美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方向指引

孔勇 范佳雪

環(huán)顧全球，網(wǎng)絡(luò)安全形勢(shì)仍十分嚴(yán)峻，各國在網(wǎng)絡(luò)空間展開激烈博弈。關(guān)鍵信息基礎(chǔ)設(shè)施是我國經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，發(fā)揮著基礎(chǔ)性、全局性、支撐性作用，因此保護(hù)好關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)安全的重中之重。網(wǎng)絡(luò)安全是開放的而不是封閉的，維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全要有全球視野和開放心態(tài)，因此有必要關(guān)注其他國家的做法。美國全面加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)安全工作已有二十多年的歷史，是值得我們關(guān)注的重點(diǎn)對(duì)象。通過開展美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)政策的系列研究，旨在進(jìn)一步更好地學(xué)習(xí)美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的理念與經(jīng)驗(yàn)，思考關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作路徑，少走彎路。

1996年7月15日，美國發(fā)布13010號(hào)行政令《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》開啟了美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)新時(shí)代，該行政令決定成立“總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)”，負(fù)責(zé)研究美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)現(xiàn)狀并向總統(tǒng)匯報(bào)。經(jīng)過近15個(gè)月的調(diào)研、分析和評(píng)估，總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)于1997年10月向克林頓總統(tǒng)提交了一份長達(dá)200頁的研究報(bào)告——《保護(hù)美國基礎(chǔ)設(shè)施》。這份報(bào)告詳細(xì)闡述了美國關(guān)鍵基礎(chǔ)設(shè)施的重要性及面臨的脆弱性威脅，并以不同方式思考了美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的未來。這份報(bào)告整體上分為關(guān)鍵基礎(chǔ)設(shè)施保護(hù)“行動(dòng)的理由”和“行動(dòng)的策略”兩部分。

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，美國認(rèn)識(shí)到關(guān)鍵基礎(chǔ)設(shè)施面臨的威脅將從對(duì)有形資產(chǎn)的物理打擊，向?qū)刂葡到y(tǒng)的網(wǎng)絡(luò)攻擊轉(zhuǎn)變。網(wǎng)絡(luò)技術(shù)的應(yīng)用，使美國東西兩大洋的天然地理優(yōu)勢(shì)蕩然無存，攻擊者不需進(jìn)行軍事力量對(duì)抗甚至不需入境便可實(shí)施隱蔽性極強(qiáng)的網(wǎng)絡(luò)打擊，其效果和規(guī)模甚至?xí)^傳統(tǒng)物理攻擊。因此，報(bào)告指出未來關(guān)鍵基礎(chǔ)設(shè)施的威脅將越來越多的來自網(wǎng)絡(luò)攻擊，而過去美國的關(guān)鍵基礎(chǔ)設(shè)施防御措施幾乎無法保護(hù)其免受網(wǎng)絡(luò)威脅影響。

漏洞源于軟硬件開發(fā)設(shè)計(jì)人員有意或無意為之，隨著系統(tǒng)復(fù)雜度的不斷提升，漏洞將不可避免的呈幾何級(jí)數(shù)爆發(fā)，作為高度依賴網(wǎng)絡(luò)通信的關(guān)鍵基礎(chǔ)設(shè)施很難獨(dú)善其身，這是造成其自身脆弱性無法回避的問題。加之用于訪問、操作和控制關(guān)鍵基礎(chǔ)設(shè)施的黑客工具已經(jīng)廣泛存在且與傳統(tǒng)的攻擊武器相比更加“物美價(jià)廉”，使得信息戰(zhàn)所付出的代價(jià)大幅減小而可操作性大幅上升。因此報(bào)告指出，網(wǎng)絡(luò)攻擊成為性價(jià)比更高的戰(zhàn)爭(zhēng)手段必將越來越多地威脅美國關(guān)鍵基礎(chǔ)設(shè)施安全。

面對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)新的挑戰(zhàn)，美國意識(shí)到必須采取更多行動(dòng)策略才能在實(shí)踐中持續(xù)提升關(guān)鍵基礎(chǔ)設(shè)施保護(hù)能力。報(bào)告根據(jù)美國關(guān)鍵基礎(chǔ)設(shè)施現(xiàn)狀并綜合考慮未來發(fā)展趨勢(shì)，提出了八點(diǎn)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)策略建議。

