淺析美國《網絡空間可信身份國家戰略》
來源:信息安全研究所 更新時間:2014-02-10

2011年4月15日,美國白宮發布了《網絡空間可信身份國家戰略——增強在線選擇性、有效性、安全性與隱私保護》,旨在通過政府和企業的共同努力,建立一個以用戶為中心的身份生態系統,促使個人和組織遵循協商一致的標準和流程來鑒別和認證數字身份,從而實現相互信任。NSTIC發布后,一直有學者認為美國出臺該戰略的意圖是實行網絡實名制,進一步加強網絡管控。筆者認為,NSTIC的實施,可能達到或部分達到網絡實名制的效果,但它本質上并不等同于網絡實名制。下面將從出臺背景、主要內容、突出特點和產生影響四個方面,對NSTIC進行客觀分析。
一、出臺背景
    政策響應。奧巴馬政府高度重視網絡空間安全問題。競選期間,奧巴馬就一直強調網絡安全對美國的重要性,甚至將來自網絡空間的威脅等同于核武器和生物武器威脅。2009年2月,奧巴馬上任不久便委托前國家情報總監、網絡安全顧問梅利薩·哈撒韋(Melissa Hathaway)牽頭,啟動為期60天的網絡安全狀況評估工作。2009年5月29日,梅利薩小組發布《網絡空間政策評估報告》,評估了美國網絡安全形勢,提出了加強美網絡空間能力建設的具體措施。其中,建立身份管理系統被作為一項重大任務提出:“在線交易變得日益普遍,涉及金融、衛生與商業等諸多方面,需要建立一個在交易方之間實現相互信任的基礎”,“聯邦政府應與企業界及公民自由和隱私團體合作,共同制定一個基于網絡安全的國家身份管理構想與戰略”。因此,NSTIC的出臺,很大程度上是對《網絡安全政策評估報告》的具體執行和積極響應,這在“網絡沙皇”霍華德·施密特(Howard Schmidt)的博客上也已得到印證。
    現實需要。美國是信息網絡的發源地,隨著信息技術的迅速發展和應用普及,美國對信息網絡的依賴程度越來越高。之前長期擔任美國白宮網絡安全顧問、現任哈佛肯尼迪學院教授的理查德·克拉克(Clarke Richard)在其著作《網絡戰:國家安全的下一個威脅及應對》中,曾提出“三要素衡量法”來評估一個國家的網絡戰能力,其中一個要素便是該國對網絡的依賴程度,評估結果是美國位居第一。但是,高度依賴信息網絡給美國人民帶來巨額經濟增長和便利生活的同時,也使美國面臨更為嚴峻的信息安全風險。當前,美國在線業務發展過程中的身份盜用、網絡欺詐、非授權更改和隱私破壞等網絡犯罪問題正日益突出。2012年5月10日,美國FBI發布由網絡犯罪投訴中心(The Internet Crime Complaint Center,簡稱IC3)統計制作的《2011網絡犯罪報告》指出,2011年美國共發生314246件投訴案例(更詳細的數據見下圖),較2010年的303809件增加3.4%,損失金額約4.853億美金。此外,賬號多、管理不便、注冊流程復雜也時刻困擾公眾和私營企業,而用戶和服務提供者之間難以進行雙向認證又增加了在線服務的難度。NSTIC希望通過身份生態系統的建立,有效解決這些客觀存在且愈演愈烈的現實問題。
    二、主要內容
    《網絡空間可信身份國家戰略》是奧巴馬政府上臺后發布的第一份關于網絡空間的戰略文件,來自18個關鍵基礎設施或關鍵資源部門、近70個不同的非營利機構和聯邦顧問小組參與了戰略制定過程。概括地說,NSTIC共分八章,核心內容包括指導原則、愿景構想、體系構成、任務目標和行動計劃。
    指導原則。NSTIC明確了身份生態系統應堅持的四項指導原則:能增強隱私且公眾自愿使用;安全且可擴展;可實現互操作;經濟且方便易用。
    愿景構想。無論個體還是機構,都能夠在充滿信心、增強隱私保護、增加選擇性和創新性的情況下,運用安全、有效、易用、可互操作的身份解決方案進行在線服務。
    體系構成。身份生態系統由參與者、策略、流程和相關技術構成。參與者主要包括個人、非個人實體、身份提供者、屬性提供者、依賴方、評估認可機構等。個人或非個人實體是在線交易主體,從身份提供者處獲得身份證書、從屬性提供者處獲得相關屬性聲明后,將身份證書和屬性聲明直接展示給依賴方,進行在線交易或使用在線業務。
    任務目標。為確保身份生態體系的建立,NSTIC明確了四項任務目標:一是研究形成一個完整的身份生態系統框架,包括一套可互操作的標準、風險模型、隱私保護政策以及對該系統進行管控的問責機制;二是建立和實現可互操作的身份生態系統,聯邦政府將與私營機構和各級政府合作,組織、協調、促進和參與實現身份生態系統的、可跨部門操作的試驗計劃;三是擴大宣傳和教育,提升身份生態系統中各參與方的信心與意愿;四是政府和私營機構長期參與維護,確保身份生態系統的持續正常運行。
