译者按

2010年6月25日，有着“网络沙皇”之称的美国网络安全协调官霍华德·施密特在白宫网站上发布了《国家网络安全网络空间可信身份国家战略》（NSTIC）草案。NSTIC是为了响应奥巴马总统批准的《网络空间政策回顾》（Cyberspace Policy Review）中提出的要求，综合考虑政府、企业和个人隐私等各方面的因素编撰而成的。其主要目标是提升网络空间中的身份信任级别，从而增强网上交易安全与隐私保护，减少网络欺诈与身份盗窃，最终实现个人用户及机构用户能利用安全、有效、便捷、可互操作的身份访问并获取网络服务。

NSTIC一方面关注部分网络活动（如博客发布），一方面关注网络交易（如网上银行、票务预订等）。由于交易各方的高信任度、真实身份十分重要，NSTIC寻求各种方法提升网络交易中个体、组织、服务商、设备等的可信身份级别。

NSTIC的核心是构建并推广身份生态系统，支持可信网络环境。身份生态系统是在一个网络环境中，个人、组织、服务和设备可以相互信赖，因为有权威机构建立并验证其数字身份。

美国国土安全部是NSTIC的关键起草部门，其单独为NSTIC开设了面向公众的意见征集网站，预计NSTIC将于2010年秋季定稿。

近年来，中国网络基础设施和网上交易的发展速度大大加快，国民经济和社会发展对信息技术手段、网络通信的依赖日益强烈；中国互联网用户数量超过4亿人，位居世界第一，由于网络身份信息不实或不当泄露造成的经济影响、社会影响日益加大。国务院相关部门正在积极研究实施网络实名制，加强网上身份认证，但如何稳妥实施网络身份认证，如何在网络信任安全与保护个人隐私间取得平衡仍是较大难题。NSTIC的颁布，对中国相关政策制定与推进有一定的借鉴意义。

网络空间（Cyberspace）是支持信息传播的由IT组件支撑的网络，是国家关键基础设施。我们利用网络空间来交换信息、买卖产品和服务，以及实现国内外跨领域的在线交易。一个安全的网络空间对经济稳定和国家安全至关重要，联邦政府必须解决近年来不断增加的网上欺诈现象、身份盗窃和网上信息的滥用。

减少网上欺诈和身份盗用的关键一步是增强网络空间中身份关联的信任级别。虽然对许多在线行为来说匿名是有意义的（如博客发布），但对其他行为（如网上银行或访问电子健康记录），重要的是交易当事方对他的交易伙伴有高度的信任。钓鱼网站、窃取密码，还有盗用账户，是一个不可信计算环境的主要表现。这项战略旨在研究提高个人、组织、服务以及某些特定类型的在线交易涉及的设备身份信任级别。该战略蓝图是：个人用户及机构用户能利用安全（Secure）、有效（Efficient）、易用（Easy-to-use）、可互操作（Interoperable）的身份认证方案访问并获取网络服务，以此方式促进可信（Confidence）、隐私（Privacy）、可选择（Choice）和创新（Innovation）。

更具体地说，该战略定义身份生态系统（Identity Econsystem）以支持可信网络环境。身份生态系统是一个网络环境，其中个人用户、机构用户、服务和设备可以相互信任，源于由权威机构建立并验证其数字身份。身份生态系统实现了七大功能。

·安全：提高破坏网上交易的难度，从而确保安全。

·有效：有利于个体的简便及有效操作，使个体可选择管理更少的密码或账户；对企业而言，则能从减少纸张使用、简化账户管理程序中受益。

·易用：通过自动身份认证方案实现易用性，这些解决方案基于便捷的可操作性，仅需少量技术培训。

·可信：使用户相信数字身份能得到充分的保护，从而促进网络交易。

·隐私：更好地保护个人隐私。

·可选择：供应商利用可互操作平台提供身份证书和设备，用户将有更多的个性化选择。

·创新：随着服务提供商不断开发或扩展网络服务，尤其是那些原本风险较高的服务，将出现更多创新机遇。

隐私保护和自愿参与是身份生态系统的支柱。身份生态系统通过对当事人的身份保密和仅共享完成交易的必要信息来保护隐私。例如，身份生态系统允许个人用户提供年龄而不用出生日期、名字、地址或其他标识数据，要求另一方参与者以高可信度的数字身份完成交易。通过强大的控制技术，身份生态系统降低了未经授权的访问使用信息的风险。最后，个人用户和机构用户都可自愿参加身份生态系统。

身份生态系统的另一个支柱是互操作性。身份生态系统采用强有力、互操作的技术和流程使参与者能达到适当的信任级别。互操作性支持身份可携带，并且在身份生态系统中的服务提供者能够识别多种类型的身份认证媒介。身份生态系统并不依赖于把政府作为唯一的认证提供者。另外，互操作性允许多类公共和私营部门的身份提供者参与到身份生态系统中。

将互操作性和隐私保护相结合创建一个以用户为中心的身份生态系统，以用户为中心将允许其选择适合交易的互操作证书。

通过创建及采用隐私保护政策和标准，高级别的用户将能够仅传递交易所需的信息量，除非他们采用其他方式。另外，这类标准将阻止交易和服务提供商使用证书之间的连接。用户将更确信他们可以同适合的一方交换信息，安全地传播该信息，并且该信息将按照最佳隐私保护方法受到保护。

和构想中的身份生态系统的蓝图一样，网络空间可信身份国家战略（NSTIC）支持如下目标。

目标1：制定全面的身份生态系统框架。

目标2：建立并实施与身份生态系统框架一致的可互操作的身份基础设施。

目标3：提升用户信心，使其乐于加入身份生态系统。

目标4：确保身份生态系统的长期成功。

前两个目标主要是为了提供安全的网上服务，设计和建立必要的治理机制和基础设施。第三个目标致力于保障隐私和安全，以及使各方意识到加入身份生态系统的必要性。第四个目标确立进一步发展身份生态系统的架构和重点，以及对网上身份安全不断改进。

9个高优先级的行动用于支持这些目标和蓝图。这些行动为身份生态系统的执行提供基础。这些行动是：

行动1：指定一个联邦政府部门，引导公/私部门开展工作，促进目标实现；

行动2：制定多方共同参与的、综合的行动计划；

行动3：加速推广政府服务、试点项目和相关政策，保障身份生态系统成功实施；

行动4：通过公/私部门间的工作，实现增强型隐私保护；

行动5：协调风险模型和可互操作标准的发展及改善；

行动6：强调服务提供商和个体的责任；

行动7：开展宣传活动，提升所有利益相关者的意识；

行动8：继续推进国际合作；

行动9：寻求其他方法以促进身份生态系统在全国范围内的应用。

上述行动的执行要求联邦政府继续领导、协调和合作以提高数字身份的安全性。为引导这些行动的日常协调，总统办事机构（EOP，Executive Office of the President）将在联邦政府内部设立一个领导机构。EOP中的网络安全协调官办公室（Office of the Cybersecurity Coordinator）将继续领导该行动中规定的跨部门政策发展。领导机构将与网络安全协调官办公室紧密合作。

这项战略要求优先采取一些具体行动，这些行动必须让联邦政府继续作为主要推动者、首先使用人和身份生态系统的主要支持者。联邦政府必须不断与私营部门、地方以及国际政府共同合作，提供必要的领导和激励机制，使身份生态系统成为现实。反过来，私营部门在执行该战略中起着至关重要的作用。通过在网络空间上的日常交易，个人将实现与身份生态系统相关的利益。国家的成功要求各方协作努力，为全力推行战略中明确的活动负责。