用在公众和私营部门组织中,包括国家的,本地的,部落政府。这些建立中的定义对于以任一相同的标准测量和评估网络安全人员非常重要。
图5描绘了一个基于国家核心能力框架的用于构建和贯彻一个有组织的网络安全员工能力和发展模式的定向途径。图5 网络安全劳动力能力和发展模式 [保存到相册]
国家的劳动力健康测量过程
一个被普遍接受的网络安全专业技能架构为专业人士提供了一条知识,技能和行为的基线,这条基线横跨不同的网络安全科目种类,网络安全基础教育和使他们胜任这些职业的必要训练。这个网络安全能力架构还可以促进对培训需求的了解和引导设计一份专业人员培养计划。此外,一个通用的框架能够帮助组织机构从指定的知识,技能和表现期望上来决定是否当前的和潜在的员工在不需要额外的或者循环的拓展活动就能满足岗位技能要求;还可以通过提供一个评估知识和技能的模型,制作员工专业发展计划。
成果
标准化的功能性角色和能力公开可用。
到2012年,联邦政府机构采用网络安全能力模型。
网络安全专业人士的不足和技能空白被确定。
到2013年,联邦机构在人力资源指导下从事网络安全工作。
到2015年,州,地方,部落政府采用通用的劳动力描述。
到2015年,制作一个对国家网络安全劳动力健康情况的评估。
到2015年,同联邦政府寻求合作的行业采用劳动力描述。
到2015年,各行业给可用职位绘制他们的网络安全劳动力描述。
到2015年,工作地的合格的网络安全专业人员人数将增长百分之二十。
战略
到2013年,评估与已确定的网络安全能力相对的联邦政府,州政府和地方政府的网络安全劳动力的长处。
为网络安全专业人员制定一条必须具备技能的基线。
到2015年,评估与已计划的市场需求相对的私营部门的网络安全劳动力的能力。
鼓励公私合作利用网络安全能力框架。
同学术界和行业界协作决定从变化的技术和威胁中新兴的新的劳动力需求。
鼓励网络安全职业认证程序的提高和进步。
为网络安全专业人员建立一条贯穿多个行业部门的基线。
目标3.2:为受关注的网络安全培训 提供一个框架来满足进一步的需求。
培训是一个旅程,不是一个目的地,持续的职业发展需要持续的培训;然而,专业化的网络安全劳动力培训程序是矛盾的而且可能不能满足这一特定劳动力群体独一无二的需求。专业的网络安全培训必须保证网络安全劳动力拥有实用技能,资源和可信度来完成他们的任务。一个被普遍接受的核心培训框架在确保劳动力能力标准贯穿整个国家和在培训课程中为新兴的或已确定的网络安全从业人员提供一致性起到至关重要的作用。一个标准化的培训框架的使用将帮助确保这种培训能够普及并且以一致的方式进行。此外,随着网络安全劳动力的需求进一步加大,一个标准化的培训框架将帮助确保培训力度以满足变化的需求为目标。
成果
设计出一项世界级的综合培训项目来满足政府和私营组织部门的功能要求。
标准化的培训工具,间谍情报技术和方法论。
一个使政府,学术界和行业界能够分享网络安全经验来提高和更新培训项目的机制。在各个级别上均衡和协调网络安全培训项目。
战略
促进一套用来满足政府和私营部门需求的世界级的综合培训项目管理体制。
编辑一条综合的网络安全培训目录,并且促进新课程的发展来填补已确定的缺陷。
与通常标准、学习目标和难度水平对立的衡量培训效果。
目标3.3:学习网络安全职业领域的专业化,认证和许可标准的应用
为了保护我们个人,公共和私营部门的信息,信息系统和网络,我们国家必
须为每一个网络职业的类别,专业,级别和功能开发一个对于概念,原则和应用具有一般理解的劳动力。网络安全的实践是专业学科;为了承认人员在这些学科中的专业地位和成就并且提高实践的质量,以一种广泛的和始终如一的方式给将要做的准备,熟练度和能力定义一个期望水平是值得的,比如专业化,认证或者许可。通过为技能发展,认证和工作表现设置客观标准,职业化将提供一个网络安全从业人员活动和能力的一般理解,就像它在其它学科中一样。
成果
制定一套文件齐全并被广泛接受的职业发展规划,包括灵活的,有挑战的和值得的职业道路和轨迹。
维持网络安全专业人员的地位。
战略
学习和调查在其它职业领域中职业化的影响。
