2024年6月,美国国家安全局(NSA)和美国网络安全与基础设施安全局(CISA)联合发布了《增强美国在标准制定中参与度及领导力的建议》(《Recommendations for Increasing U.S. Participation and Leadership in Standards Development》)。该文件详述了一系列举措,包括将美国打造为标准化会议的首选场所、尽早参与新兴技术标准的制定过程、培养更多精通标准的人才,以及与学术界携手培育未来标准发展领域的专家等。该文件旨在帮助美国在全球标准制定中占据更有利的地位,并为利益相关方实施标准制定策略提供参考和指导。
一、背景介绍
2022年,美国《2022年芯片和科学法案》(The CHIPS and Science ACT of 2022)的通过,明确了NIST召集、领导和协调美国各相关方参与国际标准制定的角色。《美国公共法》117-167,第10254条,也为NIST引领创新和前沿的科学研究,并为能将其转化为国际预研标准绘制了蓝图。
2023年5月,美国政府发布了《美国国家关键和新兴技术标准战略》(United States Government’s National Standards Strategy for Critical and Emerging Technology,USG NSSCET),旨在加强美国在保护消费者方面的能力,提升其在国际标准制定中的领导地位和竞争力。
为支持该战略的有效实施,2023年秋NIST在《美国联邦公报》上发布了信息请求(RFI),面向公众征求意见,以确定如何更好地实施USG NSSCET、加强与相关方的合作、消除参与国际标准制定的阻碍,并强调美国政府对开放、基于共识且由私营部门主导的国际标准体系的支持。在RFI征集期间,NIST组织了一系列关于USG NSSCET的听证会和相关方活动,将收集到的反馈意见作为制定实施路线图的指导依据。
基于反馈,美国政府各部门和NIST协同合作,制定了USG NSSCET实施路线图的草案,旨在加大对CET预标准化开发活动的投入,扩大CET标准的参与度,并培养精通CET标准的专业人才。
目前对USG NSSCET实施路线图草案的意见征集已结束,NIST将根据收集到的公众意见,对USG NSSCET实施路线图进行进一步修订与完善。
二、主要内容
《增强美国在标准制定中参与度及领导力的建议》主要介绍提升美国在标准制定中的参与度及领导力的一系列建议,包含以下四个方面:将美国打造为标准化会议的首选场所、尽早参与新兴技术标准的制定过程、培养更多精通标准的人才,以及与学术界携手培育未来标准发展领域的专家。
(一)将美国打造为标准化会议的首选场所
该文件指出,美国举办标准化会议能为美国标准专家提供拓展人脉和参与重要讨论的机会。面对面交流也使美国专家得以更好地展示自己的成果,进而推动其贡献获得认可。对于期望在国际SDO中担任领导职务的美国专家而言,亲自出席会议尤为重要,因为参会者往往倾向于选择他们所熟悉的候选人。此外,在美国举办标准化会议,还能够降低本国参会者的参会成本,并为他们提供宝贵的标准制定经验,特别是在关键和新兴技术(CET)标准的制定方面。
近年来,在美国举办的标准化会议数量逐渐减少。许多SDO基于成员的建议,倾向于选择避开在美国境内召开会议,原因是会议保障方面的挑战和压力较大。
鉴于标准化会议能够吸引全球范围内的参与者,因此会议地点的选择必须考虑到航班的充足性以及交通的便捷性。美国拥有多个具备国际机场的城市,这些城市能够满足举办大型标准化会议的需求,并且在交通和住宿方面也能提供多样化的选择,以适应不同预算的参会者。此外,国际标准会议的举办场所需要能够容纳众多人员,并支持远程线上参与。因此,必须确保有可靠的互联网接入、充足的电力供应以及为SDO内部工作组提供的分组讨论室。同时,还需考虑提供翻译服务和残疾人便利设施。
