美國網絡安全政策導向及其啟示

劉助仁

（湖南省社會科學院 政治與公共管理研究所所長、研究員，湖南 長沙 410003）

美國網絡安全政策導向及其啟示

劉助仁

（湖南省社會科學院 政治與公共管理研究所所長、研究員，湖南 長沙 410003）

互聯網已經融入了當代社會的各個領域，并成為了一個國家賴以正常運轉的“神經系統”，而一旦出現網絡危機，該國整個社會有可能陷于癱瘓。因此，網絡安全已成為國家公共安全的“致命威脅”。美國政府在確立維護網絡安全的國家戰略，完善維護網絡安全的管理機制，優化網絡安全的技術組織結構，健全維護網絡安全的法制體系等方面的經驗對我國網絡安全保障體系建設具有一定的借鑒意義。

美國；網絡安全；政策導向；啟示

自從互聯網逐步普及以來，網絡安全問題及其對經濟發展、國家安全和社會穩定的重大影響，正日益凸顯出來。在信息網絡化進程中，國家安全與經濟、政治的安全越來越不可分割，而經濟、政治安全越來越依賴于關鍵性信息網絡基礎設施的安全。網絡安全是一個事關國家公共安全的全球性重大戰略問題，已成為世界各國政府的共識。特別是“9·11”恐怖襲擊事件后，網絡安全政策更成為各國特別是發達國家政府公共安全政策的一個重大組成部分。美國網絡安全政策在全球范圍內具有普遍性和代表性，其網絡安全政策導向值得我們借鑒。

一、確立維護網絡安全的國家戰略

當今世界，美國的信息基礎設施最發達，其互聯網絡技術也最先進。不論信息領域中的操作系統、數據庫，還是網路交換機等核心技術基本都掌握在美國企業的手中，從而使其在網絡空間占據著絕對的優勢。隨著信息全球化步伐的加快，美國充分認識到，無論在政治、經濟還是在軍事上，信息網絡的作用已經同美國的國家利益和戰略目標密不可分，網絡安全事關國家的核心利益，已經成為維護國家安全、保障公民基本權利和奪取軍事斗爭勝利的關鍵因素，先后調整了國家安全戰略，使網絡安全在國家安全戰略諸要素中的地位不斷上升，已成為國家安全戰略中“不可分割的重要組成部分”。

美國網絡安全的戰略重點是基礎設施的安全，以此為主線美國展開了網絡安全的研究和部署，并采取一系列重要舉措。首先從國家戰略高度規劃網絡安全建設，特別是網絡安全基礎設施建設。為此，美國先后啟動了7個關于保護美國關鍵基礎設施的計劃即：信息共享計劃；確定伙伴關系計劃；組建工作機構計劃；網絡安全教育計劃；保障政府網絡安全計劃；完善法律法規戰略計劃；研究與開發計劃。美國國家安全局制定了《網絡安全保障技術框架》（IATF），全方位地從技術角度闡述了網絡安全保障的方方面面，這是網絡安全保障技術領域中最為系統的研究。IATF為保護美國政府和工業界的網絡和網絡基礎設施提供技術指南，并強調網絡安全保障要靠人、操作和技術來實現。美國政府關鍵基礎設施保護委員會發布了保衛美國網絡安全的“國家行動計劃”，經時任總統克林頓批準，于2000年12月生效，2003年全面付諸實施。該計劃明確強調，要提高美國信息網絡系統的整體防護能力，包括國家攻擊判斷和預警能力及協調響應技巧，保護涉及美國關鍵基礎設施、政府部門、軍事指揮和情報系統、重要產業和企業以及公民的信息網絡安全。美國國會、司法部、商務部和聯邦調查局也曾多次召開會議，討論加強網絡安全措施，并明確規定聯邦政府為制定國家網絡安全標準及網絡安全政策的授權單位。