（一）確立伙伴關(guān)系：加強(qiáng)信息共享，促進(jìn)信息流動(dòng)

建立政府和關(guān)鍵基礎(chǔ)設(shè)施私營部門的伙伴關(guān)系，必然從加強(qiáng)信息共享開始，只有增加雙方的信息共享，私營部門才能及時(shí)認(rèn)識(shí)到其所運(yùn)營的關(guān)鍵基礎(chǔ)設(shè)施面臨的風(fēng)險(xiǎn)，政府才能全面有效地掌握整體基礎(chǔ)設(shè)施的脆弱性和威脅情況。然而推動(dòng)私營部門共享信息也并非易事，私營部門在共享脆弱性信息問題上存在兩方面顧慮，一方面擔(dān)心共享遭受攻擊的信息會(huì)使企業(yè)聲譽(yù)受損導(dǎo)致其競(jìng)爭(zhēng)力下降，另一方面擔(dān)心信息共享面臨承擔(dān)責(zé)任甚至招致不必要的監(jiān)管。因此，私營部門只有在遭受重大損失或業(yè)務(wù)連續(xù)性面臨危險(xiǎn)時(shí)才會(huì)分享信息，相較于主動(dòng)共享信息，私營部門更希望從聯(lián)邦政府部門獲取相關(guān)網(wǎng)絡(luò)威脅和漏洞信息，并根據(jù)自身情況來采取相關(guān)應(yīng)對(duì)措施。

加強(qiáng)政府與私有部門間的信息共享，關(guān)鍵是要促進(jìn)網(wǎng)絡(luò)威脅的信息流動(dòng)。為克服私有部門非自愿共享信息的問題，提高信息共享的積極性，報(bào)告提出四點(diǎn)建議。一是通過立法對(duì)共享信息的私營部門進(jìn)行敏感信息保護(hù)，保證對(duì)商業(yè)秘密和專有信息予以保密。二是政府主動(dòng)共享威脅和漏洞信息及相關(guān)技術(shù)解決方案，幫助私有部門發(fā)現(xiàn)和消除相關(guān)安全威脅。三是通過建立類似榮譽(yù)榜的形式，公布更高可靠性的關(guān)鍵基礎(chǔ)設(shè)施保障企業(yè)清單，激勵(lì)私營部門主動(dòng)自愿共享信息。四是加強(qiáng)國家級(jí)信息分析能力，集中力量對(duì)網(wǎng)絡(luò)問題進(jìn)行全面分析并推動(dòng)分析結(jié)果在相關(guān)私營部門間流動(dòng)。

（二）打造伙伴關(guān)系：增強(qiáng)公私聯(lián)動(dòng)，強(qiáng)化責(zé)任共擔(dān)

美國意識(shí)到保護(hù)美國的關(guān)鍵基礎(chǔ)設(shè)施不僅符合政府的利益，也符合私營部門的利益。報(bào)告指出，網(wǎng)絡(luò)威脅和漏洞對(duì)政府、企業(yè)和公民都構(gòu)成了風(fēng)險(xiǎn)，減少這些風(fēng)險(xiǎn)需要政府部門和私營部門協(xié)同努力創(chuàng)建合作伙伴關(guān)系，促進(jìn)政府與私營部門間的相互信任和支持，共同承擔(dān)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)責(zé)任。報(bào)告指出，政府有責(zé)任幫助私營部門識(shí)別和發(fā)現(xiàn)未知威脅，協(xié)助私營部門持續(xù)完善關(guān)鍵基礎(chǔ)設(shè)施的安全運(yùn)營，并提出以下五點(diǎn)措施建議。一是加強(qiáng)漏洞評(píng)估，建議國家安全局、能源部和國防部繼續(xù)對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者進(jìn)行脆弱性評(píng)估，同時(shí)為私營部門提供脆弱性評(píng)估培訓(xùn)和專業(yè)技術(shù)培訓(xùn)。二是開展風(fēng)險(xiǎn)評(píng)估和最佳實(shí)踐行動(dòng)，鼓勵(lì)關(guān)鍵基礎(chǔ)設(shè)施私營部門定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，提升行業(yè)風(fēng)險(xiǎn)管理辦法。三是制定安全運(yùn)營標(biāo)準(zhǔn)，建議聯(lián)邦和州監(jiān)管機(jī)構(gòu)參與制定相關(guān)團(tuán)體標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)并鼓勵(lì)關(guān)鍵基礎(chǔ)設(shè)施私營部門遵循和執(zhí)行相關(guān)標(biāo)準(zhǔn)。四是加強(qiáng)敏感信息保護(hù)，對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者相關(guān)信息進(jìn)行保密，防止所公布的敏感信息成為攻擊者的“路線圖”。五是建議聯(lián)邦政府與州和地方政府建立伙伴關(guān)系，充分發(fā)揮州和地方政府“關(guān)鍵基礎(chǔ)設(shè)施的監(jiān)管者”身份優(yōu)勢(shì)，分享關(guān)鍵基礎(chǔ)設(shè)施相關(guān)信息并為其提供必要裝備和專業(yè)培訓(xùn)。

