附錄 行動與建議（A/R）概要

優先事務Ⅰ：國家網絡空間安全響應系統

A/R 1-1：國土安全部將針對聯邦政府與工業界及其他合作伙伴的合作而建設一個集中化的全天候聯絡點，這些合作包括網絡空間分析、預警、信息共享、應急響應和國家級的恢復工作。私營部門對這些工作將起到主要作用，政府鼓勵它們在法律允許的范圍內加強合作，以便全天候地從宏觀上掌握網絡空間的安全程度。

A/R 1-2：根據2003年的預算，聯邦政府將在政府內與網絡安全相關的運行中心中安裝CWIN，以發布分析結論和預警信息，并實施危機管理的協調。聯邦政府將考慮將ISAC連接到CWIN上。

A/R 1-3：為檢查民事機構對網絡安全的準備情況和連續性計劃，國土安全部將通過演練來檢查網絡攻擊可能會造成的影響。發現的弱點將被添加到矯正行動計劃中，并提交給管理和預算辦公室。國土安全部還將通過這種演練測試公共和私營機構在事故管理中的協調、響應和恢復能力。

A/R 1-4：政府鼓勵公司定期檢查并演習信息技術連續性計劃，把信息技術服務提供商的多樣化（分散服務）作為一種降低風險的方法。

A/R 1-5：鼓勵基礎設施部門為網絡安全緊急事件建設互助項目。司法部和聯邦商業委員會必須和這些部門一起消除這種合作中的障礙。另外，國土安全部的信息分析和基礎設施保護署將協調制定并不斷更新政府和工業界的自愿性網絡安全連續性計劃，包括恢復Internet功能的計劃。

A/R 1-6：公私機構之間對網絡安全和基礎設施脆弱性信息的共享存在著一些障礙，國土安全部將增強消除這些障礙的意識。國土安全部還將建設一個基礎設施保護項目辦公室，這個辦公室將負責處理信息，還負責制定如何保管“企業自愿提交的關鍵基礎設施信息”的協議。

A/R 1-7：鼓勵公司積極參與在業界共享IT安全信息的項目，包括參加適宜的ISAC。建議學院和大學：（1）建設一個或多個ISAC以處理網絡攻擊和脆弱性；（2）為Internet服務提供商（ISP）和司法部門提供一個隨時待命的聯絡點，在發現學校的IT系統即將實施網絡攻擊時通過該聯絡點與學校聯絡。

優先事務Ⅱ：國家網絡空間安全威脅和脆弱性消減計劃

A/R 2-1：司法部和其他相關機構將通過以下方法來減少網絡攻擊和網絡威脅：（1）設法改善從事關鍵基礎設施和網絡安全工作的聯邦政府、州政府、地方政府的有關部門與私營企業之間在信息共享和調查協調方面的工作；（2）設法為調查和取證提供足夠的資源和培訓，以便快速調查并快速解決關鍵基礎設施事故；（3）充分研究網絡犯罪和入侵的對象，以掌握安全問題涉及的范圍并及時跟蹤情況的變化。

A/R 2-2：國土安全部將協調適當的聯邦機構和私營部門，對國家的網絡威脅實施評估，確定各類目標可能造成的攻擊影響。

A/R 2-3：商務部將組織一個特別工作組研究與IPv6相關的工作，研究內容包括政府在這項工作中的職能、國際合作、IPv4到IPv6的安全轉換、成本和利益。特別工作組將征求那些可能受影響的企業的意見。

A/R 2-4：國土安全部將和商務部及其他機構一起，協調公共機構和私營部門之間的合作，以促進相關機構：（1）采用更為安全的協議；（2）開發更為安全的路由技術；（3）采納“行為規范”，包括網絡安全管理和相關的合作方面的規范。國土安全部將支持這些工作，在必要的情況下提交相關的預算計劃。

A/R 2-5：國土安全部將協調能源部和相關機構，與各個行業合作，制定最佳實踐措施，研究新的技術，以增強DCS/SCADA的安全性，判斷最關鍵的DCS/SCADA站點并制定改善這些站點安全性的優先計劃。

A/R 2-6：國土安全部將和國家基礎設施咨詢委員會及私營部門一起制定發現脆弱性的計劃和機制。

A/R 2-7：總務管理局（GSA）將和國土安全部一起為聯邦政府建設一個軟件補丁信息交換站。國土安全部將和私營部門共享其經驗，推動各個行業自愿參與為包括大企業在內的其他部門建設一個類似的信息交換站的工作。

A/R 2-8：政府鼓勵軟件行業在其產品開發過程和默認安裝時考慮更多的安全特性，包括：（1）在產品中加入提高用戶安全意識的功能和特性；（2）易用的安全功能；（3）盡可能為安全相關的工作提供指南和最佳實踐措施。

