美国《确保网络空间安全的国家战略》评述

美国《确保网络空间安全的国家战略》评述

［内容提要］布什政府认为，美国计算机网络的脆弱性，可能使美国的关键基础设施和信息系统的安全面临严重威胁。2003年2月14日公布的《确保网络空间安全的国家战略》，强调发动社会力量参与保障网络安全，重视发挥高校和社会科研机构的力量，重视人才的培养和公民的网络安全意识教育，必将对美国未来国家安全战略指导和网络安全管理机制产生深远的影响。

一、主要内容

2003年2月14日，美国公布了《确保网络空间安全的国家战略》报告（以下简称报告）。该报告共76页，是布什政府对《美国国土安全的国家战略》（2002年7月份公布）的补充，并由《保护至关重要的基础设施和关键资产的国家战略》（2003年2月14日公布）作为其补充部分。该报告确定了在网络安全方面的三项总体战略目标和五项具体的优先目标。其中的三项总体战略目标是：阻止针对美国至关重要的基础设施的网络攻击；减少美国对网络攻击的脆弱性；在确实发生网络攻击时，使损害程度最小化、恢复时间最短化。五项优先目标是：（1）建立国家网络安全反应系统；（2）建立一项减少网络安全威胁和脆弱性的国家项目；（3）建立一项网络安全预警和培训的国家项目；（4）确保政府各部门的网络安全；（5）国家安全与国际网络安全合作。

该报告明确规定，国土安全部将成为联邦政府确保网络安全的核心部门，并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织，即公共部门、私营部门和研究机构之间的指挥中枢。国土安全部将制定一项确保美国关键资源和至关重要的基础设施安全的全面的国家计划，以便向私营部门和其他政府机构提供危机管理、预警信息和建议、技术援助、资金支持等5项责任。该报告把关键基础设施定义为"那些维持经济和政府最低限度的运作所需要的物理和网络系统，包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续运作的领导机构"。该报告强调，确保美国网络安全的关键在于美国公共与私营部门的共同参与，以便有效地完成网络预警、培训、技术改进、脆弱性补救等工作。

二、出台背景

美国自20世纪40年代发明第一台计算机以来，相继建立了信息高速公路(NII)和全球信息基础设施(GII)，并涌现出英特尔芯片公司、微软公司、IBM公司等一大批全球信息产业的领头羊。因此，美国的信息技术及其应用水平遥遥领先，成为信息第一大国。信息技术及其产业不仅成为美国经济发展的支柱和动力，而且也成为美国交通、能源、金融、通讯乃至国防、情报等赖以存在和发展的基础。美国拥有世界上最为强大的军事和经济力量。这两种力量相互强化，相互依赖，同时也日益依赖于关键基础设施和网络信息系统。这种依赖关系成为了脆弱性的根源。因此，在美国政府看来，计算机网络的脆弱性已经给美国国家安全提出了一个紧迫的问题，关键基础设施和信息系统的安全成为美面临的首要威胁之一，"电子珍珠港"事件随时可能爆发，美国必须采取措施保障关键基础设施和信息系统的安全，避免"信息灾难"。

由大量信息系统组成的国家信息基础结构，已成为美国经济的命脉和国家的生命线，也成为容易受到攻击的高价值的战略目标。1988年，美国康奈尔大学计算机系研究生罗伯特o 莫里斯制造出震惊世界的"莫里斯蠕虫病毒"事件，造成全球6000多所大学和军事机构的计算机受到感染而瘫痪，而美国遭受的损失最为惨重。美国政府2001年公布的评估报告显示，在2000年，黑客至少获得了美国的155个政府和18家民间机构计算机系统的完全控制权；美国商务部对下属部门的计算机系统进行全面监测后，发现存在5000多个安全漏洞，在被监测的1200多台工作站和主机中，有30%被划归"极度危险"类。针对网络安全方面的这些严重事故或隐患，美国前总统克林顿忧心忡忡地指出，"这个充满希望的时代也充斥着危险。所有受计算机驱动的系统都容易遭到入侵和破坏。重要经济部门或者政府机构的计算机一旦受到合力攻击，就会产生灾难性的后果"。

从20世纪80年代开始，美国政府以政府通告、总统行政命令等形式，不断推出有关信息安全的政策方针和各类规章制度，而且每隔数年就重新进行审定，以适应科技的发展趋势。与此同时，通过设立层层主管机构，逐步形成一整套信息安全防范体系。这一防范体系从关键基础设施和信息系统的脆弱性分析入手，要求各级政府和私营企业建立"预警一检测一反应一恢复"体系并制定出完善的补救计划，同时强调推广安全意识的教育，加强保护基础设施的研发工作，并力图在收集和分析有关国家威胁美基础设施的情报及开展国际合作方面有所建树。

1984年以来美国政府共发布了近10个涉及关键基础设施和信息安全的国家政策、通告、总统行政命令和国家计划，对如何维护关键基础设施和信息系统的安全提出了具体的要求。例如，克林顿总统于1998年5月签署的第63号总统令(PDD-63)规定，拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门，其中包括中央情报局、商务部、国防部、能源部、司法部、联邦调查局、交通部、财政部、联邦紧急事务处理局、国家安全局等，它们已经在1998年11月完成了其保护其关键信息系统的计划。2000年1月，根据PDD-63的要求，美国政府制定了《信息系统保护国家计划》，将信息安全保护分为十项内容，涉及到脆弱性评估、信息共享、事件响应、人才培养以及隐私保护、法律改革等。该计划要求在2000年12月建立一个具备初步运作能力的关键信息系统防备体系，到2003年5月实现全部运转。该计划力图实现三个主要目标，即准备和预防、侦查和反应及建立牢固的基础设施。

2001年10月，布什政府发布了《信息时代保护关键基础设施》的行政命令，组建了总统关键基础设施委员会，其成员包括国务卿、国防部长、司法部长、商务部长、行政管理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。根据该命令，委员会主席将成为总统网络安全事务的特别顾问。他有权了解各部／局内属于其管辖范围的所有情况，并召集和主持委员会的各种会议、制定委员会的议事日程，向相关官员提供保护关键基础设施的政策和方案，并向总统国家安全事务助理和国土安全助理汇报。

今年2月14日，布什政府又公布了《确保网络空间安全的国家战略》，明确规定国土安全部将成为联邦政府确保网络安全的核心部门，并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织，即公共部门、私营部门和研究机构之间的指挥中枢。

三、作用与影响