但奧巴馬政府認為，還應該采取更多舉措，使公民有必要的工具保護自己，使企業(yè)能夠安全地運營和保護信息，政府也能夠保護民眾及提交的信息，這恰恰是此次發(fā)布《網(wǎng)絡安全國家行動計劃》(CNAP)的目的，它既提供了短期行動計劃，也給出了長期戰(zhàn)略目標，包括提高對網(wǎng)絡安全的關注和保護，保護隱私，保證公眾安全以及經(jīng)濟和國家安全，使美國民眾能夠更好地掌控數(shù)字安全。

 

 

　　從網(wǎng)上購物到公司運營，再到與我們喜愛的人溝通，網(wǎng)絡世界已經(jīng)從根本上重塑了人們的生活。但是，數(shù)字世界在給人們、企業(yè)、經(jīng)濟提供無限機遇的同時，也帶來新的威脅。罪犯、恐怖主義者以及一些國家都意識到，較之面對面的攻擊，在線攻擊更為容易。越來越多的敏感數(shù)據(jù)被存儲在網(wǎng)上，受到的網(wǎng)絡攻擊也愈演愈烈。當前，身份竊取成為美國增長最快的犯罪行為。創(chuàng)新者和企業(yè)促進美國經(jīng)濟增長并使得美國在全球居于領先位置，但是著名企業(yè)被黑或被欺騙的事情屢屢發(fā)生，使得越來越多的美國人不禁懷疑：技術帶來的好處是否要被其帶來的風險吞沒？

 

　　盡管美國可以應對、掌控威脅，但確實需要采取更積極的行動。如果要融入網(wǎng)絡，就要有適當?shù)谋Ｗo措施。這需要政府、企業(yè)、公民共同努力。為此，美國政府發(fā)布《網(wǎng)絡安全國家行動計劃》。

 

 

　　《網(wǎng)絡安全國家行動計劃》(CNAP)包含一系列短期舉措，以提高聯(lián)邦政府內(nèi)部乃至整個美國的網(wǎng)絡安全。但鑒于問題的復雜性和嚴峻性，總統(tǒng)要求政府外頂尖的戰(zhàn)略、企業(yè)和技術專家研究和匯報：如何提高網(wǎng)絡安全意識，保護隱私，保障公共安全以及經(jīng)濟、國家安全。奧巴馬表示，需要采取一些大膽的行動，提升美國在全球數(shù)字經(jīng)濟中的競爭力。

 

　　《網(wǎng)絡安全國家行動計劃》是美國政府七年來的經(jīng)驗總結，吸納了來自網(wǎng)絡安全趨勢、威脅、入侵等方面的教訓。這一計劃既包含聯(lián)邦政府近期行動，也有長期改進舉措，旨在全面提升聯(lián)邦政府、私營企業(yè)以及個人生活的網(wǎng)絡安全。CNAP的一些要點包括：

 

　　● 建立“國家網(wǎng)絡安全促進委員會”（Commission on Enhancing National Cybersecurity）——由頂尖的企業(yè)與技術專家組成，部分人員由國會任命，共同勾勒出一份為期十年、涵蓋公私兩方面的網(wǎng)絡安全技術、政策發(fā)展路線圖，以推廣各類最佳實踐。這項計劃將包含：強化網(wǎng)絡安全意識，保護隱私、公共安全，維護經(jīng)濟、國家安全并保證美國擁有更強大的數(shù)字安全控制能力，促進聯(lián)邦、州和本地政府以及企業(yè)間的合作。

 

　　● 專門分配31億美元的信息技術現(xiàn)代化基金，用于升級已過時或難維護的政府IT和網(wǎng)絡安全管理基礎設施。同時設立聯(lián)邦首席信息安全官（the Federal Chief Information Security Officer），監(jiān)督政府部門實施這些工作。其具體職責包括開發(fā)、管理并協(xié)調(diào)整個聯(lián)邦政府體系內(nèi)的網(wǎng)絡安全政策，以及操作的執(zhí)行。

 

