美國網絡安全促進委員會(Commission on Enhancing National Cybersecurity)由總統行政命令創建，是“奧巴馬總統2月9日宣布的制定短期行動和長期戰略的”網絡安全國家行動計劃“的一部分。

美國網絡安全法規和政策——從美國網絡安全促進委員會報告來看-E安全

2016年12月1日，委員會發布了《加強國家網絡安全——促進數字經濟的安全與發展》報告，本文分享的是報告的附錄，美國網絡安全相關的法案和政策。

(一)美國的Act和policy的區別

本報告的附錄5是Cybersecurity Policy介紹，附錄6是Cybersecurity Legislation的介紹，這兩個有什么區別?

1、Cybersecurity Legislation

這里面出現的最多的都是law，act，例如 Public Law 99-474, “Computer Fraud and Abuse Act of 1986,”，看到了吧，都是法律。

2、Cybersecurity Policy

這里面出現的Executive Order、Presidential Policy Directive或者是重要的報告，例如 Executive Order (EO) 13010, “Critical Infrastructure Protection,” 這就是行政令。

美國的國會制定法律，由于美國很大，一般法律要求都是底線的要求，各聯邦政府可以出補充條款，這就是行政令，行政令的最高級別就是總統令，總統令就是總統下達給各行政官員，指導他們行動的命令。

(二)Cybersecurity Policy Overview

一、克林頓時代

1、Executive Order (EO) 13010, “Critical Infrastructure Protection,”

1996年7月，EO 13010成立了總統關鍵基礎設施保護委員會，也被稱為Marsh Commission。 這個委員會是評估關鍵基礎設施的脆弱性，并制定更好的保護措施。

2、The

Report of the President’s Commission on Critical Infrastructure

Protection, “Critical Foundations:Protecting America’s Infrastructures,”

總統關鍵基礎設施保護委員會的報告《關鍵基礎：保護美國基礎設施”》1997年10月的這份報告得出結論，我們國家的關鍵基礎設施面臨著越來越多的風險，目前的防御措施很少。 委員會建議公私部門共同努力，改善安全。

3、Presidential Decision Directive 63 (PDD-63), “Critical Infrastructure Protection: Sector Coordinators,”

1998年8月4日發布總統令63(PDD-63)，“關鍵基礎設施保護”，PDD-63是關鍵基礎設施的第一份美國政策聲明，并強調需要更好地保護關鍵基礎設施免受身體和網絡威脅。 2003年，PDD-63被國土安全總統令7替代。

4、“Defending America’s Cyberspace: National Plan for Information Systems Protection, Version 1.0,”

2000年1月，美國制定了“信息系統保護國家計劃”(National

Plan for Information Systems

Protection)，這項支持PDD-63的計劃提出了10項計劃，以幫助聯邦政府保護關鍵的美國系統和網絡。

這些計劃包括確定關鍵的基礎設施資產和漏洞、檢測攻擊、共享攻擊信息、培訓安全專家、加強研究和開發工作以及增加公眾宣傳。

二、小布什時代

5、“The National Strategy to Secure Cyberspace,”

2003年2月發布“國家安全網絡戰略”，.該文檔提供了框架，確保美國在改善網絡安全的努力是有效的，并且優先排序。 該戰略強調，廣泛的美國人需要在網絡安全方面發揮作用。

6、Homeland Security Presidential Directive 7 (HSPD-7), “Critical Infrastructure Identification, Prioritization, and Protection,”

2003年12月17日發布國土安全總統令7(HSPD-7)，“關鍵基礎設施識別、優先排序和保護”，

HSPD-7改變了聯邦機構與關鍵基礎設施保護有關的責任。 其政策聲明包括指定一個機構，作為關鍵基礎設施部門保護的領導部門。

HSPD-7已被撤銷，并被2013年總統令21所取代。

7、“National Infrastructure Protection Plan” (NIPP)

