3．國家政策與指導原則

《保護網絡空間的國家戰略》是對美國的《國土安全國家戰略》和《美國國家安全戰略》的補充。本節內容和布什總統發布的第13231號行政令一起提供了政府對網絡空間安全的政策指南。本節所闡述的政策說明和建議均遵從第13231號行政令和其他相關的行政令，而沒有改變依據國家安全法案或其他相關法律條文所設立的政府機構的職權、分工和責任。

本文是美國歷史上第一部《保護網絡空間的國家戰略》。其目的在于部署網絡空間保護工作，賦予該工作的權限。使美國投入到這個領域中來是一項極為復雜和艱巨的使命，要求包括聯邦政府、州和地方政府、私營部門和美國公眾在內的社會各界的廣泛參與和大力合作。本戰略將用于實施針對網絡空間保護的總統國家政策目標與原則。

國家政策說明

信息技術的突飛猛進已經改變了商業運行方式、政府職能運行和國防實施方式。這三項功能如今密切依賴于彼此相互依存的關鍵信息基礎設施網絡，即“網絡空間”。

對關鍵基礎設施中的信息系統（包括應急通信、支持這些系統運行的物理資產）進行保護并將其受損害程度減至最低、最大程度地提高系統可靠性仍需進一步的努力。

美國將努力獲得并保持對國家基礎設施進行保護的能力，以使這些設施免受自然事件和具有如下目的的人為事件的破壞：

危害由聯邦政府執行關鍵的國土安全和國家安全保護使命，危害聯邦政府保護公眾健康與安全的能力。

危害州和地方政府維持本地秩序并提供必要的公眾服務的能力。

危害私營團體確保經濟有序運行并提供必要的基礎設施服務的能力。

需要強調的是，不存在完全可靠的安全措施。但是，必須確保針對這些基礎設施的危害具有歷時短、頻率低、可控、地域上可隔離的特點，并且確保這些危害對美國利益的損害程度最低。

美國的很多關鍵基礎設施是物理上和邏輯上彼此獨立的系統。但是信息技術的發展和效率提高的必要性已經加速實現了這些系統穩定并且快速增長的自動化性能和彼此間的互聯。

美國的PATRIOT法對關鍵基礎設施的定義如下：“一旦缺少或遭受破壞便可能對國家安全、國家經濟安全、美國公眾健康與安全或這些情況的組合情況造成影響的物理形式或虛擬形式的系統或資產”。美國的關鍵基礎設施包括能源（電力、石油和天然氣）、運輸（火車運輸、航空運輸和海洋運輸）、金融和銀行、信息與通信、公眾健康、應急服務、供水、化學、政府服務、國防工業基地、食品、農業、郵政和船運。

本戰略認為，要在長時期內維持國家經濟和社會的完整性，不僅必須關注信息系統的安全性，而且要關注這些系統所依賴的相關社會結構。因此，本戰略綜合考慮了增強和討論這些支持性結構的可行措施。

雖然美國是具備最強大的軍事實力和經濟實力的國家，這二者卻日益依賴于包括基于網絡空間的信息系統的關鍵基礎設施。“9·11”事件表明，美國的敵人（無論是國家、組織或個人）將可能采用某種并不便捷的方式對美國實施打擊。這些敵手已經明確表明了他們的意圖：不僅要打擊美國民眾，而且要摧毀美國經濟的支柱——基礎設施和網絡空間。

政策原則指南

2001年1月，聯邦政府著手調查了信息系統和網絡空間在美國社會中的地位。2001年10月，布什總統簽發了由一系列持續性舉措為內容所構成的13231號行政令，用以實施一項改進關鍵基礎設施信息系統安全狀況的保護計劃，包括應急通信和支持這些系統的物理資產。對于網絡空間的保護與各經濟部門密切相關。該計劃的實施得到了如下部門原則性的指導。

