5．私營部門以及州和地方政府的關(guān)鍵基礎(chǔ)設(shè)施保障框架

公共-私營合作聯(lián)盟的需求

只靠聯(lián)邦政府自己是無法保護(hù)國家的關(guān)鍵基礎(chǔ)設(shè)施的。私營工業(yè)和州及地方政府直接擁有并有效控制著對(duì)國家安全和經(jīng)濟(jì)利益極為重要的大量基礎(chǔ)設(shè)施，它們可以對(duì)基礎(chǔ)設(shè)施產(chǎn)生巨大的影響。因此，只有同工業(yè)界和州及地方政府之間實(shí)現(xiàn)有效的合作，聯(lián)邦政府才可以保護(hù)好這些關(guān)鍵基礎(chǔ)設(shè)施；相反，如果單槍匹馬，則必然失敗。

這并不是說，在保護(hù)私營部門的基礎(chǔ)設(shè)施中，聯(lián)邦政府沒有或只有有限的角色。我們這樣說的意義在于，聯(lián)邦政府必須通過合作的手段來采取行動(dòng)。它應(yīng)該力促私營部門投入到保護(hù)行動(dòng)中，共享威脅信息和矯正手段；還應(yīng)支持私營部門去設(shè)計(jì)并執(zhí)行自己的防護(hù)項(xiàng)目，為它們減少行動(dòng)的障礙，激勵(lì)它們從事重要的研發(fā)；另外，在必要的時(shí)候，為它們提供綜合性領(lǐng)導(dǎo)。聯(lián)邦政府同私營部門基礎(chǔ)設(shè)施提供者應(yīng)當(dāng)是一種全面的合作關(guān)系。

合作的原則

自愿。

基于共同的著眼點(diǎn)，合作是為了取得清晰、集中而明確的目標(biāo)。

合作關(guān)系應(yīng)能彌補(bǔ)彼此的弱點(diǎn)，強(qiáng)化彼此的功能和角色。

對(duì)于彼此的價(jià)值觀、期望、要求、關(guān)注事項(xiàng)和目標(biāo)的理解。

持續(xù)不斷地相互交流。

共同的信任。

要有經(jīng)過充分計(jì)劃的出發(fā)點(diǎn)。

這種合作關(guān)系應(yīng)當(dāng)是積極而自愿的，并且要由各參與方共同規(guī)劃。各級(jí)政府官員和私營部門的代表應(yīng)該不斷地交流，確保對(duì)于彼此的關(guān)注事項(xiàng)、要求和期望的共同理解。政府不能直接強(qiáng)迫私營部門的參與和遵從，不論是依靠法律手段還是規(guī)章條例。更重要的，合作關(guān)系意味著政府決不能做任何有損于公民自由的事情。

這種合作關(guān)系將促使舉國努力來保護(hù)我們的關(guān)鍵基礎(chǔ)設(shè)施。故而在這里并沒有提出明確的計(jì)劃，本章只是建立合作關(guān)系的框架，概述聯(lián)邦政府應(yīng)如何幫助并鼓勵(lì)公共-私營合作關(guān)系的發(fā)展。因此，本章把私營部門和州及地方政府劃到了一起，雖然我們知道它們之間其實(shí)有著明顯的不同。如果我們的工作能夠取得初步的成功，那么，在后續(xù)版本中的本章將不會(huì)只限于描述一般性框架，而是給出一系列由工業(yè)界和各級(jí)政府都共同首肯的特別行動(dòng)和項(xiàng)目。

州及地方政府的角色

州及地方政府處在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施、抵御有意攻擊的前線。它們均擁有并操作著一定的基礎(chǔ)設(shè)施，并同私營部門的基礎(chǔ)設(shè)施有著物理上的鄰近以及最為緊密的交流。因此，CIP工作把州和地方政府看作一個(gè)獨(dú)立的部門。

在千年蟲防御中，州及地方政府同私營部門并肩戰(zhàn)斗過，有些地方政府和私營部門甚至已為處理長(zhǎng)期的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)事項(xiàng)建立了合作。在執(zhí)法和其他領(lǐng)域，聯(lián)邦政府同各級(jí)地方政府的合作關(guān)系由來已久，目前聯(lián)邦政府正努力增強(qiáng)并擴(kuò)展這些必要的合作，并在這些實(shí)體和私營部門間也發(fā)展這種合作關(guān)系。

至少在一個(gè)州——新墨西哥州內(nèi)，工業(yè)界、學(xué)術(shù)界和政府機(jī)構(gòu)已經(jīng)自愿行動(dòng)起來，組成了新墨西哥州關(guān)鍵基礎(chǔ)設(shè)施保障委員會(huì)（NMCIAC）（見下圖）來保護(hù)該州的關(guān)鍵基礎(chǔ)設(shè)施，防御物理和計(jì)算機(jī)威脅：