　　● 加強在線賬戶的保護，除密碼外，輔以指紋、短信發(fā)送一次性密碼等更多安全措施。通過“國家網(wǎng)絡安全聯(lián)盟”（the National Cyber Security Alliance）發(fā)起新的國家網(wǎng)絡安全宣傳行動（National Cybersecurity Awareness Campaign），專注多重認證，以提升、培育信息消費者的網(wǎng)絡安全意識?！皣揖W(wǎng)絡安全聯(lián)盟”為非營利性組織，其成員包括美國國土安全部（DHS）以及賽門鐵克、思科、微軟、SAIC與EMC等私營企業(yè)。其呼吁并鼓勵使用多重驗證機制，同時實施一套尚未最終定名的“有效身份認證”方案。合作者包括Google、Facebook、DropBox、Microsoft等頂尖技術公司，以及MasterCard、Visa、PayPal和Venmo等交易服務公司。

 

　　● 2017財年預算中，網(wǎng)絡安全總體支出達190億美元，較2016財年增長35%。

 

 

　　經(jīng)過40多年的發(fā)展，計算機技術和互聯(lián)網(wǎng)給美國國家、民眾及其盟友帶來戰(zhàn)略性優(yōu)勢。但是如果基本的網(wǎng)絡安全、身份問題得不到解決，美國對數(shù)字基礎設施的依賴將成為戰(zhàn)略風險的來源。為此，必須了解和消除網(wǎng)絡脆弱性的根源，而不僅僅是解決現(xiàn)有問題，這需要長期的、國家層面的解決方案。

 

　　由此，總統(tǒng)成立“國家網(wǎng)絡安全促進委員會”，成員既包括政府外的戰(zhàn)略、企業(yè)和技術專家，也包括議會任命的兩黨議員。委員會的任務是制定未來十年的詳細行動建議，包括提高網(wǎng)絡安全意識，增強私有領域和政府部門的保護，保護隱私，維護公共安全以及經(jīng)濟、國家安全，使美國更好地掌控數(shù)字時代的安全。該委員會將受到美國國家標準與技術研究所（NIST）的全力支持。委員會將在2016年底前將相關發(fā)現(xiàn)和建議向總統(tǒng)匯報，并給出未來行動的路線圖。

 

 

　　1.加強聯(lián)邦政府網(wǎng)絡安全

 

　　聯(lián)邦政府的網(wǎng)絡安全能力得到極大提升，但仍有很多工作要做。為延續(xù)已有進步和解決聯(lián)邦網(wǎng)絡安全長久以來面臨的系統(tǒng)性挑戰(zhàn)，需重新審視聯(lián)邦政府網(wǎng)絡安全和信息技術的傳統(tǒng)做法——它要求各部門建立和維護自己的網(wǎng)絡。這些行動建立在《網(wǎng)絡安全跨部門優(yōu)先目標》（Cybersecurity Cross-Agency Priority Goals）和《2015年網(wǎng)絡安全戰(zhàn)略和實施計劃》（2015 Cybersecurity Strategy and Implementation Plan）奠定的基礎之上。

 

　　● 總統(tǒng)在2017年預算中專門設立 31 億美元的信息技術現(xiàn)代化基金，用以報廢、替換那些急需現(xiàn)代化的功能差、難以維護和保證安全的既有IT網(wǎng)絡和系統(tǒng)。

 

　　● 設立聯(lián)邦政府首席信息安全官（ Federal Chief Information Security Officer），用于監(jiān)督聯(lián)邦政府部門的網(wǎng)絡安全政策、計劃和實施。這是美國首次設立專職的高級政府職位，致力于制定、管理和協(xié)調(diào)整個聯(lián)邦政府范圍內(nèi)的網(wǎng)絡安全戰(zhàn)略、政策和運行。

 

　　● 要求相關部門確定、優(yōu)先考慮最有價值和面臨最大風險的IT資產(chǎn)，采取專門措施提升其安全性。

 