“9·11”之后，美國深知在沒有了全球同等級軍事競爭對手之后，“非對稱攻擊”對于其基礎設施，尤其是網絡戰武器這種“窮國原子彈”對于其網絡基礎設施的高度威脅。2001年10月8日，白宮任命反恐專家理查德·克拉克為總統網絡安全特別顧問，以協調有關機構保護信息網絡系統。2002年，克拉克又提出未來美國網絡安全領域的10大重要措施，其中有：制訂《保護cgberspace安全的國家戰略》、制定cgberspace安全模型、加強行政部門間網絡安全的合作、建立政府與企業界在網絡安全方面的緊密聯系、培訓更多網絡安全人員、建立cgberspace預警網、建立各類基礎設施間的安全保護仿真模型、提高公民的網絡安全意識等。克拉克還提出，新的國家網絡安全戰略應該是一個開放的、透明的、動態的、與時俱進的活動戰略。為此，各網絡安全組織和政府部門紛紛調整自己的安全戰略和行動計劃，以提高網絡防御能力。2002年9月20日，美國正式公布了新的國家安全戰略。新戰略首次改變了過去冷戰時期的軍事威懾戰略，強調要對恐怖（包括網絡恐怖）威脅發動先發制人的軍事打擊。新戰略更明確提出國土安全部將承擔整合和協調，及對美國聯邦基礎設施保護職責的責任，并要求國土安全部把保護網絡基礎設施放在最高的優先級別。與此同時，美國在互聯網上公布了《確保網絡安全戰略》草案，建議政府提高網絡關鍵設施的安全性，加強計算機中心建設，以監測對付“網絡攻擊”。[1]

2003年2月，布什政府正式公布了《確保網絡安全國家戰略》。這是在“9·11”事件發生一年多后，美國政府經過對非傳統安全問題的深刻反思后，在網絡安全方面出臺的重大舉措。該戰略是美國保護國家安全整體戰略的一部分，是美國關于保護網絡安全方面的首份最權威性政策文件。《確保網絡安全國家戰略》目標定位于提高美國網絡空間的抗風險能力，保證其免受自然和人為破壞。該戰略對美國面臨的網絡威脅和脆弱性進行了闡述后認為，沒有一個單獨的戰略能消除網絡空間的脆弱性和相關威脅，國家必須進行風險管理，提高能力，將攻擊造成的損失降到最低。由此明確指出制定和實施網絡安全保護計劃的指導方針，提出了五大優先發展內容，即國家網絡安全響應系統、國家網絡安全威脅與脆弱性降低計劃、國家提高網絡安全認識與培訓計劃、政府網絡安全保護、國家安全與國際網絡安全合作。該戰略還規定了聯邦政府有關部門在網絡安全保護中的基本職責，也為州和地方政府、私人企業和機構以及普通市民指明了在網絡安全方面的行動方向。[2]

然而，網絡安全威脅持續發展，為了應對這種嚴重局面，奧巴馬上任伊始就把網絡安全作為維護美國安全的首要任務，突出強調網絡空間的戰略地位，把網絡基礎設施列為戰略資產，實施保護。在克林頓時代，美國就把包括網絡在內的基礎設施列為關鍵基礎設施，網絡安全戰略主題是網絡基礎設施保護，重點在于“全面防御”；布什上臺后，網絡恐怖主義浮出水面，網絡安全戰略主題是反恐，重點在于“攻防結合”；奧巴馬政府不僅把網絡列為關鍵基礎設施，而且把它升級為國家戰略資產，是國家安全與經濟的命脈，進一步加大了在網絡領域的戰略攻防力度，試圖強化并利用其在網絡空間中的領先優勢，謀求全面“制網權”。2009年2月，奧巴馬公布“國家基礎設施保護計劃”，要求美國各級政府與私營企業合作，全面保護網絡安全。奧巴馬在2009年5月公布《網絡空間政策評估》時說到，網絡安全不僅事關公共安全，而且事關美國的競爭力和美國在21世紀的經濟繁榮。他將網絡安全威脅定位為“舉國面臨的最嚴重的安全挑戰之一”，并高調亮出了自己的網絡安全戰略：“宣布我的政府將遵循全新的政策來確保美國數字化基礎設施的安全。新政策從我的承諾開始：從今以后，我們的數字化基礎設施——我們每天使用的網絡和計算機——將被視為一種國家戰略性資產。保護這一基礎設施將成為國家安全的優先事項。”要綜合動用外交軍事、經濟、情報與執法“四位一體”的手段確保網絡安全。[3]2009年6月，美國正式宣布成立網絡戰爭司令部，提出“攻防一體”口號。與往屆政府的網絡安全政策相比，奧巴馬政府更注重運用軍事手段維護網絡安全，其網絡安全戰略已顯現“以攻為主，實現網絡威懾”的主題。

