第一篇：美國國土安全部2011年網(wǎng)絡(luò)安全戰(zhàn)略報告全文

報告在《四年國土安全評估報告》的基礎(chǔ)上撰寫，列出了兩大行動領(lǐng)域：保護當前的關(guān)鍵信息基礎(chǔ)設(shè)施，建設(shè)未來的網(wǎng)絡(luò)生態(tài)系統(tǒng)。指出保護關(guān)鍵信息基礎(chǔ)設(shè)施的四項目標是：減少網(wǎng)絡(luò)安全風險；快速應(yīng)對網(wǎng)絡(luò)安全事件、提高網(wǎng)絡(luò)恢復能力；共享網(wǎng)絡(luò)安全信息；增強網(wǎng)絡(luò)抗壓能力。此外，報告提出加強網(wǎng)絡(luò)生態(tài)系統(tǒng)建設(shè)的四項目標：提高個人和組織安全使用網(wǎng)絡(luò)的能力；研發(fā)和應(yīng)用更可信的網(wǎng)絡(luò)協(xié)議、產(chǎn)品、服務(wù)、配置和架構(gòu)；構(gòu)建合作型網(wǎng)絡(luò)社區(qū)；建立透明的安全流程。該報告的撰寫意圖是呼吁保護對美至關(guān)重要的關(guān)鍵基礎(chǔ)設(shè)施，并在一段時間后開發(fā)出更強大的信息和通信技術(shù)，使政府、企業(yè)和個人更安全地使用互聯(lián)網(wǎng)。

【本刊訊】美國國土安全部網(wǎng)站12月12日發(fā)表2011年網(wǎng)絡(luò)安全戰(zhàn)略報告，題為《確保未來網(wǎng)絡(luò)安全的藍圖》，副題為《美國土安全相關(guān)實體網(wǎng)絡(luò)安全戰(zhàn)略報告》，全文如下：

部長致辭（美國國土安全部部長珍妮特納波利塔諾）我很高興公布《確保未來網(wǎng)絡(luò)安全的藍圖———美國土安全相關(guān)實體網(wǎng)絡(luò)安全戰(zhàn)略報告》（以下簡稱報告）。報告是根據(jù)《四年國土安全評估報告》要求公布的，反映了網(wǎng)絡(luò)空間對我們經(jīng)濟、安全以及生活方式的重要性。

我們致力于建設(shè)的網(wǎng)絡(luò)具有以下作用：推動創(chuàng)新和繁榮，推進經(jīng)濟利益和國家安全，并將保護個人公民自由、隱私權(quán)納入美國土安全部的網(wǎng)絡(luò)活動當中。報告為打造這樣的網(wǎng)絡(luò)提供了藍圖。報告旨在保護對美國至關(guān)重要的關(guān)鍵基礎(chǔ)設(shè)施，并在一段時間后開發(fā)出更強大的信息和通信技術(shù)，使政府、企業(yè)和個人更安全地使用互聯(lián)網(wǎng)。

維護網(wǎng)絡(luò)安全人人有責，我們每個人都需在這方面發(fā)揮作用。網(wǎng)絡(luò)安全威脅日益嚴峻，需要整個社會———包括政府執(zhí)法部門、私營企業(yè)乃至公眾參與維護網(wǎng)絡(luò)安全。當前，美面臨多層次的網(wǎng)絡(luò)安全威脅。構(gòu)成網(wǎng)絡(luò)安全威脅的主體既有黑客和有組織犯罪團體，也有擁有先進技術(shù)的國家。個人和組織嚴密的團體利用網(wǎng)絡(luò)薄弱環(huán)節(jié)盜取美國的知識產(chǎn)權(quán)、個人信息及金融數(shù)據(jù)。網(wǎng)絡(luò)竊密技術(shù)日益先進以及網(wǎng)絡(luò)安全事件不斷增多，對我們的經(jīng)濟競爭力構(gòu)成潛在威脅，并削弱了公眾獲得基本網(wǎng)絡(luò)服務(wù)的能力。政府、非政府組織、私營部門乃至個人、家庭以及社區(qū)必須同心協(xié)力，有效減少網(wǎng)絡(luò)安全風險。

州及地方政府、產(chǎn)業(yè)界、學術(shù)界、非政府組織及許多具有奉獻精神的個人都為報告的撰寫做出了貢獻。他們的參與使國土安全部獲益良多，在此謹致謝意。國土安全部還與聯(lián)邦政府各個部門密切協(xié)同，完善這一報告，并確保報告與《2010年國家安全戰(zhàn)略報告》、《網(wǎng)絡(luò)空間行動戰(zhàn)略報告》以及《網(wǎng)絡(luò)空間國際戰(zhàn)略報告》保持一致。

我還想感謝國土安全部各位同仁、成千上萬的網(wǎng)絡(luò)科學家、系統(tǒng)工程師、執(zhí)法人員以及為保護網(wǎng)絡(luò)安全忘我工作的其他專業(yè)人員。我很高興代表他們發(fā)布這份報告。

摘要

報告為建設(shè)可靠、安全及具有恢復能力的網(wǎng)絡(luò)提供了一個明確方案。報告是在《四年國土安全評估報告》基礎(chǔ)上撰寫的。在該報告的指導下，美各級政府、私營部門以及國際伙伴能夠密切合作，增強維護網(wǎng)絡(luò)安全的能力。這些能力對于我們的經(jīng)濟、國家安全以及公共衛(wèi)生和安全至關(guān)重要。報告列出了兩大行動領(lǐng)域：保護當前的關(guān)鍵信息基礎(chǔ)設(shè)施，建設(shè)未來的網(wǎng)絡(luò)生態(tài)系統(tǒng)。報告旨在保護最為關(guān)鍵的系統(tǒng)和資產(chǎn)，并推動人機協(xié)同方式的根本轉(zhuǎn)變，以確保網(wǎng)絡(luò)安全。在維護網(wǎng)絡(luò)安全活動過程中，保護公民自由及隱私權(quán)是國土安全部的一項基本要求。

報告列出了保護關(guān)鍵信息基礎(chǔ)設(shè)施的四項目標：

減少網(wǎng)絡(luò)安全風險

快速應(yīng)對網(wǎng)絡(luò)安全事件、提高網(wǎng)絡(luò)恢復能力

共享網(wǎng)絡(luò)安全信息

增強網(wǎng)絡(luò)抗壓能力報告將上述四項目標細化成九項具體目標。能否實現(xiàn)這九項目標取決于美國國土安全相關(guān)實體的能力建設(shè)情況，而這些能力在實際工作過程中將轉(zhuǎn)化成具體措施。美國國土安全相關(guān)實體需要綜合運用這些措施，以有效地預測和應(yīng)對各種網(wǎng)絡(luò)安全威脅。報告中介紹的一些措施在當前行之有效，而其他措施則需要進一步完善，還有一些措施需要進一步論證。為實現(xiàn)上述目標，有必要建立一個相互協(xié)作并能做出快速反應(yīng)的網(wǎng)絡(luò)安全社區(qū)。

報告還提出了加強網(wǎng)絡(luò)生態(tài)系統(tǒng)建設(shè)的四項目標：

提高個人和組織安全使用網(wǎng)絡(luò)的能力

研發(fā)和應(yīng)用更可信的網(wǎng)絡(luò)協(xié)議、產(chǎn)品、服務(wù)、配置和架構(gòu)

構(gòu)建合作型網(wǎng)絡(luò)社區(qū)

建立透明的安全流程報告將上述四項目標細化成十一項具體目標。這些具體目標能否實現(xiàn)取決于報告中提到的一系列能力建設(shè)情況。

構(gòu)建可靠、安全和具有恢復能力的網(wǎng)絡(luò)環(huán)境的工作包括：評估網(wǎng)絡(luò)安全能力建設(shè)的進展、確定這些能力能否有效應(yīng)對不斷演變的安全威脅。根據(jù)上述評估結(jié)果，我們將對每年工作表現(xiàn)進行對比。這種方法將指出我們在能力建設(shè)方面的成績和不足，明確下一步努力方向。

網(wǎng)絡(luò)空間支撐著美國生活的方方面面，并為美國經(jīng)濟、民用基礎(chǔ)設(shè)施、公共安全及國家安全提供了重要支持。保護網(wǎng)絡(luò)空間需要遠見、強有力的領(lǐng)導及國土安全相關(guān)實體所有成員的共同努力。美國土安全部撰寫這份報告的目的，就是為了探討美國家安全相關(guān)實體如何更好確保網(wǎng)絡(luò)安全。

引言根據(jù)2010年《四年國土安全評估報告》制定的戰(zhàn)略框架，國土安全相關(guān)實體實施行動的共同目標是：確保美國本土的安全，并有能力抵御恐怖主義及其他危險。為實現(xiàn)這一目標，《四年國土安全評估報告》明確提出了五項核心任務(wù)，其中重點強調(diào)了網(wǎng)絡(luò)安全對國家的重要性。

所有國土安全相關(guān)實體都有責任完成上述任務(wù)。來自各級政府、私營部門和非政府組織的個人都參與了上述任務(wù)。除國土安全部等正式肩負網(wǎng)絡(luò)安全責任的機構(gòu)外，每臺電腦的所有者和關(guān)鍵基礎(chǔ)設(shè)施的所有者及操作者都有責任維護網(wǎng)絡(luò)安全。國土安全相關(guān)實體在維護網(wǎng)絡(luò)安全過程中擔負的責任和發(fā)揮的作用，反映出其規(guī)模龐大、豐富多樣及相互依賴的特性。

《四年國土安全評估報告》將網(wǎng)絡(luò)空間安全確定為核心任務(wù)的依據(jù)是總統(tǒng)發(fā)布的《國家安全戰(zhàn)略報告》，該報告包括：

宣布數(shù)字基礎(chǔ)設(shè)施是國家的戰(zhàn)略資產(chǎn)；

將網(wǎng)絡(luò)威脅視為最嚴重的國家安全、公共安全及經(jīng)濟挑戰(zhàn)之一；

并將數(shù)字基礎(chǔ)設(shè)施的防護作為國家安全的重點。國土安全部發(fā)布《確保未來網(wǎng)絡(luò)安全的藍圖》的目的，是為國土安全相關(guān)實體落實《國家安全戰(zhàn)略報告》相關(guān)內(nèi)容和實現(xiàn)《四年國土安全評估報告》提出的目標提供一套明確的行動計劃：

建立安全和有抗壓能力的網(wǎng)絡(luò)環(huán)境

推廣網(wǎng)絡(luò)安全知識和推進網(wǎng)絡(luò)安全技術(shù)創(chuàng)新該報告的唯一指導原則是：在保護現(xiàn)有關(guān)鍵信息基礎(chǔ)設(shè)施的同時，建設(shè)未來更為強大的網(wǎng)絡(luò)生態(tài)系統(tǒng)。這一原則將指導資源的優(yōu)化組合，從而系統(tǒng)地發(fā)展維護網(wǎng)絡(luò)空間安全所需的多種能力。

范圍

2002年《國土安全法》、第7號國土安全總統(tǒng)行政令、第54號國家安全總統(tǒng)行政令及《2002年聯(lián)邦信息安全管理法》等文件指出，國土安全部在聯(lián)邦各部門中負責牽頭實施以下任務(wù)：保護聯(lián)邦政府文職部門的信息和通信系統(tǒng)，與相關(guān)部門和企業(yè)合作保護關(guān)鍵基礎(chǔ)設(shè)施，與各級政府合作保護其信息系統(tǒng)?！皣一A(chǔ)設(shè)施保護計劃”、“國家快速反應(yīng)框架”等文件描述了國土安全部及其他聯(lián)邦政府部門在確認和保護國家關(guān)鍵基礎(chǔ)設(shè)施中的作用。但聯(lián)邦政府僅僅是國土安全相關(guān)實體中的一部分，該戰(zhàn)略能否成功需要相關(guān)各方的共同努力。尤其要指出的是，網(wǎng)絡(luò)安全需要公共和私營部門在信息共享、創(chuàng)新、推廣經(jīng)驗等領(lǐng)域展開強有力的雙向合作。

從上述內(nèi)容看，本報告旨在向國土安全相關(guān)實體提供實際和有意義的指導，使其能夠確保網(wǎng)絡(luò)空間的安全，并使所有希望能安全使用信息及通信技術(shù)的人受益。

與其他重要政策和戰(zhàn)略的關(guān)系本報告支持以“政府一盤棋”的方式維護國家安全，并在制定過程中充分考慮了當前的國家網(wǎng)絡(luò)空間戰(zhàn)略和政策，其中包括：《白宮網(wǎng)絡(luò)空間政策評估報告》、《網(wǎng)絡(luò)空間國際戰(zhàn)略》、《打擊跨國有組織犯罪戰(zhàn)略》、《綜合國家網(wǎng)絡(luò)安全倡議》、第7號國土安全總統(tǒng)行政令、第54號國家安全總統(tǒng)行政令、《網(wǎng)絡(luò)空間可信任身份國家戰(zhàn)略》及《國防部網(wǎng)絡(luò)空間行動戰(zhàn)略》。

動機

美國高度依賴網(wǎng)絡(luò)空間。網(wǎng)絡(luò)空間是現(xiàn)代社會的支柱之一。但網(wǎng)絡(luò)技術(shù)在豐富我們的專業(yè)和個人生活的同時，也賦予一些人擾亂或破壞我們生活方式的能力。保衛(wèi)和控制網(wǎng)絡(luò)空間隸屬國土安全工作的范疇，是因為可能導致嚴重后果的大規(guī)模網(wǎng)絡(luò)事件將損害公共和私有部門的重要功能與服務(wù)，影響我們的國家安全、經(jīng)濟活力及公共健康和安全。

由于惡意使用網(wǎng)絡(luò)者正在使用越來越復雜的手段、技術(shù)及程序，網(wǎng)絡(luò)事件的數(shù)量和復雜程度不斷上升：

關(guān)鍵基礎(chǔ)設(shè)施必須能夠抵御復雜和持續(xù)的破壞行動，并做好應(yīng)對更多破壞性攻擊的準備。這種破壞行動可以削弱或擾亂我們所依賴的基本服務(wù)。

政府機構(gòu)必須防備可能移除或損毀敏感數(shù)據(jù)并干擾重要服務(wù)的非法行為。

大型企業(yè)、小企業(yè)和非營利組織面臨著技術(shù)日益復雜的入侵行為，其對象主要是上述機構(gòu)的消費者和客戶的知識產(chǎn)權(quán)及個人信息。

消費者面臨的風險通常是個人信息被盜，入侵者主要通過互聯(lián)網(wǎng)上無數(shù)的站點實施未經(jīng)授權(quán)的入侵行為。

戰(zhàn)略預想

盡管我們無法預測未來網(wǎng)絡(luò)空間的具體情形，但我們必須制定一套充分掌握正在塑造未來網(wǎng)絡(luò)空間的各種力量要素的相關(guān)戰(zhàn)略，以確保美國擁有在網(wǎng)絡(luò)空間中的領(lǐng)導、影響和應(yīng)變能力。鑒此，該戰(zhàn)略應(yīng)建立在以下預想之上：

惡意網(wǎng)絡(luò)行為的數(shù)量和復雜程度的不斷提升，要求我們共享網(wǎng)絡(luò)安全信息，快速應(yīng)對網(wǎng)絡(luò)安全事件，打造一支專業(yè)的網(wǎng)絡(luò)安全人才隊伍。

社會、經(jīng)濟和產(chǎn)業(yè)領(lǐng)域?qū)π畔⒑屯ㄐ偶夹g(shù)的依賴不斷加深，不僅有助于提高生產(chǎn)力和促進創(chuàng)新，而且也增加了網(wǎng)絡(luò)用戶群、擴展了網(wǎng)絡(luò)技術(shù)設(shè)施以及需要保護的網(wǎng)絡(luò)路徑。

網(wǎng)絡(luò)發(fā)達的互通性使其超越了地理邊界，為國際合作提供了極大便利。但其存在的風險也從根本上改變了美國安全威脅的構(gòu)成，這就要求我們調(diào)整現(xiàn)有的安全和威懾機制。

隨著網(wǎng)絡(luò)數(shù)據(jù)信息的急劇膨脹，分散和遠程的網(wǎng)絡(luò)管理既提供了新的機遇，也帶來了更多的安全挑戰(zhàn)。移動技術(shù)的發(fā)展使入侵者更容易獲得敏感信息。網(wǎng)絡(luò)風險的差異和個人、機構(gòu)等對網(wǎng)絡(luò)安全等級要求的不同，使以往“一刀切”式的安全防護措施不再有效。相關(guān)部門應(yīng)制定一套基于風險的應(yīng)對方案，使之能夠隨時進行調(diào)整、重點關(guān)注網(wǎng)絡(luò)輸出和運行情況、提高用戶應(yīng)對能力、促進創(chuàng)新和符合費效比原則。

信息和通信技術(shù)供應(yīng)鏈的全球化為促進創(chuàng)新和鼓勵競爭提供了機遇，同時也帶來了更多風險。

第一章 我們所追求的未來

信息革命幾乎改變了我們?nèi)粘Ｉ畹姆椒矫婷妗？煽康臄?shù)字化基礎(chǔ)設(shè)施將為創(chuàng)新和經(jīng)濟繁榮提供一個持續(xù)的平臺，并使我們能夠在遵循我們核心價值觀的情況下，推進美國的經(jīng)濟和安全利益。為使我們的下一代發(fā)揮出信息革命的全部潛力，國土安全相關(guān)實體必須確保建立可靠、安全和具有抗壓能力的網(wǎng)絡(luò)空間，同時提升網(wǎng)絡(luò)安全意識和創(chuàng)新能力。這一復雜而高強度的行動需要大量研發(fā)投入并經(jīng)過實踐的檢驗。本報告將為此提供強有力的基礎(chǔ)。

根據(jù)《四年國土安全評估報告》的相關(guān)要求，國土安全相關(guān)實體應(yīng)致力于創(chuàng)建：

一、安全的網(wǎng)絡(luò)空間

保護美國及其民眾、核心利益和生活方式未來，我們將在確保網(wǎng)絡(luò)空間安全方面取得重大進展。國防和創(chuàng)新領(lǐng)域的敏感信息將得到進一步保護。美國民眾在進行網(wǎng)上交易時將更有信心，影響關(guān)鍵信息基礎(chǔ)設(shè)施的安全風險將被降至最低。個人和機構(gòu)將具有較強的網(wǎng)絡(luò)安全意識，并能采取相應(yīng)的安全措施。美國國內(nèi)及國際網(wǎng)絡(luò)安全政策、法規(guī)將能及時反映當前的網(wǎng)絡(luò)環(huán)境狀況，并預見到未來的安全需求。監(jiān)管機構(gòu)擁有必要的網(wǎng)絡(luò)工具和人才隊伍，以確保各機構(gòu)落實相應(yīng)的安全措施。各國成為負責任的網(wǎng)絡(luò)空間行為體，并拒絕為惡意使用網(wǎng)絡(luò)者提供“庇護所”。一旦網(wǎng)絡(luò)空間被惡意利用，各機構(gòu)能使用必要的手段鎖定入侵者并將其繩之于法。聯(lián)邦機構(gòu)和私營領(lǐng)域?qū)嶓w將擁有必要的網(wǎng)絡(luò)安全專業(yè)技術(shù)人員，以滿足其任務(wù)需求。

二、具有抗壓能力的網(wǎng)絡(luò)空間

提升個人、社區(qū)網(wǎng)絡(luò)系統(tǒng)的活力、適應(yīng)能力、快速反應(yīng)能力和修復能力未來，我們打造的網(wǎng)絡(luò)安全框架將能實時偵測網(wǎng)絡(luò)威脅，并根據(jù)不同的突發(fā)事件制定相應(yīng)的信息防護措施。包括通過模擬、仿真和演習，來確認和降低安全威脅等級。演習能定期檢驗關(guān)鍵基礎(chǔ)設(shè)施的快速反應(yīng)能力和計劃的可持續(xù)性，并為決策者和投資者提供對策建議。國土安全相關(guān)實體將擁有靈活的信息分享機制———關(guān)于威脅、弱點和防護能力的重要內(nèi)容將在公共和私營部門進行實時傳輸。在網(wǎng)絡(luò)安全關(guān)鍵行動繼續(xù)展開的同時，網(wǎng)絡(luò)安全框架也將對重大事件做出快速反應(yīng)。

三、鼓勵創(chuàng)新的網(wǎng)絡(luò)空間

通過合作創(chuàng)新，實現(xiàn)人、設(shè)施和市場的互聯(lián)，以促進經(jīng)濟增長未來，美國人將擁有無處不在的網(wǎng)絡(luò)接入設(shè)施。它將使個人、企業(yè)和市場之間的互聯(lián)互通更加迅速和便捷。隨著互聯(lián)網(wǎng)用戶使用新的網(wǎng)絡(luò)設(shè)備，以往各自隔離的實體之間的交流將越來越多。新的信息和通信技術(shù)將把新興市場與發(fā)達市場連接起來，并隨著信息的加速流動，推動跨地區(qū)合作和促進欠發(fā)達地區(qū)的經(jīng)濟增長。以往的單機裝置，如能源儀表和家用電器，將越來越具有通用性，消費者和企業(yè)將從中受益。更具活力的安全機制將降低消費者的風險，并使各機構(gòu)獲得更優(yōu)質(zhì)的服務(wù)和安全防護能力。在確保網(wǎng)絡(luò)空間安全的同時，我們還要維護自由貿(mào)易原則、促進更廣范圍信息的自由流通、承擔全球責任以及滿足國家的需求。

四、保護公共安全的網(wǎng)絡(luò)空間

確保美國民眾的安全

未來，管控能源、交通運輸、化工和關(guān)鍵制造業(yè)等關(guān)鍵基礎(chǔ)設(shè)施部門的工業(yè)系統(tǒng)和控制系統(tǒng)，以及運行在各類醫(yī)療設(shè)備、交通工具和其他領(lǐng)域中的嵌入式系統(tǒng)，均能更好地抵御各類可能危害公共安全的網(wǎng)絡(luò)破壞和攻擊行為。在這一網(wǎng)絡(luò)空間中，執(zhí)法和應(yīng)急反應(yīng)等重要公共安全部門也能繼續(xù)依賴完整且隨時可以使用的信息和通信技術(shù)。

五、促進經(jīng)濟利益和國家安全的網(wǎng)絡(luò)空間

增強美國的經(jīng)濟競爭力和國防安全

未來，安全、可靠的網(wǎng)絡(luò)空間將為美國經(jīng)濟增加動力，使美繼續(xù)保持經(jīng)濟強國地位。在該網(wǎng)絡(luò)空間中，商業(yè)部門將更加充分地了解其面臨的風險，對其知識產(chǎn)權(quán)的保密性、完整性和可用性也將充滿信心。安全的網(wǎng)絡(luò)空間能夠支持國民經(jīng)濟有效運行，也可支持各類關(guān)鍵社會服務(wù)的開展。健康的網(wǎng)絡(luò)空間還有利于國土安全部完成其他任務(wù)：預防恐怖主義、維護邊境安全、執(zhí)行移民法以及從事故災(zāi)難中迅速恢復。最后，通過同美國國防部合作，這一安全的網(wǎng)絡(luò)空間將支持美國政府履行其保護國家安全的關(guān)鍵使命。

第二章 指導原則

美國人的價值觀、基本原則和生活方式為報告提供了指導原則，其基礎(chǔ)是保護隱私和公民自由。報告也體現(xiàn)了美國提出的“開放政府倡議”中的透明、參與和協(xié)作等理念。開放使民主變得更為強大，也可使政府的效能與效率得到提升。堅持上述原則是各利益攸關(guān)方增強本報告所述各種能力的關(guān)鍵。

一、隱私和公民自由

在確保網(wǎng)絡(luò)空間安全的過程中，國土安全相關(guān)實體將保護公民權(quán)利和尊重隱私。每個公民都可了解其個人數(shù)據(jù)將如何被使用，并可相信其使用將是恰當?shù)?。美國國土安全相關(guān)實體將支持一個開放、互動的網(wǎng)絡(luò)空間，個人可借此在全球范圍內(nèi)尋找、接收和影響各種信息和思想。信息的自由流動是互聯(lián)網(wǎng)快速演變和成長的關(guān)鍵所在。網(wǎng)絡(luò)空間也必須繼續(xù)成為自由聯(lián)接和自由表達的場所。

二、透明的安全流程

國土安全相關(guān)實體將在高度透明和負責任的流程下開展保護網(wǎng)絡(luò)空間安全的活動。堅持“按需分享”和“誰提供誰負責”的合作原則，將使具體、可操作的網(wǎng)絡(luò)安全信息得以傳送給需要的人員，同時保護公民自由和隱私。美國政府、私營部門和國際伙伴之間的互動，可增進安全措施的效能，并提升決策質(zhì)量。這既兼顧了公私利益，又有助于共享網(wǎng)絡(luò)安全信息。

三、在分布式環(huán)境中共擔責任

保護網(wǎng)絡(luò)空間安全的各種力量散布在國土安全相關(guān)實體中，大量的網(wǎng)絡(luò)安全專家也分布在諸多不同領(lǐng)域。因此，國土安全相關(guān)實體將利用網(wǎng)絡(luò)空間這一分散性來保護網(wǎng)絡(luò)自身。國土安全相關(guān)實體將繼續(xù)努力增強地方政府和個人的能力，通過集體行動匯聚所有力量，以實現(xiàn)共同的安全利益。為確保所有人都處于安全的網(wǎng)絡(luò)空間環(huán)境中，每個人都必須承擔責任。國土安全相關(guān)實體將培養(yǎng)共同的責任感和公民義務(wù)意識，也將綜合運用各種知識來處理安全問題和開展網(wǎng)絡(luò)空間安全行動。

