第一篇:美国国土安全部2011年网络安全战略报告全文
报告在《四年国土安全评估报告》的基础上撰写,列出了两大行动领域:保护当前的关键信息基础设施,建设未来的网络生态系统。指出保护关键信息基础设施的四项目标是:减少网络安全风险;快速应对网络安全事件、提高网络恢复能力;共享网络安全信息;增强网络抗压能力。此外,报告提出加强网络生态系统建设的四项目标:提高个人和组织安全使用网络的能力;研发和应用更可信的网络协议、产品、服务、配置和架构;构建合作型网络社区;建立透明的安全流程。该报告的撰写意图是呼吁保护对美至关重要的关键基础设施,并在一段时间后开发出更强大的信息和通信技术,使政府、企业和个人更安全地使用互联网。
【本刊讯】美国国土安全部网站12月12日发表2011年网络安全战略报告,题为《确保未来网络安全的蓝图》,副题为《美国土安全相关实体网络安全战略报告》,全文如下:
部长致辞(美国国土安全部部长珍妮特纳波利塔诺)我很高兴公布《确保未来网络安全的蓝图———美国土安全相关实体网络安全战略报告》(以下简称报告)。报告是根据《四年国土安全评估报告》要求公布的,反映了网络空间对我们经济、安全以及生活方式的重要性。
我们致力于建设的网络具有以下作用:推动创新和繁荣,推进经济利益和国家安全,并将保护个人公民自由、隐私权纳入美国土安全部的网络活动当中。报告为打造这样的网络提供了蓝图。报告旨在保护对美国至关重要的关键基础设施,并在一段时间后开发出更强大的信息和通信技术,使政府、企业和个人更安全地使用互联网。
维护网络安全人人有责,我们每个人都需在这方面发挥作用。网络安全威胁日益严峻,需要整个社会———包括政府执法部门、私营企业乃至公众参与维护网络安全。当前,美面临多层次的网络安全威胁。构成网络安全威胁的主体既有黑客和有组织犯罪团体,也有拥有先进技术的国家。个人和组织严密的团体利用网络薄弱环节盗取美国的知识产权、个人信息及金融数据。网络窃密技术日益先进以及网络安全事件不断增多,对我们的经济竞争力构成潜在威胁,并削弱了公众获得基本网络服务的能力。政府、非政府组织、私营部门乃至个人、家庭以及社区必须同心协力,有效减少网络安全风险。
州及地方政府、产业界、学术界、非政府组织及许多具有奉献精神的个人都为报告的撰写做出了贡献。他们的参与使国土安全部获益良多,在此谨致谢意。国土安全部还与联邦政府各个部门密切协同,完善这一报告,并确保报告与《2010年国家安全战略报告》、《网络空间行动战略报告》以及《网络空间国际战略报告》保持一致。
我还想感谢国土安全部各位同仁、成千上万的网络科学家、系统工程师、执法人员以及为保护网络安全忘我工作的其他专业人员。我很高兴代表他们发布这份报告。
摘要
报告为建设可靠、安全及具有恢复能力的网络提供了一个明确方案。报告是在《四年国土安全评估报告》基础上撰写的。在该报告的指导下,美各级政府、私营部门以及国际伙伴能够密切合作,增强维护网络安全的能力。这些能力对于我们的经济、国家安全以及公共卫生和安全至关重要。报告列出了两大行动领域:保护当前的关键信息基础设施,建设未来的网络生态系统。报告旨在保护最为关键的系统和资产,并推动人机协同方式的根本转变,以确保网络安全。在维护网络安全活动过程中,保护公民自由及隐私权是国土安全部的一项基本要求。
报告列出了保护关键信息基础设施的四项目标:
减少网络安全风险
快速应对网络安全事件、提高网络恢复能力
共享网络安全信息
增强网络抗压能力报告将上述四项目标细化成九项具体目标。能否实现这九项目标取决于美国国土安全相关实体的能力建设情况,而这些能力在实际工作过程中将转化成具体措施。美国国土安全相关实体需要综合运用这些措施,以有效地预测和应对各种网络安全威胁。报告中介绍的一些措施在当前行之有效,而其他措施则需要进一步完善,还有一些措施需要进一步论证。为实现上述目标,有必要建立一个相互协作并能做出快速反应的网络安全社区。
报告还提出了加强网络生态系统建设的四项目标:
提高个人和组织安全使用网络的能力
研发和应用更可信的网络协议、产品、服务、配置和架构
构建合作型网络社区
建立透明的安全流程报告将上述四项目标细化成十一项具体目标。这些具体目标能否实现取决于报告中提到的一系列能力建设情况。
构建可靠、安全和具有恢复能力的网络环境的工作包括:评估网络安全能力建设的进展、确定这些能力能否有效应对不断演变的安全威胁。根据上述评估结果,我们将对每年工作表现进行对比。这种方法将指出我们在能力建设方面的成绩和不足,明确下一步努力方向。
网络空间支撑着美国生活的方方面面,并为美国经济、民用基础设施、公共安全及国家安全提供了重要支持。保护网络空间需要远见、强有力的领导及国土安全相关实体所有成员的共同努力。美国土安全部撰写这份报告的目的,就是为了探讨美国家安全相关实体如何更好确保网络安全。
引言根据2010年《四年国土安全评估报告》制定的战略框架,国土安全相关实体实施行动的共同目标是:确保美国本土的安全,并有能力抵御恐怖主义及其他危险。为实现这一目标,《四年国土安全评估报告》明确提出了五项核心任务,其中重点强调了网络安全对国家的重要性。
所有国土安全相关实体都有责任完成上述任务。来自各级政府、私营部门和非政府组织的个人都参与了上述任务。除国土安全部等正式肩负网络安全责任的机构外,每台电脑的所有者和关键基础设施的所有者及操作者都有责任维护网络安全。国土安全相关实体在维护网络安全过程中担负的责任和发挥的作用,反映出其规模庞大、丰富多样及相互依赖的特性。
《四年国土安全评估报告》将网络空间安全确定为核心任务的依据是总统发布的《国家安全战略报告》,该报告包括:
宣布数字基础设施是国家的战略资产;
将网络威胁视为最严重的国家安全、公共安全及经济挑战之一;
并将数字基础设施的防护作为国家安全的重点。国土安全部发布《确保未来网络安全的蓝图》的目的,是为国土安全相关实体落实《国家安全战略报告》相关内容和实现《四年国土安全评估报告》提出的目标提供一套明确的行动计划:
建立安全和有抗压能力的网络环境
推广网络安全知识和推进网络安全技术创新该报告的唯一指导原则是:在保护现有关键信息基础设施的同时,建设未来更为强大的网络生态系统。这一原则将指导资源的优化组合,从而系统地发展维护网络空间安全所需的多种能力。
范围
2002年《国土安全法》、第7号国土安全总统行政令、第54号国家安全总统行政令及《2002年联邦信息安全管理法》等文件指出,国土安全部在联邦各部门中负责牵头实施以下任务:保护联邦政府文职部门的信息和通信系统,与相关部门和企业合作保护关键基础设施,与各级政府合作保护其信息系统。“国家基础设施保护计划”、“国家快速反应框架”等文件描述了国土安全部及其他联邦政府部门在确认和保护国家关键基础设施中的作用。但联邦政府仅仅是国土安全相关实体中的一部分,该战略能否成功需要相关各方的共同努力。尤其要指出的是,网络安全需要公共和私营部门在信息共享、创新、推广经验等领域展开强有力的双向合作。
从上述内容看,本报告旨在向国土安全相关实体提供实际和有意义的指导,使其能够确保网络空间的安全,并使所有希望能安全使用信息及通信技术的人受益。
与其他重要政策和战略的关系本报告支持以“政府一盘棋”的方式维护国家安全,并在制定过程中充分考虑了当前的国家网络空间战略和政策,其中包括:《白宫网络空间政策评估报告》、《网络空间国际战略》、《打击跨国有组织犯罪战略》、《综合国家网络安全倡议》、第7号国土安全总统行政令、第54号国家安全总统行政令、《网络空间可信任身份国家战略》及《国防部网络空间行动战略》。
动机
美国高度依赖网络空间。网络空间是现代社会的支柱之一。但网络技术在丰富我们的专业和个人生活的同时,也赋予一些人扰乱或破坏我们生活方式的能力。保卫和控制网络空间隶属国土安全工作的范畴,是因为可能导致严重后果的大规模网络事件将损害公共和私有部门的重要功能与服务,影响我们的国家安全、经济活力及公共健康和安全。
由于恶意使用网络者正在使用越来越复杂的手段、技术及程序,网络事件的数量和复杂程度不断上升:
关键基础设施必须能够抵御复杂和持续的破坏行动,并做好应对更多破坏性攻击的准备。这种破坏行动可以削弱或扰乱我们所依赖的基本服务。
政府机构必须防备可能移除或损毁敏感数据并干扰重要服务的非法行为。
大型企业、小企业和非营利组织面临着技术日益复杂的入侵行为,其对象主要是上述机构的消费者和客户的知识产权及个人信息。
消费者面临的风险通常是个人信息被盗,入侵者主要通过互联网上无数的站点实施未经授权的入侵行为。
战略预想
尽管我们无法预测未来网络空间的具体情形,但我们必须制定一套充分掌握正在塑造未来网络空间的各种力量要素的相关战略,以确保美国拥有在网络空间中的领导、影响和应变能力。鉴此,该战略应建立在以下预想之上:
恶意网络行为的数量和复杂程度的不断提升,要求我们共享网络安全信息,快速应对网络安全事件,打造一支专业的网络安全人才队伍。
社会、经济和产业领域对信息和通信技术的依赖不断加深,不仅有助于提高生产力和促进创新,而且也增加了网络用户群、扩展了网络技术设施以及需要保护的网络路径。
网络发达的互通性使其超越了地理边界,为国际合作提供了极大便利。但其存在的风险也从根本上改变了美国安全威胁的构成,这就要求我们调整现有的安全和威慑机制。
随着网络数据信息的急剧膨胀,分散和远程的网络管理既提供了新的机遇,也带来了更多的安全挑战。移动技术的发展使入侵者更容易获得敏感信息。网络风险的差异和个人、机构等对网络安全等级要求的不同,使以往“一刀切”式的安全防护措施不再有效。相关部门应制定一套基于风险的应对方案,使之能够随时进行调整、重点关注网络输出和运行情况、提高用户应对能力、促进创新和符合费效比原则。
信息和通信技术供应链的全球化为促进创新和鼓励竞争提供了机遇,同时也带来了更多风险。
第一章 我们所追求的未来
信息革命几乎改变了我们日常生活的方方面面。可靠的数字化基础设施将为创新和经济繁荣提供一个持续的平台,并使我们能够在遵循我们核心价值观的情况下,推进美国的经济和安全利益。为使我们的下一代发挥出信息革命的全部潜力,国土安全相关实体必须确保建立可靠、安全和具有抗压能力的网络空间,同时提升网络安全意识和创新能力。这一复杂而高强度的行动需要大量研发投入并经过实践的检验。本报告将为此提供强有力的基础。
根据《四年国土安全评估报告》的相关要求,国土安全相关实体应致力于创建:
一、安全的网络空间
保护美国及其民众、核心利益和生活方式未来,我们将在确保网络空间安全方面取得重大进展。国防和创新领域的敏感信息将得到进一步保护。美国民众在进行网上交易时将更有信心,影响关键信息基础设施的安全风险将被降至最低。个人和机构将具有较强的网络安全意识,并能采取相应的安全措施。美国国内及国际网络安全政策、法规将能及时反映当前的网络环境状况,并预见到未来的安全需求。监管机构拥有必要的网络工具和人才队伍,以确保各机构落实相应的安全措施。各国成为负责任的网络空间行为体,并拒绝为恶意使用网络者提供“庇护所”。一旦网络空间被恶意利用,各机构能使用必要的手段锁定入侵者并将其绳之于法。联邦机构和私营领域实体将拥有必要的网络安全专业技术人员,以满足其任务需求。
二、具有抗压能力的网络空间
提升个人、社区网络系统的活力、适应能力、快速反应能力和修复能力未来,我们打造的网络安全框架将能实时侦测网络威胁,并根据不同的突发事件制定相应的信息防护措施。包括通过模拟、仿真和演习,来确认和降低安全威胁等级。演习能定期检验关键基础设施的快速反应能力和计划的可持续性,并为决策者和投资者提供对策建议。国土安全相关实体将拥有灵活的信息分享机制———关于威胁、弱点和防护能力的重要内容将在公共和私营部门进行实时传输。在网络安全关键行动继续展开的同时,网络安全框架也将对重大事件做出快速反应。
三、鼓励创新的网络空间
通过合作创新,实现人、设施和市场的互联,以促进经济增长未来,美国人将拥有无处不在的网络接入设施。它将使个人、企业和市场之间的互联互通更加迅速和便捷。随着互联网用户使用新的网络设备,以往各自隔离的实体之间的交流将越来越多。新的信息和通信技术将把新兴市场与发达市场连接起来,并随着信息的加速流动,推动跨地区合作和促进欠发达地区的经济增长。以往的单机装置,如能源仪表和家用电器,将越来越具有通用性,消费者和企业将从中受益。更具活力的安全机制将降低消费者的风险,并使各机构获得更优质的服务和安全防护能力。在确保网络空间安全的同时,我们还要维护自由贸易原则、促进更广范围信息的自由流通、承担全球责任以及满足国家的需求。
四、保护公共安全的网络空间
确保美国民众的安全
未来,管控能源、交通运输、化工和关键制造业等关键基础设施部门的工业系统和控制系统,以及运行在各类医疗设备、交通工具和其他领域中的嵌入式系统,均能更好地抵御各类可能危害公共安全的网络破坏和攻击行为。在这一网络空间中,执法和应急反应等重要公共安全部门也能继续依赖完整且随时可以使用的信息和通信技术。
五、促进经济利益和国家安全的网络空间
增强美国的经济竞争力和国防安全
未来,安全、可靠的网络空间将为美国经济增加动力,使美继续保持经济强国地位。在该网络空间中,商业部门将更加充分地了解其面临的风险,对其知识产权的保密性、完整性和可用性也将充满信心。安全的网络空间能够支持国民经济有效运行,也可支持各类关键社会服务的开展。健康的网络空间还有利于国土安全部完成其他任务:预防恐怖主义、维护边境安全、执行移民法以及从事故灾难中迅速恢复。最后,通过同美国国防部合作,这一安全的网络空间将支持美国政府履行其保护国家安全的关键使命。
第二章 指导原则
美国人的价值观、基本原则和生活方式为报告提供了指导原则,其基础是保护隐私和公民自由。报告也体现了美国提出的“开放政府倡议”中的透明、参与和协作等理念。开放使民主变得更为强大,也可使政府的效能与效率得到提升。坚持上述原则是各利益攸关方增强本报告所述各种能力的关键。
一、隐私和公民自由
在确保网络空间安全的过程中,国土安全相关实体将保护公民权利和尊重隐私。每个公民都可了解其个人数据将如何被使用,并可相信其使用将是恰当的。美国国土安全相关实体将支持一个开放、互动的网络空间,个人可借此在全球范围内寻找、接收和影响各种信息和思想。信息的自由流动是互联网快速演变和成长的关键所在。网络空间也必须继续成为自由联接和自由表达的场所。
二、透明的安全流程
国土安全相关实体将在高度透明和负责任的流程下开展保护网络空间安全的活动。坚持“按需分享”和“谁提供谁负责”的合作原则,将使具体、可操作的网络安全信息得以传送给需要的人员,同时保护公民自由和隐私。美国政府、私营部门和国际伙伴之间的互动,可增进安全措施的效能,并提升决策质量。这既兼顾了公私利益,又有助于共享网络安全信息。
三、在分布式环境中共担责任
保护网络空间安全的各种力量散布在国土安全相关实体中,大量的网络安全专家也分布在诸多不同领域。因此,国土安全相关实体将利用网络空间这一分散性来保护网络自身。国土安全相关实体将继续努力增强地方政府和个人的能力,通过集体行动汇聚所有力量,以实现共同的安全利益。为确保所有人都处于安全的网络空间环境中,每个人都必须承担责任。国土安全相关实体将培养共同的责任感和公民义务意识,也将综合运用各种知识来处理安全问题和开展网络空间安全行动。
四、基于风险、费效比高且便于应用的安全政策措施
在个人、机构和国家等层面,网络空间的安全风险和对这些风险的承受能力各不相同。在确定网络空间中的关键系统及资产和必须应对的最主要风险的过程中,国土安全相关实体必须与他们分享见解。国土安全相关实体将区分网络空间安全行动的轻重缓急,以确保将资源持续地用于可最大程度降低风险的领域。有效降低网络空间的脆弱性,有赖于全面系统地评估各种网络空间安全政策措施的风险、成本和应用情况。在使用信息和通信技术的过程中,所有用户都面临某些风险。必须更好地了解这些风险,才能在参与网络活动和交流时做出明智的决定。
第三章 战略概念
报告体现的唯一且一致的战略概念是:在保护现有关键信息基础设施的同时,建设未来更为强大的网络生态系统。这一战略概念将指导美建立安全、可靠及具备抗压能力的网络空间,并形成各利益攸关方共同致力于提升美网络空间能力的局面。
一、重点关注领域
该战略概念包含两个互为补充的重点关注领域:保护关键信息基础设施。重点关注网络生态系统中软、硬件设施对美国至关重要。减少信息基础设施面临的威胁、确保其具备快速反应能力和网络安全信息共享能力,以及增强其快速恢复能力是保护信息基础设施的最佳途径。
提升网络生态系统的能力。此举旨在推动人机协同方式发生彻底改变,使人与设备能够更好地“融合”,以此确保网络空间的安全。这一革命性的改变将通过提高个人维护网络安全的能力、研发和使用更为可靠地网络协议、服务和产品、加强相关部门在维护网络安全方面的协作,以及建立透明的工作流程等方式实现。
二、成功的含义
国土安全相关实体的投入产出效益将通过量化的标准加以衡量。
(一)保护关键信息
基础设施在面临最严峻的威胁时,基于效果的衡量标准如果能够证实关键信息基础设施的所有者和经营者能够妥善管理风险,信息基础设施能够确保安全,我们认为关键信息基础设施得到了切实有效的保护。
(二)建设网络生态系统
当符合下列条件时,网络生态系统才是安全的:
用户能够充分认清、掌握和管理信息和通信技术风险;
机构和个人能够按规定执行安全和隐私条令;
个人、机构、网络、服务和设备满足网络安全标准;
信息和通信技术具备安全的通用性;
接近实时的端对端协作能够对网络安全事件发出警告并自动做出反应。
三、如何保护关键信息基础设施
确保国家关键信息基础设施的安全,需要联邦政府各个部门和机构之间的多边合作,也需要联邦,州和地方政府、非政府组织和私营部门之间业务合作。在联邦政府层面,国土安全部与军队、情报界和执法部门的协作是我们防范和有效应对网络威胁的基础。报告描述了国土安全部如何根据第7号国土安全总统行政令、第54号国家安全总统行政令及《2002年联邦信息安全管理法》,与合作伙伴共同采取防范措施。国土安全部将发挥坚强的领导作用,保护联邦政府中非保密的文职部门。
在下文中,报告列出了保护关键信息基础设施的四项目标,国土安全部将采取九项措施实现上述目标。实施过程中,各种措施需要相互配合以有效地预测和应对的各种威胁。下文中介绍的一些措施在当前行之有效,而其他一些措施则需进一步完善,还有一些措施需要进一步论证。为实现上述目标,有必要建立一个相互协作且能做出快速反应的网络安全社区。
每种能力都包含相应的人员、流程和技术因素。由于网络社会具有全球性,我们需要与国际伙伴共同建设和运用这些能力。报告的结语部分将详细介绍如何在后续的实施计划中对能力进行优化组合。