報(bào)告同時(shí)指出，私營部門也應(yīng)該承擔(dān)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的相關(guān)責(zé)任，提出以下七點(diǎn)措施建議。一是通過管理基礎(chǔ)設(shè)施為大眾提供有效服務(wù)。二是滿足大眾對(duì)基礎(chǔ)設(shè)施服務(wù)質(zhì)量和可靠性的需求。三是保持有效的風(fēng)險(xiǎn)管理流程識(shí)別漏洞，保持應(yīng)急響應(yīng)和快速恢復(fù)能力。四是加強(qiáng)關(guān)注信息系統(tǒng)中的漏洞問題，特別是重點(diǎn)關(guān)注未被完全認(rèn)知的威脅和漏洞。五是加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)內(nèi)交流合作，持續(xù)改善服務(wù)的可靠性和安全性。六是向政府機(jī)構(gòu)報(bào)告可能的犯罪活動(dòng)并配合調(diào)查。七是與政府部門建立聯(lián)系，確保威脅信息及時(shí)流動(dòng)并總結(jié)事故的行業(yè)經(jīng)驗(yàn)輸出到相關(guān)部門。

（三）構(gòu)建伙伴關(guān)系：建立國家機(jī)構(gòu)，促進(jìn)有效合作

報(bào)告提出的國家基礎(chǔ)設(shè)施保障組織架構(gòu)建議包括五個(gè)部門和兩個(gè)中心。五個(gè)部門指國家基礎(chǔ)設(shè)施保障辦公室、國家基礎(chǔ)設(shè)施保障委員會(huì)、國家基礎(chǔ)設(shè)施保障支持辦公室、聯(lián)邦領(lǐng)導(dǎo)機(jī)構(gòu)、行業(yè)基礎(chǔ)設(shè)施保障協(xié)調(diào)部門，兩個(gè)中心是信息共享和分析中心以及預(yù)警中心。國家基礎(chǔ)設(shè)施保障辦公室的定位是關(guān)鍵基礎(chǔ)設(shè)施保障的核心，主要負(fù)責(zé)促進(jìn)基礎(chǔ)設(shè)施保障政策的制定，監(jiān)督和管理政府其他基礎(chǔ)設(shè)施保護(hù)部門工作，聯(lián)合私營部門推進(jìn)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的頂層規(guī)劃。國家基礎(chǔ)設(shè)施保障委員會(huì)的定位是政府高級(jí)別智囊，為解決關(guān)鍵基礎(chǔ)設(shè)施保護(hù)問題提供高級(jí)別討論平臺(tái)并向總統(tǒng)建言獻(xiàn)策，同時(shí)領(lǐng)導(dǎo)和推動(dòng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的教育和宣傳工作。國家基礎(chǔ)設(shè)施保障支持辦公室側(cè)重于為聯(lián)邦政府提供職能和管理支持，為私營部門提供直接援助。聯(lián)邦領(lǐng)導(dǎo)機(jī)構(gòu)意在凝聚行業(yè)對(duì)口機(jī)構(gòu)，建立更加廣泛的行業(yè)信息共享方式，為國家基礎(chǔ)設(shè)施保障提供信息輸入。行業(yè)基礎(chǔ)設(shè)施保障協(xié)調(diào)部門發(fā)揮共享信息進(jìn)出政府部門的樞紐作用，在行業(yè)部門、私營部門和共享分析中心間建立信息交互通路。信息共享和分析中心致力于對(duì)各渠道信息的收集和分析，并將得出的分析結(jié)論在政府和私營部門間共享。預(yù)警中心的重點(diǎn)在于與信息共享和分心中心保持實(shí)時(shí)聯(lián)動(dòng)，為基礎(chǔ)設(shè)施提供物理和網(wǎng)絡(luò)攻擊的及時(shí)預(yù)警。