四、基于風險、費效比高且便于應(yīng)用的安全政策措施

在個人、機構(gòu)和國家等層面，網(wǎng)絡(luò)空間的安全風險和對這些風險的承受能力各不相同。在確定網(wǎng)絡(luò)空間中的關(guān)鍵系統(tǒng)及資產(chǎn)和必須應(yīng)對的最主要風險的過程中，國土安全相關(guān)實體必須與他們分享見解。國土安全相關(guān)實體將區(qū)分網(wǎng)絡(luò)空間安全行動的輕重緩急，以確保將資源持續(xù)地用于可最大程度降低風險的領(lǐng)域。有效降低網(wǎng)絡(luò)空間的脆弱性，有賴于全面系統(tǒng)地評估各種網(wǎng)絡(luò)空間安全政策措施的風險、成本和應(yīng)用情況。在使用信息和通信技術(shù)的過程中，所有用戶都面臨某些風險。必須更好地了解這些風險，才能在參與網(wǎng)絡(luò)活動和交流時做出明智的決定。

第三章 戰(zhàn)略概念

報告體現(xiàn)的唯一且一致的戰(zhàn)略概念是：在保護現(xiàn)有關(guān)鍵信息基礎(chǔ)設(shè)施的同時，建設(shè)未來更為強大的網(wǎng)絡(luò)生態(tài)系統(tǒng)。這一戰(zhàn)略概念將指導美建立安全、可靠及具備抗壓能力的網(wǎng)絡(luò)空間，并形成各利益攸關(guān)方共同致力于提升美網(wǎng)絡(luò)空間能力的局面。

一、重點關(guān)注領(lǐng)域

該戰(zhàn)略概念包含兩個互為補充的重點關(guān)注領(lǐng)域：保護關(guān)鍵信息基礎(chǔ)設(shè)施。重點關(guān)注網(wǎng)絡(luò)生態(tài)系統(tǒng)中軟、硬件設(shè)施對美國至關(guān)重要。減少信息基礎(chǔ)設(shè)施面臨的威脅、確保其具備快速反應(yīng)能力和網(wǎng)絡(luò)安全信息共享能力，以及增強其快速恢復能力是保護信息基礎(chǔ)設(shè)施的最佳途徑。

提升網(wǎng)絡(luò)生態(tài)系統(tǒng)的能力。此舉旨在推動人機協(xié)同方式發(fā)生徹底改變，使人與設(shè)備能夠更好地“融合”，以此確保網(wǎng)絡(luò)空間的安全。這一革命性的改變將通過提高個人維護網(wǎng)絡(luò)安全的能力、研發(fā)和使用更為可靠地網(wǎng)絡(luò)協(xié)議、服務(wù)和產(chǎn)品、加強相關(guān)部門在維護網(wǎng)絡(luò)安全方面的協(xié)作，以及建立透明的工作流程等方式實現(xiàn)。

二、成功的含義

國土安全相關(guān)實體的投入產(chǎn)出效益將通過量化的標準加以衡量。

（一）保護關(guān)鍵信息

基礎(chǔ)設(shè)施在面臨最嚴峻的威脅時，基于效果的衡量標準如果能夠證實關(guān)鍵信息基礎(chǔ)設(shè)施的所有者和經(jīng)營者能夠妥善管理風險，信息基礎(chǔ)設(shè)施能夠確保安全，我們認為關(guān)鍵信息基礎(chǔ)設(shè)施得到了切實有效的保護。

（二）建設(shè)網(wǎng)絡(luò)生態(tài)系統(tǒng)

當符合下列條件時，網(wǎng)絡(luò)生態(tài)系統(tǒng)才是安全的：

用戶能夠充分認清、掌握和管理信息和通信技術(shù)風險；

機構(gòu)和個人能夠按規(guī)定執(zhí)行安全和隱私條令；

個人、機構(gòu)、網(wǎng)絡(luò)、服務(wù)和設(shè)備滿足網(wǎng)絡(luò)安全標準；

信息和通信技術(shù)具備安全的通用性；

接近實時的端對端協(xié)作能夠?qū)W(wǎng)絡(luò)安全事件發(fā)出警告并自動做出反應(yīng)。

三、如何保護關(guān)鍵信息基礎(chǔ)設(shè)施

確保國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全，需要聯(lián)邦政府各個部門和機構(gòu)之間的多邊合作，也需要聯(lián)邦，州和地方政府、非政府組織和私營部門之間業(yè)務(wù)合作。在聯(lián)邦政府層面，國土安全部與軍隊、情報界和執(zhí)法部門的協(xié)作是我們防范和有效應(yīng)對網(wǎng)絡(luò)威脅的基礎(chǔ)。報告描述了國土安全部如何根據(jù)第7號國土安全總統(tǒng)行政令、第54號國家安全總統(tǒng)行政令及《2002年聯(lián)邦信息安全管理法》，與合作伙伴共同采取防范措施。國土安全部將發(fā)揮堅強的領(lǐng)導作用，保護聯(lián)邦政府中非保密的文職部門。

在下文中，報告列出了保護關(guān)鍵信息基礎(chǔ)設(shè)施的四項目標，國土安全部將采取九項措施實現(xiàn)上述目標。實施過程中，各種措施需要相互配合以有效地預測和應(yīng)對的各種威脅。下文中介紹的一些措施在當前行之有效，而其他一些措施則需進一步完善，還有一些措施需要進一步論證。為實現(xiàn)上述目標，有必要建立一個相互協(xié)作且能做出快速反應(yīng)的網(wǎng)絡(luò)安全社區(qū)。

每種能力都包含相應(yīng)的人員、流程和技術(shù)因素。由于網(wǎng)絡(luò)社會具有全球性，我們需要與國際伙伴共同建設(shè)和運用這些能力。報告的結(jié)語部分將詳細介紹如何在后續(xù)的實施計劃中對能力進行優(yōu)化組合。

美國國土安全部支持通過新的立法，以促進在政府和私營部門之間自愿分享合法獲取的網(wǎng)絡(luò)安全信息。此外，相關(guān)立法行動應(yīng)在現(xiàn)有指導原則之下，為私營部門分享網(wǎng)絡(luò)安全信息提供免責保護。相關(guān)法案還應(yīng)鼓勵政府和私營部門以適當方式及時分享網(wǎng)絡(luò)安全信息。

網(wǎng)絡(luò)安全立法活動應(yīng)在透明和充分吸收廣大民眾意見的基礎(chǔ)上授予或加強國土安全部以下權(quán)力：

為加強網(wǎng)絡(luò)安全，確定擁有或負責運行關(guān)鍵信息基礎(chǔ)設(shè)施的實體；

確定需要應(yīng)對的具體網(wǎng)絡(luò)安全風險；

評估并確定應(yīng)對上述風險的標準化程序；

要求相關(guān)實體完善維護網(wǎng)絡(luò)安全的計劃，確定應(yīng)對上述網(wǎng)絡(luò)安全風險的方法；

建立第三方評估機制，評估相關(guān)實體在管理和應(yīng)對網(wǎng)絡(luò)安全風險方面的效能。

國土安全部支持通過修正《聯(lián)邦信息安全管理法》，使國土安全部擔負起聯(lián)邦文職行政部門信息安全的主要責任，這將賦予國土安全部以下權(quán)力：

公布必須執(zhí)行的信息安全政策和命令；

評估相關(guān)機構(gòu)的信息安全計劃；

指定相關(guān)實體負責接收信息安全方面的報告，內(nèi)容包括信息安全事件、威脅及影響信息系統(tǒng)的弱點等。

（一）減少網(wǎng)絡(luò)安全風險

1.規(guī)避威脅：通過持續(xù)運用國土安全部國家網(wǎng)絡(luò)安全保護系統(tǒng)，削弱國內(nèi)外罪犯利用、損害、癱瘓或摧毀關(guān)鍵信息基礎(chǔ)設(shè)施的能力。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

防入侵系統(tǒng)及其他安全技術(shù)?？蓽p少進出信息和通信系統(tǒng)的惡意流量。

在防止、調(diào)查和起訴網(wǎng)絡(luò)犯罪行為過程中加強國內(nèi)法和國際法的執(zhí)法力度。

通過專門的技術(shù)訓練、使用先進的調(diào)查手段、建立相關(guān)國際合作等方式，加強證據(jù)共享及將犯罪分子繩之以法的能力。

通過全源信息搜集和分析，確認相關(guān)威脅的實施者及其使用的策略、技術(shù)及步驟。

就關(guān)鍵信息基礎(chǔ)設(shè)施面臨的最嚴重威脅發(fā)布及時、有針對性和可操作性的信息。信息共享論壇、分析中心、工作小組、提供合作的門戶網(wǎng)站、簡報及其他機制的運行，有利于國土安全相關(guān)實體中的利益攸關(guān)方進行威脅信息的分發(fā)和交換。

組建與威脅信息的發(fā)布者和使用者進行接觸的團體，從而確立描述、解讀和自動處理威脅信息的標準。

將網(wǎng)絡(luò)安全事件報告的指導方針和激勵措施發(fā)放至適當?shù)臋C構(gòu)和個人，包括網(wǎng)絡(luò)安全專家和各級政府，以及聯(lián)邦執(zhí)法部門和突發(fā)事件反應(yīng)中心。

2.強化關(guān)鍵信息基礎(chǔ)設(shè)施：采用適當?shù)陌踩胧┮怨芾黻P(guān)鍵系統(tǒng)和資產(chǎn)面臨的風險。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

確定在受到干擾、破壞或毀壞的情況下，最有可能對國家安全、經(jīng)濟安全和公共健康或安全造成影響的關(guān)鍵信息基礎(chǔ)設(shè)施，其中包括網(wǎng)絡(luò)互聯(lián)節(jié)點、域名系統(tǒng)、衛(wèi)星地面站、電纜平臺、工業(yè)和監(jiān)控系統(tǒng)、關(guān)鍵商業(yè)或交通系統(tǒng)和其他支持關(guān)鍵功能和服務(wù)的系統(tǒng)。

運用技術(shù)和相關(guān)指導原則對網(wǎng)絡(luò)進行管理。

評估各類網(wǎng)絡(luò)威脅并根據(jù)結(jié)果確定重點的領(lǐng)域，如某個特定的威脅會利用網(wǎng)絡(luò)的脆弱性并引發(fā)嚴重的后果。在系統(tǒng)、組織、部門、區(qū)域、國家和國際層面的威脅評估將幫助公共和私營部門的相關(guān)實體了解其面臨的風險，從而使其能確定優(yōu)先行動領(lǐng)域以降低風險和進行投資。

借助相關(guān)網(wǎng)絡(luò)安全標準有效應(yīng)對威脅。運用具體的管理手段、技術(shù)和安保措施以降低風險，這已被寫入聯(lián)邦政府文件當中。

不間斷地對內(nèi)部網(wǎng)絡(luò)進行監(jiān)督和測定，確保風險管理根據(jù)技術(shù)或風險環(huán)境的變化實時進行調(diào)整。對風險管理的第三方評估將驗證該行動是否符合標準。

上述措施將對關(guān)鍵基礎(chǔ)設(shè)施的技術(shù)弱點進行界定、分類，并找出需關(guān)注的重點領(lǐng)域。

3.實現(xiàn)革新：尋找新方法以應(yīng)對業(yè)已存在的問題，同時開發(fā)應(yīng)對潛在安全挑戰(zhàn)的新技術(shù)。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

將研發(fā)重點放在需要優(yōu)先考慮的關(guān)鍵安全領(lǐng)域。聯(lián)邦網(wǎng)絡(luò)和信息技術(shù)研究與開發(fā)計劃列出以下研究重點：“內(nèi)置式安全措施”、“定制可信的網(wǎng)絡(luò)空間”、“移動目標”及“網(wǎng)絡(luò)經(jīng)濟激勵措施”。

迅速應(yīng)用新開發(fā)的產(chǎn)品和工具，以應(yīng)對不斷變化的網(wǎng)絡(luò)安全威脅。

整合國家網(wǎng)絡(luò)研發(fā)活動，包括國防、執(zhí)法、反情報部門等開展的研究活動。

（二）快速應(yīng)對網(wǎng)絡(luò)安全事件、提高網(wǎng)絡(luò)恢復能力

1.鼓勵相關(guān)實體優(yōu)先采取行動：重大網(wǎng)絡(luò)安全事件威脅公共安全、削弱公眾信心、影響國民經(jīng)濟和國家安全。因此，一旦發(fā)生重大網(wǎng)絡(luò)安全事件，相關(guān)實體應(yīng)采取聯(lián)合行動，迅速做出反應(yīng)，恢復網(wǎng)絡(luò)安全。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

及時和準確查明、報告、分析網(wǎng)絡(luò)安全事件并做出反應(yīng)的能力：當網(wǎng)絡(luò)安全事件發(fā)生時，應(yīng)通過國家網(wǎng)絡(luò)安全和通信中心等負責監(jiān)視和預警部門，協(xié)調(diào)有關(guān)部門，搜集與匯總網(wǎng)絡(luò)安全事件的信息，協(xié)調(diào)聯(lián)邦、州、地方政府部門以及私營機構(gòu)和國際伙伴的行動，以及時和準確地查明、報告、分析網(wǎng)絡(luò)安全事件并做出反應(yīng)。

制定成熟和操作性強的應(yīng)對和恢復預案的能力：該預案不僅能應(yīng)對網(wǎng)絡(luò)安全事件造成的物理性后果，還要能消除物理破壞造成的網(wǎng)絡(luò)影響。

建立強大伙伴關(guān)系的能力：為能迅速重建關(guān)鍵信息基礎(chǔ)設(shè)施，國土安全相關(guān)實體需要建立強大的伙伴關(guān)系，包括與第一批做出反應(yīng)的相關(guān)實體密切合作，以及在必要時政府或私營部門的專家提供遠程或現(xiàn)場技術(shù)幫助。

網(wǎng)絡(luò)威脅調(diào)查和分析能力：通過網(wǎng)絡(luò)威脅調(diào)查和分析，確定惡意網(wǎng)絡(luò)行為對基礎(chǔ)設(shè)施的影響。通過提供法律行動所需的證據(jù)，為采取反制措施提供前瞻性分析，預測和防范未來可能發(fā)生的敵意行為。聯(lián)邦調(diào)查局領(lǐng)導的國家網(wǎng)絡(luò)調(diào)查聯(lián)合特別工作組就是專門從事網(wǎng)絡(luò)威脅調(diào)查和分析的跨部門機構(gòu)，它具有扭轉(zhuǎn)攻擊造成的被動局面、確定攻擊者的數(shù)字和物理特征等能力。

標準化的自動修復能力：將系統(tǒng)恢復至正常、安全的狀態(tài)。

2.做好網(wǎng)絡(luò)突發(fā)事件應(yīng)急準備：舉行網(wǎng)絡(luò)安全演習，以檢驗應(yīng)急計劃并總結(jié)經(jīng)驗教訓。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

組織跨部門演習的能力：評估和驗證各個部門在信息共享、事件反應(yīng)和恢復等方面的準備情況。

組織在特定機構(gòu)和部門內(nèi)部舉行演習的能力：在系統(tǒng)、組織、機構(gòu)、地區(qū)、國家和國際等各種層面，檢驗其應(yīng)對網(wǎng)絡(luò)事件反應(yīng)并從中恢復所需的步驟、程序、報告機制等。

整體規(guī)劃能力：運用商業(yè)網(wǎng)站、與軟硬件和網(wǎng)絡(luò)服務(wù)供應(yīng)商達成協(xié)議等手段，并綜合考慮設(shè)施、人員、裝備、軟件、數(shù)據(jù)文件和系統(tǒng)構(gòu)件的基本情況，進行整體規(guī)劃。

建立相關(guān)機制的能力：該機制應(yīng)包括對演習進行評估、總結(jié)經(jīng)驗教訓和制訂改進計劃等內(nèi)容。

（三）共享網(wǎng)絡(luò)安全信息

共享網(wǎng)絡(luò)安全信息是減少網(wǎng)絡(luò)安全風險、快速應(yīng)對網(wǎng)絡(luò)事件和提高自我恢復能力的關(guān)鍵。

1.整合信息：對從不同機構(gòu)、地域、國家和國際資源中獲得的信息進行整理、歸納。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

國家網(wǎng)絡(luò)安全防護系統(tǒng)：該系統(tǒng)由人和傳感器組成，可根據(jù)特定網(wǎng)絡(luò)安全相關(guān)實體的需要搜集并實時交換信息，這些信息主要涉及網(wǎng)絡(luò)威脅、弱點、后果、預警和反制措施的信息。

分析能力：迅速分析不同來源的相關(guān)信息，幫助各級決策者和網(wǎng)絡(luò)安全設(shè)施防止惡意網(wǎng)絡(luò)行為。為此，國土安全部應(yīng)與其他聯(lián)邦機構(gòu)合作，向國土安全相關(guān)實體提供無差別的、有用的網(wǎng)絡(luò)安全信息。

與可信賴的伙伴共享信息：這些伙伴包括同類和相互依賴的組織、政府機構(gòu)和企業(yè)，將他們聯(lián)系一起的機構(gòu)是降低風險聯(lián)合中心、特定部門信息共享和分析中心、部門協(xié)調(diào)委員會、安全和網(wǎng)絡(luò)行動中心、計算機事件反應(yīng)小組。

建立統(tǒng)一的標準：按照預定程序搜集和存取信息，根據(jù)相關(guān)協(xié)議或諒解備忘錄、部門間協(xié)議等建立可信的信息共享環(huán)境；簽署協(xié)議和建立國家層級的機制，如保護關(guān)鍵基礎(chǔ)設(shè)施信息項目的信息標識，以保護私營機構(gòu)與聯(lián)邦政府所共享的信息。

2.有效分發(fā)信息：利用多種平臺及時發(fā)布特定的、行動性信息。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

及時交換網(wǎng)絡(luò)預警信息：美國政府與各利益攸關(guān)方通過以下平臺交換網(wǎng)絡(luò)預警信息，如美國計算機應(yīng)急小組預警系統(tǒng)、國防部網(wǎng)絡(luò)態(tài)勢預警系統(tǒng)、聯(lián)邦調(diào)查局初級防護項目、美國特勤局電子犯罪特別小組、國家標準和技術(shù)數(shù)據(jù)研究所等。

建立強大的信息分發(fā)平臺：該平臺無論在平時，還是在發(fā)生重大網(wǎng)絡(luò)事件時，均能向各利益攸關(guān)方持續(xù)分發(fā)網(wǎng)絡(luò)威脅的特征、標識、弱點等信息，并提供應(yīng)對威脅的具體方案。

有效的溝通戰(zhàn)略：利用社會媒體進行溝通時，應(yīng)努力確保時效性與溝通頻率，保持溝通順暢并能控制相關(guān)風險。

可方便使用數(shù)據(jù)信息的措施：在必要時或向更多公眾提供信息時，該措施能保護信息來源、傳播途徑和平臺安全。

經(jīng)濟激勵等措施：通過贈予、補貼、稅收優(yōu)惠以及提供可靠的保護措施等手段以促進合作。

3.為網(wǎng)絡(luò)從業(yè)人員提供專門的網(wǎng)絡(luò)安全培訓和認證：培訓網(wǎng)絡(luò)從業(yè)人員以提高其競爭力。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

改進培訓方法：使網(wǎng)絡(luò)技術(shù)人員能夠設(shè)計、建立安全且具有恢復能力的信息技術(shù)系統(tǒng)。

做網(wǎng)絡(luò)安全專業(yè)知識的提供者：這種知識能夠通過課堂或其他類似環(huán)境下的學習，以及在公共與私營部門之間進行人員輪崗的方式來實現(xiàn)。

發(fā)展并運用網(wǎng)絡(luò)安全相關(guān)職業(yè)與領(lǐng)域的“成熟能力模式”：這些職業(yè)與領(lǐng)域包括信息技術(shù)管理、電子工程、計算機工程和通信業(yè)。“成熟能力模式”一詞是用來描述在初、中、高三種等級從事特定任務(wù)所必需的技術(shù)能力。

（四）增強網(wǎng)絡(luò)抗壓能力

1.提高網(wǎng)絡(luò)的糾錯能力：增強系統(tǒng)在網(wǎng)絡(luò)安全環(huán)境惡化的情況下完成核心任務(wù)的能力。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

全面理解關(guān)鍵基礎(chǔ)設(shè)施存在的弱點和可能導致系統(tǒng)崩潰的潛在漏洞。

設(shè)立結(jié)構(gòu)性指導原則和恢復能力標準，例如，減少多路通信過程中可能出現(xiàn)的單點阻塞、在正常狀態(tài)下快速存儲、出現(xiàn)錯誤時立即實行隔離并遏制擴散、建立恢復模式以最大限度減少損失。

與現(xiàn)有恢復能力標準和指導原則保持一致，包括符合美國國家標準與技術(shù)研究所出版的《信息技術(shù)系統(tǒng)的應(yīng)急計劃指導》、國際標準化與國際電子技術(shù)委員會頒布的《信息技術(shù)安全技能：信息與通信技術(shù)長期規(guī)劃指針》的相關(guān)要求。

根據(jù)“網(wǎng)絡(luò)與信息技術(shù)研究發(fā)展項目”，掌握在軟件和網(wǎng)絡(luò)方面自主創(chuàng)新的方法。

持續(xù)評估確?；謴湍芰Φ膽?zhàn)略與項目的效果。

四、如何建設(shè)網(wǎng)絡(luò)生態(tài)系統(tǒng)

如上文所說的“智能電網(wǎng)”一樣，關(guān)鍵信息基礎(chǔ)設(shè)施屬于網(wǎng)絡(luò)生態(tài)系統(tǒng)一部分。國土安全相關(guān)實體將在維護網(wǎng)絡(luò)生態(tài)系統(tǒng)安全性方面取得階段性進展。這需要我們增強個人與組織安全使用網(wǎng)絡(luò)的能力；開發(fā)和使用值得信賴的協(xié)議、產(chǎn)品、服務(wù)、配置及架構(gòu)；建設(shè)合作型網(wǎng)絡(luò)社區(qū)以及確保進程透明。為加強網(wǎng)絡(luò)生態(tài)系統(tǒng)建設(shè)，本報告提出以下四項目標以及11項具體目標。

（一）增強個人和組織安全使用網(wǎng)絡(luò)的能力

1.增加公共與私營部門的網(wǎng)絡(luò)從業(yè)人員：維持一支強大的網(wǎng)絡(luò)安全專業(yè)隊伍，其工作是開發(fā)和應(yīng)用網(wǎng)絡(luò)安全技術(shù)，以確保消除當前及未來的威脅。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

發(fā)展一套嚴格的網(wǎng)絡(luò)安全與軟件學習課程，以保證能持續(xù)學習特殊領(lǐng)域的專業(yè)知識。相關(guān)科目應(yīng)涉及科學、技術(shù)、工程及數(shù)學。美國國家網(wǎng)絡(luò)安全教育機構(gòu)將推出正式網(wǎng)絡(luò)安全教育項目，通過設(shè)立從幼兒園開始的12級技能培訓、更高等級的教育與職業(yè)項目等方式，提高相關(guān)人員的技術(shù)水平。此外，四年制及有資格授予研究生學位的大學應(yīng)成為美國信息技術(shù)教育方面的學術(shù)研究中心。

通過提供獎學金、補貼及稅務(wù)優(yōu)惠等措施鼓勵學生學習特定領(lǐng)域的專業(yè)知識?！奥?lián)邦網(wǎng)絡(luò)服務(wù)：公共事業(yè)項目獎學金”將向那些進入特定機構(gòu)進行深入學習的學生提供獎學金，以資助其在書本、學費及住宿等方面的開支。

拴心留人。保留人才可通過以下方式進行：積極招募、快速錄用、破格提拔、在職培訓以及開展雇員滿意程度調(diào)查。

具備必要技能。包括視情頒發(fā)網(wǎng)絡(luò)安全專業(yè)合格證書。

2.為分布式安全建立基礎(chǔ)：向個人提供與其地位相符的資源，如工具、建議、教育、培訓等，使其能依據(jù)當前網(wǎng)絡(luò)安全特性及協(xié)議、產(chǎn)品與服務(wù)情況維護各自網(wǎng)絡(luò)安全。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

在國家、社區(qū)及機構(gòu)三個層面開展網(wǎng)絡(luò)安全活動，為特定人群提供建議、資源、工具，幫助其理解網(wǎng)絡(luò)安全威脅，并在加強網(wǎng)絡(luò)生態(tài)系統(tǒng)建設(shè)方面發(fā)揮各自作用。這些活動在聯(lián)邦、州、市、縣、印第安人保留地及海外領(lǐng)土等各個層級展開，包括國土安全部的“停一停、想一想、再上網(wǎng)”活動，“國家網(wǎng)絡(luò)安全意識月”等。

為個人采取網(wǎng)絡(luò)安全措施提供最佳行動指導。

建立一套機制，提醒用戶其使用的工具和系統(tǒng)存在漏洞或已被感染，并使用戶能據(jù)此采取行動。

（二）開發(fā)并使用可信的網(wǎng)絡(luò)協(xié)議、產(chǎn)品、服務(wù)、配置與架構(gòu)

