首任国家CIO的重任

原文链接：http://www.swm.com.cn/html/news/tendency/200905/11-325.html

 

奥巴马对维维克·昆德拉(Vivek Kundra)的任命标志着对国家IT行业治理整顿已经迈出了重要一步。
　　上周， 美国总统巴拉克·奥巴马兑现承诺，任命了一位国家层面的技术官员。作为这个国家的首任CIO(首席信息官)， 维维克·昆德拉面临的是美国IT基础设施现代化的重任，此外当下的IT整体状况也不容其乐观，利欲熏心和缺少产业监管威胁到的不仅仅是我们的自由和隐私，长远地看它将威胁的是IT的创新潜力。
　　虽然这位哥伦比亚特区前任CTO的工作职责过于偏重IT管理而非美国的科技政策，跨出任命国家CIO（更像是CTO）这一步还是使人们看到了进行必要产业监管的希望，毕竟这个产业已经渗透进了我们生活中的各个方面。
　　历史已经证明，政府是许多传统产业中公司渎职行为的重要监管者。目前美国的许多科技领域存在公司层面监管不力的现象，因此设立一个监管政府层面科技事物的职位或许是重回正轨的第一步。
　　以下是众多IT人士预见首任美国CIO能有所作为的十个方面。

1对客户数据泄露进行强制性赔偿
　　倾倒化学品或者非法处理废物的公司会受到重罚，而违背公信非法处理数据的行为受到的惩罚过轻，这种局面必须得到改变。
　　银行不加通知就注销借记卡和信用卡，然后建立新的帐户重新发卡。大家可能都对此司空见惯了，但这就是帐户数据遭到泄露造成的后果。发卡行甚至常常找不到泄露数据的公司名字，只好一味地将旧卡注销然后重发新卡，让不知情的消费者去承担这一切。
　　虽然保证敏感数据的安全和公布重大数据泄露事件是IT不容推卸的责任，但是此类公司渎职事件往往得不到应有的惩罚。只有对此类负有安全泄露责任的公司进行更严厉的处罚，客户的各类信息才有可能得到更好的保护。
　　玩忽职守的数据公司起码应该将注销和重发卡的各种费用赔偿给银行和客户。罚金中还应包括纠正错误所花费的时间成本。如果为每个违规记录赔偿10美元，一次性泄露上百万帐户信息的事件肯定会减少，至少会使得公司在保护数据上变得谨慎小心。也该是严肃认真地对待公民的敏感数据的时候了。

2网络的强制永久中立地位
　　新的时代应该伴随产生新的权力，不受限制的互联网访问权即是其中之一。 对言论、集会、宗教信仰自由等的笃信是美国立国根基，我们同样应被赋予信息自由, 开放的网络访问权即是信息自由的重要形式。
　　如果ISP们都自行其是，互联网的访问就会象有线电视那样被分为若干档次。也就是说，如果选择“基本型”服务，你可以访问的站点就会受到限制，只有加钱才能访问更多的站点。 这种服务形式如果实现的话就完全违背了互联网的初衷，互联网本是一个完全开放的计算机网络，任何系统，不管其在哪里都应可以与其他系统实现互联。
　　受限的互联网访问对任何人都没有好处，政府应该将互联网访问权列为基本权力之一加以保护。这不是说任何公民都可以免费上网，而是说互联网访问不应该受到任何形式的过滤、审查或者限制。
　　ISP可以将不同的服务基于网速和可接受使用策略（acceptable-use policies）进行打包，但联邦法律应该严禁对网络进行任何形式的过滤，包括对跨国访问的限制。