美国国土安全部支持通过新的立法,以促进在政府和私营部门之间自愿分享合法获取的网络安全信息。此外,相关立法行动应在现有指导原则之下,为私营部门分享网络安全信息提供免责保护。相关法案还应鼓励政府和私营部门以适当方式及时分享网络安全信息。
网络安全立法活动应在透明和充分吸收广大民众意见的基础上授予或加强国土安全部以下权力:
为加强网络安全,确定拥有或负责运行关键信息基础设施的实体;
确定需要应对的具体网络安全风险;
评估并确定应对上述风险的标准化程序;
要求相关实体完善维护网络安全的计划,确定应对上述网络安全风险的方法;
建立第三方评估机制,评估相关实体在管理和应对网络安全风险方面的效能。
国土安全部支持通过修正《联邦信息安全管理法》,使国土安全部担负起联邦文职行政部门信息安全的主要责任,这将赋予国土安全部以下权力:
公布必须执行的信息安全政策和命令;
评估相关机构的信息安全计划;
指定相关实体负责接收信息安全方面的报告,内容包括信息安全事件、威胁及影响信息系统的弱点等。
(一)减少网络安全风险
1.规避威胁:通过持续运用国土安全部国家网络安全保护系统,削弱国内外罪犯利用、损害、瘫痪或摧毁关键信息基础设施的能力。
国土安全相关实体应具备的核心能力包括:
防入侵系统及其他安全技术。可减少进出信息和通信系统的恶意流量。
在防止、调查和起诉网络犯罪行为过程中加强国内法和国际法的执法力度。
通过专门的技术训练、使用先进的调查手段、建立相关国际合作等方式,加强证据共享及将犯罪分子绳之以法的能力。
通过全源信息搜集和分析,确认相关威胁的实施者及其使用的策略、技术及步骤。
就关键信息基础设施面临的最严重威胁发布及时、有针对性和可操作性的信息。信息共享论坛、分析中心、工作小组、提供合作的门户网站、简报及其他机制的运行,有利于国土安全相关实体中的利益攸关方进行威胁信息的分发和交换。
组建与威胁信息的发布者和使用者进行接触的团体,从而确立描述、解读和自动处理威胁信息的标准。
将网络安全事件报告的指导方针和激励措施发放至适当的机构和个人,包括网络安全专家和各级政府,以及联邦执法部门和突发事件反应中心。
2.强化关键信息基础设施:采用适当的安全措施以管理关键系统和资产面临的风险。
国土安全相关实体应具备的核心能力包括:
确定在受到干扰、破坏或毁坏的情况下,最有可能对国家安全、经济安全和公共健康或安全造成影响的关键信息基础设施,其中包括网络互联节点、域名系统、卫星地面站、电缆平台、工业和监控系统、关键商业或交通系统和其他支持关键功能和服务的系统。
运用技术和相关指导原则对网络进行管理。
评估各类网络威胁并根据结果确定重点的领域,如某个特定的威胁会利用网络的脆弱性并引发严重的后果。在系统、组织、部门、区域、国家和国际层面的威胁评估将帮助公共和私营部门的相关实体了解其面临的风险,从而使其能确定优先行动领域以降低风险和进行投资。
借助相关网络安全标准有效应对威胁。运用具体的管理手段、技术和安保措施以降低风险,这已被写入联邦政府文件当中。
不间断地对内部网络进行监督和测定,确保风险管理根据技术或风险环境的变化实时进行调整。对风险管理的第三方评估将验证该行动是否符合标准。
上述措施将对关键基础设施的技术弱点进行界定、分类,并找出需关注的重点领域。
3.实现革新:寻找新方法以应对业已存在的问题,同时开发应对潜在安全挑战的新技术。
国土安全相关实体应具备的核心能力包括:
将研发重点放在需要优先考虑的关键安全领域。联邦网络和信息技术研究与开发计划列出以下研究重点:“内置式安全措施”、“定制可信的网络空间”、“移动目标”及“网络经济激励措施”。
迅速应用新开发的产品和工具,以应对不断变化的网络安全威胁。
整合国家网络研发活动,包括国防、执法、反情报部门等开展的研究活动。
(二)快速应对网络安全事件、提高网络恢复能力
1.鼓励相关实体优先采取行动:重大网络安全事件威胁公共安全、削弱公众信心、影响国民经济和国家安全。因此,一旦发生重大网络安全事件,相关实体应采取联合行动,迅速做出反应,恢复网络安全。
国土安全相关实体应具备的核心能力包括:
及时和准确查明、报告、分析网络安全事件并做出反应的能力:当网络安全事件发生时,应通过国家网络安全和通信中心等负责监视和预警部门,协调有关部门,搜集与汇总网络安全事件的信息,协调联邦、州、地方政府部门以及私营机构和国际伙伴的行动,以及时和准确地查明、报告、分析网络安全事件并做出反应。
制定成熟和操作性强的应对和恢复预案的能力:该预案不仅能应对网络安全事件造成的物理性后果,还要能消除物理破坏造成的网络影响。
建立强大伙伴关系的能力:为能迅速重建关键信息基础设施,国土安全相关实体需要建立强大的伙伴关系,包括与第一批做出反应的相关实体密切合作,以及在必要时政府或私营部门的专家提供远程或现场技术帮助。
网络威胁调查和分析能力:通过网络威胁调查和分析,确定恶意网络行为对基础设施的影响。通过提供法律行动所需的证据,为采取反制措施提供前瞻性分析,预测和防范未来可能发生的敌意行为。联邦调查局领导的国家网络调查联合特别工作组就是专门从事网络威胁调查和分析的跨部门机构,它具有扭转攻击造成的被动局面、确定攻击者的数字和物理特征等能力。
标准化的自动修复能力:将系统恢复至正常、安全的状态。
2.做好网络突发事件应急准备:举行网络安全演习,以检验应急计划并总结经验教训。
国土安全相关实体应具备的核心能力包括:
组织跨部门演习的能力:评估和验证各个部门在信息共享、事件反应和恢复等方面的准备情况。
组织在特定机构和部门内部举行演习的能力:在系统、组织、机构、地区、国家和国际等各种层面,检验其应对网络事件反应并从中恢复所需的步骤、程序、报告机制等。
整体规划能力:运用商业网站、与软硬件和网络服务供应商达成协议等手段,并综合考虑设施、人员、装备、软件、数据文件和系统构件的基本情况,进行整体规划。
建立相关机制的能力:该机制应包括对演习进行评估、总结经验教训和制订改进计划等内容。
(三)共享网络安全信息
共享网络安全信息是减少网络安全风险、快速应对网络事件和提高自我恢复能力的关键。
1.整合信息:对从不同机构、地域、国家和国际资源中获得的信息进行整理、归纳。
国土安全相关实体应具备的核心能力包括:
国家网络安全防护系统:该系统由人和传感器组成,可根据特定网络安全相关实体的需要搜集并实时交换信息,这些信息主要涉及网络威胁、弱点、后果、预警和反制措施的信息。
分析能力:迅速分析不同来源的相关信息,帮助各级决策者和网络安全设施防止恶意网络行为。为此,国土安全部应与其他联邦机构合作,向国土安全相关实体提供无差别的、有用的网络安全信息。
与可信赖的伙伴共享信息:这些伙伴包括同类和相互依赖的组织、政府机构和企业,将他们联系一起的机构是降低风险联合中心、特定部门信息共享和分析中心、部门协调委员会、安全和网络行动中心、计算机事件反应小组。
建立统一的标准:按照预定程序搜集和存取信息,根据相关协议或谅解备忘录、部门间协议等建立可信的信息共享环境;签署协议和建立国家层级的机制,如保护关键基础设施信息项目的信息标识,以保护私营机构与联邦政府所共享的信息。
2.有效分发信息:利用多种平台及时发布特定的、行动性信息。
国土安全相关实体应具备的核心能力包括:
及时交换网络预警信息:美国政府与各利益攸关方通过以下平台交换网络预警信息,如美国计算机应急小组预警系统、国防部网络态势预警系统、联邦调查局初级防护项目、美国特勤局电子犯罪特别小组、国家标准和技术数据研究所等。
建立强大的信息分发平台:该平台无论在平时,还是在发生重大网络事件时,均能向各利益攸关方持续分发网络威胁的特征、标识、弱点等信息,并提供应对威胁的具体方案。
有效的沟通战略:利用社会媒体进行沟通时,应努力确保时效性与沟通频率,保持沟通顺畅并能控制相关风险。
可方便使用数据信息的措施:在必要时或向更多公众提供信息时,该措施能保护信息来源、传播途径和平台安全。
经济激励等措施:通过赠予、补贴、税收优惠以及提供可靠的保护措施等手段以促进合作。
3.为网络从业人员提供专门的网络安全培训和认证:培训网络从业人员以提高其竞争力。
国土安全相关实体应具备的核心能力包括:
改进培训方法:使网络技术人员能够设计、建立安全且具有恢复能力的信息技术系统。
做网络安全专业知识的提供者:这种知识能够通过课堂或其他类似环境下的学习,以及在公共与私营部门之间进行人员轮岗的方式来实现。
发展并运用网络安全相关职业与领域的“成熟能力模式”:这些职业与领域包括信息技术管理、电子工程、计算机工程和通信业。“成熟能力模式”一词是用来描述在初、中、高三种等级从事特定任务所必需的技术能力。
(四)增强网络抗压能力
1.提高网络的纠错能力:增强系统在网络安全环境恶化的情况下完成核心任务的能力。
国土安全相关实体应具备的核心能力包括:
全面理解关键基础设施存在的弱点和可能导致系统崩溃的潜在漏洞。
设立结构性指导原则和恢复能力标准,例如,减少多路通信过程中可能出现的单点阻塞、在正常状态下快速存储、出现错误时立即实行隔离并遏制扩散、建立恢复模式以最大限度减少损失。
与现有恢复能力标准和指导原则保持一致,包括符合美国国家标准与技术研究所出版的《信息技术系统的应急计划指导》、国际标准化与国际电子技术委员会颁布的《信息技术安全技能:信息与通信技术长期规划指针》的相关要求。
根据“网络与信息技术研究发展项目”,掌握在软件和网络方面自主创新的方法。
持续评估确保恢复能力的战略与项目的效果。
四、如何建设网络生态系统
如上文所说的“智能电网”一样,关键信息基础设施属于网络生态系统一部分。国土安全相关实体将在维护网络生态系统安全性方面取得阶段性进展。这需要我们增强个人与组织安全使用网络的能力;开发和使用值得信赖的协议、产品、服务、配置及架构;建设合作型网络社区以及确保进程透明。为加强网络生态系统建设,本报告提出以下四项目标以及11项具体目标。
(一)增强个人和组织安全使用网络的能力
1.增加公共与私营部门的网络从业人员:维持一支强大的网络安全专业队伍,其工作是开发和应用网络安全技术,以确保消除当前及未来的威胁。
国土安全相关实体应具备的核心能力包括:
发展一套严格的网络安全与软件学习课程,以保证能持续学习特殊领域的专业知识。相关科目应涉及科学、技术、工程及数学。美国国家网络安全教育机构将推出正式网络安全教育项目,通过设立从幼儿园开始的12级技能培训、更高等级的教育与职业项目等方式,提高相关人员的技术水平。此外,四年制及有资格授予研究生学位的大学应成为美国信息技术教育方面的学术研究中心。
通过提供奖学金、补贴及税务优惠等措施鼓励学生学习特定领域的专业知识。“联邦网络服务:公共事业项目奖学金”将向那些进入特定机构进行深入学习的学生提供奖学金,以资助其在书本、学费及住宿等方面的开支。
拴心留人。保留人才可通过以下方式进行:积极招募、快速录用、破格提拔、在职培训以及开展雇员满意程度调查。
具备必要技能。包括视情颁发网络安全专业合格证书。
2.为分布式安全建立基础:向个人提供与其地位相符的资源,如工具、建议、教育、培训等,使其能依据当前网络安全特性及协议、产品与服务情况维护各自网络安全。
国土安全相关实体应具备的核心能力包括:
在国家、社区及机构三个层面开展网络安全活动,为特定人群提供建议、资源、工具,帮助其理解网络安全威胁,并在加强网络生态系统建设方面发挥各自作用。这些活动在联邦、州、市、县、印第安人保留地及海外领土等各个层级展开,包括国土安全部的“停一停、想一想、再上网”活动,“国家网络安全意识月”等。
为个人采取网络安全措施提供最佳行动指导。
建立一套机制,提醒用户其使用的工具和系统存在漏洞或已被感染,并使用户能据此采取行动。
(二)开发并使用可信的网络协议、产品、服务、配置与架构
1.降低脆弱性:开发并应用专门用于减少漏洞的信息与通信技术,该技术能通过维持或强化系统安全态势,及时感知、应对及输送系统内部及周边系统安全态势所出现的变化。
国土安全相关实体应具备的核心能力包括:
在那些有权设立国际标准的组织和论坛上保持领导地位;
推广使用安全的软硬件产品;
树立贯穿于系统开发整个周期的安全意识;
建立安全产品的评估与认证制度;
增强开发技术、拟定标准的研究能力;
改革商业市场,缩短新技术应用周期,以应对不断出现的网络威胁;
整合供应链,提高值得信赖的产品与服务的应用效率。
2.提高可用性:开发值得信赖的技术,使之易于使用、易于管理,并能快速定制,发挥预期的效能。
国土安全相关部门应具备的核心能力包括:
提出需求和指导纲领,以阐明在部件组装、体系构造、运行管理、人机界面和可用性网络性能方面的主要特点。人机界面的标准由美国国家标准协会发布,而可用性网络标准是由欧盟发起制订的。
研究并确定有关用户社区内那些可被迅速采纳和标准化的安全技术,并使之融入研发进程。
(三)建设合作型网络社区
国土安全部白皮书《强化网络空间的分布式安全》提出了认证、兼容和自动控制等三种能力。
1.网络身份认证:采取基于风险的原则进行认证,提高参与网上信息交换的个人和机构的网络身份信任等级。
国土安全相关实体应具备的核心能力包括:
基于风险和敏感活动的认证和授权。上述敏感活动通过证明需求、属性/授权需求、远程进入准则和界定信任模型。
采取加密登录、数字证书和其他多种认证方法,以降低敏感信息交换的风险。
加强网络管理包括改进体系设计、基于用户的设计、基于政策的邮件路由和储备、确保内部关联和避免相互干扰、提高系统兼容性以及管理方法。
2.提高各技术设备之间的技术和政策兼容水平:在设备对设备层级,加强合作,促进创新,增强网络安全信息共享能力。
国土安全相关实体应具备的核心能力包括:
具备网络突发事件的预警能力。该工作借助有关重要信息要素的标准化参考文件展开,内容包括确认软件脆弱性、薄弱环节、网络攻击范式、恶意软件分类以及传输的安全内容,而后者是依据所需时自动分享原则而设置的。其信息来源包括“国家脆弱目标信息库”、“普通脆弱性和暴露性目标(信息库)”、以及属于“国家检验清单项目”的“信息确保清单”。
建立统一的界面标准,以使诸如公共关键密码系统标准、无线电频率识别器空中界面标准和数据格式标准能够实现技术兼容,实现辨别指纹、面部和其他生物特征信息。
3.自动化安全步骤:以接近实时反应的方式,通过自动化机制,预测和防止攻击事件,缩小事件在联网各设备之间的传播,将事件危害降至最低水平。
采取数字化政策,使所有者和用户能够采取可靠的安全行动,按照有关政策,将遭受病毒感染的设备脱离网络连接。经批准后,改变未受病毒感染设备的配置,使其更加强健,以应对网络入侵,并防止恶意软件攻击和未经授权的网络信息外流。
确立合作框架和程度,建立一致的网络安全目标、共同行动原则,从而提高反应速度,优化决策程序,以便于采取新的安全措施。
(四)建立透明的安全流程
1.公布网络空间的突发事件及原因:像卫生官员向公众通报健康和疾病信息一样,向公众提供详实的网络空间安全威胁信息,核实当前和未来网络地址(如.gov,.com和.edu)中攻击事件发生的位置,了解其原因、范围和影响。
国土安全相关实体应具备的核心能力包括:
设立信息共享机制,以使匿名化传输的事件数据能被当前事件监管部门兼容使用。
向国土安全相关实体和国际伙伴分发有关网络安全能力、态势、危险和事件爆发的信息,以使有关各方能自动采取预防措施。
与国防和情报界合作侦测网络威胁。
2.基于效果采取安全举措:同有关各方分享有关网络协议、产品、服务、配置、设计、供应链和组织流程的安全绩效信息。
国土安全相关实体应具备的核心能力包括:
向国土安全相关实体和国际伙伴分发有关网络协议、产品、服务、配置、设计、供应链和组织流程的安全绩效信息,以遏制网络危险的传播和影响。
建立一种机制,使投入优先向基于效果和能力的项目倾斜。这种效果和能力应被证明能将风险减至可接受的水平。
3.关注投资回报:评估网络安全投资对组织机构的影响,集中于运行成本、基本建设预算、业务灵活性、以及因数据侵权或未能履行服务协议而支付的赔偿支出。
国土安全相关实体应具备的核心能力包括:
通过使用量化网络安全投入和迅速确立投入产出比的方法,加快采取和执行网络安全措施的速度。
维护并共享数据,以便论证网络安全的投入产出效率。
4.激励履行职责:建立、维护并提高有关网络安全的目标和措施体系。
国土安全相关实体应具备的核心能力包括:
设定希望达成的目标和成果并积极采取行动,以使国土安全相关实体能明确其任务要求。
提出支持国土安全相关各方目标的需求、指导原则、政策方针、步骤流程和自愿性的行动守则。
建立相关程序和机制,评估检验其获得的进展。
分析网络安全措施、项目和计划的功效和影响,如发现不足,应努力重新设定目标,并不断取得进步。
结语
网络空间支撑着美国生活的方方面面,并为美国经济、民用基础设施、公共安全及国家安全提供了重要的支持。保护网络空间需要远见、强有力的领导及国土安全相关实体所有成员的共同努力。这种努力预见和增强了团队协作、相互负责、认可与支持的文化。
这一战略明确阐述了如何实现国家安全战略构想及《四年国土安全评估报告》目标的方式,即建立可靠、安全和具有恢复能力的网络环境,推广网络安全知识和创新。“保护关键信息基础设施”和“加强网络生态系统”两大任务重点将促进国土安全相关实体的能力、行动及资源的优化组合。在国土安全部,这一进程将有助于制定为期五年的“未来国土安全项目”。
国土安全部将与国土安全相关实体中的利益攸关方合作,共同制定一份能够合理安排行动、设定关键转折点和跟踪进程的实施计划,用以建设该战略所需的各种能力。此外,国土安全部将带领国土安全相关实体制定相关标准,用以衡量关键安全能力的有效性。国土安全部还将在国土安全相关实体内部设立相关基线,从而能将每年的成绩与上一年进行比较。这一行动将重点突出取得的成绩、存在的问题及额外需要的资源。为满足遂行网络安全任务的需要,国土安全部将继续根据相关法律和原则保护隐私及公民权利。
保护网络空间是一项要求所有人都积极参与的复杂事业。通过利用这一报告提供的框架,我们将为实现我们的目标而努力进取。通过上述努力,国土安全相关实体能使网络空间成为推动美国生活方式繁荣永续的安全之所。(武益祖译)
第二篇:美国国土安全部网站常见问题及回答:EVUS登记常识
美国国土安全部网站常见问题及回答:EVUS登记常识
签证更新电子系统是指持有十年有效B1/B2, B1或B2(访问者)签证的中国公民所使用的个人基本信息在线定期更新系统,以协助其赴美旅行。除了有效签证以外,上述旅客必须完成EVUS 登记,以便获得许可进入美国。EVUS登记将在哪一天开始强制施行?