本章貫穿始終都在討論州及地方政府和私營部門在保護(hù)國家的關(guān)鍵基礎(chǔ)設(shè)施時(shí)的相互交流和作用。在本篇國家計(jì)劃的后續(xù)版本中，我們會(huì)用獨(dú)立的章節(jié)來介紹私營部門、州及地方政府同聯(lián)邦政府合作來保護(hù)我們國家的關(guān)鍵基礎(chǔ)設(shè)施的各種工作。

私營工業(yè)的角色

對(duì)私營工業(yè)來說，計(jì)算機(jī)安全會(huì)給它們業(yè)務(wù)的成功乃至整個(gè)私營工業(yè)的生存產(chǎn)生直接的影響。私營公司知道，它們必須為其客戶，不論是公共還是私營的維持穩(wěn)健而可靠的服務(wù)提供系統(tǒng)。為了樹立客戶的信心并在激烈競(jìng)爭(zhēng)的市場(chǎng)環(huán)境中生存，很多成功的公司已經(jīng)施行了很多項(xiàng)目，以保障系統(tǒng)和操作在遭破壞時(shí)其業(yè)務(wù)仍能正常開展。而對(duì)信息技術(shù)日益增長(zhǎng)的依賴以及技術(shù)應(yīng)用時(shí)帶來的新的威脅和脆弱性則為這些保障工作增加了新的內(nèi)容。

美國商業(yè)領(lǐng)導(dǎo)一直就有著組織工業(yè)力量、為國家挑戰(zhàn)出謀劃策的歷史傳統(tǒng)。他們?cè)谕瓿蛇@些事情時(shí)，其行為同國家利益是一致的。但是，他們并不是利他主義者，他們這樣做的原因是為了確保其業(yè)務(wù)的可靠性，只不過這時(shí)國家利益和這些股東的利益一致罷了。

這方面的例子包括北美電力可靠性委員會(huì)（NERC）以及國家安全電信顧問委員會(huì)（NSTAC）。前者的重心在國家的電力網(wǎng)，后者則致力于與美國電信網(wǎng)絡(luò)有關(guān)的國家安全問題。它們是那些既服務(wù)于客戶也服務(wù)于公共需求的工業(yè)委員會(huì)的榜樣。它們均含有公共的主題，那就是保障其各自系統(tǒng)的可靠性、可用性和完整性。

國家安全電信顧問委員會(huì)（NSTAC）

NSTAC是一個(gè)總統(tǒng)顧問委員會(huì)，建立于1982年9月，用以向總統(tǒng)提供專家建議。

NSTAC由多達(dá)30個(gè)的工業(yè)界電信代表公司的高級(jí)領(lǐng)導(dǎo)組成。

NSTAC組成了各個(gè)子工作組來分析與通信有關(guān)的國家安全和應(yīng)急準(zhǔn)備事務(wù)。

NSTAC與國家通信系統(tǒng)（NCS）密切合作，是工業(yè)/政府聯(lián)合計(jì)劃制定時(shí)的焦點(diǎn)。

北美電力可靠性委員會(huì)（NERC）

由10個(gè)地區(qū)級(jí)的可靠性委員會(huì)組成，目的是非盈利的。

涉及了整個(gè)電力工業(yè)的所有部分，包括私營部門所屬的公司以及州、地方和聯(lián)邦政府的公司。

實(shí)際負(fù)責(zé)美國和加拿大的所有電力以及墨西哥的部分電力。

吸取各種經(jīng)驗(yàn)教訓(xùn)、監(jiān)督對(duì)政策、標(biāo)準(zhǔn)、原則和指導(dǎo)的遵循、評(píng)估電力系統(tǒng)的性能，從而促進(jìn)北美電力系統(tǒng)的可靠性。

2000年問題以及工業(yè)界和州及地方政府的角色

有些時(shí)候，私營部門是公共威脅防御中公共-私營合作的催化劑。在千年蟲防御的初期，很多公眾和工業(yè)界人士認(rèn)為千年蟲事件的急迫性還沒有得到充分的重視，他們敦促政府來提高意識(shí)并加速行動(dòng)。于是，聯(lián)邦政府在現(xiàn)行工作的基礎(chǔ)上立刻開展了促進(jìn)合作關(guān)系的活動(dòng)。雖然在對(duì)各種成功和不足進(jìn)行全面研究后，我們還只能看到這些工作的部分有效性，但我們確實(shí)相信，是這種改良后的公共-私營合作關(guān)系使得千年蟲問題變得可控。

