美國《確保網絡空間安全的國家戰略》評述

美國《確保網絡空間安全的國家戰略》評述

　［內容提要］布什政府認為，美國計算機網絡的脆弱性，可能使美國的關鍵基礎設施和信息系統的安全面臨嚴重威脅。2003年2月14日公布的《確保網絡空間安全的國家戰略》，強調發動社會力量參與保障網絡安全，重視發揮高校和社會科研機構的力量，重視人才的培養和公民的網絡安全意識教育，必將對美國未來國家安全戰略指導和網絡安全管理機制產生深遠的影響。
一、主要內容
2003年2月14日，美國公布了《確保網絡空間安全的國家戰略》報告（以下簡稱報告）。該報告共76頁，是布什政府對《美國國土安全的國家戰略》（2002年7月份公布）的補充，并由《保護至關重要的基礎設施和關鍵資產的國家戰略》（2003年2月14日公布）作為其補充部分。該報告確定了在網絡安全方面的三項總體戰略目標和五項具體的優先目標。其中的三項總體戰略目標是：阻止針對美國至關重要的基礎設施的網絡攻擊；減少美國對網絡攻擊的脆弱性；在確實發生網絡攻擊時，使損害程度最小化、恢復時間最短化。五項優先目標是：（1）建立國家網絡安全反應系統；（2）建立一項減少網絡安全威脅和脆弱性的國家項目；（3）建立一項網絡安全預警和培訓的國家項目；（4）確保政府各部門的網絡安全；（5）國家安全與國際網絡安全合作。

該報告明確規定，國土安全部將成為聯邦政府確保網絡安全的核心部門，并且在確保網絡安全方面充當聯邦政府與各州、地方政府和非政府組織，即公共部門、私營部門和研究機構之間的指揮中樞。國土安全部將制定一項確保美國關鍵資源和至關重要的基礎設施安全的全面的國家計劃，以便向私營部門和其他政府機構提供危機管理、預警信息和建議、技術援助、資金支持等5項責任。該報告把關鍵基礎設施定義為“那些維持經濟和政府最低限度的運作所需要的物理和網絡系統，包括信息和通信系統、能源部門、銀行與金融、交通運輸、水利系統、應急服務部門、公共安全以及保證聯邦、州和地方政府連續運作的領導機構”。該報告強調，確保美國網絡安全的關鍵在于美國公共與私營部門的共同參與，以便有效地完成網絡預警、培訓、技術改進、脆弱性補救等工作。
二、出臺背景
美國自20世紀40年代發明第一臺計算機以來，相繼建立了信息高速公路(NII)和全球信息基礎設施(GII)，并涌現出英特爾芯片公司、微軟公司、IBM公司等一大批全球信息產業的領頭羊。因此，美國的信息技術及其應用水平遙遙領先，成為信息第一大國。信息技術及其產業不僅成為美國經濟發展的支柱和動力，而且也成為美國交通、能源、金融、通訊乃至國防、情報等賴以存在和發展的基礎。美國擁有世界上最為強大的軍事和經濟力量。這兩種力量相互強化，相互依賴，同時也日益依賴于關鍵基礎設施和網絡信息系統。這種依賴關系成為了脆弱性的根源。因此，在美國政府看來，計算機網絡的脆弱性已經給美國國家安全提出了一個緊迫的問題，關鍵基礎設施和信息系統的安全成為美面臨的首要威脅之一，“電子珍珠港”事件隨時可能爆發，美國必須采取措施保障關鍵基礎設施和信息系統的安全，避免“信息災難”。
由大量信息系統組成的國家信息基礎結構，已成為美國經濟的命脈和國家的生命線，也成為容易受到攻擊的高價值的戰略目標。1988年，美國康奈爾大學計算機系研究生羅伯特·莫里斯制造出震驚世界的“莫里斯蠕蟲病毒”事件，造成全球6000多所大學和軍事機構的計算機受到感染而癱瘓，而美國遭受的損失最為慘重。美國政府2001年公布的評估報告顯示，在2000年，黑客至少獲得了美國的155個政府和18家民間機構計算機系統的完全控制權；美國商務部對下屬部門的計算機系統進行全面監測后，發現存在5000多個安全漏洞，在被監測的1200多臺工作站和主機中，有30%被劃歸“極度危險”類。針對網絡安全方面的這些嚴重事故或隱患，美國前總統克林頓憂心忡忡地指出，“這個充滿希望的時代也充斥著危險。所有受計算機驅動的系統都容易遭到入侵和破壞。重要經濟部門或者政府機構的計算機一旦受到合力攻擊，就會產生災難性的后果”。
從20世紀80年代開始，美國政府以政府通告、總統行政命令等形式，不斷推出有關信息安全的政策方針和各類規章制度，而且每隔數年就重新進行審定，以適應科技的發展趨勢。與此同時，通過設立層層主管機構，逐步形成一整套信息安全防范體系。這一防范體系從關鍵基礎設施和信息系統的脆弱性分析入手，要求各級政府和私營企業建立“預警－檢測－反應－恢復”體系并制定出完善的補救計劃，同時強調推廣安全意識的教育，加強保護基礎設施的研發工作，并力圖在收集和分析有關國家威脅美基礎設施的情報及開展國際合作方面有所建樹。
1984年以來美國政府共發布了近10個涉及關鍵基礎設施和信息安全的國家政策、通告、總統行政命令和國家計劃，對如何維護關鍵基礎設施和信息系統的安全提出了具體的要求。例如，克林頓總統于1998年5月簽署的第63號總統令 (PDD-63)規定，擁有最關鍵系統的政府部門被指定為第一批實施信息安全保護計劃的要害部門，其中包括中央情報局、商務部、國防部、能源部、司法部、聯邦調查局、交通部、財政部、聯邦緊急事務處理局、國家安全局等，它們已經在1998年11月完成了其保護其關鍵信息系統的計劃。2000年1月，根據PDD-63的要求，美國政府制定了《信息系統保護國家計劃》，將信息安全保護分為十項內容，涉及到脆弱性評估、信息共享、事件響應、人才培養以及隱私保護、法律改革等。該計劃要求在2000年12月建立一個具備初步運作能力的關鍵信息系統防備體系，到2003年5月實現全部運轉。該計劃力圖實現三個主要目標，即準備和預防、偵查和反應及建立牢固的基礎設施。