1.降低脆弱性：開發(fā)并應(yīng)用專門用于減少漏洞的信息與通信技術(shù)，該技術(shù)能通過維持或強化系統(tǒng)安全態(tài)勢，及時感知、應(yīng)對及輸送系統(tǒng)內(nèi)部及周邊系統(tǒng)安全態(tài)勢所出現(xiàn)的變化。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

在那些有權(quán)設(shè)立國際標準的組織和論壇上保持領(lǐng)導地位；

推廣使用安全的軟硬件產(chǎn)品；

樹立貫穿于系統(tǒng)開發(fā)整個周期的安全意識；

建立安全產(chǎn)品的評估與認證制度；

增強開發(fā)技術(shù)、擬定標準的研究能力；

改革商業(yè)市場，縮短新技術(shù)應(yīng)用周期，以應(yīng)對不斷出現(xiàn)的網(wǎng)絡(luò)威脅；

整合供應(yīng)鏈，提高值得信賴的產(chǎn)品與服務(wù)的應(yīng)用效率。

2.提高可用性：開發(fā)值得信賴的技術(shù)，使之易于使用、易于管理，并能快速定制，發(fā)揮預期的效能。

國土安全相關(guān)部門應(yīng)具備的核心能力包括：

提出需求和指導綱領(lǐng)，以闡明在部件組裝、體系構(gòu)造、運行管理、人機界面和可用性網(wǎng)絡(luò)性能方面的主要特點。人機界面的標準由美國國家標準協(xié)會發(fā)布，而可用性網(wǎng)絡(luò)標準是由歐盟發(fā)起制訂的。

研究并確定有關(guān)用戶社區(qū)內(nèi)那些可被迅速采納和標準化的安全技術(shù)，并使之融入研發(fā)進程。

（三）建設(shè)合作型網(wǎng)絡(luò)社區(qū)

國土安全部白皮書《強化網(wǎng)絡(luò)空間的分布式安全》提出了認證、兼容和自動控制等三種能力。

1.網(wǎng)絡(luò)身份認證：采取基于風險的原則進行認證，提高參與網(wǎng)上信息交換的個人和機構(gòu)的網(wǎng)絡(luò)身份信任等級。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

基于風險和敏感活動的認證和授權(quán)。上述敏感活動通過證明需求、屬性/授權(quán)需求、遠程進入準則和界定信任模型。

采取加密登錄、數(shù)字證書和其他多種認證方法，以降低敏感信息交換的風險。

加強網(wǎng)絡(luò)管理包括改進體系設(shè)計、基于用戶的設(shè)計、基于政策的郵件路由和儲備、確保內(nèi)部關(guān)聯(lián)和避免相互干擾、提高系統(tǒng)兼容性以及管理方法。

2.提高各技術(shù)設(shè)備之間的技術(shù)和政策兼容水平：在設(shè)備對設(shè)備層級，加強合作，促進創(chuàng)新，增強網(wǎng)絡(luò)安全信息共享能力。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

具備網(wǎng)絡(luò)突發(fā)事件的預警能力。該工作借助有關(guān)重要信息要素的標準化參考文件展開，內(nèi)容包括確認軟件脆弱性、薄弱環(huán)節(jié)、網(wǎng)絡(luò)攻擊范式、惡意軟件分類以及傳輸?shù)陌踩珒?nèi)容，而后者是依據(jù)所需時自動分享原則而設(shè)置的。其信息來源包括“國家脆弱目標信息庫”、“普通脆弱性和暴露性目標（信息庫）”、以及屬于“國家檢驗清單項目”的“信息確保清單”。

建立統(tǒng)一的界面標準，以使諸如公共關(guān)鍵密碼系統(tǒng)標準、無線電頻率識別器空中界面標準和數(shù)據(jù)格式標準能夠?qū)崿F(xiàn)技術(shù)兼容，實現(xiàn)辨別指紋、面部和其他生物特征信息。

3.自動化安全步驟：以接近實時反應(yīng)的方式，通過自動化機制，預測和防止攻擊事件，縮小事件在聯(lián)網(wǎng)各設(shè)備之間的傳播，將事件危害降至最低水平。

采取數(shù)字化政策，使所有者和用戶能夠采取可靠的安全行動，按照有關(guān)政策，將遭受病毒感染的設(shè)備脫離網(wǎng)絡(luò)連接。經(jīng)批準后，改變未受病毒感染設(shè)備的配置，使其更加強健，以應(yīng)對網(wǎng)絡(luò)入侵，并防止惡意軟件攻擊和未經(jīng)授權(quán)的網(wǎng)絡(luò)信息外流。

確立合作框架和程度，建立一致的網(wǎng)絡(luò)安全目標、共同行動原則，從而提高反應(yīng)速度，優(yōu)化決策程序，以便于采取新的安全措施。

（四）建立透明的安全流程

1.公布網(wǎng)絡(luò)空間的突發(fā)事件及原因：像衛(wèi)生官員向公眾通報健康和疾病信息一樣，向公眾提供詳實的網(wǎng)絡(luò)空間安全威脅信息，核實當前和未來網(wǎng)絡(luò)地址（如.gov，.com和.edu）中攻擊事件發(fā)生的位置，了解其原因、范圍和影響。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

設(shè)立信息共享機制，以使匿名化傳輸?shù)氖录?shù)據(jù)能被當前事件監(jiān)管部門兼容使用。

向國土安全相關(guān)實體和國際伙伴分發(fā)有關(guān)網(wǎng)絡(luò)安全能力、態(tài)勢、危險和事件爆發(fā)的信息，以使有關(guān)各方能自動采取預防措施。

與國防和情報界合作偵測網(wǎng)絡(luò)威脅。

2.基于效果采取安全舉措：同有關(guān)各方分享有關(guān)網(wǎng)絡(luò)協(xié)議、產(chǎn)品、服務(wù)、配置、設(shè)計、供應(yīng)鏈和組織流程的安全績效信息。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

向國土安全相關(guān)實體和國際伙伴分發(fā)有關(guān)網(wǎng)絡(luò)協(xié)議、產(chǎn)品、服務(wù)、配置、設(shè)計、供應(yīng)鏈和組織流程的安全績效信息，以遏制網(wǎng)絡(luò)危險的傳播和影響。

建立一種機制，使投入優(yōu)先向基于效果和能力的項目傾斜。這種效果和能力應(yīng)被證明能將風險減至可接受的水平。

3.關(guān)注投資回報：評估網(wǎng)絡(luò)安全投資對組織機構(gòu)的影響，集中于運行成本、基本建設(shè)預算、業(yè)務(wù)靈活性、以及因數(shù)據(jù)侵權(quán)或未能履行服務(wù)協(xié)議而支付的賠償支出。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

通過使用量化網(wǎng)絡(luò)安全投入和迅速確立投入產(chǎn)出比的方法，加快采取和執(zhí)行網(wǎng)絡(luò)安全措施的速度。

維護并共享數(shù)據(jù)，以便論證網(wǎng)絡(luò)安全的投入產(chǎn)出效率。

4.激勵履行職責：建立、維護并提高有關(guān)網(wǎng)絡(luò)安全的目標和措施體系。

國土安全相關(guān)實體應(yīng)具備的核心能力包括：

設(shè)定希望達成的目標和成果并積極采取行動，以使國土安全相關(guān)實體能明確其任務(wù)要求。

提出支持國土安全相關(guān)各方目標的需求、指導原則、政策方針、步驟流程和自愿性的行動守則。

建立相關(guān)程序和機制，評估檢驗其獲得的進展。

分析網(wǎng)絡(luò)安全措施、項目和計劃的功效和影響，如發(fā)現(xiàn)不足，應(yīng)努力重新設(shè)定目標，并不斷取得進步。

結(jié)語

網(wǎng)絡(luò)空間支撐著美國生活的方方面面，并為美國經(jīng)濟、民用基礎(chǔ)設(shè)施、公共安全及國家安全提供了重要的支持。保護網(wǎng)絡(luò)空間需要遠見、強有力的領(lǐng)導及國土安全相關(guān)實體所有成員的共同努力。這種努力預見和增強了團隊協(xié)作、相互負責、認可與支持的文化。

這一戰(zhàn)略明確闡述了如何實現(xiàn)國家安全戰(zhàn)略構(gòu)想及《四年國土安全評估報告》目標的方式，即建立可靠、安全和具有恢復能力的網(wǎng)絡(luò)環(huán)境，推廣網(wǎng)絡(luò)安全知識和創(chuàng)新?！氨Ｗo關(guān)鍵信息基礎(chǔ)設(shè)施”和“加強網(wǎng)絡(luò)生態(tài)系統(tǒng)”兩大任務(wù)重點將促進國土安全相關(guān)實體的能力、行動及資源的優(yōu)化組合。在國土安全部，這一進程將有助于制定為期五年的“未來國土安全項目”。

國土安全部將與國土安全相關(guān)實體中的利益攸關(guān)方合作，共同制定一份能夠合理安排行動、設(shè)定關(guān)鍵轉(zhuǎn)折點和跟蹤進程的實施計劃，用以建設(shè)該戰(zhàn)略所需的各種能力。此外，國土安全部將帶領(lǐng)國土安全相關(guān)實體制定相關(guān)標準，用以衡量關(guān)鍵安全能力的有效性。國土安全部還將在國土安全相關(guān)實體內(nèi)部設(shè)立相關(guān)基線，從而能將每年的成績與上一年進行比較。這一行動將重點突出取得的成績、存在的問題及額外需要的資源。為滿足遂行網(wǎng)絡(luò)安全任務(wù)的需要，國土安全部將繼續(xù)根據(jù)相關(guān)法律和原則保護隱私及公民權(quán)利。

保護網(wǎng)絡(luò)空間是一項要求所有人都積極參與的復雜事業(yè)。通過利用這一報告提供的框架，我們將為實現(xiàn)我們的目標而努力進取。通過上述努力，國土安全相關(guān)實體能使網(wǎng)絡(luò)空間成為推動美國生活方式繁榮永續(xù)的安全之所。（武益祖譯）

第二篇：美國國土安全部網(wǎng)站常見問題及回答：EVUS登記常識

美國國土安全部網(wǎng)站常見問題及回答：EVUS登記常識

簽證更新電子系統(tǒng)是指持有十年有效B1/B2, B1或B2（訪問者）簽證的中國公民所使用的個人基本信息在線定期更新系統(tǒng)，以協(xié)助其赴美旅行。除了有效簽證以外，上述旅客必須完成EVUS 登記，以便獲得許可進入美國。EVUS登記將在哪一天開始強制施行？

自2016年11月29日起，所有持中華人民共和國護照，同時持有最長有效期（十年）B1/B2、B1和B2簽證的個人必須持有有效的EVUS登記才能赴美旅行。被要求進行EVUS登記的旅客如果沒有有效的登記，將不能獲得登機牌或者經(jīng)由陸地入境口入境。EVUS登記的費用是多少？

在網(wǎng)站開放接受及早登記時，美國海關(guān)和邊境保護局不會收取EVUS登記費用。美國海關(guān)和邊境保護局預期EVUS登記收費最終會實施，但目前尚未落實執(zhí)行時間。在收費實施前，旅客可以免費完成EVUS登記。在EVUS登記需要準備什么？

旅客需要準備好其含有最長有效期（10年期）的B1/B2、B1或B2簽證的中華人民共和國護照，并且能夠連接互聯(lián)網(wǎng)。EVUS表格上有些什么問題 ？

每次在EVUS上登記都要求旅客提供自己的姓名、出生日期、緊急聯(lián)系人、護照信息、個人和就業(yè)信息，旅客還需要回答旅游資格相關(guān)的問題。朋友、親屬、專業(yè)的旅游從業(yè)人員或其他第三方也可以代替旅客提交EVUS的登記。旅客本人應(yīng)對代表他/她所提交的信息的真實性和準確性負責。

如果到達了機場才發(fā)現(xiàn)自己忘記在EVUS上登記，該怎么辦？會錯過航班嗎？

旅客可以在任何時候在EVUS上提交登記，包括在機場的時候。提交登記后，旅客一般會在數(shù)分鐘內(nèi)收到系統(tǒng)的回復，但個別情況可能最長需要72個小時。如果您在到達機場或入境口岸之前忘記了登記，這可能會延遲您的出行計劃。別推遲了，今天就登記吧！進入美國是否需要登記 EVUS? 是的。自 2016 年 11 月起即需要登記。美國政府和中國政府就簽發(fā)十年期旅游簽證做出了雙邊互惠安排。該協(xié)議規(guī)定旅客須定期完成在線表格填寫以更新個人信息。此表格的填寫將有助于加快中國旅客入境美國。其他國家是否有這項要求? 這是一項新的規(guī)定。美國政府預期在未來可能將此要求適用于其他國家。

這是否對目前的簽證持有人、新申請人或兩者都有影響? 兩者都會受到本項新規(guī)定的影響。持有 2016 年 11 月之前簽發(fā)的 十年有效期 B1/B2、B1 或 B2 簽證的申請者，必須在該規(guī)定生效后登陸 EVUS登記，方可使用簽證。自2016 年 11 月起獲得 十年有效期 B1/B2、B1 或 B2 簽證的申請者，必須在首次前往美國旅行前登記。所有申請者的登記維持兩年有效，若旅客的簽證或護照兩者中有任何一者過期，EVUS登記的信息便失效。那么簽證持有人必須在前往美國前再次登陸EVUS更新個人信息。

我在幾個月前剛剛收到十年有效期的 B1/B2 簽證。我是否需要在 EVUS 登記后申請新簽證? 不需要，您的簽證仍然有效。但是，如果您在 2016 年 11 月以后前往美國，必須先在 EVUS 登記。EVUS 登記和申請簽證是不同的程序。

什么是 B1, B2，或 B1/B2 簽證？如何確認我所持有簽證的類型? B 類簽證為前往美國的普通商務(wù)和旅行簽證。您的簽證類別顯示在簽證右上角

旅客在哪里可以找到關(guān)于 EVUS 的更多信息? 最新信息可查見 www.cbp.gov/EVUS。請查看此網(wǎng)站來獲取最新信息。

填寫 EVUS 表格哪些人需要遵守 EVUS 要求? 從2016年11月開始,所有持中華人民共和國護照并同時持有十年有效期 B1/B2、B1 或 B2 簽證的中華人民共和國公民前往美國時必須遵守EVUS 的要求。用平板電腦或手機可以完成EVUS登記嗎？ 可以。EVUS平臺可以通過移動設(shè)備操作。如何支付EVUS費用？ 沒有信用卡怎么辦？

在網(wǎng)站開放接受及早登記時，美國海關(guān)和邊境保護局不會收取EVUS登記費用。美國海關(guān)和邊境保護局預期EVUS登記收費最終會實施，但目前尚未落實執(zhí)行時間。在收費實施前，旅客可以免費完成EVUS登記程序。

其他人可以幫助我在EVUS上登記嗎？比如旅行社？ 可以。朋友、親屬、專業(yè)的旅游業(yè)從業(yè)人員或其他第三方都可以代替旅客在EVUS上進行登記。旅客本人應(yīng)對代表他/她所提交的信息的真實性和準確性負責。

在進行EVUS登記過程中需要幫助，應(yīng)該怎么做？ 朋友、親屬、專業(yè)的旅游業(yè)從業(yè)人員或其他第三方都可以代替旅客在EVUS上進行登記。更多信息，請參見美國海關(guān)與邊境保護局的EVUS信息網(wǎng)站 www.cbp.gov/evus。如申請人對申請表的填寫有疑問，或在EVUS網(wǎng)站遇到問題，可撥打 00-1-202-325-0180 聯(lián)系EVUS客服中心。除了美國聯(lián)邦假日外，客服中心提供7天24小時服務(wù)，并配備普通話專員。您也可以通過發(fā)送郵件至evus@cbp.dhs.gov 聯(lián)系客服中心?？头行目梢曰卮鹇每完P(guān)于EVUS的問題，但所有EVUS的登記必須由旅客本人或第三方在線提交。美國使領(lǐng)館無法提供關(guān)于EVUS登記的詳細信息或為申請人解決登記失敗的問題。

EVUS登記提交后多久可以獲得批準？

大多數(shù)EVUS登記提交后會在數(shù)分鐘內(nèi)處理完畢，但是，最長會達到72個小時。美國海關(guān)和邊境保護局建議您在出行前盡早完成EVUS登記。

如果收到EVUS登記失敗的信息，應(yīng)該怎么做？

登記失敗有可能是因為行政疏失，如沒有在EVUS表格上提供完整的信息。如需協(xié)助，請參考美國海關(guān)和邊境保護局（CBP）信息網(wǎng)站www.cbp.gov/evus，或撥打

00-1-202-325-0180 聯(lián)系EVUS客服中心。除了美國聯(lián)邦假日外，客服中心提供7天24小時服務(wù)，并配備普通話專員。您也可以通過發(fā)送郵件至evus@cbp.dhs.gov 聯(lián)系客服中心。客服中心可以回答旅客關(guān)于EVUS的問題，但所有EVUS的登記必須由旅客本人或第三方在線提交。美國使領(lǐng)館無法提供關(guān)于EVUS登記的詳細信息或為申請人解決登記失敗的問題。

如果我收到EVUS登記失敗的信息，我需要重新在EVUS登記嗎？

登記失敗有可能是系統(tǒng)錯誤或因為申請人的輸入錯誤，如沒有提供完整或準確的信息。收到登記失敗信息的旅客在重新登記前，應(yīng)撥打 00-1-202-325-0180或發(fā)送郵件至evus@cbp.dhs.gov聯(lián)系 EVUS 客服中心。除了美國聯(lián)邦假日外，客服中心提供7天24小時服務(wù)?？头行呐鋫淦胀ㄔ拰T，可以回答旅客關(guān)于EVUS的問題。所有EVUS的登記必須由旅客本人或第三方在線提交。美國使領(lǐng)館無法提供關(guān)于EVUS登記的詳細信息或為申請人解決登記失敗的問題。

我能否加急EVUS登記？是否能在美國大使館或領(lǐng)事館預約加急？

加急登記是不可能的。美國使領(lǐng)館無法加快EVUS登記進程、提供關(guān)于EVUS登記的細節(jié)，或解決登記失敗的問題 美國是否預計將有大量持10年期B1/B2簽證的中國旅客在EVUS的登記會被拒絕？

不是。我們預計大多數(shù)EVUS登記會在數(shù)分鐘內(nèi)得到處理和批準。EVUS的啟用是為了定期（每兩年，或者在旅客獲得了新的護照和/或新的最長有效期[10年期]的美國簽證后）更新旅客的個人和入境資格信息。

如果我不知道如何用英文回答問題，該怎么辦？

旅客可以閱讀EVUS表格上的中文（普通話）問題。如果無法用英文回答，可尋求第三方的幫助。可由信任的朋友、親屬或旅行代理商代表旅客用英文完成表格的填寫。也可由第三方復查填寫完的申請或批準后的申請。旅客本人應(yīng)對代表其提交的全部信息的真實性和準確性負責。如果我在EVUS登記過程中填錯了怎么辦？可以修改嗎？ 旅客對EVUS登記的任何更新，包括修正一處錯誤，都是一次新的登記。

航空公司如何知道我是否已在EVUS登記？如果我沒有獲得EVUS的批準，他們可以給我登機牌嗎？

航空公司通過內(nèi)部聯(lián)網(wǎng)獲得EVUS的登記信息。從2016年11月29日開始，持中華人民共和國簽發(fā)的護照并同時持有最長有效期（10年期）B1/B2、B1或B2簽證的旅客，如果在航空公司系統(tǒng)中沒有有效的EVUS登記記錄，航空公司不會為其提供登機牌。

聯(lián)系客服中心的費用是多少？

客服中心免費提供協(xié)助服務(wù)，但您的電話運營商將可能對您撥打EVUS客服中心電話收取一定費用。EVUS客服中心的電話號碼設(shè)在美國華盛頓D.C.。EVUS客服中心也可以通過電子郵件evus@cbp.dhs.gov 提供幫助。

這項規(guī)定會對臺灣、香港和澳門的旅客有所影響嗎? 任何從這些地區(qū)出發(fā)的持中華人民共和國護照并同時持有十 年有效期 B1/B2、B1 或 B2 簽證的旅客，都必須在 EVUS 登記。使用其他旅行文件（包括香港特別行政區(qū)、澳門特別行政區(qū)和臺灣護照）的旅客，可繼續(xù)按照目前的方式前往美國旅行。

這項規(guī)定對居住在加拿大多年且符合加拿大落地移民 10 年期簽證的中國公民將產(chǎn)生何種影響? 任何持中華人民共和國護照并同時持有十 年有效期 B1/B2、B1 或 B2 簽證的旅客無論其當前居住地為何處，都必須在 EVUS登記個人信息。

旅客需要哪些信息以遵守 EVUS 的規(guī)定? 每次 EVUS 登記都必須包含簽證持有者的姓名、出生日期和護照及其他個人資料和工作信息。

EVUS 網(wǎng)站是否有翻譯版本? 有。網(wǎng)站有英文版和中文版。但是，所有 十年有效期 B1/B2、B1 或 B2 簽證的持有者必須以英文填寫 EVUS 的問題。旅客需要多久更新一次 EVUS 的信息? 每次信息更新視為一次EVUS登記。一次登記一般保持兩年有效，若旅客的簽證或護照兩者中有任何一者過期，EVUS登記的信息便失效。持有 十年有效期 B1/B2、B1 或 B2 簽證的中國公民在前往美國旅行（如果兩年期登記已過期）或獲取新護照時，需要更新信息。該網(wǎng)站是否安全或保護隱私? 是的。該網(wǎng)站由美國政府運作，并使用相關(guān)技術(shù)防止在未經(jīng)許可情況下的信息查閱。旅客通過 EVUS 登記的所有信息都會受到美國法律的嚴格管控，就如同美國法律對其他類似審查系統(tǒng)的管理一樣。

EVUS登記需要提供一張新照片嗎？照片是否須不同于簽證申請時提交的照片？

不用。EVUS不會要求旅客提交照片或指紋。該更新會要求旅客回答一系列關(guān)于他/她自己以及他/她的工作、背景、過去旅游行程/目的地等問題。

EVUS登記的問題和DS-160簽證申請的問題一樣嗎？ 盡管有一些區(qū)別、問題的用詞也可能跟簽證申請稍許不同，大多數(shù)EVUS要求提供的信息已包含在DS-160簽證申請書中。

第三方機構(gòu)是否能夠代替旅客查詢EVUS登記的狀態(tài)？ 是的。第三方可以代表個人旅客和團組旅客查詢EVUS登記的狀態(tài)。第三方也將能夠核實已完成的申請資料、更新未繳費或者已經(jīng)獲批的申請、為申請人提交費用和查看繳費的收據(jù)。旅客本人應(yīng)對代表他/她所提交的所有信息的真實性和準確性負責。

若旅客不遵守 EVUS 的規(guī)定會如何? 持有中華人民共和國護照并同時持有十 年有效期 B1/B2、B1 或 B2 簽證的旅客如不遵守 EVUS 規(guī)定，其旅行計劃可能會被延遲。

提交EVUS登記需要特別的軟件嗎？

電腦最低配置包括：支持128位加密的互聯(lián)網(wǎng)瀏覽器。支持所有主要的瀏覽器。請確認瀏覽器已升級到最新的版本，且開啟瀏覽器緩存（cookies）和JavaScript功能。我在提交EVUS登記的過程中遇到技術(shù)問題

提交過程中遇到問題有很多原因，請確保您的電腦達到最低配置要求。

用以登記EVUS的電腦最低配置為支持128位加密，且互聯(lián)網(wǎng)瀏覽器開啟了cookies和JavaScript功能。

如果您的電腦已達到最低配置要求，但還是遇到技術(shù)問題，這有可能是網(wǎng)頁瀏覽器或防火墻的問題。請檢查您的互聯(lián)網(wǎng)安全設(shè)置，如果設(shè)置級別過高，有可能屏蔽了EVUS網(wǎng)站。如果無法訪問，請使用另一個瀏覽器/電腦進行登記。最后，由于對垃圾郵件干擾的擔憂，一些互聯(lián)網(wǎng)服務(wù)供應(yīng)商會受到限制，您需要聯(lián)系當?shù)鼐W(wǎng)絡(luò)供應(yīng)商尋求幫助。

如果系統(tǒng)不允許您進入下一頁，可能是因為系統(tǒng)發(fā)現(xiàn)需要填寫的項目中出現(xiàn)錯誤（例如，無效的字符輸入，漏填等）。在這些錯誤被修正之前，您是無法繼續(xù)登記流程的。如果必填項目（標有紅色*號處）中沒有恰當填寫，系統(tǒng)會不斷返回到當前的頁面。

如果您的電腦死機，無法繼續(xù)運行，很可能是瀏覽器或電腦容量出問題，您可能將需要使用另一臺電腦。

如果還是存在技術(shù)問題，請點擊頁面底部EVUS客服中心的鏈接，提交要求幫助的申請。您需要提供一個電子郵箱地址以便我們回復，如果您沒有，請讓有電子郵箱的人幫助您。請把遇到的問題（用英文）確切描述，并告知我們您使用什么互聯(lián)網(wǎng)瀏覽器以及其版本。

旅行規(guī)劃美國海關(guān)和邊境保護局是否已經(jīng)就EVUS登記的要求提醒了旅客？

是的。在2016年7月，美國海關(guān)和邊境保護局向所有10年期B1/B2、B1和B2簽證持有者，根據(jù)其DS-160簽證申請表上填寫的郵箱地址，發(fā)送了電子郵件。除此之外，在很多（但并非全部）必須遵守EVUS要求的簽證持有者的簽證上都會有一個注釋。即使您的簽證上沒有該注釋，如果您持有中華人民共和國護照，并且護照上有10年期的B1、B2或B1/B2簽證，那么自11月29日起，您仍必須持有EVUS有效登記之后才能赴美旅行。