目标 3 支持的活动和产品
联邦信息系统安全教育家协会
虚拟环境训练
行业协会
认证协会
合作的网络安全研究和教育机构
将包括网络安全劳动力管理的领导能力发展项目作为一个组织的需要
四、交流和拓展
国家网络安全教育计划将承担四项交流和拓展活动来保证本文前三部分已经明确的“目的和目标”有效的实现。活动将利用所有形式的媒体。
这四项活动支持国家网络安全教育计划有能力利用和建立公私合作;参加国家网络安全教育,培训和认识参与活动;发展网络安全教育,宣传培训和认识的最佳做法,并正式的鼓励开发与创新;在利益相关的机构之间提供协调。
公私部门合作
为了促进国家网络安全教育计划的重要性和提供参与的机会,国家网络安全教育计划将利用现存的能确保美国联邦部门,机构,州,地方,部落和特区政府与私营部门之间合作和信息共享的公私部门合作关系。国家网络安全教育计划将确定没有覆盖在当前伙伴关系的不足和在联邦政策的范围内建立实现其目标所必须的新的公私部门合作伙伴关系。
会议,研习班,座谈会和网络竞赛
联邦政府部门和机构,以及各州,地方,部落政府,私营部门合作伙伴和学术界都使用会议,研习班,座谈会,公民大会和网络竞赛来达到他们的目标。国家网络安全教育计划想要利用这些活动来建立对于国家网络安全教育计划的目标和这些活动为利益相关方所提供的实现国家网络安全教育计划的目标的机遇的认识。
开放的政府
在透明和开放的政府备忘录中,发布日期2009年1月21日,总统指导白宫管理和预算办公室发布一项政府开放令,强调披露“公众容易发现和使用”信息的重要性。国家网络安全教育计划将建立并维持一个允许公众较容易的发现和使用关于网络安全意识和教育信息的网站。
政府仓库
除了一个公众网页之外,国家网络安全教育计划还将建立一个政府内部的合作,交流和所有政府活动的发展机制来实现该计划。这个基于内部网络的机制将存储支持国家网络安全教育计划能力的信息来发展消息共享,储存参考资料和满足数据库需求,追踪国家网络安全教育计划的相互作用。知远/严美
第二篇:《网络安全教育宣传计划》
网络安全教育宣传计划
信息安全是业务工作正常开展的基础,信息安全是单位工作的重中之重。多年来,坚持利用多种渠道和有效载体,认真做好有关单位网络安全的法律、法规的宣传教育工作,积极开展“网络安全”宣传教育活动,使广大员工的网络安全意识不断增强。为认真贯彻落实****安全工作会议精神,创建“网络安全”,结合工作实际,特制定网络安全教育宣传计划如下:
一、活动主题
本次活动主题为“共建网络安全,共享网络文明”,旨在提高和普及我单位员工的网络安全知识,重点围绕网络涉密、网络攻击、网购安全等开展宣传活动,让员工了解、感知、感受身边的网络泄密、智能手机泄密及网络购物方面的网络安全潜在风险,提高安全防范意识。
二、时间地点
网络安全宣传周统一于每年9月份第三周举办。
网络安全宣传周中的重要活动,可选在但不限于二楼会议室进行,也可根据实际情况对举行地点进行安排。
三、活动方式
(一)继续加强信息安全建设活动
为进一步加强信息安全的建设,确保单位信息网络的安全有序,使广大员工有一个良好的工作环境,使员工不断受到网络安全教育。进一步修订完善网络安全管理制度,加强网络硬件、软件安全性建设,活动方案和考核办法,并对活动进行总结表彰,树立优秀典型,推广先进经验,促进安全工作生活。
(二)开展网络安全教育、进行现场实操演练
不断规范网络安全管理,时刻做到安全警钟长鸣。针对办公网络、有关涉密电脑、移动设备的防涉密常识,发现涉密风险的报警方法,使用时自测的方法和查毒杀毒的使用等信息安全知识,举办“员工自检防涉知识讲座”。让员工们了解信息安全的基本要求、掌握使用涉密设备自检自防的基本方法。定期进行自检自防演练,增强员工的信息安全意识,提高防涉密能力。
(三)不断加强信息安全教育活动
单位结合“网络安全教育周”开展系列活动。利用每周四下午单位生活民主会、单位宣传栏和会议室投影等多种形式,特别是观看网络安全宣传片、网络安全案例等视频,对员工进行网络安全教育活动。同时,组织员工开展网络安全知识竞赛,对成绩优秀的给以奖励,从而调动员工的积极性,增加员工对所学所观知识、视频的理解,让大家树立“网络安全”的观念,增强防范意识,让网络安全警钟长鸣。