    行動計劃。NSTIC明確了政府部門和私營機構以及其他主體在身份生態系統建設過程中扮演的角色。其中,私營機構扮演領導角色,負責具體身份生態系統的設計和運營;聯邦政府負責支持私營機構的行動,并與私營機構合作確保身份生態系統在互操作、安全、隱私保護等方面達到要求;國家計劃辦公室(National Program Office,簡稱NPO)負責協調戰略實施過程中相關機構的工作流程和具體行動以及戰略的日常協調工作;各州、地方和自治政府也參與到身份生態系統框架的建設中。同時,NSTIC還采取近期基準檢查和長期基準檢查的方式,督促和跟蹤身份生態系統的進展情況:計劃3-5年內實現身份生態系統初步運營的一些關鍵目標,如政府與企業的合作情況、隱私保護情況、各主體的參與情況和互操作性的建設情況,以及評估機構和個人是否有機會獲得身份生態系統帶來的好處;10年后,身份生態系統基本建成,主要優勢完全體現,且能夠持續發展。
    三、突出特點
    《網絡空間可信身份國家戰略》所要建立的身份生態系統具有三個突出特點:
    私營機構主導。在NSTIC倡導的身份生態系統建設中,政府所起的作用受到限制,主要是支持和推動私營機構,通過提供與使用身份管理服務、增強隱私保護等方式,確保身份生態系統指導原則的貫徹與執行。而私營機構才是身份生態系統的主導者,因為身份生態系統運營所依靠的角色如主體、依賴方、身份提供商、屬性提供商以及評估認可機構等大部分都是私營機構,它們擁有建立和運營整個身份生態系統的能力,身份生態系統的最終成功依賴于它們的領導和創新。因此,政府一般不會直接控制用戶身份信息,在不必要的情況下也不會要求私營機構提供用戶身份等信息。
    強調自愿參與。NSTIC明確表示,公眾是否選擇參與身份生態系統純屬自愿,政府不會命令個體必須獲得屬于身份生態系統的憑據,私營機構也不會強迫消費者將屬于身份生態系統的憑據作為唯一的交互工具,個體甚至可以選擇使用由信任方提供的非身份生態系統機制的服務。另外,個體是否選擇加入身份生態系統,還可以隨時間和業務類型而變化。因此,在身份生態系統建設過程中,公眾擁有較強的自主性和獨立性,個人信息也能得到較好地保護。
    注重隱私保護。為了更好地保護公民隱私,NSTIC主要從兩方面入手:一是建立增強隱私保護的機制、規則和指南,明確服務提供商和依賴方可以在什么情況下收集用戶信息、收集哪類信息以及如何管理和使用這些信息等;二是鼓勵采用隱私增強的技術,允許用戶使用匿名或假名等,減少不必要的信息泄露。正如NSTIC中提到的,“新的隱私保護機制將從原來主要以應用為目的的身份信息收集方式轉向以用戶為中心的分布式信息收集方式。
    總之,從內容上看,《網絡空間可信身份國家戰略》是從保護用戶隱私、降低網絡交易成本、提高安全性出發,以政府引導、企業為主,建立網絡身份生態系統,解決網絡匿名帶來的安全問題,從而便利公民生活、推動企業創新、發展國家經濟。該戰略“并不是要倡導建立一個全國性的身份標識卡或身份標識系統,也不打算限制個人匿名或使用假名進行交流的權利。相反,戰略力求為個人和機構提供一種可互操作且安全性更高的身份生態系統,個人可以在不同種類的在線業務中選擇使用相同或不同的身份憑證,從而作為匿名或者使用假名等方式的補充。”
    四、影響分析
    身份生態系統的建立,將為美國公民、私營機構和政府創造一個更加安全可靠、便利快捷的在線環境,促進美國信息技術創新,帶動美國經濟發展。此外,美國也將進一步獲取網絡空間規則制定權,為其謀求網絡空間主導權奠定良好基礎。
    為個人、企業和政府創造一個更加安全、便利的在線環境
    身份生態系統一旦建成,對個人而言,公眾無需再管理各種不同的用戶名和密碼,享受網絡服務變得更加簡便易行;由于系統限制在線業務過程中大量收集和傳輸用戶身份信息的行為,個人能夠免遭在線跟蹤,個人隱私得到更多保護;更成熟的信息安全技術和更強大的身份認證程序將大大減少非授權業務的數量,個人能夠安心地在線工作和娛樂,使用網絡的信心大大提升。
    對私營機構而言,由于身份生態系統是受市場驅動的,它能為創新性服務的發展奠定基礎,為新型商業模式提供平臺,身份生態系統的早期使用者還可以充分利用系統的創新解決方案,提高產品的品牌區分度;隨著注冊門檻的降低,私營機構的生產效率將提高,同時能降低與賬戶管理和密碼維護相關的、以紙張為基礎的流程和服務臺的成本,減少因詐騙和身份竊取而導致的損失;系統還能降低或消除傳統的用戶登錄障礙,減少用戶使用服務時與私營機構可能發生的爭議。