为了推动在美国举办更多会议,该文件重点考虑如何激励美国产业界和其他利益相关方提供资金支持,并吸引更多有能力为标准制定作出贡献的专业人士。
具体建议包括:
1. 对政府的建议
政府可将标准制定活动及在美国举办的会议定位为对国家和经济安全至关重要的活动。政府考虑分配获批资源,为在美国境内举办标准化会议提供支撑。此外,政府应构建和维护一个稳定且可预测的监管和政策环境,以欢迎外国参与者参加标准相关的会议。具体而言,政府应对外国参与者可能面临的签证挑战有准确认知并提供解决方案,缓解签证申请积压问题,并协助会议组织者了解签证申请流程,尽可能确保签证申请成功。
2. 对私营部门利益相关方的建议
私营部门的利益相关方为标准化会议尽可能提供支持。通过提供场地设施或其他物质支持,助力在美国举办的标准化会议取得成功。除了实物支持,还可以在标准化会议期间赞助如社交酒会、午餐或晚宴等活动,为产业界、学术界及个人参会者创造有价值的交流机会。此外,也可以通过资金捐赠来支持在美国举办的标准化会议。
(二)尽早参与新兴技术标准的制定过程
该文件指出,美国政府及产业界尽早参与CET标准化进程能为美国争取更多利益。参与标准化工作的初级阶段有助于美国企业在新兴市场中取得竞争优势,并提升美国的国际影响力。同时,参与标准的初期制定过程为监管机构提供了机会,国际和各国监管机构可以据此制定出相应的规则和政策。此外,参与标准的初期制定过程亦有助于降低贸易壁垒,促进新技术的普及。
具体建议包括:
1. 对个人的建议
个人可以参与标准相关的研究与开发活动。通过了解该技术,以及其在更生态系统中的位置,为向实施和标准化过渡做好准备。
参与推动新兴技术发展的开源社区也是一个有效途径。个人还可以加入与其技术相关的研究小组和兴趣社区,特别是那些与SDO相关的小组,了解未来标准需要解决的问题。这些小组有助于形成对技术发展方向和标准化路径的共识,为个人提供在这一领域发挥领导力的宝贵机会。
2. 对私营部门利益相关方的建议
私营部门可以使用超出个人能力的资源,为技术的发展确定方向,推动其成为新的标准。该文件强调,标准化是任何技术生命周期发展的一部分。对标准化的重视有助于确保技术研究在成熟之后顺理成章地转化为标准。
此外,私营部门可以在技术开发的初期就将安全问题纳入考量。随着技术功能的逐步确定,确保其安全往往变得更加复杂。因此,在技术仍有灵活性时将安全作为优先事项,不仅可以让技术的使用更加安全,还能帮助标准制定者做出更明智的选择。
3. 对学术界的建议
学术界可以将USG NSSCET及其他共识文件确定的技术作为研究重点,确保研究工作能够为这些技术的标准化奠定基础。同时,学术界可以扩展与CET相关的课程及项目,以培养未来参与技术标准化的人才。此外,学术界可以与产业界及政府部门合作,争取对研究和协调优先事项的支持。NSA的国家学术卓越中心计划等为网络安全领域的研究和课程提供支持,并使获得认证的学术机构受益,以雇用精通标准的专业人才。将标准知识纳入此类认证体系,是将标准化工作提升为国家优先发展事项的关键步骤。
4. 对政府的建议
政府可以在国家安全的关键领域提出要求,并对相应研究提供资金支持,以便学术界和产业界在规划研究路线时将这些要求纳入考量范围。同时,政府可以评估合作研发协议和研究拨款等协议是否已包含对私营部门开放许可权,或能通过谈判加入相应权利,以促进研究成果向标准的转化。网络与信息技术研发计划等项目也应考虑标准化需求。在宏观层面上,政府可以在项目中采用新兴技术,并尽早确定新兴技术的用例,以推动技术的及时应用。
(三)培养更多精通标准的人才
该文件指出,要保持美国在国际标准中的有力参与,政府和产业界必须培养一支精通标准的人才队伍。所谓精通标准,是指了解如何与SDO合作,将其作为更广泛的行业影响力的一部分。为了增强美国在标准化领域的影响力,多个角色都发挥着不可或缺的作用。首先,需要技术专家来确保标准符合技术要求,并具备安全性和有效性。其次,需要标准流程方面的专家参与SDO活动,以确保标准制定过程符合要求。同时,需要参与团队和赞助商来研究新兴技术、规划标准参与活动,并为参加标准会议提供必要资源。