千年蟲事件第一次測(cè)試了信息時(shí)代的國家基礎(chǔ)設(shè)施保障項(xiàng)目。千年蟲將會(huì)帶來的可能的系統(tǒng)故障要求基礎(chǔ)設(shè)施的所有者和操作者的保障項(xiàng)目中包含重建計(jì)劃，聯(lián)邦政府的角色是保障私營部門和州及地方政府的各類項(xiàng)目能夠在國家范圍內(nèi)得到協(xié)調(diào)和有效執(zhí)行。

從千年蟲事件防御工作中得到的經(jīng)驗(yàn)關(guān)系到信息安全的公共-私營合作。為了在服務(wù)和產(chǎn)品保障項(xiàng)目中利用這些經(jīng)驗(yàn)信息，任何工業(yè)和公司要做到：

評(píng)估關(guān)鍵業(yè)務(wù)操作對(duì)信息技術(shù)的依賴性；

評(píng)審當(dāng)信息流遭到破壞時(shí)對(duì)業(yè)務(wù)操作和客戶關(guān)系帶來的沖擊與后果；

評(píng)價(jià)公司風(fēng)險(xiǎn)輪廓的變化，努力采取各種必要的矯正性措施來確保服務(wù)或產(chǎn)品能夠達(dá)到客戶和公眾的期望；

繼續(xù)評(píng)價(jià)未來的信息技術(shù)投資，在關(guān)鍵業(yè)務(wù)操作中考慮進(jìn)安全風(fēng)險(xiǎn)。

企業(yè)領(lǐng)導(dǎo)人意識(shí)到，他們各自公司的蓬勃發(fā)展將會(huì)受到整個(gè)工業(yè)界發(fā)展的影響。所以，這些本質(zhì)上為了業(yè)務(wù)管理運(yùn)行的行動(dòng)，也同樣可以作為保護(hù)國家安全、防御各種威脅以及保障工業(yè)界經(jīng)濟(jì)利益的手段。

為實(shí)現(xiàn)公共-私營合作關(guān)系的聯(lián)邦組織

白宮和一些關(guān)鍵的聯(lián)邦機(jī)構(gòu)正直接同主要的私營部門和州及地方政府的領(lǐng)導(dǎo)者和組織者合作，共同制定本篇國家計(jì)劃。根據(jù)PDD63以及后續(xù)的決定令，聯(lián)邦領(lǐng)導(dǎo)機(jī)構(gòu)正接受委派，同各自針對(duì)的基礎(chǔ)設(shè)施部門合作，對(duì)其組織進(jìn)行支持。在過去的幾年中，很多基礎(chǔ)設(shè)施部門已經(jīng)指派了部門協(xié)調(diào)機(jī)關(guān)，支持了相應(yīng)的聯(lián)邦領(lǐng)導(dǎo)機(jī)構(gòu)，具體見下表：

聯(lián)邦政府和私營工業(yè)經(jīng)過努力合作，已經(jīng)在每個(gè)部門內(nèi)都開放了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的對(duì)話。

1998年11月，由能源部、天然氣研究學(xué)會(huì)、電力研究學(xué)會(huì)（EPRI）發(fā)起的能源論壇得到了超過100個(gè)的電力工業(yè)、石油和天然氣工業(yè)以及政府代表的參加。1999年4月，在得克薩斯州的哈斯頓成立了第二個(gè)能源論壇，由EPRI發(fā)起的第3個(gè)論壇于1999年11月成立，參加代表達(dá)到了150個(gè)。

通過部門協(xié)調(diào)委員會(huì)，銀行與金融業(yè)已經(jīng)開過幾次碰頭會(huì)，制定了相應(yīng)的計(jì)劃以解決風(fēng)險(xiǎn)評(píng)估、工業(yè)信息共享、研發(fā)日程以及向工業(yè)部門領(lǐng)導(dǎo)層的推廣等問題。

1999年10月1日，美國財(cái)政部長(zhǎng)宣布成立銀行與金融服務(wù)信息安全設(shè)施——金融服務(wù)信息共享和分析中心（FS/ISAC）。

FS/ISAC是公共-私營聯(lián)合努力的結(jié)果，旨在當(dāng)金融服務(wù)工業(yè)受到計(jì)算機(jī)威脅時(shí)將其受害的消息進(jìn)行共享。它提供了匿名式快速傳播威脅消息的手段，從而加強(qiáng)了工業(yè)界阻止、檢測(cè)和響應(yīng)那些針對(duì)其技術(shù)設(shè)施的攻擊行為的能力。

