美国《确保网络空间安全的国家战略》评述

［内容提要］布什政府认为，美国计算机网络的脆弱性，可能使美国的关键基础设施和信息系统的安全面临严重威胁。2003年2月14日公布的《确保网络空间安全的国家战略》，强调发动社会力量参与保障网络安全，重视发挥高校和社会科研机构的力量，重视人才的培养和公民的网络安全意识教育，必将对美国未来国家安全战略指导和网络安全管理机制产生深远的影响。

一、主要内容

2003年2月14日，美国公布了《确保网络空间安全的国家战略》报告（以下简称报告）。该报告共76页，是布什政府对《美国国土安全的国家战略》（2002年7月份公布）的补充，并由《保护至关重要的基础设施和关键资产的国家战略》（2003年2月14日公布）作为其补充部分。该报告确定了在网络安全方面的三项总体战略目标和五项具体的优先目标。其中的三项总体战略目标是：阻止针对美国至关重要的基础设施的网络攻击；减少美国对网络攻击的脆弱性；在确实发生网络攻击时，使损害程度最小化、恢复时间最短化。五项优先目标是：（1）建立国家网络安全反应系统；（2）建立一项减少网络安全威胁和脆弱性的国家项目；（3）建立一项网络安全预警和培训的国家项目；（4）确保政府各部门的网络安全；（5）国家安全与国际网络安全合作。

该报告明确规定，国土安全部将成为联邦政府确保网络安全的核心部门，并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织，即公共部门、私营部门和研究机构之间的指挥中枢。国土安全部将制定一项确保美国关键资源和至关重要的基础设施安全的全面的国家计划，以便向私营部门和其他政府机构提供危机管理、预警信息和建议、技术援助、资金支持等5项责任。该报告把关键基础设施定义为"那些维持经济和政府最低限度的运作所需要的物理和网络系统，包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续运作的领导机构"。该报告强调，确保美国网络安全的关键在于美国公共与私营部门的共同参与，以便有效地完成网络预警、培训、技术改进、脆弱性补救等工作。

二、出台背景

美国自20世纪40年明第一台计算机以来，相继建立了信息高速公路(NII)和全球信息基础设施(GII)，并涌现出英特尔芯片公司、微软公司、IBM公司等一大批全球信息产业的领头羊。因此，美国的信息技术及其应用水平遥遥领先，成为信息第一大国。信息技术及其产业不仅成为美国经济发展的支柱和动力，而且也成为美国交通、能源、金融、通讯乃至国防、情报等赖以存在和发展的基础。美国拥有世界上最为强大的军事和经济力量。这两种力量相互强化，相互依赖，同时也日益依赖于关键基础设施和网络信息系统。这种依赖关系成为了脆弱性的根源。因此，在美国政府看来，计算机网络的脆弱性已经给美国国家安全提出了一个紧迫的问题，关键基础设施和信息系统的安全成为美面临的首要威胁之一，"电子珍珠港"事件随时可能爆发，美国必须采取措施保障关键基础设施和信息系统的安全，避免"信息灾难"。

由大量信息系统组成的国家信息基础结构，已成为美国经济的命脉和国家的生命线，也成为容易受到攻击的高价值的战略目标。1988年，美国康奈尔大学计算机系研究生罗伯特o莫里斯制造出震惊世界的"莫里斯蠕虫病毒"事件，造成全球6000多所大学和军事机构的计算机受到感染而瘫痪，而美国遭受的损失最为惨重。美国政府2001年公布的评估报告显示，在2000年，黑客至少获得了美国的155个政府和18家民间机构计算机系统的完全控制权；美国商务部对下属部门的计算机系统进行全面监测后，发现存在5000多个安全漏洞，在被监测的1200多台工作站和主机中，有30%被划归"极度危险"类。针对网络安全方面的这些严重事故或隐患，美国前总统克林顿忧心忡忡地指出，"这个充满希望的时代也充斥着危险。所有受计算机驱动的系统都容易遭到入侵和破坏。重要经济部门或者政府机构的计算机一旦受到合力攻击，就会产生灾难性的后果"。

