奥巴马自称是美国第一位“网络总统”,竞选时靠小额网络捐款筹得大笔经费,上任后高度重视网络空间的战略地位,大力推进网络安全等各项建设。2月12日,白宫宣布启动广受关注的《网络安全框架》,在网络安全建设领域取得了新的进步。奥巴马发表声明称,“这标志着一个转折点”,强调加强网络安全还需做更多工作。这份自愿性公私合作框架能否成为一个转折点还难说,但其网络安全政策议程仍需克服巨大困难倒是事实。

  “公私合作的绝佳范例”

  由美国商务部牵头、国土安全部配合的这次政策行动为期刚好一年。去年2月12日,奥巴马发表年度国情咨文时强调要“提高关键基础设施的网络安全”,随后签署第13636号总统行政命令,指示隶属美国商务部的国家标准与技术研究所与有关方面合作,开发改善与民营部门信息共享、提高整个关键基础设施网络安全水平的措施。

  国家标准与技术研究所推出的这份39页的《提高关键基础设施网络安全框架》(1.0版),包括摘要、三章和三个附件,核心是所提出的网络安全风险管理生命周期五环论,期望用“最佳行为指南”为私营部门管理网络安全风险提供指引。由识别、防护、监测、反应、恢复5个环节组成的框架核心,包含22类活动,并进一步细分98个子类。识别环节有资产管理、商业环境、业务管理、风险评估、风险管理策略,防护环节包括访问控制、感知与训练、数据安全、信息保护流程与程序、运营维护、防护性技术,监测环节有异常与事件、持续安全监视、监测流程,反应环节则有反应规则、联络、分析、减轻后果、增强功能,恢复环节包括恢复规划、改进措施、联络。基于这些活动,框架还提供两种风险安全状态及4个层次的实施框架。

  当日,美国国土安全部还推出了“C立方”项目,即“关键基础设施网络界自愿项目”进行配套建设,为所有自愿参考本框架的组织机构提供免费支持。

  奥巴马称,这份文件反映了数百家公司、多个联邦机构和世界各地贡献的良好工作。这个自愿性的框架是民营部门与政府能够并应该一道努力应对共同挑战的绝佳范例。美国媒体分析称,业界对这份框架表示了“温和地欢迎”。著名管理和技术咨询公司博思艾伦咨询公司一名专家指出,框架是一个好的开始,为所有组织机构如何采取行动以提高网络安全整体水平提供了信息。网络安全专家威斯列表示,国家标准与技术研究所能在短短一年完成此份框架是个壮举,该框架为今后制定相关的行业标准提供了一张蓝图。

  核心问题是建立互信

  在宣布“C立方”项目时,美国国土安全部部长杰伊·约翰逊指出,本框架的一个核心目标就是在政府与私营机构之间建立信任和联系。互信确实一直是奥巴马政府在国内外推进网络安全建设和合作所面临的一个重大问题,斯诺登事件后,这一问题更加严重。

  美国智库战略与国际问题研究中心报告指出,在公私合作上,应将注意力集中在两个关键问题上:如何在政府和公司决策者之间建立信任,如何将精力集中在网络空间中真正重要的地方。信任是政府和私营机构之间建立伙伴关系的成功基础。在过去几年中,尽管双方都有良好的合作意愿,但政府和私营机构之间的信任却在不断下滑。报告还指出,信任是建立在人际关系之上的,大而松散的组织再加上人员频繁变动是不可能建立起信任的。当政府部门的高级官员不再为此努力,当政府计划和行政程序缺乏透明度或者不适当时,相互信任也会因此受到影响。根据《联邦顾问委员会法案》建立的高级机构将为重建信任奠定基础。

  奥巴马政府的首份《网络空间安全政策评估报告》也指出了妨碍公私合作的几个障碍:私营部门不愿向政府透露敏感或专有商业信息;共享信息可能损害公司名誉或引发新的管制和责任;政府为保护情报来源和方法会限制信息共享。斯诺登事件使得包括谷歌在内的网络巨头致函美国政府自清,受此打击,私营部门对联邦政府的信任进一步下滑。有统计称,该事件已经使美国企业损失了数十亿美元的订单。

  在国际合作方面,德国总理默克尔此前表示,在2月19日与法国总统奥朗德会见时会提议在欧洲建立一个通讯网络以提升欧洲的数据资料安全,并讨论“通过欧洲供应商来向我们的公民提供安全保障,让人们不需要通过美国那边来传送电子邮件和其他资料”。

  法律保障依然滞后

  奥巴马在声明中称,将再次敦促国会推进网络安全立法,一方面保护我们的国家,另一方面也保护我们的隐私和公民自由。与此同时,政府将继续采取行动,根据现有的权力保护国家免受这一威胁。这一表态反映了奥巴马政府在网络安全立法中的挫折情绪和通过行政手段推进网络安全建设的决心。

  据美国国会研究部统计,1984年至2009年,美国通过含有网络安全相关条文的法律有36部,奠定了美国网络安全建设的基本法律基础。但自2002年以来,美国国会没有通过一部综合性的网络安全法律,也没有形成网络安全立法的基本框架。以关键基础设施的界定为例,2003年小布什政府颁布的美国第一部《确定网络安全国家战略》中,核心基础设施涉及12个类别,包括农业、食品、水、公共卫生、紧急事件处置、国防基础工业、信息与电信、能源、运输、银行与财政、化工与危险品、邮电和货运等部门。奥巴马政府上任之际,美国国土安全部将关键部门扩大到18个。美国智库报告称这一现象反映了抓不住重点和怕得罪人的倾向,“无所不备则无所不寡”,所以建议关键网络基础设施主要包括电力、金融、信息集成与通讯、政府部门4类。至今,美国仍没有法律层面明确关键基础设施的内涵。

  美国媒体分析指出,作为一份自愿性的文件,本框架如想获得业界大力支持,需要有税收优惠、事后追责等方面的法律支持,而这些都得通过美国国会进行立法。奥巴马将2014年称为“行动之年”,表示如不能从国会获得支持,将通过自己的“笔”和“电话”,以签署行政命令和直接联系民众的方式推进政策议程,但在网络安全这一带有全局性、战略性和长远性的重大问题上,法律保障不跟上,奥巴马恐难有大的作为。

责任编辑:admin