二、完善維護網絡安全的管理機制

維護國家網絡安全是美國政府的一項重要職責。為了統一領導和協調一致，美國早就成立了由重要內閣成員參加的“關鍵基礎設施保護委員會”。該委員會定期舉行會議并提交報告，為總統了解網絡安全狀況和制定政策提供建議，并協調各項保護網絡計劃的實施。在網絡安全的組織和執行機制上，美國總統通過國家安全委員會、關鍵基礎設施保護委員會處理和協調有關網絡安全事務。關于網絡安全的具體工作則分別由美國商務部下屬的國家標準與技術局（NIST）和國防部下屬的國家安全局（NSA）分工負責。NIST主要負責非保密信息的網絡安全工作，而NSA主要負責保密信息的網絡安全工作。在國家層次上，商務部和國防部實際上分工負責了所有的網絡安全工作，兩者之間責任明確。NIST由商務部長主管，協助政府和產業界進行安全規劃、風險管理、應急計劃、加密、人員身份認證及智能卡應用等安全技術的開發、推廣應用、計算機病毒檢測與防治、安全教育培訓等方面的工作，同時還負責制定安全技術和安全產品的國家和國際標準。在組織上，NIST所負責的網絡安全工作具體落實到該局下層的計算機系統實驗室的計算機安全部。計算機安全部負責幫助聯邦政府各部門解決各種各樣的信息網絡安全問題。而NSA則具體負責“國家安全系統”（即保密信息）的網絡安全工作，其職責是幫助政府機構解決與“國家安全系統”有關的信息網絡安全問題；出版“網絡安全產品和服務名錄”；根據政府機構及其合同單位的要求，對有關網絡系統的薄弱環節加以評估，并提出消除和改善薄弱環節的安全措施。[4]

為了健全網絡安全快速反應機制，1998年2月，美國聯邦調查局成立了國家基礎設施保護中心。這是美國唯一的專門對付攻擊國家基礎設施的犯罪活動的全國性機構。該中心成員由政府部門、州和地方政府以及私營部門的代表組成。其主要職責是發現有預謀的網絡攻擊行動，并對政府和公共行政部門發出警告；實施與打擊網絡犯罪，并執行反恐怖和涉外反間諜等任務；對威脅國家重要基礎設施的計算機入侵等非法活動進行調查分析；當違法行為超出一般刑事犯罪的范圍并由外國發起旨在攻擊美國利益時，對國家安全部門提供支持。目前該中心在評估威脅、提供威脅預警等方面發揮越來越重要的作用。美軍各兵種也相應采取了各種網絡安全快速反應機制。如陸軍實施了“網絡安全改進計劃”、海軍實施了智能卡身份認證、空軍則著手驗證網絡安全新技術等。為了防止、偵測和反擊國防部信息網絡基礎的威脅行為，美國陸海軍三軍相繼成立了專門負責網絡戰的網絡中心。空軍網絡戰中心AFTWC已具備了計算機緊急響應能力，并執行與國防網絡局類似的任務；海軍的艦隊網絡戰中心FIWC與陸軍的陸上網絡戰行動小組CIWA也已具備類似的能力。[4]

“9·11”事件后不到1個月，時任總統布什即以1322號總統行政命令“要建立國土安全辦公室”。經國會批準，該辦公室于2002年7月升格為“國土安全部”，其職責是保護本土網絡基礎設施的安全。2003年1月，國土安全部正式啟動。為了加強網絡安全的行政領導，布什還以總統令“網絡時代的關鍵基礎設施保護”宣布，將“關鍵基礎設施保護委員會”這一部委之間的協調機構改為行政實體“關鍵基礎設施保護辦公室”，接受總統辦公廳的領導，同時成立“關鍵基礎設施保護理事會”，任命克拉克為總統網絡安全顧問，使他成為全美網絡安全總指揮，有權了解各部門內屬于其管轄范圍的所有情況，召集和主持與網絡安全相關的各種會議，制定保護關鍵基礎設施的政策和方案，并向總統國家安全事務助理和國土安全助理匯報。

奧巴馬政府就任后，構建美國21世紀網絡安全管理領導機制便成為當務之急。奧巴馬認為，網絡安全威脅的特殊性使網絡安全管理超出了任何政府單一部門的職能。過去美國政府僅僅把網絡安全看作是技術問題，但如今不能再保持這種觀點了，因為維護網絡安全要求舉美國全國之力，要涉及外交、軍事、情報、執法、經濟政策等諸多領域。它們要求全面的戰略、各個政府部門的協調管理。目前美國尚不存在滿足上述要求的管理機制。于是，他宣布要成立一個白宮層面的“網絡安全辦公室”。為了確保聯邦政府的網絡政策能強化美國的安全與繁榮，領導該辦公室的網絡安全協調員將成為“國家安全團隊”的成員和“國家經濟委員會”的成員。[3]美國軍方也在不遺余力地構建網絡安全管理的領導機制。2009年6月23日美國正式組建網絡司令部便是重要標志，從而進一步理順了美軍網絡安全管理的領導機制。[5]