   
美國《確保網絡空間安全的國家戰略》評述 　
2001年10月，布什政府發布了《信息時代保護關鍵基礎設施》的行政命令，組建了總統關鍵基礎設施委員會，其成員包括國務卿、國防部長、司法部長、商務部長、行政管理與預算局局長、科學與技術政策辦公室主任、國家經濟委員會主席、總統國家安全事務助理、總統國土安全助理等官員。根據該命令，委員會主席將成為總統網絡安全事務的特別顧問。他有權了解各部／局內屬于其管轄范圍的所有情況，并召集和主持委員會的各種會議、制定委員會的議事日程，向相關官員提供保護關鍵基礎設施的政策和方案，并向總統國家安全事務助理和國土安全助理匯報。
今年2月14日，布什政府又公布了《確保網絡空間安全的國家戰略》，明確規定國土安全部將成為聯邦政府確保網絡安全的核心部門，并且在確保網絡安全方面充當聯邦政府與各州、地方政府和非政府組織，即公共部門、私營部門和研究機構之間的指揮中樞。
三、作用與影響
該報告是美國在網絡安全方面專門出臺的第一份國家戰略，既凸現了布什政府對美國網絡安全的擔心與重視，也顯示出其在新世紀確保美國信息霸權和安全的長遠戰略目標，必將對美國未來的國家安全戰略指導思想、網絡安全管理機制產生深遠的影響。
論文美國《確保網絡空間安全的國家戰略》評述來自

第一，該報告顯示，確保網絡安全已經被提升為美國國家安全戰略的一個重要組成部分。布什政府認為，信息技術的迅猛發展與計算機網絡在美國的普及，已經使美國的國家安全問題不再局限于軍事安全、經濟安全和政治安全。網絡的便捷使美國社會越來越依賴于信息技術，信息技術的發展已使之成為21世紀美國發展的支柱，而網絡成為美國發展的神經中樞。以信息化方式運作的金融、商貿、交通、通信、軍事等系統，成為美國國家經濟與社會的基礎。防止敵對組織或個人對美國的信息系統和全國性網絡的破壞，已不再只是一個技術層面的概念，而成為與社會、政治、經濟、文化等各個方面密切相關的問題，即這些領域的安全直接關系到美國國家安全的重要因素，信息安全已成為美國國家安全的一個重要組成部分，直接影響到美國的國家運轉、經濟發展和社會穩定。因此，布什政府出臺這份《確保網絡空間安全的國家戰略》報告，顯示出其對網絡安全的高度重視。
第二，該報告是美國在“9·11”事件之后，為確保網絡安全而采取的一系列舉措中的一個核心步驟。其實，“9·11”事件發生后，布什政府一直擔心恐怖分子會對美國發動網絡恐怖襲擊，因此，它采取一系列預防和打擊網絡恐怖活動的措施。布什政府經國會批準將反恐開支增加到600億美元，為2000年反恐經費的5倍。其中用于打擊網絡恐怖活動的開支也增加了兩倍多；迅速成立了“國土安全辦公室”（即目前已經成立的國土安全部的前身），將打擊網絡恐怖作為其主要職責之一；任命網絡反恐怖專家理查德o克拉克為總統網絡安全顧問，并出任在“國土安全辦公室”統轄下新設立的“電腦信息網絡安全委員會”主席，負責制定、協調全美政府機構網絡反恐計劃和行動；著手建立一個政府網絡(GovNet)，使它與現行互聯網分離，以保障政府通訊信息網絡的安全性和保護美國國家信息基礎設施；召集有副總統理查德·切尼、司法部長約翰·阿什克羅夫特和美國10大網絡供應商高官參加的“網絡恐怖襲擊對策”會議；在美聯邦調查局內新設反網絡犯罪局，專門負責打擊網絡犯罪；指令美軍加強網絡戰準備，防范網絡恐怖襲擊以及打擊網絡恐怖活動和支持網絡恐怖的國家。美國總統布什還對美國指認的所謂縱容網絡恐怖主義的國家發出警告稱，“如果任何國家為網絡恐怖主義者提供安全的避風港，國際社會將切斷它與國際互聯網的聯系，把它排斥在互聯網之外。”《確保網絡空間安全的國家戰略》報告明確提出，美國在網絡安全方面的管理機構將會進一步加以整合，最終使國土安全部成為聯邦政府確保網絡安全的核心部門。
第三，該報告尤其強調發動社會力量對網絡安全進行全民防御。雖然美國歷屆政府在維護信息系統安全方面采取了眾多的措施，但它也意識到，僅僅依靠政府的力量是不夠的，必須建立起一個全方位的防御體系，動員一切可以動員的社會力量。因此，美國政府十分重視與私營企業之間建立合作關系，重視發揮學術研究機構的優勢，同時也重視培養美國公民的信息安全意識。首先，美國歷屆政府把建立政府和私營企業間的合作關系作為一個主要內容。政府強調保護美國的關鍵基礎設施僅僅依靠聯邦政府是不行的，必須與企業界、各州及地方政府進行積極有效的合作。例如，1998年11月，能源部、天然氣研究所和電力研究所共同主辦了能源論壇，邀請了100余家電力、天然氣和石油企業和政府代表參加；1999年10月1日，由政府和私營企業聯合發起建立了金融服務信息共享及分析中心。2001年1月，包括IBM在內的500多家公司加入了FBI成立的一個被稱作“InfraGard”的組織，共同打擊日趨囂張的網絡犯罪活動。《確保網絡空間安全的國家戰略》報告也多次指出，“確保美國網絡安全的關鍵在于美國公共與私營部門的共同參與”。

   
美國《確保網絡空間安全的國家戰略》評述 　
其次，重視發揮大專院校和社會科研機構的力量。目前許多大學都設有與信息技術和信息安全相關的學院、研究中心和專業，例如，卡內基-梅隆大學的軟件工程研究所，喬治敦大學的計算機信息安全研究所、美國全國計算機安全協會、國際戰略研究中心(CSIS)的技術委員會，卡內基國際和平研究所的信息革命與國際關系研究項目等等。目前，美國還開始利用高等院校的科研實力為其服務，2002年2月，美眾院通過《網絡安全研究與發展法案》，同意在5年內為大學和研究機構提供8.7億美元的資助，用來研究保護美國計算機網絡不受恐怖主義分子和黑客襲擊的技術。政府與這些機構展開合作的最好事例就是，由國防部高級研究計劃局出資，在卡內基-梅隆大學軟件工程研究所內設立了計算機應急處理小組協調中心(CERT)。該中心提供24小時緊急情況聯絡點，通過與世界范圍內IT界和專家之間的交流，提高人們對計算機安全的認識。
最后，重視人才的培養和公民的安全意識教育。該報告認為，到目前為止，還沒有“電子珍珠港”事件能夠喚醒公眾采取行動保護美國網絡的意識。許多美國人沒有認識到美經濟和國家安全對計算機和信息系統依賴到何種程度。而保衛美國的網絡空間則需要所有美國人的行動，包括最普通的大眾。《確保網絡空間安全的國家戰略》提出的具體措施包括：完善“網絡公民計劃”，對美國兒童進行有關網絡道德和正確使用互聯網和其他通訊方式的教育；借助“關鍵基礎設施安全伙伴”建立美國企業和信息技術精英間的合作關系；保證政府雇員具備保護信息系統安全的意識；在上述行動的基礎上，把提高安全意識的活動推廣到其他私營部門和普通公眾。

參考書目：
1.國務院發展研究中心國際技術經濟研究所編：《信息戰與信息安全戰略》，金城出版社，1995年。
2.《網絡安全――技術與應用》月刊，2002年第6、9、11期。
作者：辛本健 軍事科學院外軍部
附：美國確保網絡空間安全的國家戰略
【內容提要】隨著信息技術尤其是因特網的飛速發展與普及，網絡安全的重要性日益突出，已經成為關系到國家安全的大問題。為此，美國布什政府2003年2月14日公布《確保網絡空間安全的國家戰略》。該文件確定了網絡安全方面的三項總體戰略目標和五項具體的優先目標，首次明確規定國土安全部是聯邦政府確保網絡安全的核心部門，首次把確保網絡安全提升為美國國家安全戰略的重要組成部分。
我國至關重要的基礎設施由公共和私營部門的機構組成，包括農業、食品、供水、公共衛生、應急服務設施、政府、國防工業基地、信息與通信、能源、交通、金融系統、化學與其他危險品、郵政和海運等。網絡是其神經中樞――我國的控制系統。網絡空間包括成千上萬連接在一起的計算機、服務器、路由器和光纜，我們至關重要的基礎設施依賴于它們來工作。因此，網絡的正常運轉對我們的經濟和國家安全都是必不可少的。
《確保網絡空間安全的國家戰略》是我們為保衛祖國而進行的總體努力的一部分。它是對《美國國土安全的國家戰略》的補充，并由《保護至關重要的基礎設施和關鍵資產的國家戰略》作為它的補充部分。出臺這份文件的目的是使美國民眾參與并確保他們擁有的、操作的、控制的或用于聯結的網絡空間的安全。確保網絡空間安全是一項難度很大的戰略挑戰，要求我們整個社會（聯邦、州和地方政府、私營部門和美國人民）共同關注和協調行動。
《確保網絡空間安全的國家戰略》為組織動員工作和優先發展目標列出了一個初步框架。它為聯邦政府各部和其他相關機構應該在網絡安全方面發揮何種作用提供了指導，也確定了各州和地方政府、私營公司和組織、美國民眾，為提升我們的整體網絡空間安全能夠采取的措施。該戰略概述了公共與私營部門參與的作用，為我們所有人能夠為確保自身網絡空間安全所做出的貢獻提供了框架。網絡空間的迅猛發展需要我們隨著時間的推移來對該戰略進行調整和修訂。
網絡攻擊的快速性和隱蔽性，使其與恐怖行動、一般犯罪行為和民族國家的行為有顯著不同，使確保網絡安全的任務更難以完成，因為這些網絡攻擊的事實常常是在發生之后才能被發覺--如果能夠發覺的話。因此，《確保網絡空間安全的國家戰略》盡量減少我們國家在那些對我們的至關重要的信息基礎設施或支持這些設施的實物資產進行破壞性攻擊面前的脆弱性。
一、戰略目標
與《美國國土安全的國家戰略》相協調，這份《確保網絡空間安全的國家戰略》的戰略目標包括：阻止針對美國至關重要的基礎設施的網絡攻擊；減少美國對網絡攻擊的脆弱性；在確實發生網絡攻擊時，使損害程度最小化且恢復時間最短。
1、威脅與脆弱性
我們的經濟和國家安全完全依賴于信息技術和信息基礎設施。我們所依賴的信息基礎設施的核心是互聯網，互連網本來是一個為科學家們相互分享非機密信息而設計的系統，而那些科學家自然地被認為對破壞網絡不感興趣。目前的互聯網聯結著使整個美國的絕大多數必不可少的服務和基礎設施得以工作的數以百萬計的計算機網絡。這些計算機網絡也控制著實體性目標，如電子傳真機、火車、輸送管線、化學容器、雷達和股票市場等，所有這些離開網絡都無法工作。

   
美國《確保網絡空間安全的國家戰略》評述 　
一部分居心不良的人能夠并且確實計劃對我們至關重要的基礎設施發動攻擊。最令人擔心的是有組織、有計劃的網絡攻擊的威脅，因為這種攻擊可能導致我們國家至關重要的基礎設施、經濟和國家安全遭遇癱瘓性的嚴重破壞。獲取進行這種攻擊的熟練技術比較困難，這可以認為是迄今為止還未發生過這種攻擊的部分原因。但是，我們不應該太過樂觀。已經發生過一些有組織的網絡攻擊者利用我們網絡的脆弱性進行破壞的實例，這可能預示著發生更嚴重破壞的可能性。
觀測到的幾次網絡攻擊的意圖和技術能力水平顯示出我們在網絡安全上存在著不確定性。為了應對有關威脅和脆弱性方面的長期發展趨勢，有必要改進對網絡威脅的分析。顯而易見的是，網絡攻擊的工具和手段正變得越來越容易獲取，那些試圖制造浩劫或動蕩的網絡使用者的技術能力和水平正在不斷提升。
和平時期，美國的敵人可能以我們的政府、大學研究中心和私營公司為對象，進行間諜活動。他們也可能尋求查清美國信息系統的位置，確定關鍵性目標，找到使用隱蔽手段聯結我們基礎設施的手段等，以便在與美國對抗期間向美國發動網絡攻擊。在戰時或危機時刻，我們的敵人可能尋求借助攻擊至關重要的基礎設施、關鍵性經濟功能部門或在信息系統中腐蝕和動搖公眾的信心，來脅迫我們國家的政治領導人。

對美國信息網絡發動網絡攻擊，將會產生嚴重后果，如擾亂至關重要的行動項目的進行，導致資金或者知識產權的損失甚至人員傷亡。抵御這種攻擊需要研發目前尚不存在的健全可靠的網絡能力，以減少脆弱性，阻止那些具有損害我們關鍵基礎設施的能力與意圖的網絡攻擊。
2、政府在確保網絡空間安全中的作用
總體而言，私營部門擁有對可能出現的網絡攻擊進行反應的最好的設備和組織上的準備。然而，聯邦政府在一些特定領域防范網絡攻擊是最適宜和最合法的。就聯邦政府內部而言，政府工作的連續性需要確保政府自身網絡基礎設施的安全，確保那些支持政府基本職能和服務正常進行所必不可少的資產的安全。就聯邦政府外部而言，在運作費用高昂或因法律障礙而導致協調難度過大的情況下，在只有政府進行運作而私營部門力量沒有參與的領域，在提高安全意識等方面，政府必須發揮其應有的作用，確保網絡安全。
公共與私營部門的共同參與是我們《確保網絡空間安全的國家戰略》的一個關鍵。這是由下述原因決定的：公共與私營部門的合作伙伴關系能夠有效地應對協調方面的難題，顯著提升信息交換與合作水平；公共與私營部門的共同參與將會有多種形式，將涉及安全意識、培訓、技術改進、脆弱性補救和修復工作。
聯邦政府在上述和其他情況下發揮的作用，只有在干預所帶來的收益大于所付出的代價時，才稱得上合理。這個標準對于那些不同私營部門能夠單獨解決的任何潛在威脅或脆弱性的領域尤其重要。對于每一種情況來說，應該對政府參與行為與其他替代行為或不采取行動可能付出的代價和帶來的影響進行評估，要考慮任何現有或未來的私營部門的解決方案。
聯邦政府為確保網絡安全而應該采取的行動包括：論證與尋找網絡攻擊的根源；保護對國家安全至關重要的網絡和系統；發布有關網絡攻擊的指示和警告；抗擊能夠對美國經濟造成損害的有組織網絡攻擊。聯邦政府還應該采取的行動包括支持能夠使私營部門更好地確保其所擁有的那部分至關重要的國家基礎設施安全的研究和技術開發。
3、國土安全部與網絡空間安全
2002年11月25日，布什總統簽署了創立國土安全部的法令。這個新的內閣級國土安全部將統一領導22個聯邦部門，以便實現提升我們國土安全的共同目標。國土安全部部長在網絡安全方面承擔有重要責任，這些責任包括：制定確保美國關鍵資源和至關重要的基礎設施安全的國家綜合計劃；在美國至關重要的信息系統遭到網絡攻擊時，實施危機管理；向私營部門和其他政府機構提供技術援助，以便在至關重要的信息系統失靈時出臺緊急恢復計劃；與聯邦政府的其他機構進行協調，以便向各州、地方政府和非政府組織（即公共部門、私營部門和研究機構）提供有關適當的保護與反擊措施方面的具體的預警信息和建議；與其他政府機構一起，向那些能夠獲取有助于國土安全的新的科學知識和技術的研發工作提供資金和支持。
與上述責任相一致，國土安全部將成為聯邦政府確保網絡安全的核心部門，并且在確保網絡安全方面充當聯邦政府與各州、地方政府和非政府組織（即普通民眾、私營部門和研究機構）之間的指揮中樞。
二、網絡安全的至關重要的優先目標
《確保網絡空間安全的國家戰略》確定了國家的五項優先目標，它們是：建立國家網絡安全反應系統；建立一項減少網絡安全威脅和脆弱性的國家項目；建立一項網絡安全預警和培訓的國家項目；確保政府各部門的網絡安全；國家安全與國際網絡安全合作。
第一項優先目標專注于提升我們對網絡事故的反應能力，減少這類事故所帶來的潛在損害。第二、三、四項優先目標旨在減少網絡攻擊的威脅和我們在網絡攻擊面前的脆弱性。第五項優先目標是阻止那些對我們的國家安全造成消極影響的網絡攻擊，并且提升應付這類網絡攻擊的國際協作和反應能力。