自2016年11月29日起,所有持中华人民共和国护照,同时持有最长有效期(十年)B1/B2、B1和B2签证的个人必须持有有效的EVUS登记才能赴美旅行。被要求进行EVUS登记的旅客如果没有有效的登记,将不能获得登机牌或者经由陆地入境口入境。EVUS登记的费用是多少?
在网站开放接受及早登记时,美国海关和边境保护局不会收取EVUS登记费用。美国海关和边境保护局预期EVUS登记收费最终会实施,但目前尚未落实执行时间。在收费实施前,旅客可以免费完成EVUS登记。在EVUS登记需要准备什么?
旅客需要准备好其含有最长有效期(10年期)的B1/B2、B1或B2签证的中华人民共和国护照,并且能够连接互联网。EVUS表格上有些什么问题 ?
每次在EVUS上登记都要求旅客提供自己的姓名、出生日期、紧急联系人、护照信息、个人和就业信息,旅客还需要回答旅游资格相关的问题。朋友、亲属、专业的旅游从业人员或其他第三方也可以代替旅客提交EVUS的登记。旅客本人应对代表他/她所提交的信息的真实性和准确性负责。
如果到达了机场才发现自己忘记在EVUS上登记,该怎么办?会错过航班吗?
旅客可以在任何时候在EVUS上提交登记,包括在机场的时候。提交登记后,旅客一般会在数分钟内收到系统的回复,但个别情况可能最长需要72个小时。如果您在到达机场或入境口岸之前忘记了登记,这可能会延迟您的出行计划。别推迟了,今天就登记吧!进入美国是否需要登记 EVUS? 是的。自 2016 年 11 月起即需要登记。美国政府和中国政府就签发十年期旅游签证做出了双边互惠安排。该协议规定旅客须定期完成在线表格填写以更新个人信息。此表格的填写将有助于加快中国旅客入境美国。其他国家是否有这项要求? 这是一项新的规定。美国政府预期在未来可能将此要求适用于其他国家。
这是否对目前的签证持有人、新申请人或两者都有影响? 两者都会受到本项新规定的影响。持有 2016 年 11 月之前签发的 十年有效期 B1/B2、B1 或 B2 签证的申请者,必须在该规定生效后登陆 EVUS登记,方可使用签证。自2016 年 11 月起获得 十年有效期 B1/B2、B1 或 B2 签证的申请者,必须在首次前往美国旅行前登记。所有申请者的登记维持两年有效,若旅客的签证或护照两者中有任何一者过期,EVUS登记的信息便失效。那么签证持有人必须在前往美国前再次登陆EVUS更新个人信息。
我在几个月前刚刚收到十年有效期的 B1/B2 签证。我是否需要在 EVUS 登记后申请新签证? 不需要,您的签证仍然有效。但是,如果您在 2016 年 11 月以后前往美国,必须先在 EVUS 登记。EVUS 登记和申请签证是不同的程序。
什么是 B1, B2,或 B1/B2 签证?如何确认我所持有签证的类型? B 类签证为前往美国的普通商务和旅行签证。您的签证类别显示在签证右上角
旅客在哪里可以找到关于 EVUS 的更多信息? 最新信息可查见 www.cbp.gov/EVUS。请查看此网站来获取最新信息。
填写 EVUS 表格哪些人需要遵守 EVUS 要求? 从2016年11月开始,所有持中华人民共和国护照并同时持有十年有效期 B1/B2、B1 或 B2 签证的中华人民共和国公民前往美国时必须遵守EVUS 的要求。用平板电脑或手机可以完成EVUS登记吗? 可以。EVUS平台可以通过移动设备操作。如何支付EVUS费用? 没有信用卡怎么办?
在网站开放接受及早登记时,美国海关和边境保护局不会收取EVUS登记费用。美国海关和边境保护局预期EVUS登记收费最终会实施,但目前尚未落实执行时间。在收费实施前,旅客可以免费完成EVUS登记程序。
其他人可以帮助我在EVUS上登记吗?比如旅行社? 可以。朋友、亲属、专业的旅游业从业人员或其他第三方都可以代替旅客在EVUS上进行登记。旅客本人应对代表他/她所提交的信息的真实性和准确性负责。
在进行EVUS登记过程中需要帮助,应该怎么做? 朋友、亲属、专业的旅游业从业人员或其他第三方都可以代替旅客在EVUS上进行登记。更多信息,请参见美国海关与边境保护局的EVUS信息网站 www.cbp.gov/evus。如申请人对申请表的填写有疑问,或在EVUS网站遇到问题,可拨打 00-1-202-325-0180 联系EVUS客服中心。除了美国联邦假日外,客服中心提供7天24小时服务,并配备普通话专员。您也可以通过发送邮件至evus@cbp.dhs.gov 联系客服中心。客服中心可以回答旅客关于EVUS的问题,但所有EVUS的登记必须由旅客本人或第三方在线提交。美国使领馆无法提供关于EVUS登记的详细信息或为申请人解决登记失败的问题。
EVUS登记提交后多久可以获得批准?
大多数EVUS登记提交后会在数分钟内处理完毕,但是,最长会达到72个小时。美国海关和边境保护局建议您在出行前尽早完成EVUS登记。
如果收到EVUS登记失败的信息,应该怎么做?
登记失败有可能是因为行政疏失,如没有在EVUS表格上提供完整的信息。如需协助,请参考美国海关和边境保护局(CBP)信息网站www.cbp.gov/evus,或拨打
00-1-202-325-0180 联系EVUS客服中心。除了美国联邦假日外,客服中心提供7天24小时服务,并配备普通话专员。您也可以通过发送邮件至evus@cbp.dhs.gov 联系客服中心。客服中心可以回答旅客关于EVUS的问题,但所有EVUS的登记必须由旅客本人或第三方在线提交。美国使领馆无法提供关于EVUS登记的详细信息或为申请人解决登记失败的问题。
如果我收到EVUS登记失败的信息,我需要重新在EVUS登记吗?
登记失败有可能是系统错误或因为申请人的输入错误,如没有提供完整或准确的信息。收到登记失败信息的旅客在重新登记前,应拨打 00-1-202-325-0180或发送邮件至evus@cbp.dhs.gov联系 EVUS 客服中心。除了美国联邦假日外,客服中心提供7天24小时服务。客服中心配备普通话专员,可以回答旅客关于EVUS的问题。所有EVUS的登记必须由旅客本人或第三方在线提交。美国使领馆无法提供关于EVUS登记的详细信息或为申请人解决登记失败的问题。
我能否加急EVUS登记?是否能在美国大使馆或领事馆预约加急?
加急登记是不可能的。美国使领馆无法加快EVUS登记进程、提供关于EVUS登记的细节,或解决登记失败的问题 美国是否预计将有大量持10年期B1/B2签证的中国旅客在EVUS的登记会被拒绝?
不是。我们预计大多数EVUS登记会在数分钟内得到处理和批准。EVUS的启用是为了定期(每两年,或者在旅客获得了新的护照和/或新的最长有效期[10年期]的美国签证后)更新旅客的个人和入境资格信息。
如果我不知道如何用英文回答问题,该怎么办?
旅客可以阅读EVUS表格上的中文(普通话)问题。如果无法用英文回答,可寻求第三方的帮助。可由信任的朋友、亲属或旅行代理商代表旅客用英文完成表格的填写。也可由第三方复查填写完的申请或批准后的申请。旅客本人应对代表其提交的全部信息的真实性和准确性负责。如果我在EVUS登记过程中填错了怎么办?可以修改吗? 旅客对EVUS登记的任何更新,包括修正一处错误,都是一次新的登记。
航空公司如何知道我是否已在EVUS登记?如果我没有获得EVUS的批准,他们可以给我登机牌吗?
航空公司通过内部联网获得EVUS的登记信息。从2016年11月29日开始,持中华人民共和国签发的护照并同时持有最长有效期(10年期)B1/B2、B1或B2签证的旅客,如果在航空公司系统中没有有效的EVUS登记记录,航空公司不会为其提供登机牌。
联系客服中心的费用是多少?
客服中心免费提供协助服务,但您的电话运营商将可能对您拨打EVUS客服中心电话收取一定费用。EVUS客服中心的电话号码设在美国华盛顿D.C.。EVUS客服中心也可以通过电子邮件evus@cbp.dhs.gov 提供帮助。
这项规定会对台湾、香港和澳门的旅客有所影响吗? 任何从这些地区出发的持中华人民共和国护照并同时持有十 年有效期 B1/B2、B1 或 B2 签证的旅客,都必须在 EVUS 登记。使用其他旅行文件(包括香港特别行政区、澳门特别行政区和台湾护照)的旅客,可继续按照目前的方式前往美国旅行。
这项规定对居住在加拿大多年且符合加拿大落地移民 10 年期签证的中国公民将产生何种影响? 任何持中华人民共和国护照并同时持有十 年有效期 B1/B2、B1 或 B2 签证的旅客无论其当前居住地为何处,都必须在 EVUS登记个人信息。
旅客需要哪些信息以遵守 EVUS 的规定? 每次 EVUS 登记都必须包含签证持有者的姓名、出生日期和护照及其他个人资料和工作信息。
EVUS 网站是否有翻译版本? 有。网站有英文版和中文版。但是,所有 十年有效期 B1/B2、B1 或 B2 签证的持有者必须以英文填写 EVUS 的问题。旅客需要多久更新一次 EVUS 的信息? 每次信息更新视为一次EVUS登记。一次登记一般保持两年有效,若旅客的签证或护照两者中有任何一者过期,EVUS登记的信息便失效。持有 十年有效期 B1/B2、B1 或 B2 签证的中国公民在前往美国旅行(如果两年期登记已过期)或获取新护照时,需要更新信息。该网站是否安全或保护隐私? 是的。该网站由美国政府运作,并使用相关技术防止在未经许可情况下的信息查阅。旅客通过 EVUS 登记的所有信息都会受到美国法律的严格管控,就如同美国法律对其他类似审查系统的管理一样。
EVUS登记需要提供一张新照片吗?照片是否须不同于签证申请时提交的照片?
不用。EVUS不会要求旅客提交照片或指纹。该更新会要求旅客回答一系列关于他/她自己以及他/她的工作、背景、过去旅游行程/目的地等问题。
EVUS登记的问题和DS-160签证申请的问题一样吗? 尽管有一些区别、问题的用词也可能跟签证申请稍许不同,大多数EVUS要求提供的信息已包含在DS-160签证申请书中。
第三方机构是否能够代替旅客查询EVUS登记的状态? 是的。第三方可以代表个人旅客和团组旅客查询EVUS登记的状态。第三方也将能够核实已完成的申请资料、更新未缴费或者已经获批的申请、为申请人提交费用和查看缴费的收据。旅客本人应对代表他/她所提交的所有信息的真实性和准确性负责。
若旅客不遵守 EVUS 的规定会如何? 持有中华人民共和国护照并同时持有十 年有效期 B1/B2、B1 或 B2 签证的旅客如不遵守 EVUS 规定,其旅行计划可能会被延迟。
提交EVUS登记需要特别的软件吗?
电脑最低配置包括:支持128位加密的互联网浏览器。支持所有主要的浏览器。请确认浏览器已升级到最新的版本,且开启浏览器缓存(cookies)和JavaScript功能。我在提交EVUS登记的过程中遇到技术问题
提交过程中遇到问题有很多原因,请确保您的电脑达到最低配置要求。
用以登记EVUS的电脑最低配置为支持128位加密,且互联网浏览器开启了cookies和JavaScript功能。
如果您的电脑已达到最低配置要求,但还是遇到技术问题,这有可能是网页浏览器或防火墙的问题。请检查您的互联网安全设置,如果设置级别过高,有可能屏蔽了EVUS网站。如果无法访问,请使用另一个浏览器/电脑进行登记。最后,由于对垃圾邮件干扰的担忧,一些互联网服务供应商会受到限制,您需要联系当地网络供应商寻求帮助。
如果系统不允许您进入下一页,可能是因为系统发现需要填写的项目中出现错误(例如,无效的字符输入,漏填等)。在这些错误被修正之前,您是无法继续登记流程的。如果必填项目(标有红色*号处)中没有恰当填写,系统会不断返回到当前的页面。
如果您的电脑死机,无法继续运行,很可能是浏览器或电脑容量出问题,您可能将需要使用另一台电脑。
如果还是存在技术问题,请点击页面底部EVUS客服中心的链接,提交要求帮助的申请。您需要提供一个电子邮箱地址以便我们回复,如果您没有,请让有电子邮箱的人帮助您。请把遇到的问题(用英文)确切描述,并告知我们您使用什么互联网浏览器以及其版本。
旅行规划美国海关和边境保护局是否已经就EVUS登记的要求提醒了旅客?