EVUS登記是否存在基于年齡大小的免登記規(guī)定？ 沒有。所有的旅客，無論年齡大小，只要持有中華人民共和國護照和10年期的B1/B2、B1或B2簽證，就必須有有效的EVUS登記才能赴美旅行 當前簽證是否仍然有效? 有效。當前的 B1/B2、B1 或 B2 簽證對前往美國的旅行仍然有效。在 2016 年 11 月以前，旅客無需填寫網(wǎng)上的 EVUS 表格。EVUS 登記和申請簽證是不同的程序。我有一個問題可是在這里找不到答案，我可以聯(lián)絡(luò)誰呢？ 如果您需要幫助，請打EVUS客服中心：00-1-202-325-0180。這個客服中心除了美國國定假日休息外，其余時間年中無休，每天24小時有專員回答您有關(guān)EVUS登記的問題。我們的客服中心備有說中文的專員服務(wù)您。您也可以用伊眉兒聯(lián)絡(luò)我們：EVUS@CBP.DHS.GOV 雖然此客服中心可以回答旅客有關(guān)EVUS的問題，但是所有EVUS的登記還是必須由旅客自己在EVUS網(wǎng)站上辦理或由第三者代為登記。EVUS問答補充如果我于2016年10月獲得了簽證，我必須于11月之后在EVUS上登記嗎？

是的。自2016年11月起，美國移民法規(guī)要求所有持中華人民共和國護照并同時持有10年有效期B1/B2、B1或B2簽證的旅客赴美前必須在EVUS上進行有效登記。此登記與您簽證的簽發(fā)時間無關(guān)。一旦系統(tǒng)啟用，您就可以在出發(fā)之前的任意時間進行登記。

我可以在即將赴美前更新個人信息嗎？如果兩年內(nèi)沒有計劃去美國，我也需要更新信息嗎？

一旦系統(tǒng)啟用，2016年11月之后赴美的旅客必須在出行前，包括抵達機場前，完成有效EVUS登記。旅客不應(yīng)該等到最后一刻才登記。每次登記自獲得批準時起，有效期為兩年或者截止到旅客獲得新護照時，兩者以先到期者為準。這就意味著在兩年內(nèi)，旅客不用再次登記就能多次赴美。自2016年11月起，我們鼓勵旅客在前往機場之前登錄EVUS官網(wǎng)查詢申請或登記的狀態(tài)。

我持有一個有效期為1年的美國簽證，我需要在EVUS上登記并付費嗎？EVUS僅適用于持有10年有效期美國簽證的旅客嗎？

EVUS僅適用于持有中華人民共和國護照并同時持有10年有效期B1/B2、B1或B2簽證的旅客。如果您持有中華人民共和國護照，但所持有的簽證有效期是1年，您無需在EVUS上登記。

在EVUS上登記之后，我有可能被拒絕入境美國嗎？ 所有訪美旅客，無論他們是否持有簽證，是否在EVUS上登記，或獲得其它旅行授權(quán)，在抵達入境口岸時都必須由美國海關(guān)和邊境保護局的官員審核是否獲準進入美國。無論是持有簽證還是已經(jīng)在EVUS上完成登記，都無法保證您一定能入境美國。這些規(guī)定并沒有改變。

如果我的公務(wù)護照和因私護照中都有10年有效期B1/B2、B1或B2簽證，我需要在EVUS上登記兩次嗎？ 是的。每一次EVUS登記對應(yīng)一個單獨的簽證-。這意味著您必須在EVUS上分別為每一本中華人民共和國護照上的每一個10年有效期簽證進行登記。EVUS和10年有效期簽證有什么關(guān)系？

2014年11月，美國政府和中國就簽發(fā)10年有效期旅游和商務(wù)簽證(B1/B2, B1或B2簽證)達成了雙邊互惠協(xié)議。該協(xié)議規(guī)定旅客須定期完成在線表格填寫以更新用于申請簽證的個人信息。EVUS的啟用是為了讓旅客在赴美前向移民官員提交最新的個人信息包括名字、護照號碼、地址和就業(yè)信息。

我的護照已過期。我需要在拿到新護照時立即進行EVUS登記，還是可以等到下次出行前再做EVUS登記？

如果您已更換護照，您需要在下次赴美前完成EVUS登記。我們建議您至少在赴美的前一周完成EVUS登記。如果我的個人信息沒有變化，我還需要在EVUS系統(tǒng)中登記嗎？

是的。為保證擁有最新的EVUS登記，您需要按照EVUS系統(tǒng)的指示進行登記，并檢查之前提供的個人信息，以確保所填內(nèi)容準確無誤。如果您所提供的信息仍然是準確的，那么您此次EVUS登記的有效期為兩年。在此期間，如果護照過期，EVUS登記也將隨之失效。如果更改了我的個人信息，是否意味著我的EVUS申請會自動被拒？

不是。我們希望您能提供最新的個人信息，以便入境美國。如果11月29日我在美國，還需要進行EVUS登記嗎？ 自2016年11月29日起，所有持中華人民共和國護照和10年期B1/B2、B1或B2 簽證的旅客通過航空、陸地、港口口岸入境美國，必須有EVUS登記。如果11月29日您已經(jīng)在美國，離開美國是不用進行EVUS登記的。但是，您必須在下一次赴美前進行登記。

填寫EVUS表格的時候我需要提供美國聯(lián)系人的信息，但是我沒有打算近期前往美國，而且/或者我在美國沒有聯(lián)系人，應(yīng)該怎么辦呢？

如果在美國沒有聯(lián)系人，您可以回答“不知道”。如果您有旅行計劃但是沒有直接的在美聯(lián)系人，您可以在聯(lián)系人“名字”一欄填寫酒店名或旅行團的在美聯(lián)系人。已經(jīng)獲得有效登記的個人不用再次提交新的登記就可以對在美聯(lián)系人、現(xiàn)就職單位信息或地址進行更新。但是，獲得了新護照、新簽證或重新申請EVUS的旅客需要完成一個新的登記。如果我即將去關(guān)島旅行，需要進行EVUS登記嗎？ 持有中華人民共和國護照的旅客需要有效的美國簽證進入關(guān)島。持中華人民共和國護照和最長有效期（10年）B1/B2、B1或B2簽證的旅客必須進行EVUS登記才能前往關(guān)島或其它美國目的地。

我有一個新的護照，需要在EVUS中登記，但是我有效的美國簽證在過期的護照里面。我可以進行EVUS登記嗎？需要獲得一個新的簽證嗎？

如果旅客有效的簽證在過期的護照中，進行EVUS登記時可以填寫有效的簽證信息和新護照的信息。填寫新的護照信息不需要獲得一個新的簽證。

點擊“提交”之后，我收到了“登記失敗”的回復，我是否應(yīng)該立即嘗試重新登記？

不。如果您收到了“登記失敗”的回復，請不要在24 小時內(nèi)嘗試重新登記。請參見CBP.gov/evus上面的信息或者撥打電話 001 202 325 0180或發(fā)送郵件至evus@cbp.dhs.gov聯(lián)系EVUS的客服中心。

我成功地進行了EVUS登記，但有效期并不是兩年，是出現(xiàn)了錯誤嗎？

不是。美國要求入境時旅客的護照至少還有6個月的有效期。這樣一來，EVUS登記會在旅客護照過期前6個月失效，因為那時旅客已經(jīng)不能使用其護照赴美了。

系統(tǒng)顯示我已經(jīng)登過記了，我會收到郵件或短信確認嗎？ 不會。完成EVUS登記的旅客將不會收到郵件或短信確認。旅客可以在www.evus.gov 主頁上點擊“查詢已存在的登記”進行確認。旅行時您也不需要出示打印出來的EVUS登記確認頁。您的登記會通過電子方式得到確認。

商家推廣總結(jié)

第三篇：美國網(wǎng)絡(luò)安全政策審議報告

網(wǎng)絡(luò)安全保護不力成為奧巴馬政府面臨的最緊迫的國家安全問題之一。因此，報告通過對與信息和通信基礎(chǔ)設(shè)施有關(guān)的所有任務(wù)和活動進行評估，就未來如何實現(xiàn)擁有可靠、有韌性和值得信賴的數(shù)字基礎(chǔ)設(shè)施進行說明。報告主要以五個主題介紹調(diào)查結(jié)果和行動方案：一是最高層實施領(lǐng)導，二是打造數(shù)字化國家的能力，三是共同承擔網(wǎng)絡(luò)安全責任，四是建立有效信息共享和事件反應(yīng)框架，五是構(gòu)筑未來架構(gòu)。此外，報告還就行動計劃提出近期和中期建議。報告指出，保護網(wǎng)絡(luò)空間需要有先見之明的領(lǐng)導，需要在政策、技術(shù)、教育乃至法律等方面進行變革。此外，政府最高領(lǐng)導層、產(chǎn)業(yè)界和民間社會要共同致力于網(wǎng)絡(luò)安全，使美在加強國家安全和促進全球經(jīng)濟的同時，繼續(xù)在創(chuàng)新和尖端技術(shù)運用方面保持領(lǐng)先地位。

【本刊訊】美國白宮網(wǎng)站5月29日發(fā)表一份報告，題為《網(wǎng)絡(luò)空間政策評估》，副題為《確保擁有可靠的和有韌性的信息與通信基礎(chǔ)設(shè)施》，全文如下：

前 言

網(wǎng)絡(luò)空間幾乎涉及到每個人和每件事。網(wǎng)絡(luò)空間提供了一個創(chuàng)新與繁榮的平臺，提供了全世界改善整體福利的方法與途徑。但是由于很多人都可以輕而易舉地觸及到管控松散的數(shù)字基礎(chǔ)設(shè)施，各種巨大的風險正在對國家、私營企業(yè)和個人權(quán)利構(gòu)成威脅。美國政府有責任解決這些網(wǎng)絡(luò)空間的戰(zhàn)略缺陷及弱點，確保美國及其公民與世界更多的國家共同充分發(fā)揮潛力，實現(xiàn)信息技術(shù)革命。

主要以國際互聯(lián)網(wǎng)為基礎(chǔ)的國家數(shù)字基礎(chǔ)設(shè)施架構(gòu)并不具有安全性，或者說韌性比較差。如果這些系統(tǒng)在安全上沒有取得重大進展，或在如何構(gòu)建和運營上沒有實現(xiàn)重大改觀，很難讓人相信美國能夠保護自己免受網(wǎng)絡(luò)犯罪日益嚴重的威脅，免遭由國家支持的入侵和軍事行動的日益嚴重威脅。我們的數(shù)字基礎(chǔ)設(shè)施早已經(jīng)遭受到入侵，犯罪分子已經(jīng)竊取了億萬美元，一些國家和機構(gòu)團體盜取了知識產(chǎn)權(quán)和敏感的軍事情報。還有的入侵可能會損壞我們部分關(guān)鍵基礎(chǔ)設(shè)施。美國的經(jīng)濟和安全利益都是以信息系統(tǒng)為基礎(chǔ)，這些形形色色的風險有可能會動搖國家對信息系統(tǒng)的信賴。聯(lián)邦政府還沒有組織起來有效地解決這個目前或在未來日益嚴重的問題。聯(lián)邦政府很多部門和機構(gòu)都擔負有網(wǎng)絡(luò)安全的責任，但存在職權(quán)重疊的問題，沒有一個部門擁有足夠的決策權(quán)來指揮行動，協(xié)調(diào)一致地去處理相互矛盾的問題。政府需要綜合考慮各方競爭的利益，制定出一個全面設(shè)想和計劃，以解決美國面臨的網(wǎng)絡(luò)安全問題。國家需要制定出必要的政策和程序，培養(yǎng)相關(guān)人才和發(fā)展相關(guān)技術(shù)，以降低網(wǎng)絡(luò)安全所面臨的風險。

無論是在美國國內(nèi)還是在國際上，信息和通信網(wǎng)絡(luò)基本上是歸私營部門所有并經(jīng)營的。因此，解決網(wǎng)絡(luò)安全問題需要建立起政府和私營部門兩者之間的伙伴關(guān)系，要進行國際合作并制訂國際準則。美國需要擁有一個全面的架構(gòu)，以確保政府、私營部門和我們的盟國在發(fā)生重大網(wǎng)絡(luò)事件或威脅時，協(xié)調(diào)一致地做出反應(yīng)和進行防御。

美國需要開展一次全國性的網(wǎng)絡(luò)安全討論，從而使更多的民眾認識到網(wǎng)絡(luò)威脅與網(wǎng)絡(luò)風險，以確保擁有一套完整的辦法來滿足國家對網(wǎng)絡(luò)安全的需要，并履行國家做出的承諾，維護受憲法和法律保護的公民個人隱私權(quán)和自由權(quán)。

確保信息和通信基礎(chǔ)設(shè)施安全并具有較強的韌性，僅僅依靠研究新的辦法是遠遠不夠的。政府需要加大研究經(jīng)費投入，這將有助于解決網(wǎng)絡(luò)安全上存在的弱點，同時也能滿足我們經(jīng)濟和國家安全的需要。

概 述

總統(tǒng)指示要在60天內(nèi)完成一份全面、全新的評估報告，對美國網(wǎng)絡(luò)安全政策和組織結(jié)構(gòu)進行評估。網(wǎng)絡(luò)安全政策包括網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)空間運行的戰(zhàn)略、方針及標準，涵蓋了所有的降低威脅、減少弱點、威懾、國際參與、應(yīng)急反應(yīng)、確保韌性及恢復能力的政策與行動，并包括計算機網(wǎng)絡(luò)運行、信息安全保障、執(zhí)法、外交、軍事和情報工作等。這些要素與全球信息與通信基礎(chǔ)設(shè)施的安全與穩(wěn)定息息相關(guān)。評估報告研究的內(nèi)容并不包括與國家安全或基礎(chǔ)設(shè)施安全無關(guān)的其它信息與通信政策。由政府網(wǎng)絡(luò)安全專家組成的評估小組負責匯總產(chǎn)業(yè)界、學術(shù)界、公民自由與隱私維權(quán)團體、州政府、國際合作伙伴，以及國家立法和行政部門提出的具有廣泛代表性的意見和建議。本文對評估小組的結(jié)論進行了綜述，并概括地說明了在未來如何開始實現(xiàn)擁有可靠、有韌性和值得信賴的數(shù)字基礎(chǔ)設(shè)施。

美國正處在十字路口。全球互聯(lián)的數(shù)字信息與通信基礎(chǔ)設(shè)施被稱為“網(wǎng)絡(luò)空間”?，F(xiàn)代社會的方方面面幾乎都離不開網(wǎng)絡(luò)空間。網(wǎng)絡(luò)空間對美國經(jīng)濟、民用基礎(chǔ)設(shè)施、公共安全和國家安全提供了重要的支撐。這項技術(shù)已經(jīng)使全球經(jīng)濟發(fā)生了改變，使人們以難以想象的方式聯(lián)系在一起。然而，網(wǎng)絡(luò)安全的風險也構(gòu)成了二十一世紀最嚴峻的經(jīng)濟挑戰(zhàn)和國家安全挑戰(zhàn)。數(shù)字基礎(chǔ)設(shè)施架構(gòu)的構(gòu)筑更多的是基于互通性和效率上的考慮，而不是從安全的角度進行考量的。因此，越來越多的國家和非國家行為體開始破壞、盜竊、篡改或毀壞信息，這會給美國的系統(tǒng)造成重大破壞。與此同時，傳統(tǒng)的電信和互聯(lián)網(wǎng)日益融為一體，而在其它基礎(chǔ)設(shè)施領(lǐng)域，互聯(lián)網(wǎng)正日益成為互聯(lián)互通的主要手段。美國正面臨著雙重挑戰(zhàn)，既要維護促進高效、創(chuàng)新、經(jīng)濟繁榮和自由貿(mào)易的良好環(huán)境，又要確保安全、保密，維護公民自由和隱私權(quán)。解決網(wǎng)絡(luò)空間存在的戰(zhàn)略漏洞，并確保美國和世界充分發(fā)揮潛能實現(xiàn)信息技術(shù)革命，這是我們政府的一個基本責任。

再也不能容忍目前的狀況。美國必須向世界表明，美國將憑借強有力的領(lǐng)導和對遠景的規(guī)劃，嚴肅認真地迎接這一挑戰(zhàn)。頂層領(lǐng)導應(yīng)該得到加強，白宮應(yīng)成為網(wǎng)絡(luò)安全領(lǐng)導核心，提供指導，協(xié)調(diào)行動，并取得成效。此外，要落實聯(lián)邦政府網(wǎng)絡(luò)安全的領(lǐng)導責任制。這種方法要求明確聯(lián)邦政府各部門和機構(gòu)的網(wǎng)絡(luò)安全任務(wù)和職責，同時提供相關(guān)政策、法律程序和必要的協(xié)調(diào)，使各部門能夠各司其職。在過去的兩年中，我們已經(jīng)開始實施重大的計劃，并通過對各機構(gòu)的不同任務(wù)進行“銜接”而取得了長足的進步，但這樣做并沒有提供一個完備的解決辦法。此外，這一問題超越了各個政府部門和機構(gòu)的管轄范圍。盡管每個部門和機構(gòu)在網(wǎng)絡(luò)安全方面都發(fā)揮著不可替代的作用，但任何一個部門都不具備足夠廣闊的視野或足夠的權(quán)威，來徹底解決這個問題。

立即啟動全國網(wǎng)絡(luò)安全大討論。美國政府應(yīng)該與業(yè)界共同向民眾解釋清楚這個挑戰(zhàn)的性質(zhì)，并詳細說明國家將通過何種方式來解決面臨的問題。從某種程度上講，也就是讓美國公民充分認識采取行動的必要性。人們?nèi)舨幌攘私饩W(wǎng)絡(luò)問題的危急程度就不可能重視網(wǎng)絡(luò)安全。因此，聯(lián)邦政府應(yīng)借鑒以往成功的宣傳經(jīng)驗，發(fā)起一個全國性的網(wǎng)絡(luò)空間安全公眾意識教育運動。此外，與1957年10月蘇聯(lián)發(fā)射第一顆人造地球衛(wèi)星后的一段時間類似，我們正面臨一場全球數(shù)學和科學技能競賽。我們繼續(xù)擁有世界上最好的信息技術(shù)產(chǎn)業(yè)環(huán)境，但同時國家應(yīng)培養(yǎng)參加全球競爭并保持領(lǐng)導地位所必需的勞動大軍。

孤軍奮戰(zhàn)不可能保證網(wǎng)絡(luò)空間安全。美國政府應(yīng)加強與私營部門的合作。政府部門與私營部門的利益是交織在一起的，它們的共同責任就是確保擁有安全、可靠的基礎(chǔ)設(shè)施。聯(lián)邦政府在很多方面是可以與私營部門合作的。政府應(yīng)該探究和開發(fā)那些可供選擇的辦法。政府與私營部門網(wǎng)絡(luò)安全的合作伙伴關(guān)系必須得以發(fā)展，并清晰地界定這種關(guān)系的性質(zhì)，包括明確各自的分工和職責。聯(lián)邦政府應(yīng)審查現(xiàn)有的政府與私營企業(yè)的合作伙伴關(guān)系，確定優(yōu)先任務(wù)，采取具體行動，以發(fā)揮最大的效能。

美國還需要制定一個網(wǎng)絡(luò)安全戰(zhàn)略，以塑造國際環(huán)境，使志同道合的國家就領(lǐng)土管轄權(quán)、主權(quán)責任與動用軍隊的相關(guān)技術(shù)標準和公認法律規(guī)范等一系列問題達成共識。國際規(guī)范對于建立安全和繁榮的數(shù)字基礎(chǔ)設(shè)施是至關(guān)重要的。此外，各個國家和地區(qū)不同的法律規(guī)定和做法也給創(chuàng)造安全、保密和值得信賴的網(wǎng)絡(luò)環(huán)境帶來嚴重挑戰(zhàn)。這些法律上的差異對實現(xiàn)安全、可靠和有韌性的數(shù)字環(huán)境構(gòu)成了挑戰(zhàn)，并涉及到網(wǎng)絡(luò)犯罪調(diào)查與起訴、數(shù)據(jù)保存、數(shù)據(jù)保護和數(shù)據(jù)隱私權(quán)、網(wǎng)絡(luò)防御和應(yīng)對網(wǎng)絡(luò)攻擊的反應(yīng)等等一系列問題。只有通過與國際合作伙伴的共同努力，美國才有可能更好地應(yīng)對這些挑戰(zhàn)，加強網(wǎng)絡(luò)安全，并全面享用數(shù)字時代帶來的巨大利益。

在保護國家免遭網(wǎng)絡(luò)事件或事故沖擊方面，聯(lián)邦政府既不能全部包辦也不能回避職責。聯(lián)邦政府擔負有保衛(wèi)國家的責任，各級政府擔負著確保公民安全和福祉的責任。但是，私營部門設(shè)計、建造、擁有并經(jīng)營著大部分的數(shù)字基礎(chǔ)設(shè)施，為政府和私人使用者提供網(wǎng)絡(luò)支持。美國需要有一個全面的框架方案，以確保在遇有重大事件發(fā)生時，聯(lián)邦、州、地方和原住民保留地政府，以及私營部門和國際盟友做出協(xié)調(diào)一致的反應(yīng)。執(zhí)行本框架方案需要制訂報告制度、針對不同情況的應(yīng)急計劃和災(zāi)后恢復計劃，以及完成這些計劃所必需的協(xié)調(diào)、信息共享和事件報告機制。

政府與重要的利益攸關(guān)方應(yīng)共同努力，設(shè)計一個有效的機制以實現(xiàn)真正共同運作的構(gòu)想，將政府和私營部門的信息整合成一體，并以此作為信息通暢、按輕重緩急順序推進減災(zāi)工作和做出應(yīng)急反應(yīng)決策的基礎(chǔ)。

與私營部門合作要求明確下一代基礎(chǔ)設(shè)施的性能和安全目標。美國應(yīng)充分利用技術(shù)優(yōu)勢滿足國家經(jīng)濟和安全需要。即使面對敵人利用先進技術(shù)實施的攻擊，聯(lián)邦政府制定的政策也應(yīng)該能夠保證國家安全、知識產(chǎn)權(quán)保護和基礎(chǔ)設(shè)施的不間斷工作。聯(lián)邦政府必須與私營部門及學術(shù)界合作，闡明協(xié)調(diào)一致的國家信息和通信基礎(chǔ)設(shè)施的性能和安全目標。應(yīng)與州、地方政府通力合作，制訂有效的采購戰(zhàn)略，推動市場制造更安全的產(chǎn)品并為公眾提供各種有效的服務(wù)。政府還應(yīng)探索另外的一些激勵機制，包括調(diào)整法律責任（安全改善后責任減少，安全條件差則導致責任增加）、補償及稅收優(yōu)惠、以及新的監(jiān)管規(guī)定和執(zhí)行機制等。

白宮必須指明前進的道路。在過去15年里，國家采取的網(wǎng)絡(luò)安全措施沒能跟上威脅的發(fā)展變化。我們需要向國內(nèi)外證明，美國是在認真地對待網(wǎng)絡(luò)安全相關(guān)的問題、政策和活動。這就要求由白宮掛帥，充分利用整個國家的力量，做到集思廣益。

導 言

什么是網(wǎng)絡(luò)空間：第54號國家安全總統(tǒng)令暨第23號國土安全總統(tǒng)令將網(wǎng)絡(luò)空間定義為：信息技術(shù)基礎(chǔ)設(shè)施相互依存的網(wǎng)絡(luò)，包括互聯(lián)網(wǎng)、電信網(wǎng)、電腦系統(tǒng)以及重要產(chǎn)業(yè)中的處理器和控制器。常見的用法還指信息虛擬環(huán)境以及人與人之間的互動。

全球相互聯(lián)接的數(shù)字信息和通信基礎(chǔ)設(shè)施被稱之為“網(wǎng)絡(luò)空間”。它幾乎成為現(xiàn)代社會各領(lǐng)域的基礎(chǔ)，并為美國經(jīng)濟、民用基礎(chǔ)設(shè)施、公共安全和國家安全提供重要的支撐。信息技術(shù)已經(jīng)改變了全球的經(jīng)濟，并超乎想象地把人和市場聯(lián)接在一起。為充分享用數(shù)字革命帶來的好處，所有用戶必須樹立起堅強的信心，確信敏感信息是安全的，商業(yè)活動不會受到損害和基礎(chǔ)設(shè)施不會遭到入侵。世界各國還需要樹立信心，相信支持其國家安全和經(jīng)濟繁榮的網(wǎng)絡(luò)是安全的、有韌性的。擁有可靠的通信與信息基礎(chǔ)設(shè)施將會確保美國充分發(fā)揮信息技術(shù)革命的潛力。第四十四屆總統(tǒng)網(wǎng)絡(luò)安全委員會在2008年12月的報告中明確指出，“美國網(wǎng)絡(luò)安全保護不力是新一屆美國政府所面臨的最緊迫的國家安全問題之一”。

保護網(wǎng)絡(luò)空間需要具有卓越的先見之明和強有力的領(lǐng)導，需要在政策、技術(shù)、教育乃至法律等方面進行變革。政府最高領(lǐng)導層、產(chǎn)業(yè)界和民間社會共同致力于網(wǎng)絡(luò)安全，這會使美國在加強國家安全和促進全球經(jīng)濟的同時，繼續(xù)在創(chuàng)新和尖端技術(shù)運用方面保持領(lǐng)先地位。