(四)积极开展“网络安全”宣传活动
禁绝涉密,预防为主,教育在先。为进一步加强单位网络安全宣传教育工作,强化对网络泄密危害的认识,增强自我保护意识,开展以“共建网络安全,共享网络文明”为主题的大型宣传教育及签名活动。通过参观图板、学习网络安全教育材料,大家对网络泄密的危害性,有进一步的认识。让大家知道,一定要远离泄密,保护信息安全。全体员工共同在宣传横幅上郑重签上自己的名字、写下庄严的承诺。这项活动将持之以恒地开展下去。
(五)严格单位值周、值勤制度
为强化单位规范化管理,制定值周制度。值周人员24小时内及时处理单位内发生的网络安全事件。每天有记录,每周有汇总和反馈。值勤人员严格执行单位规定,利用**等技术加强网络巡逻,对不安全的网络信息进行监控屏蔽,确保了单位网络信息平安。
四、活动要求
加强组织领导。各科室有关部门要深刻认识网络安全意识和技能培养工作的重要性和紧迫性,将网络安全宣传活动列入重要议事日程,加强领导,提前谋划,认真制定活动方案,在单位网络安全宣传周期间集中组织开展网络安全宣传教育活动,加大投入力度,调动全单位各科室积极性,切实办好网络安全宣传周。
突出宣传实效。充分利用宣传栏、网站、宣传手册、QQ群等渠道,加强活动宣传,制作播出专题栏目,开展知识竞赛、主题会议等,普及网络安全防护技能,提升全单位网络安全意识。
做好总结评估。网络安全宣传周结束后,做好总结工作,对宣传活动中好的做法要继续发扬、出现的问题要纠结纠正,并将相关情况进行汇总,形成总结报告。
XXXX
2016年9月11日
第三篇:论美国信息安全主导国家战略文档
文本Tag:政策法规安全策略【IT168 特稿】十一年以前,我们就开始对美国的信息安全保障进行跟踪、学习,我们对美国的信息安全保障问题很重视,用科学发展的态度不断更新,不断提高。下面,由中国工程院沈昌祥院士为大家介绍这方面的问题,以下为谈话内容:
一、美国将网络空间安全由“政策”、“计划”提升到国家战略。
美国将网络安全列入国家计划开始规划,还认为不够又提升为国家战略。美国在克林顿政府时期就把建设信息保护作为根本政策,同时发现了很多的网络安全问题。
1998年5月,克林顿政府发布了第63号总统令(PDD63):《克林顿政府对关键基础设施保护的政策》,成为直至现在没有政府建设网络空间安全的指导性文件。
2000年1月,克林顿政府发布了《信息系统保护国家计划V1.0》,提出了没有政府在21世纪之初若干年的网络空间安全发展规划。
2001年10月16日,布什政府意识到了911之后信息安全的严峻性,发布了第13231号行政令《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会”,简称PCIPB,代表政府全面负责国家的网络空间安全工作。委员会由克拉克担任主席。
委员会成立以后,系统地总结了美国的信息网络安全问题,提出了无数个问题向国民广泛征求意见。征求意见以后,马上颁布了《保护网络空间的国家战略》,这个《战略》很有意思,主要从系统角度加以分辨保护,提出分为五级:第一级家庭用户与小型商业;第二级:大型企业;第三级:关键部门;第四级:国家的优先任务;第五级全球。
2003年2月,在征求国民意见的基础上,发布了《保护网络空间的国家战略》的正式版本,对原草案版本做了大篇幅的改动,重点突出国家政府层面上的战略任务,这是一个非常大的跨越。
新的《保护网络空间的国家战略》提出了三大战略目标:
一是预防美国的关键基础设施遭到信息网络攻击;
二是减少国家对信息网络攻击的脆弱性;
三是减少国家在信息网络攻击中遭受的破坏,减少恢复时间。
五项重点任务:
一是国家网络空间安全响应系统;
二是国家网络空间威胁和脆弱性减少项目;
三是国家网络空间安全意识和培训项目;
四是国家网络空间安全保护政府网络空间的安全;
五是国家安全和国际网络空间安全合作。
