奧巴馬自稱是美國第一位“網絡總統”，競選時靠小額網絡捐款籌得大筆經費，上任后高度重視網絡空間的戰略地位，大力推進網絡安全等各項建設。2月12日，白宮宣布啟動廣受關注的《網絡安全框架》，在網絡安全建設領域取得了新的進步。奧巴馬發表聲明稱，“這標志著一個轉折點”，強調加強網絡安全還需做更多工作。這份自愿性公私合作框架能否成為一個轉折點還難說，但其網絡安全政策議程仍需克服巨大困難倒是事實。

“公私合作的絕佳范例”

由美國商務部牽頭、國土安全部配合的這次政策行動為期剛好一年。去年2月12日，奧巴馬發表年度國情咨文時強調要“提高關鍵基礎設施的網絡安全”，隨后簽署第13636號總統行政命令，指示隸屬美國商務部的國家標準與技術研究所與有關方面合作，開發改善與民營部門信息共享、提高整個關鍵基礎設施網絡安全水平的措施。

國家標準與技術研究所推出的這份39頁的《提高關鍵基礎設施網絡安全框架》（1.0版），包括摘要、三章和三個附件，核心是所提出的網絡安全風險管理生命周期五環論，期望用“最佳行為指南”為私營部門管理網絡安全風險提供指引。由識別、防護、監測、反應、恢復5個環節組成的框架核心，包含22類活動，并進一步細分98個子類。識別環節有資產管理、商業環境、業務管理、風險評估、風險管理策略，防護環節包括訪問控制、感知與訓練、數據安全、信息保護流程與程序、運營維護、防護性技術，監測環節有異常與事件、持續安全監視、監測流程，反應環節則有反應規則、聯絡、分析、減輕后果、增強功能，恢復環節包括恢復規劃、改進措施、聯絡。基于這些活動，框架還提供兩種風險安全狀態及4個層次的實施框架。

當日，美國國土安全部還推出了“C立方”項目，即“關鍵基礎設施網絡界自愿項目”進行配套建設，為所有自愿參考本框架的組織機構提供免費支持。

奧巴馬稱，這份文件反映了數百家公司、多個聯邦機構和世界各地貢獻的良好工作。這個自愿性的框架是民營部門與政府能夠并應該一道努力應對共同挑戰的絕佳范例。美國媒體分析稱，業界對這份框架表示了“溫和地歡迎”。著名管理和技術咨詢公司博思艾倫咨詢公司一名專家指出，框架是一個好的開始，為所有組織機構如何采取行動以提高網絡安全整體水平提供了信息。網絡安全專家威斯列表示，國家標準與技術研究所能在短短一年完成此份框架是個壯舉，該框架為今后制定相關的行業標準提供了一張藍圖。

核心問題是建立互信

在宣布“C立方”項目時，美國國土安全部部長杰伊·約翰遜指出，本框架的一個核心目標就是在政府與私營機構之間建立信任和聯系。互信確實一直是奧巴馬政府在國內外推進網絡安全建設和合作所面臨的一個重大問題，斯諾登事件后，這一問題更加嚴重。

美國智庫戰略與國際問題研究中心報告指出，在公私合作上，應將注意力集中在兩個關鍵問題上：如何在政府和公司決策者之間建立信任，如何將精力集中在網絡空間中真正重要的地方。信任是政府和私營機構之間建立伙伴關系的成功基礎。在過去幾年中，盡管雙方都有良好的合作意愿，但政府和私營機構之間的信任卻在不斷下滑。報告還指出，信任是建立在人際關系之上的，大而松散的組織再加上人員頻繁變動是不可能建立起信任的。當政府部門的高級官員不再為此努力，當政府計劃和行政程序缺乏透明度或者不適當時，相互信任也會因此受到影響。根據《聯邦顧問委員會法案》建立的高級機構將為重建信任奠定基礎。

奧巴馬政府的首份《網絡空間安全政策評估報告》也指出了妨礙公私合作的幾個障礙：私營部門不愿向政府透露敏感或專有商業信息；共享信息可能損害公司名譽或引發新的管制和責任；政府為保護情報來源和方法會限制信息共享。斯諾登事件使得包括谷歌在內的網絡巨頭致函美國政府自清，受此打擊，私營部門對聯邦政府的信任進一步下滑。有統計稱，該事件已經使美國企業損失了數十億美元的訂單。

在國際合作方面，德國總理默克爾此前表示，在2月19日與法國總統奧朗德會見時會提議在歐洲建立一個通訊網絡以提升歐洲的數據資料安全，并討論“通過歐洲供應商來向我們的公民提供安全保障，讓人們不需要通過美國那邊來傳送電子郵件和其他資料”。

法律保障依然滯后

奧巴馬在聲明中稱，將再次敦促國會推進網絡安全立法，一方面保護我們的國家，另一方面也保護我們的隱私和公民自由。與此同時，政府將繼續采取行動，根據現有的權力保護國家免受這一威脅。這一表態反映了奧巴馬政府在網絡安全立法中的挫折情緒和通過行政手段推進網絡安全建設的決心。

據美國國會研究部統計，1984年至2009年，美國通過含有網絡安全相關條文的法律有36部，奠定了美國網絡安全建設的基本法律基礎。但自2002年以來，美國國會沒有通過一部綜合性的網絡安全法律，也沒有形成網絡安全立法的基本框架。以關鍵基礎設施的界定為例，2003年小布什政府頒布的美國第一部《確定網絡安全國家戰略》中，核心基礎設施涉及12個類別，包括農業、食品、水、公共衛生、緊急事件處置、國防基礎工業、信息與電信、能源、運輸、銀行與財政、化工與危險品、郵電和貨運等部門。奧巴馬政府上任之際，美國國土安全部將關鍵部門擴大到18個。美國智庫報告稱這一現象反映了抓不住重點和怕得罪人的傾向，“無所不備則無所不寡”，所以建議關鍵網絡基礎設施主要包括電力、金融、信息集成與通訊、政府部門4類。至今，美國仍沒有法律層面明確關鍵基礎設施的內涵。

美國媒體分析指出，作為一份自愿性的文件，本框架如想獲得業界大力支持，需要有稅收優惠、事后追責等方面的法律支持，而這些都得通過美國國會進行立法。奧巴馬將2014年稱為“行動之年”，表示如不能從國會獲得支持，將通過自己的“筆”和“電話”，以簽署行政命令和直接聯系民眾的方式推進政策議程，但在網絡安全這一帶有全局性、戰略性和長遠性的重大問題上，法律保障不跟上，奧巴馬恐難有大的作為。