A/R 2-9：國土安全部將建設并領導公私合作聯盟以發現不同部門之間的互依賴性，包括網絡和物理上的互依賴性。這些合作聯盟將制定脆弱性的消減計劃，并與《國土安全國家戰略》中提出的計劃聯合發揮作用。國土安全部的國家基礎設施仿真和分析中心（NISAC）將支持這一工作，該中心將開發一套模型來描述網絡和物理上的互依賴性所帶來的影響。

A/R 2-10：在接到請求或在必要時，國土安全部將支持信息系統網絡的所有者或運營者以及網絡數據中心制定系統矯正以及應急計劃，以減少大規模物理破壞可能對上述網絡的支撐設施造成的破壞，并制定限制訪問關鍵設施的操作流程。

A/R 2-11：為滿足這一要求，科技政策辦公室（OSTP）的主管將協調這一開發工作，每年更新研發日程。在聯邦政府的研發日程中，從2004財政年度及其后續幾年里安排了前期（1～3年）、中期（3～5年）和后期（5年或更長）IT安全研究計劃。在所有工作中，當前優先考慮入侵檢測、Internet基礎設施安全（包括BGP和DNS等協議）、應用安全、拒絕服務攻擊、通信安全（包括SCADA系統加密和鑒別）、高保障系統和安全系統集成。

A/R 2-12：為優化與私營部門相關的研究工作，國土安全部將提供足夠的機制來協調高校、業界和政府的研發工作，在必要情況下將建設新的機制。

A/R 2-13：政府鼓勵私營部門在近期的研發工作中，優先考慮開發高度安全可靠的操作系統。如果這種系統開發完成并通過評估，聯邦政府將考慮增加財政預算，增加對這類系統的定購量。

A/R 2-14：國土安全部將推動國家級的公共-私營合作項目，推廣用以提高軟件代碼開發的完整性、安全性和可靠性的經驗和方法，包括在開發過程中減少錯誤代碼、惡意代碼和后門的流程與步驟。

A/R 2-15：國土安全部將協調OSTP和其他相關的機構，促進公私研究機構以及安全界的交流，以確保新興技術能定期接受國家科技委員會內相關部門的檢查，查看其是否與國土安全和網絡空間安全的要求相符，以及是否與聯邦研究日程相符。

優先事務Ⅲ：國家網絡安全意識和培訓計劃

A/R 3-1：國土安全部將與相關的聯邦、州和地方實體以及私營部門相協調合作，推動全面的網絡安全意識培養行動，其內容包括針對特定對象制定相應的培訓教材，擴大“安全在線”（StaySafeOnLine）活動，面向工業界中為安全做出突出貢獻的人員制定獎勵項目。

A/R 3-2：國土安全部將和教育部一起，在合理的預算下，鼓勵并支持州、地方和私營組織制定針對中小學生網絡安全學習的項目和指南。

A/R 3-3：家庭用戶和小型商業機構可以通過保護自己的網絡連接的安全以幫助提高國家網絡空間的安全。個人或企業的計算機操作人員可以通過安裝并定期更新防火墻軟件、安裝最新的殺毒軟件、定期更新操作系統和應用程序以增強系統的安全性，這將有助于增強網絡空間的安全性。為促進用戶采取這些保護措施，國土安全部將組建一個由私營公司、組織和消費者群組成的工作組，通過該工作組，信息技術產品和服務的提供商或其他組織可以找到使家庭用戶和小型商業機構更易于保護其系統安全的方法。

A/R 3-4：鼓勵大型機構對影響國家關鍵基礎設施安全的內部網絡的安全性進行評估。評估內容包括：（1）審計最佳實踐措施的有效性及其應用；（2）制定連續性計劃，考慮配備冗余人員和設備；（3）參與工業界范疇內的信息共享及對最佳實踐措施的傳播。

A/R 3-5：鼓勵各個學院和高校采取以下全部或部分安全措施來加強其網絡系統的安全：（1）建設一個或多個ISAC，以處理網絡攻擊和網絡脆弱性問題；（2）制定相關政策，授權首席信息官處理網絡安全問題；（3）為IT安全制定最佳實踐措施；（3）制定模范的用戶安全意識項目和教材。

A/R 3-6：持續的公共-私營合作聯盟將有助于通過以下工作來保護國家網絡基礎設施的安全：在必要和可行時參與對技術和研發的缺陷分析，從而能夠對聯邦的網絡安全研究日程提供輸入，對相關的研究進行協調，并制定和傳播網絡安全的最佳實踐措施。

A/R 3-7：國土安全部將實施并鼓勵在美國國內制定用以推動網絡安全專業培訓的項目，包括與國家科學基金會（NSF）、人事管理辦公室（OPM）和國家安全局（NSA）相協調，一起探尋如何利用現有的“網絡警察服務獎學金”項目以及由《網絡安全研究和開發法》創建的為各類研究生、博士后、高級研究人員和教員提供的獎學金和受訓項目。