是的。在2016年7月,美国海关和边境保护局向所有10年期B1/B2、B1和B2签证持有者,根据其DS-160签证申请表上填写的邮箱地址,发送了电子邮件。除此之外,在很多(但并非全部)必须遵守EVUS要求的签证持有者的签证上都会有一个注释。即使您的签证上没有该注释,如果您持有中华人民共和国护照,并且护照上有10年期的B1、B2或B1/B2签证,那么自11月29日起,您仍必须持有EVUS有效登记之后才能赴美旅行。
EVUS登记是否存在基于年龄大小的免登记规定? 没有。所有的旅客,无论年龄大小,只要持有中华人民共和国护照和10年期的B1/B2、B1或B2签证,就必须有有效的EVUS登记才能赴美旅行 当前签证是否仍然有效? 有效。当前的 B1/B2、B1 或 B2 签证对前往美国的旅行仍然有效。在 2016 年 11 月以前,旅客无需填写网上的 EVUS 表格。EVUS 登记和申请签证是不同的程序。我有一个问题可是在这里找不到答案,我可以联络谁呢? 如果您需要帮助,请打EVUS客服中心:00-1-202-325-0180。这个客服中心除了美国国定假日休息外,其余时间年中无休,每天24小时有专员回答您有关EVUS登记的问题。我们的客服中心备有说中文的专员服务您。您也可以用伊眉儿联络我们:EVUS@CBP.DHS.GOV 虽然此客服中心可以回答旅客有关EVUS的问题,但是所有EVUS的登记还是必须由旅客自己在EVUS网站上办理或由第三者代为登记。EVUS问答补充如果我于2016年10月获得了签证,我必须于11月之后在EVUS上登记吗?
是的。自2016年11月起,美国移民法规要求所有持中华人民共和国护照并同时持有10年有效期B1/B2、B1或B2签证的旅客赴美前必须在EVUS上进行有效登记。此登记与您签证的签发时间无关。一旦系统启用,您就可以在出发之前的任意时间进行登记。
我可以在即将赴美前更新个人信息吗?如果两年内没有计划去美国,我也需要更新信息吗?
一旦系统启用,2016年11月之后赴美的旅客必须在出行前,包括抵达机场前,完成有效EVUS登记。旅客不应该等到最后一刻才登记。每次登记自获得批准时起,有效期为两年或者截止到旅客获得新护照时,两者以先到期者为准。这就意味着在两年内,旅客不用再次登记就能多次赴美。自2016年11月起,我们鼓励旅客在前往机场之前登录EVUS官网查询申请或登记的状态。
我持有一个有效期为1年的美国签证,我需要在EVUS上登记并付费吗?EVUS仅适用于持有10年有效期美国签证的旅客吗?
EVUS仅适用于持有中华人民共和国护照并同时持有10年有效期B1/B2、B1或B2签证的旅客。如果您持有中华人民共和国护照,但所持有的签证有效期是1年,您无需在EVUS上登记。
在EVUS上登记之后,我有可能被拒绝入境美国吗? 所有访美旅客,无论他们是否持有签证,是否在EVUS上登记,或获得其它旅行授权,在抵达入境口岸时都必须由美国海关和边境保护局的官员审核是否获准进入美国。无论是持有签证还是已经在EVUS上完成登记,都无法保证您一定能入境美国。这些规定并没有改变。
如果我的公务护照和因私护照中都有10年有效期B1/B2、B1或B2签证,我需要在EVUS上登记两次吗? 是的。每一次EVUS登记对应一个单独的签证-。这意味着您必须在EVUS上分别为每一本中华人民共和国护照上的每一个10年有效期签证进行登记。EVUS和10年有效期签证有什么关系?
2014年11月,美国政府和中国就签发10年有效期旅游和商务签证(B1/B2, B1或B2签证)达成了双边互惠协议。该协议规定旅客须定期完成在线表格填写以更新用于申请签证的个人信息。EVUS的启用是为了让旅客在赴美前向移民官员提交最新的个人信息包括名字、护照号码、地址和就业信息。
我的护照已过期。我需要在拿到新护照时立即进行EVUS登记,还是可以等到下次出行前再做EVUS登记?
如果您已更换护照,您需要在下次赴美前完成EVUS登记。我们建议您至少在赴美的前一周完成EVUS登记。如果我的个人信息没有变化,我还需要在EVUS系统中登记吗?
是的。为保证拥有最新的EVUS登记,您需要按照EVUS系统的指示进行登记,并检查之前提供的个人信息,以确保所填内容准确无误。如果您所提供的信息仍然是准确的,那么您此次EVUS登记的有效期为两年。在此期间,如果护照过期,EVUS登记也将随之失效。如果更改了我的个人信息,是否意味着我的EVUS申请会自动被拒?
不是。我们希望您能提供最新的个人信息,以便入境美国。如果11月29日我在美国,还需要进行EVUS登记吗? 自2016年11月29日起,所有持中华人民共和国护照和10年期B1/B2、B1或B2 签证的旅客通过航空、陆地、港口口岸入境美国,必须有EVUS登记。如果11月29日您已经在美国,离开美国是不用进行EVUS登记的。但是,您必须在下一次赴美前进行登记。
填写EVUS表格的时候我需要提供美国联系人的信息,但是我没有打算近期前往美国,而且/或者我在美国没有联系人,应该怎么办呢?
如果在美国没有联系人,您可以回答“不知道”。如果您有旅行计划但是没有直接的在美联系人,您可以在联系人“名字”一栏填写酒店名或旅行团的在美联系人。已经获得有效登记的个人不用再次提交新的登记就可以对在美联系人、现就职单位信息或地址进行更新。但是,获得了新护照、新签证或重新申请EVUS的旅客需要完成一个新的登记。如果我即将去关岛旅行,需要进行EVUS登记吗? 持有中华人民共和国护照的旅客需要有效的美国签证进入关岛。持中华人民共和国护照和最长有效期(10年)B1/B2、B1或B2签证的旅客必须进行EVUS登记才能前往关岛或其它美国目的地。
我有一个新的护照,需要在EVUS中登记,但是我有效的美国签证在过期的护照里面。我可以进行EVUS登记吗?需要获得一个新的签证吗?
如果旅客有效的签证在过期的护照中,进行EVUS登记时可以填写有效的签证信息和新护照的信息。填写新的护照信息不需要获得一个新的签证。
点击“提交”之后,我收到了“登记失败”的回复,我是否应该立即尝试重新登记?
不。如果您收到了“登记失败”的回复,请不要在24 小时内尝试重新登记。请参见CBP.gov/evus上面的信息或者拨打电话 001 202 325 0180或发送邮件至evus@cbp.dhs.gov联系EVUS的客服中心。
我成功地进行了EVUS登记,但有效期并不是两年,是出现了错误吗?
不是。美国要求入境时旅客的护照至少还有6个月的有效期。这样一来,EVUS登记会在旅客护照过期前6个月失效,因为那时旅客已经不能使用其护照赴美了。
系统显示我已经登过记了,我会收到邮件或短信确认吗? 不会。完成EVUS登记的旅客将不会收到邮件或短信确认。旅客可以在www.evus.gov 主页上点击“查询已存在的登记”进行确认。旅行时您也不需要出示打印出来的EVUS登记确认页。您的登记会通过电子方式得到确认。
商家推广总结
第三篇:美国网络安全政策审议报告
网络安全保护不力成为奥巴马政府面临的最紧迫的国家安全问题之一。因此,报告通过对与信息和通信基础设施有关的所有任务和活动进行评估,就未来如何实现拥有可靠、有韧性和值得信赖的数字基础设施进行说明。报告主要以五个主题介绍调查结果和行动方案:一是最高层实施领导,二是打造数字化国家的能力,三是共同承担网络安全责任,四是建立有效信息共享和事件反应框架,五是构筑未来架构。此外,报告还就行动计划提出近期和中期建议。报告指出,保护网络空间需要有先见之明的领导,需要在政策、技术、教育乃至法律等方面进行变革。此外,政府最高领导层、产业界和民间社会要共同致力于网络安全,使美在加强国家安全和促进全球经济的同时,继续在创新和尖端技术运用方面保持领先地位。
【本刊讯】美国白宫网站5月29日发表一份报告,题为《网络空间政策评估》,副题为《确保拥有可靠的和有韧性的信息与通信基础设施》,全文如下:
前 言
网络空间几乎涉及到每个人和每件事。网络空间提供了一个创新与繁荣的平台,提供了全世界改善整体福利的方法与途径。但是由于很多人都可以轻而易举地触及到管控松散的数字基础设施,各种巨大的风险正在对国家、私营企业和个人权利构成威胁。美国政府有责任解决这些网络空间的战略缺陷及弱点,确保美国及其公民与世界更多的国家共同充分发挥潜力,实现信息技术革命。
主要以国际互联网为基础的国家数字基础设施架构并不具有安全性,或者说韧性比较差。如果这些系统在安全上没有取得重大进展,或在如何构建和运营上没有实现重大改观,很难让人相信美国能够保护自己免受网络犯罪日益严重的威胁,免遭由国家支持的入侵和军事行动的日益严重威胁。我们的数字基础设施早已经遭受到入侵,犯罪分子已经窃取了亿万美元,一些国家和机构团体盗取了知识产权和敏感的军事情报。还有的入侵可能会损坏我们部分关键基础设施。美国的经济和安全利益都是以信息系统为基础,这些形形色色的风险有可能会动摇国家对信息系统的信赖。联邦政府还没有组织起来有效地解决这个目前或在未来日益严重的问题。联邦政府很多部门和机构都担负有网络安全的责任,但存在职权重叠的问题,没有一个部门拥有足够的决策权来指挥行动,协调一致地去处理相互矛盾的问题。政府需要综合考虑各方竞争的利益,制定出一个全面设想和计划,以解决美国面临的网络安全问题。国家需要制定出必要的政策和程序,培养相关人才和发展相关技术,以降低网络安全所面临的风险。
无论是在美国国内还是在国际上,信息和通信网络基本上是归私营部门所有并经营的。因此,解决网络安全问题需要建立起政府和私营部门两者之间的伙伴关系,要进行国际合作并制订国际准则。美国需要拥有一个全面的架构,以确保政府、私营部门和我们的盟国在发生重大网络事件或威胁时,协调一致地做出反应和进行防御。
美国需要开展一次全国性的网络安全讨论,从而使更多的民众认识到网络威胁与网络风险,以确保拥有一套完整的办法来满足国家对网络安全的需要,并履行国家做出的承诺,维护受宪法和法律保护的公民个人隐私权和自由权。
确保信息和通信基础设施安全并具有较强的韧性,仅仅依靠研究新的办法是远远不够的。政府需要加大研究经费投入,这将有助于解决网络安全上存在的弱点,同时也能满足我们经济和国家安全的需要。
概 述
总统指示要在60天内完成一份全面、全新的评估报告,对美国网络安全政策和组织结构进行评估。网络安全政策包括网络空间安全和网络空间运行的战略、方针及标准,涵盖了所有的降低威胁、减少弱点、威慑、国际参与、应急反应、确保韧性及恢复能力的政策与行动,并包括计算机网络运行、信息安全保障、执法、外交、军事和情报工作等。这些要素与全球信息与通信基础设施的安全与稳定息息相关。评估报告研究的内容并不包括与国家安全或基础设施安全无关的其它信息与通信政策。由政府网络安全专家组成的评估小组负责汇总产业界、学术界、公民自由与隐私维权团体、州政府、国际合作伙伴,以及国家立法和行政部门提出的具有广泛代表性的意见和建议。本文对评估小组的结论进行了综述,并概括地说明了在未来如何开始实现拥有可靠、有韧性和值得信赖的数字基础设施。
美国正处在十字路口。全球互联的数字信息与通信基础设施被称为“网络空间”。现代社会的方方面面几乎都离不开网络空间。网络空间对美国经济、民用基础设施、公共安全和国家安全提供了重要的支撑。这项技术已经使全球经济发生了改变,使人们以难以想象的方式联系在一起。然而,网络安全的风险也构成了二十一世纪最严峻的经济挑战和国家安全挑战。数字基础设施架构的构筑更多的是基于互通性和效率上的考虑,而不是从安全的角度进行考量的。因此,越来越多的国家和非国家行为体开始破坏、盗窃、篡改或毁坏信息,这会给美国的系统造成重大破坏。与此同时,传统的电信和互联网日益融为一体,而在其它基础设施领域,互联网正日益成为互联互通的主要手段。美国正面临着双重挑战,既要维护促进高效、创新、经济繁荣和自由贸易的良好环境,又要确保安全、保密,维护公民自由和隐私权。解决网络空间存在的战略漏洞,并确保美国和世界充分发挥潜能实现信息技术革命,这是我们政府的一个基本责任。
再也不能容忍目前的状况。美国必须向世界表明,美国将凭借强有力的领导和对远景的规划,严肃认真地迎接这一挑战。顶层领导应该得到加强,白宫应成为网络安全领导核心,提供指导,协调行动,并取得成效。此外,要落实联邦政府网络安全的领导责任制。这种方法要求明确联邦政府各部门和机构的网络安全任务和职责,同时提供相关政策、法律程序和必要的协调,使各部门能够各司其职。在过去的两年中,我们已经开始实施重大的计划,并通过对各机构的不同任务进行“衔接”而取得了长足的进步,但这样做并没有提供一个完备的解决办法。此外,这一问题超越了各个政府部门和机构的管辖范围。尽管每个部门和机构在网络安全方面都发挥着不可替代的作用,但任何一个部门都不具备足够广阔的视野或足够的权威,来彻底解决这个问题。
立即启动全国网络安全大讨论。美国政府应该与业界共同向民众解释清楚这个挑战的性质,并详细说明国家将通过何种方式来解决面临的问题。从某种程度上讲,也就是让美国公民充分认识采取行动的必要性。人们若不先了解网络问题的危急程度就不可能重视网络安全。因此,联邦政府应借鉴以往成功的宣传经验,发起一个全国性的网络空间安全公众意识教育运动。此外,与1957年10月苏联发射第一颗人造地球卫星后的一段时间类似,我们正面临一场全球数学和科学技能竞赛。我们继续拥有世界上最好的信息技术产业环境,但同时国家应培养参加全球竞争并保持领导地位所必需的劳动大军。
孤军奋战不可能保证网络空间安全。美国政府应加强与私营部门的合作。政府部门与私营部门的利益是交织在一起的,它们的共同责任就是确保拥有安全、可靠的基础设施。联邦政府在很多方面是可以与私营部门合作的。政府应该探究和开发那些可供选择的办法。政府与私营部门网络安全的合作伙伴关系必须得以发展,并清晰地界定这种关系的性质,包括明确各自的分工和职责。联邦政府应审查现有的政府与私营企业的合作伙伴关系,确定优先任务,采取具体行动,以发挥最大的效能。
美国还需要制定一个网络安全战略,以塑造国际环境,使志同道合的国家就领土管辖权、主权责任与动用军队的相关技术标准和公认法律规范等一系列问题达成共识。国际规范对于建立安全和繁荣的数字基础设施是至关重要的。此外,各个国家和地区不同的法律规定和做法也给创造安全、保密和值得信赖的网络环境带来严重挑战。这些法律上的差异对实现安全、可靠和有韧性的数字环境构成了挑战,并涉及到网络犯罪调查与起诉、数据保存、数据保护和数据隐私权、网络防御和应对网络攻击的反应等等一系列问题。只有通过与国际合作伙伴的共同努力,美国才有可能更好地应对这些挑战,加强网络安全,并全面享用数字时代带来的巨大利益。
在保护国家免遭网络事件或事故冲击方面,联邦政府既不能全部包办也不能回避职责。联邦政府担负有保卫国家的责任,各级政府担负着确保公民安全和福祉的责任。但是,私营部门设计、建造、拥有并经营着大部分的数字基础设施,为政府和私人使用者提供网络支持。美国需要有一个全面的框架方案,以确保在遇有重大事件发生时,联邦、州、地方和原住民保留地政府,以及私营部门和国际盟友做出协调一致的反应。执行本框架方案需要制订报告制度、针对不同情况的应急计划和灾后恢复计划,以及完成这些计划所必需的协调、信息共享和事件报告机制。
政府与重要的利益攸关方应共同努力,设计一个有效的机制以实现真正共同运作的构想,将政府和私营部门的信息整合成一体,并以此作为信息通畅、按轻重缓急顺序推进减灾工作和做出应急反应决策的基础。
与私营部门合作要求明确下一代基础设施的性能和安全目标。美国应充分利用技术优势满足国家经济和安全需要。即使面对敌人利用先进技术实施的攻击,联邦政府制定的政策也应该能够保证国家安全、知识产权保护和基础设施的不间断工作。联邦政府必须与私营部门及学术界合作,阐明协调一致的国家信息和通信基础设施的性能和安全目标。应与州、地方政府通力合作,制订有效的采购战略,推动市场制造更安全的产品并为公众提供各种有效的服务。政府还应探索另外的一些激励机制,包括调整法律责任(安全改善后责任减少,安全条件差则导致责任增加)、补偿及税收优惠、以及新的监管规定和执行机制等。
