美国国家网络安全教育战略计划倡议正文我来说两句(0人参与)报名试驾BMW赢莱卡相机2012年10月06日15:29作者:知远打印字号保存到博客行动纲要我们的国家正在面临风险。国家政府及关键基础设施中的网络安全漏洞对于国家安全、公共安全和经济繁荣来说是一种风险。现在,是时候发起一项全国性计划,重点提高对网络安全的认识、教育、训练和专业开发。美国必须鼓励发展国家网络安全能力,组建一支敏捷、高度熟练的劳动力队伍,用以应对一组动态的、迅速发展的威胁。这份文件阐述的是国家网络安全教育计划的第一份战略规划,该规划将随计划推进在今后几年里进行更新。这份出版物面向广大人群,包括日常生活涉及网络的美国普通公民,我们的学生、教师,首席信息官,人力资源总监,企业家,和那些保护在线消息、在线交易和网络进程的人。国家网络安全教育的目的,是为了整体提高美国的网络安全水平。通过加速发展教育和训练资源,提高各层次人口的网络行为、技术和知识,形成一个更安全的网络环境。国家网络安全教育计划实施后,通过革新的网络安全教育、训练和广泛认知水平,我们可以期待一个安全的数字化美国,在21世纪拥有高度发展的经济和国家安全水平。国家网络安全教育计划将通过实现这三个目标来完成这一愿景:1.增强美国公众的网络行为风险意识2.扩大支持国家网络安全技术的工人储备3.开发和保有一支国际顶尖的网络安全工作队伍这份报告描述了国家网络安全教育计划的战略目标及其所支持的战术目标。这些战略目标为执行计划中的任务及完成其愿景搭建了一个框架。而战术目标明确了为了实现战略目标所需开战的高级行动。每一个目标的成果可成为国家网络安全教育计划完成度的衡量标准。对每一个战术目标的战略则描述了为了达成目标可能的前进路线或是可用的机制。整个计划为美国提供了一条通向更安全的数字化国家的道路。一、简介战略背景我们的关键基础设施——例如电网、财政部门和运输网这些支撑着我们生活的设施——遭受着日复一日的网络入侵,网络犯罪在过去的10年里也戏剧性的增长着。总统因此对网络安全给予了行政优先权。两年前,当总统发布他的网络政策回顾时,他声明:“网络威胁是我们面对的最严重经济和国家安全挑战之一。”为了保护和保卫国家数字情报和基础设施,美国必须鼓励发展国家网络安全能力,组建一支敏捷、高度熟练的劳动力队伍,用以应对一组动态的、迅速发展的威胁。目的国家网络安全教育计划的战略规划明确了战略目标和战术目标,以帮助实现网络安全的公共环境和具有全球竞争力的网络安全劳动力。国家网络安全教育计划的任务国家网络安全教育计划将通过加速发展教育和训练资源,提高各层次人口的网络行为、技术和知识,全面提高美国的网络安全水平。国家网络安全教育计划的愿景通过革新的网络安全教育、训练和广泛认知水平,我们可以期待一个安全的数字化美国,在21世纪拥有高度发展的经济和国家安全水平。国家网络安全教育计划的战略目标1.增强美国公众的网络行为风险意识2.扩大支持国家网络安全技术的工人储备3.开发和保有一支国际顶尖的网络安全工作队伍国家网络安全教育计划的利益相关者国家网络安全教育计划的利益相关人群范围涵盖了整个美国社会,从高级政府官员到每一个美国公民。保护网络安全,保证我们自己、我们的家人和我们的网络社区的安全,每一个网络用户都将参与其中,所以,公民个人将成为关键的受益人。这些关键受益人存在于联邦、州、部落、地方与领土政府中,也存在于那些支持共享网络安全训练、教育和情报的协会中。国家网络安全教育计划也将使那些私营部门的人员受益,包括关键基础设施的所有者/经营者,大型公司,小型企业,学术机构,和其他相关党派。国家网络安全教育计划的伙伴关系利益相关者们与国家网络安全教育计划有着特殊的关系,他们对这一计划将对他们产生怎样的影响非常感兴趣。许多该计划的利益相关者们都已经积极的参与到相关的规划、管理和开发活动中。他们的努力同其他各方面的努力一样,对国家网络安全教育计划的有效实施起到关键性的作用。