評估的理由

網(wǎng)絡(luò)威脅對21世紀美國和我們盟友的經(jīng)濟和國家安全構(gòu)成了最嚴重的挑戰(zhàn)。

越來越多的國家和非國家行為體，如恐怖分子和國際犯罪集團，開始把攻擊目標對準了美國的公民、商業(yè)、重要的基礎(chǔ)設(shè)施和政府。他們有能力危害、竊取、篡改或完全毀壞信息。持續(xù)非法利用信息網(wǎng)絡(luò)和破壞敏感數(shù)據(jù)等行為，特別是由國家實施的破壞行動，使美國經(jīng)濟競爭力和軍事技術(shù)優(yōu)勢蒙受損失。正如國家情報總監(jiān)最近在國會作證時所陳述的那樣：“信息系統(tǒng)、互聯(lián)網(wǎng)和其它基礎(chǔ)設(shè)施之間越來越多地聯(lián)接在一起，為攻擊者破壞電信、電力、能源管道、煉油廠、金融網(wǎng)和其它關(guān)鍵基礎(chǔ)設(shè)施創(chuàng)造了機會”。情報界分析認為，一些國家早已擁有了實施這種攻擊的技術(shù)能力。

日趨復雜、廣泛的犯罪活動，以及網(wǎng)絡(luò)事件所造成的危害凸顯出網(wǎng)絡(luò)空間惡意行為的危害性，包括損害美國的競爭力、降低對隱私和公民自由的有效防護、破壞國家的安全或使公眾失去信任感，甚至癱瘓社會。例如：

關(guān)鍵基礎(chǔ)設(shè)施失靈。根據(jù)中央情報局報告，針對信息技術(shù)系統(tǒng)進行的惡意活動，已經(jīng)使海外多個地區(qū)的供電設(shè)施遭到破壞。在其中的一起案例中，惡意行為曾導致多個城市斷電。

惡意利用全球金融服務(wù)。據(jù)媒體報道，2008年11月，一家國際銀行付款處理器遭到惡意侵犯，導致遍布49個城市的130多臺自動取款機非正常交易達半小時之久。在媒體報道的另一起案件中，一家美國零售商在2007年遭遇了數(shù)據(jù)被破壞和個人身份識別信息丟失的惡性事件，殃及4500萬張信用卡和借記卡。

美國經(jīng)濟遭受全面損失。業(yè)界估計，知識產(chǎn)權(quán)與數(shù)據(jù)失竊在2008年給美國造成了高達1萬億美元的損失。

本報告中提及的網(wǎng)絡(luò)安全政策，包括了網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)運營戰(zhàn)略、政策和標準，并涵蓋了全面降低威脅、減少弱點、實施威懾、國際參與、應(yīng)急反應(yīng)、韌性和恢復政策及行動；還包括與全球信息與通信基礎(chǔ)設(shè)施的安全與穩(wěn)定息息相關(guān)的計算機網(wǎng)絡(luò)運行、信息安全保障、執(zhí)法、外交、軍事和情報活動，但并不包括與國家安全及基礎(chǔ)設(shè)施安全無關(guān)的其它信息與通信政策。

全新的評估

因為認識到所面臨的挑戰(zhàn)與機遇，總統(tǒng)將網(wǎng)絡(luò)安全確定為本屆政府的優(yōu)先議題，并指示對此進行60天的全面審查，以評估美國網(wǎng)絡(luò)安全政策與結(jié)構(gòu)。評估與信息和通信基礎(chǔ)設(shè)施有關(guān)的所有任務(wù)和活動，包括計算機網(wǎng)絡(luò)防御、執(zhí)法調(diào)查、軍事與情報活動，以及與之有關(guān)的信息安全、反間諜，反恐、電信政策和綜合的關(guān)鍵基礎(chǔ)設(shè)施保護等方面內(nèi)容。由政府網(wǎng)絡(luò)安全專家組成的評估小組徹查了相關(guān)的總統(tǒng)政策令、行政命令、國家戰(zhàn)略和政府顧問委員會及私營部門提供的研究報告。評估小組還向政府部門和機構(gòu)征求了意見，讓它們按要求就各自與網(wǎng)絡(luò)安全相關(guān)的特別活動、權(quán)限和能力提供材料，并要求政府部門和機構(gòu)確認那些可能沒有列入評估初稿之中的新的需求或已存在的需求。于是很多的法律問題浮出水面，如集中管理問題，政府使用什么樣機構(gòu)來保護私有重要基礎(chǔ)設(shè)施，互聯(lián)網(wǎng)監(jiān)控軟件的安裝，自動攻擊檢測和預警的應(yīng)用，聯(lián)邦政府與第三方數(shù)據(jù)共享和私人信息的保護責任等。評估小組還與聯(lián)邦政府內(nèi)外廣大利益攸關(guān)方進行了溝通。小組力爭透明，與產(chǎn)業(yè)界、學術(shù)界、公民自由與隱私社團、州政府、國際合作伙伴以及立法和行政部門廣泛溝通，分析與評估其它相關(guān)的計劃和事務(wù)。面對各方———學術(shù)界、產(chǎn)業(yè)界和政府———一道努力建立值得信賴和富有韌性的通信與信息基礎(chǔ)設(shè)施的難得機會，評估小組給這些利益攸關(guān)方規(guī)定了評估的范圍，并要求它們就相關(guān)領(lǐng)域提供材料。這種溝通工作包括40多次會議，形成了100多份帶有具體建議和目標的文件。相關(guān)各方的反饋和公開說明，如國會證詞等有助于確定重大需求，指明政策差距，提出改進或合作的領(lǐng)域，并為與網(wǎng)絡(luò)空間安全相關(guān)的政策決策提供了參考。

評估小組發(fā)現(xiàn)，在整個信息和通信基礎(chǔ)設(shè)施發(fā)展過程中，各部門和機構(gòu)的任務(wù)與職權(quán)是依據(jù)當時管理多樣化和分散的技術(shù)及產(chǎn)業(yè)的法律和政策確定的。而由此產(chǎn)生的各項計劃主要是用于處理當時的特定問題，未必適應(yīng)今天對數(shù)字化信息高度依賴的現(xiàn)實。

技術(shù)對國家和經(jīng)濟安全的影響促使聯(lián)邦政府調(diào)整法律和組織機構(gòu)，以適應(yīng)形勢發(fā)展。例如：

在1918年的一個聯(lián)合決議案中，國會授權(quán)總統(tǒng)掌控美國所有電報系統(tǒng)，并根據(jù)需要在第一次世界大戰(zhàn)期間使用電報系統(tǒng)。

1934年《通信法》決定由聯(lián)邦無線電通信委員會組建聯(lián)邦通信委員會，并為所有電報和無線電通信建立完備的規(guī)章制度，對此類技術(shù)的后繼發(fā)展產(chǎn)生了深遠的影響。

1965年《布魯克斯法案》規(guī)定國家標準局———現(xiàn)在的商務(wù)部國家標準與技術(shù)研究院———負責制定自動數(shù)據(jù)處理標準和聯(lián)邦計算機系統(tǒng)相關(guān)準則。

1984年，第12472號行政命令重新將美國國家通信系統(tǒng)特許經(jīng)營權(quán)賦予聯(lián)邦政府，作為滿足國家安全和應(yīng)急備用之需的聯(lián)邦電信財產(chǎn)。2003年，美國國土安全部接管了美國國家通信系統(tǒng)的經(jīng)營權(quán)。

1994年，美國國務(wù)院根據(jù)《對外關(guān)系授權(quán)法》，負責管理與國際通信和信息政策有關(guān)的外交政策。

要解決“誰負責”的問題，就必須解決政府部門和機構(gòu)間任務(wù)和職權(quán)分配問題，特別是在電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)相互融合，以及其它基礎(chǔ)設(shè)施部門日益依賴互聯(lián)網(wǎng)，以實現(xiàn)互聯(lián)互通的背景下，情況更是如此。將已經(jīng)發(fā)展了一個多世紀的任務(wù)職責統(tǒng)一起來，這就要求聯(lián)邦政府詳細闡明政策，分清政府各部門和機構(gòu)在網(wǎng)絡(luò)安全方面各自任務(wù)和責任。評估小組對20多個聯(lián)邦政府部門和機構(gòu)的反饋意見進行了分析，查明了網(wǎng)絡(luò)安全相關(guān)政策存在的漏洞、重疊的任務(wù)職能和相互協(xié)作的機會。

隨著威脅日益復雜，應(yīng)對網(wǎng)絡(luò)空間風險以及部門和機構(gòu)間的溝通協(xié)作也因時而變。1998年5月簽署的第63號總統(tǒng)令規(guī)定，在白宮的直接領(lǐng)導下設(shè)立了一個機構(gòu)，指定牽頭部門和機構(gòu)，協(xié)調(diào)相關(guān)行動，并與私營企業(yè)相應(yīng)部門合作，以“消除我們重要基礎(chǔ)設(shè)施———特別是我們的網(wǎng)絡(luò)系統(tǒng)———在防范和抵御物理和網(wǎng)絡(luò)攻擊方面存在的任何漏洞”。這項政策在2003年的《確保網(wǎng)絡(luò)空間安全國家戰(zhàn)略》文件中又進行了修訂。

2003年底的第7號國家安全總統(tǒng)令進一步增強了這項工作。該命令賦予國土安全部全面協(xié)調(diào)國家重要基礎(chǔ)設(shè)施———包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施———的保護工作；可跨越所有部門與行政部門指定的具體機構(gòu)進行合作。這兩項政策的重點是防御性措施，第7號國家安全總統(tǒng)令并未包括保護聯(lián)邦政府的信息系統(tǒng)。2007年，《國家網(wǎng)絡(luò)安全綜合計劃》采取了不同的方略，其核心是把過去分散的網(wǎng)絡(luò)防御任務(wù)與執(zhí)法、情報、反間諜和軍事能力“銜接”起來，解決各種各樣來自遠程網(wǎng)絡(luò)入侵和內(nèi)部違規(guī)操作所造成的網(wǎng)絡(luò)威脅，以彌補存在的一系列不足?！秶揖W(wǎng)絡(luò)安全綜合計劃》的策略在第54號和第23號國家安全總統(tǒng)令中被定為法律，主要針對行政部門的網(wǎng)絡(luò)安全。但行政部門的網(wǎng)絡(luò)在美國所依賴的全球信息與通信基礎(chǔ)設(shè)施中僅僅占很小的份額。

本文總結(jié)了評估小組的調(diào)查結(jié)果，并介紹了有助于美國未來實現(xiàn)更可靠、有韌性、值得信賴的數(shù)字基礎(chǔ)設(shè)施的一些初步步驟。它并未對各種選擇或諸多計劃的審核提供深入的分析。相反，它提出了需要加強協(xié)調(diào)和綜合發(fā)展的政策。文章用5個主題詳細地介紹了調(diào)查結(jié)果和行動方案：一是頂層領(lǐng)導，二是建設(shè)數(shù)字化國家的能力，三是共同負責網(wǎng)絡(luò)安全，四是加強信息共享和應(yīng)急反應(yīng)，五是構(gòu)筑未來架構(gòu)。

第一章 從最高層實施領(lǐng)導

確保網(wǎng)絡(luò)空間擁有足夠韌性并值得信賴，以支持美國的經(jīng)濟增長、公民自由與隱私保護、國家安全和民主體制的完善，需要把網(wǎng)絡(luò)安全列為國家頭等大事。只有在政府最高層領(lǐng)導下才能完成這一重要而復雜的任務(wù)。

由白宮實施領(lǐng)導由白宮掌握網(wǎng)絡(luò)安全相關(guān)政策的領(lǐng)導權(quán)并提升領(lǐng)導的層級，會向美國和國際社會發(fā)出明確的信號，即我們對網(wǎng)絡(luò)安全問題的態(tài)度是非常嚴肅認真的。許多政府的部門和機構(gòu)，以及總統(tǒng)辦事機構(gòu)將需要協(xié)調(diào)不同的職責和權(quán)限，以有效地促進網(wǎng)絡(luò)安全。目前，沒有一個人或一個組織專門擔負著協(xié)調(diào)聯(lián)邦政府網(wǎng)絡(luò)安全相關(guān)活動的職責。如果沒有一個中央?yún)f(xié)調(diào)機制、沒有更新的國家戰(zhàn)略、沒有各行政部門制定和協(xié)調(diào)的行動計劃，以及沒有國會的支持，靠單打獨斗的工作方式不足以應(yīng)付這一挑戰(zhàn)。

政府行政部門早已經(jīng)設(shè)立了一個由國家安全委員會和國土安全委員會共同領(lǐng)導的信息和通信基礎(chǔ)設(shè)施跨部門政策委員會，作為解決有關(guān)網(wǎng)絡(luò)問題的主要政策協(xié)調(diào)機構(gòu)，以便獲得可信、可靠、安全和長久的全球信息和通信基礎(chǔ)設(shè)施及相關(guān)能力。

美國總統(tǒng)應(yīng)該考慮再任命一名白宮網(wǎng)絡(luò)安全政策官，該官員應(yīng)向國家安全委員會和國家經(jīng)濟委員會報告，以協(xié)調(diào)全國范圍內(nèi)與網(wǎng)絡(luò)安全有關(guān)的政策和活動。此官員將主管信息和通信基礎(chǔ)設(shè)施跨部門政策委員會工作，加強與總統(tǒng)辦事機構(gòu)其它部門協(xié)調(diào)領(lǐng)導工作，解決各種優(yōu)先任務(wù)和協(xié)調(diào)政府部門間網(wǎng)絡(luò)安全政策和戰(zhàn)略的發(fā)展。網(wǎng)絡(luò)安全政策官應(yīng)該參與所有相關(guān)的經(jīng)濟、反恐和科學與技術(shù)政策的討論和研究，并制定網(wǎng)絡(luò)安全長遠規(guī)劃。

要取得成功，總統(tǒng)網(wǎng)絡(luò)安全政策官必須得到總統(tǒng)的全力支持、擁有權(quán)威和足夠的資源，以便在政策制定和協(xié)調(diào)部門間的網(wǎng)絡(luò)安全相關(guān)活動中有效地開展工作。其手下至少有國家安全委員會的兩名資深主任和適當?shù)墓ぷ魅藛T輔佐，并至少有一名國家經(jīng)濟委員會的資深主任和適量的工作人員為其工作。這些資深主任應(yīng)通過網(wǎng)絡(luò)安全政策官向上匯報工作，并共同致力于達成本報告所設(shè)定的目標及其它國家政策。此外，為促進國家安全委員會內(nèi)部的整合，委員會中的每個地區(qū)主管局和職能局應(yīng)當專設(shè)一名工作人員，負責本單位職能范圍內(nèi)的網(wǎng)絡(luò)安全事務(wù)，并與國安會新設(shè)的網(wǎng)絡(luò)安全局協(xié)調(diào)工作。

網(wǎng)絡(luò)安全政策官不應(yīng)擁有管理網(wǎng)絡(luò)運營的責任或權(quán)力，也沒有權(quán)力自己制定政策。網(wǎng)絡(luò)安全政策官應(yīng)當利用政府部門和機構(gòu)間的協(xié)調(diào)程序，一切工作都要與聯(lián)邦政府的首席技術(shù)官和首席信息官，以及管理與預算局、科學與技術(shù)政策辦公室和國家經(jīng)濟委員會等相關(guān)部門進行商議，協(xié)調(diào)整個聯(lián)邦政府有關(guān)網(wǎng)絡(luò)安全的政策和技術(shù)工作，確保在總統(tǒng)的預算中能反映出網(wǎng)絡(luò)安全工作是聯(lián)邦政府的優(yōu)先工作，并進入立法議程。

該網(wǎng)絡(luò)安全政策官亦可被任命擔任白宮網(wǎng)絡(luò)應(yīng)急反應(yīng)行動官（其職能與白宮監(jiān)控恐怖襲擊和自然災(zāi)害的行動官員相類似），這一任命也將使美國更有效地進行危機管理；政府部門和機構(gòu)將繼續(xù)擔負各自的網(wǎng)絡(luò)運營職責。

為了便于協(xié)調(diào)，所有聯(lián)邦政府部門和機構(gòu)應(yīng)該在各自內(nèi)部設(shè)立一名聯(lián)絡(luò)官，負責協(xié)助白宮處理網(wǎng)絡(luò)安全事務(wù)。

通過政府跨部門政策制定程序，網(wǎng)絡(luò)安全政策官為總統(tǒng)起草準備新的國家戰(zhàn)略，以確保信息和通信基礎(chǔ)設(shè)施安全。這項戰(zhàn)略應(yīng)包括對《國家網(wǎng)絡(luò)安全綜合計劃》的落實情況的后繼評估，并適當汲取其成功的經(jīng)驗。新國家戰(zhàn)略應(yīng)側(cè)重使高層領(lǐng)導集中精力和時間，消除阻擋美國實現(xiàn)擁有可信、可靠、安全和富有韌性的全球信息與通信基礎(chǔ)設(shè)施以及相關(guān)能力的障礙。該戰(zhàn)略將幫助政府努力提高公眾意識，恢復和建立國際聯(lián)盟及公私部門之間的伙伴關(guān)系，建立一個更加周全的國家網(wǎng)絡(luò)應(yīng)急反應(yīng)與恢復計劃，并采取積極的研究與發(fā)展計劃，催生提高網(wǎng)絡(luò)安全的新技術(shù)。

聯(lián)邦政府應(yīng)繼續(xù)落實《國家網(wǎng)絡(luò)安全綜合計劃》提出的“任務(wù)銜接”原則。政府各部門和機構(gòu)應(yīng)加強網(wǎng)絡(luò)防御單位與負責美國網(wǎng)絡(luò)空間作戰(zhàn)的情報、軍事和執(zhí)法單位的合作，就網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)交易、網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)存在弱點等問題進行交流，擴大網(wǎng)絡(luò)經(jīng)驗、知識和觀點看法的共享。此外，網(wǎng)絡(luò)安全政策官應(yīng)當幫助協(xié)調(diào)涉及網(wǎng)絡(luò)空間的情報、軍事政策和戰(zhàn)略———包括打擊網(wǎng)絡(luò)恐怖主義，確保所有的任務(wù)有機融合在一起。網(wǎng)絡(luò)安全政策官還應(yīng)當與外部的咨詢機構(gòu)保持聯(lián)系。許多咨詢機構(gòu)都涉足與網(wǎng)絡(luò)安全相關(guān)的問題，這些機構(gòu)包括國家安全和電信咨詢委員會、國家基礎(chǔ)設(shè)施咨詢委員會、重要基礎(chǔ)設(shè)施合作咨詢委員會以及信息安全與隱私咨詢委員會。網(wǎng)絡(luò)安全政策官應(yīng)審查這些機構(gòu)的職能，并提出必要的改革建議使其咨詢服務(wù)最優(yōu)化，并杜絕不必要的重復。

為確保公民自由和隱私權(quán)利得到保護，還需要得到其它組織的幫助。這些組織將可以在政府網(wǎng)絡(luò)安全計劃和公民自由與隱私團體以及公眾之間建立起信任，顯示網(wǎng)絡(luò)安全計劃的透明，這在網(wǎng)絡(luò)計劃開始實施之初尤為重要。當務(wù)之急是要建立隱私與公民自由監(jiān)督委員會，加快委員會成員的選舉工作，并考慮是否尋求修訂法案以擴大其工作范圍———包括處理與網(wǎng)絡(luò)安全有關(guān)事務(wù)。其它可行的辦法還包括：加強政府負責公民自由事務(wù)部門與隱私顧問們就網(wǎng)絡(luò)安全的政策問題進行定期溝通，或在國家安全委員會內(nèi)任命一名負責隱私與公民自由事務(wù)的官員（或范圍再大一些，在總統(tǒng)辦事機構(gòu)內(nèi)任命一名負責隱私和公民自由權(quán)利的官員），與私營部門隱私與公民自由團體、隱私與公民自由監(jiān)督委員會和政府負責隱私與公民自由事務(wù)的官員進行協(xié)商。

與制定網(wǎng)絡(luò)安全政策同樣重要的是確保有效地執(zhí)行和落實這項政策，以實現(xiàn)更遠大的戰(zhàn)略目標。因此，網(wǎng)絡(luò)安全政策官同管理與預算局、總統(tǒng)辦事機構(gòu)其它部門協(xié)商，必須確保有效地落實網(wǎng)絡(luò)安全相關(guān)政策和采取相關(guān)行動。在60天的評估期間，有關(guān)各方就協(xié)調(diào)和監(jiān)督網(wǎng)絡(luò)安全活動提出了各種各樣的辦法。一些評論家確信，強有力的行政領(lǐng)導，以及多年來政府部門和機構(gòu)的努力，是確保美國政府擁有可以有效執(zhí)行網(wǎng)絡(luò)安全計劃機制的重要基礎(chǔ)。目前，一些網(wǎng)絡(luò)安全監(jiān)督職能都不是在總統(tǒng)辦事機構(gòu)領(lǐng)導下實現(xiàn)的。例如，歸屬國家情報總監(jiān)領(lǐng)導的跨部門聯(lián)合網(wǎng)絡(luò)特遣隊，目前負責協(xié)調(diào)和監(jiān)督執(zhí)行《國家網(wǎng)絡(luò)安全綜合計劃》。網(wǎng)絡(luò)安全政策官通過管理與預算局和總統(tǒng)辦事機構(gòu)其它部門協(xié)商，應(yīng)該就組織機制調(diào)整提出建議，以實現(xiàn)相應(yīng)的監(jiān)督、執(zhí)行和其它的一些職能，包括在管理與預算局或總統(tǒng)辦事機構(gòu)建立一個類似擁有跨部門聯(lián)合網(wǎng)絡(luò)特遣隊功能的機構(gòu)，創(chuàng)立一個類似艾森豪威爾總統(tǒng)行動協(xié)調(diào)委員會的實體，或建立一些可協(xié)助評估聯(lián)邦政府部門與機構(gòu)表現(xiàn)和監(jiān)督聯(lián)邦政府網(wǎng)絡(luò)安全標準遵守情況的組織機構(gòu)。在這樣一個辦公室成立之前，跨部門聯(lián)合網(wǎng)絡(luò)特遣隊將繼續(xù)執(zhí)行其任務(wù)。

評估相關(guān)法律和政策

總統(tǒng)的網(wǎng)絡(luò)安全政策官應(yīng)與政府部門和機構(gòu)合作，提供協(xié)調(diào)一致的政策指導，并在必要時詳細說明整個聯(lián)邦政府確保網(wǎng)絡(luò)安全相關(guān)活動的職權(quán)、作用和責任。適用于信息和通信網(wǎng)絡(luò)的法律是由憲法、國內(nèi)法、國外法和國際法拼湊而成的一個復雜法律體系，這一體系制約著政策選擇。在美國，這種拼湊在一起的法律混合體之所以存在，是因為聯(lián)邦政府在整個信息和通信基礎(chǔ)設(shè)施發(fā)展過程中，頒布了諸多法律和政策，以控制多樣化的產(chǎn)業(yè)和技術(shù)。

由于傳統(tǒng)的電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)日益融為一體，以及其它基礎(chǔ)設(shè)施領(lǐng)域日益將互聯(lián)網(wǎng)作為互聯(lián)互通的主要手段，法律和政策應(yīng)當繼續(xù)找尋出一種綜合性方法，將保護公民自由、隱私權(quán)利、公共安全、國家和經(jīng)濟安全的利益與靈活多樣的網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)服務(wù)所帶來的好處結(jié)合起來。在一些領(lǐng)域中缺乏司法裁定既帶來了機遇也帶來了危險，決策者對此應(yīng)充分理解———法院可以介入并規(guī)范法律的應(yīng)用，特別是涉及到憲法權(quán)利的領(lǐng)域。制訂政策必然受到法律框架的規(guī)范和制約，而且在政策上深思熟慮有助于找出現(xiàn)行法律中存在的差距和爭議，讓我們知道必須要做出的法律改進。這一過程可能會根據(jù)美國的法律原則提議組建新的立法框架，對加之于信息、通信、網(wǎng)絡(luò)和技術(shù)上的相互重疊的法律進行合理調(diào)整，或會對已有的法律進行新的詮釋，使之適應(yīng)技術(shù)變革與實現(xiàn)政治目標。不過，采用其中任何方式都會有風險，可能使聯(lián)邦政府保護信息和通信基礎(chǔ)設(shè)施的一些活動更加困難。

政府應(yīng)適當?shù)嘏c國會進行有效合作，以確保擁有完備的法律、政策和資源用于完成美國網(wǎng)絡(luò)安全相關(guān)工作。國會已對國家有關(guān)網(wǎng)絡(luò)安全的需求表示關(guān)注，并決定由兩黨共同擔任領(lǐng)導，政府將會從國會的知識和經(jīng)驗中獲益。與政府部門和機構(gòu)共同工作的網(wǎng)絡(luò)安全政策官應(yīng)與產(chǎn)業(yè)界進行協(xié)商，以便了解法律和政策給網(wǎng)絡(luò)運營方面帶來的影響。

加強網(wǎng)絡(luò)安全工作的聯(lián)邦政府領(lǐng)導和責任制

在數(shù)字化時代，僅僅依靠白宮將不足以領(lǐng)導美國實現(xiàn)廣泛的目標，整個聯(lián)邦政府都必須擔負起領(lǐng)導職責。將網(wǎng)絡(luò)安全列入總統(tǒng)議事日程的優(yōu)先項目、根據(jù)既定的目標審查政府部門和機構(gòu)的網(wǎng)絡(luò)安全工作進展等，有助于落實責任和推動工作進度。網(wǎng)絡(luò)安全政策官———與國家安全委員會、管理與預算局、國家經(jīng)濟委員會和科學與技術(shù)政策辦公室協(xié)商———將界定工作進度和成功的標準，提高網(wǎng)絡(luò)安全工作在所有機構(gòu)預算中的“能見度”。

