4．国家政策和指导方针_美国网络安全战略与政策二十年-QQ阅读男生科幻网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

4．国家政策和指导方针

国家政策综述

本文重申了有关关键基础设施和重要资产保护的长期国家政策，同时还阐述了一系列巩固关键基础设施和重要资产保护国家战略的指导方针。

作为一个民族，我们有责任全力保护我们的关键基础设施和重要资产，以防恐怖活动：

削弱联邦政府执行重要国家和国土安全任务和确保普通公共卫生和公众安全的能力；

破坏州和地方政府维护法令和提供最低限重要公共服务的能力；

破坏私营部门确保经济有序运作和提供重要服务的能力；

削弱公众的士气以及对国家经济和政治制度的信心。

利用必要的工具保护我们的关键基础设施和重要资产。

作为一个民族，我们必须齐心协力，运用一切可用工具，制定和实施政策包含的各项保护措施。本文“介绍”中提出的战略目标将侧重于推动这方面的工作。

指导方针

我们的国内保护工作所基于的是核心力量和价值观基础，在历史上，我们的国家就是依靠这些力量和价值观渡过重大危机的。以这些核心力量和价值观为前导，以下八条原则突出了本战略的核心内容以及与之相关的行动方案。

（1）保障公众安全、公众信心和各项服务

恐怖分子企图通过大规模破坏摧毁公众对政治经济制度的信心，所以他们会不断对人身和财产使用暴力手段，以此来阻挠社会和经济的有效运行。不断从战略角度强化安全措施、减轻国家关键基础设施和重要资产面对物理攻击（尤其是那些可能造成灾难性后果的攻击）的脆弱性，这样的策略就是寻求增强公众对我们的制度和系统的信心。

有计划地对我们的关键基础设施和重要资产采取备份、固化和分散配置等措施，可以增强它们的生命力和抗攻击能力，从而不至于面临攻击时蒙受重大损失。通过行之有效的保护和反应计划，可使关键基础设施和重要资产快速恢复关键性服务，从而把攻击对我们的经济和社会安定的影响降到最低。实施精心制定的计划可以确保关键基础设施和重要资产在危机发生时正常运转，这是树立公众希望和增强公众对国家处理恐怖袭击后果能力的信心的关键所在。

（2）明确责任和义务

本战略阐明了政府、工业界和全体公民在关键基础设施和重要资产保护工作中的重要作用。我们联邦制度的宝贵遗产和有限的政府资源下放了管理职权，赋予了社会公民和私营机构以一定的权利和自由过自己喜欢的生活和从事商业活动。在这样的背景下，不归联邦政府直辖的组织和个体就必须在关键基础设施和重要资产保护的很多方面担负起领导责任。

因此，本战略的一个重要组成部分就是阐明对国内保护工作起重要作用的各种公共和私营部门实体的责任和义务。这其中必然包含了涉及联邦、州和地方政府以及私营部门的必要的协调机制、综合性保护政策、规划、资源管理、业绩度量和行动方案。

（3）鼓励和推动各级政府之间以及政府与工业界之间的合作

保护关键基础设施和重要资产涉及各级政府和私营部门。长期的保护工作必然是我们共同的责任，需要在全国范围内集中资源和专门技术。《国土安全国家战略》阐明了动员整个社会共同保护我们的国土的必要性。因此，它着重强调“州和地方政府、私营部门和美国人民都要发挥重要作用”。这一原则对于我们保护关键基础设施和重要资产至关重要。每次破坏活动或攻击最初都只是局部问题。地方社区、州和地方政府、私营部门基础设施所有者和运营者受到的直接影响，总是形成对恐怖袭击的主导性反应。因此，公众的信心依赖于社区执行保护措施和预先制定的保护计划的力度。鉴于此，联邦政府将就此提供总体支持、协调和集中领导，以建立一个能使所利益相关人都能更好履行自己的保护职责的环境。

（4）鼓励推出可能的市场解决方案并通过政府集中干预弥补市场紊乱造成的损失

保护我们国家的关键基础设施和重要资产要求采取涉及范围极广的可行行动，其中包括提高对当前受威胁环境的了解和认识、提供威胁提示和警报、投资开展研发工作、推广实验性技术、探索各种财政刺激方式、在适当的地方采取目的明确的调整行动。

联邦政府将通过本战略大力推动具有前瞻性并基于市场的保护方案出台。很多关键基础设施部门目前已经调整到位，只有当市场力量不足以促进确保关键基础设施和重要资产保护工作正常进行所必需的投资时，才需要下达进一步调整的指示和命令。另外，当需要实施统一的国家标准或做出协调一致的反应以迎接特殊的挑战性威胁时，尤其是在各部门高度互依赖性的情况下，也需要下达进一步调整的指示和命令。

在很多情况下，财政刺激方案可以促使私营部门以及州和地方政府加强对情况的了解和提高它们的经验，其中包括适合于其具体系统、运营和安全挑战的新工具和创新性流程的开发。财政刺激方案还有助于抵消因市场情况变化而造成的某些负面影响，例如市场压力的自然趋势要求消除冗余性，从而造成市场紊乱。

