美国网络安全战略部署及对我国的启示_闫晓丽

Legislation and Standards ?
法规标准
美国网络安全战略部署 及对我国的启示
闫晓丽 / 中国电子信息产业发展研究院
美国是世界上对信息网络 依赖程度最高的国家，网络 对其经济繁荣和国家安全提 供了重要支撑。但同时，网 络易于受到攻击、存在脆弱 性，又使其面临严峻挑战。 正因如此，美国对网络安全 问题一直高度重视。目前， 美国已发布四十余份网络安 全相关文件，形成了相对完 整的网络安全战略体系。美 国网络安全战略重点、核心 观点及主要举措等，对现阶 段我国中央网络安全和信息 化领导小组研究制定网络安 全战略具有诸多启示。
几年的演变，美国网络安全 的战略地位不断上升，战略 目标从信息安全扩展到全球 网络空间安全，战略重心从 网络防御转向网络威慑。
美国面临的最严重的国家经 济和国家安全挑战之一，先 后发布了《网络空间可信身 份国家战略》《网络空间国 际战略》《网络空间行动战 略》《联邦网络空间安全研 发战略规划》，将网络空间 作为国家战略资产，并将保 护这一基础设施列为国家安 全的优先事项，宣称将使用 一切必要手段保障网络空间 安全。
网络安全的战略地位不断上升
20世纪80年代，美国从 国家安全角度关注信息的保 密性和完整性问题。克林顿 政府时期，美国发布了《关 键基础设施保护》（第63 号总统令）、《保护信息系 统的国家计划》等政策，将 信息安全正式列入国家安全 战略框架。9·11事件后，小 布什政府意识到网络安全的 严峻性，发布了《信息时代 的关键基础设施保护》（第 13231号行政令）、《网络 空间国家安全战略》《综合 国家网络安全计划》等一系 列文件，将网络安全置于国 家安全战略核心位置。奥巴 马政府将网络安全威胁视为
战略目标扩展到全球网络空间安全
20世纪80—90年代，美 国网络安全以信息的保密性 和完整性为核心。克林顿及 小布什政府时期，美国网络 安全目标从信息向网络空间 基础设施扩展，2000年美国 首次提出了“网络空间”的 概念，2003年小布什政府发 布了《网络空间国家安全战 略 》 [1]， 初 步 形 成 了 网 络 空 间安全战略。奥巴马总统上
33
美国网络安全战略演变特点
美国很早就认识到国家安 全与特定种类信息流动之间 存在关系。20世纪90年代， 美国开始通过计划、总统 令、行政令等政策，对网络 安全进行战略部署。经过十
２０１５ 年 １１ 月　｜ 保密科学技术 ｜　

法规标准
? Legislation and Standards
台后，针对网络空间安全威 胁的新形势，通过一系列措 施，构建了网络空间安全战 略；2009年启动了一个为期 60天的网络安全评估项目， 发布了《网络安全政策评 估》报告，指出美国网络安 全战略和政策存在的问题， 并提出了10条近期行动计划 和14条中期行动计划；2010 年发布了《网络空间可信身份 国家战略》，提出要通过政府 推动和产业界努力，建立一 个以用户为中心的身份生态 体系；2011年发布了《网络 空间国际战略》，提出要构建 一个“开放、互操作、安全、 可靠”的国际网络空间，同年 还发布了《网络空间行动战 略》，阐述了美军网络空间 行动的五大战略举措。
分子利用网络向美国网络频 频发动攻击”的事实，强调 发展美国军队的网络作战能 力。2007年公布的《四年 一度防务评审》，把加强网 络空间安全研究作为未来重 点发展的作战力量之一。奥 巴马总统上台后，开始实施 “网络威慑”战略，《网络 空间国际战略》宣布美国采 取威慑手段应对网络攻击， 必要时会选择动用武力， 《网络空间行动战略》将网 络威慑和进攻能力提升到更 重要的位置。
护、网络空间作战能力、网 络空间技术研发和创新、网 络空间国际合作为重点的网 络安全战略体系。
保障国家战略资产
从克林顿政府开始，美国 就把由网络连接起来的基础 设施列为关键基础设施予以 保护。近年来，美国电信、 电力、能源、金融等基础设 施受到越来越多的恶意攻 击。美国认为，网络威胁对 美国经济和国家安全构成了 最严重挑战，为此，将网络 空间作为关键基础设施，并 提升为国家战略资产，将保 护这一基础设施作为国家安 全的优先事项。 通过多个战略性文件， 美国确立了关键基础设施保 护的一系列战略措施，具体 包括：一是明确保护机构及 职责。美国对关键基础设施 保护机构进行了多次调整，
美国网络安全战略重点、核心 观点及主要举措
从上述战略演变过程看， 美国网络安全战略从早期的 分散逐步走向系统、从局部 走向整体。围绕谋求网络空 间霸权地位的战略目标，美 国形成了以关键基础设施保
战略重心转向网络威慑
克林顿时期，美国网络安 全战略重在“全面防御”， 第63号总统令界定了信息 安 全 和 信 息 保 障 的 含 义 [2]， 1998年制定的《信息安全保 障技术框架》提出了“深度 防御战略”，确定了网络与 基础设施防御、区域边界防 御、计算环境防御和支撑性 基 础 设 施 的 深 度 防 御 目 标 [3]。 小布什政府时期，美国网络 安全战略重心转向“攻防结 合”，继续强调国家关键基 础设施保护的同时，又强化 “网络反恐”，针对“恐怖
34
｜ 保密科学技术 ｜　２０１５ 年 １１ 月

Legislation and Standards ?