白宫必须指明前进的道路。在过去15年里,国家采取的网络安全措施没能跟上威胁的发展变化。我们需要向国内外证明,美国是在认真地对待网络安全相关的问题、政策和活动。这就要求由白宫挂帅,充分利用整个国家的力量,做到集思广益。
导 言
什么是网络空间:第54号国家安全总统令暨第23号国土安全总统令将网络空间定义为:信息技术基础设施相互依存的网络,包括互联网、电信网、电脑系统以及重要产业中的处理器和控制器。常见的用法还指信息虚拟环境以及人与人之间的互动。
全球相互联接的数字信息和通信基础设施被称之为“网络空间”。它几乎成为现代社会各领域的基础,并为美国经济、民用基础设施、公共安全和国家安全提供重要的支撑。信息技术已经改变了全球的经济,并超乎想象地把人和市场联接在一起。为充分享用数字革命带来的好处,所有用户必须树立起坚强的信心,确信敏感信息是安全的,商业活动不会受到损害和基础设施不会遭到入侵。世界各国还需要树立信心,相信支持其国家安全和经济繁荣的网络是安全的、有韧性的。拥有可靠的通信与信息基础设施将会确保美国充分发挥信息技术革命的潜力。第四十四届总统网络安全委员会在2008年12月的报告中明确指出,“美国网络安全保护不力是新一届美国政府所面临的最紧迫的国家安全问题之一”。
保护网络空间需要具有卓越的先见之明和强有力的领导,需要在政策、技术、教育乃至法律等方面进行变革。政府最高领导层、产业界和民间社会共同致力于网络安全,这会使美国在加强国家安全和促进全球经济的同时,继续在创新和尖端技术运用方面保持领先地位。
评估的理由
网络威胁对21世纪美国和我们盟友的经济和国家安全构成了最严重的挑战。
越来越多的国家和非国家行为体,如恐怖分子和国际犯罪集团,开始把攻击目标对准了美国的公民、商业、重要的基础设施和政府。他们有能力危害、窃取、篡改或完全毁坏信息。持续非法利用信息网络和破坏敏感数据等行为,特别是由国家实施的破坏行动,使美国经济竞争力和军事技术优势蒙受损失。正如国家情报总监最近在国会作证时所陈述的那样:“信息系统、互联网和其它基础设施之间越来越多地联接在一起,为攻击者破坏电信、电力、能源管道、炼油厂、金融网和其它关键基础设施创造了机会”。情报界分析认为,一些国家早已拥有了实施这种攻击的技术能力。
日趋复杂、广泛的犯罪活动,以及网络事件所造成的危害凸显出网络空间恶意行为的危害性,包括损害美国的竞争力、降低对隐私和公民自由的有效防护、破坏国家的安全或使公众失去信任感,甚至瘫痪社会。例如:
关键基础设施失灵。根据中央情报局报告,针对信息技术系统进行的恶意活动,已经使海外多个地区的供电设施遭到破坏。在其中的一起案例中,恶意行为曾导致多个城市断电。
恶意利用全球金融服务。据媒体报道,2008年11月,一家国际银行付款处理器遭到恶意侵犯,导致遍布49个城市的130多台自动取款机非正常交易达半小时之久。在媒体报道的另一起案件中,一家美国零售商在2007年遭遇了数据被破坏和个人身份识别信息丢失的恶性事件,殃及4500万张信用卡和借记卡。
美国经济遭受全面损失。业界估计,知识产权与数据失窃在2008年给美国造成了高达1万亿美元的损失。
本报告中提及的网络安全政策,包括了网络空间安全和网络运营战略、政策和标准,并涵盖了全面降低威胁、减少弱点、实施威慑、国际参与、应急反应、韧性和恢复政策及行动;还包括与全球信息与通信基础设施的安全与稳定息息相关的计算机网络运行、信息安全保障、执法、外交、军事和情报活动,但并不包括与国家安全及基础设施安全无关的其它信息与通信政策。
全新的评估
因为认识到所面临的挑战与机遇,总统将网络安全确定为本届政府的优先议题,并指示对此进行60天的全面审查,以评估美国网络安全政策与结构。评估与信息和通信基础设施有关的所有任务和活动,包括计算机网络防御、执法调查、军事与情报活动,以及与之有关的信息安全、反间谍,反恐、电信政策和综合的关键基础设施保护等方面内容。由政府网络安全专家组成的评估小组彻查了相关的总统政策令、行政命令、国家战略和政府顾问委员会及私营部门提供的研究报告。评估小组还向政府部门和机构征求了意见,让它们按要求就各自与网络安全相关的特别活动、权限和能力提供材料,并要求政府部门和机构确认那些可能没有列入评估初稿之中的新的需求或已存在的需求。于是很多的法律问题浮出水面,如集中管理问题,政府使用什么样机构来保护私有重要基础设施,互联网监控软件的安装,自动攻击检测和预警的应用,联邦政府与第三方数据共享和私人信息的保护责任等。评估小组还与联邦政府内外广大利益攸关方进行了沟通。小组力争透明,与产业界、学术界、公民自由与隐私社团、州政府、国际合作伙伴以及立法和行政部门广泛沟通,分析与评估其它相关的计划和事务。面对各方———学术界、产业界和政府———一道努力建立值得信赖和富有韧性的通信与信息基础设施的难得机会,评估小组给这些利益攸关方规定了评估的范围,并要求它们就相关领域提供材料。这种沟通工作包括40多次会议,形成了100多份带有具体建议和目标的文件。相关各方的反馈和公开说明,如国会证词等有助于确定重大需求,指明政策差距,提出改进或合作的领域,并为与网络空间安全相关的政策决策提供了参考。
评估小组发现,在整个信息和通信基础设施发展过程中,各部门和机构的任务与职权是依据当时管理多样化和分散的技术及产业的法律和政策确定的。而由此产生的各项计划主要是用于处理当时的特定问题,未必适应今天对数字化信息高度依赖的现实。
技术对国家和经济安全的影响促使联邦政府调整法律和组织机构,以适应形势发展。例如:
在1918年的一个联合决议案中,国会授权总统掌控美国所有电报系统,并根据需要在第一次世界大战期间使用电报系统。
1934年《通信法》决定由联邦无线电通信委员会组建联邦通信委员会,并为所有电报和无线电通信建立完备的规章制度,对此类技术的后继发展产生了深远的影响。
1965年《布鲁克斯法案》规定国家标准局———现在的商务部国家标准与技术研究院———负责制定自动数据处理标准和联邦计算机系统相关准则。
1984年,第12472号行政命令重新将美国国家通信系统特许经营权赋予联邦政府,作为满足国家安全和应急备用之需的联邦电信财产。2003年,美国国土安全部接管了美国国家通信系统的经营权。
1994年,美国国务院根据《对外关系授权法》,负责管理与国际通信和信息政策有关的外交政策。
要解决“谁负责”的问题,就必须解决政府部门和机构间任务和职权分配问题,特别是在电信网络和互联网相互融合,以及其它基础设施部门日益依赖互联网,以实现互联互通的背景下,情况更是如此。将已经发展了一个多世纪的任务职责统一起来,这就要求联邦政府详细阐明政策,分清政府各部门和机构在网络安全方面各自任务和责任。评估小组对20多个联邦政府部门和机构的反馈意见进行了分析,查明了网络安全相关政策存在的漏洞、重叠的任务职能和相互协作的机会。
随着威胁日益复杂,应对网络空间风险以及部门和机构间的沟通协作也因时而变。1998年5月签署的第63号总统令规定,在白宫的直接领导下设立了一个机构,指定牵头部门和机构,协调相关行动,并与私营企业相应部门合作,以“消除我们重要基础设施———特别是我们的网络系统———在防范和抵御物理和网络攻击方面存在的任何漏洞”。这项政策在2003年的《确保网络空间安全国家战略》文件中又进行了修订。
2003年底的第7号国家安全总统令进一步增强了这项工作。该命令赋予国土安全部全面协调国家重要基础设施———包括网络基础设施———的保护工作;可跨越所有部门与行政部门指定的具体机构进行合作。这两项政策的重点是防御性措施,第7号国家安全总统令并未包括保护联邦政府的信息系统。2007年,《国家网络安全综合计划》采取了不同的方略,其核心是把过去分散的网络防御任务与执法、情报、反间谍和军事能力“衔接”起来,解决各种各样来自远程网络入侵和内部违规操作所造成的网络威胁,以弥补存在的一系列不足。《国家网络安全综合计划》的策略在第54号和第23号国家安全总统令中被定为法律,主要针对行政部门的网络安全。但行政部门的网络在美国所依赖的全球信息与通信基础设施中仅仅占很小的份额。
本文总结了评估小组的调查结果,并介绍了有助于美国未来实现更可靠、有韧性、值得信赖的数字基础设施的一些初步步骤。它并未对各种选择或诸多计划的审核提供深入的分析。相反,它提出了需要加强协调和综合发展的政策。文章用5个主题详细地介绍了调查结果和行动方案:一是顶层领导,二是建设数字化国家的能力,三是共同负责网络安全,四是加强信息共享和应急反应,五是构筑未来架构。
第一章 从最高层实施领导
确保网络空间拥有足够韧性并值得信赖,以支持美国的经济增长、公民自由与隐私保护、国家安全和民主体制的完善,需要把网络安全列为国家头等大事。只有在政府最高层领导下才能完成这一重要而复杂的任务。
由白宫实施领导由白宫掌握网络安全相关政策的领导权并提升领导的层级,会向美国和国际社会发出明确的信号,即我们对网络安全问题的态度是非常严肃认真的。许多政府的部门和机构,以及总统办事机构将需要协调不同的职责和权限,以有效地促进网络安全。目前,没有一个人或一个组织专门担负着协调联邦政府网络安全相关活动的职责。如果没有一个中央协调机制、没有更新的国家战略、没有各行政部门制定和协调的行动计划,以及没有国会的支持,靠单打独斗的工作方式不足以应付这一挑战。
政府行政部门早已经设立了一个由国家安全委员会和国土安全委员会共同领导的信息和通信基础设施跨部门政策委员会,作为解决有关网络问题的主要政策协调机构,以便获得可信、可靠、安全和长久的全球信息和通信基础设施及相关能力。
美国总统应该考虑再任命一名白宫网络安全政策官,该官员应向国家安全委员会和国家经济委员会报告,以协调全国范围内与网络安全有关的政策和活动。此官员将主管信息和通信基础设施跨部门政策委员会工作,加强与总统办事机构其它部门协调领导工作,解决各种优先任务和协调政府部门间网络安全政策和战略的发展。网络安全政策官应该参与所有相关的经济、反恐和科学与技术政策的讨论和研究,并制定网络安全长远规划。
要取得成功,总统网络安全政策官必须得到总统的全力支持、拥有权威和足够的资源,以便在政策制定和协调部门间的网络安全相关活动中有效地开展工作。其手下至少有国家安全委员会的两名资深主任和适当的工作人员辅佐,并至少有一名国家经济委员会的资深主任和适量的工作人员为其工作。这些资深主任应通过网络安全政策官向上汇报工作,并共同致力于达成本报告所设定的目标及其它国家政策。此外,为促进国家安全委员会内部的整合,委员会中的每个地区主管局和职能局应当专设一名工作人员,负责本单位职能范围内的网络安全事务,并与国安会新设的网络安全局协调工作。
网络安全政策官不应拥有管理网络运营的责任或权力,也没有权力自己制定政策。网络安全政策官应当利用政府部门和机构间的协调程序,一切工作都要与联邦政府的首席技术官和首席信息官,以及管理与预算局、科学与技术政策办公室和国家经济委员会等相关部门进行商议,协调整个联邦政府有关网络安全的政策和技术工作,确保在总统的预算中能反映出网络安全工作是联邦政府的优先工作,并进入立法议程。
该网络安全政策官亦可被任命担任白宫网络应急反应行动官(其职能与白宫监控恐怖袭击和自然灾害的行动官员相类似),这一任命也将使美国更有效地进行危机管理;政府部门和机构将继续担负各自的网络运营职责。
为了便于协调,所有联邦政府部门和机构应该在各自内部设立一名联络官,负责协助白宫处理网络安全事务。
通过政府跨部门政策制定程序,网络安全政策官为总统起草准备新的国家战略,以确保信息和通信基础设施安全。这项战略应包括对《国家网络安全综合计划》的落实情况的后继评估,并适当汲取其成功的经验。新国家战略应侧重使高层领导集中精力和时间,消除阻挡美国实现拥有可信、可靠、安全和富有韧性的全球信息与通信基础设施以及相关能力的障碍。该战略将帮助政府努力提高公众意识,恢复和建立国际联盟及公私部门之间的伙伴关系,建立一个更加周全的国家网络应急反应与恢复计划,并采取积极的研究与发展计划,催生提高网络安全的新技术。
联邦政府应继续落实《国家网络安全综合计划》提出的“任务衔接”原则。政府各部门和机构应加强网络防御单位与负责美国网络空间作战的情报、军事和执法单位的合作,就网络威胁、网络交易、网络技术和网络存在弱点等问题进行交流,扩大网络经验、知识和观点看法的共享。此外,网络安全政策官应当帮助协调涉及网络空间的情报、军事政策和战略———包括打击网络恐怖主义,确保所有的任务有机融合在一起。网络安全政策官还应当与外部的咨询机构保持联系。许多咨询机构都涉足与网络安全相关的问题,这些机构包括国家安全和电信咨询委员会、国家基础设施咨询委员会、重要基础设施合作咨询委员会以及信息安全与隐私咨询委员会。网络安全政策官应审查这些机构的职能,并提出必要的改革建议使其咨询服务最优化,并杜绝不必要的重复。
为确保公民自由和隐私权利得到保护,还需要得到其它组织的帮助。这些组织将可以在政府网络安全计划和公民自由与隐私团体以及公众之间建立起信任,显示网络安全计划的透明,这在网络计划开始实施之初尤为重要。当务之急是要建立隐私与公民自由监督委员会,加快委员会成员的选举工作,并考虑是否寻求修订法案以扩大其工作范围———包括处理与网络安全有关事务。其它可行的办法还包括:加强政府负责公民自由事务部门与隐私顾问们就网络安全的政策问题进行定期沟通,或在国家安全委员会内任命一名负责隐私与公民自由事务的官员(或范围再大一些,在总统办事机构内任命一名负责隐私和公民自由权利的官员),与私营部门隐私与公民自由团体、隐私与公民自由监督委员会和政府负责隐私与公民自由事务的官员进行协商。
与制定网络安全政策同样重要的是确保有效地执行和落实这项政策,以实现更远大的战略目标。因此,网络安全政策官同管理与预算局、总统办事机构其它部门协商,必须确保有效地落实网络安全相关政策和采取相关行动。在60天的评估期间,有关各方就协调和监督网络安全活动提出了各种各样的办法。一些评论家确信,强有力的行政领导,以及多年来政府部门和机构的努力,是确保美国政府拥有可以有效执行网络安全计划机制的重要基础。目前,一些网络安全监督职能都不是在总统办事机构领导下实现的。例如,归属国家情报总监领导的跨部门联合网络特遣队,目前负责协调和监督执行《国家网络安全综合计划》。网络安全政策官通过管理与预算局和总统办事机构其它部门协商,应该就组织机制调整提出建议,以实现相应的监督、执行和其它的一些职能,包括在管理与预算局或总统办事机构建立一个类似拥有跨部门联合网络特遣队功能的机构,创立一个类似艾森豪威尔总统行动协调委员会的实体,或建立一些可协助评估联邦政府部门与机构表现和监督联邦政府网络安全标准遵守情况的组织机构。在这样一个办公室成立之前,跨部门联合网络特遣队将继续执行其任务。
评估相关法律和政策
总统的网络安全政策官应与政府部门和机构合作,提供协调一致的政策指导,并在必要时详细说明整个联邦政府确保网络安全相关活动的职权、作用和责任。适用于信息和通信网络的法律是由宪法、国内法、国外法和国际法拼凑而成的一个复杂法律体系,这一体系制约着政策选择。在美国,这种拼凑在一起的法律混合体之所以存在,是因为联邦政府在整个信息和通信基础设施发展过程中,颁布了诸多法律和政策,以控制多样化的产业和技术。
由于传统的电信网络和互联网日益融为一体,以及其它基础设施领域日益将互联网作为互联互通的主要手段,法律和政策应当继续找寻出一种综合性方法,将保护公民自由、隐私权利、公共安全、国家和经济安全的利益与灵活多样的网络应用和网络服务所带来的好处结合起来。在一些领域中缺乏司法裁定既带来了机遇也带来了危险,决策者对此应充分理解———法院可以介入并规范法律的应用,特别是涉及到宪法权利的领域。制订政策必然受到法律框架的规范和制约,而且在政策上深思熟虑有助于找出现行法律中存在的差距和争议,让我们知道必须要做出的法律改进。这一过程可能会根据美国的法律原则提议组建新的立法框架,对加之于信息、通信、网络和技术上的相互重叠的法律进行合理调整,或会对已有的法律进行新的诠释,使之适应技术变革与实现政治目标。不过,采用其中任何方式都会有风险,可能使联邦政府保护信息和通信基础设施的一些活动更加困难。