3对最终用户许可协议进行严格限定
　　设想通用汽车（GM）公司的卡车客户协议上写着其拥有卡车运送材料的所有权，或者公司不对由制造缺陷引起的卡车自行爆炸负有任何法律责任，这将是多么可怕的事情！但这就是软件产业目前正面临的现实，公司总拿最终用户许可协议(EULA,end-user license  agreements)来保护自己， 很多东西都失去了控制。
　　一些EULA甚至宣称对用其软件制造的任何产品拥有所有权，再加上EULA已经变得冗长异常，很少人失去耐心去仔细阅读就点击了“同意”按钮，这样麻烦很快就来了。这些协议在法庭上很难得到承认的事实回避了一个问题:EULA在一开始为什么要写得如此宽乏？
　　企业诉诸于EULA来保护自己是很正常的。但是政府也应该对EULA的范围加以限制并将其标准化，这不仅可以保护消费者不受不合理条款的侵害，而且长远来说对鼓励软件产业的创新和成长有利。无论如何，一个公司不能在这类文件里宣称对用户的制成品拥有所有权，当然也不能写入由于自己疏忽造成的后果可以免责之类的条款。

4推出DNSSEC和BGPSEC
　　互联网已经变成公众、个人以及政府的重要交流途径以及金融交易手段。但是可悲的是，美国的核心互联网基础设施模块仍然非常不安全，特别是在DNS和BGP方面，这也往往成为黑客们的攻击目标。
　　BGP的安全是非常重要的。最近还发生了一起较严重的路由问题，造成了互联网断线好几个小时。问题是出自一个BGP点失控到BGP广告。BGPSEC虽然无法避免这起疏忽造成的事故，但是如果有人故意通过非安全BGP点发出错误路由广告的话，同样的问题也会出现。
　　DNS是IP网络的基石。没有名字而只有数字的互联网是多么不可想象，同样虽然有了名字，但是如果不能将其转换成IP地址，我们同样也只能见树木而不见森林。如果非法之徒趁虚而入，破坏了DNS服务器的缓存，他们就能随意篡改知名站点，取消登录操作或者获得其他一些重要信息。确保任何一级的DNS服务器的不受破坏对一个安全的互联网来说是至关重要的。
　　在整个国家范围内实施DNSSEC和BGPSEC并非难事，但却是非常必要的。实际上，ISP和托管服务商在这个方面已经做了很多工作。现在亟需解决的是协调指导的问题。只要政府设定好时间表并推出指导意见，障碍就很容易消除，人们会开始逐步采取这个对互联网来说非常基础但是重要的安全措施。

5消除垃圾邮件泛滥的现象
　　根据Spamhaus的统计，美国是垃圾邮件的第一大来源国。事实上，很多公司收到的邮件中99%是垃圾邮件，这真是个匪夷所思的数字，想一想里头藏有多少钓鱼的图谋就更是令人不快了。如果这个比例继续下去的话，email作为实际交流媒介的作用可能会最终消失。
　　是该采取措施的时候了，越快越好，尽管仅靠一国之力能做的很少。这其中的一个方法就是对被认定大批量发送垃圾邮件的人处以每封邮件10美元的罚款。如果对此类个案采取果断持续的措施，美国境内的垃圾邮件发送者肯定会大量减少。毕竟，根除此类活动最快的方法就是截断其经济来源，而不断地进行罚款即是实现这一目标的一种方法。

当然，这种方法是不能惩罚国外的垃圾邮件制造者，僵尸网络(botnet)一类的垃圾邮件也会继续存在。不过如果法律制定的好的话，还是会给起诉僵尸网络留有空间，哪怕其中只有一个成员在美国司法的管辖范围内。

 

6对在农村地区推广宽带的运营商实施税收优惠政策
　　美国许多农村地区的宽带接入发展滞后，这已经不是什么秘密。事实上，还有很多不是那么“郊区”的地方的宽带服务都已经不能令人满意了。如果我们还想保住数字时代领导者地位的话，就必须大力发展宽带服务，使没有住在大都市地区的人们也能顺利上网。
　　美国政府以前也曾试图启动农村宽带工程。他们甚至建立了一个基金，ISP们可以从中分到一些发展宽带服务的资金。但是像 Comcast和 Verizon这样的企业浪费了拿到的资金，没有使宽带接入有飞跃式的进步。
　　虽然总得来说，对失败继续投资并不是什么好主意，但是一个基于性能的刺激计划还是十分必要的。在计划中我们可以采取税收优惠的策略，运营商只要为客户引入宽带服务就可以得到税收优惠。
　　为了增加竞争并减少在未开通宽带地区的事实垄断，这项计划的惠及范围可以扩大到将“最后一公里”业务引入只开通了单一一种宽带服务地区的运营商。