2005年4月14日,美国政府公布了美国总统IT咨询委员会2月14日向总统布什提交的《网络空间安全:迫在眉睫的危机》的紧急报告,对美国2003年的信息安全战略提出不同看法,指出过去十年中美国保护国家信息技术基础建设工作是失败的。短期弥补修复不解决根本问题。GIG耗资一千亿美元,而安全问题没有解决,仍是漏洞百出。(他们认为是不能用的)
当时,提出了四个问题和建议:
1、政府对民间网络空间安全研究的资助不够,建议每年拨NSF九千万美金;
2、网络空间安全基础性研究团体规模小,七年时间团体规模扩大一倍;
3、安全研究成果的成功转化不够,政府加强在技术转让方面与企业的合作;
4、缺乏政府部门间协作与监管是安全对策无重点和无效率的根源;
5、建议成立“重要信息基础设施保护跨部门工作组”。
2006年4月,信息安全研究委员会发布的《联邦网络空间安全及信息保护研究与发展计划(CSIA)》确定了14个技术优先研究领域,13个重要投入领域。
为改变无穷无尽打补丁的封堵防御策略,从体系整体上解决问题,提出了十个优先研究项目,包括:认证、协议、安全软件、整体系统、监控检测、恢复、网络执法、模型和测试、评价标准、非技术原因。
美国国防部2007年2月4日公布的《四年一度防务评审》报告非常关注网络空间安全,提出加强网络空间安全研究作为未来重点发展的作战力量之一。
报告指出,网络不仅是一种企业资产,还应作为一种武装系统加以保护,如同国家其他的关键基础设施那样受到保护。针对当前和未来可能的网络攻击,报告重点提出了“设计、运行和保护网络”,确保联合作战的需求。
美国总统签署命令,扩大网络监控范围。
美国总统2008年1月8日签署一项扩大情报机构监控因特网通信范围的联合保密指令,以防御对联邦政府计算机系统日益增多的攻击,这项指令授权以国家安全局为首的情报部门监控整个联邦机构计算机网络。指令的具体内容保密。这项行动将花费数十亿美金,资金将列入2009年财政预算中。
国土安全局将收集和监控入侵的数据,配置防御攻击和加密数据的技术。另外国土安全局还将致力于把政府因特网端口从2000个减少至50个。
同时,为了进一步加强政府核心部分的防范,发布了总统54号令,这个令是保密的。我们了解到主要是“设立了综合性国家网络安全计划”,主要对政府系统加以进一步地防范。还拓展了国家安全局对政府信息系统安全的主管权力。
内容导航
二、美国网络空间安全当前的战略
(一)美国网络空间安全战略
网络空间指全球互联的数字信息,也是对通信技术设施的总称,称为四大空间以外的第五空间。
布什总统在信息安全上弄得焦头烂额,他的任期快到了,也解决不了问题,他希望下一届总统解决这个问题。因此,就成立了《第44届总统网络空间安全委员会》,经过一年半的工作,形成了《提交第44届总统的保护网络空间安全的报告》。
报告引言:暗战,以二战时期“阿尔发和英格玛”事件为警示,提出:网络安全是美国在一个竞争更加激烈的新国际环境中面临的最大安全挑战之一,美国处于英格玛被破境地。报告认为,过去20年来,美国一直在努力设计一种战略来应对这些新型威胁和保护自身利益,但始终都不算成功。无效的网络安全以及信息基础设施在激烈竞争中受到攻击,削弱了美国力量,使国家处于风险之中。
报告提出了十二项、25条建议,分别从制定战略、设立部门、制定法律法规、身份管理、技术研发等方面进行了阐述。
尤其是第一条,建议设定一条基本原则,即网络空间是国家一项关键资产,美国将动用国家力量的所有工具对其施以保护,以确保国家和公众安全、经济繁荣以及关键服务对美国公众的顺畅提供。
报告认为:仅仅靠自愿采取行动是远远不够的。美国必须评估风险并按重要性对各种风险进行等级划分,在此基础上制定出保护网络空间的最低标准,以确保网络空间的关键服务即便在美国遭受攻击的情况下也能不间断地工作。
提出12项建议:
1、制定一项全面的网络空间国家安全战略
2、构建网络空间安全机构
3、与私营部门的合作伙伴关系
4、网络安全法规
5、保护工业控制系统和SCADA(监督、控制和数据采集系统)的安全
6、通过采购规则提高安全性
7、身份管理
8、法律法规现代化
9、修订联邦网络空间安全管理法案