政府应适当地与国会进行有效合作,以确保拥有完备的法律、政策和资源用于完成美国网络安全相关工作。国会已对国家有关网络安全的需求表示关注,并决定由两党共同担任领导,政府将会从国会的知识和经验中获益。与政府部门和机构共同工作的网络安全政策官应与产业界进行协商,以便了解法律和政策给网络运营方面带来的影响。
加强网络安全工作的联邦政府领导和责任制
在数字化时代,仅仅依靠白宫将不足以领导美国实现广泛的目标,整个联邦政府都必须担负起领导职责。将网络安全列入总统议事日程的优先项目、根据既定的目标审查政府部门和机构的网络安全工作进展等,有助于落实责任和推动工作进度。网络安全政策官———与国家安全委员会、管理与预算局、国家经济委员会和科学与技术政策办公室协商———将界定工作进度和成功的标准,提高网络安全工作在所有机构预算中的“能见度”。
要使网络安全工作透明并对整个网络安全投资进行有效管理,管理与预算局应利用其项目评估机制,确保政府部门和机构在追求网络安全目标时有效使用预算。正规的网络安全项目评估机制可以使政府部门和机构详细说明每个计划的意图与目标,并建立是否达成目标的统一标准。《国家网络安全综合计划》已经成功地运用了一种类似的做法。
根据2002年《联邦信息安全管理法》要求,政府部门和机构的领导人必须承担起责任。政府与国会共同努力,更新并强化这项法规。政府部门和机构的领导执行计划要求各部门和机构及时汇报在确保网络系统安全方面的工作进展情况。美国联邦政府应制定备选方案,支持政府部门和机构落实遵守网络安全政策的领导责任制,坚决执行相应的网络安全程序。
提升各级地方政府网络安全事务的领导层级州、地方和原住民保留地政府应考虑把网络安全当成一件大事来抓,指定一名领导人专门负责,以确保首席信息官、首席信息安全官与州国土安全顾问之间的有效协调。评估小组从美国州长协会的代表那里听到一些反映,说网络安全是他们在保护各州重要基础设施资产工作中最薄弱的环节。州国土安全顾问可以从若干国土安全部批准的项目中开支,用于网络安全工作。但从历史上看,所提供的资金在很大程度上并没有优先用来确保网络安全。州、地方和原住民保留地政府应考虑是否应把网络安全当成一个大问题,并确保首席信息官、首席信息安全官与州国土安全顾问协调一致,保持强大的防御态势。
第二章 打造数字化国家的竞争力
国家正处于一个十字路口。计算机几乎改变了日常生活的一切,不论是在家中还是工作场所。网上银行、网上购物和报税等都已是司空见惯。国家的基础设施正在经历一场革命,数字化和网络技术不断通过大型系统进行整合,如智能电网和下一代空中交通系统。近期颁布的《美国复苏与再投资法案》中的内容鼓励发展现代信息和通信设施,以便提高美国的竞争能力,并使用技术来解决国家所面临的最为紧迫的问题。美国面临着双重挑战:在维护一个促进创新、开放式互联、经济繁荣、自由贸易及自由环境的同时,也要保证公众安全、公民自由和隐私。
大众需要明确了解技术的安全使用。另外,美国需要一个技术先进的工作组来维持其在21世纪的经济竞争力。在学校,数学和科学必须成为首选学科。美国应发起一项K-12(注:指从幼儿园到高中的教育)网络安全教育计划,以便进行数字安全、道德和保护教育;扩展大学课程;并且为培养一支数字化时代的称职的劳动力队伍创造条件。正如总统曾提到的,“美国所面临的挑战中,让我们的孩子为全球经济竞争做好准备最为紧迫。”为了帮助完成这些目标,国家应该:
提高全民的网络安全风险意识;建立一个教育系统以促进对网络安全的了解,并让美国继续在信息技术的科研、工程和市场领域保持和扩大领先地位;
扩展并培训用于保护国家竞争优势的劳动力队伍;帮助组织和个人在风险管理上做出明智的选择。
提高公众意识
形成对网上活动风险以及如何对其进行管理的广泛的公众意识,需要制定一个有效的战略。联邦政府应该与教育者及产业界部门一起,引导国家网络安全的公共意识和教育。总统网络安全政策官员应该负责这一公众意识战略的制定并指导其执行,并且应寻求国会、联邦政府、地方与原住民保留地政府、私营部门及公民自由与隐私组织的支持。战略应该涉及对公众进行关于威胁和怎样提高数字化安全及道德的教育。恶意行为体经常利用人们通过互联网接受信息或提交个人信息的行为。因此,该行动应专注于公众信息以便提高对网络使用的责任心,并加强对欺诈、身份盗窃、网络掠夺及网络道德等方面的防范意识。过去在公共安全活动中的一些成功做法,例如为了防火而设置的警示牌、推广使用汽车安全带的提示条等,都可以当作一个模本加以利用,以便通知和帮助公众认识到网络安全的重要性。这些公共服务行动应该注重培养儿童的网络安全意识,以及那些准备选择职业的高年级学生的意识。知名人士、同技术一同成长起来的一代及新型媒体,都可以在有效传递信息上发挥重要作用。
加强网络安全教育
类似于前苏联在1957年10月发射人造地球卫星之后的一段时期,美国处在一个以数学和科技技能为主的全球竞争之中。根据《经济学人》中的一则报道,出色的信息技术职业者“到处短缺,但是形势会更加严峻,因为所需技能的本质正在发生改变。除了技术知识以外,明天的信息技术职业者将要求在项目管理、变革管理和业务分析等方面具有专业知识”。这项研究指出,美国继续拥有世界上最好的信息技术公司运营环境,在教育、基础设施、创新鼓励和法律保护等多个重要领域均具有规模和质量优势,可帮助打造竞争力。然而,2007年至2008年关于计算机学位和入学趋势的“托比调查”显示,美国的计算机科学和工程学位毕业生比2004年的高峰时期减少了约一半。国家无法容忍这种衰退继续下去。
联邦政府以及全体机构应该扩大对关键教育计划和研发的支持,以便保证国家在信息时代经济中持续的竞争力。现有的计划应该加以升级,或者扩大,而且其它的活动可以作为额外的计划模式参考。例如:
2006年国家科学基金开始征集关于其“恢复计算机大学教育的途径”的建议。这个项目试图打造一支“具有计算机能力和技能的美国劳动力,以便推动21世纪国家的健康、安全和繁荣”。
作为直接激励措施,不仅为那些在网络安全教育领域追求进取的学生,同时也向那些立志在联邦政府获得相关职位的学生提供奖学金。国家科学基金和国土安全部为34个大学的服务计划提供奖学金。超过1000名学生在该计划的前8年得到了支持,其中超过80%的学生在联邦政府获得了工作。国家科学基金会强调,考虑到迫切需要壮大相应的劳动力队伍,加强研究和教育之间的协同作用再怎么强调也不为过。
国家信息安全教育与研究学术中心,由国家安全局于1988年创立,从2004年开始由国土安全部共同资助,在38个州和哥伦比亚特区的94所大学推行更高水平的信息安全教育。这些中心已经同众多知名大学建立了合作关系,包括一些社区、西班牙语和传统黑人学院。国防部也对这些大学中的信息安全奖学金计划提供了赞助。
全国大学网络保护竞赛、美国数学奥林匹克协会、能源部科学杯以及西门子基金数学、科学和技术竞赛都提供了以竞赛为导向的范例。其它范例包括国家科学基金援引国防先期研究计划局的重大挑战而组织的一个学术小组,马可姆波里奇国家奖以及旨在建立高级加密标准的竞赛。
扩充联邦信息技术劳动力队伍
总统的网络安全政策官员应同信息和通信设施联合部门委员会协作,考虑如何更好地吸引网络安全专业人才,并采取措施慰留联邦政府内拥有此类技能的职员。各个部门和机构已在吸引产业界人才方面获得了一些成功,但由于获取、转移或更新安全审查需要大量的时间,这造成了机会的流失。联邦职员还应该有机会丰富个人工作履历和促进其职业发展,而单独某一家政府部门常常无法提供这类机会。展开共同培训、进行部门间轮岗甚至与私营部门之间进行可能的岗位轮换不但是一项有效的做法,而且会有利于人才素质综合培养和专业人才库的建立。
将提高网络安全视为企业领导责任联邦政府应该继续促进在各级政府和产业界中关于威胁、漏洞和有效措施的计划和信息分享。只有信息技术劳动力队伍了解网络安全的重要性是不够的,各级政府和产业界领导需要根据现实和潜在风险,做出业务和投资决定。联邦、地方和原住民保留地政府面临着类似的问题。州政府经常起到革新孵化器的作用,因而可能会提供一些在管理信息和通信设施方面所得到的经验。联邦政府应该继续同产业界一起确认并发布在安全设计和信息技术产品经营方面的有效措施。
第三章 共同承担网络安全责任
如果联邦政府孤立地开展工作,那么联邦政府在许多方面都不可能确保网络空间的安全。关于这一点,公共与私营部门有着共同的利益,以确保为商业和政府服务提供一个安全、可靠的基础设施平台。政府和产业界领导者在国内和国际事务上,都需要界定角色与责任、整合各种能力并发现各自的问题,以便制定出整体的解决方案。只有通过这样的合作关系,美国才能够提高网络安全水平,获得数字革命所带来的全部效益。保证网络空间的安全,这一全球性的挑战要求各方做出更大的努力。这一努力应寻求同私营部门进行持续的协作,通过制定全球标准来提高可被共同使用的网络的安全,扩展法律系统打击网络犯罪的能力,继续发展并推广成功的实践经验,并保持稳定、有效的互联网治理。
加强私营部门和政府间的合作关系
联邦政府有责任保护、捍卫国家,并且各级政府有责任确保其公民的安全与健康。然而,私营部门设计、建立、拥有以及运作的大多数网络基础设施同时为政府和私人用户提供支持。对于基础设施的安全性和可靠性以及通过这些设施所发生的交易,业界和政府承担着共同的责任,二者应该紧密合作以解决这些相互依赖性问题。联邦政府可以采取多种不同的手段来应对这些挑战,其中有些可能要求修改相应的法律和政策。
私营部门应帮助弥补执法和国家安全的局限性问题。当前的法律允许使用某些工具来保护政府网络,但不是私营网络。产业界领导者可以利用企业信息共享来帮助说明数据泄露、工业间谍活动以及服务能力丧失或降低给公司带来的风险以及对盈利能力的影响。产业界领导者可以要求销售商和服务供应商提供更多保证,同时承担起开发更加安全的软件和设备的责任。企业应想出有效的途径,以便在彼此以及联邦政府之间分享检测方法、关于违规和攻击方法的信息、修复技术及取证能力。
如果风险和后果可以以货币价值的形式来衡量,那么各个机构就将拥有更大的能力和动力去解决网络安全问题。尤其是,私营部门经常试图通过业务个案来证明以下两方面所需的资源支出的合理性:一是把信息与通信系统安全整合到公司的风险管理之中;二是建立可以缓解风险的伙伴关系。政府可以考虑利用以激励为主的立法或监管工具来协助形成好的价值取向,并且帮助培养一个可以促进并鼓励伙伴关系和信息共享的环境。
总统的网络安全政策官员应同相关部门机构及私营部门进行合作,共同考察现有的公私伙伴关系和信息共享机制,以便识别或建立最为有效的模型。过去十多年以来,公私伙伴关系促进了信息共享,并为美国重要基础设施保护和网络安全政策奠定了基础。在这一段时期,联邦政府和私营部门共同建立了大量有关网络安全和信息与通信设施问题的论坛。
这些团体做了很多贡献,但是由于精力分散,已使一些参与者对缺乏明确界定的角色和责任、各团体之间参差不齐的能力以及不断增加的计划和建议,感到灰心丧气。结果,政府和私营部门的人员、时间及资源被大量浪费于重复、不连贯的工作中。伙伴关系必须进行转变,以便明确界定这一关系的性质、不同团体及其参与者的角色和责任、对各方贡献的期望,以及责任机制。联邦政府应对各种资源进行优化、调整,然后把它们提供给现有的组织,以此来完善其识别优先等级的能力,实现更加有效的执行效率并制定响应与恢复计划。
为期60天的评估考察了大量有效的公私伙伴关系模型。尽管这些模型功能差异很大,但它们却共享着某些重要的特性。每一个模型都有一个定义明确的机构使命、明确参与者的角色和责任,以及清晰的鼓励参与的价值取向。通过在成员之间培养并维持一种相互信任的氛围,每一模型都可以减轻担忧,否则这些担忧可能会妨碍参与。现有的网络安全伙伴关系也许会应用这些模型所具有的那些最为有效的特征。
评估妨碍公私伙伴关系转变的潜在障碍
私营部门中的有些成员一直担心,某些联邦法律也许会妨碍私营部门和政府之间全面协作性质的伙伴关系及运作信息共享。例如,业界中的有些人担心在现有的伙伴关系模型中,同一领域成员之间进行的信息共享和统一规划,也许会被认为同禁止贸易限制的法律“互相串通”或相抵触。业界还表示会有所保留地向联邦政府透露敏感性或专有的商业信息,例如弱点和数据或网络漏洞。这种担忧一直存在着,即便相关的法令对此给予了保护,例如《商业机密法》和《关键基础设施信息法》。这两项法律的颁布旨在消除产业界对于《信息自由法》的担忧。除了这些问题以外,产业界也许还会担心共享信息所带来的名誉损害、责任或管制影响。相反,鉴于对敏感的情报来源和方法或者个人的隐私权利的法律保护,联邦政府有时会限制政府与私营部门共享的信息。
这些担忧并不是孤立存在的。面对不公平竞争,各种反垄断法律提供了重要的安全保障,并且《信息自由法》将协助确保政府的透明性,这对于维持公众信心至关重要。公民自由和隐私团体表示,担心不断扩展的保护措施只不过是一块逃避责任的合法盾牌。此外,信息与通信市场的全球性特点会使信息共享的挑战变得更加的复杂。如果在美国运营的产业界成员是外国公司,那么强制性的信息共享或排斥此类公司加入信息共享体制,可能会对贸易产生影响。
政府应同私营部门进行创造性的合作,以便找出恰当的解决方案———同时照顾到交流信息和保护公共和私人利益这两个方面的要求,从而采用统筹兼顾的方法解决国家安全和经济安全问题。这些解决方案应该识别出明确的、可执行的信息共享目标,并制定事件报告标准。私营部门将更乐于分享那些不需要更改数据所有权的解决方案,例如英国模型中的做法:选择经过审核的信息安全提供方而不是政府作为合并数据的链接点。
最后,联邦政府应该请学术界、公民自由与隐私团体、开放政府的提倡者以及消费者积极参与,以确保政府政策充分考虑到了这些群体所代表的广泛利益。几乎没有什么问题可以简单地看作是一个孤立的程序、政策或技术问题。技术的变化通常会成为政策制定的考虑要素,也许会要求改变现有的程序。政策改变(例如规章或税收鼓励措施的通过)可以影响到采购或技术研发方面的决定。联邦政府还可以考虑这样的方式:它能够把更多的资源集中到可能“改变产业界格局的”领域的研究上,例如行为与政策方面的以及以激励为主的网络安全解决方案。鉴于这些问题的密切相关性,更需要确保所有利益攸关方的利益都得到体现。
与国际社会进行有效的合作
国际规范对于建造安全、稳定的数字基础设施来说至关重要。美国需要制定一项战略,以便打造国际环境并把对一系列问题有着类似观点的国家聚集在一起,这些问题包括有关领土管辖权、主权责任及武力使用等可以接受的规范。此外,不同国家与地区的法律和实践———例如涉及以下多个方面的各种法律:网络犯罪的调查和起诉、数据保存、保护与隐私,以及网络防御和网络攻击响应的途径,为打造一个安全、安定并具有韧性的环境带来了巨大的挑战。要解决这些问题需要美国同所有国家以及国际机构、军事同盟与情报伙伴进行合作,包括发展中国家,它们在构建其数字经济与设施的过程中也面临着这些问题。
在过去十年中,联邦的通信、基础设施和网络安全相关的政策都是沿着不同的道路发展。采用更加综合的政策制定方法可以确保制定相互支持的目标,并可以让美国通过更为有效的、恰当的立场把握其国际机遇。对于一系列独立领域(包括网络安全和对言论自由及其它公民自由的保护)的国家利益,美国应采用综合的解决方法以便制定一贯的政策。
总统的网络安全政策官员应与各部门和机构合作,加强并整合机构间制定及调整国际网络安全立场的流程。此外,联邦政府在继续同私营部门的长期合作的同时,应制定一套积极参与计划以供国际标准机构使用。这其中应包括对现有政策的评估并对立场的确定、完善或重申进行协调,从而确保与网络安全相关的经济、国家安全、公共安全和隐私利益都被考虑在内。包括联合国、八国集团、北大西洋公约组织、欧洲理事会、亚太经合组织、美洲国家组织、经济合作与发展组织、国际电信联盟、国际标准化组织在内的十多家机构都致力于解决信息和通信基础设施方面的问题。新组织正开始考虑与网络安全相关的政策和活动,其它组织也在拓展现有的工作范围。这些机构所考察的政策和所开展的活动有时会彼此冲突,并经常重合。这些组织公布的协议、标准或实践都具有不可忽视的全球影响力。它们的绝对数量、类型,以及这些地区不同的侧重点超出了包括美国在内的许多政府的应对能力。
