美国网络安全的现状及后期发展状况

据美国非营利政策研究组织战略与国际研究中心（CSIS）估算，每年因数据和其他知识产权失窃造成全球损失约4500亿至6000亿美元。


       为抵御这一威胁，CSIS最近向特朗普政府提出了一系列网络安全建议（CSIS建议）。事实上，网络安全是最近美国总统大选中反复讨论的一个问题，尽管CSIS不建议进行一次全面审查，但普遍认为特朗普总统上台后将签署一项行政命令，要求立即审查所有美国的网络防御措施和薄弱点。虽然该命令尚未发出，但特朗普政府会非常重视CSIS建议，因为该建议的工作组联席主席凯伦•伊文思（Karen Evans）是特朗普总统过渡团队的一员。


       总体上看，CSIS建议旨在改进美国政府的网络安全措施，调整国际战略，强调与目标一致的国家合作遏制攻击者。CSIS认为，由于私营部门目前还无法靠一己之力有效消除网络安全威胁，因此需要加强政府干预来提升网络安全措施。CSIS建议与澳大利亚政府于2016年初发布的未来四年网络安全战略高度一致。


       CSIS建议有哪些主要内容？


       主要内容包括：


1. 实行更有效的威慑措施：


       CSIS建议提高美国军方（负责抵御针对美国的网络攻击）和美国情报机构信息共享流程的效率。CSIS还建议增加使用制裁和诉讼以阻止国际网络攻击。


       例如，2015年，美国计划使用多项制裁，向中国施加经济压力，迫使中国政府打击中国企业的商业间谍活动。而澳大利亚采取的惩罚措施较轻，这或许反映了我们的经济影响力更小，对国际贸易的依赖程度较大。澳大利亚积极与其他亚太国家合作，包括中国和印度，目标是采取务实的合作方式降低网络安全风险。 


2. 加强公私部门在数据保护方面的协作：


       CSIS 建议将个人数据保护纳入网络安全范畴，公私部门应合作制定一个有效保护个人数据的框架。


       澳大利亚信息专员办公室发布了关于公司如何应对网络安全风险的指南。与CSIS建议一致，澳大利亚的网络安全战略也努力通过公私部门合作制定的全国性自愿网络安全指南，强化澳大利亚的网络防护能力。CSIS 和澳大利亚的战略均鼓励使用道德黑客计划来发现网络安全弱点。


3. 加强有关网络攻击的信息交流，增加透明度：


       发生网络攻击后，出于法律和声誉影响方面的顾虑，受害者通常不愿公开相关信息。因此，CSIS 建议建立可以免责且匿名分享网络攻击信息的框架。值得注意的是，尽管美国一些州制定了强制报告数据泄露事件的法律，但还没有建立统一的全国性制度。


       澳大利亚的网络安全战略还强调公私部门之间信息共享的必要性，澳大利亚正在制定强制通报数据泄露事件的规定。2016年《隐私法修正案（须报告的数据泄露）》于去年年底向众议院提出，已获两党的广泛支持，有望于今年通过。澳大利亚政府还表示，可能为电信行业专门立法，强制要求分享威胁国家安全的信息。但这些提案受到了行业代表的强烈批评，他们指出提案的范围不确定，会授予政府宽泛的强制权力。

4. 更加坚定地打击网络犯罪： 


       2004年生效的《布达佩斯公约》是首个应对网络犯罪的国际公约，目的是协调各国对网络犯罪的调查和起诉。但是，俄罗斯、中国、印度等关键国家尚未通过这一公约，这些国家的公民被控参与了针对美国等国的网络犯罪。CSIS 建议惩罚非签字国，以鼓励更多国家批准或重新商谈此公约。澳大利亚的网络安全战略还主张加强国际协调，预防恶意网络活动。 


5. 保护最薄弱环节：


       随着对物联网的关注和投资增大，CSIS 建议鼓励消费者和企业共同制定物联网安全标准和原则，制定物联网防御框架。与其他网络一样，物联网的安全性取决于最薄弱的环节。令人担忧的是，2014年惠普一项研究发现，70%的普通物联网设备都存在一些严重的安全漏洞。


       澳大利亚的网络安全战略也意识到物联网面临这些挑战和机遇（预计到2030年，物联网每年产生6250亿美元的经济效益）。我们的战略希望鼓励公私部门领导人合作提高相关领域的网络安全意识，这不仅是需要面对的商业风险，也是有待开发的战略机遇（例如，开发识别和消解网络安全威胁的产品和服务）。 


6. 进行结构性改革，改进网络工作重心：


       CSIS建议白宫增设“网络安全协调官”职务，任命网络安全协调官为总统助理。澳大利亚也采取了类似做法，澳大利亚政府任命了一名网络事务大使负责处理国际网络事务。澳大利亚政府还单设一位网络安全内阁部长。 


       为满足日益增长的网络安全方面的人员需求，CSIS 还建议总统实施多项教育计划，增加网络安全方面的人力。澳大利亚还希望将本国建设成为亚太地区的一个网络安全枢纽，政府近期投入了3000多万美元，建立一个新的行业牵头的增长中心，发展和增强澳大利亚网络安全产业。


未来将会如何？


       很难预料特朗普会作出什么政策选择来应对网络安全威胁。迄今为止，CSIS和澳大利亚相关部门采取了非常相似的办法。因此，特朗普政府在网络安全方面采取的任何行动都会受到澳大利亚政府的密切关注，并可能影响澳大利亚的未来政策走向。但是，特朗普总统已显示出不可预测性，两国的战略也可能有所不同。特别值得关注的是，特朗普将如何应对来自中国（澳大利亚在亚太地区的一个主要贸易伙伴）的网络安全威胁，是否会采取同样的方式处理来自俄罗斯等其他国家的威胁。


       无论政治局势将如何发展，澳大利亚企业都应该意识到，制定有效的网络安全策略在未来将会越来越重要。