建立國家關(guān)鍵基礎(chǔ)設(shè)施保障組織架構(gòu)就是要促進(jìn)聯(lián)邦政府與私營部門之間的有效合作，落實(shí)國家基礎(chǔ)設(shè)施保障政策、規(guī)劃和項(xiàng)目。報(bào)告指出，要在政策制定、預(yù)防和緩解、信息共享和分析、事件管理和后果管理等方面促進(jìn)政府與私營部門間的有效合作。政策制定方面，政府有能力評(píng)估新出現(xiàn)的威脅，私營部門應(yīng)評(píng)估自身脆弱性，政府和私營部門應(yīng)該一起評(píng)估國家風(fēng)險(xiǎn)并確定保障目標(biāo)、戰(zhàn)略和政策；預(yù)防和緩解方面，私營部門必須檢查自身系統(tǒng)和網(wǎng)絡(luò)的脆弱性并采取必要的保護(hù)措施，政府應(yīng)該通過研發(fā)、意識(shí)教育、威脅評(píng)估和財(cái)政援助手段促進(jìn)私營部門采取行動(dòng)；信息共享和分析方面，通過分析信息綜合形成預(yù)警報(bào)告，私有部門應(yīng)該重點(diǎn)回答基礎(chǔ)設(shè)施中發(fā)生了什么不尋常的事情，政府應(yīng)關(guān)注對(duì)手中發(fā)生了什么不尋常的事情；事件管理方面，目標(biāo)是通過聯(lián)邦政府與私營部門的合作，阻止對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊；應(yīng)急管理方面，當(dāng)災(zāi)難發(fā)生后政府要及時(shí)響應(yīng)和支持民眾的基本需求，私營部門要關(guān)注恢復(fù)和重建基礎(chǔ)設(shè)施。

（四）提高保護(hù)意識(shí)：設(shè)置培訓(xùn)項(xiàng)目，加強(qiáng)宣傳教育

一個(gè)成功的伙伴關(guān)系需要政府、私有部門以及廣大公眾的高度理解，報(bào)告提出要通過具體的意識(shí)培訓(xùn)項(xiàng)目在全國范圍內(nèi)樹立關(guān)鍵基礎(chǔ)設(shè)施保護(hù)意識(shí)。一是資助一系列政府和私營部門領(lǐng)導(dǎo)人會(huì)議，增強(qiáng)相關(guān)領(lǐng)導(dǎo)的信息安全意識(shí)，確定更多信息安全建設(shè)項(xiàng)目承諾。二是政府相關(guān)部門定期通報(bào)威脅和漏洞信息，擴(kuò)大與私營部門相關(guān)建設(shè)項(xiàng)目的安全規(guī)劃。三是開展與學(xué)術(shù)機(jī)構(gòu)的交流溝通，增加安全意識(shí)項(xiàng)目并提供持續(xù)支持，四是政府部門帶頭開展持續(xù)的國家宣傳運(yùn)動(dòng)，強(qiáng)化基礎(chǔ)設(shè)施安全意識(shí)。

通過宣傳教育提高國民對(duì)基礎(chǔ)設(shè)施保護(hù)的意識(shí)尤為重要。報(bào)告提出三點(diǎn)建議：一是開展持續(xù)性國家宣傳活動(dòng)，加大關(guān)鍵基礎(chǔ)設(shè)施保護(hù)意識(shí)培養(yǎng)，鼓勵(lì)私營部門制定安全原則，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估提高對(duì)脆弱性的認(rèn)識(shí)。二是開設(shè)相關(guān)教育課程，增加K12及大學(xué)課程中與計(jì)算機(jī)使用道德相關(guān)的內(nèi)容，提升專業(yè)課程教學(xué)質(zhì)量，擴(kuò)大網(wǎng)絡(luò)計(jì)算機(jī)生源及擴(kuò)充師資力量。三是增大技術(shù)培訓(xùn)，提升政府和私營部門關(guān)鍵基礎(chǔ)設(shè)施保障專家的技能水平和安全意識(shí)。