具体建议包括:
1. 对个人的建议
个人在标准制定中的首要任务是了解相关SDO及其指定领域的标准。这包括熟悉SDO工作程序,如会议频率和特定SDO内的标准制定程序。此外,个人还可以通过持续关注、观察和跟踪正在制定的标准草案,保持对特定标准的了解。尽管可以将重点放在与自己技术领域直接相关的标准上,但掌握标准的整体趋势和与自己工作相关的标准,将对后续推动个人标准在各SDO内的制定大有裨益。
个人在参与过程中需了解相关SDO活动和范围与自身所在组织目标的关系。通常各组织都有明确的产品开发和技术研发目标。作为团队成员,应将这些目标与组织在相关SDO中制定的标准目标以及政策和监管要求相协调。
在深入理解SDO活动和目标后,个人可以通过直接参与SDO活动来进一步提升对标准制定的理解。这可能包括直接参加SDO会议或参与其邮件列表的讨论。技术专家可以通过对草案提出意见直接为标准制定做出贡献。此外,个人还可以寻求外部技术参与的机会,如技术演讲、研究出版物、合作项目或开源开发。最后,个人可以在SDO内部担任领导职务,增加其在标准制定中的影响力。
2. 对私营部门利益相关方的建议
私营部门在标准制定中的有效参与,首先需要获得领导层的承诺和相应的资源支持,包括人员配置和财务预算。此外,需制定并实施支持和鼓励标准制定政策,将标准作为技术开发不可或缺的一部分,明确技术发展的优先主题领域,并与相关SDO紧密合作,积极参与标准制定工作。
同时,私营部门可以鼓励并指导新的SDO参与者,通过引入新鲜血液为未来打造一支精通标准的工作队伍做准备。支持员工在SDO中担任领导职务,以提升其在标准社区和市场中的竞争优势。通过设立经费预算,为参与标准的员工提供必要的资源支持。通过赞助SDO活动,私营部门能够扩大其影响力,并确保标准化工作与内部技术紧密结合。
此外,私营部门应提升在整个组织对标准重要性的认识,确保标准化工作成为全体员工的共同目标。提供内部和外部的教育和培训机会,帮助员工在职业生涯的各个阶段有效参与标准工作。通过导师计划和标准培训,培养一支既精通技术又积极参与标准化工作的团队,推动私营部门在全球市场中保持竞争力和技术领先地位。
3. 对SDO的建议
SDO可以在其举办的会议上,为新成员提供培训或指导。培训可以在展会上进行,也可以一次性提供给开发与SDO相关技术产品的公司。SDO还可以提供技术讲座,介绍特定技术及其标准的背景。如果讲座面向更广泛的受众,可以在SDO会议中以分组会议的形式举行,并向未注册会议但有兴趣的相关人员开放,提升讲座的吸引力。
4. 对政府的建议
政府支持与私营部门利益相关方、产业界及学术界参与标准制定工作。明确提出财政支持的优先事项和目标,通过分配拨款和补助金,以鼓励特定技术领域的研发。
5. 对学术界的建议
USG NSSCET指出,学术界应担负起培养下一代标准化专业性人才的重任,并强调标准和标准化的价值、发展和使用的重要性。学术机构也应投资于对CET技术及其标准化感兴趣的学生和教育工作者。
学术界参与标准制定,可以让学生理解标准在自身学习的相关技术发展中的作用。通过与产业界和政府部门合作的实习或暑期工作计划,学生可直接参与标准的制定工作。此类参与不仅能够加深学生对标准的认识,也能为标准制定者带来新的视角。与研究团体的合作,亦可提高美国在支持新兴技术开发及其标准化方面的竞争力。
学术界应设立学生大使计划,以鼓励和引导新生参与标准社区。在此类计划中,可以赞助一名高年级学生担任特定SDO的“大使”。学生大使向该计划的协调员汇报,也可选择向其所在学术机构的教师汇报。该计划为学生提供会员资格和差旅资金支持,使他们能够参与SDO会议,并亲身参与标准制定过程。SDO的导师将在整个过程中为学生提供指导。计划结束时,学生有机会举办研讨会,分享他们在标准方面的经验和见解。此外,该计划还可以举办年度峰会,让学生们相互认识,并与其他具有标准经验的学生及标准专业人员建立联系。
