每日推荐研究报告《关于加强联邦网络和关键基础设施网络安全的总统行政令

作者：habao 来源：日期：2018-2-18 17:25:11 人气：标签：关于网络安全的论文

　　《网络空间研究》（Cyber Afirs）由中国和平崛起者郑必坚题词，由新加坡国立大学东亚研究所所长郑永年担任学术委员会，汕头大学国际互联网研究院院长方兴东、汕头大学长江新闻与学院院长范东升担任主编，由汕头大学国际互联网研究院承办。

　　网络空间研究学刊在不断推送专家学者的学术研究之余，“每日推荐”栏目将会陆续推送关于网络空间研究的优秀图书、论文、研究报告及影视作品，以供分享交流。

　　2017年5月11日，美国总统特朗普签署了一份网络安全行政令，要求采取一系列措施来增强及关键基础设施的网络安全。这份原本计划在其上任90天推出的美国网络安全方案直到上任第111天才被推出。这为美国日渐陈旧的信息技术基础设施进行现代化铺平了道，内容之一是转向云端计算。上述行政令标志着美国在加强不同机构之间IT服务共享方向迈出重要一步。负责国土安全和反恐事务的总统事务助理波塞特在白宫新闻发布会上称，美国当前在网络空间安全问题上走在错误的方向上，包括美国盟友和敌人，主要是国家行为体但也包括非国家行为体，对美国的网络越来越多，这一行政指令将扭转这一趋势以确保美国的安全。

　　根据《》及美利坚合众国法律赋予总统的，为了美国的创新能力与价值取向，兹发布行政令如下：

　　行政部门代表美国人营其信息技术（简称IT）体系。美国应尽其所能负责对IT与数据加以。总统将监督各行政部门及各机构（机构负责人）负责管理其相关网络安全风险。另外，考虑到各机构负责人所作出的风险管理决策可能对整体行政体系的风险水平乃至造成影响，此项政策亦要求将网络安全风险作为各行政部门的业务加以管理。

　　(i) 网络安全风险管理包括为IT及数据免受未授权访问及其它网络所采取的一切行动，旨在网络意识并检测可能对IT及数据造成影响的异常及事故状况，同时以降低此类事故的影响为目的进行响应与恢复。应以信息共享方式促进并支持上述行动。

　　(iii) 有效的风险管理方案不仅应涵盖并当前使用的IT与数据，同时协调/配合应经过规划以适当监管确保、改进与现代化升级的顺利实现。

　　(iv) 已知但尚未得到解决的漏洞应被各级行政部门及机构视为最高级别安全风险。已知漏洞包括使用供应商已不再提供技术支持的操作系统或硬件、采用供应商提供的安全补丁程序或者无法实现安全性配置指导等情况。

　　(v) 有效的风险管理方案要求各机构负责人建立起具备IT、安全、预算、采购、法律、隐私以及人力资源等方面专业知识的高级管理的综合性团队。

　　(i) 各机构负责人将根据总统行政令负责承担风险管理措施相关责任，且要求相关举措与未授权访问、使用、披露、中断、修改或者IT及数据所造成的危害及风险相适应。总统还将负责根据《美国》第44条第二章第35节内容确保网络安全风险管理流程符合战略、运营及预算规划流程。

　　(ii) 立即生效，各机构负责人应利用国家标准技术研究所制定的关键性基础设施网络安全改进框架（以下简称框架）或任何后续文件管理机构内的网络安全风险。各机构负责人应在本行政令发布之日起90天内向国土部长及预算管理局（简称OMB）局长递交风险管理报告。

　　(iii) 国土部长与OMB局长应根据《美国》第44条第二章第35节内容共同评估各机构递交的风险管理报告，旨在决定其中是否对风险缓解及接受选择作出合理，且足以管理各行政部门之内的实际网络安全风险（以下简称决定）。

　　(iv) OMB局长应配合国土部长，由商务部部长及总务司司长给予适当支持，确保在在收到（c）小节(ii)要求的风险管理报告后60天内通过总统国土安全与反恐事务助理将其递交至总统处，具体递交材料包括：

　　(3) 建立一项经常性流程以重新评估、酌情重新确立并应对未来可能出现的常规性未解决预算需求，旨在管理行政部门风险问题;