三、優化網絡安全的技術組織結構

美國憑借其深厚的科技水平，在網絡安全保密技術、安全控制技術和安全防護技術等的開發和使用上處于領先地位，在不斷進行技術完善的同時，它還加強某些技術的控制與管理，企圖維持在世界上的霸主地位。隨著美國網絡安全觀念的不斷深化，在大量開發防火墻、安全路由器、安全服務器、用戶認證產品等保護技術和產品的同時，也加強了對預警、檢測、追蹤、響應和恢復等積極防范技術和產品的研制。例如，開發了可追蹤黑客使用“拒絕服務程序”攻擊源頭的軟件、聯邦計算機入侵檢查網絡、國防部的自動入侵檢查系統等。

要提高網絡安全技術水平，必須加大對網絡安全技術的財政預算投入，大力培養網絡安全的專業人才。在2010年度財政預算中，奧巴馬政府投資3.55億美元以加強美國公共部門與私營部門的網絡安全，加強網絡安全技術研發。該預算較之2009財年的預算支出3.13億美元有所增加。另外，2010年財政預算給予國土安全部門的科技局10億美元，用于諸如網絡安全等研究。這些預算不包括國防部用于網絡安全的費用。這些費用主要用于研發、部署新的網絡攻防技術設施。為了加強對網絡安全的研究，美國政府制定了“網絡空間人才”計劃，該計劃的實施，為美國培養了部分急需的網絡安全技術人才。與此同時，《網絡安全研究與開發法案》確立了美國網絡安全技術人才的原則，并明確規定了國家有義務資助他們開展工作。為研發網絡新技術和保護網絡安全，奧巴馬政府和軍方招賢納士。美國國土安全部門計劃招募一批網絡高手協助保衛網絡安全。國防部打算投入資金加大網絡專業人才培訓力度。到2010年，國防部網絡技術專家人數將從當前的80人增加到250人。網絡戰司令部近期擬征召2000～4000名“士兵”。[6]

網絡安全技術標準可以為網絡安全技術監測的建立提供理論依據，有利于引導網絡與網絡安全技術朝著健康有序的方向發展。早在1980年代初，美國就開始著手制定計算機安全評價標準。1985年，國防部國家計算機安全中心代表國防部制定并出版了可信計算機安全評價標準，即著名的“桔皮書”。為了針對網絡、安全的系統和數據庫的具體情況來應用桔皮書的標準，國防部國家安全計算機中心又制定并出版了三個解釋性文件，即可信網絡解釋、計算機安全子系統解釋和可信數據庫解釋。至此，便形成了美國計算機系統安全評價標準系列——彩虹系列。同時，美國利用自身在網絡規則和硬件生產領域的強大發言權，主導國際網絡安全標準的制定，并通過雙邊貿易談判等渠道，將增強網絡安全和打擊網絡犯罪的通行標準推廣到世界其他國家和地區。這種變化體現了美國在戰略上控制網絡技術及其安全的用心。[7]

四、健全維護網絡安全的法制體系

要使網絡安全運行及信息安全傳遞，亟需進行必要的法律建設和相應的政策配套。美國建立了一整套法制體系，其中最主要的是美國國會1987年通過并于1988年開始實施的計算機安全法。制定計算機安全法的目的，是為了“改善聯邦政府計算機系統內敏感信息的安全與保密”。美國確立的有關網絡安全的其他法規還包括國家信息網絡基礎設施保護法、信息自由法、個人隱私法、反腐敗行徑法、偽造訪問設備和計算機欺騙濫用法、電子通信隱私法、正當通信法、電信法、兒童網上保護法、加強網絡安全法、公共網絡安全法案、通信行為規則法案、數字電話法案、電子簽名法案、政府信息網絡安全政策法案、反黑客法案及禁止互聯網賭博法案等。[8]

有了相關法律的保障，還必須有相應的政策，以保障網絡安全具有可操作性。美國網絡安全政策主要體現在《聯邦政府信息資源管理OMBA-130號通告》中和“國家網絡安全保障”政策及密碼使用管理政策方面。“國家網絡安全保障”政策是指：用支持網絡空間安全的意識培訓和教育來作為國家這一領域的啟蒙；在信息系統和網絡中使用強密碼來實現包括數字簽名和加密技術；開發和使用良好的商業化安全網絡技術產品和服務；全球網絡安全管理基礎設施；防御基礎設施，包括國家攻擊判斷和預警能力及協調響應技巧。密碼使用管理政策集中在使用密碼進行信息加密和使用數字簽名實施證書授權兩個方面。