从20世纪80年代开始，美国政府以政府通告、总统行政命令等形式，不断推出有关信息安全的政策方针和各类规章制度，而且每隔数年就重新进行审定，以适应科技的发展趋势。与此同时，通过设立层层主管机构，逐步形成一整套信息安全防范体系。这一防范体系从关键基础设施和信息系统的脆弱性分析入手，要求各级政府和私营企业建立"预警一检测一反应一恢复"体系并制定出完善的补救计划，同时强调推广安全意识的教育，加强保护基础设施的研发工作，并力图在收集和分析有关国家威胁美基础设施的情报及开展国际合作方面有所建树。

1984年以来美国政府共了近10个涉及关键基础设施和信息安全的国家政策、通告、总统行政命令和国家计划，对如何维护关键基础设施和信息系统的安全提出了具体的要求。例如，克林顿总统于1998年5月签署的第63号总统令 (PDD-63)规定，拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门，其中包括中央情报局、商务部、国防部、能源部、司法部、联邦调查局、交通部、财政部、联邦紧急事务处理局、国家安全局等，它们已经在1998年11月完成了其保护其关键信息系统的计划。2000年1月，根据PDD-63的要求，美国政府制定了《信息系统保护国家计划》，将信息安全保护分为十项内容，涉及到脆弱性评估、信息共享、事件响应、人才培养以及隐私保护、法律改革等。该计划要求在2000年12月建立一个具备初步运作能力的关键信息系统防备体系，到2003年5月实现全部运转。该计划力图实现三个主要目标，即准备和预防、侦查和反应及建立牢固的基础设施。

2001年10月，布什政府了《信息时代保护关键基础设施》的行政命令，组建了总统关键基础设施委员会，其成员包括国务卿、国防部长、司法部长、商务部长、行政管理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。根据该命令，委员会主席将成为总统网络安全事务的特别顾问。他有权了解各部／局内属于其管辖范围的所有情况，并召集和主持委员会的各种会议、制定委员会的议事日程，向相关官员提供保护关键基础设施的政策和方案，并向总统国家安全事务助理和国土安全助理汇报。

今年2月14日，布什政府又公布了《确保网络空间安全的国家战略》，明确规定国土安全部将成为联邦政府确保网络安全的核心部门，并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织，即公共部门、私营部门和研究机构之间的指挥中枢。

三、作用与影响

该报告是美国在网络安全方面专门出台的第一份国家战略，既凸现了布什政府对美国网络安全的担心与重视，也显示出其在新世纪确保美国信息霸权和安全的长远战略目标，必将对美国未来的国家安全战略指导思想、网络安全管理机制产生深远的影响。

第一，该报告显示，确保网络安全已经被提升为美国国家安全战略的一个重要组成部分。布什政府认为，信息技术的迅猛发展与计算机网络在美国的普及，已经使美国的国家安全问题不再局限于军事安全、经济安全和政治安全。网络的便捷使美国社会越来越依赖于信息技术，信息技术的发展已使之成为21世纪美国发展的支柱，而网络成为美国发展的神经中枢。以信息化方式运作的金融、商贸、交通、通信、军事等系统，成为美国国家经济与社会的基础。防止敌对组织或个人对美国的信息系统和全国性网络的破坏，已不再只是一个技术层面的概念，而成为与社会、政治、经济、文化等各个方面密切相关的问题，即这些领域的安全直接关系到美国国家安全的重要因素，信息安全已成为美国国家安全的一个重要组成部分，直接影响到美国的国家运转、经济发展和社会稳定。因此，布什政府出台这份《确保网络空间安全的国家战略》报告，显示出其对网络安全的高度重视。