因此,加强同积极的受益者的合作关系,结成新的工作关系,在全国采取行动,最大化行动的影响力,是十分重要的。这些伙伴关系通过将教育、认知和工作能力开发等活动,直接贡献于计划的战略目标和战术目标。合作关系将在企业、政府和学术界这些受益者的组织间形成。同时,合作伙伴们将利用他们共同的力量和能力来产生更大更持久的影响力和附加价值,这些是他们每一个个体所无法单独实现的。这些合作关系是自发、多方向、参与式、可信、可持续的,并被信息流和理念所支持。合作关系的缔结对国家网络安全教育计划的规划、实施和评价是极其重要的,使我们可以确保这些行动是适当、有效和可持续的。2图1NICE伙伴关系[保存到相册]政府参与者美国国家标准技术研究所(NIST)作为该计划的指定领导将促进协调现存的和将来的网络安全教育、训练和认知活动,以提高和加强他们的效力。可以想象,国土安全部(DHS),国防部(DoD),教育部(ED),国家标准技术研究所和国家科学基金会(NSF)将主要负责第一目标;国土安全部、教育部、国家标准技术研究所、国家科学基金会和国家安全局(NSA)将主要负责第二目标;国土安全部、国防部、教育部、国家标准技术研究所、国家科学基金会和国家安全局、国家科学基金会和人事管理局(OPM)将主要负责第三目标。二、国家网络安全教育计划战略概述国家网络安全教育计划是一个多维度的首创,其目标在于使国家的数字素养和网络安全知识制度化。从向大众提供信息到专业的工作和发展,国家网络安全教育的战略规划为其提供了一系列的国家网络安全的知识。以下所讨论的大目标和小目标主要集中在三个首要的成果:提升公众对网络风险的认识,使其能负责任的使用网络,并且使网络安全成为一条事业道路。发展培养下一代的网络安全人才,培养对科学、技术、工程和数学(STEM)的兴趣;通过教育、训练、雇佣和认证,提升信息安全相关从业人员和专家们的能力。图2表述了频谱中各种元素与国家网络安全教育计划的目标和总体的战略成果的联系2图2战略结果[保存到相册]这项国家首创的计划的演变使得参与一个战略计划程序成为必要,这个程序将影响国家网络安全教育计划的受益者、合作伙伴和政府活动。联邦、州、部落、地方与领土政府中的受益者以及学术界和工业界都已向这个程序进行投入。这总体的战略规划将随着时间推移而更新,以体现最新的优先级、完成度、投入和信息。表一介绍了国家网络安全教育计划的战略目标和具体目的。第三部分对他们分别进行了详细的说明。1这个战略目标的剩余部分,“网络安全劳动力”是指那些工作主要集中在网络安全方面的人。例如,在医院里护士需要上传病人的医疗保健记录,他/她必须按照网络安全政策来工作以保护病人的个人隐私,那么这家医院就需要有员工来主要负责计划、实施和维护医院的网络系统的安全状况。这是我国的劳动力的一部分,将从目标1(提升认知)中获益。那个负责医院网络安全的员工或是承包商就是“网络安全劳动力”的一部分。目标3集中在使“网络安全劳动力”的技术更加专业化。目标2则是旨在向网络安全事业领域输送人才。三、国家网络安全教育计划的目标该部分详细介绍了国家网络安全教育计划的战略目标和次要目标。这些目标为执行计划任务和完成愿景提供了一个框架。在每个战略目标里提到的次要目标显示了为了达成战略目标而必须采取的高级行动。该战略描述了一条达成各项次要目标的前进道路,这些目标的达成标示了整个计划的进程。目标1.提高对网络行为风险的认知水平美国民众越来越依赖于网络来管理他们日常生活的各个方面,但很大一部分人没有意识到一些威胁着他们个人隐私、人生安全和财产安全的风险。各种非网络组织也越来越热衷于进行网上贸易,却缺乏对该行为风险的充分认识。在线,表示一种连通的状态,多数情况下是指在网络上。本计划需要让更多的人意识到恶意行为的存在,且会因为他们乐于从互联网接受信息或是乐于向互联网提供信息而被利用。本目标将向公众发出信息来提倡负责地使用网络,提升对网络诈骗、身份盗用、网络掠夺和网络道德的认识。本目标旨在提升家庭、工作和公共场合中的网络风险。