2003年正式通過《網絡安全國家戰略》以后，美國一直在努力尋求提高網絡安全的法律手段來保護其網絡空間安全，并有越來越多的法律法規出臺。美國網絡安全立法趨勢：一是立法要強制與激勵舉行。法不僅要具有一般法律的強制性，還應具有激勵性，制定一項網絡安全法規時，不僅要考慮如何確定否定式的消極后果，而且應充分考慮如何確定肯定式的積極后果；二是立法要與現實發展相配合。網絡安全法付諸實踐是慎重而長遠的事情，立法本身需要根據現實發展不斷作出調整；三是立法的基礎是不斷強化網絡安全技術標準。立法起到規范技術標準和準則的目的，同時各種專業技術標準和準則也是立法的基石。[8]

奧巴馬上任后，為謀求網絡威懾，實現制網權，更加注重發揮法律法規的力量。2009年9月和11月，美國眾議院科技委員會科學教育分委會和技術、創新分委會分別通過2009年網絡安全研究法案和網絡安全協議與加強法案。眾議院將以上兩個法案進行整合，聽取有關建議，形成并通過了加強網絡安全法案。這個法案將為美國建立網絡威懾，積極參與制定形成國際網絡安全技術標準，實現制網權提供有力保障。

五、對我國網絡安全建設的啟迪

根據我國網絡安全的現實狀況，借鑒美國加強網絡安全建設的政策導向，當務之急，最關鍵的問題是統一解決我國網絡安全保障的戰略規劃，要把網絡安全保障提高到國家安全高度來認識。網絡安全是一個國家的綜合集成系統，國家網絡安全保障戰略是一個關系到國家網絡安全全局、著眼國家網絡安全長遠發展的重要綱領性文件，它將站在維護國家安全和保障國家網絡安全建設健康發展的高度，提出我國網絡安全保障戰略發展的指導思想、戰略目標、推進策略、動作機制和實施路線，以利于統一思想、統一意志、形成合力，起到動員、指導和促進網絡安全的全面建設。[9]因此，它的戰略規劃管理要求國家進行科學的、強有力的干預和導向。這樣才會有全國統一、全面、合理的制度安排，準確把握全國關鍵基礎設施的縱深防御和多層屏障的科學設置，日益加強網絡安全體系。建立網絡安全保障體系的基本構想應該是：完善國家網絡安全的管理組織機制，優化網絡安全的技術組織結構，健全網絡安全的法律法規體系。

[1]黃鵬.由鮮舉，等.美國如何打造網絡安全盾牌[N].中國電子報，2002-09-13.

[2]蔡文之.網絡：21世紀的權力與挑戰[M].上海：上海人民出版社，2007.

[3]張保明.奧巴馬的網絡安全新思維[J].國際技術經濟導報，2009，（8）.

[4]唐嵐.美國國家信息安全保障體系簡介[J].國際資料信息，2002，（5）.

[5]溫憲.美國拓寬網絡空間霸權[N].人民日報，2009-07-09.

[6]程群.奧巴馬政府的網絡安全戰略分析[J].現代國際關系，2010.

[7]龔玉朝.美國國家網絡空間安全戰略的新發展[N].學習時報，2010-05-24.

[8]王堅.美國的信息網絡安全措施[J].全球科技經濟瞭望，2003，（10）.

[9]曲成義.國家信息安全戰略研究的幾點思考[J].計算機安全，2003，（11）.

On American Online Security Policy Guidance and Its Enlightenment

LIU Zhu-ren

Internet has already incorporated each field of the contemporary society,and become“nervous system”that a country depended on running well.Once the network crisis appears,the whole society of this country is probably at a standstill.The online security has already become country’s public and safe important factor.American has the experience in respects such as to maintain theonlinesecurity strategic,improvethemechanism of management of maintaining onlinesecurity,optimizethe technological institutional framework of the online security,and to build the safeguard legal system of the online security,etc.The experience is worth for our country’s study.

America;online security;policy guidance enlightenment

D73

A

1673-8616（2010）05-0030-04

2010-06-20

國家社科基金資助項目（08BSH009）和湖南省社科規劃課題（2008ZK3152）階段性成果

張少寧]