在過去的七年半時間里，奧巴馬政府在網絡安全領域下達了哪些行政命令，做出了哪些重大舉措和改革？一起來看一看奧巴馬時期的網絡安全成就…

今年2月9日，美國總統Barack Obama推出《網絡安全國家行動計劃》（CNAP），并將其稱為“奧巴馬政府”歷經7年的思想結晶。計劃從加強網絡基礎設施建設、加強專業人才隊伍建設、加強與企業的合作、加強民眾網絡安全意識宣傳以及尋求長期解決方案５個方面入手，全面提高美國在數字空間的安全。

在奧巴馬執政的七年半的時間里，已經相繼推出了大量的政策和計劃來構建網絡安全空間，旨在增強政府對網絡安全的防御實力以及保護公民個人信息的能力等。

Tom Kellermann，網絡安全戰略&國際問題研究委員會成員，為奧巴馬政府提供網絡安全服務，該委員會創立的初衷是為第44任總統構建和維護一個全面的網絡安全策略。

Kellermann說：

“事情變得更糟了嗎？是的。如果作為個人或公司，在網絡安全方面需要奧巴馬政府的幫助，你會覺得舒服嗎？不！通過調查昨晚發生了什么，FBI能否阻止正在或將要發生在你身上的事嗎？不能！”　　

如果警方來調查物理犯罪，不僅會調查到罪犯，還可以防止這一罪行再次發生，但是，Kellermann指出，這種情況在網絡空間內是不會發生的。

在接下來的文章中，我們將總結奧巴馬任職期間對網絡安全領域作出的突出貢獻。你是如何看待奧巴馬總統的這些網絡安全成就的呢？

1. 為期60天的政府網絡安全狀況的全面評估工作，準備就緒

2009 年 2 月，奧巴馬總統指示美國國家安全委員會(NSC) 和國土安全委員會，針對美國的網絡安全現狀展開為期60天的審查工作，“自上而下”地檢查聯邦政府部門保護機密信息和數據的措施，提出有效手段來確保這些系統能夠為國家的網絡安全和繁榮提供保障。

四個月后，白宮發表一份報告，題為《網絡空間政策評估》：《確保擁有可靠的和有韌性的信息與通信基礎設施》。

2009年5 月 29 日，奧巴馬在演講中宣布計劃制定一項新的、全面的國家網絡安全戰略，并在兩黨戰略委員會的建議下，宣布任命了一位政府網絡安全協調員，他將直接向總統報告，將網絡安全問題提升為美國政府管理工作的重中之重。

此外，戰略中還呼吁著力推廣大型的網絡安全教育活動，為個人和企業建立更迅速的網絡安全事件響應能力，提升網絡安全性能指標。

奧巴馬指出：網絡詐騙者，心懷不滿的內部員工，千里之外的黑客，犯罪組織，工業間諜，外國情報機構越來越多，網絡問題成為影響國家經濟和安全的致命因素。2008年，網絡罪犯偷竊的世界各地的企業知識產權價值就高達1萬億美元。奧巴馬表示：

“簡而言之，21 世紀美國的經濟繁榮將取決于網絡安全。”

2. 白宮任命Howard Schmidt為網絡安全協調員　　

2009年12月，奧巴馬總統任命Howard Schmidt為首位網絡安全協調員，他在公共和私營部門的安全管理領域都有著豐富的經驗，是網絡安全界杰出的領袖。

Schmidt曾在喬治·布什（George W. Bush）時期擔任關鍵基礎設施保護委員會副主席和網絡空間安全的特別顧問，而在此之前，他還曾在eBay 和微軟任安全主管。

作為維護國家網絡安全的關鍵成員，Schmidt的主要職責包括：為各組織加強計算機安全防護，開發新技術，開展網絡安全意識教育活動。

2011 年，Schmidt牽頭制定了旨在改善網絡空間身份認證的國家戰略，通過公私合作的方式有效解決了在線欺詐和身份信息竊取等問題。兩年半后，Schmidt 宣布將在2012 年 5 月底退休，把更多的時間用來陪伴家人和進行網絡安全教學。