法规标准
2002年明确了国土安全部承 担统筹协调职责；2013年重 新确定了关键基础设施的16 个行业，并指定了行业负责 机构，设立了国家基础设施 保护中心、国家基础设施协 调 中 心 等 技 术 性 机 构 [4]。 二 是 制定综合性计划。2000年制 定了《保护信息系统的国家 计划》，明确规定了联邦政 府在预防、检测和响应等方 面的目标，列出了实现目标 的10项措施。每隔4年更新国 家关键基础设施保护计划， 为关键基础设施保护提供实 施框架。三是实施风险管 理。美国很早就提出要开展 关键基础设施脆弱性评估， 并实施威胁和脆弱性消减计 划。国家关键基础设施保护 计划明确了风险管理，包括 确定关键系统和资产清单、 实施风险和脆弱性评估、按 照标准规范采取与风险相适 应的保护措施等环节。2013
年发布的《提高关键基础设 施网络安全》（第13636号 行政令）要求，制定减少关 键基 础 设 施 网 络 风 险 的 基 线 框 架，并推进该框架在私 营部门的采纳。四是提高态 势感知、事件管理和应急响 应能力。《保护信息系统国 家计划》提出要提高检测和 响应能力；《网络空间安全 国家战略》明确要建立国家 网络安全应对系统，确保信 息系统在受到攻击的情况下 还可以运行，并能很快恢复 所有运行；《国家网络安全 综合计划》提出在联邦机构 部署爱因斯坦2和爱因斯坦 3，在各网络运行中心启用 并支持共享的态势感知和协 作；《关键基础设施安全与 恢复力》（第21号总统令） 要求国土安全部具备对关键 基础设 施 实 时 的 态 势 感 知 能 力 。 五是加强公私合作和信 息共享。第13636号行政令明 确提出要推进政府与企业间 的网络安全信息共享；第21 号总统令要求评估现有公私 合作模型，以确保信息共享 有效。
“行动领域”，美 国 将 确 保 其 在网络空间具有有效作战的 必要能力，将把来自他国的 网 络 攻 击视为“战争行为”， 必要时 ， 将 使 用 军 事 力 量 予 以 还 击 [5]。 为有效阻止、击败针对 美国网络系统的入侵和敌对 国家行为，《网络空间国际 战略》《网络空间行动战 略》《国防部网络战略》等 文件阐述了美国发展网络作 战能力的主要举措，具体包 括：一是组建网络作战指挥 机构。设立直接隶属于美国 战略司令部的网络司令部， 统筹协调各军种网络空间行 动机构。二是构建针对国防 部网络和系统的主动防御体 系。提高国防部网络系统提 供防御、监测、修复和保 护，阻止并减少内部威胁， 发展发现、检测、分析和减 轻威胁与漏洞的有效网络主 动防御能力，确保国防部网 络系统的可扩展性和智能多 样性。三是建设网络部队。 《国防部网络战略》
[6]
中
明确提出组建133支网络队 伍，其中，13支承担保障美 国本土及其利益免受网络袭 击的任务；68支承担防范国 防部网络和系统免受优先威 胁的任务；27支为从事战斗 任务的司令部提供一体化的 网络支援；25支为国家任务 队伍和战斗任务团队提供计 划和分析支持。四是将关键
全面实施网络威慑
美国认为，要保护本国网 络 免受攻击，必须具备制止对 手进攻的能力。2011年，美 国高调宣布实施网络威慑， 核心观点如下：网络空间是与 陆、海、空、天并列的美军
２０１５ 年 １１ 月　｜ 保密科学技术 ｜　
35

法规标准
? Legislation and Standards
