美国政府检讨网络政策 称孤立状态下不会获成功

序言

网络空间同现实中的每件事和每个人都有关联。它为改革和发展,以及提高全球繁荣提供了一个平台。但是随着这个管理疏松,缺少规范的数字化设施的范围不断扩展,就对国家,私营企业,和个人权利造成了巨大的风险。

政府有责任来同国家联合团体一起,应对这些战略性薄弱环节来保证美国和它的公民,实现信息技术革命的所有益处。

国家的数字化设施结构,很大程度依靠互联网,它既不安全也不容易恢复。如果在这些系统的安全措施上没有重要的优越性,或者他们构建或运作方式上没有重要改变,那么美国是否能保护自己免受日益增加的网络犯罪,和国家支持的入侵和行动就有问题了。我们的数字化设施已经遭到了多次入侵,让犯罪分子窃取了上千万的财富,也让其他国家和团体窃取了情报资产和敏感的军事信息。其他入侵威胁到了对我们重要设施的破坏。这些风险有可能减弱国家在这些支持着我们的经济和国家安全的信息系统上的信心。

联邦政府目前没有加以组织来有效的应付这些日益增多的问题。网络安全的责任在于整个联邦部门和机构,其中许多重复的机构,但却没有一个充分的决策机构来指导行动,坚持不断地应对这些问题。政府需要整合难以取舍的利益来制定一个全局观点和计划来应对这些美国所面临的网络安全相关的问题。国家需要制定政策,程序,人员和技术等要求用来减缓网络安全的相关风险的因素。

信息和通讯网大部分由私营部门拥有,并进行国内或国际性运作。因此应对网络安全的问题,就要求一个公私部门合作,以及国际合作和标准。美国需要一个全面的结构来保证协调政府,私营部门,和我们盟友对重大事故或威胁的反应和恢复。

美国需要开展一个针对网络安全的国家间对话,来发展更加广泛的威胁和风险意识,并保证一个综合办法满足国家的安全需要和国家对受宪法和法律保护的隐私权和公民自由的关注。

在通过新方法达到信息和通信设施上的安全和恢复能力上的研究工作依然不足。政府需要提高在可以帮助应对网络安全薄弱部分同时可以满足我们经济需要和国家安全要求的研究上加大投入。

执行摘要

总统指导了一个为期60天的,全面的“重头来过”的审核来评估美国在网络安全上的政策和结构。网络安全政策包括了在网络中行动和安全相关的战略,政策,和标准,并且包含了全面的降低威胁,减少薄弱环节,威慑,国际合作,事故反应,恢复,和复原等政策和活动,包括计算机网络行动,信息保障,执法,外交,军事,和情报任务等同全球信息和通信设施的安全和稳定息息相关的内容。这个范围不包括其他同国家的安全或保证设施安全无关的信息和通信政策。政府的网络安全专家评估团队吸收来自不同的工业,学术,公民自由和隐私团体,国家部门,国际伙伴和立法和执行部门的意见。本文总结了评估团队的结论,并列出了向一个可靠,恢复性强,值得信赖的未来数字设施发展的起点。

国家处于十字路口。链接全球的数字信息和通信设施被称为“网络空间”,它是现代社会中每个部门的基础,并且为美国的经济,民间设施,公共安全,和国家安全提供了重要的支持。这个技术改变了全球经济,并且以前所未有的方式把人们连接在一起。然而,网络安全风险是21世纪最严重的经济和国家安全挑战。数字化设施的结构对协同性和效用的考虑比安全性要多。相应地,不断增长的一些国家和非国家行为者正在损害,盗窃,改变或毁坏信息,并且可能对美国的系统造成重大破坏。同时,传统的电信和因特网依然不断趋于一致,而且其他的设施部门都把因特网作为一个主要的链接手段加以采用。美国面临着维持一个提高效用,革新和经济繁荣,以及自由贸易的环境,同时也要提高安全,可靠,公民自由和隐私权力等双重挑战。应对在网络空军中的薄弱环节是我们政府的一个基本责任,并且保证了美国和世界实现全面的信息技术革命。