　　● 國土安全部、總務署等聯(lián)邦部門應該推動政府部門間IT和網(wǎng)絡安全共享服務的可用性，目標是使每個機構從業(yè)務建設、擁有和運行自己的IT設施中解放出來，提供更加高效、有效和安全的選擇，使他們免受最復雜的威脅。

 

　　● 拓展“愛因斯坦”項目，即國土安全部用于記錄、分析網(wǎng)絡流量并針對政府網(wǎng)絡信息進行入侵檢測的系統(tǒng)方案。總統(tǒng)的 2017年預算中支持所有聯(lián)邦民事機構都具備這些能力。

 

　　● 從聯(lián)邦政府和企業(yè)招聘最優(yōu)秀的網(wǎng)絡安全人才，將國土安全部下轄的民用網(wǎng)絡防御團隊增至48個，這些團隊將保護整個聯(lián)邦政府的民用網(wǎng)絡、系統(tǒng)和數(shù)據(jù)安全，實現(xiàn)滲透測試，主動跟蹤入侵者，并提供安全專業(yè)知識及事故響應服務。

 

　　● 聯(lián)邦政府將通過網(wǎng)絡空間安全教育國家法案等，加強網(wǎng)絡空間安全教育和全國培訓，雇用更多的網(wǎng)絡空間安全專家，以確保聯(lián)邦機構安全。

 

　　● 作為CNAP的一部分，總統(tǒng)預算在網(wǎng)絡空間安全人員方面投資6200 萬美元。這主要用于：

 

　　1) 通過建立網(wǎng)絡安全預備役（CyberCorps Reserve）計劃，為想獲得網(wǎng)絡安全教育，并在民事聯(lián)邦政府服務的美國人提供獎學金；

 

　　2) 開設網(wǎng)絡安全的核心課程，以確保想就職聯(lián)邦政府的網(wǎng)絡安全的畢業(yè)生，有必要的知識和技能；

 

　　3) 加強《國家網(wǎng)絡空間安全學術卓越中心計劃》（National Centersfor Academic Excellence in Cybersecurity Program），以增加參與的學術機構和學生數(shù)量，通過程序和課程的演變，豐富學生的知識；

 

　　4) 增加國家網(wǎng)絡安全學術卓越中心項目內(nèi)所涵蓋的大學與高校數(shù)量，同時將獎學金數(shù)額同聯(lián)邦政府網(wǎng)絡安全核心課程與網(wǎng)絡安全水平掛鉤。作為回饋，獎學金接收方將作為政府網(wǎng)絡安全計劃的參與者，并借此提升學生助學貸款金額。

 

　　其后續(xù)擴展包括，通過少數(shù)集中位置運行全部政府互聯(lián)網(wǎng)流量，并配合入侵檢測系統(tǒng)對其加以監(jiān)控。另外，擴展國土安全部之持續(xù)診斷與減災方案，以實現(xiàn)網(wǎng)絡風險評估自動化。

 

　　2.提升個人網(wǎng)絡安全防護能力

 

　　所有在線美國人日常生活的隱私和安全，與國家安全和經(jīng)濟狀況越來越緊密相關。新行動計劃基于總統(tǒng)的 2014年安全購買倡議（2014 BuySecure Initiative），旨在加強消費者數(shù)據(jù)的安全性：

 

　　● 總統(tǒng)呼吁當?shù)卿浽诰€賬戶時，不要僅僅使用密碼，要利用多重身份驗證。私營企業(yè)、非營利組織以及聯(lián)邦政府共同努力，通過新一輪的宣傳活動，重點是廣泛采用多重身份驗證，建立“一停二想再連接”的觀念，以及實施網(wǎng)絡空間可信身份國家戰(zhàn)略（National Strategy for Trusted Identities in Cyberspace），幫助更多的美國人實現(xiàn)聯(lián)機安全。國家網(wǎng)絡安全聯(lián)盟將與領先的技術公司和民間社團共同發(fā)力，使數(shù)以百萬用戶更容易保證自己的在線賬戶安全。這將提升公眾對個人網(wǎng)絡安全角色的認識。

 

