美国白宫 《网络安全国家行动计划》(2016年2月）

主页（http://www.pttcn.net）：美国白宫 《网络安全国家行动计划》(2016年2月）

编者按：2月9日，奥巴马公布《网络安全国家行动计划》，将从提升网络基础设施水平、加强专业人才队伍建设、增进与企业的合作等五个方面入手，全面提高美国在数字空间的安全。该行动计划中的多项决策值得关注，包括：提议在国会2017财政年度预算中拿出190亿美元用于加强网络安全，第一次设立联邦首席信息安全官（CISO），下令成立国家网络安全促进委员会、联邦政府隐私委员会等。

中国信通院数据研究中心第一时间将该行动计划的内容进行了较为详细的编译，供参考。

正文摘译：

从上任之初，奥巴马总统就将网络安全视作美国面临的最大挑战之一，并采取了各种应对举措。如在刚刚过去的2015年，和国会一起发布了《网络安全法》（the Cybersecurity Act of 2015），提供必要的网络安全工具，尤其是使私营企业与政府间可以更轻松地共享网络威胁信息。

但奥巴马政府认为，还应该采取更多举措，使公民有必要的工具保护自己，使企业能够安全地运营和保护信息，政府也能够保护民众及提交的信息，这恰恰是此次发布《网络安全国家行动计划》(CNAP)的目的，它既提供了短期行动计划，也给出了长期战略目标，包括提高对网络安全的关注和保护，保护隐私，保证公众安全以及经济和国家安全，使美国民众能够更好地掌控数字安全。

(一)面临的挑战

从网上购物到公司运营，再到与我们喜爱的人沟通，网络世界已经从根本上重塑了人们的生活。但是，数字世界在给人们、企业、经济提供无限机遇的同时，也带来新的威胁。罪犯、恐怖主义者以及一些国家都意识到，较之面对面的攻击，在线攻击更为容易。越来越多的敏感数据被存储在网上，受到的网络攻击也愈演愈烈。当前，身份窃取成为美国增长最快的犯罪行为。创新者和企业促进美国经济增长并使得美国在全球居于领先位置，但是著名企业被黑或被欺骗的事情屡屡发生，使得越来越多的美国人不禁怀疑：技术带来的好处是否要被其带来的风险吞没？

尽管美国可以应对、掌控威胁，但确实需要采取更积极的行动。如果要融入网络，就要有适当的保护措施。这需要政府、企业、公民共同努力。为此，美国政府发布《网络安全国家行动计划》。

(二)主要举措

《网络安全国家行动计划》(CNAP)包含一系列短期举措，以提高联邦政府内部乃至整个美国的网络安全。但鉴于问题的复杂性和严峻性，总统要求政府外顶尖的战略、企业和技术专家研究和汇报：如何提高网络安全意识，保护隐私，保障公共安全以及经济、国家安全。奥巴马表示，需要采取一些大胆的行动，提升美国在全球数字经济中的竞争力。

《网络安全国家行动计划》是美国政府七年来的经验总结，吸纳了来自网络安全趋势、威胁、入侵等方面的教训。这一计划既包含联邦政府近期行动，也有长期改进举措，旨在全面提升联邦政府、私营企业以及个人生活的网络安全。CNAP的一些要点包括：

● 建立“国家网络安全促进委员会”（Commission on Enhancing National Cybersecurity）——由顶尖的企业与技术专家组成，部分人员由国会任命，共同勾勒出一份为期十年、涵盖公私两方面的网络安全技术、政策发展路线图，以推广各类最佳实践。这项计划将包含：强化网络安全意识，保护隐私、公共安全，维护经济、国家安全并保证美国拥有更强大的数字安全控制能力，促进联邦、州和本地政府以及企业间的合作。

● 专门分配31亿美元的信息技术现代化基金，用于升级已过时或难维护的政府IT和网络安全管理基础设施。同时设立联邦首席信息安全官（the Federal Chief Information Security Officer），监督政府部门实施这些工作。其具体职责包括开发、管理并协调整个联邦政府体系内的网络安全政策，以及操作的执行。

