奥巴马@@自称是美国第一位@@“网络总统@@”,竞选时靠小额网络捐款筹得大笔@@经费@@,上任后高度重视网络空间@@的战略地位@@,大力推进网络安全@@等各项建设@@。2月@@12日@@,白宫宣布启动广受关注@@的@@《网络安全@@框架@@》,在@@网络安全@@建设领域取得了新的进步@@。奥巴马@@发表声明称@@,“这标志着一个@@转折点@@”,强调加强网络安全@@还需做更多@@工作@@。这份自愿性公私合作框架能否成为一个@@转折点还难说@@,但其网络安全@@政策议程仍需克服巨大困难倒是事实@@。
“公私合作的绝佳范例@@”
由美国商务部@@牵头@@、国土安全部@@配合的这次@@政策行动为期刚好一年@@@@。去年@@@@2月@@12日@@,奥巴马@@发表年@@度国情咨文时强调要@@“提高关键基础设施的网络安全@@@@”,随后签署第@@13636号总统行政命令@@,指示隶属美国商务部@@的国家标准与技术研究所与有关方面合作@@,开发改善与民营部@@门信息共享@@、提高整个@@关键基础设施网络安全@@水@@平的措施@@。
国家标准与技术研究所推出的这份@@39页的@@《提高关键基础设施网络安全@@框架@@@@》(1.0版@@),包括摘要@@、三章和@@三个@@附件@@,核心是所提出的网络安全@@风险管理生命周期五环论@@,期望用@@“最佳行为指南@@”为私营部@@门管理网络安全@@风险提供指引@@。由识别@@、防护@@、监测@@、反应@@、恢复@@5个@@环节组成的框架核心@@,包含@@22类@@活动@@,并进一步细分@@98个@@子类@@@@。识别环节有资产管理@@、商业环境@@、业务管理@@、风险评估@@、风险管理策略@@,防护@@环节包括访问控制@@、感知与训练@@、数据@@安全@@、信息保护流程与程序@@、运营维护@@、防护@@性技术@@,监测@@环节有异常与事件@@、持续安全监视@@、监测@@流程@@,反应@@环节则有反应@@规则@@、联络@@、分析@@、减轻后果@@、增强功能@@,恢复@@环节包括恢复@@规划@@、改进措施@@、联络@@。基于这些活动@@,框架还提供两种风险安全状态及@@4个@@层次@@的实施框架@@。
当日@@@@,美国国土安全部@@还推出了@@“C立方@@”项目@@,即@@“关键基础设施网络界自愿项目@@@@”进行配套建设@@,为所有自愿参考本框架的组织机构提供免费支持@@。
奥巴马@@称@@,这份文件反映了数百家公司@@、多个@@联邦机构和@@世界各地贡献的良好工作@@。这个@@自愿性的框架是民营部@@门与政府@@能够并应该一道努力应对共同挑战的绝佳范例@@。美国媒体分析@@称@@,业界对这份框架表示了@@“温和@@地欢迎@@”。著名管理和@@技术咨询@@公司博思艾伦咨询@@公司一名专家指出@@,框架是一个@@好的开始@@,为所有组织机构如何采取行动以提高网络安全@@整体水@@平提供了信息@@。网络安全@@专家威斯列表示@@,国家标准与技术研究所能在@@短短一年@@完成此份框架是个@@壮举@@,该框架为今后制定相关的行业标准提供了一张蓝图@@。
核心问题是建立互信@@
在@@宣布@@“C立方@@”项目@@时@@,美国国土安全部@@部@@长杰伊@@·约翰逊指出@@,本框架的一个@@核心目标就是在@@政府@@与私营机构之间建立信任和@@联系@@。互信确实一直是奥巴马@@政府@@在@@国内外推进网络安全@@建设和@@合作所面临的一个@@重大问题@@,斯诺登事件后@@,这一问题更加严重@@。