（五）展現(xiàn)領(lǐng)導(dǎo)能力：政府以身作則，發(fā)揮帶頭作用

保護(hù)關(guān)鍵基礎(chǔ)設(shè)施是政府和私營部門共同的責(zé)任，但聯(lián)邦政府更有責(zé)任來領(lǐng)導(dǎo)和帶動(dòng)相關(guān)工作。報(bào)告指出聯(lián)邦政府必須以身作則，采取加強(qiáng)措施保護(hù)基礎(chǔ)設(shè)施免受物理和網(wǎng)絡(luò)攻擊，加強(qiáng)對(duì)自身計(jì)算機(jī)安全的重視程度，發(fā)揮帶頭作用積極提供關(guān)鍵基礎(chǔ)設(shè)施保障信息，向私營部門和其他各級(jí)政府伸出援手，確保聯(lián)邦政府擁有在網(wǎng)絡(luò)時(shí)代開展工作所需的政策和工具。

為了展示政府的領(lǐng)導(dǎo)能力，發(fā)揮政府以身作則的榜樣作用，報(bào)告提出了八點(diǎn)建議：一是改善政府系統(tǒng)安全，在政府機(jī)構(gòu)內(nèi)部實(shí)施脆弱性和安全性評(píng)估實(shí)踐，加大網(wǎng)絡(luò)技術(shù)專業(yè)人才的招聘力度。二是增強(qiáng)信息加密措施，建立可信的密鑰管理基礎(chǔ)設(shè)施并開發(fā)全球范圍內(nèi)的操作標(biāo)準(zhǔn)。三是增大系統(tǒng)建設(shè)安全保護(hù)，對(duì)未來建設(shè)的關(guān)鍵基礎(chǔ)設(shè)施要同步考慮保護(hù)目標(biāo)進(jìn)行整體規(guī)劃。四是提升威脅評(píng)估優(yōu)先級(jí)，聯(lián)邦政府將信息威脅正式提升為國外情報(bào)優(yōu)先級(jí)。五是開發(fā)風(fēng)險(xiǎn)評(píng)估方法，美國國家標(biāo)準(zhǔn)與技術(shù)研究院和其他政府機(jī)構(gòu)繼續(xù)開發(fā)風(fēng)險(xiǎn)評(píng)估方法并與私營部門聯(lián)合執(zhí)行。六是強(qiáng)化政府績效評(píng)估，制定并履行基礎(chǔ)設(shè)施保障職能，要求首席信息官為其信息系統(tǒng)安全制定績效措施。七是創(chuàng)建認(rèn)證體系，建議領(lǐng)導(dǎo)機(jī)構(gòu)創(chuàng)建和使用認(rèn)證程序，鼓勵(lì)信息安全服務(wù)和產(chǎn)品采用相關(guān)標(biāo)準(zhǔn)。八是加強(qiáng)全球定位系統(tǒng)和國家空域系統(tǒng)，全面評(píng)估GPS的現(xiàn)有和潛在漏洞，建議美國聯(lián)邦航空管理局實(shí)施國家空域系統(tǒng)安全計(jì)劃。

（六）建議立法保護(hù)：完善法律框架，震懾網(wǎng)絡(luò)犯罪

保護(hù)關(guān)鍵基礎(chǔ)設(shè)施不僅需要聯(lián)邦政府的綜合能力，更需要從國家立法層面規(guī)范民眾行為。為了更好地將關(guān)鍵基礎(chǔ)設(shè)施保護(hù)引入立法框架，報(bào)告提出三方面建議。一是將關(guān)鍵基礎(chǔ)設(shè)施對(duì)國家安全重要性納入《國防生產(chǎn)法案》之中，優(yōu)先提供關(guān)鍵基礎(chǔ)設(shè)施相關(guān)研究的能源供應(yīng)，并作為其他關(guān)鍵基礎(chǔ)設(shè)施建設(shè)的潛在模式。二是提議國家基礎(chǔ)設(shè)施保障辦公室研究《斯塔福法案》和《美國聯(lián)邦應(yīng)急預(yù)案》，以解決關(guān)鍵基礎(chǔ)設(shè)施故障的潛在影響，并對(duì)私有部門提供直接援助。三是擴(kuò)大Nunn-Lugar-Domenici 國內(nèi)備戰(zhàn)計(jì)劃，將解決其他關(guān)鍵基礎(chǔ)設(shè)施問題納入其中。