　　● 在面向公民提供的數(shù)字服務中，聯(lián)邦政府正在加強多重身份驗證和身份證明。美國總務署將建立一個新計劃，當公民到聯(lián)邦政府部門辦理事務時，將更好地保護和保障數(shù)據(jù)和個人信息安全，包括稅收數(shù)據(jù)和福利信息交互。

 

　　● 政府當局正系統(tǒng)地評估，在哪些方面可以減少將社會安全號碼作為公民身份標識符的使用頻率。

 

　　● 美國聯(lián)邦貿(mào)易委員會最近重新啟動IdentityTheft.Gov網(wǎng)站，為受害者報告身份信息被盜事項提供一站式資源服務，可以創(chuàng)建個人信息的恢復計劃，打印預填充的信函，以及發(fā)送給征信機構、商業(yè)和債主的表格。

 

　　● 小企業(yè)管理局(SBA)與聯(lián)邦貿(mào)易委員會、美國國家標準和技術研究所(NIST)、能源部將通過68個SBA小企業(yè)管理局區(qū)域辦公室、9個國家標準和技術研究所NIST制造業(yè)擴展合作中心和全國其他區(qū)域網(wǎng)絡，為140萬個小企業(yè)和小企業(yè)利益相關者提供網(wǎng)絡安全培訓。

 

　　政府當局在總統(tǒng)安全購買倡議中設立里程碑舉措，以確保金融交易安全。到今天為止，聯(lián)邦政府已提供超過250萬張更安全的芯片加密碼的支付卡，財政部可以管理所有讀卡器完成向這個新技術的過度。在政府和私營部門帶領下，美國對更安全的芯片卡的發(fā)行量超過了世界上任何國家。

 

　　3.增強關鍵基礎設施安全性和恢復能力

 

　　美國的國家和經(jīng)濟安全取決于國家關鍵基礎設施的可靠運行。關鍵基礎設施的業(yè)主與運營商的持續(xù)合作將提高網(wǎng)絡和國家安全。這項工作基于之前有關網(wǎng)絡安全的 2013年關鍵基礎設施行政令（Executive Orders on Critical Infrastructure(2013)）和2015年信息共享的行政令（Executive Orders on InformationSharing）。

 

　　● 國土安全部、商務部和能源部正在調(diào)度資源和能力，以建立“國家網(wǎng)絡安全恢復能力中心”（National Center for Cybersecurity Resilience），公司和行業(yè)組織可以在一個 閉的環(huán)境中測試系統(tǒng)的安全性，例如電網(wǎng)遭受網(wǎng)絡攻擊的抗壓能力。

 

　　● 國土安全部將網(wǎng)絡安全顧問數(shù)翻倍，協(xié)助私營部門組織開展有針對性的網(wǎng)絡安全評估和最佳實踐。

 

　　● 國土安全部正在與UL等行業(yè)伙伴合作，制訂網(wǎng)絡空間安全保障計劃（Cybersecurity Assurance Program），以檢驗和證明“物聯(lián)網(wǎng)”中的聯(lián)網(wǎng)設備——無論是冰箱還是醫(yī)用輸液泵，使得用戶購買產(chǎn)品時，可以肯定它已獲認證，符合安全標準。

 

　　● 美國國家標準和技術研究所正在為進一步發(fā)展其網(wǎng)絡安全框架征求反饋意見。該框架的目標是提高關鍵基礎設施的網(wǎng)絡安全，這項工作已在美國及世界各地組織開展兩年。

 

　　2月8日，新的國家網(wǎng)絡空間安全卓越中心（National Cybersecurity Center of Excellence）剪彩，它是政府、企業(yè)合作的研究與發(fā)展平臺，將開發(fā)和部署高優(yōu)先級的網(wǎng)絡安全技術解決方案，并將新發(fā)現(xiàn)與更廣泛的團體共享。

 

　　政府當局呼吁主要醫(yī)療保險公司和醫(yī)療利益攸關者，幫助他們采取新的、重大的步驟，加強數(shù)據(jù)管理工作實踐，確保消費者可以信任他們，保證敏感的健康數(shù)據(jù)是安全、可靠和可用于指導臨床決策。