基础设施纳入国防部保护范 畴。《国防部网络战略》提 出，保障美国本土和相关利 益免受可能造成严重后果的 网络攻击是国防部的主要任 务，国防部必须与跨部门的 伙伴、私营部门和同盟国合 作，以阻止并在必要时击溃 对美国国土和美国利益造成 严重伤害的网络攻击。五是 强化国内和国际合作。加强 跨部门与私营机构的合作， 与盟国和伙伴建立强大的合 作关系，推进国际网络空间 的规范和原则的发展，增强 集体自卫能力和威慑力。六 是发展网络作战技术能力。 加强“改变游戏规则”的网 络基础技术研发，与领先科 研机构合作，共同开发新 型、安全、稳定的网络空间 防御系统。组建创新概念和 技术服务中心，鼓励开发创 新技术，研发计算机病毒、 电磁脉冲等网络武器。
近年来，美国网络安全 技术研发和创新的重点主要 包括：一是“能改变游戏规 则”的网络基础技术研发和 创新。2011年美国发布了 《联邦网络空间安全研发战 略规划》，提出重点发展具 有“改变游戏规则”潜力的 革命性技术，并确定了4个 研发主题，即安全要求系统 设计、提供按安全可信程度 分级的可定制的网络空间、 发展“移动目标”技术、强 化网络安全经济激励政策促 进技术推广
[7]
入 或 开 发 某 种 工 具 [8]。 美 国 对外国企业尤其是中国企业 进入美国市场有严格限制， 如，对美国政府采购中国 产 品进行限制。此外，美国 还对 信 息 技 术 产 品 进 行 出 口 管 制。
建立美国主导的网络空间秩序
美国将网络空间作为宣 扬美国价值观、巩固美国全 球主导地位的重要工具和全 新领域。在全球网络化背景 下，美国立足国际，积极推 行美式价值观，输出“互联 网自由”理念的同时，加强 与盟国和国际伙伴的合作， 倡导建立美国主导的网络空 间国际秩序。 在推行美式价值观、强化 网络空间国际合作方面，美 国主要采取如下措施：一是 输出“网络自由”理念。网 络自由是美国民主价值观在 网络空间的自然延伸，2009 年和2010年，希拉里曾两次 发表“网络自由”的演讲， 提出了“连接自由”概念。 《网络空间国际战略》正式 将“网络自由”纳入网络安 全政策体系，反对将互联网 变成剥夺了个体接触外部世 界的网络，力图将其价值观 通达全球。二是主导网络空 间国际行为规则制定。美国 在《网络空间国际战略》中 阐述了其对网络空间国际准 则的主张，指出现有规范国
。规划还明确
了各部门在研发领域的职责 分工、设立了部际工作组， 以加强部门间的沟通，确保 研发活动顺利推进。二是云 计算、大数据等新兴技术领 域研发。近年来，美国发布 了《联邦政府云计算战略》 《大数据研发计划》等文 件，将新一代信息通信技 术、云计算、大数据、人工 智能等新兴技术领域作为战 略重点。美国军方也将云计 算、可信软硬件等作为网络 空间的技术研发重点。在促 进技术研发和创新的同时， 美国高度关注全球环境下信 息技术产品的供应链安全风 险。美国严格国防等重要部 门信息技术产品政府采购， 如，2013年国防部颁布政 策要求在采购信息技术时， 必须重点评估“供应链风 险”，防止敌人可能秘密植
保持技术领先优势
美国是全球网络技术的发 源地，掌握着网络空间核心 技术并处于绝对优势地位。 美国认为，科技在保持网络 空间的信心和信任方面至关 重要，技术有助于消除网络 安全的担忧。因此，美国在 网络安全技术研发上丝毫没 有放松，积极采取措施，促 进技术创新，保持技术领先 优势。
36
｜ 保密科学技术 ｜　２０１５ 年 １１ 月

Legislation and Standards ?