● 加强在线账户的保护，除密码外，辅以指纹、短信发送一次性密码等更多安全措施。通过“国家网络安全联盟”（the National Cyber Security Alliance）发起新的国家网络安全宣传行动（National Cybersecurity Awareness Campaign），专注多重认证，以提升、培育信息消费者的网络安全意识。“国家网络安全联盟”为非营利性组织，其成员包括美国国土安全部（DHS）以及赛门铁克、思科、微软、SAIC与EMC等私营企业。其呼吁并鼓励使用多重验证机制，同时实施一套尚未最终定名的“有效身份认证”方案。合作者包括Google、Facebook、DropBox、Microsoft等顶尖技术公司，以及MasterCard、Visa、PayPal和Venmo等交易服务公司。

● 2017财年预算中，网络安全总体支出达190亿美元，较2016财年增长35%。

(三)设立“国家网络安全促进委员会”

经过40多年的发展，计算机技术和互联网给美国国家、民众及其盟友带来战略性优势。但是如果基本的网络安全、身份问题得不到解决，美国对数字基础设施的依赖将成为战略风险的来源。为此，必须了解和消除网络脆弱性的根源，而不仅仅是解决现有问题，这需要长期的、国家层面的解决方案。

由此，总统成立“国家网络安全促进委员会”，成员既包括政府外的战略、企业和技术专家，也包括议会任命的两党议员。委员会的任务是制定未来十年的详细行动建议，包括提高网络安全意识，增强私有领域和政府部门的保护，保护隐私，维护公共安全以及经济、国家安全，使美国更好地掌控数字时代的安全。该委员会将受到美国国家标准与技术研究所（NIST）的全力支持。委员会将在2016年底前将相关发现和建议向总统汇报，并给出未来行动的路线图。

(四)提升国家整体网络安全水平

1.加强联邦政府网络安全

联邦政府的网络安全能力得到极大提升，但仍有很多工作要做。为延续已有进步和解决联邦网络安全长久以来面临的系统性挑战，需重新审视联邦政府网络安全和信息技术的传统做法——它要求各部门建立和维护自己的网络。这些行动建立在《网络安全跨部门优先目标》（Cybersecurity Cross-Agency Priority Goals）和《2015年网络安全战略和实施计划》（2015 Cybersecurity Strategy and Implementation Plan）奠定的基础之上。

● 总统在2017年预算中专门设立 31 亿美元的信息技术现代化基金，用以报废、替换那些急需现代化的功能差、难以维护和保证安全的既有IT网络和系统。

● 设立联邦政府首席信息安全官（ Federal Chief Information Security Officer），用于监督联邦政府部门的网络安全政策、计划和实施。这是美国首次设立专职的高级政府职位，致力于制定、管理和协调整个联邦政府范围内的网络安全战略、政策和运行。

● 要求相关部门确定、优先考虑最有价值和面临最大风险的IT资产，采取专门措施提升其安全性。

● 国土安全部、总务署等联邦部门应该推动政府部门间IT和网络安全共享服务的可用性，目标是使每个机构从业务建设、拥有和运行自己的IT设施中解放出来，提供更加高效、有效和安全的选择，使他们免受最复杂的威胁。

● 拓展“爱因斯坦”项目，即国土安全部用于记录、分析网络流量并针对政府网络信息进行入侵检测的系统方案。总统的 2017年预算中支持所有联邦民事机构都具备这些能力。

● 从联邦政府和企业招聘最优秀的网络安全人才，将国土安全部下辖的民用网络防御团队增至48个，这些团队将保护整个联邦政府的民用网络、系统和数据安全，实现渗透测试，主动跟踪入侵者，并提供安全专业知识及事故响应服务。