2006發布“國家基礎設施保護計劃”(NIPP)，

NIPP旨在滿足HSPD-7的要求。

NIPP定義了聯邦政府確定“國家優先事項、目標和以及…的保護要求”。NIPP包括明確關鍵基礎設施保護的聯邦機構責任，以及定義風險管理框架，用于評估、優先排序和解決關鍵基礎設施風險。

8、National

Security Presidential Directive 54 (NSPD-54)/Homeland Security

Presidential Directive 23 (HSPD-23), “Cybersecurity Policy,”

2008年1月發布的國家安全總統令54(NSPD-54)/國土安全總統令23(HSPD-23)，“網絡安全政策”，

NSPD-54 / HSPD-23啟動了國家網絡安全綜合計劃(CNCI)。 CNCI的主要目標是“針對當今的威脅建立防線……

以防范全面的威脅… [和]加強未來的網絡安全環境。

三、奧巴馬時代

9、“National Infrastructure Protection Plan” (NIPP) 2009

2009年2月.修訂了老的NIPP; 其變化包括將關鍵制造業作為關鍵基礎設施部門，并將教育融入政府設施部門。

10、“Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure,”

2009年5月“網絡空間政策評估：確保信任和靈活的信息和通信基礎設施”，該報告記錄了聯邦政府關于網絡安全工作的60天檢查結果。它還提出了幾項建議，其中包括：

•國家需要制定減輕與網絡安全相關的風險所需的政策，流程，人員和技術。

•解決網絡安全問題需要公共私人合作以及國際合作和規范。美國需要一個全面的框架，以確保政府，私營部門和我們的盟友對重大事件或威脅作出協調一致的反應和恢復。

•”美國需要進行關于網絡安全的全國對話，以提高公眾意識威脅和風險，并確保采取綜合辦法，有關對國家安全需求、憲法和法律保障隱私權和公民自由。

•政府需要增加投資，幫助網絡安全脆弱性研究，同時滿足我們的經濟需要和國家安全要求。

11、“National Strategy for Trusted Identities in Cyberspace:

Enhancing Online Choice, Efficiency, Security, and Privacy,”

2011年4月發布《國家網絡空間信任認證策略：提高在線選擇，效率，安全性和隱私性》，創建了“網絡空間信任身份認證國家戰略”(NSTIC)，旨在通過鼓勵私營部門開發網絡交易工具來提高網絡交易的安全性，確保涉及網絡交易的個人和其他實體的身份的安全。

12、“International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World,”

2011年5月，發布《“網絡世界的國際戰略：網絡世界的繁榮，安全和開放”》，這一戰略補充了奧巴馬其他網絡安全政策，強調需要國際合作來實現技術可靠性和安全性。 戰略的原則包括加強與各方利益攸關方的伙伴關系，采取措施遏制和制止對手，促進全球網絡安全能力的發展。

13、Executive

Order 13587, “Structural Reforms to Improve the Security of Classified

Networks and the Responsible Sharing and Safeguarding of Classified

Information,

2011年10月7日發布行政令13587“提升分類網絡安全的結構改革和共享和保護分類信息職責”， EO 13587指示聯邦機構更好地保護其分類信息的安全性，以及涉及人員的信息 ，也保護個人的隱私和公民自由。

14、Executive Order 13636, “Improving Critical Infrastructure Cybersecurity,”

2013年2月12日發布行政命令13636“改善關鍵基礎設施網絡安全”，EO

13636 啟動了開發一個自愿的網絡安全框架，用于減少關鍵基礎設施的網絡風險。 EO

13636還指示國土安全部(DHS)編制關鍵基礎設施系統和資產的清單，可能這些重要設施在網絡攻擊中會受到影響。

15、Presidential Policy Directive 21 (PPD-21), “Critical Infrastructure Security and Resilience,”

2013年2月12日發布總統令21(PPD-21)，“關鍵基礎設施安全和恢復能力”，該指令認識到加強關鍵基礎設施安全和恢復能力的重要性，并建議通過聯邦，州，地方，