法规标准
家行为的国际准则，同样也 适用于网络空间，但一些新 兴的准则，如，全球互操作 性、网络稳定性、可靠的访 问等也至关重要
[9]
持国家网络安全技术人员储 备，开发和保有一支国际顶 尖的网络安全工作队伍三大 战略目标。
善国家级网络与信息安全应 急处置体系，建立跨部门、 跨行业的统一应急处置机 制，提高国家网络与信息安 全事件的整体应对、危机遏 制和处置能力。
。三是从
打击网络犯罪、网络管理、 军事等方面强化国际合作。 《网络空间国际战略》提 出，美国将在执法方面增强 国际合作，在军事方面提高 盟友应对网络空间潜在威胁 的能力，在网络管理方面促 进多方利益相关者讨论互联 网管理问题。 为保证上述战略重点的 实施，美国还采取了一些综 合性战略措施。一是从最高 层实施领导。2010年美国在 白宫设立了网络安全协调办 公室，统筹协调军事和民用 部门网络安全行动和政策。 二是强化法律法规保障。美 国已形成以关键基础设施保 护、政府信息安全保护、网 络隐私保护、打击网络犯罪 为核心的网络安全法律保障 体系，并适应新形势需求不 断提出新的法律议案。三是 加强网络意识教育和人才培 养。美国从2001年开始设立 网络安全意识月；2010年 启动“国家网络安全教育计 划”，以提高美国各地区、 各年龄段公民的网络安全意 识和技能；2012年发布了 《国家网络安全教育战略计 划倡议》，确立增强公众的 网络行为风险意识，扩大支
美国网络安全战略的启示
网络空间已成为新型经 济、社会、军事、外交等空 间，承载着巨大的国家利 益。习近平总书记指出： “没有网络安全，就没有国 家安全；没有信息化，就没 有现代化。”研究制定网络 安全战略是中央网络安全与 信息化领导小组的一项重要 任务，美国网络安全战略对 我国具有诸多启示。
发展自主网络安全核心技术
考虑到我国信息技术产品 高度依赖国外的现状，按照 “以应用促发展”的思路， 逐步推进国产化替代进程， 同时发展自主网络安全核心 技术，确保根本安全。组织 专门力量，重点研究密码技 术、基础软硬件技术、网络 和通信协议等核心技术。改 变原有“撒胡椒面”模式， 加大资金投入，支持安全芯 片、操作系统、应用软件、 安全终端产品等技术和产品 研发。加快突破云计算、物 联网、移动互联网等新技术 中的关键核心技术，形成拥 有自主知识产权的安全产业 链条。加强信息技术产品供 应链安全管理，明确信息技 术产品和服务安全管理要 求。加强对进口技术和产品 及新技术、新产品的漏洞分 析工作。
构建关键基础设施安全防御体系
我国经济社会发展正处于 重要战略机遇期，面对全球 日益严峻的网络攻击威胁， 应重点保护在经济社会服务 中发挥关键作用的通信、金 融、能源、交通等关键基础 设施安全。要将关键基础设 施作为国家重要战略资产， 强化关键基础设施安全保护 的统筹协调，出台专门的保 护计划。构建关键基础设施 态势感知体系，实时监测关 键基础设施安全状况。开展 安全风险和脆弱性评估，及 时发现安全隐患和风险。制 定关键基础设施安全基线标 准要求，定期对企业落实基 线要求的情况进行评估。完
建立中式价值观的网络空间秩序
网络全球化已成为各国 无法回避的问题，回避就意 味着默认全球互联网以美国 为主导，并接受美式的价值 理念。在未来国际丛林竞争
２０１５ 年 １１ 月　｜ 保密科学技术 ｜　
37

法规标准
? Legislation and Standards
中，我国必须推动建立符合 我价值观的网络空间国际秩 序，才能避免“人为刀俎、 我为鱼肉”
[10]
项的信息安全人才培养基 金，与各类培训机构合作， 积极开展信息安全人才社会 化 培 训 。 END
July 2011. https://www.wendangku.net/doc/ca3873119.html,/ news/d2*******cyber.pdf. [6] DoD.THE DoD CYBER STRATEGY [EB/OL].Feb.13,2015,http://www. https://www.wendangku.net/doc/ca3873119.html,/Portals/1/features/ 2015/0415_cyber-strategy/Final_ 2015_DoD_CYBER_STRATEGY _for_web.pdf. [7] 赵艳玲.美国改变网络空间安全游 戏规则的新理念与新技术[J].信息 网络安全,2015(09). [8] CNSS.Acquisition of Information Assurance(IA) and IA-Enabled Information Technology(IT) Products(CNSSP 11)[EB/OL].June 2013, https://https://www.wendangku.net/doc/ca3873119.html,/CNSS/ openDoc.cfm. [9] White House. International Strategy for Cyberspace[EB/OL].May 2011. https://www.wendangku.net/doc/ca3873119.html,/ blog/2011/05/16/launching-usinternational-strategy-cyberspace. [10] 汪玉凯,高新民.国家发展战略研 究丛书:互联网发展战略[M].北 京:学习出版社,海南:海南出版 社,2012.