    對政府而言,身份生態系統能夠拓展政府在線服務的范圍,使政府工作更加透明和高效;能夠有效減少身份盜用、網絡欺詐、信息竊密等網絡犯罪活動,在當前網絡犯罪被美國視為“對國家安全穩定的巨大威脅”的背景下,這一點尤其重要;通過增強在線服務可信度,系統還能為國家信息安全事件應急響應提供安全快捷的平臺。
    有利于促進美國信息技術創新和經濟發展
    美國是最早發明和應用信息技術的國家。1993年,克林頓總統正式宣布實施“信息高速公路”,便意圖將美國乃至全球的網絡系統連接起來,利用信息產業推動美國經濟。90年代以來美國的發展歷程已證明,信息技術在美國經濟全面復蘇和快速發展中發揮了無可替代的重要作用。美國新安全研究中心最新發布的《美國網絡未來:信息時代的安全與繁榮》評估報告認為,如果沒有信息技術革命,美國的年度國內生產總值(GDP)將比當前數目少2萬億美元,信息網絡為美國GDP做出的貢獻多達人均每年6500美元。但是,由于信息網絡本身的虛擬性、開放性、跨地域性和低門檻性,加之目前全球缺乏一套安全、公認和通用的身份識別技術,信息網絡本身具有的巨大經濟和社會價值仍然難以充分發揮。網絡欺詐、身份盜用等現象屢見不鮮,也給美國和其他各國都造成了巨大的經濟損失。隨著信息網絡的日益普及以及經濟全球化、網絡化的逐步深入,網絡身份管理的重要性和必要性愈加凸顯。目前,世界主要國家都已認識到這一點,紛紛將其作為重點發展方向,積極采取措施推進網絡身份管理的實施。實際上,歐盟早在1999年就制定了電子身份證(Electronic Identity,簡稱eID),計劃十年內在整個歐盟范圍內實現電子身份證,現在已有多個歐盟國家開始實施eID。韓國也有類似舉措,為了解決居民身份證號被惡意利用于各種網絡犯罪活動的問題,專門開發出一種互聯網個人身份識別號碼,以此代替居民身份證號。NSTIC倡導建立的身份生態系統,是美國“信息高速公路”后涉及全球范圍的又一項巨大信息技術工程,奧巴馬政府之所以大力倡導,一方面是認識到網絡身份管理已是當今時代大勢所趨,另一方面也是深諳其中蘊涵的巨大經濟價值和商業機會。為實施NSTIC,美國政府投入巨資,2012財年美國會撥款1650萬美元,2013財年美政府向國會申請了2450萬美元。2012年2月1日,美國國家標準技術研究院在華盛頓宣布了一項競賽獎勵試點項目,為網絡空間可信身份認證技術試點項目提供總額高達1000萬美元的資助。一旦身份生態系統建成,必將極大地促進美國信息技術創新,帶動美國經濟發展。
    獲取網絡空間規則制定主導權
    信息網絡及其承載的信息和人類活動構成了網絡空間,網絡空間已和陸地、海洋、天空和太空等自然領域一樣,成為人類的活動領域。由于網絡空間是一個新空間,國際社會對網絡空間的基本概念、現有法律在網絡空間的適用性、網絡戰的界定等尚未達成共識,網絡空間治理規則方面尚是一片空白。
    目前,美國掌握著高性能計算機、操作系統、數據庫網絡交換技術和信息資源庫等五大核心技術,在信息技術方面占據絕對優勢,又擁有對互聯網根服務器的控制權,其網絡空間的“硬實力”已遙遙領先于其他國家。“軟實力”日益成為美國的新戰略部署重點,而制定網絡空間的游戲規則,正是美國提升其在網絡空間“軟實力”的最好途徑。NSTIC中多處強調,身份生態系統在標識和鑒別個人、機構以及設備的身份時應該遵守統一的標準和流程,而且重點提到“公平信息實踐準則”(Fair Information Practice Principle,簡稱FIPP),將透明度、個體參與、目標具體化、數據采集最小化、使用受限、數據準確性和完整性、安全性、可說明性和可審計性等因素作為衡量對個人隱私產生影響的系統、流程和項目的指標,其背后隱藏的真實目的之一便是通過制定非技術層面的政策、標準和法規,無形中獲取網絡空間規則的主導權,進而提升美國在網絡空間的話語權和影響力。據中國移動研究院預測,美國若建立起安全可靠、支持全球互聯互通的網絡身份管理系統,勢必對其他國家的網絡身份聯盟產生極大吸引,許多用戶也可能轉而使用美國的身份管理系統。這將為美國通過網絡輸出“民主”、“自由”等價值觀、建立符合其利益的網絡秩序、謀求網絡空間主導權和控制權提供極大便利,值得我們高度警惕。



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios