CNCI读书报告.doc

CNCI读书报告
2008 年１月８日，美国总统布什签署发布了第54 号国家安全总统令/ 第23 号国土安全总统令，即CNCI。出台该计划是布什总统认为美国网络安全需要一个国家层面的综合计划并且要付诸实施。该计划旨在保护美国的网络安全安全教育，美国网络安全专家建议：
1）战略暨国际研究中心委员会建议通过为网络专家提高奖学金以及发展职业道路的方法增加熟练工人的数量；2）联邦政府需要宣传和提高网络安全问题严重性的认识，增加有丰富
的网络安全技能的专业人才数量；3）白宫政策审查把教育和队伍发展作为国家网络安全战略的重要组成部分，它建议：（1）发起一个全国性的公众意识和教育运动，以促进网络安全；（2）扩大教育方案和研发，确保国家在信息经济时代的持续竞争能力；（3）制定一项战略，以扩大和培训的劳动力，包括吸引和保留联邦政府内的网络安全专业知识。
6、 开发制订一种全球供应链风险管理多管齐下的方法
CNCI 第十一条要求：“商业信息和通信技术市场的全球化为那些专注于通过渗透供应链来危害美国的人们提供了更多获得未经授权的访问数据，篡改数据和阻断通信的机会。对这些来自于国内和全球化供应链的风险必须通过一个战略的和全面的方法，对产品、系统和服务进行全生命周期的管理。”要做好这种风险管理，就需要：更深刻的认识威胁、漏洞和相关采购决定所产生的后果；开发和利用从技术和操作环节上减少产品生命周期（从设计到退役）中风险的工具和资源；开发制订新的采购政策和做法，以应对复杂的全球市场；与相关业界合作，制订一套适用于供应链的风险管理标准和最佳操作规程。该计划将促进联邦政府的技能、政策和程序，为各部门和机构提供管理及减少供应链风险的更好办法，从而减少联邦政府部门和机构所面临的系统及网络风险。
7、定义联邦政府在将网络安全融入关键基础设施工作中的职责
CNCI 第十二条阐述：“美国政府依赖私人拥有和运营的各种关键基础设施来实施公共事务。同样，这些关键基础设施的运转也需要高效的信息系统和网络来支撑，而这些系统
和网络极易遭到恶意攻击。该计划是建立在联邦政府与关键基础设施和重要资源（CIKR）的公私营领域所有者及运营商之间现存的或正在发展中的伙伴关系之上的。”国土安全部与
其私营企业合作方已制定了一个具有里程碑意义的、积极的共享行动计划，包括短期和长期建议，特别是吸收和利用以前取得的成就及现实经验，从而增强关键基础设施和重要资源
部门的安全弹性及运作能力。其重点是当政府部门、关键基础设施和重要资源遭受网络威胁或发生网络安全事故时，所有相关信息须共享。
8、 明确赋予计算机应急响应小组肩负的使命
CNCI 第二条阐述：“美国计算机应急响应小组要大幅度地提高态势感知意识，从而更有效地挖掘相关安全信息，更快捷的与整个政府的网络防御人员、民营机构的安全专业人员和社会公众共享信息。”
CNCI 带给我们的启示
CNCI 是涉及美国国家网络空间安全的一项庞大的综合计划，也是美国政府出台的一项网络空间安全综合战略。我们认为，它对打造和构建美国网络空间安全具有现实和长远的战略性指导意义，是一份美国网络空间安全历史上具有划时代的里程碑式的纲领性法规性文献，同时也是奥巴马上台后，对美国的网络安全战略及政策进行一系列重大调整的主要依据之一，从一定意义上讲，它也是奥巴马政府的网络空