● 联邦政府将通过网络空间安全教育国家法案等，加强网络空间安全教育和全国培训，雇用更多的网络空间安全专家，以确保联邦机构安全。

● 作为CNAP的一部分，总统预算在网络空间安全人员方面投资6200 万美元。这主要用于：

1) 通过建立网络安全预备役（CyberCorps Reserve）计划，为想获得网络安全教育，并在民事联邦政府服务的美国人提供奖学金；

2) 开设网络安全的核心课程，以确保想就职联邦政府的网络安全的毕业生，有必要的知识和技能；

3) 加强《国家网络空间安全学术卓越中心计划》（National Centersfor Academic Excellence in Cybersecurity Program），以增加参与的学术机构和学生数量，通过程序和课程的演变，丰富学生的知识；

4) 增加国家网络安全学术卓越中心项目内所涵盖的大学与高校数量，同时将奖学金数额同联邦政府网络安全核心课程与网络安全水平挂钩。作为回馈，奖学金接收方将作为政府网络安全计划的参与者，并借此提升学生助学贷款金额。

其后续扩展包括，通过少数集中位置运行全部政府互联网流量，并配合入侵检测系统对其加以监控。另外，扩展国土安全部之持续诊断与减灾方案，以实现网络风险评估自动化。

2.提升个人网络安全防护能力

所有在线美国人日常生活的隐私和安全，与国家安全和经济状况越来越紧密相关。新行动计划基于总统的 2014年安全购买倡议（2014 BuySecure Initiative），旨在加强消费者数据的安全性：

● 总统呼吁当登录在线账户时，不要仅仅使用密码，要利用多重身份验证。私营企业、非营利组织以及联邦政府共同努力，通过新一轮的宣传活动，重点是广泛采用多重身份验证，建立“一停二想再连接”的观念，以及实施网络空间可信身份国家战略（National Strategy for Trusted Identities in Cyberspace），帮助更多的美国人实现联机安全。国家网络安全联盟将与领先的技术公司和民间社团共同发力，使数以百万用户更容易保证自己的在线账户安全。这将提升公众对个人网络安全角色的认识。

● 在面向公民提供的数字服务中，联邦政府正在加强多重身份验证和身份证明。美国总务署将建立一个新计划，当公民到联邦政府部门办理事务时，将更好地保护和保障数据和个人信息安全，包括税收数据和福利信息交互。

● 政府当局正系统地评估，在哪些方面可以减少将社会安全号码作为公民身份标识符的使用频率。

● 美国联邦贸易委员会最近重新启动IdentityTheft.Gov网站，为受害者报告身份信息被盗事项提供一站式资源服务，可以创建个人信息的恢复计划，打印预填充的信函，以及发送给征信机构、商业和债主的表格。

● 小企业管理局(SBA)与联邦贸易委员会、美国国家标准和技术研究所(NIST)、能源部将通过68个SBA小企业管理局区域办公室、9个国家标准和技术研究所NIST制造业扩展合作中心和全国其他区域网络，为140万个小企业和小企业利益相关者提供网络安全培训。

政府当局在总统安全购买倡议中设立里程碑举措，以确保金融交易安全。到今天为止，联邦政府已提供超过250万张更安全的芯片加密码的支付卡，财政部可以管理所有读卡器完成向这个新技术的过度。在政府和私营部门带领下，美国对更安全的芯片卡的发行量超过了世界上任何国家。

3.增强关键基础设施安全性和恢复能力

美国的国家和经济安全取决于国家关键基础设施的可靠运行。关键基础设施的业主与运营商的持续合作将提高网络和国家安全。这项工作基于之前有关网络安全的 2013年关键基础设施行政令（Executive Orders on Critical Infrastructure(2013)）和2015年信息共享的行政令（Executive Orders on InformationSharing）。

● 国土安全部、商务部和能源部正在调度资源和能力，以建立“国家网络安全恢复能力中心”（National Center for Cybersecurity Resilience），公司和行业组织可以在一个封闭的环境中测试系统的安全性，例如电网遭受网络攻击的抗压能力。