要使網(wǎng)絡(luò)安全工作透明并對整個網(wǎng)絡(luò)安全投資進行有效管理，管理與預算局應(yīng)利用其項目評估機制，確保政府部門和機構(gòu)在追求網(wǎng)絡(luò)安全目標時有效使用預算。正規(guī)的網(wǎng)絡(luò)安全項目評估機制可以使政府部門和機構(gòu)詳細說明每個計劃的意圖與目標，并建立是否達成目標的統(tǒng)一標準?！秶揖W(wǎng)絡(luò)安全綜合計劃》已經(jīng)成功地運用了一種類似的做法。

根據(jù)2002年《聯(lián)邦信息安全管理法》要求，政府部門和機構(gòu)的領(lǐng)導人必須承擔起責任。政府與國會共同努力，更新并強化這項法規(guī)。政府部門和機構(gòu)的領(lǐng)導執(zhí)行計劃要求各部門和機構(gòu)及時匯報在確保網(wǎng)絡(luò)系統(tǒng)安全方面的工作進展情況。美國聯(lián)邦政府應(yīng)制定備選方案，支持政府部門和機構(gòu)落實遵守網(wǎng)絡(luò)安全政策的領(lǐng)導責任制，堅決執(zhí)行相應(yīng)的網(wǎng)絡(luò)安全程序。

提升各級地方政府網(wǎng)絡(luò)安全事務(wù)的領(lǐng)導層級州、地方和原住民保留地政府應(yīng)考慮把網(wǎng)絡(luò)安全當成一件大事來抓，指定一名領(lǐng)導人專門負責，以確保首席信息官、首席信息安全官與州國土安全顧問之間的有效協(xié)調(diào)。評估小組從美國州長協(xié)會的代表那里聽到一些反映，說網(wǎng)絡(luò)安全是他們在保護各州重要基礎(chǔ)設(shè)施資產(chǎn)工作中最薄弱的環(huán)節(jié)。州國土安全顧問可以從若干國土安全部批準的項目中開支，用于網(wǎng)絡(luò)安全工作。但從歷史上看，所提供的資金在很大程度上并沒有優(yōu)先用來確保網(wǎng)絡(luò)安全。州、地方和原住民保留地政府應(yīng)考慮是否應(yīng)把網(wǎng)絡(luò)安全當成一個大問題，并確保首席信息官、首席信息安全官與州國土安全顧問協(xié)調(diào)一致，保持強大的防御態(tài)勢。

第二章 打造數(shù)字化國家的競爭力

國家正處于一個十字路口。計算機幾乎改變了日常生活的一切，不論是在家中還是工作場所。網(wǎng)上銀行、網(wǎng)上購物和報稅等都已是司空見慣。國家的基礎(chǔ)設(shè)施正在經(jīng)歷一場革命，數(shù)字化和網(wǎng)絡(luò)技術(shù)不斷通過大型系統(tǒng)進行整合，如智能電網(wǎng)和下一代空中交通系統(tǒng)。近期頒布的《美國復蘇與再投資法案》中的內(nèi)容鼓勵發(fā)展現(xiàn)代信息和通信設(shè)施，以便提高美國的競爭能力，并使用技術(shù)來解決國家所面臨的最為緊迫的問題。美國面臨著雙重挑戰(zhàn)：在維護一個促進創(chuàng)新、開放式互聯(lián)、經(jīng)濟繁榮、自由貿(mào)易及自由環(huán)境的同時，也要保證公眾安全、公民自由和隱私。

大眾需要明確了解技術(shù)的安全使用。另外，美國需要一個技術(shù)先進的工作組來維持其在21世紀的經(jīng)濟競爭力。在學校，數(shù)學和科學必須成為首選學科。美國應(yīng)發(fā)起一項K－12（注：指從幼兒園到高中的教育）網(wǎng)絡(luò)安全教育計劃，以便進行數(shù)字安全、道德和保護教育；擴展大學課程；并且為培養(yǎng)一支數(shù)字化時代的稱職的勞動力隊伍創(chuàng)造條件。正如總統(tǒng)曾提到的，“美國所面臨的挑戰(zhàn)中，讓我們的孩子為全球經(jīng)濟競爭做好準備最為緊迫?！睘榱藥椭瓿蛇@些目標，國家應(yīng)該：

提高全民的網(wǎng)絡(luò)安全風險意識；建立一個教育系統(tǒng)以促進對網(wǎng)絡(luò)安全的了解，并讓美國繼續(xù)在信息技術(shù)的科研、工程和市場領(lǐng)域保持和擴大領(lǐng)先地位；

擴展并培訓用于保護國家競爭優(yōu)勢的勞動力隊伍；幫助組織和個人在風險管理上做出明智的選擇。

提高公眾意識

形成對網(wǎng)上活動風險以及如何對其進行管理的廣泛的公眾意識，需要制定一個有效的戰(zhàn)略。聯(lián)邦政府應(yīng)該與教育者及產(chǎn)業(yè)界部門一起，引導國家網(wǎng)絡(luò)安全的公共意識和教育?？偨y(tǒng)網(wǎng)絡(luò)安全政策官員應(yīng)該負責這一公眾意識戰(zhàn)略的制定并指導其執(zhí)行，并且應(yīng)尋求國會、聯(lián)邦政府、地方與原住民保留地政府、私營部門及公民自由與隱私組織的支持。戰(zhàn)略應(yīng)該涉及對公眾進行關(guān)于威脅和怎樣提高數(shù)字化安全及道德的教育。惡意行為體經(jīng)常利用人們通過互聯(lián)網(wǎng)接受信息或提交個人信息的行為。因此，該行動應(yīng)專注于公眾信息以便提高對網(wǎng)絡(luò)使用的責任心，并加強對欺詐、身份盜竊、網(wǎng)絡(luò)掠奪及網(wǎng)絡(luò)道德等方面的防范意識。過去在公共安全活動中的一些成功做法，例如為了防火而設(shè)置的警示牌、推廣使用汽車安全帶的提示條等，都可以當作一個模本加以利用，以便通知和幫助公眾認識到網(wǎng)絡(luò)安全的重要性。這些公共服務(wù)行動應(yīng)該注重培養(yǎng)兒童的網(wǎng)絡(luò)安全意識，以及那些準備選擇職業(yè)的高年級學生的意識。知名人士、同技術(shù)一同成長起來的一代及新型媒體，都可以在有效傳遞信息上發(fā)揮重要作用。

加強網(wǎng)絡(luò)安全教育

類似于前蘇聯(lián)在1957年10月發(fā)射人造地球衛(wèi)星之后的一段時期，美國處在一個以數(shù)學和科技技能為主的全球競爭之中。根據(jù)《經(jīng)濟學人》中的一則報道，出色的信息技術(shù)職業(yè)者“到處短缺，但是形勢會更加嚴峻，因為所需技能的本質(zhì)正在發(fā)生改變。除了技術(shù)知識以外，明天的信息技術(shù)職業(yè)者將要求在項目管理、變革管理和業(yè)務(wù)分析等方面具有專業(yè)知識”。這項研究指出，美國繼續(xù)擁有世界上最好的信息技術(shù)公司運營環(huán)境，在教育、基礎(chǔ)設(shè)施、創(chuàng)新鼓勵和法律保護等多個重要領(lǐng)域均具有規(guī)模和質(zhì)量優(yōu)勢，可幫助打造競爭力。然而，2007年至2008年關(guān)于計算機學位和入學趨勢的“托比調(diào)查”顯示，美國的計算機科學和工程學位畢業(yè)生比2004年的高峰時期減少了約一半。國家無法容忍這種衰退繼續(xù)下去。

聯(lián)邦政府以及全體機構(gòu)應(yīng)該擴大對關(guān)鍵教育計劃和研發(fā)的支持，以便保證國家在信息時代經(jīng)濟中持續(xù)的競爭力。現(xiàn)有的計劃應(yīng)該加以升級，或者擴大，而且其它的活動可以作為額外的計劃模式參考。例如：

2006年國家科學基金開始征集關(guān)于其“恢復計算機大學教育的途徑”的建議。這個項目試圖打造一支“具有計算機能力和技能的美國勞動力，以便推動21世紀國家的健康、安全和繁榮”。

作為直接激勵措施，不僅為那些在網(wǎng)絡(luò)安全教育領(lǐng)域追求進取的學生，同時也向那些立志在聯(lián)邦政府獲得相關(guān)職位的學生提供獎學金。國家科學基金和國土安全部為34個大學的服務(wù)計劃提供獎學金。超過1000名學生在該計劃的前8年得到了支持，其中超過80％的學生在聯(lián)邦政府獲得了工作。國家科學基金會強調(diào)，考慮到迫切需要壯大相應(yīng)的勞動力隊伍，加強研究和教育之間的協(xié)同作用再怎么強調(diào)也不為過。

國家信息安全教育與研究學術(shù)中心，由國家安全局于1988年創(chuàng)立，從2004年開始由國土安全部共同資助，在38個州和哥倫比亞特區(qū)的94所大學推行更高水平的信息安全教育。這些中心已經(jīng)同眾多知名大學建立了合作關(guān)系，包括一些社區(qū)、西班牙語和傳統(tǒng)黑人學院。國防部也對這些大學中的信息安全獎學金計劃提供了贊助。

全國大學網(wǎng)絡(luò)保護競賽、美國數(shù)學奧林匹克協(xié)會、能源部科學杯以及西門子基金數(shù)學、科學和技術(shù)競賽都提供了以競賽為導向的范例。其它范例包括國家科學基金援引國防先期研究計劃局的重大挑戰(zhàn)而組織的一個學術(shù)小組，馬可姆波里奇國家獎以及旨在建立高級加密標準的競賽。

擴充聯(lián)邦信息技術(shù)勞動力隊伍

總統(tǒng)的網(wǎng)絡(luò)安全政策官員應(yīng)同信息和通信設(shè)施聯(lián)合部門委員會協(xié)作，考慮如何更好地吸引網(wǎng)絡(luò)安全專業(yè)人才，并采取措施慰留聯(lián)邦政府內(nèi)擁有此類技能的職員。各個部門和機構(gòu)已在吸引產(chǎn)業(yè)界人才方面獲得了一些成功，但由于獲取、轉(zhuǎn)移或更新安全審查需要大量的時間，這造成了機會的流失。聯(lián)邦職員還應(yīng)該有機會豐富個人工作履歷和促進其職業(yè)發(fā)展，而單獨某一家政府部門常常無法提供這類機會。展開共同培訓、進行部門間輪崗甚至與私營部門之間進行可能的崗位輪換不但是一項有效的做法，而且會有利于人才素質(zhì)綜合培養(yǎng)和專業(yè)人才庫的建立。

將提高網(wǎng)絡(luò)安全視為企業(yè)領(lǐng)導責任聯(lián)邦政府應(yīng)該繼續(xù)促進在各級政府和產(chǎn)業(yè)界中關(guān)于威脅、漏洞和有效措施的計劃和信息分享。只有信息技術(shù)勞動力隊伍了解網(wǎng)絡(luò)安全的重要性是不夠的，各級政府和產(chǎn)業(yè)界領(lǐng)導需要根據(jù)現(xiàn)實和潛在風險，做出業(yè)務(wù)和投資決定。聯(lián)邦、地方和原住民保留地政府面臨著類似的問題。州政府經(jīng)常起到革新孵化器的作用，因而可能會提供一些在管理信息和通信設(shè)施方面所得到的經(jīng)驗。聯(lián)邦政府應(yīng)該繼續(xù)同產(chǎn)業(yè)界一起確認并發(fā)布在安全設(shè)計和信息技術(shù)產(chǎn)品經(jīng)營方面的有效措施。

第三章 共同承擔網(wǎng)絡(luò)安全責任

如果聯(lián)邦政府孤立地開展工作，那么聯(lián)邦政府在許多方面都不可能確保網(wǎng)絡(luò)空間的安全。關(guān)于這一點，公共與私營部門有著共同的利益，以確保為商業(yè)和政府服務(wù)提供一個安全、可靠的基礎(chǔ)設(shè)施平臺。政府和產(chǎn)業(yè)界領(lǐng)導者在國內(nèi)和國際事務(wù)上，都需要界定角色與責任、整合各種能力并發(fā)現(xiàn)各自的問題，以便制定出整體的解決方案。只有通過這樣的合作關(guān)系，美國才能夠提高網(wǎng)絡(luò)安全水平，獲得數(shù)字革命所帶來的全部效益。保證網(wǎng)絡(luò)空間的安全，這一全球性的挑戰(zhàn)要求各方做出更大的努力。這一努力應(yīng)尋求同私營部門進行持續(xù)的協(xié)作，通過制定全球標準來提高可被共同使用的網(wǎng)絡(luò)的安全，擴展法律系統(tǒng)打擊網(wǎng)絡(luò)犯罪的能力，繼續(xù)發(fā)展并推廣成功的實踐經(jīng)驗，并保持穩(wěn)定、有效的互聯(lián)網(wǎng)治理。

加強私營部門和政府間的合作關(guān)系

聯(lián)邦政府有責任保護、捍衛(wèi)國家，并且各級政府有責任確保其公民的安全與健康。然而，私營部門設(shè)計、建立、擁有以及運作的大多數(shù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施同時為政府和私人用戶提供支持。對于基礎(chǔ)設(shè)施的安全性和可靠性以及通過這些設(shè)施所發(fā)生的交易，業(yè)界和政府承擔著共同的責任，二者應(yīng)該緊密合作以解決這些相互依賴性問題。聯(lián)邦政府可以采取多種不同的手段來應(yīng)對這些挑戰(zhàn)，其中有些可能要求修改相應(yīng)的法律和政策。

私營部門應(yīng)幫助彌補執(zhí)法和國家安全的局限性問題。當前的法律允許使用某些工具來保護政府網(wǎng)絡(luò)，但不是私營網(wǎng)絡(luò)。產(chǎn)業(yè)界領(lǐng)導者可以利用企業(yè)信息共享來幫助說明數(shù)據(jù)泄露、工業(yè)間諜活動以及服務(wù)能力喪失或降低給公司帶來的風險以及對盈利能力的影響。產(chǎn)業(yè)界領(lǐng)導者可以要求銷售商和服務(wù)供應(yīng)商提供更多保證，同時承擔起開發(fā)更加安全的軟件和設(shè)備的責任。企業(yè)應(yīng)想出有效的途徑，以便在彼此以及聯(lián)邦政府之間分享檢測方法、關(guān)于違規(guī)和攻擊方法的信息、修復技術(shù)及取證能力。

如果風險和后果可以以貨幣價值的形式來衡量，那么各個機構(gòu)就將擁有更大的能力和動力去解決網(wǎng)絡(luò)安全問題。尤其是，私營部門經(jīng)常試圖通過業(yè)務(wù)個案來證明以下兩方面所需的資源支出的合理性：一是把信息與通信系統(tǒng)安全整合到公司的風險管理之中；二是建立可以緩解風險的伙伴關(guān)系。政府可以考慮利用以激勵為主的立法或監(jiān)管工具來協(xié)助形成好的價值取向，并且?guī)椭囵B(yǎng)一個可以促進并鼓勵伙伴關(guān)系和信息共享的環(huán)境。

總統(tǒng)的網(wǎng)絡(luò)安全政策官員應(yīng)同相關(guān)部門機構(gòu)及私營部門進行合作，共同考察現(xiàn)有的公私伙伴關(guān)系和信息共享機制，以便識別或建立最為有效的模型。過去十多年以來，公私伙伴關(guān)系促進了信息共享，并為美國重要基礎(chǔ)設(shè)施保護和網(wǎng)絡(luò)安全政策奠定了基礎(chǔ)。在這一段時期，聯(lián)邦政府和私營部門共同建立了大量有關(guān)網(wǎng)絡(luò)安全和信息與通信設(shè)施問題的論壇。

這些團體做了很多貢獻，但是由于精力分散，已使一些參與者對缺乏明確界定的角色和責任、各團體之間參差不齊的能力以及不斷增加的計劃和建議，感到灰心喪氣。結(jié)果，政府和私營部門的人員、時間及資源被大量浪費于重復、不連貫的工作中?；锇殛P(guān)系必須進行轉(zhuǎn)變，以便明確界定這一關(guān)系的性質(zhì)、不同團體及其參與者的角色和責任、對各方貢獻的期望，以及責任機制。聯(lián)邦政府應(yīng)對各種資源進行優(yōu)化、調(diào)整，然后把它們提供給現(xiàn)有的組織，以此來完善其識別優(yōu)先等級的能力，實現(xiàn)更加有效的執(zhí)行效率并制定響應(yīng)與恢復計劃。

為期60天的評估考察了大量有效的公私伙伴關(guān)系模型。盡管這些模型功能差異很大，但它們卻共享著某些重要的特性。每一個模型都有一個定義明確的機構(gòu)使命、明確參與者的角色和責任，以及清晰的鼓勵參與的價值取向。通過在成員之間培養(yǎng)并維持一種相互信任的氛圍，每一模型都可以減輕擔憂，否則這些擔憂可能會妨礙參與?，F(xiàn)有的網(wǎng)絡(luò)安全伙伴關(guān)系也許會應(yīng)用這些模型所具有的那些最為有效的特征。

評估妨礙公私伙伴關(guān)系轉(zhuǎn)變的潛在障礙

私營部門中的有些成員一直擔心，某些聯(lián)邦法律也許會妨礙私營部門和政府之間全面協(xié)作性質(zhì)的伙伴關(guān)系及運作信息共享。例如，業(yè)界中的有些人擔心在現(xiàn)有的伙伴關(guān)系模型中，同一領(lǐng)域成員之間進行的信息共享和統(tǒng)一規(guī)劃，也許會被認為同禁止貿(mào)易限制的法律“互相串通”或相抵觸。業(yè)界還表示會有所保留地向聯(lián)邦政府透露敏感性或?qū)Ｓ械纳虡I(yè)信息，例如弱點和數(shù)據(jù)或網(wǎng)絡(luò)漏洞。這種擔憂一直存在著，即便相關(guān)的法令對此給予了保護，例如《商業(yè)機密法》和《關(guān)鍵基礎(chǔ)設(shè)施信息法》。這兩項法律的頒布旨在消除產(chǎn)業(yè)界對于《信息自由法》的擔憂。除了這些問題以外，產(chǎn)業(yè)界也許還會擔心共享信息所帶來的名譽損害、責任或管制影響。相反，鑒于對敏感的情報來源和方法或者個人的隱私權(quán)利的法律保護，聯(lián)邦政府有時會限制政府與私營部門共享的信息。

這些擔憂并不是孤立存在的。面對不公平競爭，各種反壟斷法律提供了重要的安全保障，并且《信息自由法》將協(xié)助確保政府的透明性，這對于維持公眾信心至關(guān)重要。公民自由和隱私團體表示，擔心不斷擴展的保護措施只不過是一塊逃避責任的合法盾牌。此外，信息與通信市場的全球性特點會使信息共享的挑戰(zhàn)變得更加的復雜。如果在美國運營的產(chǎn)業(yè)界成員是外國公司，那么強制性的信息共享或排斥此類公司加入信息共享體制，可能會對貿(mào)易產(chǎn)生影響。

政府應(yīng)同私營部門進行創(chuàng)造性的合作，以便找出恰當?shù)慕鉀Q方案———同時照顧到交流信息和保護公共和私人利益這兩個方面的要求，從而采用統(tǒng)籌兼顧的方法解決國家安全和經(jīng)濟安全問題。這些解決方案應(yīng)該識別出明確的、可執(zhí)行的信息共享目標，并制定事件報告標準。私營部門將更樂于分享那些不需要更改數(shù)據(jù)所有權(quán)的解決方案，例如英國模型中的做法：選擇經(jīng)過審核的信息安全提供方而不是政府作為合并數(shù)據(jù)的鏈接點。

最后，聯(lián)邦政府應(yīng)該請學術(shù)界、公民自由與隱私團體、開放政府的提倡者以及消費者積極參與，以確保政府政策充分考慮到了這些群體所代表的廣泛利益。幾乎沒有什么問題可以簡單地看作是一個孤立的程序、政策或技術(shù)問題。技術(shù)的變化通常會成為政策制定的考慮要素，也許會要求改變現(xiàn)有的程序。政策改變（例如規(guī)章或稅收鼓勵措施的通過）可以影響到采購或技術(shù)研發(fā)方面的決定。聯(lián)邦政府還可以考慮這樣的方式：它能夠把更多的資源集中到可能“改變產(chǎn)業(yè)界格局的”領(lǐng)域的研究上，例如行為與政策方面的以及以激勵為主的網(wǎng)絡(luò)安全解決方案。鑒于這些問題的密切相關(guān)性，更需要確保所有利益攸關(guān)方的利益都得到體現(xiàn)。

與國際社會進行有效的合作

國際規(guī)范對于建造安全、穩(wěn)定的數(shù)字基礎(chǔ)設(shè)施來說至關(guān)重要。美國需要制定一項戰(zhàn)略，以便打造國際環(huán)境并把對一系列問題有著類似觀點的國家聚集在一起，這些問題包括有關(guān)領(lǐng)土管轄權(quán)、主權(quán)責任及武力使用等可以接受的規(guī)范。此外，不同國家與地區(qū)的法律和實踐———例如涉及以下多個方面的各種法律：網(wǎng)絡(luò)犯罪的調(diào)查和起訴、數(shù)據(jù)保存、保護與隱私，以及網(wǎng)絡(luò)防御和網(wǎng)絡(luò)攻擊響應(yīng)的途徑，為打造一個安全、安定并具有韌性的環(huán)境帶來了巨大的挑戰(zhàn)。要解決這些問題需要美國同所有國家以及國際機構(gòu)、軍事同盟與情報伙伴進行合作，包括發(fā)展中國家，它們在構(gòu)建其數(shù)字經(jīng)濟與設(shè)施的過程中也面臨著這些問題。

在過去十年中，聯(lián)邦的通信、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全相關(guān)的政策都是沿著不同的道路發(fā)展。采用更加綜合的政策制定方法可以確保制定相互支持的目標，并可以讓美國通過更為有效的、恰當?shù)牧霭盐掌鋰H機遇。對于一系列獨立領(lǐng)域（包括網(wǎng)絡(luò)安全和對言論自由及其它公民自由的保護）的國家利益，美國應(yīng)采用綜合的解決方法以便制定一貫的政策。

總統(tǒng)的網(wǎng)絡(luò)安全政策官員應(yīng)與各部門和機構(gòu)合作，加強并整合機構(gòu)間制定及調(diào)整國際網(wǎng)絡(luò)安全立場的流程。此外，聯(lián)邦政府在繼續(xù)同私營部門的長期合作的同時，應(yīng)制定一套積極參與計劃以供國際標準機構(gòu)使用。這其中應(yīng)包括對現(xiàn)有政策的評估并對立場的確定、完善或重申進行協(xié)調(diào)，從而確保與網(wǎng)絡(luò)安全相關(guān)的經(jīng)濟、國家安全、公共安全和隱私利益都被考慮在內(nèi)。包括聯(lián)合國、八國集團、北大西洋公約組織、歐洲理事會、亞太經(jīng)合組織、美洲國家組織、經(jīng)濟合作與發(fā)展組織、國際電信聯(lián)盟、國際標準化組織在內(nèi)的十多家機構(gòu)都致力于解決信息和通信基礎(chǔ)設(shè)施方面的問題。新組織正開始考慮與網(wǎng)絡(luò)安全相關(guān)的政策和活動，其它組織也在拓展現(xiàn)有的工作范圍。這些機構(gòu)所考察的政策和所開展的活動有時會彼此沖突，并經(jīng)常重合。這些組織公布的協(xié)議、標準或?qū)嵺`都具有不可忽視的全球影響力。它們的絕對數(shù)量、類型，以及這些地區(qū)不同的側(cè)重點超出了包括美國在內(nèi)的許多政府的應(yīng)對能力。

總統(tǒng)的網(wǎng)絡(luò)安全政策官員應(yīng)與各部門機構(gòu)合作，加強其對國際立場、磋商和討論的識別、跟蹤和優(yōu)化的能力，與網(wǎng)絡(luò)安全相關(guān)的協(xié)議、標準、活動和政策都是在這些過程中形成的。以往的經(jīng)驗表明，美國將需要繼續(xù)參與一系列的國際活動。聯(lián)邦政府應(yīng)與私營部門及其它國家密切合作，以確保各成員充分參與到相應(yīng)的論壇之中，就關(guān)乎美國未來全球信息和通信基礎(chǔ)設(shè)施利益最重要的問題進行討論。美國及其國際盟友應(yīng)利用參與區(qū)域或其它論壇的機遇，促成共同的政策目標，關(guān)注現(xiàn)有國際組織的工作，并減少重復性的工作。例如，國際電信聯(lián)盟和國際標準化組織都在從事關(guān)于網(wǎng)絡(luò)安全取證標準的制定。對于主題更為寬泛的論壇，美國也應(yīng)尋求機會，以促進相關(guān)項目中有關(guān)信息和通信基礎(chǔ)設(shè)施的安全和發(fā)展。聯(lián)邦政府應(yīng)與私營部門共同協(xié)調(diào)和發(fā)展國際伙伴關(guān)系，以應(yīng)對信息和通信基礎(chǔ)設(shè)施相關(guān)的一系列網(wǎng)絡(luò)安全方面的活動、政策和機遇，這些基礎(chǔ)設(shè)施是美國商業(yè)、政府服務(wù)、美國軍隊以及國家的根本所在。政府和產(chǎn)業(yè)界間新簽署的協(xié)議應(yīng)加以備案，以促進國際信息共享和戰(zhàn)略運營合作。對于指導對外發(fā)展及發(fā)展海外能力，聯(lián)邦政府應(yīng)增加資源并提高警惕。例如，美國應(yīng)加快步伐幫助其它國家建立法律框架、提高打擊網(wǎng)絡(luò)犯罪的能力，并且繼續(xù)推廣網(wǎng)絡(luò)安全方面的準則和標準。美國也應(yīng)與其盟友合作，確?；ヂ?lián)網(wǎng)的穩(wěn)定性和國際互用性，同時提高互聯(lián)網(wǎng)的安全性和可靠性，使所有用戶受益。