　　(4) 在必要时根据法律所允许的范围、协调并重新发布任何符合《美国》第44条第二章第35节内的全部政策、标准及准则，并在法律允许的范围内发布相关政策、标准与指导方针以促进相关工作;

　　(v) （c）小节（ii）中提到的机构风险管理报告以及（c）小节（iii）与（iv）中描述的“决定”与规划应根据具体情况进行部分或者全部保密处理。

　　(vi) 立即生效，本项面向各行政部门的政策旨在建立并一套现代、安全且更具弹性的行政机构IT架构。

　　(A) 各机构负责人应在法律允许的范围内阐述其对于共享式IT服务的采购偏好，具体包括电子邮件、云以及网络安全服务。

　　(B) 美国技术委员会应协同国土部长、OMB局长以及总务司司长同商务部部长进行协商，酌情商讨IT体系的现代化进程。此报告应：

　　(2) 阐述全部机构或者特定部分机构之法律、政策及预算考量，以及技术可行性及成本效益（包括时间表与里程碑设置），从而：

　　(C) 本节（c）小节（vi）与（B）内提及的此份报告应评估全部机构或者特定部分机构立足网络安全考量进行共享式IT服务过渡所带来的具体影响，包括提出相关方法以确保符合《国土安全法》（6 U.S.C. 148）第227条以及《美国》第44条第3553节发布的政策与实践合规性要求。全部机构负责人均应提供与其当前IT架构及规划相关的信息，以及时完成此份报告。

　　(vii) 对于《美国》第44条3552（b）（6）节内定义的任何系统，部长及国家情报局局长（而非国土部长及OMB局长）应尽可能最大限度执行此项命令。长与国家情报总署署长应向总统事务及国土安全与反恐助理递交报告，具体如（c）小节中所述，时限为本行政令发布之日起150天之内。此小节内提到的报告应包含一切未能符合（c）小节要求的具体理由，并可酌情进行全部或者部分保密。

　　此项政策面向各行政部门，要求其酌情利用职能与以支持家关键性基础设施所有者及运营商的网络安全风险管理工作（详见〈美国〉第42条5195c（e）节定义的内容，以下简称“关键性基础设施实体”）。

　　国土部长应根据2013年2月12日发布的总统行政令（关键性基础设施安全性与弹性），协同长、总检察长、国家情报总署署长、联邦调查局局长以及各适用的专门机构负责人（以下简称为各专门机构），在经国土部长确认之下：

　　(i) 确定各机构可采用的职能与，以支持根据2013年2月12日第1363号总统行政令（改进关键性基础设施网络安全）第9节所确定的关键性基础设施实体网络安全保障工作，具体包括可能对特定地区区域或者国家整体的公共卫生或安全、经济安全乃至造难性后果的高风险基础设施；

　　(ii) 参照第9节部分内容并酌情征求意见，旨在评估是否，以及如何根据本节（b）小节（i）部分确定的职能与以支持网络安全风险管理工作并解决可能出现的一切障碍;

　　(iii) 在本行政令发布之日起180天内通过总统国土安全与反恐事务助理向总统递交报告（可酌情进行部分或者全部保密），其具体内容包括：

　　国土长应协同商务部长通过总统国土安全与反恐事务助理向总统提交报告，旨在审查现有政策及实践的充分性，通过促进市场透明化以改善关键性基础设施实体的网络安全风险管理实践，并高度关注关键性基础设施实体的公开交易。此报告应在本行政令发布之日起90天内提交。

　　商务部长及国土长应协同领导一项公开且透明的流程，旨在确定并促进相关利益方的行动，借以改善互联网与通信生态系统弹性水平，同时鼓励合作并大幅降低自动化及分布式（例如僵尸网络）所造成的危害。商务部长与国土长应与长、总检察长、联邦调查局局长、各专门机构负责人、联邦通信委员会、联邦贸易委员会以及其他有意参与的机构负责人与利益相关者就本小节内容开展讨论。在本项行政令发布之日起240日内，商务部长与国土长应发布与此项工作相关的初步报告。在本行政令发布之日起1年内，各部长应向总统提交本份报告的最终版本。

