哈佛大学伯克曼研究中心发布一份《美国网络政策纵览》的研究报告。框架内容如下。
网络安全成为国家优先事项,政府最高级别领导编辑本段回目录
确保网络空间是足够的弹性和值得信赖的,以支持美国经济增长的目标,公民自由和隐私保护,国家安全和民主体制的不断进步,需要使网络安全成为国家优先事项。完成这一重要而复杂的任务只可能在政府的最高级别的领导。
确定白宫对于网络安全的最高领导权编辑本段回目录
许多部门和机构,以及主席(项目终)执行办公室组成部分,需要协调不同的职责和权力,以有效地促进网络安全。目前,没有任何一个个人或实体有责任协调联邦政府网络安全有关的活动。独立的努力将不足以解决没有一个中央协调机制这一挑战,更新的国家战略,制定一项行动计划和跨行政部门的协调,以及国会的支持。
总统应该任命一个指定一个网络安全政策官员负责协调全国网络安全政策和活动,向国家安全委员会NSC全国经济委员会NEC两部门汇报。网络安全政策官员应该以网络安全的视角参与所有适当的经济、反恐、科学和技术政策的讨论。在政策制定和协调跨部门网络安全活动要想成功,必须有明确的总统支持、权威和充足的资源的有效运作。这个网安全政策官员须附上分别至少两名来自于NSC的资深高级人员和适当的工作人员,一名来自NEC的资深高级人员。
数字国家的建设能力编辑本段回目录
这个国家在十字路口。计算机已经改变了人们的日常生活的几乎所有领域,无论在家里还是在工作场所。网上银行、网上购物是司空见惯的事。数字技术、网络技术的集成,例如Smart Grid 和the Next Generation Air Traffic System项目使这个国家的基础设施正经历一场革命。美国面临的双重挑战的环境,促进创新,打开连通,经济繁荣,自由贸易和自由,同时确保公共安全、安保、公民自由、个人隐私。
公众需要更安全地使用网络。此外,美国需要先进的生产力,保持竞争力。美国需要发起一个K-12网络安全教育项目,介绍数字安全、道德规范和保障,拓展大学课程。来帮助实现这些目标,国家应采取下列措施:
促进公民提高网络安全风险意识;
建立一个教育系统,提高认识网络安全,并允许在信息技术领域中保护和扩大它的科学、工程、市场领导地位;
扩大和培训相关领域的员工,保护国家的竞争优势;
协助组织和个人在管理风险时做出明智的选择;
网络安全的责任共担编辑本段回目录
加强个人与政府部门的协作
联邦政府有责任保护和保卫国家,各级政府有责任确保公民的正常的网络应用。私营企业使用、经营着大部分的网络基础设施。企业和政府共担这些网络基础设施的安全性和可靠性。联邦政府有多种途径可以解决这些挑战,其中包括可能需要改变一些法案政策。
私营企业的参与需要界定负担的有限的法律及安全责任。现行法律允许使用一些工具来保护政府,而不是私有企业。反之亦然,企业可以通过参与企业信用信息共享解释企业风险和数据被破坏、间谍行为影响的底线。企业可以从供应商和服务提供商那里要求较高的保证从供应商和服务提供商,同时负责创造更安全软件和设备。企业需要与政府有效的手段来分享的检测手段,信息,修复方法与反攻击技巧等。
如果网络安全风险能够以货币价值体现,企业更乐意于网络安全防范。在某些情况下,企业根据商业案例来判断用于网络安全风险控制的资金支出情况。政府可以考虑诱因式立法和管理工具来增强培养一种环境,促进和鼓励合作和信息共享。
评估潜在的阻碍公私协作的因素
一些私人部门的人士表示,某些联邦法律会阻碍政府与私人部门的信息共享与合作。一些人士担心这些信息共享与集体规划会在同一领域现有的合作模式下可能被视为“共谋”违反法律禁止或限制贸易。行业也公开表示对联邦政府敏感或专有商业信息,例如漏洞和数据或网络的违反。除了这些问题,企业还会关注声誉受到伤害,责任,或监管信息共享的后果。相反,由于法律规定需要保护敏感情报来源、方法或个人隐私权,联邦政府有时也限制了与私人部门的信息分享。
创造有效的信息共享和事件应急
美国需要一个全面的框架以便在重大网络事件中由政府协调的反应,私营部门和盟国等。地方政府应与业界改善计划和资源,以预防和应对重大网络安全事故。
建立网络应急响应框架
联邦政府应该有一个明确和权威的网络事件响应框架,在与其他国家发生的重大网络事故当中,只有白宫有权协调各种各样的能力和部门在事件反应。总统的网络安全政策官员应该为网络事件响应行动的白宫官员。
加强信息共享提高响应速度
其中重要的一环是创造一个非盈利的非政府组织,作为第三方主机地方政府和私营部门的信息可能会被分享的安全至关重要,加强政府和私营部门的网络。这样的一个组织可以利用商业服务的增长而不破坏安全服务市场。
维护国家安全/应急能力
协调对国家安全、下一代网络应急通信能力在下一代网络,发展计划包括里程标,所需的资金。
近期的政策计划编辑本段回目录
指定一个网络安全政策官员负责协调全国网络安全政策和活动。在听命于国家安全委员会NSC全国经济委员会NEC两部门的网络安全政策官员的指导下建立一个强大的国家安全委员会指挥部,协调跨部门的网安全发展战略和政策。
准备报请总统批准一个关于保护国家战略安全信息和通信基础设施的战略,该战略包括持续的评估国家网络安全综合计划CNCI。
指定网络安全作为总统的密钥管理优先权并建立绩效指标。
指定一个听命于国家安全委员会指挥部的负责隐私和公民自由的官员。
启动国家公共意识和教育活动来促进网络安全意识。
准备一个网络安全事故应急计划,启动一个对话机制增强公私伙伴合作关系,并提供资源优化参与和贡献。
构建网络安全为基础的身份管理目标和策略,解决隐私和公民自由的利益,利用隐私增强技术的国家。
中期政策计划编辑本段回目录
使用OMB项目评估框架以确保部门或机构使用绩效预算追求网络安全目标。
支持重点教育计划的扩展,研究和开发,确保经济信息时代国家的持续竞争能力。
政府拓展培训相关人员,包括如何吸引和留住网络安全领域员工。
决定最有效的机制来获取战略警告,提高事件反应的能力。
开发可用于风险管理的威胁度量系统,恢复规划和研发优先衡量标准。
推进政府与私人部门防范、监测、响应网络安全事故协作的进程。
信息共享并关注个人隐私的共享互利的网络安全机制。
扩大共享有关网络信息的事件、漏洞,寻求双边和多边安排,将提高经济和安全利益的同时,保护公民自由和隐私权。
参考文献编辑本段回目录
Cyber space poolcy RevIew—Assuring a Trusted and Resilient Information and Communications Infrastructure