第二，该报告是美国在"9·11"事件之后，为确保网络安全而采取的一系列举措中的一个核心步骤。其实，"9·11"事件发生后，布什政府一直担心会对美国发动网络恐怖袭击，因此，它采取一系列预防和打击网络恐怖活动的措施。布什政府经国会批准将反恐开支增加到600亿美元，为2000年反恐经费的5倍。其中用于打击网络恐怖活动的开支也增加了两倍多；迅速成立了"国土安全办公室"（即目前已经成立的国土安全部的前身），将打击网络恐怖作为其主要职责之一；任命网络反恐怖专家理查德o克拉克为总统网络安全顾问，并出任在"国土安全办公室"统辖下新设立的"电脑信息网络安全委员会"主席，负责制定、协调全美政府机构网络反恐计划和行动；着手建立一个政府网络(GovNet)，使它与现行互联网分离，以保障政府通讯信息网络的安全性和保护美国国家信息基础设施；召集有副总统理查德·切尼、司法部长约翰·阿什克罗夫特和美国10大网络供应商高官参加的"网络恐怖袭击对策"会议；在美联邦调查局内新设反网络犯罪局，专门负责打击网络犯罪；指令美军加强网络战准备，防范网络恐怖袭击以及打击网络恐怖活动和支持网络恐怖的国家。美国总统布什还对美国指认的所谓纵容网络恐怖主义的国家发出警告称，"如果任何国家为网络恐怖主义者提供安全的避风港，国际社会将切断它与国际互联网的联系，把它排斥在互联网之外。"《确保网络空间安全的国家战略》报告明确提出，美国在网络安全方面的管理机构将会进一步加以整合，最终使国土安全部成为联邦政府确保网络安全的核心部门。

第三，该报告尤其强调发动社会力量对网络安全进行全民防御。虽然美国历届政府在维护信息系统安全方面采取了众多的措施，但它也意识到，仅仅依靠政府的力量是不够的，必须建立起一个全方位的防御体系，动员一切可以动员的社会力量。因此，美国政府十分重视与私营企业之间建立合作关系，重视发挥学术研究机构的优势，同时也重视培养美国公民的信息安全意识。首先，美国历届政府把建立政府和私营企业间的合作关系作为一个主要内容。政府强调保护美国的关键基础设施仅仅依靠联邦政府是不行的，必须与企业界、各州及地方政府进行积极有效的合作。例如，1998年11月，能源部、天然气研究所和电力研究所共同主办了能源论坛，邀请了100余家电力、天然气和石油企业和政府代表参加；1999年10月1日，由政府和私营企业联合发起建立了金融服务信息共享及分析中心。2001年1月，包括IBM在内的500多家公司加入了FBI成立的一个被称作"InfraGard"的组织，共同打击日趋嚣张的网络犯罪活动。《确保网络空间安全的国家战略》报告也多次指出，"确保美国网络安全的关键在于美国公共与私营部门的共同参与"。

其次，重视发挥大专院校和社会科研机构的力量。目前许多大学都设有与信息技术和信息安全相关的学院、研究中心和专业，例如，卡内基-梅隆大学的软件工程研究所，乔治敦大学的计算机信息安全研究所、美国全国计算机安全协会、国际战略研究中心(CSIS)的技术委员会，卡内基国际和平研究所的信息革命与国际关系研究项目等等。目前，美国还开始利用高等院校的科研实力为其服务，2002年2月，美众院通过《网络安全研究与发展法案》，同意在5年内为大学和研究机构提供8.7亿美元的资助，用来研究保护美国计算机网络不受恐怖主义分子和黑客袭击的技术。政府与这些机构展开合作的最好事例就是，由国防部高级研究计划局出资，在卡内基-梅隆大学软件工程研究所内设立了计算机应急处理小组协调中心(CERT)。该中心提供24小时紧急情况联络点，通过与世界范围内IT界和专家之间的交流，提高人们对计算机安全的认识。

最后，重视人才的培养和公民的安全意识教育。该报告认为，到目前为止，还没有"电子珍珠港"事件能够唤醒公众采取行动保护美国网络的意识。许多美国人没有认识到美经济和国家安全对计算机和信息系统依赖到何种程度。而保卫美国的网络空间则需要所有美国人的行动，包括最普通的大众。《确保网络空间安全的国家战略》提出的具体措施包括：完善"网络公民计划"，对美国儿童进行有关网络道德和正确使用互联网和其他通讯方式的教育；借助"关键基础设施安全伙伴"建立美国企业和信息技术精英间的合作关系；保证政府雇员具备保护信息系统安全的意识；在上述行动的基础上，把提高安全意识的活动推广到其他私营部门和普通公众。

参考书目：

1.国务院发展研究中心国际技术经济研究所编：《信息战与信息安全战略》，金城出版社，1995年。

2.《网络安全??技术与应用》月刊，2002年第6、9、11期。