部落和地方政府機構，以及公共和私營部門的合作。 PPD-21明確了聯邦機構在關鍵基礎設施安全和彈性方面的角色和職責。

16、NIPP 2013

2013年12月.62按照PPD-21的指示，修改和重新發布了2009年版的NIPP。 NIPP的2013版本”反映了關鍵基礎架構風險，政策和運營環境的變化，并將關鍵基礎設施的網絡，物理和人員要素整合到管理風險中。

17、“Framework for Improving Critical Infrastructure Cybersecurity,”

2014年2月發布《提升關鍵基礎設施網絡安全框架》，通常所稱的“網絡安全框架”，本文件“使組織( 無論大小，網絡安全風險程度，還是網絡安全的復雜程度) 應用風險管理的原則和最佳實踐來提升關鍵基礎設施的安全性和恢復能力。

18、Office

of Management and Budget (OMB) M-15- 01, “Fiscal Year 2014–2015

Guidance on Improving Federal Information Security and Privacy

Management Practices,”

2014年10月3日，管理和預算辦公室(OMB)M-15-01《2014-2015財年”關于改進聯邦信息安全和隱私管理實踐的指導意見》，本備忘錄對聯邦網絡安全措施進行了若干修改，包括從

定期進行持續的風險評估和網絡安全監測; 它還授權DHS掃描聯邦機構的可公開訪問的網絡以了解是否存在漏洞。

19、Executive Order 13691, “Promoting Private Sector Cybersecurity Information Sharing,”

2015年2月13日發布行政令13691，“促進私營部門網絡安全信息共享”，該EO促進了諸如信息共享和分析組織(ISAO)等實體的創建，使企業，政府機構和其他組織能夠與每個組織共享網絡安全信息。

20、“FACT SHEET: Enhancing and Strengthening the Federal Government’s Cybersecurity,”

2015年6月12日發布的《事實表明：加強和加強聯邦政府的網絡安全》，更為出名的名字叫“30天網絡安全Sprint”，這使聯邦機構對其網絡安全政策和流程進行了幾個改進。

它還成立了一個網絡安全Sprint小組，以審查聯邦網絡安全政策和流程，確定缺點和優先事項，并建議如何解決這些問題。

此外根據以下主要原則指導了聯邦網絡安全戰略的制定：

•保護數據

•提高態勢

•提高網絡安全熟練程度

•提高意識

•標準化和自動化流程

•控制，控制和恢復事件

•加強生命周期安全

•減少攻擊面

21、Office

of Management and Budget M-16-04, “Cybersecurity Strategy and

Implementation Plan (CSIP) for the Federal Civilian Government,”

2015年10月30日發布管理與預算辦公室M-16-04，《聯邦民間政府網絡安全戰略與實施計劃(CSIP)》， CSIP是由30天的網絡安全大檢查驅動的。 CSIP為聯邦民事機構制定了五個目標：

a。 “優先識別和保護高價值信息和資產;

b。 “及時發現和迅速應對網絡事件;

C。 “發生事件后迅速恢復并從大檢查中吸取經驗教訓;

d。 “招聘和保留聯邦政府可以承擔的任務的網絡安全人才隊伍;

e.現有和新興技術的高效有效的采集和部署”。

22、“FACT SHEET: Cybersecurity National Action Plan,”

2016年2月9日發布《“FACT SHEET：網絡安全國家行動計劃》，該計劃啟動了幾項行動，以改善聯邦政府，私營部門和個人的網絡安全，其中包括：

a。 建立促進國家網絡安全委員會

b。 提出用于替代傳統技術的IT現代化基金

c。 鼓勵用戶采用多因素認證

d。 提出聯邦網絡安全工作大幅增加預算。

23、“Federal Cybersecurity Research and Development Strategic Plan,”