。我国应积极
参加国际社会有关网络安全 的讨论，参与制订相关国际 规则，推动构建和平安全、 开放公平、自由有序的网络 空间；推动各国公平参与网 络空间国际治理，建立国际 社会信息安全重大威胁风险 沟通机制，加强信息安全事 件应急处理中的交流合作； 加强与国际社会的对话合 作，效仿美国做法，构建网 络攻防同盟，扩大我国的国 际影响力。
参考文献：
[1] 陈治科,熊伟.美国网络空间发展研 究[J].装备学院学报,2013(01). [2] White House,Presidential Decision Directive/NSC-63 Critical Infrastructure Protection[EB/OL]. May 1998. https://www.wendangku.net/doc/ca3873119.html,/irp/ offdocs/pdd/pdd-63.htm. [3] 卢心德,构建信息安全保障新体系 ——全球信息战的新形势与我国 的信息安全战略[M].北京:中国经 济出版社,2007:136. [4] White House,Presidential Policy Directive——Critical Infrastructure Security and Resilience[EB/OL]. https://https://www.wendangku.net/doc/ca3873119.html,/thepress-office/2013/02/12/presidentialpolicy-directive-critical-infrastructuresecurity-and-resil,February 12, 2013. [5] DoD.Department of Defense Strategy for Operating in Cyberspace[EB/OL].
加强网络安全立法和人才培养
网络安全立法、人才培养 等为关键基础设施保护等工 作提供了基础保障和支撑。 根据新形势变化，评估现有 信息安全相关立法，对可适 用于网络安全的现有立法予 以适用；统一各部门的立法 思路，明确信息安全未来立 法方向或规划；针对立法需 求迫切的领域，如，关键基 础设施保护、政府信息安全 管理等，加快制定专门法律 法规。将信息安全学科提升 为一级学科，支持高校虚拟 仿真实验室建设，提高学生 应对网络安全实际问题的能 力；大力推动产学研相结合 的培养模式，校企合作建立 信息安全实训基地；设立专
38
｜ 保密科学技术 ｜　２０１５ 年 １１ 月

导
读
Introduction
特别策划 ： 以创新引领保密科技新发展 / P 4
当前，科学技术在保密工作中的地位举足轻重，保密科技水平和创新能力已经成为信息化条件下做好保 密工作的核心要素。 2015 年 11 月 5 日，中国保密协会在北京组织召开 2015 年全国保密技术交流会。国家保密 局副局长杜永胜、中央网信办网络安全协调局局长赵泽良等领导出席会议，并围绕深入贯彻党的十八届五中 全会提出的创新理念，就如何创新网络信息安全工作，引领保密科技工作新发展提出具体要求。与会专家学 者围绕保密技术发展趋势、保密技术防护体系建设、保密技术产品研发与应用、保密技术测评、保密专业人 才培养等，进行了深入探讨和交流，对于推进保密科学技术发展，促进保密技术创新和成果转化应用具有重 要意义。本期特别策划栏目，选登了部分嘉宾演讲内容，供读者参考。
先行先试
创新突破——广东省着力走好保密科技创新先手棋 / P 8
近年来，广东省保密局立足保密工作地处改革开放与对敌斗争“两个前沿”的特殊战略定位，坚持先行 先试，抓实“三个创新”，着力走好保密科技创新先手棋。在《先行先试 创新突破——广东省着力走好保 密科技创新先手棋》一文中，广东省保密局局长张宇就创新推进网络保密管理，创新推进保密系统信息化建 设和装备配备，以及创新推进保密技术服务保障体系建设所做的工作进行了介绍，对于其他省市保密局创新 保密科技工作具有积极的示范意义。
从层次模型的角度看网络空间安全保密的威胁与挑战 / P 11
当今世界，网络空间已成为国家硬实力较量和软实力比拼的战场，而美国利用其信息综合优势已经全面 构建网络空间优势地位。在《从层次模型的角度看网络空间安全保密的威胁与挑战》一文中，作者结合美国 网络空间安全保密技术发展现状，基于网络信息安全层次模型，探讨了三元融合与信息技术高速发展的形势 下网络空间信息安全保密面临的若干问题，并提出对策。
美国网络安全战略部署及对我国的启示 / P 33
美国是世界上对信息网络依赖程度最高的国家，对网络安全问题一直高度重视。从 20 世纪 90 年代起， 美国就通过计划、总统令、行政令等，对网络安全进行战略部署，形成了以关键基础设施保护、网络空间作 战能力、网络空间技术研发和创新、网络空间国际合作为重点，相对完整的网络安全战略体系。美国网络安 全战略的演变、重点、核心观点及主要举措，对当前我国研究制定网络安全战略具有诸多启示。