● 国土安全部将网络安全顾问数翻倍，协助私营部门组织开展有针对性的网络安全评估和最佳实践。

● 国土安全部正在与UL等行业伙伴合作，制订网络空间安全保障计划（Cybersecurity Assurance Program），以检验和证明“物联网”中的联网设备——无论是冰箱还是医用输液泵，使得用户购买产品时，可以肯定它已获认证，符合安全标准。

● 美国国家标准和技术研究所正在为进一步发展其网络安全框架征求反馈意见。该框架的目标是提高关键基础设施的网络安全，这项工作已在美国及世界各地组织开展两年。

2月8日，新的国家网络空间安全卓越中心（National Cybersecurity Center of Excellence）剪彩，它是政府、企业合作的研究与发展平台，将开发和部署高优先级的网络安全技术解决方案，并将新发现与更广泛的团体共享。

政府当局呼吁主要医疗保险公司和医疗利益攸关者，帮助他们采取新的、重大的步骤，加强数据管理工作实践，确保消费者可以信任他们，保证敏感的健康数据是安全、可靠和可用于指导临床决策。

4.促进安全技术发展

虽然美国如今已经在着力改善网络防御，但未来国家还必须大力投资科学、技术、工具和基础设施，确保这些技术工程应用时能够满足安全要求。

美国政府发布《2016年联邦网络安全研究和发展战略计划》（2016 Federal Cybersecurity Research and Development Strategic Plan）。这项计划在《2014年网络安全增强法案》中提出，勾画出美国的国家战略研究和开发目标，促进科学有效性和效率，驱动网络安全技术的发展。

(五) 阻止、劝阻并破坏网络空间的恶意行为

更好地保护数字基础设施只是方案的一部分。美国必须带领国际社会，将这些准则变为负责任国家的行为准则，包括在阻止、破坏恶意行为时。美国无法独自实现这些目标——美国必须与盟友和全球合作伙伴一起行动。

2015年，G20成员国与美国就重要规范达成一致，包括国际法在网络空间的适用性，各国政府不应该支持出于商业目的利用网络盗取知识产权的行为，欢迎联合国政府专家组发布相关报告、加强国际合作，防止对民用基础设施的攻击，支持计算应急小组提供重建和容灾服务。美国政府试图通过进一步的双边或多边承诺，建立信任措施实施这些准则。

司法部包括联邦调查局有关网络安全的行动资金增加了超过23%，以提高识别、破坏和逮捕恶意网络行为者的能力。美国军方的网络司令部正在组建133支共计6200人的网络部队。该部队目前已开始参与一些网络行动，按计划将于2018年开始全面运行。

(六)提高网络事件响应能力

在注重预防和阻止恶意网络行为的同时，美国还必须保持事件发生时的网络恢复能力。2015年，美国受到大范围的网络入侵，从网络犯罪到网络间谍。吸取过去的教训，可以提高未来网络安全事件管理和网络的恢复能力。

2016年春天，美国政府将发布国内网络安全事件合作的政策，以及评估事件严重性的方法，以使政府机构和私营企业间有效交流，并采取适当、一致的响应。

(七)保护个人隐私

从建国之初，隐私在美国一直是关注的核心，而在数字时代隐私显得尤其关键。美国政府做出突破性举措，加强联邦政府间合作，保护个人隐私和信息安全。

如今，总统签署了成立“联邦隐私委员会”（Federal Privacy Council）的行政令,将汇集政府各部门保护隐私的官员，以帮助确保更具有战略性和综合性的联邦隐私准则的实施。像网络安全、隐私必须得到有效和持续的关注，促进技术研发和创新，利用大数据带来的好处，应对不断演进的网络威胁。

(八)加大网络安全资金投入

为了实现这些翻天覆地的变化，联邦政府必须在网络安全上投入更多的资源。这就是为什么2017年网络安全的预算分配超过190亿美元——在2016年的基础上增加了35％。这些资源将使机构能够提高他们的网络安全水平，帮助私营部门、组织和个人更好地保护自己，破坏和阻止敌人的活动，并更有效地对网络安全事件进行响应。