除了將關(guān)鍵基礎(chǔ)設(shè)施保障引入法律框架，報(bào)告還提出通過提高違法成本來震懾網(wǎng)絡(luò)犯罪，從而增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作的有效性。一是聯(lián)邦政府應(yīng)推動(dòng)國家頂層法律的制定和修訂，從保護(hù)國防生產(chǎn)、加大信息共享、人才培養(yǎng)和提升關(guān)鍵基礎(chǔ)設(shè)施規(guī)劃運(yùn)營等方面對(duì)相關(guān)法律進(jìn)行修訂和補(bǔ)充。二是加大對(duì)網(wǎng)絡(luò)犯罪的震懾力度，加大對(duì)關(guān)鍵基礎(chǔ)設(shè)施攻擊行為的量刑力度，通過增加提供線索和信息的獎(jiǎng)勵(lì)力度，促進(jìn)網(wǎng)絡(luò)犯罪的調(diào)查和國際合作。三是掃清脆弱性評(píng)估的法律障礙，政府應(yīng)建立有效的獲權(quán)和授權(quán)程序，允許在政府計(jì)算機(jī)系統(tǒng)上執(zhí)行漏洞評(píng)估，以促進(jìn)和健全脆弱性評(píng)估實(shí)踐。

（七）增強(qiáng)研發(fā)保障：加強(qiáng)技術(shù)研發(fā)，加大資金支持

持續(xù)性加強(qiáng)網(wǎng)絡(luò)安全技術(shù)研發(fā)投入是關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)，報(bào)告指出應(yīng)加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的實(shí)時(shí)監(jiān)控手段，提升識(shí)別、收集和分析關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)異常的能力和預(yù)警響應(yīng)能力。同時(shí)建議增加在信息保障、入侵監(jiān)控、脆弱性評(píng)估、風(fēng)險(xiǎn)管理、保護(hù)緩解和響應(yīng)恢復(fù)等六大領(lǐng)域的研發(fā)投入。

報(bào)告還指出聯(lián)邦政府的研發(fā)工作不足以應(yīng)對(duì)新興網(wǎng)絡(luò)威脅帶來的研發(fā)挑戰(zhàn)，每年用于聯(lián)邦基礎(chǔ)設(shè)施保障相關(guān)的研發(fā)經(jīng)費(fèi)只有約2.5億美元，其中60%即約1.5億美元用于信息安全，幾乎沒有研究經(jīng)費(fèi)支持國家網(wǎng)絡(luò)防御研究。報(bào)告建議總統(tǒng)在1999財(cái)年提議將聯(lián)邦對(duì)基礎(chǔ)設(shè)施保障研究投資增加至5億美元，并在2004財(cái)年增加投資至10億美元，用于支持上述六個(gè)研發(fā)領(lǐng)域的經(jīng)費(fèi)。

（八）制定執(zhí)行策略：提出戰(zhàn)略目標(biāo)，明確行動(dòng)計(jì)劃

為奠定關(guān)鍵基礎(chǔ)設(shè)施保護(hù)長期努力的基礎(chǔ)，報(bào)告提出了七個(gè)戰(zhàn)略目標(biāo)。一是加強(qiáng)基礎(chǔ)設(shè)施威脅和漏洞相關(guān)的信息共享。二是確?；A(chǔ)設(shè)施私有部門以及州和地方政府得到充分的信息和支持。三是建立國家組織機(jī)構(gòu)，促進(jìn)聯(lián)邦政府、州和地方政府與私有部門間的有效合作。四是通過教育和其他適當(dāng)?shù)捻?xiàng)目提高國民對(duì)基礎(chǔ)設(shè)施保護(hù)的意識(shí)。五是發(fā)起一系列信息安全管理活動(dòng)和相關(guān)項(xiàng)目，展示政府的領(lǐng)導(dǎo)能力。六是發(fā)起立法以提高聯(lián)邦基礎(chǔ)設(shè)施保障和保護(hù)工作的有效性。七是針對(duì)具有高潛力的特定領(lǐng)域進(jìn)行投資，以改善關(guān)鍵基礎(chǔ)設(shè)施保障。