总统的网络安全政策官员应与各部门机构合作,加强其对国际立场、磋商和讨论的识别、跟踪和优化的能力,与网络安全相关的协议、标准、活动和政策都是在这些过程中形成的。以往的经验表明,美国将需要继续参与一系列的国际活动。联邦政府应与私营部门及其它国家密切合作,以确保各成员充分参与到相应的论坛之中,就关乎美国未来全球信息和通信基础设施利益最重要的问题进行讨论。美国及其国际盟友应利用参与区域或其它论坛的机遇,促成共同的政策目标,关注现有国际组织的工作,并减少重复性的工作。例如,国际电信联盟和国际标准化组织都在从事关于网络安全取证标准的制定。对于主题更为宽泛的论坛,美国也应寻求机会,以促进相关项目中有关信息和通信基础设施的安全和发展。联邦政府应与私营部门共同协调和发展国际伙伴关系,以应对信息和通信基础设施相关的一系列网络安全方面的活动、政策和机遇,这些基础设施是美国商业、政府服务、美国军队以及国家的根本所在。政府和产业界间新签署的协议应加以备案,以促进国际信息共享和战略运营合作。对于指导对外发展及发展海外能力,联邦政府应增加资源并提高警惕。例如,美国应加快步伐帮助其它国家建立法律框架、提高打击网络犯罪的能力,并且继续推广网络安全方面的准则和标准。美国也应与其盟友合作,确保互联网的稳定性和国际互用性,同时提高互联网的安全性和可靠性,使所有用户受益。
第四章 建立有效的信息共享和事故响应框架
美国需要建立一个全面的框架,以便协调政府、私营部门和盟国共同应对重大的网络事故。联邦、州、地方及原住民保留地政府应与业界合作,提前完善其正用于检测、预防及应对重大网络安全事件的计划和资源。由于此类事件可能影响到政府和产业界部门之间的互联网络,因而在重大事件发生之前、期间和之后,对此类计划和行动进行协调就显得特别重要。例如,尽管收到关于“Conficker”蠕虫病毒的提前预警和网络防御的指示,但如果蠕虫病毒在2009年4月1日激活时附带恶意的有效负载,那么一些联邦部门和机构就无法应对。
建立事故响应框架
与其他重大国家事故一样,在发生重大网络事故时,只有白宫有权协调与事故响应相关的一系列职能部门和权力机构。各部门和机构应按白宫总体战略方向履行各自责任。总统的网络安全政策官员应为白宫网络事故应急的执行官(其职能与帮助白宫检测恐怖主义袭击或自然灾害的执行官类似)。
联邦政府应建立一套明确且具权威性的网络事故响应框架,该框架在修改后的《国家响应框架之网络事故附件》中备案。到目前为止,针对网络事故的联邦响应还未统一。对于涉及国家安全/应急准备通信的情况,第12472号美国总统令明确了现存的职能部门和处理流程;然而,根据当前的法律政策,各部门和机构仍各自负责决定和实施隔离、保护和恢复自身计算机网络和数据的措施。
由于国家安全和其它联邦网络之间现存的法律而非人为差异,联邦网络事故响应的责任分散到了不同的联邦部门和机构之中。根据事件的性质,例如重大的漏洞、犯罪袭击,或军事事件,不同部门或机构可能负有或承担着主要的应急责任,而其它部门或机构则可能对此一无所知。另外,对整个事故的责任分配可能还不明确。尽管每个参与者都有着明确的专长领域和合法权利,但它们很难统一到一个单一的协调框架中。把任何权力部门合并到一个统一架构中可能都需要通过法律来实现。信息和通信设施联合部门委员会进程应明确同事故响应相关的不同部门和机构的角色、职责及资源,必要时对其协调或补充;了解事故响应的各个方面如网络安全、执法、情报及军事等部门及其各自的优势。
众多评论家强调建立事故报告和响应门槛的重要性。网络运营商和服务提供商每天都会处理大量尚未达到“滋扰”级别的事件。在这些低级别事故中,藏匿有相对少量的可能产生巨大影响的入侵或攻击。其它政府和私营部门的网络运营商很想了解此类事件的技术细节,以帮助其抵御相似的网络威胁;执法部门和情报机构也可借此跟踪并寻求方法制止网络安全方面的犯罪和来自国外的威胁活动。
网络运营和服务提供商:互联网由管理运作和为客户提供服务的企业联合运营。网络运营商建立和维护信息通信基础设施,为客户提供接入和宽带服务。服务提供商提供互联网接入网关、安全服务、存储或处理服务,以及信息的获取(如互联网地址或新闻)和应用设备(如搜索引擎)。单个的公司可提供独特的接入、信息和服务的混合组合(如社交网络)。
联邦政府应与州、地方和原住民保留地政府和业界合作,总结一系列威胁情况和衡量指标,以供风险管理决策、制定恢复计划及确定研发优先顺序。同时应发展建模和模拟能力,以帮助演练这些计划并确定可能的破坏级别。
信息和通信设施联合部门委员会应在各部门和机构中建立明晰、可执行的事件即时汇报规则,以便提高机构间响应的效率。各部门和机构在各自管辖范围外的事件汇报存在差异,其对重大事件的即时汇报将使联邦的整体应急响应受益。
总统的网络安全政策官员应与信息和通信设施联合部门委员会合作,确定发展和保持态势感知和事故响应能力的最有效方法。《国家网络安全综合计划》应继续致力于提高联邦网络的防御能力,同时考虑调整实施计划或增添内容的需要。总统的网络安全政策官员尤其应该:
与私营部门合作,探索如何更好地将技术能力应用到国家基础设施的防御中来,以及需要什么样的法律框架来保障隐私权和公民自由。
审议国家网络安全中心的运作理念及其实施,决定该中心关于责任、资源战略和管理的提议是否充分,使其能够提供支持网络事故响应努力所必需的态势感知共享信息。
继续向可信任的互联网接入项目的目标迈进,减少政府网络接入的数量,同时根据对挑战的现实评估,再次考虑项目中的目标和时间表。在过去的两年里,一些部门和机构在减少接入数量和部署系统上取得了进步,这些系统将帮助联邦政府阻止并检测恶意的行为。然而,政府在充分发挥能力之前仍然有很多工作要做,而且可能需要考虑额外的政策以促进战略的全面实施。
为了联邦网络的利益,适当评估并与公民自由和隐私团体继续协商进行入侵检测和防御系统的试点部署工作,评估这些系统的性能,并且继续研究若将这些系统应用到州政府系统中会产生的问题。(系统中的)传感器将对联邦网络获得态势感知信息具有关键作用;随着这些部署工作的进行,政府也将从政策、法律或技术层面受益。
探索———与业界、公民自由和隐私团体协作———其它长期的入侵检测和防御体系建构。
联邦政府应提高自身向总统提供网络入侵或攻击的战略预警的能力。联邦政府应继续利用国家为促进密码技术、信息保障技术和必要配套设施的根本发展的投资。这些投资以及其它的情报能力,对于网络攻击的战略预警至关重要。此外,联邦政府应找出执法能力上的差距,或保护国家基础设施所建立的调查权威。所有新设的权威部门需始终保障公民自由和隐私权。
美国政府应投资有助于防御网络应急事件的流程、技术和基础设施。内容包括增加安全检测、投资网络管理自动化或中央化系统,以及对某些非保密系统实施更严格的互联网接入。
政府需要建立一套可靠持续的机制,以便将所有适宜信息整合在一起,形成一张共同的运行图。联邦网络安全中心经常分享彼此的信息,但其中没有一家机构可以将来自不同中心和其它资源处得到的所有信息综合起来,制成一张不断更新且涵盖网络威胁和网络状况的全局图,以预报迫在眉睫的应急事故,以及支持协调事故响应。国防部负责整合关于网络健康和状况、入侵企图和对自身网络的攻击的信息;情报界负责自身网络;国土安全部美国电脑应急反应小组负责民事联邦机构以及在某种程度上对私营部门负责;执法和情报机构收集与网络有关的犯罪和国外威胁活动证据,但也需要具有处理有一定规模的犯罪活动的额外能力。
联邦政府应考虑若信息和通信基础设施遭受重大损害,尤其是当信息和通信网络融为一体时,是否有充足的可用替代品或通信设施储备。基础设施的替换或修复也要求有额外的计划和资源,尤其是当网络或电网中难以替换的元件受到物理损害时。
联邦政府应利用现有资源,在各级政府和私营部门间建立有助于防御、检测和应对网络应急事件的流程。联邦政府应利用州际信息共享和分析中心、全国58座州立和地方融合中心等现有资源,帮助树立信息和通信基础设施方面的态势感知意识。
加强信息共享,提高事故应对能力
信息是防御、检测和应对网络事故的关键。网络软硬件提供商、网络运营商、数据拥有者、安全服务提供商以及某些情况下的执法或情报机构可能各自拥有信息。这些信息能够帮助检测和了解复杂的入侵或攻击问题。只有将上述各类信息来源整合起来,才有可能全面了解事故并做出有效的响应,使所有人受益。
联邦政府应与州、地方和原住民保留地政府及私营部门(包括数据拥有者、网络运营商及隐私和公民自由专家)合作,寻求网络安全方面的信息共享方案,消除有关隐私和专有信息的担忧,使信息共享符合国家的利益,达到互利的目的。鉴于私营企业关心其信息的潜在使用问题,政府必须保障其隐私权、做到执法公正、保护情报来源和方法,以及可能导致不公平竞争优势的政府信息。为了解决这些担忧,政府和私营部门都需要做到透明、诚信。可选方案包括:
设立一个政府和私营部门都信任的第三方非营利性非政府组织,作为政府和私营部门共享信息的平台,以此提高政府和私营部门之间的关键网络安全性。此类组织可使用商业服务,并且不会扰乱日益壮大的安全服务市场。
联邦政府(如执法机构)与个体公司或公司集团(可能还有州、地方和原住民保留地政府的参与)之间持续的约束,在特定的部门或区域内实现一定程度自愿性的信息共享,超越在更广泛的背景下实现的信息共享。
美国政府应与受影响方和国会协商,考虑制定适当的信息共享激励措施。作为最后的手段,这些措施可包括综合方案中的监管措施,以满足社会对健全和具有韧性的关键基础设施的利益需求,保障公民自由和隐私权,维护作为美国经济系统基础的、公正公开的经济市场。加密或控制接入认证等强化隐私保障技术可减少信息共享中的某些风险。
联邦政府应全面评估妨碍网络安全信息共享的有关安全分级和人员涉密等方面的政策,同时寻求信息共享改善方案,并确保公民自由和隐私权得到保障,敏感信息得到适宜的保护。联邦政府各部门和机构当前关于信息搜集,使用、保留和散布的政策很大程度上都是基于法定权限、对隐私和公民自由的关注、对来源和方法的担心以及历史惯例而来。这些政策严重阻碍了联邦政府间的网络安全信息共享。此次评估应将联邦政府通过安全性和适用性改革倡议所取得的进展考虑在内,同时也要考虑信息共享环境在检查安全和适用性处理组件的所有方面时所做出的努力。
联邦政府应与私营部门合作,制定私营部门网络运营商向联邦政府进行事件汇报的标准。业界表达了作为受害者对汇报其网络事故的担心,包括随之而来的股东的担忧、市场反应或监管行动所带来的潜在消极影响。一家业内机构提议成立政府—企业工作组,设立具体到部门的网络事件门槛,以保证将信息汇报给安全官员。需制定相应的规则并监督政府对此类信息的使用,以保障隐私权和公民自由。另一完善报告程序的途径是考虑适当的数据破坏通知法案,要求企业将相关信息通知给公众和政府,其中包括可进行调查的执法部门。联邦政府也应检查已有的市场监管汇报规定的有效性和工作范围。与此同时,联邦政府需制定与私营部门进行事件汇报共享的流程和规则。这些规则的制定需考虑事件的分类和隐私问题。另外,联邦政府应协助研究团体获得网络安全事件的数据,并对此加以适当控制。这些数据可用来开发工具、测试理论和制定可行性解决方案。此类共享需要解决关于敏感或专有数据及个人身份信息的保护问题。
联邦政府应努力扩大与主要盟友在网络事件和漏洞方面的信息共享,寻求改善网络安全的双边或多边安排,并确保这些安排符合美国其它方面的经济和安全利益,使公民自由和隐私权得到保障。国际合作为美国政府与私营部门的合作带来了更多挑战。若美国政府计划与其它国家共享美国私营企业的行业信息,则国内合法的私营部门关于信息共享的担忧将会增加。私营部门和联邦政府再次需要做到明晰和诚信,来控制、散发和使用私营部门与政府共享的信息,包括对使用美国和国际社会之间共享信息的理解。
提高所有基础设施的网络安全性
联邦政府应与私营部门合作,明确公私伙伴关系的职能,以做好私有关键基础设施和重要资源的防御工作。联邦政府的核心责任之一即是共同保护私有关键基础设施不受武装攻击、物理入侵或国外军事力量、国际恐怖分子的破坏。同样,政府也在保护这些基础设施不受罪犯或国内恐怖分子的破坏上发挥着重要作用。然而,若攻击是通过计算机网络远程进行而非直接的物理行为,那么政府应对相同行为人,对相同基础设施施加的相同损害负多大程度的责任,这个问题尚未解决。大多数网络运营商和服务提供商都将自身网络的维护和防御工作归为自己的责任,但私营部门的重要组织已表示,业界希望形成一个工作框架,在此框架下政府将追捕恶意行为人,为私营部门运营商提供信息和技术支持,帮助私营部门保护自身网络。
在网络安全解决方案的制定过程中,联邦政府应考虑出台鼓励集体行动和竞争的激励措施。例如,网络空间至今还未出现“照顾标准”的法律概念。可能的激励措施包括调整法律责任(安全改善后责任减少,安全条件差则导致责任增加)、补充赔偿、税收鼓励政策、以及新的监管规定和执行机制。
总统的网络安全政策官员应与各级政府、私营部门及国际伙伴合作,制定战略和计划,鼓励创新型网络安全解决方案,确保基础设施系统的安全和韧性。基础设施范例包括:
政府应协助世界银行、国际货币基金组织等国际金融机构,向其提供必要的信息、工具及专业知识,并鼓励其运用最佳准则来保护自身的信息系统。2008年这些机构的系统曾遭受一系列的严重入侵。
《美国复苏与再投资法案》通过储备基金来推广医疗信息技术的使用。随着电子记录保存(系统)在互联网上的日益普及和获取这些信息的便利性,病人信息的保护工作将事关美国政府可否得到公众的认可。
能源部应与联邦能源监管委员会合作决定是否需要为能源方面的工业控制系统另行制定安全执行令和程序。另外,随着新的智能网技术在美国的普及,联邦政府务必要制定和通过相应的安全标准,以避免为对手制造可乘之机,侵入上述系统或对其发动大规模攻击。
交通部下属的美国联邦航空管理局在维持现有系统的同时,已制定了向下一代空中交通控制系统过渡的长期计划。交通部检察长于2009年3月18日在众议院航空交通和基础设施小组委员会上作证时称,需要评估潜在的安全漏洞,制定一套健全的网络安全战略和设计方案。
第五章 鼓励创新
对于韧性的要求:基础设施必须具有一定的恢复能力以防物理破坏、非法操作和电子攻击。除了对本身信息的保护,减轻网络空间风险的战略必须侧重于访问基础设施的设备,基础设施提供的服务,网络的支持要素及所有用于移动、存储和处理信息的手段。这一战略还必须包括预防、减缓和应对针对运营并受益于基础设施的人员所遭受的威胁或破坏,运营或利用基础设施的程序以及用于建造并维护基础设施的供应链。
信息与通信部门正在创建一个聚合平台,在此平台上数据、音频和视频应用占用共同的基础设施。当前国际互联网模型的分散性质,可以允许个人和企业家在无需得到许可的情况下,开发并配置创新的应用程序。创新带动了价值数十亿美元的新型业务,它们彻底改变了用户与网络及用户彼此之间的互动方式。随着科技对美国越来越重要,对于这一不断演变发展的基础设施,保持信心和信任至关重要。总统已呼吁联邦政府同业界保持合作,共同开发“下一代的安全计算机和应用于国家安全的网络互联”,制定“新的、严格的网络安全与物理恢复力新标准”,以及“保护个人数据的标准”。
美国应充分利用技术创新以便消除网络安全担忧。虽然市场上早就存在着许多可以明显增强安全性的技术和网络管理的解决方案,但由于成本或复杂的原因这些技术和解决方案并没有得到广泛的使用。另外,鉴于国际互联网基础设施的内在设计,现有的解决方案已发挥到了极限,无法再继续提高。从长远来看,开放和创新将有助于建立一个透明且责任明晰的更加强大的基础设施。联邦政策必须满足国家安全要求,保护知识产权,并且要保持基础设施的可用性和连续性———即便在其遭受强劲对手攻击的情况下。联邦政府还必须注意不要制定一些不必要的政策与规章,它们可能会妨碍创新、导致低效率或使安全性降低。
未来
根据2006年的国家研究院报告《振兴美国的通信研究》一文指出:“通信网络是庞大、复杂的系统,其可靠性、安全性及演化性取决于连贯的、构思良好的架构概念的发展。”这一报告还指出:“有多家厂商的产品被用来配置美国的电信基础设施并提供服务……(它们)超越了供应商的服务范围。由于业界正朝着水平结构发展并且其分解出了大量的小型公司,不论是厂商还是服务提供商都不会准备去负责终端对终端系统的设计。”