所有經(jīng)認(rèn)可的金融服務(wù)協(xié)會(huì)的會(huì)員均可以獲得FS/ISAC的成員資格。當(dāng)前，12個(gè)分別代表公共和私營利益的組織已經(jīng)簽署了加入該中心的確認(rèn)函。該中心由一個(gè)私營的承包商來管理，經(jīng)費(fèi)則完全由各參與會(huì)員提供。

聯(lián)邦政府已經(jīng)制定了有關(guān)計(jì)劃來發(fā)展同州及地方政府的必要關(guān)系。通過與各個(gè)組織，如國家州長(zhǎng)協(xié)會(huì)、美國市長(zhǎng)會(huì)議以及已開始制定其關(guān)鍵基礎(chǔ)設(shè)施保護(hù)項(xiàng)目的各個(gè)州及地方政府的合作，聯(lián)邦政府正鼓勵(lì)他們幫助在政府和私營工業(yè)之間建立起重要的合作關(guān)系，以保護(hù)國家的基礎(chǔ)設(shè)施，防止處心積慮的攻擊。比如，各州及地方執(zhí)法機(jī)關(guān)已經(jīng)指派了它們的部門協(xié)調(diào)地和部門協(xié)調(diào)員，并完成了最初的行動(dòng)計(jì)劃草案。

還有其他一些類似活動(dòng)也正在開展之中。國家協(xié)調(diào)員和聯(lián)邦其他高級(jí)官員正積極對(duì)話，以解決跨部門的關(guān)心議題。很多追求利潤(rùn)最大化的公司已經(jīng)意識(shí)到了這方面的市場(chǎng)，并為了組織信息系統(tǒng)保護(hù)而開展了同私營工業(yè)客戶的合作。

對(duì)私營部門和州及地方政府關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù)和防御的行動(dòng)

隨著對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)需求的認(rèn)識(shí)的不斷加深，大多數(shù)商業(yè)人士將問到的第一個(gè)問題會(huì)是：“這將對(duì)我的業(yè)務(wù)產(chǎn)生怎樣的影響？”。

只靠聯(lián)邦政府是無法回答這一問題的。通過公共-私營合作關(guān)系以及與州和地方政府的協(xié)作，我們也許可以得到一些詳盡的答案。然而，即使在現(xiàn)在這樣的初期階段，我們也建議私營部門和州及地方政府要考慮參與本篇計(jì)劃中的一些項(xiàng)目性活動(dòng)，包括確定并矯正脆弱性（內(nèi)容1），組織對(duì)脆弱性、威脅和攻擊信息的共享中心（內(nèi)容4），對(duì)研發(fā)項(xiàng)目投資（內(nèi)容6），增強(qiáng)工業(yè)界對(duì)于改進(jìn)計(jì)算機(jī)安全需求的認(rèn)識(shí)（內(nèi)容8）。

（1）標(biāo)識(shí)關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)和公共的互依賴性，查找脆弱性（內(nèi)容1）

聯(lián)邦政府號(hào)召對(duì)工業(yè)界的基礎(chǔ)設(shè)施保障計(jì)劃進(jìn)行周期性的不斷評(píng)估，尤其要關(guān)注信息系統(tǒng)、工業(yè)機(jī)構(gòu)和最佳實(shí)踐措施的作用以及工業(yè)界對(duì)它們的依賴。

很多工業(yè)部門已經(jīng)開展了風(fēng)險(xiǎn)評(píng)估并采取了矯正措施，為了向其客戶和公眾負(fù)責(zé)，它們已經(jīng)建立了內(nèi)部響應(yīng)機(jī)制。聯(lián)邦政府正在收集、分析和研究同計(jì)算機(jī)安全技術(shù)、操作和趨勢(shì)相關(guān)的大量信息，而這些領(lǐng)域正是私營工業(yè)可以涉足的。審計(jì)總署的報(bào)告《信息安全管理：向領(lǐng)先機(jī)構(gòu)學(xué)習(xí)》就是一例。能夠交流的信息理應(yīng)得到交流，適當(dāng)?shù)碾p向交流和支持性的合作關(guān)系應(yīng)當(dāng)在州及地方政府建立起來。