針對(duì)上述七個(gè)戰(zhàn)略目標(biāo)，報(bào)告分別制定了相關(guān)行動(dòng)計(jì)劃，一是計(jì)劃建立一個(gè)信息數(shù)據(jù)項(xiàng)目，用于政府和私營部門交互異?；顒?dòng)和可疑事件，在實(shí)時(shí)分析的基礎(chǔ)上將威脅和告警信息提供給政府和私營部門的決策者。二是計(jì)劃協(xié)助國家安全局、能源部和國防部為關(guān)鍵基礎(chǔ)設(shè)施私營部門提供風(fēng)險(xiǎn)評(píng)估，并在一定基礎(chǔ)上為私營部門提供脆弱性評(píng)估培訓(xùn)。三是計(jì)劃建立一個(gè)正式的政府組織架構(gòu)，確定聯(lián)邦機(jī)構(gòu)在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的能力和責(zé)任，促進(jìn)國家在事件規(guī)劃、響應(yīng)、緩解和恢復(fù)等環(huán)節(jié)的活動(dòng)。四是計(jì)劃開展K12和普通大學(xué)生的計(jì)算機(jī)道德教育，檢查與基礎(chǔ)設(shè)施保護(hù)特別是信息安全相關(guān)的本科和研究生教育狀況，以滿足國家對(duì)該領(lǐng)域?qū)I(yè)人員的需求。五是計(jì)劃協(xié)助聯(lián)邦政府實(shí)施信息安全最佳實(shí)踐，加強(qiáng)聯(lián)邦政府基礎(chǔ)設(shè)施安全保護(hù)應(yīng)急演練，使聯(lián)邦政府的信息和網(wǎng)絡(luò)更好地免受未經(jīng)授權(quán)的入侵、干擾或修改。六是計(jì)劃更新立法解決關(guān)鍵基礎(chǔ)設(shè)施問題，提高執(zhí)法能力以實(shí)現(xiàn)對(duì)相關(guān)犯罪活動(dòng)的調(diào)查和起訴。七是計(jì)劃通過集中和加速的項(xiàng)目實(shí)施，用以提供相關(guān)工具來填補(bǔ)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的技術(shù)空白。

回顧這份報(bào)告我們不難發(fā)現(xiàn)，在互聯(lián)網(wǎng)技術(shù)發(fā)展的初期，美國認(rèn)識(shí)到網(wǎng)絡(luò)威脅必將與物理威脅并列成為嚴(yán)重影響關(guān)鍵基礎(chǔ)設(shè)施安全的重要因素。如何跟上時(shí)代發(fā)展的要求，持續(xù)保障關(guān)鍵基礎(chǔ)設(shè)施安全，報(bào)告提出了前瞻性的方向指引，也給出了具體落地策略建議，為美國日后的關(guān)鍵基礎(chǔ)保護(hù)工作發(fā)揮了重要的燈塔作用。

（一）強(qiáng)調(diào)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)重要性，將網(wǎng)絡(luò)攻防對(duì)抗提升到戰(zhàn)爭(zhēng)層面

美國很早就意識(shí)到關(guān)鍵基礎(chǔ)設(shè)施的重要性，從軍事層面上看，關(guān)鍵基礎(chǔ)設(shè)施支撐著美國對(duì)外發(fā)展和部署有效的軍事力量，美國擔(dān)心敵人會(huì)破壞他們賴以生存的重要系統(tǒng)來對(duì)抗其軍事力量。從經(jīng)濟(jì)層面上看，關(guān)鍵基礎(chǔ)設(shè)施支撐著美國龐大的貿(mào)易流通和金融結(jié)算體系，美國擔(dān)心關(guān)鍵基礎(chǔ)設(shè)施的失效會(huì)動(dòng)搖其金融霸主地位。從社會(huì)生活層面上看，關(guān)鍵基礎(chǔ)設(shè)施支撐著社會(huì)生活的方方面面，是國家繁榮的基礎(chǔ)，美國擔(dān)心關(guān)鍵基礎(chǔ)設(shè)施的破壞導(dǎo)致生產(chǎn)生活的停滯，從而帶來嚴(yán)重的社會(huì)動(dòng)蕩。