第四章 建立有效的信息共享和事故響應(yīng)框架

美國需要建立一個全面的框架，以便協(xié)調(diào)政府、私營部門和盟國共同應(yīng)對重大的網(wǎng)絡(luò)事故。聯(lián)邦、州、地方及原住民保留地政府應(yīng)與業(yè)界合作，提前完善其正用于檢測、預防及應(yīng)對重大網(wǎng)絡(luò)安全事件的計劃和資源。由于此類事件可能影響到政府和產(chǎn)業(yè)界部門之間的互聯(lián)網(wǎng)絡(luò)，因而在重大事件發(fā)生之前、期間和之后，對此類計劃和行動進行協(xié)調(diào)就顯得特別重要。例如，盡管收到關(guān)于“Conficker”蠕蟲病毒的提前預警和網(wǎng)絡(luò)防御的指示，但如果蠕蟲病毒在2009年4月1日激活時附帶惡意的有效負載，那么一些聯(lián)邦部門和機構(gòu)就無法應(yīng)對。

建立事故響應(yīng)框架

與其他重大國家事故一樣，在發(fā)生重大網(wǎng)絡(luò)事故時，只有白宮有權(quán)協(xié)調(diào)與事故響應(yīng)相關(guān)的一系列職能部門和權(quán)力機構(gòu)。各部門和機構(gòu)應(yīng)按白宮總體戰(zhàn)略方向履行各自責任。總統(tǒng)的網(wǎng)絡(luò)安全政策官員應(yīng)為白宮網(wǎng)絡(luò)事故應(yīng)急的執(zhí)行官（其職能與幫助白宮檢測恐怖主義襲擊或自然災(zāi)害的執(zhí)行官類似）。

聯(lián)邦政府應(yīng)建立一套明確且具權(quán)威性的網(wǎng)絡(luò)事故響應(yīng)框架，該框架在修改后的《國家響應(yīng)框架之網(wǎng)絡(luò)事故附件》中備案。到目前為止，針對網(wǎng)絡(luò)事故的聯(lián)邦響應(yīng)還未統(tǒng)一。對于涉及國家安全/應(yīng)急準備通信的情況，第12472號美國總統(tǒng)令明確了現(xiàn)存的職能部門和處理流程；然而，根據(jù)當前的法律政策，各部門和機構(gòu)仍各自負責決定和實施隔離、保護和恢復自身計算機網(wǎng)絡(luò)和數(shù)據(jù)的措施。

由于國家安全和其它聯(lián)邦網(wǎng)絡(luò)之間現(xiàn)存的法律而非人為差異，聯(lián)邦網(wǎng)絡(luò)事故響應(yīng)的責任分散到了不同的聯(lián)邦部門和機構(gòu)之中。根據(jù)事件的性質(zhì)，例如重大的漏洞、犯罪襲擊，或軍事事件，不同部門或機構(gòu)可能負有或承擔著主要的應(yīng)急責任，而其它部門或機構(gòu)則可能對此一無所知。另外，對整個事故的責任分配可能還不明確。盡管每個參與者都有著明確的專長領(lǐng)域和合法權(quán)利，但它們很難統(tǒng)一到一個單一的協(xié)調(diào)框架中。把任何權(quán)力部門合并到一個統(tǒng)一架構(gòu)中可能都需要通過法律來實現(xiàn)。信息和通信設(shè)施聯(lián)合部門委員會進程應(yīng)明確同事故響應(yīng)相關(guān)的不同部門和機構(gòu)的角色、職責及資源，必要時對其協(xié)調(diào)或補充；了解事故響應(yīng)的各個方面如網(wǎng)絡(luò)安全、執(zhí)法、情報及軍事等部門及其各自的優(yōu)勢。

眾多評論家強調(diào)建立事故報告和響應(yīng)門檻的重要性。網(wǎng)絡(luò)運營商和服務(wù)提供商每天都會處理大量尚未達到“滋擾”級別的事件。在這些低級別事故中，藏匿有相對少量的可能產(chǎn)生巨大影響的入侵或攻擊。其它政府和私營部門的網(wǎng)絡(luò)運營商很想了解此類事件的技術(shù)細節(jié)，以幫助其抵御相似的網(wǎng)絡(luò)威脅；執(zhí)法部門和情報機構(gòu)也可借此跟蹤并尋求方法制止網(wǎng)絡(luò)安全方面的犯罪和來自國外的威脅活動。

網(wǎng)絡(luò)運營和服務(wù)提供商：互聯(lián)網(wǎng)由管理運作和為客戶提供服務(wù)的企業(yè)聯(lián)合運營。網(wǎng)絡(luò)運營商建立和維護信息通信基礎(chǔ)設(shè)施，為客戶提供接入和寬帶服務(wù)。服務(wù)提供商提供互聯(lián)網(wǎng)接入網(wǎng)關(guān)、安全服務(wù)、存儲或處理服務(wù)，以及信息的獲?。ㄈ缁ヂ?lián)網(wǎng)地址或新聞）和應(yīng)用設(shè)備（如搜索引擎）。單個的公司可提供獨特的接入、信息和服務(wù)的混合組合（如社交網(wǎng)絡(luò)）。

聯(lián)邦政府應(yīng)與州、地方和原住民保留地政府和業(yè)界合作，總結(jié)一系列威脅情況和衡量指標，以供風險管理決策、制定恢復計劃及確定研發(fā)優(yōu)先順序。同時應(yīng)發(fā)展建模和模擬能力，以幫助演練這些計劃并確定可能的破壞級別。

信息和通信設(shè)施聯(lián)合部門委員會應(yīng)在各部門和機構(gòu)中建立明晰、可執(zhí)行的事件即時匯報規(guī)則，以便提高機構(gòu)間響應(yīng)的效率。各部門和機構(gòu)在各自管轄范圍外的事件匯報存在差異，其對重大事件的即時匯報將使聯(lián)邦的整體應(yīng)急響應(yīng)受益。

總統(tǒng)的網(wǎng)絡(luò)安全政策官員應(yīng)與信息和通信設(shè)施聯(lián)合部門委員會合作，確定發(fā)展和保持態(tài)勢感知和事故響應(yīng)能力的最有效方法。《國家網(wǎng)絡(luò)安全綜合計劃》應(yīng)繼續(xù)致力于提高聯(lián)邦網(wǎng)絡(luò)的防御能力，同時考慮調(diào)整實施計劃或增添內(nèi)容的需要?？偨y(tǒng)的網(wǎng)絡(luò)安全政策官員尤其應(yīng)該：

與私營部門合作，探索如何更好地將技術(shù)能力應(yīng)用到國家基礎(chǔ)設(shè)施的防御中來，以及需要什么樣的法律框架來保障隱私權(quán)和公民自由。

審議國家網(wǎng)絡(luò)安全中心的運作理念及其實施，決定該中心關(guān)于責任、資源戰(zhàn)略和管理的提議是否充分，使其能夠提供支持網(wǎng)絡(luò)事故響應(yīng)努力所必需的態(tài)勢感知共享信息。

繼續(xù)向可信任的互聯(lián)網(wǎng)接入項目的目標邁進，減少政府網(wǎng)絡(luò)接入的數(shù)量，同時根據(jù)對挑戰(zhàn)的現(xiàn)實評估，再次考慮項目中的目標和時間表。在過去的兩年里，一些部門和機構(gòu)在減少接入數(shù)量和部署系統(tǒng)上取得了進步，這些系統(tǒng)將幫助聯(lián)邦政府阻止并檢測惡意的行為。然而，政府在充分發(fā)揮能力之前仍然有很多工作要做，而且可能需要考慮額外的政策以促進戰(zhàn)略的全面實施。

為了聯(lián)邦網(wǎng)絡(luò)的利益，適當評估并與公民自由和隱私團體繼續(xù)協(xié)商進行入侵檢測和防御系統(tǒng)的試點部署工作，評估這些系統(tǒng)的性能，并且繼續(xù)研究若將這些系統(tǒng)應(yīng)用到州政府系統(tǒng)中會產(chǎn)生的問題。（系統(tǒng)中的）傳感器將對聯(lián)邦網(wǎng)絡(luò)獲得態(tài)勢感知信息具有關(guān)鍵作用；隨著這些部署工作的進行，政府也將從政策、法律或技術(shù)層面受益。

探索———與業(yè)界、公民自由和隱私團體協(xié)作———其它長期的入侵檢測和防御體系建構(gòu)。

聯(lián)邦政府應(yīng)提高自身向總統(tǒng)提供網(wǎng)絡(luò)入侵或攻擊的戰(zhàn)略預警的能力。聯(lián)邦政府應(yīng)繼續(xù)利用國家為促進密碼技術(shù)、信息保障技術(shù)和必要配套設(shè)施的根本發(fā)展的投資。這些投資以及其它的情報能力，對于網(wǎng)絡(luò)攻擊的戰(zhàn)略預警至關(guān)重要。此外，聯(lián)邦政府應(yīng)找出執(zhí)法能力上的差距，或保護國家基礎(chǔ)設(shè)施所建立的調(diào)查權(quán)威。所有新設(shè)的權(quán)威部門需始終保障公民自由和隱私權(quán)。

美國政府應(yīng)投資有助于防御網(wǎng)絡(luò)應(yīng)急事件的流程、技術(shù)和基礎(chǔ)設(shè)施。內(nèi)容包括增加安全檢測、投資網(wǎng)絡(luò)管理自動化或中央化系統(tǒng)，以及對某些非保密系統(tǒng)實施更嚴格的互聯(lián)網(wǎng)接入。

政府需要建立一套可靠持續(xù)的機制，以便將所有適宜信息整合在一起，形成一張共同的運行圖。聯(lián)邦網(wǎng)絡(luò)安全中心經(jīng)常分享彼此的信息，但其中沒有一家機構(gòu)可以將來自不同中心和其它資源處得到的所有信息綜合起來，制成一張不斷更新且涵蓋網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)狀況的全局圖，以預報迫在眉睫的應(yīng)急事故，以及支持協(xié)調(diào)事故響應(yīng)。國防部負責整合關(guān)于網(wǎng)絡(luò)健康和狀況、入侵企圖和對自身網(wǎng)絡(luò)的攻擊的信息；情報界負責自身網(wǎng)絡(luò)；國土安全部美國電腦應(yīng)急反應(yīng)小組負責民事聯(lián)邦機構(gòu)以及在某種程度上對私營部門負責；執(zhí)法和情報機構(gòu)收集與網(wǎng)絡(luò)有關(guān)的犯罪和國外威脅活動證據(jù)，但也需要具有處理有一定規(guī)模的犯罪活動的額外能力。

聯(lián)邦政府應(yīng)考慮若信息和通信基礎(chǔ)設(shè)施遭受重大損害，尤其是當信息和通信網(wǎng)絡(luò)融為一體時，是否有充足的可用替代品或通信設(shè)施儲備?；A(chǔ)設(shè)施的替換或修復也要求有額外的計劃和資源，尤其是當網(wǎng)絡(luò)或電網(wǎng)中難以替換的元件受到物理損害時。

聯(lián)邦政府應(yīng)利用現(xiàn)有資源，在各級政府和私營部門間建立有助于防御、檢測和應(yīng)對網(wǎng)絡(luò)應(yīng)急事件的流程。聯(lián)邦政府應(yīng)利用州際信息共享和分析中心、全國58座州立和地方融合中心等現(xiàn)有資源，幫助樹立信息和通信基礎(chǔ)設(shè)施方面的態(tài)勢感知意識。

加強信息共享，提高事故應(yīng)對能力

信息是防御、檢測和應(yīng)對網(wǎng)絡(luò)事故的關(guān)鍵。網(wǎng)絡(luò)軟硬件提供商、網(wǎng)絡(luò)運營商、數(shù)據(jù)擁有者、安全服務(wù)提供商以及某些情況下的執(zhí)法或情報機構(gòu)可能各自擁有信息。這些信息能夠幫助檢測和了解復雜的入侵或攻擊問題。只有將上述各類信息來源整合起來，才有可能全面了解事故并做出有效的響應(yīng)，使所有人受益。

聯(lián)邦政府應(yīng)與州、地方和原住民保留地政府及私營部門（包括數(shù)據(jù)擁有者、網(wǎng)絡(luò)運營商及隱私和公民自由專家）合作，尋求網(wǎng)絡(luò)安全方面的信息共享方案，消除有關(guān)隱私和專有信息的擔憂，使信息共享符合國家的利益，達到互利的目的。鑒于私營企業(yè)關(guān)心其信息的潛在使用問題，政府必須保障其隱私權(quán)、做到執(zhí)法公正、保護情報來源和方法，以及可能導致不公平競爭優(yōu)勢的政府信息。為了解決這些擔憂，政府和私營部門都需要做到透明、誠信?？蛇x方案包括：

設(shè)立一個政府和私營部門都信任的第三方非營利性非政府組織，作為政府和私營部門共享信息的平臺，以此提高政府和私營部門之間的關(guān)鍵網(wǎng)絡(luò)安全性。此類組織可使用商業(yè)服務(wù)，并且不會擾亂日益壯大的安全服務(wù)市場。

聯(lián)邦政府（如執(zhí)法機構(gòu)）與個體公司或公司集團（可能還有州、地方和原住民保留地政府的參與）之間持續(xù)的約束，在特定的部門或區(qū)域內(nèi)實現(xiàn)一定程度自愿性的信息共享，超越在更廣泛的背景下實現(xiàn)的信息共享。

美國政府應(yīng)與受影響方和國會協(xié)商，考慮制定適當?shù)男畔⒐蚕砑畲胧?。作為最后的手段，這些措施可包括綜合方案中的監(jiān)管措施，以滿足社會對健全和具有韌性的關(guān)鍵基礎(chǔ)設(shè)施的利益需求，保障公民自由和隱私權(quán)，維護作為美國經(jīng)濟系統(tǒng)基礎(chǔ)的、公正公開的經(jīng)濟市場。加密或控制接入認證等強化隱私保障技術(shù)可減少信息共享中的某些風險。

聯(lián)邦政府應(yīng)全面評估妨礙網(wǎng)絡(luò)安全信息共享的有關(guān)安全分級和人員涉密等方面的政策，同時尋求信息共享改善方案，并確保公民自由和隱私權(quán)得到保障，敏感信息得到適宜的保護。聯(lián)邦政府各部門和機構(gòu)當前關(guān)于信息搜集，使用、保留和散布的政策很大程度上都是基于法定權(quán)限、對隱私和公民自由的關(guān)注、對來源和方法的擔心以及歷史慣例而來。這些政策嚴重阻礙了聯(lián)邦政府間的網(wǎng)絡(luò)安全信息共享。此次評估應(yīng)將聯(lián)邦政府通過安全性和適用性改革倡議所取得的進展考慮在內(nèi)，同時也要考慮信息共享環(huán)境在檢查安全和適用性處理組件的所有方面時所做出的努力。

聯(lián)邦政府應(yīng)與私營部門合作，制定私營部門網(wǎng)絡(luò)運營商向聯(lián)邦政府進行事件匯報的標準。業(yè)界表達了作為受害者對匯報其網(wǎng)絡(luò)事故的擔心，包括隨之而來的股東的擔憂、市場反應(yīng)或監(jiān)管行動所帶來的潛在消極影響。一家業(yè)內(nèi)機構(gòu)提議成立政府—企業(yè)工作組，設(shè)立具體到部門的網(wǎng)絡(luò)事件門檻，以保證將信息匯報給安全官員。需制定相應(yīng)的規(guī)則并監(jiān)督政府對此類信息的使用，以保障隱私權(quán)和公民自由。另一完善報告程序的途徑是考慮適當?shù)臄?shù)據(jù)破壞通知法案，要求企業(yè)將相關(guān)信息通知給公眾和政府，其中包括可進行調(diào)查的執(zhí)法部門。聯(lián)邦政府也應(yīng)檢查已有的市場監(jiān)管匯報規(guī)定的有效性和工作范圍。與此同時，聯(lián)邦政府需制定與私營部門進行事件匯報共享的流程和規(guī)則。這些規(guī)則的制定需考慮事件的分類和隱私問題。另外，聯(lián)邦政府應(yīng)協(xié)助研究團體獲得網(wǎng)絡(luò)安全事件的數(shù)據(jù)，并對此加以適當控制。這些數(shù)據(jù)可用來開發(fā)工具、測試理論和制定可行性解決方案。此類共享需要解決關(guān)于敏感或?qū)Ｓ袛?shù)據(jù)及個人身份信息的保護問題。

聯(lián)邦政府應(yīng)努力擴大與主要盟友在網(wǎng)絡(luò)事件和漏洞方面的信息共享，尋求改善網(wǎng)絡(luò)安全的雙邊或多邊安排，并確保這些安排符合美國其它方面的經(jīng)濟和安全利益，使公民自由和隱私權(quán)得到保障。國際合作為美國政府與私營部門的合作帶來了更多挑戰(zhàn)。若美國政府計劃與其它國家共享美國私營企業(yè)的行業(yè)信息，則國內(nèi)合法的私營部門關(guān)于信息共享的擔憂將會增加。私營部門和聯(lián)邦政府再次需要做到明晰和誠信，來控制、散發(fā)和使用私營部門與政府共享的信息，包括對使用美國和國際社會之間共享信息的理解。

提高所有基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性

聯(lián)邦政府應(yīng)與私營部門合作，明確公私伙伴關(guān)系的職能，以做好私有關(guān)鍵基礎(chǔ)設(shè)施和重要資源的防御工作。聯(lián)邦政府的核心責任之一即是共同保護私有關(guān)鍵基礎(chǔ)設(shè)施不受武裝攻擊、物理入侵或國外軍事力量、國際恐怖分子的破壞。同樣，政府也在保護這些基礎(chǔ)設(shè)施不受罪犯或國內(nèi)恐怖分子的破壞上發(fā)揮著重要作用。然而，若攻擊是通過計算機網(wǎng)絡(luò)遠程進行而非直接的物理行為，那么政府應(yīng)對相同行為人，對相同基礎(chǔ)設(shè)施施加的相同損害負多大程度的責任，這個問題尚未解決。大多數(shù)網(wǎng)絡(luò)運營商和服務(wù)提供商都將自身網(wǎng)絡(luò)的維護和防御工作歸為自己的責任，但私營部門的重要組織已表示，業(yè)界希望形成一個工作框架，在此框架下政府將追捕惡意行為人，為私營部門運營商提供信息和技術(shù)支持，幫助私營部門保護自身網(wǎng)絡(luò)。

在網(wǎng)絡(luò)安全解決方案的制定過程中，聯(lián)邦政府應(yīng)考慮出臺鼓勵集體行動和競爭的激勵措施。例如，網(wǎng)絡(luò)空間至今還未出現(xiàn)“照顧標準”的法律概念?？赡艿募畲胧┌ㄕ{(diào)整法律責任（安全改善后責任減少，安全條件差則導致責任增加）、補充賠償、稅收鼓勵政策、以及新的監(jiān)管規(guī)定和執(zhí)行機制。

總統(tǒng)的網(wǎng)絡(luò)安全政策官員應(yīng)與各級政府、私營部門及國際伙伴合作，制定戰(zhàn)略和計劃，鼓勵創(chuàng)新型網(wǎng)絡(luò)安全解決方案，確保基礎(chǔ)設(shè)施系統(tǒng)的安全和韌性?；A(chǔ)設(shè)施范例包括：

政府應(yīng)協(xié)助世界銀行、國際貨幣基金組織等國際金融機構(gòu)，向其提供必要的信息、工具及專業(yè)知識，并鼓勵其運用最佳準則來保護自身的信息系統(tǒng)。2008年這些機構(gòu)的系統(tǒng)曾遭受一系列的嚴重入侵。

《美國復蘇與再投資法案》通過儲備基金來推廣醫(yī)療信息技術(shù)的使用。隨著電子記錄保存（系統(tǒng)）在互聯(lián)網(wǎng)上的日益普及和獲取這些信息的便利性，病人信息的保護工作將事關(guān)美國政府可否得到公眾的認可。

能源部應(yīng)與聯(lián)邦能源監(jiān)管委員會合作決定是否需要為能源方面的工業(yè)控制系統(tǒng)另行制定安全執(zhí)行令和程序。另外，隨著新的智能網(wǎng)技術(shù)在美國的普及，聯(lián)邦政府務(wù)必要制定和通過相應(yīng)的安全標準，以避免為對手制造可乘之機，侵入上述系統(tǒng)或?qū)ζ浒l(fā)動大規(guī)模攻擊。

交通部下屬的美國聯(lián)邦航空管理局在維持現(xiàn)有系統(tǒng)的同時，已制定了向下一代空中交通控制系統(tǒng)過渡的長期計劃。交通部檢察長于2009年3月18日在眾議院航空交通和基礎(chǔ)設(shè)施小組委員會上作證時稱，需要評估潛在的安全漏洞，制定一套健全的網(wǎng)絡(luò)安全戰(zhàn)略和設(shè)計方案。

第五章 鼓勵創(chuàng)新

對于韌性的要求：基礎(chǔ)設(shè)施必須具有一定的恢復能力以防物理破壞、非法操作和電子攻擊。除了對本身信息的保護，減輕網(wǎng)絡(luò)空間風險的戰(zhàn)略必須側(cè)重于訪問基礎(chǔ)設(shè)施的設(shè)備，基礎(chǔ)設(shè)施提供的服務(wù)，網(wǎng)絡(luò)的支持要素及所有用于移動、存儲和處理信息的手段。這一戰(zhàn)略還必須包括預防、減緩和應(yīng)對針對運營并受益于基礎(chǔ)設(shè)施的人員所遭受的威脅或破壞，運營或利用基礎(chǔ)設(shè)施的程序以及用于建造并維護基礎(chǔ)設(shè)施的供應(yīng)鏈。

信息與通信部門正在創(chuàng)建一個聚合平臺，在此平臺上數(shù)據(jù)、音頻和視頻應(yīng)用占用共同的基礎(chǔ)設(shè)施。當前國際互聯(lián)網(wǎng)模型的分散性質(zhì)，可以允許個人和企業(yè)家在無需得到許可的情況下，開發(fā)并配置創(chuàng)新的應(yīng)用程序。創(chuàng)新帶動了價值數(shù)十億美元的新型業(yè)務(wù)，它們徹底改變了用戶與網(wǎng)絡(luò)及用戶彼此之間的互動方式。隨著科技對美國越來越重要，對于這一不斷演變發(fā)展的基礎(chǔ)設(shè)施，保持信心和信任至關(guān)重要?？偨y(tǒng)已呼吁聯(lián)邦政府同業(yè)界保持合作，共同開發(fā)“下一代的安全計算機和應(yīng)用于國家安全的網(wǎng)絡(luò)互聯(lián)”，制定“新的、嚴格的網(wǎng)絡(luò)安全與物理恢復力新標準”，以及“保護個人數(shù)據(jù)的標準”。

美國應(yīng)充分利用技術(shù)創(chuàng)新以便消除網(wǎng)絡(luò)安全擔憂。雖然市場上早就存在著許多可以明顯增強安全性的技術(shù)和網(wǎng)絡(luò)管理的解決方案，但由于成本或復雜的原因這些技術(shù)和解決方案并沒有得到廣泛的使用。另外，鑒于國際互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的內(nèi)在設(shè)計，現(xiàn)有的解決方案已發(fā)揮到了極限，無法再繼續(xù)提高。從長遠來看，開放和創(chuàng)新將有助于建立一個透明且責任明晰的更加強大的基礎(chǔ)設(shè)施。聯(lián)邦政策必須滿足國家安全要求，保護知識產(chǎn)權(quán)，并且要保持基礎(chǔ)設(shè)施的可用性和連續(xù)性———即便在其遭受強勁對手攻擊的情況下。聯(lián)邦政府還必須注意不要制定一些不必要的政策與規(guī)章，它們可能會妨礙創(chuàng)新、導致低效率或使安全性降低。

未來

根據(jù)2006年的國家研究院報告《振興美國的通信研究》一文指出：“通信網(wǎng)絡(luò)是龐大、復雜的系統(tǒng)，其可靠性、安全性及演化性取決于連貫的、構(gòu)思良好的架構(gòu)概念的發(fā)展?！边@一報告還指出：“有多家廠商的產(chǎn)品被用來配置美國的電信基礎(chǔ)設(shè)施并提供服務(wù)……（它們）超越了供應(yīng)商的服務(wù)范圍。由于業(yè)界正朝著水平結(jié)構(gòu)發(fā)展并且其分解出了大量的小型公司，不論是廠商還是服務(wù)提供商都不會準備去負責終端對終端系統(tǒng)的設(shè)計?！?/p>