聯(lián)邦政府還將為部門的風(fēng)險(xiǎn)分析提供支持，各機(jī)構(gòu)已經(jīng)籌備了必要的專家資源。在合適的時(shí)候，聯(lián)邦政府將向私營工業(yè)和州及地方政府實(shí)體明確并提供這些資源的使用，以幫助它們完成風(fēng)險(xiǎn)評(píng)估。比如，總務(wù)管理局（GSA）和關(guān)鍵基礎(chǔ)設(shè)施保障辦公室（CIAO）已經(jīng)籌備了“脆弱性分析框架”，正廣泛用于各部的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃的制定。該框架或其他類似的框架也可以促進(jìn)私營工業(yè)和州及地方政府的工作。另外，F(xiàn)BI正在編纂每一部門的關(guān)鍵基礎(chǔ)設(shè)施提供商列表，其各個(gè)區(qū)域辦公室正著手建立同這些提供商之間的合作。

除了執(zhí)行風(fēng)險(xiǎn)評(píng)估工作外，私營工業(yè)尤其可以在如下兩類關(guān)鍵活動(dòng)中擔(dān)當(dāng)領(lǐng)頭羊的角色：

共享并推動(dòng)操作建議：需要為信息系統(tǒng)安全制定并發(fā)展符合標(biāo)準(zhǔn)的且有效的定義，并使其在商業(yè)領(lǐng)域能夠共享。從傳統(tǒng)上來說，工業(yè)界在發(fā)展并確定操作建議和標(biāo)準(zhǔn)的任務(wù)中扮演著定義者的角色。聯(lián)邦政府有時(shí)候也委托外部機(jī)構(gòu)來制定標(biāo)準(zhǔn)和備案過程。當(dāng)然，當(dāng)市場(chǎng)自身的步伐不能滿足用戶的需求時(shí)，聯(lián)邦政府將作為催化劑參與到其中。

引入相關(guān)的風(fēng)險(xiǎn)管理，使信息系統(tǒng)安全成為業(yè)務(wù)運(yùn)行的一個(gè)合理部分：信息技術(shù)已經(jīng)在很多核心業(yè)務(wù)的處理中得到了應(yīng)用，但如果沒有充分的管理控制和系統(tǒng)安全，就同時(shí)也意味著新的風(fēng)險(xiǎn)。商業(yè)運(yùn)行對(duì)于信息系統(tǒng)的日益增長(zhǎng)的依賴性必然意味著信息系統(tǒng)安全要成為謹(jǐn)慎的管理控制和操作的一部分。很多從事審計(jì)和風(fēng)險(xiǎn)管理職業(yè)的人在評(píng)估其公司、機(jī)構(gòu)以及客戶的風(fēng)險(xiǎn)時(shí)是深諳此理的。隨著我們對(duì)千年蟲事件的關(guān)心，更多人也明白了這一道理。在很多公司和州及地方機(jī)構(gòu)內(nèi)，這些專家負(fù)責(zé)把同風(fēng)險(xiǎn)有關(guān)的事項(xiàng)直接報(bào)告給高級(jí)管理層。通過與這些專家交流應(yīng)急處理以及相關(guān)的國家議程，在一般商業(yè)和地方以及州團(tuán)體內(nèi)，人們的意識(shí)將得到全面的提高。這些意識(shí)以及對(duì)威脅信息、工具、技術(shù)、資源、操作和工業(yè)界標(biāo)準(zhǔn)的共享將提高他們對(duì)其職務(wù)風(fēng)險(xiǎn)進(jìn)行確定及交流的能力。

（2）組織起有關(guān)脆弱性、威脅和攻擊信息的共享

PDD63建議在同聯(lián)邦政府的協(xié)作下，私營部門要建立起信息共享和分析中心（ISAC），以促進(jìn)關(guān)于脆弱性、威脅、入侵和異常現(xiàn)象的信息共享。這些中心可以為工業(yè)界以及必要時(shí)為NIPC提供私營部門信息的收集、分析、合理過濾以及傳播。它們還可以為私營部門收集、分析和傳播從NIPC來的信息。各ISAC可以作為優(yōu)秀分析中心，為各種基礎(chǔ)設(shè)施建立基本統(tǒng)計(jì)信息和模式，還可以成為各部門的信息交換地。而且，它還能夠存儲(chǔ)大量的歷史數(shù)據(jù)以供私營部門使用或用作ISAC或政府認(rèn)可的其他合適用途。

各私營工業(yè)將自己決定是否加入ISAC以及這些ISAC應(yīng)采取何種形式。國家協(xié)調(diào)員和聯(lián)邦領(lǐng)導(dǎo)機(jī)構(gòu)將擔(dān)當(dāng)起部門聯(lián)絡(luò)者，協(xié)調(diào)聯(lián)邦政府現(xiàn)有的援助力量，通過各種活動(dòng)，如論壇、啟動(dòng)基金以及物理設(shè)備等來響應(yīng)私營部門的各種要求。聯(lián)邦政府還將通過與部門聯(lián)絡(luò)官和國家協(xié)調(diào)員協(xié)商，幫助制定NIPC和ISAC之間的信息共享標(biāo)準(zhǔn)。在過渡期，聯(lián)邦政府鼓勵(lì)各部門內(nèi)部以及部門間利用現(xiàn)有的組織，如InfraGard章程和各CERT來實(shí)現(xiàn)更好地通信。