10、消除民用系统与国家安全系统的区别
11、网络教育和劳动力发展培训
12、网络空间安全研发
(二)奥巴马政府的战略举措
2008年12月,为了加深奥巴马政府对信息安全现状的认识,美国开展了为期2天的“模拟网络战”,总计有230名来自军方、政府和企业的代表参与了这次演习活动。
演习结果认为,美国在网络攻击前抵抗能力很差,这为奥巴马政府敲响了警钟。
2009年5月26日,发布《总统关于白宫国土安全和反恐组织的声明》,宣布一种将增强国家安全和国家保障的新方法。
主要决定重点解决机构问题
对白宫官员进行全面整合,以支持国家和国土安全。成立“国家安全参谋部”,由国家安全协调官领导,统一支持国土安全委员会和国家安全委员会。
在国家安全参谋部中新增人员和职务,用以处理21世纪所面临的新挑战,包括网络安全、大规模杀伤性武器、恐怖主义,跨国界安全,信息共享和弹性政策,这些人员和职务具有对事件进行预防和响应的职能。
2009年2月9日,奥巴马指示美国国家安全委员会和国土安全委员会负责网络空间事务的代理主管梅利萨?哈撒韦主持组织对美国的网络安全状况展开为期60天的全面评估。经过几个月的工作,2009年5月29日,奥巴马在白宫东厅公布了名为《网络空间政策评估——保障可信和强健的信息和通信基础设施》的报告,并发表重要讲话。
奥巴马在演讲词中强调,美国21世纪的经济繁荣将依赖于网络空间安全。
他将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项。”
报告全长76页,除前言、内容提要、简介外,正文包括6个章节,分别是:
1、加强顶层领导。通过以下事项来加强对网络空间安全的领导:设立一个总统的网络空间安全政策官员和支持机构;审查法律和政策;加强联邦对网络空间安全的领导力,强化对联邦的问责制;提升州、地方和部落政府的领导力。
2、建立数字国家的能力。提升公众的网络安全意识,加强网络安全教育,扩大联邦信息技术队伍,使网络安全成为各级政府领导人的一种责任。
3、共担网络安全责任。改进私营部门和政府的合作关系,评估公私合作中存在的潜在障碍,与国际社会有效合作。
4、建立有效的信息共享和应急响应机制。建立事件响应框架,加强事件响应方面的信息共享,提高所有基础设施的安全性。
5、鼓励创新。通过创新来解决网络空间安全问题,制定全面、协调并面向新一代技术的研发框架,建立国家的身份管理战略,将全球化政策与供应链安全综合考虑,保持国家安全/应急战备能力。
6、行动计划。提出了近期行动计划10项和中期行动计划14项。
此外,美国政府发布的这份报告还在附录回顾了现代通信技术在美国的发展情况以及信息安全相关法律和法规框架的制定情况。
报告强调:
1、国家现在处于一个十字路口;
2、现状已不能再接受;
3、必须从今天开始全国性的网络空间安全对话;
4、如果孤立地工作美国不可能成功地确保网络空间的安全;
5、联邦政府不能完全委托或取消其保护国家免受网络事件或事故影响的角色;
6、与私营部门合作,必须定义下一代基础设施的性能和安全目标;
7、白宫必须领导前进的道路。
内容导航
三、思考与启示
1、充分认识信息安全国家战略地位,全面落实27号文件各项工作,加快信息安全保障体系建设。应总结评估27号文件贯彻落实情况,提出新的战略对策。
2、加强国家信息安全统一领导和协调,既要各职能部门做好本职工作,更要相互配合。国家必须统一领导和协调。国家应恢复国家网络与信息安全协调小组和办公室。
3、加快推进信息安全等级保护,从整体提高信息安全保障能力。技术与管理并重,控制源头,内外兼防,克服盲目封堵、打补丁的被动局面。
4、加强以密码技术为基础的信息安全防护和网络信任体系的建设。加大研发投入,从基础技术上做到自主创新、自主可控。加快制定信息安全国家标准,加大力度推进可信计算技术等核心产业发展。
5、加快人才培养,增强全民安全意识。确定信息安全人才教育和培训体系。信息安全应列为一级学科,培养各级专门人才,同时开展社会化的培训和普及教育。
只有这样,才能使我国的网络安全做得越来越好,我讲这么多,谢谢大家!