海灣戰(zhàn)爭(zhēng)向世人展示了現(xiàn)代化戰(zhàn)爭(zhēng)的威力，全球各國開始摒棄傳統(tǒng)的人海加機(jī)械化部隊(duì)作戰(zhàn)模式，轉(zhuǎn)而關(guān)注以信息技術(shù)為主導(dǎo)的科技戰(zhàn)研究。美國清醒地認(rèn)識(shí)到，他們對(duì)伊拉克軍隊(duì)所進(jìn)行的信息化打擊也會(huì)被其他國家學(xué)習(xí)來針對(duì)美國的關(guān)鍵基礎(chǔ)設(shè)施。網(wǎng)絡(luò)攻擊既是快速突破美國地理屏障的廉價(jià)手段，又是美國當(dāng)時(shí)防御較為薄弱的環(huán)節(jié)，美國認(rèn)識(shí)到之前充分的物理防御已經(jīng)無法完全適應(yīng)關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)，關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻防對(duì)抗將不可避免。報(bào)告提出針對(duì)網(wǎng)絡(luò)攻擊的保護(hù)建議，為美國指明了未來關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作的主戰(zhàn)場(chǎng)。

（二）提出公私合作伙伴關(guān)系必要性，將信息共享作為合作的重要基礎(chǔ)

作為聯(lián)邦制國家的美國，各州政府與聯(lián)邦政府會(huì)同時(shí)行使權(quán)力，經(jīng)過兩百多年的資本化發(fā)展，影響國家命脈的關(guān)鍵基礎(chǔ)設(shè)施所有權(quán)和運(yùn)營權(quán)大多掌握在私有部門手中。站在聯(lián)邦政府的角度看，如果私營部門停止隱瞞信息，政府將可以更好地保護(hù)關(guān)鍵基礎(chǔ)設(shè)施，站在私營部門的角度看，如果政府分享更多的威脅和漏洞信息，他們可能會(huì)采取更多對(duì)應(yīng)舉措保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。這種聯(lián)邦政府與私營部門相互對(duì)立的局面，嚴(yán)重影響關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的持續(xù)性和有效性。從美國的實(shí)際情況出發(fā)，報(bào)告提出了政府聯(lián)合私有部門共同開展關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作的必要性，強(qiáng)調(diào)了相互信任的伙伴合作關(guān)系對(duì)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的重要意義，這為美國持續(xù)不斷開展關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作奠定了良好的策略基礎(chǔ)。

（三）指明了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方向，為美國政府下一步?jīng)Q策提供依據(jù)

為了促成聯(lián)邦政府和私營部門形成相互依賴、相互信任的伙伴關(guān)系，更好提升美國關(guān)鍵基礎(chǔ)設(shè)施的安全性、連續(xù)性和可用性，保障美國關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)攻擊的影響，報(bào)告提出了合作聯(lián)動(dòng)、信息共享、責(zé)任共擔(dān)、政府帶頭、改善律法、宣傳教育和技術(shù)研發(fā)等行動(dòng)方向。這些行動(dòng)方向在美國后續(xù)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作中發(fā)揮了巨大的指引作用。

報(bào)告建議的組織架構(gòu)既滿足了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)政府側(cè)的縱向管控需求，又橫向拉通了聯(lián)邦政府與私營部門的信息交互通路，通過利用平臺(tái)中心的綜合分析能力將局部信息匯聚成全局信息進(jìn)行共享，最終實(shí)現(xiàn)公私合作保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施的構(gòu)想。報(bào)告中規(guī)劃的相關(guān)組織架構(gòu)成為后續(xù)法律的重要參考依據(jù)，并直接推動(dòng)了1998年美國第63號(hào)總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》的發(fā)布實(shí)施，建立了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的組織架構(gòu)，多個(gè)政府部門至今仍在美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中發(fā)揮著重要作用。