7对电子医疗档案进行立法
　　在今天的时代，不管病人的病史记录放在哪个医院或者诊所，想拿到这些记录都不应该成为一件难事。在纸质的时代，这意味着许多邮递员、抄写员和许多被砍伐的树木。当今所需要的就是足够的授权、加密，也许要加上一个代理进行目的审核。
　　现在已经有很多病人的资料已经存储在医院诊所的EMR软件数据库了。但是从外部机构直接访问这些资料的手续是非常繁琐的， 需要经过打印然后邮递这个流程。既然这些东西已经数字化了，我们就应该想法安全并且迅速地将其传送给其他的医疗机构，这在紧急的时候是非常有用的。
如果美国政府能建立一个集中的代理，而非数据仓库来处理EMR事物的话，那么在遵守HIPPA标准的前提下，我们不仅可以使病史资料得到更方便的共享，而且可以精确地对医疗机构间医疗资料的互传进行记录。
　　正如制定其他标准时一样，这个事项也需要所有EMR软件开发商的通力合作。在厂商的帮助下拿出一个基于XML的整体标准，使他们的产品都通过一个中心的代理来交换数据。这可能会花费一些时间，但是结果肯定会证明这是值得的，特别是如果你在其他的州发生车祸的时候。

8制定一个电子投票标准
　　开发电子投票系统的公司已被证实既无法管理系统也无法保证其产品的安全。这使得全国都对电子投票的结果产生了怀疑。对政府官员这类选举来说，我们不必也无法承担这样的结果。
　　政府应雇佣一个独立的承包商或者引进一些专家来开发一个经过严格测试的开源系统，电子投票机制造商同时可以免费使用这个系统。维护代码的重任可以交给一个由主要企业组成的合作组织去负责，例如IBM、微软、Cisco等。利用开源系统而非某一些厂商的产品使电子投票系统变得可靠，这样我们民主的基石才会更加稳固。而利用非开源的投票系统简直就是在走一条剥夺投票权的路。

9减轻联邦通信委员会的负担
　　联邦通信委员会今年将进行75周年大庆，但是时移世易啊！FCC最初只是为了规范无线电频率的管理而在1930年代设立的，现在它的管理范围已经大大扩宽了，这也使得其除了对一些小的故障进行惩罚以外在很多方面都显得力不从心。目前是时候，分出FCC的部分职能建立一个ICC（互联网通信委员会， Internet Communications Commission）来专职处理国家互联网事务。
　　美国的互联网通信系统太大太复杂了，不是一个五人委员会就能处理得好的，更何况这些人还要进行无线电频率政策的制定工作。这真是一项令人望而生畏的工作。理想的解决方案是建立一个新的委员会，除了一些政治性任命外，重要的是吸收一些互联网健康和安全领域的专家进入其中。

解决政府自身的问题
　　奥巴马的团队从竞选到执政转变过程中，在科技方面也受到了不少的挚肘。整个团队在科技方面的才能在竞选中已有体现，但是他们却不得不从前任中继承政府内部一套相对古老的通信基础设施。将这些东西现代化应该是此任政府的首要目标之一。
　　而安全当然是需要下功夫解决的问题之一，在此方面前任当局的策略是沿着以前的安全实践探索继续往下走，从而导致了数千封电子邮件的丢失。有鉴于此，从头开始不失为一种好的选择。事实上，这也是奥巴马一个更开放政府许诺的基本需求之一。无线通信产业从起步到政府意识到应该建立FCC，一共花了几十年的时间。互联网成为主流也有十几年了。这篇文章已经不能说是恰逢其时了——它甚至已经显得有些过时了。