第四篇:论美国信息安全主导国家战略
论美国信息安全主导国家战略
—— 2009中国计算机网络安全应急年会在长沙召开
十一年以前,我们就开始对美国的信息安全保障进行跟踪、学习,我们对美国的信息安全保障问题很重视,用科学发展的态度不断更新,不断提高。下面,由中国工程院沈昌祥院士为大家介绍这方面的问题,以下为谈话内容:
一、美国将网络空间安全由“政策”、“计划”提升到国家战略。
美国将网络安全列入国家计划开始规划,还认为不够又提升为国家战略。美国在克林顿政府时期就把建设信息保护作为根本政策,同时发现了很多的网络安全问题。
1998年5月,克林顿政府发布了第63号总统令(PDD63):《克林顿政府对关键基础设施保护的政策》,成为直至现在没有政府建设网络空间安全的指导性文件。
2000年1月,克林顿政府发布了《信息系统保护国家计划V1.0》,提出了没有政府在21世纪之初若干年的网络空间安全发展规划。
2001年10月16日,布什政府意识到了911之后信息安全的严峻性,发布了第13231号行政令《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会”,简称PCIPB,代表政府全面负责国家的网络空间安全工作。委员会由克拉克担任主席。
委员会成立以后,系统地总结了美国的信息网络安全问题,提出了无数个问题向国民广泛征求意见。征求意见以后,马上颁布了《保护网络空间的国家战略》,这个《战略》很有意思,主要从系统角度加以分辨保护,提出分为五级:第一级 家庭用户与小型商业;第二级:大型企业;第三级:关键部门;第四级:国家的优先任务;第五级全球。
2003年2月,在征求国民意见的基础上,发布了《保护网络空间的国家战略》的正式版本,对原草案版本做了大篇幅的改动,重点突出国家政府层面上的战略任务,这是一个非常大的跨越。
新的《保护网络空间的国家战略》提出了三大战略目标:
一是预防美国的关键基础设施遭到信息网络攻击;
二是减少国家对信息网络攻击的脆弱性;
三是减少国家在信息网络攻击中遭受的破坏,减少恢复时间。
五项重点任务:
一是国家网络空间安全响应系统;
二是国家网络空间威胁和脆弱性减少项目;
三是国家网络空间安全意识和培训项目;
四是国家网络空间安全保护政府网络空间的安全;
五是国家安全和国际网络空间安全合作。
2005年4月14日,美国政府公布了美国总统IT咨询委员会2月14日向总统布什提交的《网络空间安全:迫在眉睫的危机》的紧急报告,对美国2003年的信息安全战略提出不同看法,指出过去十年中美国保护国家信息技术基础建设工作是失败的。短期弥补修复不解决根本问题。GIG耗资一千亿美元,而安全问题没有解决,仍是漏洞百出。(他们认为是不能用的)
当时,提出了四个问题和建议:
1、政府对民间网络空间安全研究的资助不够,建议每年拨NSF九千万美金;
2、网络空间安全基础性研究团体规模小,七年时间团体规模扩大一倍;
3、安全研究成果的成功转化不够,政府加强在技术转让方面与企业的合作;
4、缺乏政府部门间协作与监管是安全对策无重点和无效率的根源;
5、建议成立“重要信息基础设施保护跨部门工作组”。
2006年4月,信息安全研究委员会发布的《联邦网络空间安全及信息保护研究与发展计划(CSIA)》确定了14个技术优先研究领域,13个重要投入领域。
为改变无穷无尽打补丁的封堵防御策略,从体系整体上解决问题,提出了十个优先研究项目,包括:认证、协议、安全软件、整体系统、监控检测、恢复、网络执法、模型和测试、评价标准、非技术原因。
美国国防部2007年2月4日公布的《四年一度防务评审》报告非常关注网络空间安全,提出加强网络空间安全研究作为未来重点发展的作战力量之一。
报告指出,网络不仅是一种企业资产,还应作为一种武装系统加以保护,如同国家其他的关键基础设施那样受到保护。针对当前和未来可能的网络攻击,报告重点提出了“设计、运行和保护网络”,确保联合作战的需求。
美国总统签署命令,扩大网络监控范围。
美国总统2008年1月8日签署一项扩大情报机构监控因特网通信范围的联合保密指令,以防御对联邦政府计算机系统日益增多的攻击,这项指令授权以国家安全局为首的情报部门监控整个联邦机构计算机网络。指令的具体内容保密。这项行动将花费数十亿美金,资金将列入2009年财政预算中。
国土安全局将收集和监控入侵的数据,配置防御攻击和加密数据的技术。另外国土安全局还将致力于把政府因特网端口从2000个减少至50个。
同时,为了进一步加强政府核心部分的防范,发布了总统54号令,这个令是保密的。我们了解到主要是“设立了综合性国家网络安全计划”,主要对政府系统加以进一步地防范。还拓展了国家安全局对政府信息系统安全的主管权力。
二、美国网络空间安全当前的战略
(一)美国网络空间安全战略
网络空间指全球互联的数字信息,也是对通信技术设施的总称,称为四大空间以外的第五空间。
布什总统在信息安全上弄得焦头烂额,他的任期快到了,也解决不了问题,他希望下一届总统解决这个问题。因此,就成立了《第44届总统网络空间安全委员会》,经过一年半的工作,形成了《提交第44届总统的保护网络空间安全的报告》。
报告引言:暗战,以二战时期“阿尔发和英格玛”事件为警示,提出:网络安全是美国在一个竞争更加激烈的新国际环境中面临的最大安全挑战之一,美国处于英格玛被破境地。