   
美國《確保網絡空間安全的國家戰略》評述 　
1、建立國家網絡安全反應系統
迅速確認、信息交換和補救工作通常能夠減輕惡意網絡攻擊所造成的損害。為使這些工作能夠具有全國性的效力，美國需要在政府與產業界之間建立合作伙伴關系，以進行分析，發布警告和協調應對行動。在此過程中，個人隱私和公民權利必須加以保護。沒有任何網絡安全計劃能夠在有組織的高明的網絡攻擊面前堅不可摧，因此我們的信息系統應該能夠做到的是：在遭受網絡攻擊時可以操作并具有迅速恢復正常運轉的能力。
《確保網絡空間安全的國家戰略》確認了在網絡安全反應方面的8項主要行動計劃：（1）建立一個應付全國性網絡攻擊事故的公共與私營部門合作機構體系；（2）進一步對網絡攻擊和網絡脆弱性進行戰術與戰略分析和評估；（3）鼓勵私營部門發展參與維護網絡安全健康運行的能力；（4）擴展"網絡預警和信息網絡"， 以支持國土安全部在網絡安全方面協調危機管理；（5）提高國家對網絡攻擊事故的管理能力；（6）協調自愿者參加發展全國公共與私營部門網絡運行連續性和應付突發事件計劃；（7）實施確保聯邦政府系統網絡安全連續性計劃；（8）改善并提高公共與私營部門在網絡攻擊、威脅與脆弱性方面的信息共享。
2、建立減少網絡安全威脅和脆弱性的國家項目

通過利用我們網絡系統的脆弱性，有組織的網絡攻擊可能威脅到我們國家至關重要的基礎設施的安全。最具威脅性的網絡攻擊的對象是至關重要的基礎設施企業自身及其外部支持系統的信息設施，如互聯網系統。與各種網絡內部相互聯結的安全性較差的網站，也會使網絡攻擊者獲得重要的潛在入口。脆弱性來自于技術的弱點和技術產品的不適當使用與失察。
《確保網絡空間安全的國家戰略》確定了在網絡方面減少威脅和相關脆弱性的8項主要行動計劃：（1）加大執法力度以阻止和懲罰網絡攻擊；（2）創立國家網絡脆弱性評估機制，更加深入地了解網絡威脅的脆弱性所帶來的潛在后果；（3）完善相關規定，提高跟蹤能力，確保互聯網系統的安全；（4）鼓勵使用可靠的數據控制系統/監控系統和數據獲取系統；（5）減少與修正軟件脆弱性；（6）了解基礎設施相互依存性，提高網絡系統和通信系統的物理安全；（7）把聯邦政府網絡安全研發列入首要議程；（8）評估新興網絡系統，確保其安全性。
3、建立網絡安全意識和培訓國家項目
許多網絡脆弱性的存在是由于部分計算機使用者、系統管理者、技術開發者、負責采購的官員、首席信息官、首席執行官和公司董事會缺乏網絡安全意識。這種因為缺乏安全意識而導致的脆弱性對至關重要的基礎設施帶來嚴重的風險，而不管那些至關重要的基礎設施本身是否存在著弱點。缺乏受過培訓的人員和被廣泛接受的多級網絡安全專業認證項目的不足，使網絡脆弱性問題的處理面臨更為復雜的局面。
《確保網絡空間安全的國家戰略》確定了網絡安全意識、教育、培訓方面的4項主要行動計劃：（1）推進全國性的綜合的網絡安全意識項目，使所有的美國人（商業界、普通勞工和普通民眾）能夠確保其網絡安全；（2）鼓勵進行適當的網絡安全方面的培訓與教育，以支持美國網絡安全的需要；（3）提高現有的聯邦政府網絡安全培訓項目效率；（4）提高私營部門對協調良好和被廣泛接受的網絡安全方面的專業認證的支持。
4、確保政府網絡的安全
雖然政府僅僅管理一小部分美國至關重要的基礎設施上的計算機系統，但是，各級政府在農業、食品、水源、公共衛生、突發事件處理、國防、社會福利、信息與通信、能源、交通運輸、銀行與金融、化學制品、郵政與海運部門都提供著必不可少的服務，這些服務都依賴于網絡來實現正常運轉。各級政府可以在網絡安全方面發揮表率作用，包括通過其采購活動為更為安全的技術培育市場。
《確保網絡空間安全的國家戰略》確定了在確保政府各部門的網絡安全方面的5項主要行動計劃：（1）不斷評估聯邦政府網絡系統面臨的威脅和脆弱性；（2）鑒別并保證得到授權的用戶使用聯邦政府的網絡系統；（3）確保聯邦無線局域網的安全；（4）提高政府采購和尋求外部資源時的安全性；（5）鼓勵各州和地方政府考慮建立信息技術安全項目，并與對應的政府部門共同參加分享信息和分析中心。
5、國家安全與國際網絡安全合作
美國的網絡把自身與世界其他地區聯結在一起。各個網絡所組成的全球性網絡延伸到整個地球，使某大洲上懷有惡意的人能夠從數千英里之外攻擊網絡系統。跨國界網絡攻擊特別迅速，使追查和發現這種惡毒的行為變得非常困難。美國必須具有確保其至關重要的系統和網絡安全的防御保護能力。要想具有這種能力，我們需要建立國際合作體系，以促進信息分享，減少脆弱性，阻止惡毒的網絡攻擊。
《確保網絡空間安全的國家戰略》確定了在網絡安全方面強化國家安全和國際合作的6項主要行動計劃：（1）強化與網絡相關的反間諜努力；（2）提高查找確認網絡攻擊根源并進行反應的能力；（3）改進美國國家安全部門內應付網絡攻擊的協調；（4）與產業界和國際組織協作，促進國際公共與私營部門之間進行對話，建立合作伙伴關系，以便集中力量保護信息基礎設施，提高全球“安全文化”水平；（5）支持建立美國國內和國際的監測與預警網絡，以便探測發現并阻止可能出現的網絡攻擊；（6）鼓勵其他國家加入“關于網絡犯罪的歐洲憲章理事會”，或者確保它們在網絡安全方面的立法和規定至少與其不發生矛盾。