当前状况让人无法接受。美国必须向全世界表明自己将在强大领下和长远观点下严肃对待这些挑战。领导层次需要提高并有力地发自于白宫内部,以便提供指导,协调行动,及达成预计效果。另外,联邦领导层和对网络空间的责任要予以加强。这个方法要求澄清联邦政府各个部门和机构在网络安全中的角色和责任,并提供政策,法律环节,和必要的协作来促进他们开展其任务。虽然过去两年工作开始了一些新的计划,并通过结合部门间彼此不同的任务而跨进了一大步,但是这些仍旧是不完整的解决方法。更者,这个议题超越了单个部门或机构的视野,因为虽然每个部门有一个特别的任务需要完成,但是没有哪个单一个部门能够有足够宽的视野或授权来满足涤除问题的要求。

在网络安全上的国家之间的对话必须马上开始。政府应该和业界一起阐明这个挑战并讨论国家可以做什么来解决这个美国人民急需解决的问题。人们在没有清楚了解风险的程度时就不会考虑安全的价值。因此联邦政府应该根据之前成功的运动发动一个全国性的公众意识和教育运动。甚至同1957年10月发射了人造地球卫星之后的时期类似,美国处在一个依靠数学和科学技能的全球竞争环境下。虽然我们可以继续夸大对世界上信息技术公司最正面的环境,但是美国还是应该发展一个美国公民必要的力量来进行全球竞争并维持领先位置。

美国在孤立状态下不会在网络安全上获得成功。联邦政府应该增强其同私营部门的合作关系。公共部门和私营部门在保证一个安全可靠的设施上有共同的责任,两者利益密不可分。联邦政府可以有几个方法同私营部门合作,而且需要探究更多备用选项。网络安全上的公私合作必须不断发展以清晰地定义关系的性质,包括每个方面的责任和角色。联邦政府应该考察现有的公私关系来优化它们的能力,确认优先事项,并促进有效地开展切实的行动。

国家也需要一个网络安全战略来形成国际环境,并把利益一致的国家集中起来应对一系列的问题,如有关司法所属地,主权责任和运用部队等技术标准和可接受法律标准。国际标准对建立一个安全,发达的数字化设施非常关键。另外,不同的国家和地区法律,法规----如关于调查和起诉网络犯罪;数据保存,保护,和隐私;网络防御方法和地域网络攻击等---为达成一个安全,可靠,以及恢复性强的数字环境带来了严重挑战。只有同国际伙伴合作,美国才可能应付这些挑战,提高网络安全,和获得数字时代的益处。

联邦政府不能够完全代表或废除其在保证国家在网络事故或攻击中的角色

联邦政府有责任保护和防御国家,各级政府都有责任保证公民的安全和健康。私营部门设计,建造,拥有和运营这些数字化设施中的大部分,它们支持着政府和私营部门的使用者。美国需要一个全面的框架来保证一个联邦,州,当地和民族政府部门,私营部门和国际盟友对重大事故的协同反应。这个框架的实施将要求制定报告界定点,可升级的反应和恢复计划,以及成功完成这些计划必要的协作,信息分享,和事故报告机制。政府同关键的部门一起设计一个有效的机制来达到真正的同步作业,以及整合政府和私营部门所提供的信息,并作为不断完善和优先应对薄弱环节消除和事故反应决定等工作的基础。

同私营部门一起,为下一代设施的性能和安全目标加以定义。美国需要管理技术带来的所有益处来应付国家的经济需要和国家安全要求。联邦政策应该保证国家安全,知识产权保护,和设施的有效性和持续性等要求,就算是受到强敌攻击也要如此。联邦政府通过与私营部门的合作和按照学术界的需要来制定协调的国家信息和通信设施目标。政府同国家和地区合作伙伴一起确定采购战略,可以促进市场生产更为安全的产品和服务。其他政府应当开发的激励机制包括对税收补贴的调整(减少税收来提供安全性,或对那些安全程度低下的后果增加税收),补偿,税收鼓励,和新的调整要求和遵守机制。”

白宫必须引领发展。国家15年来的网络安全措施赶不上威胁的增长步伐。我们需要向国内外展示,美国严肃对待同网络安全相关的议题,政策和活动。这要求白宫全面利用全国的力量,建议和概念。

2009-8-11    来源:中国网