Schmidt退休后，來自國家安全部門管理辦公室和情報處的Michael Daniel繼任了Schmidt的職位。

3. 2010：擴大網絡政策審查年

基于網絡政策審查中提出的建議，美國政府提出了網絡安全教育計劃，旨在增強公眾的安全意識。2010 年 3 月，政府公布了國家網絡安全教育計劃(NICE) ，這個計劃經過不斷的完善和推出，形成了一個完整的體系，涉及到公眾、在校學生，網絡空間專業人員三大群體的教育。

根據白宮的闡釋，NICE計劃主要包含4個方面：美國國土安全部，國家網絡安全聯盟和其他聯邦機構領導的全國公共意識活動，正式的網絡安全教育，聯邦勞動力的發展以及國家勞動力培訓。

在此期間，加強網絡安全成為了政府績效管理議程的核心組成部分。聯邦首席績效官的目標就是提升政府業務，其中包括：實現實時監測以及將網絡安全集成進系統設計中。

2010 年 4 月 21 日，NSS 和 OMB 發布了聯邦信息安全管理法案(FISMA) ，該法案將焦點從部門和機構的靜態化發展和紙質合規報告，轉化為針對聯邦機構網絡的連續、實時的監測。基于這種實時監測，建立基于風險的性能指標體系，這些指標被納入高級官員績效計劃，旨在幫助機構更快地識別漏洞，積極地部署防御，阻止攻擊行為。

4. 防范內部威脅計劃

2011 年 10 月，為應對21世紀早期發生的一系列大規模的數據泄露事件，例如，布拉德利 曼寧（Bradley Manning）主導的外交電報泄露事件。奧巴馬總統簽署了第13587號行政命令：《加強信息共享和保護計算機網絡中的機密信息的結構性改革》。

第13587號行政命令建立了幾個新的跨機構協調機構，以提高機密網絡的安全性，其中包括高級信息共享和安全保障指導委員會、內部威脅特別工作組、以及保護美國國家安全局和國防部系統的執行機構。

條例指出，負責操作或訪問機分類計算機網絡的聯邦機構負責人，有責任適當地共享和保護計算機網絡上的機密信息。

作為職責的一部分，他們需要：

指定一名高級官員負責監督分類信息的共享和維護工作；

根據內部威脅工作組制定的標準和指示，實現內部威脅檢測和防御計劃。

遵循行政命令和其他政策標準等進行自我評價，并將結果報告給高級信息共享和安全保障指導委員會。

提供符合規定的信息和訪問服務，保證執行代理能夠在計算機網絡中獨立評估和維護分類信息。

5. 提高關鍵基礎設施的網絡安全

關鍵基礎設施系統間的相互依賴，尤其是信息和通信技術間的依賴加深了網絡威脅，多種新型漏洞不斷涌現，其中包括物理和網絡威脅等。

為應對這一現狀，2013 年 2 月 12 日，奧巴馬總統簽署第13636號行政命令：《增強關鍵基礎設施網絡安全》，明確指出該政策作用為提升國家關鍵基礎設施并維護環境安全與恢復能力。

該行政命令主要聚焦三個關鍵領域：（1） 信息共享；（2）隱私；（3） 采用網絡安全措施；

關鍵基礎設施是指對美國至關重要的，物理的抑或虛擬的系統和資產，一旦遭到損壞將會對國家的政治、經濟、公共衛生和安全或是這些事項的任意組合帶來嚴重的影響。

條例鼓勵國家標準和技術研究院(NIST)與私營部門合作，識別現有的自愿共識性標準和業界最佳實踐，并將其融入到網絡安全框架中去。　　

奧巴馬政府承認，一些私營部門網絡領導人已經在實施強大的網絡安全控制，政策，程序和創新技術，并要求這些公司協助政府塑造跨關鍵基礎設施的最佳實踐。總統還要求國土安全部建立一個自愿項目，以推動框架實施。

6. 政府推動信息共享以強化響應速度

快速的信息共享是有效網絡安全的重要組成部分，它能幫助美國企業共同應對威脅，而不是孤軍奮戰。為推進這一進程，2015 年 2 月 12 日，奧巴馬總統簽署一項行政命令，鼓勵和促進私營部門與政府之間分享網絡威脅情報。