為了鼓勵(lì)私營部門ISAC的創(chuàng)建，人們?cè)隽舜罅康墓ぷ鳌?999年1月，關(guān)鍵基礎(chǔ)設(shè)施保障辦公室（CIAO）發(fā)起了一次超過70個(gè)私營部門、州及地方政府的官員參加的會(huì)議，共同討論了為促進(jìn)信息共享而將采取的后續(xù)必要手段。

聯(lián)邦政府正在發(fā)展國家范圍內(nèi)的入侵檢測(cè)功能，既用于國防，也用于民事核心信息系統(tǒng)，以提供實(shí)時(shí)的威脅、攻擊和脆弱性警報(bào)。通過計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT）以及各部的計(jì)劃，聯(lián)邦政府還把其信息采集與分析力量集中到了基礎(chǔ)設(shè)施安全事務(wù)上。這些活動(dòng)均可以使政府更好地理解其信息系統(tǒng)中的威脅和脆弱性。同樣，私營部門和州及地方政府也應(yīng)充分地利用這些成果和經(jīng)驗(yàn)。

這些可以被私營部門和州及地方政府所利用的成果包括各種情報(bào)共同體的信息。能夠確定新的威脅或意識(shí)到威脅的變化將有助于使資金投入到最需要的地方，更好地利用最終資源，使其服務(wù)于政府和工業(yè)。國家協(xié)調(diào)員以及NIPC、情報(bào)共同體、聯(lián)邦執(zhí)法機(jī)構(gòu)正制定相關(guān)步驟，向主要的私營部門和州及地方州府決策者進(jìn)行定期的威脅和脆弱性情況通報(bào)。這將有助于非聯(lián)邦實(shí)體在評(píng)估風(fēng)險(xiǎn)時(shí)做出理智的判斷并采取必要的矯正措施。

作為ISAC榜樣的災(zāi)難控制和預(yù)防中心（CDC）

基于需求以及自愿的組織結(jié)構(gòu)。

技術(shù)關(guān)注點(diǎn)以及專門技術(shù)特點(diǎn)。

●非指令性和非執(zhí)法性職能；

●建立基本統(tǒng)計(jì)分析數(shù)據(jù)，明確各類基礎(chǔ)設(shè)施的模式；

●信息交換地。

公共-私營合作性質(zhì)，有聯(lián)邦政府、州及地方政府的參與。

分散式管理。

多種功能。

●共享實(shí)時(shí)事件數(shù)據(jù)以及簡(jiǎn)報(bào)和脆弱性信息；

●多類共享途徑，可以保護(hù)信息的保密性，防止因共享而導(dǎo)致的信息泄露。

（3）在研發(fā)上投資（內(nèi)容6）

導(dǎo)致信息安全系統(tǒng)不能更廣泛應(yīng)用的原因之一是對(duì)其購買、操作和維護(hù)的高費(fèi)用。而政府在信息安全應(yīng)用性研究和開發(fā)上的投資的加大將刺激這一市場(chǎng)的發(fā)展，使其提供更優(yōu)更廉價(jià)的工具，尤其是在市場(chǎng)本身無法做到這一點(diǎn)時(shí)。信息安全工具性價(jià)比的提高將有助于其應(yīng)用和普及的拓寬。

然而這些還不夠。在完成國家基礎(chǔ)設(shè)施評(píng)估后，國家協(xié)調(diào)員以及國家領(lǐng)導(dǎo)機(jī)構(gòu)將為總統(tǒng)和國會(huì)制定必要的建議，通過使用各種激勵(lì)政策，如稅收、直接津貼和保險(xiǎn)業(yè)要求等來推動(dòng)私營部門在研發(fā)領(lǐng)域的投入。

（4）加強(qiáng)推廣，使美國人意識(shí)到加強(qiáng)計(jì)算機(jī)安全的必要（內(nèi)容8）

關(guān)鍵基礎(chǔ)設(shè)施安全合作組織項(xiàng)目將集中關(guān)注國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的強(qiáng)烈交流需求，強(qiáng)調(diào)了工業(yè)界和政府應(yīng)如何合作來共同確保這些基礎(chǔ)設(shè)施的安全。