这样一来,在处理政策、标准、研究、市场开发或采购问题时,就没有可以用来指导私营部门、学术界和政府做决定的统一建议。联邦政府、私营部门及其它利益攸关方应共同制定未来基础设施的技术中立的性能和安全目标,既满足其作为消费者的自身需求,同时又发挥其作为公众利益管理人的作用。联邦政府同其合作伙伴应针对具体的部门和组织,分别制定一系列综合的全国信息与通信基础设施目标。这些目标可以参考不同的计算平台模型或网络控制概念,以及通过政府、学术界或业界的研究项目产生的技术解决方案。
数据和服务向第三方的联网服务器的移动被称作为“云朵”,这为全球的私营部门和政府带来了新的政策挑战。跨越司法管辖边界的数据移动带来了以下三方面的挑战:法律执行、不同国家分别制定的隐私与公民自由保护,以及出现数据或网络漏洞时的决策责任。有些客户会试图限制服务提供商移动或存储数据的地点,而另一些跨国经营客户则会寻求利用地理和时区的差异性。
基础设施安全构想:众多的机构和部门都在努力制定某些科技或基础设施部门的远景规划。例如,美国能源部与业界合作于2005年推出了一个为期10年的路线图,以便发展用于电网的控制系统。这一计划期望达到的目标是,截至2015年,“将实现关键应用控制系统的设计、安装、运作和维护以便能够承受蓄意的网络攻击,同时不会丧失重要的功能”。国防部先期研究计划局的顾问小组把对当前基于《互联网协议》的网络防御称作是一项亏本的买卖,呼吁“对可供选择的基础设施进行单独的考察”,从而完成对最佳候选基础设施的实验与评估。根据2009年3月的一份简报,国防部先期研究计划局正进行一项为期6个月的候选基础设施分析。
研发框架与基础设施开发的结合在总统网络安全政策官的领导下,联邦政府应与其它的总统办事机构部门及信息和通信设施联合部门委员会进行合作,提供研究与开发战略———专注于可以实现基础设施目标的、具有变革意义的技术框架,进一步完善当前的网络和信息技术研发战略及其它与研发相关的工作。联邦政府应扩大这些战略同业界与学术研究努力的协调,以便避免重复性的工作,利用具有互补性的功能和议事日程并使之同步,并且确保实现该技术换代并进入市场。
为了提高美国的竞争力,联邦政府应与业界合作,共同制定换代路径和刺激措施以便快速促进研究与技术开发,包括鼓励学术界与业界实验室之间的协作。
联邦政府还应与私营部门及其它利益攸关方合作,利用基础设施目标和研发框架为国家与国际标准机构制定目标。
建立身份管理
如果不能提高认证水平,我们就无法提高网络安全性。身份管理不只是用于人员认证。认证机制还可以帮助确保在线交易,仅涉及那些对于网络和设备而言可以信任的数据、硬件和软件的交易。尽管大多数系统今天都适于进行网络交易,但人们用于建立信任的电子提示技术等也许还没出现、不完整或者难于理解,起不到应有的作用。身份管理也许能够为可信任社团的个人和组织提供帮助,这些社团都是基于不同程度的身份公开和彼此约定的责任制而建立的。同时,它还可以排除不受欢迎的入侵者或不适当的会员请求。身份管理通过对个人识别信息的发布进行额外的保护,还可能提高隐私水平。
联邦政府与业界及公民自由与隐私社团合作,应共同制定一个基于网络安全的国家身份管理构想与战略,为此需要考察一系列的方法,包括提高隐私水平的技术。联邦政府必须通过大量的信息、服务与福利计划同公民展开互动。这样一来,政府才会对保护公众的隐私信息产生兴趣。在线交易变得日益普遍,涉及金融、卫生与商业等诸多方面,需要一个在交易方之间建立信任的基础。
对于高附加值的业务(例如智能电网),国家应该建立一系列可以选择加入的、能够相互配合的身份管理系统,以便为在线交易建立信任并提高隐私水平。
国家科学技术委员会下设的生物测定和身份管理附属委员会于2008年发布了一项报告,该报告提供了一个未来联邦身份管理构想以及一系列的研究与开发建议。联邦政府应把这项报告作为身份管理战略的一个出发点。
联邦政府应与国际伙伴进行合作,共同制定相关的政策,鼓励发展可以信任的全球体系,这种系统需要保护隐私权和公民自由并控制旨在保护公民与基础设施的法律实施活动的适当利用。
在国土安全第12号总统令的指导下,联邦政府正寻求在联邦事业中运用可相互通用的联邦身份认证机制。联邦政府应确保在联邦机构全面落实第12号总统令时,相关的资源都是可以利用的。联邦政府还应考虑让以下两方在国家紧急状态期间也能够使用联邦身份管理系统:重要基础设施的运营商,以及私营部门紧急响应与维修服务提供商。
全球化政策与供应链的整合
信息技术革命及自由贸易政策带来的结果之一,是为在全球范围内分布有设备设施的公司建立了一个全球性的环境,用于其信息与通信产品的研究、设计、制造与服务。这一全球市场通过为美国的高科技商品和服务打开世界范围内的市场,给美国创造了巨大的利益。然而,新的制造、设计与研究中心在全球范围内的出现,使人们更加担忧微小的硬件或软件操作会更加轻易地导致计算机和网络的崩溃。仿造产品已带来了非常明显的供应问题,但记录在案的明确、蓄意的破坏的例子却很少存在。
需要对风险管理进行一种广泛的整体分析,而不是全面地否定外国产品与服务。供应链攻击所面临的挑战是,老练的对手也许会缩小目标范围,仅专注于特殊的系统,这样基本上就会使操作变得让人无从察觉。国外制造的确会给民族国家的对手带来更加容易的破坏产品的机会,但是,通过招募重要的内线人员或其它的间谍活动,也可以实现同样的目标。
最好的防御也许是通过持续的创新来保证美国的市场领导地位。创新可以提高美国的市场领导地位,并且促进在维护具有弹性的、多样化的供应链与基础设施方面的最佳实践的应用。总统网络安全政策官与各部门机构应:
以国家安全局为国防部所做的工作为基础,通过综合服务管理局制定商业产品与服务的采购战略,以便建立市场激励机制,使安全成为硬件与软件产品设计、新的安全技术及安全的托管服务的一部分;
扩大同州、地方与原住民保留地政府及国际合作伙伴的合作关系以便使这些采购的市场影响最大化;
同国会一起识别相关的机制,以便能够让各部门机构在适当的特定情形下,在做出购买决定时考虑到相关的威胁信息;
从经济和威胁的角度出发,与业界一起提供威胁信息并确认管理供应链和内部风险的最佳方案。
保持国家安全/应急准备的能力
联邦政府保护美国民众和提供共同防御的义务,包括负责确保国家在危机时刻能够进行通信并做出响应。通信系统可能会最先遭受此类事件的冲击,因此必须具有可以恢复的韧性或能力,以便应对响应并保护政府的职能。《1934年通信法》授权总统当国家处于从“公共危险”到“战争”的不同警戒等级时,如果他认为有必要维护国家安全或防御并且存在必要的临界条件的话,他可以运用、控制或者中止联邦通信委员会管辖下的通信服务、系统和网络。第12472号行政命令要求建立一个政府和业界联合的国家协调中心以便为通信服务或设施在所有危机或紧急情况下的启动、协调、恢复或重建提供帮助。关于“国家连续性政策”(2007年5月4日)的国家安全第51号总统令暨国土安全第20号总统令在联邦政府内对有关连续性通信的职责进行了分配。
国土安全部正在努力朝着这一目标前进:帮助国家安全和紧急状况用户提供下一代网络的聚合信息服务,并确保在各种灾难及其它会致使公众用户遭受通信服务严重恶化或中断的事件期间,其所提供的服务具有极大成功的可能性。下一代网络在国家安全方面的改进将包括数据、音频与视频等多种服务。由于主要运营商和服务提供商所构想的各种架构具有较大差异,这会使得国土安全部的努力变得复杂化。为此,国土安全部正在考察、比较不同的方案,并争取在提交给标准组织进行考核的方案上与业界达成一致。联邦政府应:
针对下一代网络的国家安全与应急准备通信的能力,制定一个协调计划,包括进度时刻表与经费开支要求;提供联邦政府可以获取的附加服务的选择,或者引导政府将用在信息与通信基础设施上的投资用于提高在自然灾害、危机或冲突时期的通讯设施的存活性;与国际合作伙伴与标准制定机构进行配合,以便在遍布全球范围内的下一代网络环境中维护下一代国家安全/应急准备的通信能力;确保与行政部门连续性通信基础设施和下一代服务计划的开发相关的努力得到足够的人力资源支持。
第六章 行动计划
近期行动建议
⒈任命一名网络安全政策官,负责协调全国的网络安全政策与活动;该官员同时具有国家安全委员会和国家经济委员会双重职责。在国家安全委员会内增设一个职能强大的局,在网络安全政策官的领导下,协调政府部门间的网络安全战略和政策的制定。
⒉为总统批准实行确保信息和通信基础设施安全的最新国家战略做好准备。这一战略应包括对《国家网络安全综合计划》落实情况的评估,明确可以进一步发挥其成功经验的相关领域。
⒊将网络安全列为总统议事日程的优先项目,并制定工作业绩指标。
⒋在增设的国家安全委员会网络安全局中指派一名官员,负责公民隐私和自由权利事务。
⒌召集政府相关机构,就在制定政策过程中遇到的网络安全相关事宜进行清除跨越部门界限的法律分析研究;并制定统一的政策指导,以明确政府各部门网络安全工作的任务、职责和权限。
⒍发起一场促进网络安全公众意识的全国性教育运动。
⒎发展并完善政府对组建国际网络安全政策框架的观点与立场,加强与国际伙伴的关系,主动创新,解决所有与网络安全相关的问题。
⒏制订网络安全应急反应计划;启动旨在加强政府与私营企业伙伴关系的对话,理顺关系、加强协作,为扩大私营企业的参与并发挥其作用创造条件。
⒐与总统办事机构其它部门合作,制订出一个研究和发展战略的框架,侧重发展有助于提高数字基础设施安全性、可靠性、韧性和可信度的革命性技术;让研究界有权使用涉及重大事件的数据,以便开发手段,测试理论,并找出可行的解决办法。
⒑建立基于网络安全的身份管理构想和法律规定,以满足隐私和公民自由权利的关切,指导与加强隐私权保护的相关技术发展。
中期行动建议
⒈对于有关法律解释、政策应用及网络操作权限的机构间的分歧,改进其解决的过程。
⒉使用管理和预算局项目评估框架来确保各部门机构在追求网络安全目标时使用基于绩效的预算编制。
⒊扩大对关键教育项目和研发的支持,以便确保国家在信息时代的经济环境中保持持续的竞争能力。
⒋制定扩充与培训劳动力的战略,包括吸引并维持联邦政府内的网络安全专门技术人才。
⒌确定最高效、最有效的机制以便获得战略性警报、保持情态感知能力和事故响应能力。
⒍制定一系列的威胁情景和指标,用于风险管理决策、恢复规划及研发的优先顺序确定。
⒎在政府和私营部门之间制定一项程序以便协助防范、侦测并响应网络事故。
⒏建立网络安全相关的信息共享机制,消除有关隐私与专有信息的担忧并使信息共享具有互利性。
⒐制定相应的解决方案,要求在自然灾害、危机或冲突时期可以提供应急通信能力,同时确保网络的中立性。
⒑扩大与重要同盟之间有关网络事故和弱点的信息共享,并寻求双边和多边安排,这种安排将可以在提高经济与安全利益的同时,保护公民自由和隐私权。
⒒鼓励学术界和业界实验室之间的合作以便制定换代路径,以及鼓励快速采用研究与技术开发创新的刺激措施。
⒓利用基础设施目标和研发框架来帮助界定国家与国际标准制定机构的目标。
⒔对于高附加值的业务(例如智能电网),建立一系列可以选择加入的、能够相互配合的身份管理系统,以便为在线交易建立信任并提高隐私水平。
⒕完善政府采购战略,并且对于具有韧性且安全的硬件与软件产品、新的安全创新及安全的托管服务,建立市场激励机制。
第四篇:浅析2008年《美国国防战略报告》
于是,在反恐的大旗下,布什政府先后发动了阿富汗和伊拉克战争。虽然付出了巨大的代价,但是安全形势并没有达到布什政府预期的效果。在阿富汗,中央政府无力控制首都喀布尔之外的地区;在伊拉克,宗教、种族及地区的冲突愈演愈烈。同时,高额的战争费用招致民众的抗议,要求从伊拉克撤军的呼声不绝于耳。因此,该报告对恐怖主义威胁的夸大,旨在为布什政府对外战争的合法性辩护,以息民愤。
美国国防部在大谈恐怖主义威胁的同时,鉴于在两场战争中所付出的巨大代价,也理性的看到自身的不足。报告中多次提到,“纯粹的武力成功并不是最终的胜利”。美国应吸取在阿富汗和伊拉克战争中的经验,注重自身的非常规力量的构建。接下来,美国受到的最直接的威胁是来自非国家行为体采用的非对称性的战术。因此,五角大楼要重视以往忽略掉的非对称性的冲突。[6]对于反恐新手段,报告中指出,美国应该“更多倚重其软实力(soft?power)和盟友”。同时,“还应鼓励当地政府参与反恐进程,通过经济促发展,更好地保卫和管理自己”,“反恐是个长期的过程,不是一朝一夕或是一场战争就可以解决的,要实现从纯粹的单边向多边主义跨度的转变”。
第三,“非传统安全领域”的战略转向。不同于以往战略报告对传统安全领域以及恐怖主义带来的非对称威胁的热衷,2008年国防战略报告进一步指出,“接下来的20年里,伴随着快速的社会、文化、技术和地缘政治的改变,会出现新的物质压力,比如人口、资源、能源、气候和环境方面的挑战,可能会导致更多不确定性的产生。”?“这些不确定的因素,特别是大多数发展中国家的人口增长和大多数发达国家的人口负增长,以及相互之间人口流动趋势的改变,带来了资源、环境以及气候等方面的安全挑战”。这种新出现的非传统安全领域的挑战,正是全球化的不断加深以及美国自身的开放程度带来的,同时也是不可避免的。因此,回避不是办法,要积极加以应对。针对这些新出现的不确定因素,报告指出,美国国防部应该“对安全战略观进行大规模的更新”,“通过一些强有力的战略走向之间的相互作用,规划一个长远的安全环境”。
第四,地缘战略思维的回归和深化。美国是目前唯一的全球性超级大国,而欧亚大陆是全球的中心舞台。欧亚大陆权势分配的变化,对美国在全球的首要地位和美国的历史遗产,都将具有决定性的意义。[7]美国以其意识形态纽带一直维系着欧亚大陆西部的民主阵营。因此,从一定程度上可以说,美国欧亚大陆地缘政治的掌控取决于对欧亚大陆立足点的获取。而报告中对所谓的“流氓国家”和对中俄印的关系大量提及,也正体现了这一点。
所谓的“流氓国家”,是指“威胁国际秩序的朝鲜和伊朗”。对于参与六方会谈的朝鲜,美国虽早已提出将其从“无赖流氓国家”名单中去除,但是在2008年的国防战略报告中并没有履行诺言,而是继续“担忧朝鲜政权在核扩散和导弹扩散方面的问题”。同时,报告指出“伊朗政权资助恐怖主义,试图摧毁刚在伊拉克和阿富汗建立的脆弱的民主政权”。不难看出,美国所定义的流氓国家实质是在远东和中东两个具有重要战略地缘价值的国家。对这两个国家的界定以及美国心存的打击渴望,同遏制中国和俄罗斯是不能分开的。
对于正在崛起中的中国,2006年的美国安全政略报告,将其定义为“处于战略十字路口的国家”;在2008的国防战略报告中,明确了对中国应采取的战略对策:“美国国防部将通过塑造(shape)和防范(hedge)战略,来应对中国不断增强的军力及其使用方式的不确定性”;同时,在台海问题上,为了美国在亚太地区的地缘政治利益,必须维持台湾的分离现状。[8]对于“民主程度倒退以及对邻国采取能源和政治恫吓”的俄罗斯,由于其向美国挑战尚待时日,当务之急,要“强化在后苏联空间内的地缘政治多元化趋势,从而有效抑制俄罗斯的帝国野心”。报告中提到“希望印度在国际体系中以利益攸关方的身份承担更大的责任”,则是意欲抗衡地缘政治上的中国—巴基斯坦联盟。可以说,传统的“欧亚大陆中心论”在美国新保守主义那里,仍然占有很大的市场。
第五篇:报告(国土整理)[推荐]
报告
尊敬的县国土整理中心领导:
我东湖塘镇麻山村通过各级领导的重视和支持,现正在进行国土整理。国土整理项目确是一件功在当代、利在千秋的一件大好事,确实是一项利民工程,给当地百姓带来了很大的好处,但在设计上还有一些不妥的地方,现特提出几点请领导实地察看。
一、现有平整区范围内月湖七、八组有近200亩未进行平整,当地群众情绪大,迫切要求进行平整。因周边现已平整的地方改变了原有水系,平整后有利于水系重新布局和田块的划分。
二、月湖抽水机部,现新修渠道要求引水口要比吸水口宽,以增加水渠的水流量,新修靠河边的河堤请求加宽加高,有利于防止河水对渠道堤的冲击,防止洪水冲毁渠道。
三、月湖五组、六组茶子坳、雪花冲等组通往生产区的“三元桥”请求拓宽,以利于有近200亩田的机耕作业和方便群众的生产生活。
四、长塘一坝子塘的水沟请求排水沟变更为进水沟。以上几点意见妥否,请领导给予批复。
特此报告。
宁乡县东湖塘镇麻山村民委员会
2012年1月9日