   
　
三、全國性的努力
要保護分布廣泛的網絡資產，需要許多美國人的共同努力。聯邦政府自身無力有效地保護好美國的網絡。我們的聯邦主義和有限政府的傳統，要求聯邦政府之外的組織在確保美國網絡安全的許多方面發揮主導作用。鼓勵每個能夠對確保網絡安全做出貢獻的美國人盡力這么做。聯邦政府致力于創立并將參與公共與私營部門之間的合作伙伴關系，以便提高網絡安全意識，培訓人員，刺激市場力量，改進技術，確認并減少脆弱性，交換信息，設計恢復網絡運轉計劃。
整個美國的民眾和組織已經采取了提高網絡安全的具體步驟。2002年9月18日，許多私營機構公布了確保其自身基礎設施的網絡安全的計劃和戰略。《關鍵基礎設施安全合作伙伴關系》已經在促進私營部門對確保網絡空間安全的國家戰略方面發揮了獨特作用。
這些綜合性的基礎設施計劃描繪了各種各樣的機構的戰略構想，這些機構包括：銀行與金融部門、保險業、化學制品業、石油與天然氣業、電力部門、執法部門、高等教育部門、交通運輸（鐵路）部門、信息技術與通信部門、水源部門。
隨著每個至關重要的基礎設施部門對上述構想的實施，我們的基礎設施所面臨的威脅和脆弱性將會減少。在可預見的未來，以下兩種前景將變成現實：美國將依賴于網絡；聯邦政府將尋求與私營部門建立長期而廣泛的合作伙伴關系，以便發展、實施和修訂《確保網絡空間安全的國家戰略》。（辛本健 譯自美國白宮網站）
（文章來源：世紀中國）

   

【美國《確保網絡空間安全的國家戰略》評述】相關文章：

美國生態文學批評述略08-07

規范人才流動 確保國家重要人才安全08-05

近代美國農業科技的引進及其影響評述08-07

提高綜合生產能力確保國家糧食安全08-16

美國的國家環境表現跟蹤計劃08-05

論國家信息化戰略08-06

論國家信息化戰略08-06

美國摩根銀行的e-finance戰略探討08-05

確保復工安全保證書08-24