　　能源部长及国土长应与国家情报总署署长进行协商，同时配合家、地方、乡镇及区域与其它有关部门，共同评估：

　　(i) 根据2016年7月26日第41号总统行政令（美国网络事件协调）中所界定的与重大网络事件相关的长时间电力中断的潜在范围与持续时间，对美国电力机构进行审查；

　　本份报告应在此总统行政令发布之日起的90天内通过总统国土安全与反恐事务助理向总统提交，并可酌情进行部分或者全部保密。

　　在本份总统行政令发布后的90天内，长、国土长、联邦调查局局长以及国家情报总署署长应协商并通过总统国土安全事务助理及国土安全与反恐事务助理向总统提交报告，阐述美国国防工业基础当前所面临的网络安全风险，具体包括其供应链、美事平台、系统、网络、能力以及缓解此类风险之具体。报告可酌情对部分及全部内容进行保密。

　　为了确保互联网能够持续为子孙后代提供价值，此政策要求各行政部门共同促进互联网的性、互操作性、可靠性与安全性，提升效率、创新、沟通与经济繁荣度，同时尊重隐私并防范中断、欺诈与盗窃等行为。另外，美国致力于支持网络安全相关技术人才的培养与维持，相关领域将成为实现网络空间保障目标的关键性基础。

　　在本行政令发布之日起的90天内，国务卿、长、总检察长、商务部长、国土长以及美国贸易代表亦协同国家情报总署署长通过总统事务助理及国土安全与反恐事务助理向总统提交报告，旨在介绍美国当前的战略性对抗选项，从而更好地美国免受网络。

　　作为一个拥有活跃外交联系的国家，美国高度依赖于全球互联网的安全性与弹性，且必须与盟国及其它合作伙伴协同努力以维持本节中所陈述的政策。在本总统行政令发布之日起的45天内，美国国务卿、财政部长、长、商务部长及国土长应协同总检察长与联邦调查局局长，共同向总统提交与国际网络安全优先级事务——包括调查、归因、网络信息共享、响应、能力建设以及合作等相关报告。在报告提交后的90天内，本节中所列出之各机构负责人应与其它各相关机构负责人进行协商，并由国务卿通过总统国土安全与反恐事务助理向总统提交报告，此报告负责记录美国在网络安全层面的国际合作参与战略。

　　(i) 商务部长与国土长应协同长、劳工局局长、教育部部长、人事管理办公室主任、国务卿以及其他由商务部长与国土长确定的机构负责人：

　　(A) 共同评估美国未来网络安全人才的教育与培养工作的范围及充分性水平，包括从小学到高等教育引入网络安全相关教育课程、培训与计划;

　　(B) 在本总统行政令发布的120天之内通过总统国土安全及反恐事务助理向总统提交报告，旨在面向公共及私营部门提出与支持国家网络安全人力资源增长及维持相关的调查结果与。

　　(A) 审查潜在的国外网络人力发展规划，旨在帮助美国敲定可能对未来网络安全竞争力发展具备积极意义的相关实践;

　　(B) 在本总统行政令发布之日起的60天内，通过总统国土安全与反恐事务助理向总统递交一份报告，旨在根据本节（d）小节（iii）（A）部分汇报评估结果与。

　　(A) 评估美国相关努力的范围及充分性水平，以确保美国能够在相关网络能力层面保持或提升自身优势；

　　(B) 在本总统行政令发布之日起150天内通过总统国土安全与反恐事务助理向总统提交一份报告，旨在根据本节（d）小节（iii）（A）部分汇报评估结果与。

　　(a) 条款中所提及的“适当利益相关方”系指经商务部长及国土长根据本行政令2节（d）小节内容经公开透明流程所挑选的行政机构人员或职能实体。

　　(b) 条款中所提及的“信息技术（简称IT）”系指《美国》第40条第11101（6）节对该术语定义，同时包含负责对物理设备及流程加以与控制的各机构的硬件与软件系统。

　　(d) 条款中所提及的“网络架构”系指负责实现或者促进两类或者多类IT资产间通信的IT架构组成部分。

　　(c) 根据本项总统行政令所采取的一切行动应符合情报原则，亦不可影响执法方的方法要求及权限约束。此项总统行政令不可被解释为取代法律条款内用于情报或者执法活动中各类特定作法及相关事务的安全性与完整性的对应内容。

　　(d) 本项总统行政令不应亦不会为美国各部门、机构或实体，及其官员与工作人员，代理机构或者任何其他个人或实体提供实质性或者程序性或利益。