报告认为,过去20年来,美国一直在努力设计一种战略来应对这些新型威胁和保护自身利益,但始终都不算成功。无效的网络安全以及信息基础设施在激烈竞争中受到攻击,削弱了美国力量,使国家处于风险之中。
报告提出了十二项、25条建议,分别从制定战略、设立部门、制定法律法规、身份管理、技术研发等方面进行了阐述。
尤其是第一条,建议设定一条基本原则,即网络空间是国家一项关键资产,美国将动用国家力量的所有工具对其施以保护,以确保国家和公众安全、经济繁荣以及关键服务对美国公众的顺畅提供。
报告认为:仅仅靠自愿采取行动是远远不够的。美国必须评估风险并按重要性对各种风险进行等级划分,在此基础上制定出保护网络空间的最低标准,以确保网络空间的关键服务即便在美国遭受攻击的情况下也能不间断地工作。
提出12项建议:
1、制定一项全面的网络空间国家安全战略
2、构建网络空间安全机构
3、与私营部门的合作伙伴关系
4、网络安全法规
5、保护工业控制系统和SCADA(监督、控制和数据采集系统)的安全
6、通过采购规则提高安全性
7、身份管理
8、法律法规现代化
9、修订联邦网络空间安全管理法案
10、消除民用系统与国家安全系统的区别
11、网络教育和劳动力发展培训
12、网络空间安全研发
(二)奥巴马政府的战略举措
2008年12月,为了加深奥巴马政府对信息安全现状的认识,美国开展了为期2天的“模拟网络战”,总计有230名来自军方、政府和企业的代表参与了这次演习活动。
演习结果认为,美国在网络攻击前抵抗能力很差,这为奥巴马政府敲响了警钟。
2009年5月26日,发布《总统关于白宫国土安全和反恐组织的声明》,宣布一种将增强国家安全和国家保障的新方法。
主要决定重点解决机构问题
对白宫官员进行全面整合,以支持国家和国土安全。成立“国家安全参谋部”,由国家安全协调官领导,统一支持国土安全委员会和国家安全委员会。
在国家安全参谋部中新增人员和职务,用以处理21世纪所面临的新挑战,包括网络安全、大规模杀伤性武器、恐怖主义,跨国界安全,信息共享和弹性政策,这些人员和职务具有对事件进行预防和响应的职能。
2009年2月9日,奥巴马指示美国国家安全委员会和国土安全委员会负责网络空间事务的代理主管梅利萨?哈撒韦主持组织对美国的网络安全状况展开为期60天的全面评估。
经过几个月的工作,2009年5月29日,奥巴马在白宫东厅公布了名为《网络空间政策评估——保障可信和强健的信息和通信基础设施》的报告,并发表重要讲话。
奥巴马在演讲词中强调,美国21世纪的经济繁荣将依赖于网络空间安全。
他将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项。”
报告全长76页,除前言、内容提要、简介外,正文包括6个章节,分别是:
1、加强顶层领导。通过以下事项来加强对网络空间安全的领导:设立一个总统的网络空间安全政策官员和支持机构;审查法律和政策;加强联邦对网络空间安全的领导力,强化对联邦的问责制;提升州、地方和部落政府的领导力。
2、建立数字国家的能力。提升公众的网络安全意识,加强网络安全教育,扩大联邦信息技术队伍,使网络安全成为各级政府领导人的一种责任。
3、共担网络安全责任。改进私营部门和政府的合作关系,评估公私合作中存在的潜在障碍,与国际社会有效合作。
4、建立有效的信息共享和应急响应机制。建立事件响应框架,加强事件响应方面的信息共享,提高所有基础设施的安全性。
5、鼓励创新。通过创新来解决网络空间安全问题,制定全面、协调并面向新一代技术的研发框架,建立国家的身份管理战略,将全球化政策与供应链安全综合考虑,保持国家安全/应急战备能力。
6、行动计划。提出了近期行动计划10项和中期行动计划14项。
此外,美国政府发布的这份报告还在附录回顾了现代通信技术在美国的发展情况以及信息安全相关法律和法规框架的制定情况。
报告强调:
1、国家现在处于一个十字路口;
2、现状已不能再接受;
3、必须从今天开始全国性的网络空间安全对话;
4、如果孤立地工作美国不可能成功地确保网络空间的安全;
5、联邦政府不能完全委托或取消其保护国家免受网络事件或事故影响的角色;
6、与私营部门合作,必须定义下一代基础设施的性能和安全目标;
7、白宫必须领导前进的道路。
三、思考与启示
1、充分认识信息安全国家战略地位,全面落实27号文件各项工作,加快信息安全保障体系建设。应总结评估27号文件贯彻落实情况,提出新的战略对策。
2、加强国家信息安全统一领导和协调,既要各职能部门做好本职工作,更要相互配合。国家必须统一领导和协调。国家应恢复国家网络与信息安全协调小组和办公室。
3、加快推进信息安全等级保护,从整体提高信息安全保障能力。技术与管理并重,控制源头,内外兼防,克服盲目封堵、打补丁的被动局面。
4、加强以密码技术为基础的信息安全防护和网络信任体系的建设。加大研发投入,从基础技术上做到自主创新、自主可控。加快制定信息安全国家标准,加大力度推进可信计算技术等核心产业发展。
5、加快人才培养,增强全民安全意识。确定信息安全人才教育和培训体系。信息安全应列为一级学科,培养各级专门人才,同时开展社会化的培训和普及教育。
只有这样,才能使我国的网络安全做得越来越好,我讲这么多,谢谢大家!
