美国国家网络安全促进委员会报告《加强国家网络安全
——促进数字经济的安全与发展》（编译）

2016年12月1日，奥巴马总统直属的美国国家网络安全促进委员会（以下简称“委员会”）发布了《加强国家网络安全——促进数字经济的安全与发展》报告，提出关于网络安全建设的建议，希望下一届政府继续将网络安全置于美国国家安全的优先位置。委员会表示，考虑到网络安全问题的紧迫性，大部分建议可以而且应该在短期内开始，下一任新政府应在执政头100天即启动计划。

以下为该报告的简要编译。

一、委员会成员

委员会主席托马斯•多尼隆，美迈斯律师事务所副主席，总统奥巴马的前国家安全顾问；

委员会副主席彭明盛，IBM公司前董事长和CEO；

基思•亚历山大，IronNet Cybersecurity创始人兼CEO，前国家安全局局长，美国网络空间司令部前司令；

安妮•安顿，美国佐治亚理工学院互动计算学院院长；

彭安杰，万事达公司总裁兼CEO；

史蒂文•查彬斯基，美国伟凯律师事务所全球数据、隐私和网络安全主席；

派崔克•盖勒，匹兹堡大学校长，标准与技术研究所前所长；

彼得•李，微软研究院副总裁；

林赫伯，斯坦福大学国家安全与合作中心网络政策与安全高级研究学者；

希瑟•穆伦，美国金融危机调查委员会前专员，内华达癌症研究所创始人，美林证券全球消费品研究前总经理；

苏利文，Uber公司首席安全官；

马吉•维尔德罗特，Grand Reserve酒店主席兼CEO，边际通讯公司前执行主席。

另：基尔斯滕·托德，加强国家网络安全委员会执行委员

二、报告形成过程

2016年2月9日，奥巴马公布13718行政命令《网络安全国家行动计划》（以下简称“行动计划”），总结其执政7年的网络治理经验，从提升联邦政府网络安全能力、加大网络安全资金投入、增强关键基础设施安全性和恢复能力、提升网络事件响应能力以及保护个人隐私等方面提出建议。本报告是《行动计划》的一部分。

因为认识到互联技术给数字经济带来的非凡利益，同时注意到随之而来的网络环境安全威胁构成的挑战，奥巴马总统成立了加强国家网络安全委员会。指示其评估国家的网络安全状况，制定切实可行的建议，确保数字经济安全。总统要求加强网络安全的同时要保护隐私，确保公共安全和经济、国家安全，并促进发现和发展新的技术解决方案。

委员会中4人由参议院两党领导人和众议院代表推荐，其他人由总统选定。部分联邦机构提供主题相关专家和其他工作人员协助委员会收集和分析信息。这些机构包括商务部的国家标准与技术研究所（NIST），担任该委员会的秘书处；美国国土安全部（DHS）；国防部（DoD）；司法部（DOJ）；总务管理局（GSA）和财政部。所有工作人员在委员会指示下工作。

根据行政命令，委员会确定了10个网络安全主题：

•联邦治理

•关键基础设施

•网络安全研发

•网络安全的劳动力

•身份管理和认证

•物联网

•宣传和教育

•州和地方政府的网络安全

•预防措施

•国际问题

委员会主要做了三方面工作：

1.举办了6次全国公开听证会，收集主题相关信息。

2.审查联邦行政和立法部门以及私营部门过去编制的报告，从全国各地的网络安全状况综合分析到具体领域的高度针对性分析。

3.发布公开征集意见，邀请广大市民共享事实和意见。

委员会还考虑了更广泛的影响这些主题的趋势和问题，特别是信息技术与物理系统的融合，风险管理，隐私和信任，全球和国家领域的影响和控制，自由市场的有效性比较监管制度以及解决方案，法律和责任的考虑，以及开发有意义的网络安全衡量标准的重要性和困难性，基于网络安全方法的自动化技术，和消费者责任。

三、主要内容

（一）确认维护数字经济安全与发展的基本原则

1.互联网与现实世界的日益融合、相互联系、相互依存和全球化性质，意昧着网络安全必须在国际的、国家的、组织的以及个人的所有环境中更好地管理。

2.作为全球创新领袖，美国亦必须是网络安全规则制定的旗手，这需要政府持续加大研究力度，加强国际合作。

3.政府是国家国防和安全的最终责任者，特别是在快速变化的关键基础设施保护上负有重大运营责任。政府需要理清各部门的相关职责，包括更好地界定政府（包括个体机构）的角色和职责，解决缺失或脆弱的能力，以及确认和创造执行这些活动所需的能力。