 

　　4.促進安全技術發(fā)展

 

　　雖然美國如今已經(jīng)在著力改善網(wǎng)絡防御，但未來國家還必須大力投資科學、技術、工具和基礎設施，確保這些技術工程應用時能夠滿足安全要求。

 

　　美國政府發(fā)布《2016年聯(lián)邦網(wǎng)絡安全研究和發(fā)展戰(zhàn)略計劃》（2016 Federal Cybersecurity Research and Development Strategic Plan）。這項計劃在《2014年網(wǎng)絡安全增強法案》中提出，勾畫出美國的國家戰(zhàn)略研究和開發(fā)目標，促進科學有效性和效率，驅動網(wǎng)絡安全技術的發(fā)展。

 

 

　　更好地保護數(shù)字基礎設施只是方案的一部分。美國必須帶領國際社會，將這些準則變?yōu)樨撠熑螄业男袨闇蕜t，包括在阻止、破壞惡意行為時。美國無法獨自實現(xiàn)這些目標——美國必須與盟友和全球合作伙伴一起行動。

 

　　2015年，G20成員國與美國就重要規(guī)范達成一致，包括國際法在網(wǎng)絡空間的適用性，各國政府不應該支持出于商業(yè)目的利用網(wǎng)絡盜取知識產(chǎn)權的行為，歡迎聯(lián)合國政府專家組發(fā)布相關報告、加強國際合作，防止對民用基礎設施的攻擊，支持計算應急小組提供重建和容災服務。美國政府試圖通過進一步的雙邊或多邊承諾，建立信任措施實施這些準則。

 

　　司法部包括聯(lián)邦調(diào)查局有關網(wǎng)絡安全的行動資金增加了超過23%，以提高識別、破壞和逮捕惡意網(wǎng)絡行為者的能力。美國軍方的網(wǎng)絡司令部正在組建133支共計6200人的網(wǎng)絡部隊。該部隊目前已開始參與一些網(wǎng)絡行動，按計劃將于2018年開始全面運行。

 

 

　　在注重預防和阻止惡意網(wǎng)絡行為的同時，美國還必須保持事件發(fā)生時的網(wǎng)絡恢復能力。2015年，美國受到大范圍的網(wǎng)絡入侵，從網(wǎng)絡犯罪到網(wǎng)絡間諜。吸取過去的教訓，可以提高未來網(wǎng)絡安全事件管理和網(wǎng)絡的恢復能力。

 

　　2016年春天，美國政府將發(fā)布國內(nèi)網(wǎng)絡安全事件合作的政策，以及評估事件嚴重性的方法，以使政府機構和私營企業(yè)間有效交流，并采取適當、一致的響應。

 

 

　　從建國之初，隱私在美國一直是關注的核心，而在數(shù)字時代隱私顯得尤其關鍵。美國政府做出突破性舉措，加強聯(lián)邦政府間合作，保護個人隱私和信息安全。

 

　　如今，總統(tǒng)簽署了成立“聯(lián)邦隱私委員會”（Federal Privacy Council）的行政令,將匯集政府各部門保護隱私的官員，以幫助確保更具有戰(zhàn)略性和綜合性的聯(lián)邦隱私準則的實施。像網(wǎng)絡安全、隱私必須得到有效和持續(xù)的關注，促進技術研發(fā)和創(chuàng)新，利用大數(shù)據(jù)帶來的好處，應對不斷演進的網(wǎng)絡威脅。

 

 

　　為了實現(xiàn)這些翻天覆地的變化，聯(lián)邦政府必須在網(wǎng)絡安全上投入更多的資源。這就是為什么2017年網(wǎng)絡安全的預算分配超過190億美元——在2016年的基礎上增加了35％。這些資源將使機構能夠提高他們的網(wǎng)絡安全水平，幫助私營部門、組織和個人更好地保護自己，破壞和阻止敵人的活動，并更有效地對網(wǎng)絡安全事件進行響應。