2016年2月9日發布《聯邦網絡安全研究與發展戰略計劃”》，該計劃確定了三個網絡安全研發目標：

(1)在未來1至3年內，實現“打擊對手”的優勢所需的科技進步， 有效的風險管理“意味著識別，評估和應對網絡安全風險的能力;

(2)未來3?7年，通過可持續安全的系統開發和運行，實現“打擊對手”;

(3)未來7至15年，通過否認結果和可能的歸屬，實現“有效和高效地威懾惡意網絡活動的進展”。。

24、Executive Order 13718, “Commission on Enhancing

National Cybersecurity,”

2016年2月9日.“行政令”第13718號“促進國家網絡安全委員會”，該命令成立了委員會，編寫了本報告。 。

25、Presidential Policy Directive 41, “United States Cyber

Incident Coordination,”

2016年7月26日總統令41，“美國網絡事件協調”，， PPD-41澄清了與網絡安全事件處理有關的角色和責任。 它還指示組建一個網絡統一協調小組(UCG)，協調最嚴重事件的事件應急工作。

(三)Cybersecurity Legislation綜述

一、1980–1989

1、Public Law 98-473, “Counterfeit Access Device and ComputerFraud and Abuse Act of 1984,”

1984年10月12日發布，“仿冒訪問裝置和計算機欺詐與濫用法”.本法令規定未經授權訪問和使用計算機、計算機網絡是非法的。

2、Public Law 99-474, “Computer Fraud and Abuse Act of1986,”

1986年發布“計算機欺詐與濫用法”，本法令補充規定了非法行為，例如未經授權銷毀數據， 分發被盜密碼。

3、Public Law 100-235, “Computer Security Act of 1987,”(已被取代)

1988年1月8日發布的Public

Law100-235， 1987年發布的“計算機安全法”，旨在確保所有聯邦機構實施基本的網絡安全措施來保護敏感信息。

國家安全局(NSA)提供援助，法律將國家標準局(現稱NIST)指定為開發網絡安全標準的牽頭機構。 該法由2002年的“聯邦信息安全管理法”取代。

二、1990–1999

4、Public Law 104-13, “Paperwork Reduction Act of 1995,”Public Law 104-13, “Paperwork Reduction Act of 1995,”

1995年5月25日發布公法104-13，，該法指定管理和預算局(OMB)為負責聯邦機構網絡安全政策的機構。

5、Divisions D and E, Public Law 104-106, “Clinger-Cohen Act of 1996,”

1996年2月10日發布的公法104-106號，“Clinger-Cohen法案”.，指定了與網絡安全政策和程序相關的機構責任。

6、Public Law 104-191, “Health Insurance Portability and AccountabilityAct of 1996,”

1996年8月21日發布“公法”104-191號，“健康保險責任法”(HIPAA)包括確保敏感醫療信息安全的規定。

7、Title II, Public Law 104-294, “National Information InfrastructureProtection Act,”

1996年10月11日發布的“國家信息基礎設施保護法”，本法第二章通過擴大計算機犯罪的定義，修訂了1986年“計算機欺詐與濫用法”。

8、Title V, Public Law 106-102, “Gramm-Leach-Bliley Act of1999,”

1999年11月12日頒布的“Gramm-Leach-Bliley法案”，要求金融機構保護所有關于客戶的敏感數據的保密性。

二、2000–2009

9、Public Law 107-204, “Sarbanes-Oxley Act of 2002,”

2002年7月30日發布的公法”107-204，“2002年薩班斯法案”，該法針對上市美國公司，包含對內部控制進行年度評估的要求，包括網絡安全措施。

10、Titles II and III, Public Law 107-296, “Homeland Security Act of 2002,”

2002年11月83日發布107-296號，“2002年國土安全法”。成立了國土安全部(DHS)，重點關注聯邦政府維護國家免受威脅，包括網絡安全威脅，以及應對這些威脅造成的災難。

11、Public Law 107-305, “Cyber Security Research and DevelopmentAct,”