A/R 3-8：國土安全部將與具有網絡安全培訓知識的其他機構相協調，一起制定一種協調機制，將聯邦政府的網絡安全培訓與計算機司法取證培訓項目聯系起來。

A/R 3-9：國土安全部將鼓勵為建設一個公私部門廣泛認可的安全認證項目而開展必需的基礎工作。國土安全部和其他聯邦機構將有效而清晰地描述聯邦IT安全界的需求，以協助這些工作的開展。

優先事務Ⅳ：保護政府部門的網絡安全

A/R 4-1：聯邦機構將繼續擴大對自動化的安全評估和安全策略實施工具的使用，并積極部署威脅管理工具，從而能夠檢測到攻擊。聯邦政府將判斷是否必須采取特定的措施（通過政策或財政預算流程）來促使各個機構更多地使用這些工具。

A/R 4-2：通過現在正在實施的電子鑒別活動，聯邦政府將審查對強訪問控制和身份鑒別的需求，研究聯邦各部使用相同的物理和邏輯訪問控制工具及鑒別機制的范圍，最終進一步推動一致性和互操作性。

A/R 4-3：聯邦機構應當考慮安裝能持續檢測非授權網絡連接的系統，各個機構的政策和流程應當反映出對風險消減措施的考慮，包括使用強加密技術、雙向鑒別、防輻射標準及技術、配置管理、入侵檢測、事件處理、計算機安全意識與培訓項目。

A/R 4-4：聯邦政府將對國家信息保障聯盟（NIAP）重新進行全面的考查，以判斷其對商用軟件產品不斷出現的安全缺陷這一問題的解決程度。這一考查過程將吸取在實施國防部2002年7月發布的政策時得到的教訓。該政策要求產品在采購時應經過NIAP或類似評估流程的審查。

A/R 4-5：聯邦政府將考慮是否有必要對聯邦政府的安全服務提供商進行認證，以考查其是否具有最小的能力，包括考查其是否具有足夠的獨立性。

A/R 4-6：鼓勵州和地方政府為其各個部門和機構制定IT安全項目，包括意識培養、審計及標準；鼓勵各州與其他情況類似的州一起參加已經建立的ISAC。

優先事務Ⅴ：國家安全和國際網絡安全合作

A/R 5-1：聯邦調查局和中央情報局應當確保以更強有力的反情報姿態來打擊針對美國政府、商業和教育機構的以網絡空間為基礎的情報收集行為。這項工作必須包括要更加深入地了解我們的對手利用網絡空間進行間諜活動的能力和意圖。

A/R 5-2：情報部門、國防部和執法機構必須增強迅速調查攻擊源的能力，以便于及時有效地做出響應。與國家安全戰略一致，這些工作同樣將努力發展相關能力來抵抗對關鍵系統和基礎設施的攻擊。

A/R 5-3：美國必須增強與網絡攻擊和間諜活動有關的執法部門、國家安全部門和國防部門之間的協調能力，確保各個部門之間在適當情況下能夠互相交換與犯罪事件相關的信息。國家安全委員會和國土安全辦公室將對此進行研究，以確保相應的協調機制到位。

A/R 5-4：當某個國家、恐怖主義集團或者其他敵人通過網絡空間攻擊美國時，美國政府的回應不需要局限于對犯罪活動進行起訴。美國保留以適當的方式進行回應的權力，美國將為這類意外事件做好準備。

A/R 5-5：美國政府將通過適當的國際組織加強合作，與企業建立合作聯盟，以推動國外公共-私營部門間就信息基礎設施保護展開對話，并推動全球“安全文化”的形成。

A/R 5-6：美國將與加拿大和墨西哥合作，將北美打造成“安全的網絡空間地帶”。我們將會把該項目擴展到標識和保護那些用來支撐電信、能源、運輸、銀行與金融系統、應急服務、食品、公眾健康和供水系統的關鍵公共網絡。

A/R 5-7：美國將督促每個國家在處理千年蟲問題的經驗基礎上為國內和國際之間的網絡安全工作指定集中化的聯系地址。這些聯系地址的建立能夠極大地增強國際協作能力以及對問題的解決。我們還將督促每個國家都建立自己的觀察和預警網絡，用于向政府部門、公眾和其他國家對可能發生的攻擊或病毒發出通知。

A/R 5-8：為了促進在出現網絡威脅時的實時信息共享，美國將支持建立能夠接收、評估和發布此類信息的全球網絡。該網絡可由FIRST之類的非政府機構負責建設。

A/R 5-9：美國政府鼓勵區域性組織，如APEC、EU和OAS等，分別建立或指派負責網絡安全事務的委員會。這類委員會也可以通過與來自私營部門的代表共同建立聯合工作組受益。美國政府還鼓勵區域性組織，如APEC、EU和OAS等，與來自政府和私營部門的代表建立網絡安全事務聯合委員會。

A/R 5-10：美國將鼓勵其他國家接受《歐洲委員會網絡犯罪約定》，或確保其法律和流程至少包含了相關內容。