（1）加強私營-公共部門間的合作

由于美國約有85%的關鍵基礎設施由私營經濟部門擁有并負責運行，而關鍵性的政府運行又依賴于這些私營團體，關鍵基礎設施保護必須由多方合作才能進行。

由于針對國家關鍵基礎設施的攻擊行為的目標可能同時涉及經濟部門和政府機構，所以對于系統潛在脆弱性的討論，必須采用可同時適用于公共和私營團體、保護本國和國際安全利益的靈活、易更新的途徑。私營經濟部門已經積極參與了與政府機構的密切合作。在此過程中，信息共享和分析中心（ISAC）的建立是一個重要途徑。這些中心簡化了私營經濟部門共享和發布安全相關信息的方式。此外，各經濟部門已經制定了保護各自網絡空間的計劃，這些計劃均是對本戰略的補充。政府希望并且鼓勵此類有效的合作方式。

美國必須集中精力致力于防范機制與危機管理，具體包括：確定并修補網絡系統的脆弱性、教育培訓、研究與發展、預警方法以及發展相關的支持措施。在此意義上，私營機構必須確保所控制的基礎設施具有最大可能的安全性，并向政府提供有關的必要幫助信息。聯邦政府在保護己方信息系統安全的同時，必須努力成為各私營部門模仿的典范，向其示范獲得基礎設施保障的最有效同時也是最可取的途徑，并發布互惠互利的實踐經驗。

（2）避免（過于依賴）法規

為了鼓勵私營企業，聯邦機構指出，私營-公共合作團體中的所有者和運營者必須多樣化。為了鼓勵私營企業最大程度地參與合作，美國政府盡己所能地避免可能形成政府法規或增加政府對于私營企業約束力的政府行為。因此，政府在關鍵基礎設施保護過程中將主要依賴市場調節與激勵作用，僅在這種途徑對于美國民眾的健康、安全和福利的保護無效的情況下，才借助于行政權。

（3）保護公眾自由與隱私

安全的利益和個人隱私不應彼此沖突。事實上，通過保護Internet上通信的整體安全性，本戰略所倡導的各項措施均以保護個人隱私并進而保護個人安全利益為目的。然而，在采取措施來增進國家安全的同時，必須避免對國家盡力維護的這些自由社會中的基本價值觀和特征造成破壞。因此，必須保護隱私和公民的其他自由。消費者和實施者必須確信信息處理的方式是正確、保密和可靠的。

（4）與國會保持協調一致

為了確保以實現美國的網絡空間系統安全性為目的而采取的行動得到廣泛的支持，行政機構將與國會在具體措施和流程上進行合作，以便使其行動與國家政策的目標保持一致。在適當的情況下，行政機構可以請求國會通過立法促進本戰略的實施。

（5）與州和地方政府進行合作

美國式的民主來源于聯邦制——一種由州政府與聯邦機構分享治理權的政府組織結構。聯邦政府、州政府和地方政府共存的形式導致出現了87000個不同的司法機構，從而為網絡空間安全工作提出了獨一無二的機會和挑戰。與聯邦政府一樣，州政府和地方政府也擁有并運行著規模龐大并且彼此相聯的網絡系統，關鍵性的政府服務也依賴于此。這些網絡系統的安全性由本地專家和地方性機構與組織中與網絡安全相關部門來負責維護。他們必須對該網絡系統進行互聯和擴充，以便它們得以鞏固而非復雜化，并且滿足必要的應用要求。因此，所有的關鍵基礎設施和網絡空間保護計劃與實踐都必須考慮需求、實踐性和州政府、地方政府以及第一響應員各自所應承擔的責任。

合作機構

為簡化并增強聯邦機構與有效合作所依賴的私營部門的合作與交流，政府為容易因基礎設施遭受攻擊而受影響的各主要經濟部門指定了“領導機構”。這些機構及其相關機構見下表：

此外，科學技術政策辦公室（OSTP）為支持基礎設施保護而負責對研究與開發活動進行組織協調。管理和預算辦公室（OMB）負責為聯邦政府的計算機安全項目制定政府性政策、原則、標準和指南，并預見其可能的實施后果。國務院負責協調國際性的網絡安全事項。中央情報局局長負責評估其他國家針對美國的網絡與信息系統的威脅。司法部和聯邦調查局負責調查和懲治網絡犯罪。