第五篇:国家知识产权战略实施推进计划2010
2010年国家知识产权战略实施推进计划
为全面推进2010年国家知识产权战略实施工作,按照国家知识产权战略实施工作部际联席会议的部署,国家知识产权战略实施部际联席会议28个成员单位共同研究制定了《2010年国家知识产权战略实施推进计划》(以下简称《2010年推进计划》),并于3月26日印发实施。
《2010年推进计划》在总结2009年战略实施成绩的基础上,结合当前形势和我国发展目标,确定2010年战略实施的工作重点是:全面落实《国家知识产权战略纲要》部署,鼓励知识产权创造和运用,依法加强知识产权保护,夯实知识产权战略实施工作基础,推动知识产权战略更有效实施,为促进经济发展方式转变和经济结构调整发挥更大作用。
《2010年推进计划》从提升知识产权创造能力、鼓励知识产权转化运用、加快知识产权法制建设、提高知识产权执法水平、加强知识产权行政管理、发展知识产权中介服务、加强知识产权人才队伍建设、推进知识产权文化建设、扩大知识产权对外交流合作等九方面提出具体措施。
《2010年国家知识产权战略实施推进计划》(要点)
全面落实《国家知识产权战略纲要》部署,鼓励知识产权创造和运用,依法加强知识产权保护,夯实知识产权战略实施工作基础,推动知识产权战略更有效实施,为促进经济发展方式转变和经济结构调整发挥更大作用。
(一)鼓励知识产权创造和运用,提高自主知识产权水平
1.通过政策引导、资金扶持,推动重点技术领域自主知识产权创造水平提高和具有自主知识产权重大创新成果产业化。
2.围绕国家科技重大专项、产业调整振兴规划和培育战略性新兴产业部署,建设知识产权工作机制,强化知识产权管理。
3.引导和支持市场主体加大知识产权投入,鼓励企业、高校、科研单位等在国内外获取知识产权。
4.完善知识产权投融资体制,拓展知识产权投融资渠道,积极搭建知识产权交易平台,创新交易产品和服务内容。
5.加大行业知识产权工作力度,积极开展知识产权分析和预警工作,提升行业重点领域核心竞争力。
6.积极发挥知识产权在区域经济协调发展中的促进作用,引导开发和运用具有区域特色的知识产权。
(二)依法加强知识产权保护,完善知识产权法治环境
1.加快知识产权法律、法规和规章制定工作,加快知识产权司法解释、规范
性文件出台。
2.完善知识产权审判体制和工作机制,积极开展由知识产权庭集中审理知识产权民事、行政和刑事案件的试点,调整知识产权民事案件级别管辖标准。
3.加大知识产权侵权犯罪惩处力度,降低维权成本,提高侵权代价,遏制侵权行为。
4.提高知识产权执法水平,推动建设行政执法和刑事司法衔接机制。
5.推动执法规范化建设,加强知识产权日常执法和专项整治行动力度,做好世博会知识产权保护工作。
(三)夯实知识产权战略实施工作基础,积极营造有利于实施知识产权战略的环境
1.完善部际联席会议统筹协调、各地区各部门分工负责、协同推进的实施知识产权战略工作体系。
2.加强战略实施平台建设,建立健全战略信息沟通机制、绩效评估机制、工作督察机制。
3.积极出台实施知识产权战略相关配套政策,并确保各项措施切实落实。
4.全面推进知识产权“十二五”规划编制工作。
5.加快培养知识产权人才,推动国家知识产权战略人才培养基地建设。
6.加强知识产权文化建设,积极宣传我国知识产权战略实施的典型经验和知识产权保护成果,增强全社会创造、运用、保护知识产权意识。
7.努力拓展知识产权对外交流与合作,积极参与国际规则制定,加强海外知识产权维权和服务,妥善处理知识产权争端,引导企业积极参与国际知识产权竞争与合作。
点击咨询 