條例制定了一個框架，旨在擴大信息共享，幫助公司協作共贏，此外，還可以通過與聯邦政府合作，力求快速識別和防范網絡威脅。

條例鼓勵成立信息分享和分析組織（ISAOs），以作為政府和私營企業共享信息的聯系點，協調私營部門和政府之間的網絡安全信息共享、合作和發展。

7. 制裁網絡攻擊者

2015 年 4 月 1 日，奧巴馬總統發表了兩年之內的第三個網絡安全行政命令，以制裁和威懾那些以美國關鍵基礎設施為目標的網絡攻擊者。　

奧巴馬引用《國際緊急經濟權力法》（International Emergency Economic Powers Act），允許聯邦政府對列入黑名單的重大惡意網絡活動背后的國外個人或機構實施制裁。

條例是美國對困擾國家企業、組織和個人的網絡攻擊者的有利反攻武器。它授權財政部部長、司法部長和國務卿，提起制裁、打擊網絡犯罪、網絡間諜和其他破壞性網絡攻擊背后的實體。

總統稱：

“這是我第一次授權對在網絡空間實施攻擊行為，造成國家安全、外交政策、經濟健康或金融穩定等受到重大威脅的個人或實體實施制裁。我們主要聚焦來自海外的網絡威脅。在許多情況下，外交和法律執法工具仍將是我們最有效的反擊武器。但是，明智地運用有針對性的制裁，將賦予我們一個全新的、有力的方式來應對最最糟糕的情況。”

此項條例實施后，美國政府將有權凍結任何破壞美國關鍵基礎設施的攻擊者資產，或從美國企業竊取商業機密、個人信息獲取的利潤。這項條例無疑是深受歡迎的，但是問題是，聯邦調查局如何能夠正確識別攻擊者。

此外，條例還授權對任何協助及教唆與惡意網絡活動相關的人實施制裁，惡意網絡活動相關群體包括通過“財政、物質或技術支持或商品和服務支持的人群“。銀行或金融服務機構、技術提供商或任何其他供應商，只要被發現向攻擊者提供支持的都可能會受到牽連。

8. 設置最后期限，推動美聯邦網站設置HTTPS加密

隨著使用互聯網加密成為一種新常態，2015 年 6 月 9 日，美國白宮制定了一項新政策，要求2016年底，所有聯邦機構面向公眾的網站必須使用加密的HTTPS （安全超文本傳輸協議）。

當時，只有31%的聯邦機構使用HTTPS協議，包括：白宮網站（whitehouse.gov），cia.gov，nsa.gov 和 omb.gov等，而dhs.gov 和 fbi.gov 等機構網站卻未啟用 HTTPS。而目前，已經有52%的聯邦網站支持 HTTPS 加密， dhs.gov 和 fbi.gov 等安全機構已經使用 HTTPS。

未加密的HTTP鏈接可能存在漏洞，造成聯邦網站和服務器上的潛在用戶的敏感信息泄露。這些數據包括瀏覽器標識、網站內容、搜索詞和其他用戶提交的信息等。為了解決這些問題，許多商業組織已經采用了https協議來保護其網站和服務器中的用戶安全。

2015 年 3 月，奧巴馬首次以草案的形式發布僅使用HTTPS的建議，并將2016 年 12 月 31 日，作為網站使用HTTPS加密通信的最后期限。為協助轉換HTTPS，用戶可以通過https://https.cio.gov網站獲取來自世界各地的技術專家提供的技術援助和最佳方案。

聯邦首席信息官Tony Scott在博客中寫道：“HTTPS只保證兩個系統之間的連接的完整性,而不是系統本身。它不是被設計來保護web服務器免受攻擊或破壞的，也不能防止web服務在正常運行的情況下公開用戶信息。然而HTTPS-only標準將消除不一致，能夠判斷出哪些內容或瀏覽活動在本質上是敏感的，為政府創建了一個更強的隱私標準。

9. 中美達成共識，不通過網絡間諜行為獲取經濟利益

2015 年 9 月17日，中國國家主席習近平和美國總統奧巴馬就網絡安全問題達成共識，無論中美都不會通過國家網絡間諜活動謀取經濟利益。

長期以來，中國都在針對美國的網絡間諜組織的問題上“躺槍”，但是，中國始終強烈否認此類間諜活動源自中國。在一次新聞發布會上，奧巴馬稱已與中國達成初步“共識”，他表示，接下來的問題就是言行一致，付諸實際的過程了。