各基礎設施部門的代表和聯邦領導機構在通力合作的基礎上將評估這些部門的脆弱性對于網絡空間安全或物理安全的危害，并提出消除嚴重的脆弱性的計劃和措施。由于針對國家關鍵基礎設施的技術和威脅仍將繼續迅速變化，基礎設施部門和領導機構必須經常性地對關鍵基礎設施的可靠性、脆弱性和所處的威脅環境進行評估，并且采取具備足夠靈活性的保護和響應措施。最后，為了維持合作關系，包括執法、行政規則、外國情報、國防力量在內的全部政府法令、職能和可供利用的資源必須全部就緒并且可用，以便盡可能地確保并維持對于關鍵基礎設施的保護。

指導性的戰略原則

網絡空間安全國家戰略是遍布美國境內的很多個人、團體和研究機構共同努力的成果。這些努力的最終目標是建立一個在未來可預見的時期內能夠支持美國的經濟、國家安全和關鍵性服務的安全、可信、強健、可靠并且可用的基礎設施。

網絡空間是一個連接了各種基礎設施、企業和國家的復雜網絡。其中的網絡連接涉及由很多不同運營者所擁有的眾多網絡。實現該網絡的安全性不同于確定其某個組成元素或連接路徑的是否正常可用，而是必須確定網絡整體是否具有對于破壞行為或信息丟失的抵御能力，確定某個網絡路徑是否可由其他路徑替代，確定網絡的組成元素是否具有冗余并且永久失效的可能性很小。網絡空間中的單個元素的安全性及其在頗具變化性的環境中的不斷更新是其具備上述抵御能力的基礎。

因此，為建立一個安全并且韌性良好的網絡空間，美國必須遵循以下兩個戰略性的安全原則：①整體基礎設施的安全性依賴于其各個組件的安全性；②威脅和脆弱性將不斷更新，因此安全性必須具有與之相等或更高的更新速度。

（1）分部分保護，最終實現整體安全

網絡空間的安全性依賴于其中各個組件的安全性。在網絡空間中，發生在某處的攻擊行為可能以光速傳播至其他各處。地理安全的概念將不復存在。網絡不僅對于外部攻擊而且對于內部攻擊都具有脆弱性。一個安全網絡的組件安全性可能由于內部人員、下載的軟件或遭受攻擊的鄰近組件而受到破壞。只在網絡的外圍設置一堵安全墻是不足以確保網絡的安全性的。

一旦網絡中的某臺計算機或某個組件被破壞，它便能夠被用于進一步破壞網絡中的其他計算機或組件。與之類似，經濟或政府中的非安全部門也能夠被用作對其他部門實施攻擊的平臺（而且這些事件已經發生了）。某個部門遭受破壞也具有擴散效應，從而影響和破壞基礎設施中的很多其他組成部分。為了應對這些脆弱性，基礎設施的安全絕不應該僅依賴于某個單層、一組節點或主要節點，而是必須體現在多個層次上的分布式防御中，以及體現在遭受任何攻擊后均能夠迅速恢復的能力中。

為了提高網絡空間的安全性，美國必須在行動的各個層次上實現網絡空間的安全。個人和單個的部門必須意識到自己在此意義上的角色和應承擔的責任。各部門和個人實現網絡空間安全的努力彼此相關。因此，美國必須通過以下途徑實現網絡空間的安全：意識培養與信息傳播；各層次上明確的角色和合作關系；聯邦網絡系統安全化中的聯邦領導能力。這里，聯邦領導能力也包括防止和阻止網絡犯罪、電子欺詐和信息戰。

（2）為獲得技術優勢并提前預防系統脆弱性，迅速革新安全措施

系統脆弱性的增加速度非常驚人。新軟件的開發和新技術的出現均會帶來新的脆弱性。隨著時間的推移和這些軟件與技術在應用上的推廣，這些脆弱性將逐漸被發現。與此同時，用于發現這些脆弱性的新工具或由原有工具演變而來的高級工具也會隨之出現。安全政策、實施和技術必須相互適應。美國必須開發一種能夠優于攻擊者能力發展的安全基礎設施。

有關專家目前已開始考慮納米技術和量子計算對當前的網絡空間可能造成的影響。這些（以及其他）新事物將使網絡的運行方式和網絡安全的實現方式產生無法預知的變化。為了理解這些變化并保持美國在網絡空間安全新技術的開發與應用中的世界領先地位，美國必須在教育與培訓、技術以及協調活動中進行投資。