美国智库战略与国际问题研究中@@心报告指出@@,在@@公私合作上@@,应将注意力集中@@在@@两个@@关键问题上@@:如何在@@政府@@和@@公司决策者之间建立信任@@,如何将精力集中@@在@@网络空间@@中@@真正重要的地方@@。信任是政府@@和@@私营机构之间建立伙伴关系的成功基础@@。在@@过去几年@@中@@@@,尽管双方都有良好的合作意愿@@,但政府@@和@@私营机构之间的信任却在@@不断下滑@@。报告还指出@@,信任是建立在@@人际关系之上的@@,大而松散的组织再加上人员频繁变动是不可能建立起信任的@@。当政府@@部@@门@@的高级官员不再为此努力@@,当政府@@计划和@@行政程序缺乏透明度或者不适当时@@,相互信任也会因此受到影响@@。根据@@《联邦顾问委员会法案@@》建立的高级机构将为重建信任奠定基础@@。
奥巴马@@政府@@的首份@@《网络空间@@安全政策评估报告@@》也指出了妨碍公私合作的几个@@障碍@@:私营部@@门不愿向政府@@透露敏感或专有商业信息@@;共享信息可能损害公司名誉或引发新的管制和@@责任@@;政府@@为保护情报来源@@和@@方法会限制信息共享@@。斯诺登事件使得包括谷歌在@@内的网络巨头致函美国政府@@自清@@,受此打击@@,私营部@@门对联邦政府@@的信任进一步下滑@@。有统计称@@,该事件已经使美国企业损失了数十亿美元的订单@@。
在@@国际合作方面@@,德国总理默克尔此前表示@@,在@@2月@@19日@@与法国总统奥朗德会见时会提议在@@欧洲建立一个@@通讯网络以提升欧洲的数据@@资料安全@@,并讨论@@“通过欧洲供应商来向我们的公民提供安全保障@@,让人们不需要通过美国那边来传送电子邮件和@@其他资料@@”。
法律保障依然滞后@@
奥巴马@@在@@声明中@@称@@,将再次@@敦促国会推进网络安全@@立法@@,一方面保护我们的国家@@,另一方面也保护我们的隐私和@@公民自由@@。与此同时@@,政府@@将继续采取行动@@,根据@@现有的权力保护国家免受这一威胁@@。这一表态反映了奥巴马@@政府@@在@@网络安全@@立法中@@的挫折情绪和@@通过行政手段推进网络安全@@建设的决心@@。
据美国国会研究部@@统计@@,1984年@@至@@2009年@@,美国通过含有网络安全@@相关条文的法律有@@36部@@,奠定了美国网络安全@@建设的基本法律基础@@。但自@@2002年@@以来@@,美国国会没有通过一部@@综合性的网络安全@@法律@@,也没有形成网络安全@@立法的基本框架@@。以关键基础设施的界定为例@@,2003年@@小布什政府@@颁布的美国第一部@@@@《确定网络安全@@国家战略@@》中@@,核心基础设施涉及@@12个@@类@@别@@,包括农业@@、食品@@、水@@、公共卫生@@、紧急事件处置@@、国防基础工业@@、信息与电信@@、能源@@、运输@@、银行与财政@@、化工与危险品@@、邮电和@@货运等部@@门@@。奥巴马@@政府@@上任之际@@,美国国土安全部@@将关键部@@门扩大到@@18个@@。美国智库报告称这一现象反映了抓不住重点和@@怕得罪人的倾向@@,“无所不备则无所不寡@@”,所以建议关键网络基础设施主要包括电力@@、金融@@、信息集成与通讯@@、政府@@部@@门@@4类@@。至今@@,美国仍没有法律层面明确关键基础设施的内涵@@。
美国媒体分析@@指出@@,作为一份自愿性的文件@@,本框架如想获得业界大力支持@@,需要有税收优惠@@、事后追责等方面的法律支持@@,而这些都得通过美国国会进行立法@@。奥巴马@@将@@2014年@@称为@@“行动之年@@@@”,表示如不能从国会获得支持@@,将通过自己的@@“笔@@”和@@“电话@@”,以签署行政命令和@@直接联系民众的方式推进政策议程@@,但在@@网络安全@@这一带有全局性@@、战略性和@@长远性的重大问题上@@,法律保障不跟上@@,奥巴马@@恐难有大的作为@@。
