美国解密"国家网络安全综合计划"部分提议(3)
8.加强网络教育及培训。尽管美国政府在新科技上投入数以亿计的资金以确保美国政府在网络空间的安全,但只有拥有正确的知识、技巧及能力的人来运用这些科技才是成功的关键。然而,美国联邦政府、私营行业都缺乏足够的网络安全专家来落实《国家网络安全综合计划》,而且也未充分形成联邦网络安全职业制度。现有的网络安全培训和人员发展计划在总体上是良好的,但关注范围过于局限且缺乏行动的统一性。为了继续保持美国的科技优势和未来的网络安全,美国必须培养精通科技和网络的人才,并为未来的员工提供有效的人才输送通道。这就需要制定类似于20世纪50年代升级科学和数学教育的国家战略,以迎接这一挑战。
9.明确和制定持久的“跨越式前进”技术、战略和项目。CNCI的目标之一就是开发新技术,从而在现有系统的基础上不断加强网络安全的数量级并能在未来五至十年内部署。这个提议寻求制定战略和计划,以强化政府在研发方面对关键网络安全问题追求高风险、高回报解决方案的职责。联邦政府已经开始为研究机构勾勒挑战框架,以寻求外部智囊的帮助来解决这些难题。在与民营企业打交道的时候,美国政府与其进行交流并确认双方的共同需求,以推动双方在重点研究领域均进行投资。
10.制定和发展持久的震慑战略与计划。美国的高级决策者必须考虑可供政府参考的多种长期战略选择,以确保网络空间不对美国的安全造成影响。当下,美国政府在网络安全问题上一直采取传统的方法,但这些方法并没能达到所需的安全保障级别。本提议目的在于通过改善预警能力、明晰私营企业和国际伙伴所扮演的角色、强化国有和非国有部门的响应能力等来建立网络防卫战略,以阻止对网络空间的干扰和攻击。
11.制定多管齐下的全球供应链风险管理模式。商业信息和通信科技市场的全球化,给企图损害美国利益的国家、个人提供了更多的机会,他们可以在未经授权的情况下,通过渗透供应链对数据进行获取和更改,或对通信进行干扰。应对这种来自国内和全球化供应链中产生的风险,必须在产品、系统和服务的整个生命周期中采取一种战略性和综合性的方式。为应对这种风险,美国需提高对威胁、脆弱性以及与采购决定相关的后果的认知;开发和应用各种工具及资源,从技术上和运作上减少在产品整个生命周期(从设计到退出市场)中产生的风险;制定新的采购政策和运作方式以反映市场全球化的复杂性;与工业界合作发展和应用供应链风险管理标准及最佳操作方式。这一提议将促进联邦政府的技能、政策能力和处理流程的优化,为各部门和机构提供管理及减少供应链风险的更好的办法,从而减少联邦政府部门和机构所面临的系统及网络风险。
12.确定联邦政府在将网络安全融入关键基础设施工作中的职责。美国政府与控制关键基础设施的私营企业互有需求,不可分割。本提议是建立在联邦政府与关键基础设施和重要资源(CIKR)的公私营领域所有者及运营商之间现存的或正在发展中的伙伴关系之上的。国土安全部与其私营企业合作方已制定了一个具有里程碑意义的积极的共享行动计划,包括短期和长期建议,特别是吸收和利用以前取得的成就及现实经验,从而增强关键基础设施和重要资源部门的安全弹性及运作能力。一旦政府部门、关键基础设施和重要资源遭受网络威胁或发生网络安全事故,政府部门和私营企业将进行信息共享。
(责任编辑:GH)