4.网络安全事件发生前后的公私合作对于创建和维护一个可防御的、有弹性的网络环境至关重要。

5.每个企业网络安全风险管理与治理战略的相关责任、授权、能力以及问责需清晰且一致。

6.持续提高公众的网络安全意识与能力，并将其塑造为国家网络安全保障的主要参与者。

7.人类的行为和技术是互相交织的，是影响网络安全的重要因素，因此，网络安全技术与产品应使安全行为易行，危险动作难做。

8.在构思网络相关技术和政策的最初就要考虑安全、隐私和互信。提高透明度和问责制将改善隐私和信任，维护公民自由。

9.中小企业是网络安全，特别是供应链安全中，必不可少的利益攸关方，因此，需特别考虑其网络安全诉求。

10.坚持市场激励为主，政策规制为辅，综合运用各项激励政策。

（二）确定实现网络安全和保障数字经济的主要挑战

1.在巨大市场压力下，科技公司急于快速创新和推向市场，往往以牺牲网络安全为代价；

2.组织机构及其员工需要灵活和移动的工作环境，但移动设备的安全往往不像其他计算平台的安全性那样被同等重视。总之，安全边界的传统概念在很大程度上已经过时了；

3.大部分组织和个人仍未做到优先考虑基本的网络安全行动，仍漠视基本的防护措施；

4.网络空间攻防双方均可受益于技术创新；

5.网络空间易攻难守，攻击一个系统的成本仅为其防卫的一小部分，攻击者更具优势；

6.技术的复杂化催生了网络安全漏洞的增长，成倍扩大了网络风险的机会；

7.在万物互联时代，供应链风险无处不在；

8.政府在运作上对网络空间的依赖导致其面临更大的网络安全挑战；

9.数据的泄露、滥用和被操纵极大地影响了网络空间的互信，实施信任措施成为当务之急。

（三）确定6项必要事项以及16项建议和53项行动项目

1.保护、防御并保护当今信息基础设施和数字网络。

私营部门和政府应该在提高数字网络安全的路线图上进行合作，特别是构建强健的网络，抵抗对用户和国家的网络基础设施的拒绝服务攻击、电子诈骗和其他攻击。

随着互联网和现实世界的日益融合，联邦政府应与私营部门密切合作，建立保护关键基础设施的新模式。

下一届政府应启动一个全国性的公私合作倡议，增加使用强认证提高身份管理，借此实现较大范围的安全和改善隐私。

下一届政府应积极维持和增加使用“关键基础设施网络安全框架”，以此为基础降低关键基础设施内外的风险。

下一届政府应该制定具体的扶持力度，加强中小企业的网络安全。

2.创新并加速安全、数字网络发展和数字经济投资。

联邦政府和私营部门的合作伙伴必须携手合作，迅速而有针对性地提高物联网的安全。

联邦政府应该将开发经济实惠、安全可靠、有韧性的系统列为网络安全研发的当务之急。

3.帮助消费者在数字时代获得更多实惠。

信息技术和通信部门的企业领导需要与消费者组织和联邦贸易委员会合作为消费者提供更好的信息，便于他们在采购和使用网络产品和服务时能够做出明智的决定。

联邦政府应该建立、加强和扩大对消费者的研究项目投资，更深入地了解消费者行为习惯及其与物联网等连接技术的相互作用，提高网络安全以及消费产品和数字技术的可用性。

4.加强网络安全劳动力建设。

国家应积极通过能力建设解决劳动力缺口，同时投资那些将重新分配未来所需劳动力的创新项目。

5.更好地让政府在数字时代安全有效行使职责。

联邦政府应该利用其能力巩固基本的网络运营，分享部分信息技术基础设施。

总统和国会应促进网络技术的采用，加快技术在联邦部门更新的速度。

将联邦机构的网络安全需求管理方法转变为企业化风险管理模式。

联邦政府应该使网络安全责任更好地配合总统行政办公室的结构和职位。

各级政府必须澄清各部门和机构的网络安全任务责任，以保护、防御、应对网络事件并及时恢复。

6.确保开放、公平、竞争、安全的全球数字经济。

政府应鼓励和积极配合国际社会创建和协调关于网络安全法和全球行为规范的网络安全政策、措施和共同的国际协议。

(整理：陈帅 责任编辑：李晓晖)