图3显示了国家网络安全教育计划希望个人和各组织一步步达到的网络安全知识的不同阶段。阶段1–认识到网络安全问题,每个人都面临着风险;阶段2–从技术和社会层面上理解这个问题;阶段3–对自我责任的认识,这是每个人应该做的,也是必须做的。阶段4–获取防护工具和知识,通过各种资源来获得应对的能力;阶段5–利用获取的工具和技术反过来来丰富资源;阶段6–保持并不断的学习以应对不断变化的威胁。1图3网络安全知识[保存到相册]目标1被三个次要目标所支持。次要目标1.1面向美国公民,次要目标1.2面向我们所工作的各种组织,次要目标1.3诣在提供公民和组织所需要的网络安全资源。次要目标1.1提升公众的知识,使其在处理网络风险时做出明智的选择大众对网络信息共享的风险认知还远远不够,它可以影响到个人甚至是国家的安全。我们必须使美国人更加了解可以使他们远离网络威胁所带来的消极后果的工具和训练。图3显示了一种分段式的提高网络安全知识的途径。国家网络安全教育计划集中提升每一个阶段的人的数量,并宣传支持每一个阶段的认知水平教育课程。收益次要目标1.1的顺利进行将会有如下几个收益:人们将更少的受害于网络欺诈。人们在网上共享信息之前会先考虑安全隐私是否有被侵犯的可能。更多的人将会安装安全工具来应对网络威胁。网络安全的概念将被普及,人们知道网络安全就如同他们知道吸烟有害健康、安全带的重要性、良好的饮食和运动会带来健康收益一样。战略从「停下,思考,互联」¹开始认知教育计划。为面向美国大众的数字素养训练制定标准和战略,保证大众能够使用工具和技术来减少网络风险。向教育者发布资源,使其可以在所有网络相关的课堂上更好的同学生交流和进行教学。通过一系列的途径向公民普及不断变化的网络威胁情况,包括认知教育计划、公共服务公告、技术交流会、商务会议、因特网和其他媒体渠道。次要目标1.2:提升组织内部的网络安全意识,使网络资源所面对的最直接和最严重的威胁得到很好的处理美国人所生活的环境中,网络犯罪者们总在发明新的复杂的技术来慢慢损害各种组织的网络安全。因为这些威胁的不断变化和演变,我们必须对这些变化进行追踪,并且及时通知各组织关于现存的威胁和相关缓解技术。各组织应当有机会通过教育、训练和认知教育计划学习到多种方式来在网络上加强对知识产权、客户资料、服务和关键设施的保护,并且能了解不断发展和进步的网络安全保护工具和保护措施。图三显示了一个分段式的路径来达到提升私营部门的网络安全知识的成熟度的目的。因为并不是所有的私营组织都将同一阶段作为起点,也不能保证他们一定拥有足够的资源来达到阶段4到6,所以次要目标1.2旨在帮助所有组织提升他们的网络安全认知水平。国家网络安全教育计划的目的,在于鼓励私营企业检查他们的网络风险,从而使他们能做出知情决策来获取、实现和维护网络安全状态以应对这些风险。认知资源的目的在于一些生产和出售网络相关技术的企业也可以影响其他企业。次要目标1.2力争使我国的创造者们在设计的初始阶段就将网络安全考虑在内。次要目标1.2也致力于让当下的发明家们从网络安全专家那里了解可用的网络安全工具和最优措施,这样也可以让他们的产品在全球范围内更具有竞争力。之后在文章中将讨论目标2,旨在鼓励正式教育以培育出更多的网络安全专家。收益次要目标1.2的顺利进行将为私营企业带来如下收益:提高对技术问题和威胁所导致的工具获取和训练的必要性认识。向所有员工宣传网络安全意识。对财产、功能、声望和管理能力的保护。向员工宣传隐私意识。生产包含了安全措施的软件和硬件。网络安全产品的质量将会提高,美国大众可用的网络安全服务也将会提升。增加对供应链缺陷的认识。使用网络安全工具来支持产品开发。战略通过一系列的途径向私营企业组织普及不断变化的网络威胁情况,包括认知教育计划、公共服务公告、技术交流会、商务会议、因特网和其他媒体渠道。宣传网络安全保护措施,如使用安全工具和训练、教育劳动力、需求追踪和宣传最优措施和网络安全标准。向小型企业和组织提供网络安全知识。次要