合作組織將探究各種途徑，使工業(yè)界和政府能夠?qū)崿F(xiàn)密切合作，從而減弱國家關(guān)鍵基礎(chǔ)設(shè)施面臨的威脅。為此，該項(xiàng)目將發(fā)起一系列有工業(yè)界和政府的首腦參加的研討、會(huì)議以及工作組，以實(shí)現(xiàn)下列目的：

促進(jìn)基礎(chǔ)設(shè)施的所有者和操作者、風(fēng)險(xiǎn)管理集團(tuán)、一般商業(yè)集團(tuán)、州及地方政府乃至美國民眾對(duì)信息安全的意識(shí)和理解。

使工業(yè)界能夠在未來為國家計(jì)劃貢獻(xiàn)其力量。

確定并解決雙方共同關(guān)心的問題，包括但不限于信息共享處理、法律和法規(guī)改革、標(biāo)準(zhǔn)和最佳實(shí)踐措施的制定、教育和培訓(xùn)、研發(fā)活動(dòng)等。

合作組織的開展將基于：開放和自愿的成員資格；共同的信任；經(jīng)常性的交流；對(duì)彼此價(jià)值、期望、要求、關(guān)注事項(xiàng)和各自目的的充分理解以及清晰而集中的最終目標(biāo)。

關(guān)鍵基礎(chǔ)設(shè)施部門的集中推廣和意識(shí)培養(yǎng)項(xiàng)目：通過各指定領(lǐng)導(dǎo)機(jī)構(gòu)，聯(lián)邦政府正開展一系列會(huì)議以及簡(jiǎn)報(bào)通告等活動(dòng)，使關(guān)鍵基礎(chǔ)設(shè)施部門的各個(gè)成員知曉信息安全的重要性與緊迫性。要使大家積極參與關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃的制定并投入到保護(hù)工作之中，前提就是提高大家對(duì)信息安全的意識(shí)與理解。領(lǐng)導(dǎo)機(jī)構(gòu)的部門聯(lián)絡(luò)官將幫助確定私營部門的協(xié)調(diào)員并與之展開密切合作，聯(lián)合發(fā)起一系列白宮會(huì)議以及其他的各類工作組。

NIAC：通過與相應(yīng)政府實(shí)體的協(xié)商，國家協(xié)調(diào)員將建立起國家基礎(chǔ)設(shè)施保障委員會(huì)（NIAC）。它是總統(tǒng)的一個(gè)咨詢委員會(huì)，展現(xiàn)了政府同工業(yè)界合作的決心。該委員會(huì)由多達(dá)30個(gè)工業(yè)界和州及地方政府的官員組成，這些人均由聯(lián)邦領(lǐng)導(dǎo)機(jī)構(gòu)或部門協(xié)調(diào)中心任命。NIAC的成立使那些股東得以有機(jī)會(huì)向總統(tǒng)直接提交基礎(chǔ)設(shè)施保障政策建議。

（5）為聯(lián)合行動(dòng)確保穩(wěn)固的法律基礎(chǔ)（內(nèi)容9）

為了支持公共-私營合作關(guān)系，當(dāng)局正同商業(yè)界、州及地方政府以及所有的美國人密切合作，以評(píng)審現(xiàn)有的法律和法規(guī)并提出立法議程。迄今為止，在同私營工業(yè)和州及地方政府討論的基礎(chǔ)上，立法議程包括了如下要素：

減少法律障礙，促進(jìn)信息的有效共享：使有關(guān)在各企業(yè)之間以及企業(yè)和政府之間實(shí)現(xiàn)信息共享的法律事務(wù)變得明朗。在立法議程中，政府將解決保密性、反托拉斯以及責(zé)任等問題，從而在公共和私營部門間建立起信任關(guān)系。

司法部將為之定義各種必要的環(huán)境，使工業(yè)界可以發(fā)展兩種機(jī)制來共享信息：業(yè)務(wù)評(píng)審函和司法部指南。兩種機(jī)制均概述了共享的方式、內(nèi)容以及其他專門事項(xiàng)。

在同各州政府的合作下，聯(lián)邦政府將確定那些不利于國家計(jì)劃中的任務(wù)執(zhí)行的州法律。通過與很多關(guān)鍵代表，如全美檢查長(zhǎng)協(xié)會(huì)的討論，將制定出覆蓋信息共享責(zé)任諸問題的榜樣（model）規(guī)則并提交給各州進(jìn)行研究。要想?yún)f(xié)調(diào)各種責(zé)任解決方案，離不開關(guān)鍵基礎(chǔ)設(shè)施合作關(guān)系中各方成員的參與。每個(gè)州都有其自己的法律管理責(zé)任，而對(duì)這些法律進(jìn)行解釋和使用的法庭決策則又在新的層面上增加了法律的復(fù)雜度。因此，法律改革措施必須要融入私營部門和各州以及聯(lián)邦政府的多方關(guān)心和考慮。