院校也可以在校园内举办SDO会议。校园通常拥有举办SDO会议所需的空间和设施,交通便利,并具备线上参会的技术条件。学术机构可以与SDO合作,允许学生在学校园举办活动期间免费参加标准化会议。参与这些活动将使学生能够在较低的教育成本下参加标准课程。其他的活动如黑客马拉松也可以在同一地点举行,让学生参与到SDO的技术工作中。
(四)与学术界携手培育未来标准发展领域的专家
美国政府和美国国家标准协会(ANSI)的标准战略都强调了保持参与标准化进程的重要性,并支持培养一支具备高水平教育背景和技术能力的专业人才队伍。为了确保相关专业的学生能够在未来成为标准领域的专家,政府、产业界与学术机构之间建立坚实的合作伙伴关系至关重要。然而部分高校尚未认识到标准制定对于学生发展的益处。缺乏明确的学术支持,学生就不可能参与标准制定。因此,学术界参与标准化活动必须建立在与学生及教育机构之间稳固关系的基础之上。政府、产业界与学术界应共同努力,与专业院校、技术及贸易学校建立联系。
具体建议包括:
1. 对政府的建议
政府应将标准指定为美国国家和经济安全的优先事项。政府可借助与学术机构的联系,鼓励学生参与标准制定过程。联邦实验室和学术机构之间的合作研发协议可用于标准制定活动和研究。NSA的国家学术卓越中心计划指定了在网络防御、研究和运营方面的主要学术机构。获得这些指定的学校有资格竞争国防部的拨款。此类与教育机构的合作关系可被有效利用于标准制定的参与活动。
2. 对私营部门利益相关方的建议
私营部门可以鼓励学术界参与标准制定,使学生认识到标准在自身学习的相关技术发展中的作用。私营部门可以在科学、技术、工程和数学领域的学术会议上发言,从而促进学生与外界的交流与合作。政府和产业界可以与这些私营部门合作,共同拟定谈话要点,以宣传标准工作对学生个人、教师、机构和技术发展的积极影响。
3. 对SDO的建议
SDO可以为学生和就业人员提供教育和培训机会,包括ANSI的标准教育和培训计划。标准专业人员协会提供认证,承认标准领域的专家在标准、共识标准制定和相关SDO管理的不同领域表现出高度的专业能力。SDO可以向学术机构提供海报和手册宣传标准的重要性,以吸引和帮助对技术领域感兴趣的学生,提高其对标准的认识。
学术界参与标准制定程度较低的主要原因在于资金短缺,因此可以考虑利用产业界赠款和现有资金提升学术界的参与度。SDO可以允许学生以较低的费用成为特别会员。
SDO也可在标准论坛上发表学生在学术界的工作成果,以激发学生参与标准工作的热情,进一步促使学术机构认识到合作关系的益处。此外,SDO可以支持学生主导的出版物,如技术杂志,以展示学生的研究和标准参与的情况。
三、小结
NSA和CISA发布的《增强美国在标准制定中参与度及领导力的建议》,提供了一系列加强美国在全球标准制定中的参与度和领导力的建议。该文件强调了标准在技术安全、经济竞争力和国家安全中发挥的重要作用,尤其是在量子计算和人工智能等新兴技术背景下,标准制定变得愈加重要。
为此,该文件提出了几个关键建议,包括将美国打造成标准会议的首选场所、推动私营部门在新兴技术标准中的早期参与,以及培养一支理解并参与标准开发的专业队伍。此外,文件还强调了与学术界合作的重要性,以培养未来的标准专家,从而确保长期的标准制定能力。
文件还讨论了开放、透明、基于规则的标准制定过程的重要性,并强调了标准在支持美国国家安全和经济利益中的战略意义。最后,文件强调标准是一项合作性工作,政府、产业界和标准组织都有必要参与其中。(完)
致 谢
本期《网络安全国际动态》内容得到了北京天融信网络安全技术有限公司等单位的大力支持,特此致谢。
声明:本文来自全国网安标委,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