美國同樣堅持否認通過網絡間諜活動為美國企業謀取經濟利益，此次習近平主席和奧巴馬總統就制裁入侵本國企業和組織，竊取資產和知識產權的國外攻擊者方面達成共識，共同懲治網絡犯罪。

FireEye Mandiant公司的創始人兼總裁Kevin Mandia認為，奧巴馬總統和習近平主席間達成的這一歷史性協議將預示著網絡安全進入了一個新篇章。

Mandia表示，中美達成的“無網絡間諜”協議可能會有三種結局：最壞的一種是，中國僅口頭承諾，但是繼續盜取美國的 IP；中國縮減此類黑客行為；中國限制此類活動。他認為，這將推動中美兩個大國在全球經濟的背景下合力打擊全球網絡犯罪行為。　

10. 總統呼吁將網絡安全支出增加到2017年的190億美元

2016年2月9日，奧巴馬總統將總額高達4.1萬億美元的2017財年政府預算提交國會，呼吁將網絡安全支出增加到2017年的190億美元，較2016財年增長35%。

奧巴馬指出，必須付諸更多的努力來提高網絡安全能力，讓公民擁有自己需要的工具來保護自己，公司有能力捍衛自身網絡和信息安全，政府也有實力保護美國公民委托的個人信息。

這也是美國總統指示政府實施《網絡安全國家行動計劃》(CNAP)的原因所在。《網絡安全國家行動計劃》是美國政府七年來的經驗總結，吸納了來自網絡安全趨勢、威脅、入侵等方面的教訓。通過短期和長期戰略提高網絡安全意識，加強保護，確保公共安全，支持經濟和國家安全。CNAP的一些要點包括：

● 建立“國家網絡安全促進委員會”（Commission on Enhancing National Cybersecurity）——由頂尖的企業與技術專家組成，部分人員由國會任命，共同譜寫出一份為期十年、涵蓋公私兩方面的網絡安全技術、政策發展藍圖，以推廣各類最佳實踐。這項計劃將包含：強化網絡安全意識，保護隱私、公共安全，維護經濟、國家安全并保證美國擁有更強大的數字安全控制能力，促進聯邦、州和本地政府以及企業間的合作。

● 專門分配31億美元的信息技術現代化基金，用于升級已過時或難維護的政府IT和網絡安全管理基礎設施。同時設立聯邦首席信息安全官（the Federal Chief Information Security Officer），監督政府部門實施這些工作。其具體職責包括開發、管理并協調整個聯邦政府體系內的網絡安全政策，以及操作的執行。

● 加強在線賬戶的保護，除密碼外，輔以指紋、短信發送一次性密碼等更多安全措施。通過“國家網絡安全聯盟”（the National Cyber Security Alliance）發起新的國家網絡安全宣傳行動（National Cybersecurity Awareness Campaign），專注多重認證，以提升、培育信息消費者的網絡安全意識。

“國家網絡安全聯盟”為非營利性組織，其成員包括美國國土安全部（DHS）以及賽門鐵克、思科、微軟、SAIC與EMC等私營企業。其呼吁并鼓勵使用多重驗證機制，同時實施一套尚未最終定名的“有效身份認證”方案。合作者包括Google、Facebook、DropBox、Microsoft等頂尖技術公司，以及MasterCard、Visa、PayPal和Venmo等交易服務公司。

● 2017財年預算中，網絡安全總體支出達190億美元，較2016財年增長35%。

美國的網絡霸主地位是無可否認的，盡管已經與中國達成了“網絡安全共識”，但是可以預測的是，美國絕不會輕易放棄網絡空間的“霸權”統治，通過總結奧巴馬總統任職期間的網絡安全成就，不僅對美國未來執政人提供參考和學習的依據，同時對我們國家也有很強的借鑒作用，通過“師夷長技”不斷提升自身網絡安全整體實力，共建安全、融合、共享的網絡安全空間。　　

*原文鏈接：darkreading、米雪兒編譯，轉載請注明來自FreeBuf（FreeBuf.COM）