附录B 其他任务
研究
国家协调员应当对下列专题展开委托研究:
由于私营部门公司参与信息共享过程而引发的责任问题。
信息共享所面临的法律障碍以及对消除这些障碍的提议的审查,包括通过与美国法律学会的协调来起草标准法令。
文档化和信息分级的必要性,这种分级对信息传播带来的影响,以及既可以用来安全地共享威胁和脆弱性信息,又可避免信息泄露或被滥用者获取的信息共享方法和系统。
增强对下列信息的保护(包括这些信息的安全传播系统和处理系统):工业贸易秘密以及其他的保密性商业数据、执法机关的信息和证据、保密的国家安全信息、有可能泄露私营基础设施脆弱性的非涉密材料以及其他虽然无害但也不适宜泄露的某些信息。
当有必要为了美国的基础设施的安全而与国外实体共享信息时,这种信息共享带来的影响。
对关键基础设施提供商的保险条例进行命令、资助或协助时,这方面的安全标准的潜在裨益;对于希望同美国进行贸易的国外关键基础设施提供商,要求其与保险相关联的有关安全标准的潜在裨益。
公共推广
为了增强公众对基础设施保护的感性认识,应当采取下列行动:
在国家协调员的关注下,白宫应当同有关的内阁机构一起考虑召开一系列会议:①使公共和私营部门中的国家领导走到一起,提出旨在增强信息安全职责的有关项目;②召集来自工程界、计算机科学、商学院和法学院的学术领袖,评审信息安全教育现状,确定需要对课程和资源做出哪些必要的改变,以满足国家对信息安全领域内的专家需求;③讨论与K~12年级以及普通大学的学生有关的计算机伦理学问题。
国家科学院和国家工程院应考虑召开圆桌会议,把联邦、州和地方政府的官员们以及工业界和学术界的领袖们召集到一起,制定用以增强基础设施安全的国家战略。
情报共同体以及执法机关应当对现有的项目做出扩展,以利于向基础设施所有者、运营者以及高级政府官员做出简单通报。
国家协调员将①建立一个模拟基础设施保障的项目,该项目要涉及公共和私营部门的高级官员,对该项目的报告将作为意识培养运动的一部分来公布;②在与私营部门的协调下,发起一个连续性的意识培养国家项目,强调增强基础设施安全性的重要性。
联邦政府内部的活动
为了使联邦政府能够改善其基础设施安全,下述行动应立即开始执行:
商务部、总务管理局(GSA)以及国防部应该协助联邦各机构在其各自的机构内部执行信息保障的最佳实践措施。
国家协调员将协调对联邦、州和地方政府中担负信息保障任务的实体所进行的评审,提出推荐性意见,指出这些机构如何才能够最有效率地展开合作。
所有的联邦机构都应该清楚地指明负责对该机构的计算机系统进行访问授权的人选。
要增强对国外信息战威胁信息的收集和分析,情报共同体应当评估该项活动的优先权,并将这种优先权进行形式化。
联邦调查局、特工处以及其他的有关单位将①极力招募具有相关计算机技术技能的本科生和研究生,使他们以全职或兼职的形式受雇于地区计算机犯罪行动组;②加大对拥有计算机攻击分析和调查技术的合格人员的雇佣和留任。
在向国防部咨询后,交通部应该对依赖于全球定位系统(GPS)的国家运输网络的脆弱性进行彻底评估。这项工作包括对基于GPS的民事用户所面临的风险进行一次独立的、综合的评估,同时基于这些评估决定现代化NAS的最终体系结构。
联邦航空管理局应当制定并执行一个综合性的国家航空系统安全项目,以保护现代化的NAS网络,使其免于信息攻击或其他破坏。
总务管理局(GSA)应当确定同基础设施保障有关的大型采购任务(比如新的联邦电信系统FTS2000),研究采购过程是否反映了信息保护的重要性,并且在必要的时候应拿出有关提议,对整体的采购过程进行修改,从而有利于信息保护。
管理和预算办公室(OMB)应当指导各联邦机构把所分配的基础设施保障职能列入《政府绩效和结果法》战略计划的制定和政府绩效评估框架之中。
根据NSD-42中说明的国家职责,国家安全局(NSA)应当对美国政府的系统进行评估,发布威胁和脆弱性信息,建立标准,展开研发,并负责评估安全产品。
协助私营部门
为了协助私营部门实现并维护其基础设施的安全,应进行以下活动:
国家协调员和国家基础设施保障委员会应拿出提议并制定行动路线来激励私营部门对其关键资产,包括信息和电信系统执行定性的风险评估。
商务部和国防部应当合作,通过与私营部门的协调,向私营部门的关键基础设施所有者和运营者提供专业知识,以制定最佳安全实践规范。
司法部和财政部应当发起一次综合性的研究工作,编纂计算机犯罪方面的人口统计学资料,比较各州对计算机犯罪的处理方法,制定有关方案来阻止青少年计算机犯罪,并对这些犯罪做出响应。