2002年11月27日發布公法107-305，“網絡安全研究和發展法”，這項法律的目的是增加聯邦政府的網絡安全研究與開發資金。具體規定了若干方法，其中包括：•國家科學基金會(NSF)研究資助

•NSF和NIST頒發的研究獎學金•NIST開發安全配置清單，幫助各機構保護其計算機硬件和軟件

•NIST創建計算機系統安全和隱私咨詢委員會，隨后更名為信息安全和隱私咨詢委員會(ISPAB)

•國家科學院關鍵基礎設施網絡安全研究

•協調NSF和NIST之間的聯邦網絡安全研發工作。

12、Title III—Information Security, Public Law107-347, “The Federal Information Security ManagementAct of 2002,”(非常著名的一個法)

2002年12月17日發布107-347“2002年聯邦信息安全管理法”，(又稱“2002年電子政務法”)。“聯邦信息安全管理法”

2002年(FISMA)旨在確保所有聯邦機構至少實施基本的網絡安全措施。

FISMA指定NIST作為負責制定安全指南和指導的機構，用于確保聯邦民事機構系統。

13、 Public Law 109-58, “Energy Policy Act of 2005,”

2005年8月8日發布公法”第109-58號“2005年能源政策法”，該法要求聯邦能源管理委員會制定某些類型電力設施標準保持其可靠性。

14、Public Law 109-295, “Department of Homeland Security AppropriationsAct, 2007,“

2007年10月4日發布公法”109-295號，“2007年國土安全撥款法”，本法規定了化學設施安全要求，包括網絡安全要求。

15、Public Law 110-140, “Energy Independence and Security Actof 2007,”

2007年12月19日發布公法”110-140號，“2007年能源獨立與安全法”，該法指定NIST為引導智能電網互操作性標準的機構。

16、 Division A, Title XIII and Division B, Title IV,Public Law 111-5, “Health Information Technologyfor Economic and Clinical Health Act,”

2009年2月17日.發布第111-5號“公共法”第111-5號，“經濟與臨床健康衛生信息技術法”，本法律以HIPAA為依據，要求通知衛生保健數據泄露和加強對保健資料保護不足的處罰。

三、2010至今

17、Public Law 113-246, “Cybersecurity Workforce AssessmentAct,”

2014年12月18日.發布公法”第113-246號，“網絡安全人員評估法”，該法要求對DHS網絡安全人員進行定期評估。。

18、Public Law 113-274, “Cybersecurity Enhancement Act of2014,”

2014年12月18日.發布公法”第113-274號，“2014年網絡安全加強法”，該法律鼓勵公私部門共同努力，提高研發力度，提高人員素質和提高公眾意識。

19、Public Law 113-282, “National Cybersecurity ProtectionAct of 2014,”

2014年12月18日發布“公法”113-282“2014年國家網絡安全保護法”，本法的目的是明確國家網絡安全通信整合中心(NCCIC)的職責。。

20、 Public Law 113-283, “Federal Information Security ModernizationAct of 2014,”

2014年12月18日發布“公法”第113-283號，“2014年聯邦信息安全現代化法案”，這項法律修訂了FISMA，以修訂聯邦機構的網絡安全事件報告要求，明確某些聯邦機構網絡安全機構授權，并簡化網絡安全報告流程。

21、Public Law 113-291, “National Defense Authorization Actfor Fiscal Year 2015,”

2014年12月19日發布公法113-291，“2015年度國防授權法”，法律要求對聯邦信息技術最佳實踐進行一些修改，尤其是網絡安全要求，“聯邦數據中心的整合”。

22、Division N, Public Law 114-113, “Cybersecurity Act of 2015,”

2015年12月18日發布公法”第114-113號“2015年網絡安全法”，包含“網絡安全信息共享法”(CISA)。 CISA鼓勵在公共和私營部門組織之間分享網絡安全威脅信息。

作者：legnl