這樣一來，在處理政策、標準、研究、市場開發(fā)或采購問題時，就沒有可以用來指導私營部門、學術(shù)界和政府做決定的統(tǒng)一建議。聯(lián)邦政府、私營部門及其它利益攸關(guān)方應(yīng)共同制定未來基礎(chǔ)設(shè)施的技術(shù)中立的性能和安全目標，既滿足其作為消費者的自身需求，同時又發(fā)揮其作為公眾利益管理人的作用。聯(lián)邦政府同其合作伙伴應(yīng)針對具體的部門和組織，分別制定一系列綜合的全國信息與通信基礎(chǔ)設(shè)施目標。這些目標可以參考不同的計算平臺模型或網(wǎng)絡(luò)控制概念，以及通過政府、學術(shù)界或業(yè)界的研究項目產(chǎn)生的技術(shù)解決方案。

數(shù)據(jù)和服務(wù)向第三方的聯(lián)網(wǎng)服務(wù)器的移動被稱作為“云朵”，這為全球的私營部門和政府帶來了新的政策挑戰(zhàn)?？缭剿痉ü茌犨吔绲臄?shù)據(jù)移動帶來了以下三方面的挑戰(zhàn)：法律執(zhí)行、不同國家分別制定的隱私與公民自由保護，以及出現(xiàn)數(shù)據(jù)或網(wǎng)絡(luò)漏洞時的決策責任。有些客戶會試圖限制服務(wù)提供商移動或存儲數(shù)據(jù)的地點，而另一些跨國經(jīng)營客戶則會尋求利用地理和時區(qū)的差異性。

基礎(chǔ)設(shè)施安全構(gòu)想：眾多的機構(gòu)和部門都在努力制定某些科技或基礎(chǔ)設(shè)施部門的遠景規(guī)劃。例如，美國能源部與業(yè)界合作于2005年推出了一個為期10年的路線圖，以便發(fā)展用于電網(wǎng)的控制系統(tǒng)。這一計劃期望達到的目標是，截至2015年，“將實現(xiàn)關(guān)鍵應(yīng)用控制系統(tǒng)的設(shè)計、安裝、運作和維護以便能夠承受蓄意的網(wǎng)絡(luò)攻擊，同時不會喪失重要的功能”。國防部先期研究計劃局的顧問小組把對當前基于《互聯(lián)網(wǎng)協(xié)議》的網(wǎng)絡(luò)防御稱作是一項虧本的買賣，呼吁“對可供選擇的基礎(chǔ)設(shè)施進行單獨的考察”，從而完成對最佳候選基礎(chǔ)設(shè)施的實驗與評估。根據(jù)2009年3月的一份簡報，國防部先期研究計劃局正進行一項為期6個月的候選基礎(chǔ)設(shè)施分析。

研發(fā)框架與基礎(chǔ)設(shè)施開發(fā)的結(jié)合在總統(tǒng)網(wǎng)絡(luò)安全政策官的領(lǐng)導下，聯(lián)邦政府應(yīng)與其它的總統(tǒng)辦事機構(gòu)部門及信息和通信設(shè)施聯(lián)合部門委員會進行合作，提供研究與開發(fā)戰(zhàn)略———專注于可以實現(xiàn)基礎(chǔ)設(shè)施目標的、具有變革意義的技術(shù)框架，進一步完善當前的網(wǎng)絡(luò)和信息技術(shù)研發(fā)戰(zhàn)略及其它與研發(fā)相關(guān)的工作。聯(lián)邦政府應(yīng)擴大這些戰(zhàn)略同業(yè)界與學術(shù)研究努力的協(xié)調(diào)，以便避免重復性的工作，利用具有互補性的功能和議事日程并使之同步，并且確保實現(xiàn)該技術(shù)換代并進入市場。

為了提高美國的競爭力，聯(lián)邦政府應(yīng)與業(yè)界合作，共同制定換代路徑和刺激措施以便快速促進研究與技術(shù)開發(fā)，包括鼓勵學術(shù)界與業(yè)界實驗室之間的協(xié)作。

聯(lián)邦政府還應(yīng)與私營部門及其它利益攸關(guān)方合作，利用基礎(chǔ)設(shè)施目標和研發(fā)框架為國家與國際標準機構(gòu)制定目標。

建立身份管理

如果不能提高認證水平，我們就無法提高網(wǎng)絡(luò)安全性。身份管理不只是用于人員認證。認證機制還可以幫助確保在線交易，僅涉及那些對于網(wǎng)絡(luò)和設(shè)備而言可以信任的數(shù)據(jù)、硬件和軟件的交易。盡管大多數(shù)系統(tǒng)今天都適于進行網(wǎng)絡(luò)交易，但人們用于建立信任的電子提示技術(shù)等也許還沒出現(xiàn)、不完整或者難于理解，起不到應(yīng)有的作用。身份管理也許能夠為可信任社團的個人和組織提供幫助，這些社團都是基于不同程度的身份公開和彼此約定的責任制而建立的。同時，它還可以排除不受歡迎的入侵者或不適當?shù)臅T請求。身份管理通過對個人識別信息的發(fā)布進行額外的保護，還可能提高隱私水平。

聯(lián)邦政府與業(yè)界及公民自由與隱私社團合作，應(yīng)共同制定一個基于網(wǎng)絡(luò)安全的國家身份管理構(gòu)想與戰(zhàn)略，為此需要考察一系列的方法，包括提高隱私水平的技術(shù)。聯(lián)邦政府必須通過大量的信息、服務(wù)與福利計劃同公民展開互動。這樣一來，政府才會對保護公眾的隱私信息產(chǎn)生興趣。在線交易變得日益普遍，涉及金融、衛(wèi)生與商業(yè)等諸多方面，需要一個在交易方之間建立信任的基礎(chǔ)。

對于高附加值的業(yè)務(wù)（例如智能電網(wǎng)），國家應(yīng)該建立一系列可以選擇加入的、能夠相互配合的身份管理系統(tǒng)，以便為在線交易建立信任并提高隱私水平。

國家科學技術(shù)委員會下設(shè)的生物測定和身份管理附屬委員會于2008年發(fā)布了一項報告，該報告提供了一個未來聯(lián)邦身份管理構(gòu)想以及一系列的研究與開發(fā)建議。聯(lián)邦政府應(yīng)把這項報告作為身份管理戰(zhàn)略的一個出發(fā)點。

聯(lián)邦政府應(yīng)與國際伙伴進行合作，共同制定相關(guān)的政策，鼓勵發(fā)展可以信任的全球體系，這種系統(tǒng)需要保護隱私權(quán)和公民自由并控制旨在保護公民與基礎(chǔ)設(shè)施的法律實施活動的適當利用。

在國土安全第12號總統(tǒng)令的指導下，聯(lián)邦政府正尋求在聯(lián)邦事業(yè)中運用可相互通用的聯(lián)邦身份認證機制。聯(lián)邦政府應(yīng)確保在聯(lián)邦機構(gòu)全面落實第12號總統(tǒng)令時，相關(guān)的資源都是可以利用的。聯(lián)邦政府還應(yīng)考慮讓以下兩方在國家緊急狀態(tài)期間也能夠使用聯(lián)邦身份管理系統(tǒng)：重要基礎(chǔ)設(shè)施的運營商，以及私營部門緊急響應(yīng)與維修服務(wù)提供商。

全球化政策與供應(yīng)鏈的整合

信息技術(shù)革命及自由貿(mào)易政策帶來的結(jié)果之一，是為在全球范圍內(nèi)分布有設(shè)備設(shè)施的公司建立了一個全球性的環(huán)境，用于其信息與通信產(chǎn)品的研究、設(shè)計、制造與服務(wù)。這一全球市場通過為美國的高科技商品和服務(wù)打開世界范圍內(nèi)的市場，給美國創(chuàng)造了巨大的利益。然而，新的制造、設(shè)計與研究中心在全球范圍內(nèi)的出現(xiàn)，使人們更加擔憂微小的硬件或軟件操作會更加輕易地導致計算機和網(wǎng)絡(luò)的崩潰。仿造產(chǎn)品已帶來了非常明顯的供應(yīng)問題，但記錄在案的明確、蓄意的破壞的例子卻很少存在。

需要對風險管理進行一種廣泛的整體分析，而不是全面地否定外國產(chǎn)品與服務(wù)。供應(yīng)鏈攻擊所面臨的挑戰(zhàn)是，老練的對手也許會縮小目標范圍，僅專注于特殊的系統(tǒng)，這樣基本上就會使操作變得讓人無從察覺。國外制造的確會給民族國家的對手帶來更加容易的破壞產(chǎn)品的機會，但是，通過招募重要的內(nèi)線人員或其它的間諜活動，也可以實現(xiàn)同樣的目標。

最好的防御也許是通過持續(xù)的創(chuàng)新來保證美國的市場領(lǐng)導地位。創(chuàng)新可以提高美國的市場領(lǐng)導地位，并且促進在維護具有彈性的、多樣化的供應(yīng)鏈與基礎(chǔ)設(shè)施方面的最佳實踐的應(yīng)用。總統(tǒng)網(wǎng)絡(luò)安全政策官與各部門機構(gòu)應(yīng)：

以國家安全局為國防部所做的工作為基礎(chǔ)，通過綜合服務(wù)管理局制定商業(yè)產(chǎn)品與服務(wù)的采購戰(zhàn)略，以便建立市場激勵機制，使安全成為硬件與軟件產(chǎn)品設(shè)計、新的安全技術(shù)及安全的托管服務(wù)的一部分；

擴大同州、地方與原住民保留地政府及國際合作伙伴的合作關(guān)系以便使這些采購的市場影響最大化；

同國會一起識別相關(guān)的機制，以便能夠讓各部門機構(gòu)在適當?shù)奶囟ㄇ樾蜗?，在做出購買決定時考慮到相關(guān)的威脅信息；

從經(jīng)濟和威脅的角度出發(fā)，與業(yè)界一起提供威脅信息并確認管理供應(yīng)鏈和內(nèi)部風險的最佳方案。

保持國家安全/應(yīng)急準備的能力

聯(lián)邦政府保護美國民眾和提供共同防御的義務(wù)，包括負責確保國家在危機時刻能夠進行通信并做出響應(yīng)。通信系統(tǒng)可能會最先遭受此類事件的沖擊，因此必須具有可以恢復的韌性或能力，以便應(yīng)對響應(yīng)并保護政府的職能?！?934年通信法》授權(quán)總統(tǒng)當國家處于從“公共危險”到“戰(zhàn)爭”的不同警戒等級時，如果他認為有必要維護國家安全或防御并且存在必要的臨界條件的話，他可以運用、控制或者中止聯(lián)邦通信委員會管轄下的通信服務(wù)、系統(tǒng)和網(wǎng)絡(luò)。第12472號行政命令要求建立一個政府和業(yè)界聯(lián)合的國家協(xié)調(diào)中心以便為通信服務(wù)或設(shè)施在所有危機或緊急情況下的啟動、協(xié)調(diào)、恢復或重建提供幫助。關(guān)于“國家連續(xù)性政策”（2007年5月4日）的國家安全第51號總統(tǒng)令暨國土安全第20號總統(tǒng)令在聯(lián)邦政府內(nèi)對有關(guān)連續(xù)性通信的職責進行了分配。

國土安全部正在努力朝著這一目標前進：幫助國家安全和緊急狀況用戶提供下一代網(wǎng)絡(luò)的聚合信息服務(wù)，并確保在各種災(zāi)難及其它會致使公眾用戶遭受通信服務(wù)嚴重惡化或中斷的事件期間，其所提供的服務(wù)具有極大成功的可能性。下一代網(wǎng)絡(luò)在國家安全方面的改進將包括數(shù)據(jù)、音頻與視頻等多種服務(wù)。由于主要運營商和服務(wù)提供商所構(gòu)想的各種架構(gòu)具有較大差異，這會使得國土安全部的努力變得復雜化。為此，國土安全部正在考察、比較不同的方案，并爭取在提交給標準組織進行考核的方案上與業(yè)界達成一致。聯(lián)邦政府應(yīng)：

針對下一代網(wǎng)絡(luò)的國家安全與應(yīng)急準備通信的能力，制定一個協(xié)調(diào)計劃，包括進度時刻表與經(jīng)費開支要求；提供聯(lián)邦政府可以獲取的附加服務(wù)的選擇，或者引導政府將用在信息與通信基礎(chǔ)設(shè)施上的投資用于提高在自然災(zāi)害、危機或沖突時期的通訊設(shè)施的存活性；與國際合作伙伴與標準制定機構(gòu)進行配合，以便在遍布全球范圍內(nèi)的下一代網(wǎng)絡(luò)環(huán)境中維護下一代國家安全/應(yīng)急準備的通信能力；確保與行政部門連續(xù)性通信基礎(chǔ)設(shè)施和下一代服務(wù)計劃的開發(fā)相關(guān)的努力得到足夠的人力資源支持。

第六章 行動計劃

近期行動建議

⒈任命一名網(wǎng)絡(luò)安全政策官，負責協(xié)調(diào)全國的網(wǎng)絡(luò)安全政策與活動；該官員同時具有國家安全委員會和國家經(jīng)濟委員會雙重職責。在國家安全委員會內(nèi)增設(shè)一個職能強大的局，在網(wǎng)絡(luò)安全政策官的領(lǐng)導下，協(xié)調(diào)政府部門間的網(wǎng)絡(luò)安全戰(zhàn)略和政策的制定。

⒉為總統(tǒng)批準實行確保信息和通信基礎(chǔ)設(shè)施安全的最新國家戰(zhàn)略做好準備。這一戰(zhàn)略應(yīng)包括對《國家網(wǎng)絡(luò)安全綜合計劃》落實情況的評估，明確可以進一步發(fā)揮其成功經(jīng)驗的相關(guān)領(lǐng)域。

⒊將網(wǎng)絡(luò)安全列為總統(tǒng)議事日程的優(yōu)先項目，并制定工作業(yè)績指標。

⒋在增設(shè)的國家安全委員會網(wǎng)絡(luò)安全局中指派一名官員，負責公民隱私和自由權(quán)利事務(wù)。

⒌召集政府相關(guān)機構(gòu)，就在制定政策過程中遇到的網(wǎng)絡(luò)安全相關(guān)事宜進行清除跨越部門界限的法律分析研究；并制定統(tǒng)一的政策指導，以明確政府各部門網(wǎng)絡(luò)安全工作的任務(wù)、職責和權(quán)限。

⒍發(fā)起一場促進網(wǎng)絡(luò)安全公眾意識的全國性教育運動。

⒎發(fā)展并完善政府對組建國際網(wǎng)絡(luò)安全政策框架的觀點與立場，加強與國際伙伴的關(guān)系，主動創(chuàng)新，解決所有與網(wǎng)絡(luò)安全相關(guān)的問題。

⒏制訂網(wǎng)絡(luò)安全應(yīng)急反應(yīng)計劃；啟動旨在加強政府與私營企業(yè)伙伴關(guān)系的對話，理順關(guān)系、加強協(xié)作，為擴大私營企業(yè)的參與并發(fā)揮其作用創(chuàng)造條件。

⒐與總統(tǒng)辦事機構(gòu)其它部門合作，制訂出一個研究和發(fā)展戰(zhàn)略的框架，側(cè)重發(fā)展有助于提高數(shù)字基礎(chǔ)設(shè)施安全性、可靠性、韌性和可信度的革命性技術(shù)；讓研究界有權(quán)使用涉及重大事件的數(shù)據(jù)，以便開發(fā)手段，測試理論，并找出可行的解決辦法。

⒑建立基于網(wǎng)絡(luò)安全的身份管理構(gòu)想和法律規(guī)定，以滿足隱私和公民自由權(quán)利的關(guān)切，指導與加強隱私權(quán)保護的相關(guān)技術(shù)發(fā)展。

中期行動建議

⒈對于有關(guān)法律解釋、政策應(yīng)用及網(wǎng)絡(luò)操作權(quán)限的機構(gòu)間的分歧，改進其解決的過程。

⒉使用管理和預算局項目評估框架來確保各部門機構(gòu)在追求網(wǎng)絡(luò)安全目標時使用基于績效的預算編制。

⒊擴大對關(guān)鍵教育項目和研發(fā)的支持，以便確保國家在信息時代的經(jīng)濟環(huán)境中保持持續(xù)的競爭能力。

⒋制定擴充與培訓勞動力的戰(zhàn)略，包括吸引并維持聯(lián)邦政府內(nèi)的網(wǎng)絡(luò)安全專門技術(shù)人才。

⒌確定最高效、最有效的機制以便獲得戰(zhàn)略性警報、保持情態(tài)感知能力和事故響應(yīng)能力。

⒍制定一系列的威脅情景和指標，用于風險管理決策、恢復規(guī)劃及研發(fā)的優(yōu)先順序確定。

⒎在政府和私營部門之間制定一項程序以便協(xié)助防范、偵測并響應(yīng)網(wǎng)絡(luò)事故。

⒏建立網(wǎng)絡(luò)安全相關(guān)的信息共享機制，消除有關(guān)隱私與專有信息的擔憂并使信息共享具有互利性。

⒐制定相應(yīng)的解決方案，要求在自然災(zāi)害、危機或沖突時期可以提供應(yīng)急通信能力，同時確保網(wǎng)絡(luò)的中立性。

⒑擴大與重要同盟之間有關(guān)網(wǎng)絡(luò)事故和弱點的信息共享，并尋求雙邊和多邊安排，這種安排將可以在提高經(jīng)濟與安全利益的同時，保護公民自由和隱私權(quán)。

⒒鼓勵學術(shù)界和業(yè)界實驗室之間的合作以便制定換代路徑，以及鼓勵快速采用研究與技術(shù)開發(fā)創(chuàng)新的刺激措施。

⒓利用基礎(chǔ)設(shè)施目標和研發(fā)框架來幫助界定國家與國際標準制定機構(gòu)的目標。

⒔對于高附加值的業(yè)務(wù)（例如智能電網(wǎng)），建立一系列可以選擇加入的、能夠相互配合的身份管理系統(tǒng)，以便為在線交易建立信任并提高隱私水平。

⒕完善政府采購戰(zhàn)略，并且對于具有韌性且安全的硬件與軟件產(chǎn)品、新的安全創(chuàng)新及安全的托管服務(wù)，建立市場激勵機制。

第四篇：淺析2008年《美國國防戰(zhàn)略報告》

于是，在反恐的大旗下，布什政府先后發(fā)動了阿富汗和伊拉克戰(zhàn)爭。雖然付出了巨大的代價，但是安全形勢并沒有達到布什政府預期的效果。在阿富汗，中央政府無力控制首都喀布爾之外的地區(qū)；在伊拉克，宗教、種族及地區(qū)的沖突愈演愈烈。同時，高額的戰(zhàn)爭費用招致民眾的抗議，要求從伊拉克撤軍的呼聲不絕于耳。因此，該報告對恐怖主義威脅的夸大，旨在為布什政府對外戰(zhàn)爭的合法性辯護，以息民憤。

美國國防部在大談恐怖主義威脅的同時，鑒于在兩場戰(zhàn)爭中所付出的巨大代價，也理性的看到自身的不足。報告中多次提到，“純粹的武力成功并不是最終的勝利”。美國應(yīng)吸取在阿富汗和伊拉克戰(zhàn)爭中的經(jīng)驗，注重自身的非常規(guī)力量的構(gòu)建。接下來，美國受到的最直接的威脅是來自非國家行為體采用的非對稱性的戰(zhàn)術(shù)。因此，五角大樓要重視以往忽略掉的非對稱性的沖突。[6]對于反恐新手段，報告中指出，美國應(yīng)該“更多倚重其軟實力（soft?power）和盟友”。同時，“還應(yīng)鼓勵當?shù)卣畢⑴c反恐進程，通過經(jīng)濟促發(fā)展，更好地保衛(wèi)和管理自己”，“反恐是個長期的過程，不是一朝一夕或是一場戰(zhàn)爭就可以解決的，要實現(xiàn)從純粹的單邊向多邊主義跨度的轉(zhuǎn)變”。

第三，“非傳統(tǒng)安全領(lǐng)域”的戰(zhàn)略轉(zhuǎn)向。不同于以往戰(zhàn)略報告對傳統(tǒng)安全領(lǐng)域以及恐怖主義帶來的非對稱威脅的熱衷，2008年國防戰(zhàn)略報告進一步指出，“接下來的20年里，伴隨著快速的社會、文化、技術(shù)和地緣政治的改變，會出現(xiàn)新的物質(zhì)壓力，比如人口、資源、能源、氣候和環(huán)境方面的挑戰(zhàn)，可能會導致更多不確定性的產(chǎn)生?！?“這些不確定的因素，特別是大多數(shù)發(fā)展中國家的人口增長和大多數(shù)發(fā)達國家的人口負增長，以及相互之間人口流動趨勢的改變，帶來了資源、環(huán)境以及氣候等方面的安全挑戰(zhàn)”。這種新出現(xiàn)的非傳統(tǒng)安全領(lǐng)域的挑戰(zhàn)，正是全球化的不斷加深以及美國自身的開放程度帶來的，同時也是不可避免的。因此，回避不是辦法，要積極加以應(yīng)對。針對這些新出現(xiàn)的不確定因素，報告指出，美國國防部應(yīng)該“對安全戰(zhàn)略觀進行大規(guī)模的更新”，“通過一些強有力的戰(zhàn)略走向之間的相互作用，規(guī)劃一個長遠的安全環(huán)境”。

第四，地緣戰(zhàn)略思維的回歸和深化。美國是目前唯一的全球性超級大國，而歐亞大陸是全球的中心舞臺。歐亞大陸權(quán)勢分配的變化，對美國在全球的首要地位和美國的歷史遺產(chǎn)，都將具有決定性的意義。[7]美國以其意識形態(tài)紐帶一直維系著歐亞大陸西部的民主陣營。因此，從一定程度上可以說，美國歐亞大陸地緣政治的掌控取決于對歐亞大陸立足點的獲取。而報告中對所謂的“流氓國家”和對中俄印的關(guān)系大量提及，也正體現(xiàn)了這一點。

所謂的“流氓國家”，是指“威脅國際秩序的朝鮮和伊朗”。對于參與六方會談的朝鮮，美國雖早已提出將其從“無賴流氓國家”名單中去除，但是在2008年的國防戰(zhàn)略報告中并沒有履行諾言，而是繼續(xù)“擔憂朝鮮政權(quán)在核擴散和導彈擴散方面的問題”。同時，報告指出“伊朗政權(quán)資助恐怖主義，試圖摧毀剛在伊拉克和阿富汗建立的脆弱的民主政權(quán)”。不難看出，美國所定義的流氓國家實質(zhì)是在遠東和中東兩個具有重要戰(zhàn)略地緣價值的國家。對這兩個國家的界定以及美國心存的打擊渴望，同遏制中國和俄羅斯是不能分開的。

對于正在崛起中的中國，2006年的美國安全政略報告，將其定義為“處于戰(zhàn)略十字路口的國家”；在2008的國防戰(zhàn)略報告中，明確了對中國應(yīng)采取的戰(zhàn)略對策：“美國國防部將通過塑造（shape）和防范(hedge)戰(zhàn)略，來應(yīng)對中國不斷增強的軍力及其使用方式的不確定性”；同時，在臺海問題上，為了美國在亞太地區(qū)的地緣政治利益，必須維持臺灣的分離現(xiàn)狀。[8]對于“民主程度倒退以及對鄰國采取能源和政治恫嚇”的俄羅斯，由于其向美國挑戰(zhàn)尚待時日，當務(wù)之急，要“強化在后蘇聯(lián)空間內(nèi)的地緣政治多元化趨勢，從而有效抑制俄羅斯的帝國野心”。報告中提到“希望印度在國際體系中以利益攸關(guān)方的身份承擔更大的責任”，則是意欲抗衡地緣政治上的中國—巴基斯坦聯(lián)盟?？梢哉f，傳統(tǒng)的“歐亞大陸中心論”在美國新保守主義那里，仍然占有很大的市場。

第五篇：報告(國土整理)[推薦]

報告

尊敬的縣國土整理中心領(lǐng)導：

我東湖塘鎮(zhèn)麻山村通過各級領(lǐng)導的重視和支持，現(xiàn)正在進行國土整理。國土整理項目確是一件功在當代、利在千秋的一件大好事，確實是一項利民工程，給當?shù)匕傩諑砹撕艽蟮暮锰?，但在設(shè)計上還有一些不妥的地方，現(xiàn)特提出幾點請領(lǐng)導實地察看。

一、現(xiàn)有平整區(qū)范圍內(nèi)月湖七、八組有近200畝未進行平整，當?shù)厝罕娗榫w大，迫切要求進行平整。因周邊現(xiàn)已平整的地方改變了原有水系，平整后有利于水系重新布局和田塊的劃分。

二、月湖抽水機部，現(xiàn)新修渠道要求引水口要比吸水口寬，以增加水渠的水流量，新修靠河邊的河堤請求加寬加高，有利于防止河水對渠道堤的沖擊，防止洪水沖毀渠道。

三、月湖五組、六組茶子坳、雪花沖等組通往生產(chǎn)區(qū)的“三元橋”請求拓寬，以利于有近200畝田的機耕作業(yè)和方便群眾的生產(chǎn)生活。

四、長塘一壩子塘的水溝請求排水溝變更為進水溝。以上幾點意見妥否，請領(lǐng)導給予批復。

特此報告。

寧鄉(xiāng)縣東湖塘鎮(zhèn)麻山村民委員會

2012年1月9日