通過司法系統(tǒng)有效地懲辦基礎(chǔ)設(shè)施案件中的罪犯：提供威懾基礎(chǔ)設(shè)施犯罪的法律力量，更加合理地對(duì)基礎(chǔ)設(shè)施攻擊后果進(jìn)行法律量刑。

政府正同美國判決委員會(huì)合作，確保《美國判決委員會(huì)指導(dǎo)方針》能夠適用于基礎(chǔ)設(shè)施攻擊帶來的破壞性后果。例如，將考慮一些攻擊后果的嚴(yán)重性，如拒絕服務(wù)攻擊的“下游”效果所導(dǎo)致的損失。政府還將鼓勵(lì)判決委員會(huì)就關(guān)鍵基礎(chǔ)設(shè)施保障諸問題同各州進(jìn)行交流，通過州判決委員會(huì)或直接將其作為聯(lián)邦司法培訓(xùn)聯(lián)系的一部分。

計(jì)算機(jī)犯罪事件的國際民事賠償：計(jì)算機(jī)攻擊是沒有國界的。當(dāng)局認(rèn)識(shí)到，現(xiàn)有的關(guān)于基礎(chǔ)設(shè)施攻擊的國際賠償機(jī)制是不完善的，很多國家還沒有對(duì)計(jì)算機(jī)入侵進(jìn)行定罪和量刑。通過多邊和雙邊協(xié)定以及其他機(jī)制，我們將努力實(shí)現(xiàn)計(jì)算機(jī)犯罪的國際民事賠償。

法律改革將吸取已有研究的成果，如聯(lián)邦貿(mào)易委員會(huì)對(duì)電子商務(wù)中類似問題的探索。另外，還將以很多現(xiàn)有機(jī)構(gòu)，如世界貿(mào)易組織（WTO）為可能的參照模型。

雇主-雇員關(guān)系：要定義更加明晰的框架，使工業(yè)界能夠防備內(nèi)部人員的攻擊。

國家關(guān)鍵基礎(chǔ)設(shè)施更多的則是受到了來自內(nèi)部人員攻擊的威脅。關(guān)鍵基礎(chǔ)設(shè)施保護(hù)總統(tǒng)委員會(huì)（PCCIP）的推廣項(xiàng)目中就這一問題同私營部門的關(guān)鍵基礎(chǔ)設(shè)施所有者和操作者、州及地方政府、聯(lián)邦法律決策機(jī)關(guān)、隱私權(quán)保護(hù)提倡者展開了廣泛的討論。為了解決這一復(fù)雜問題，尤其是在雇員的工作崗位具有高度敏感性時(shí)，下一步的法律改革必須納入各方面的意見以及調(diào)查和研究中的發(fā)現(xiàn)。我們必須意識(shí)到，一個(gè)內(nèi)部人員其實(shí)也完全可以站在外部人員的立場(chǎng)上。我們的政府將號(hào)召專家們對(duì)涵蓋雇主-雇員關(guān)系的州和聯(lián)邦法律以及其他隱私法展開評(píng)審，研究怎樣使法律能夠最大程度地實(shí)現(xiàn)隱私保護(hù)，同時(shí)又不會(huì)過度損害某些雇主的安全要求。

對(duì)應(yīng)急響應(yīng)中各種要求和政府提議進(jìn)行分類：我們應(yīng)該減少法律管轄權(quán)中出現(xiàn)的混亂。內(nèi)閣將評(píng)審聯(lián)邦政府提出的各種要求給私營部門帶來的混亂，它將把各種機(jī)構(gòu)對(duì)工業(yè)的管轄權(quán)進(jìn)行分類，尤其是在應(yīng)急響應(yīng)和出現(xiàn)危機(jī)時(shí)。內(nèi)閣將努力確保在提交的任何新要求中不會(huì)出現(xiàn)重復(fù)現(xiàn)象。

前瞻：私營部門、州及地方政府同以后的國家計(jì)劃的關(guān)系

基于這一框架，聯(lián)邦政府官員以及私營部門、州及地方政府代表能夠制定出國家計(jì)劃的下一版本。目前這篇國家計(jì)劃已經(jīng)為政府的行動(dòng)指示了明確方向，我們希望以后版本中能包括供私營工業(yè)選擇和執(zhí)行的明確行動(dòng)的列表。該列表將是在真正的公共-私營合作聯(lián)盟的基礎(chǔ)上進(jìn)行協(xié)作式、自愿式的深思熟慮后的結(jié)果。