解读美国《网络空间安全国家战略》

该战略确定的第一个优先方面是提高对网络攻击事件的应对能力，并减小事件带来的潜在破坏，它涵盖了7项行动建议；第二个、第三个和第四个优先方面致力于降低网络攻击的威胁和脆弱性，分别包括15项、9项和6项行动建议；第五个优先方面旨在预防可能影响国家安全的网络攻击并提高对此类攻击的国际化管理和应对能力，涉及10项行动建议。以下是其核心内容。

优先一：国家网络空间安全响应系统

指定国土安全部负责领导和协调国家网络空间安全响应系统的建立。此系统是一个公共-私人合作机制，用来对网络攻击进行分析和告警、处理国家级重要事故、促进政府系统和私人部门基础设施的持续运行，增加机构间的信息共享以改善网络安全。

私人部门拥有的网络越来越成为攻击的目标，它们很可能成为对国家有重大影响的潜在网络攻击的最早发现者。因此，私人部门根据自身需求而建立的信息共享与分析中心（简称ISAC，运作资金由其成员单位提供）将在国家网络空间安全响应系统和国土安全的整体任务中发挥越来越重要的作用，国土安全部应加强同信息共享与分析中心的紧密合作，确保接收及时的威胁和脆弱性数据，并对突发性的计划任务进行协调。

同时，还需要将网络告警与信息网（简称CWIN）从联邦政府网络监测中心扩展到联邦政府的网络运行中心和私人部门的信息共享与分析中心，为政府部门和产业界提供一个共享网络告警信息的专用、安全通信网络，以支持国土安全部在网络空间危机管理中的协调作用。

另外，要成功地提高分析、指示和告警能力，需要在公共和私人部门之间实现自发的信息共享。该战略重申了《国土安全法》确定的双向信息共享机制：一方面，鼓励产业界与国土安全部共享信息，确保政府部门不会以损害提供者的方式透露产业界自愿提供的关于威胁和攻击的信息；另一方面，要求联邦政府在保护保密信息和其他敏感的国家安全信息的基础上，适当地将有关信息与私人部门共享。

优先二：国家网络空间安全威胁与脆弱性降低计划

危及网络安全的脆弱性大多出现在关键基础设施的信息资产和其外部支撑结构（如因特网设备）上，连接到互连网络上的安全性不高的网站也是重大的潜在隐患。脆弱性源于技术缺陷、操作不正确或技术产品的疏忽等。

在这一方面，该战略明确了需要开展的三项工作：通过有效的计划以减少威胁和阻止恶意攻击者，并对他们进行确认和惩罚；对那些已被发现的可能对关键系统造成重大损失的现存弱点进行确认并补救；开发脆弱性较小的新系统，对新技术的脆弱性进行评估。

减少脆弱性需要运用大量的资源。在识别和补救脆弱性方面必须讲究有效性和系统性，美国应重点在确保因特网机制的安全、推广可信赖的数字控制系统/监督控制和数据采集系统（DCS/SCADA）、降低并补救软硬件脆弱性和了解物理基础设施相互依赖性四个方面开展工作。另外，国家必须把网络安全研究放在优先位置，国家级研究必须优先发展那些能够支持在21世纪将网络空间转换成安全、高速的知识和通信基础设施的领域。新兴的研究领域也能对安全产生无法预料的后果。光学计算和智能工具的出现，或者从更长远来看，纳米技术、量子计算和其他领域的开发将重塑网络空间及其安全。在理解这些技术及对安全的含义时，国家必须走在前沿。

优先三：国家提高网络安全意识与培训计划

除了信息技术系统的脆弱性外，要提高网络的安全性至少还有其他两个障碍：缺乏对安全问题的了解和认识；无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。为此，美国要开展全国性的增强安全意识活动，加强培训和网络安全专业人员资格认证。

在增强意识方面，由国土安全部负责领导提高家庭用户和小型企业、大型机构、高等教育机构、州和地方政府等关键用户网络安全意识行动，如制定提高中小学生网络安全意识计划、促使州和地方政府的关键决策者支持对信息系统安全保护措施投资等。在网络安全培训方面，进一步提高现有联邦网络安全培训计划的有效性，促进开展足够多的培训和教育计划。国土安全部还将与其他部门协作，鼓励实施网络安全职业培训计划。此外，该战略还指出了目前美国在网络安全专业人员资格认证方面存在的问题，如考核要求差异大、缺乏统一标准等，要求参考其他职业资格认证的成功管理模式（如医生、律师）制定国家承认的网络安全专业人员资格认证方法和指南。

优先四：政府网络空间安全保护

联邦政府应在重视和关心网络安全方面起到表率作用。在联邦政府网络安全建设上，管理与预算办公室主任负责确保各部门和机构的领导履行其在保护IT系统安全方面的职责，这些IT系统不包括国家安全部门和机构的保密系统，它们由国防部长和中央情报局局长负责。该战略重申了有关政府网络安全管理的六点不足，包括：1. 缺乏高级管理者的关注; 2. 缺乏绩效评估; 3. 安全教育与意识方面不足;4. 缺乏足够的资金支持和在资金计划和投资控制中没有充分考虑安全问题;5. 不能确保合同商所提供服务的安全性；6. 对信息网络脆弱性的监测、报告和信息共享方面的失败。为克服上述不足，要求将安全需求与预算和资金规划相结合，政府机构在联邦资金规划中应该考虑安全问题并报告每项IT投资的安全成本，在管理与预算办公室批准对IT系统进行投资前，政府机构必须证明已经解决了系统安全方面的重大问题，否则，该系统的投资将不予批准。

联邦政府在改善和维护网络安全时应围绕识别和验证体系结构、对威胁和脆弱性进行持续评估并了解其对机构运行和资产的潜在风险、进行网络安全控制和补救以减小风险并实施风险管理三个方面的工作展开。联邦政府还面临着对联邦系统用户的认证和授权、联邦无线局域网的安全、改善政府外包和采购的安全、为独立的安全检查和检查人员以及认证制定专门标准四个安全挑战。每个机构都应在适当的情况下配合管理与预算办公室做好这些挑战的应对工作。

此外，应鼓励州和地方政府为其所属部门和机构制定IT安全计划（包括意识、审计和标准等问题），并鼓励它们参与信息共享与分析中心。

优先五：国家安全与国际网络空间安全合作

确定的10项行动建议的核心内容包括加强网络空间的反间谍工作、促进并建立全球“安全文化”、推动调查和打击网络犯罪方面的国际性合作。此外，当国家、恐怖主义组织或其他敌对势力通过网络对美国进行攻击时，美国保留以适当方式进行反击的权利，美国已经做好应付一切可能事件的准备。

在保护美国信息基础设施的漫长道路上，《网络空间安全国家战略》的出台只是第一步。正如该战略最后指出的在不久的将来，美国将更加依赖网络空间，联邦政府将继续寻求广泛的、持续的合作。该战略并不是一成不变的，将随着技术进步、威胁和脆弱性的变化以及对网络安全问题认识的进一步清晰而不断更新。