（5）促进有意义的信息共享

信息共享可以巩固真正的合作伙伴关系，同时是减轻狡猾、适应性强且意志坚定的敌人的威胁的必要条件。要想制定全面的安全计划，在了解多方面情况的条件下做出安全投资和行动决定，个人以及机构都需要及时、准确的相关信息。因此，我们必须采取措施确定和评估实施与安全相关的信息共享的障碍，并且制定适当的措施来克服这些障碍。我们还必须开发和发展可靠、安全、有效的通信和信息系统，以支持公共和私营部门实体之间有意义的信息共享。

（6）加强国际合作

“9·11”事件以后，美国迅速联合世界各国的朋友和盟国发起了反恐战争。我们还迅速采取行动，与加拿大和墨西哥一起实施相关计划，旨在提高我们的共同边境以及跨边境基础设施的安全水平。保护我们的关键基础设施和重要资产免受恐怖分子攻击，需要世界各国的进一步参与。在这个以相互依赖为特征的世界上，国际合作是我们保护计划的一个重要组成部分。

（7）开发技术和专业技能以抵御恐怖分子的威胁

《国土安全国家战略》强调了科学技术的重要性，它们是国土安全的重要基础。关键基础设施和重要资产保护必须充分利用我们的科技优势，以使我们的保护工作效果更好、效率更高、付出的代价更低。共享国家资源、加强公共-私营部门之间的合作，将使最新的科学技术能够得到充分利用，从而提高我们的保护工作抵御致命威胁的能力。

同样，建模、仿真和分析水平的不断提高可以增进我们对所必须加以保护的基础设施和重要资产复杂且相互依赖的性质的了解。这方面的应急响应能力将推动保护规划、决策和资源配置工作的开展。

（8）保护个人隐私和宪法保障的自由

我们的社会由多样化的种族、民族、文化、宗教和政治观点组成。这一多元化特征以及社会调和差异的能力，是美国强大实力的来源所在。但是，正如《国土安全国家战略》所指出的那样，我们的自由社会也有其固有的脆弱性。然而，公民权利和自由是我们国家特征的必要组成部分，这些自由和权利的任何损害都意味着恐怖分子的阴谋得逞。

因此，我们必须接受一定程度的恐怖主义风险会在我们的日常生活中长期存在这样一种现实。我们的任务是找出方法降低风险，并且在维持形成我们生活方式的自由权利的同时保护我们的国家。在全民共同实施安全保卫的同时，我们还要尊重个人隐私、言论自由、行动自由、免受非法歧视的自由以及使我们形成一个国家的其他珍贵的自由。

组织起来寻求伙伴共同保护关键基础设施和重要资产

执行全面的国家基础设施和重要资产保护战略，需要清晰统一的组织，明确的目的，对角色、责任和义务的透彻了解以及一整套深入人心的协调流程。一项结构严谨的组织方案可为公共-私营部门的积极参与和有效合作搭设一个舞台。没有这样的组织方案，将不可能完成协调和整合国家保护政策、规划、资源管理、业绩计量的任务，也不可能发挥联邦、州和地方政府以及私营部门的积极性。

总统颁布的《国土安全国家战略》提供了一个定义明确、结构统一的组织框架，本文将就这一问题进行进一步论述。本章阐明了公共-私营部门在关键基础设施和重要资产保护工作中的角色和责任。从根本上来说，关键基础设施和重要资产保护的成功，取决于我们能否有效利用每个利益相关人所独有的核心实力和资源。鉴于所需采取的保护行动涉及范围极广和高度复杂，同时涉及了大量实体，定义明确的权力、义务和协调流程将成为成功和持续发展的国家保护工作的基础。

（1）组织机构和合作伙伴面临的挑战

联邦、州和地方政府管辖范围的重叠以及我们关键基础设施和重要资产所有权结构的重叠，对于保护工作来说是一个重大挑战。相关实体的情况各异，它们对保护任务和责任的理解程度也会不尽相同。此外，这些组织机构和个体代表了复杂多样的系统、运作机制和企业文化。每个机构要从事的保护工作涉及范围十分广泛，相互之间差异很大。最后，联邦、州和地方政府辖区保护权限的重叠程度也有很大的不同。成功执行本战略所涉范围极广的保护行动，需要建立一个统一的组织框架，在这个框架下允许发展互补合作关系并有效配置我们国家的保护资源。

（2）明确角色和责任

在我们政府的联邦制度下，联邦、州和地方政府以及私营行业扮演着各自不同的具体角色并行使着特定的功能，这些角色和功能必须结合为一个整体才能确保保护工作的正常进行。另外，每个关键基础设施所有者和运营者拥有着独有的能力、专门技术和资源，把它们适当结合起来，便可以为全面保护国家贡献出力量。

①联邦政府的责任

宪法为联邦政府规定了定义明确的基本责任。提供一般性国家防卫和提高整个国家的福祉就包括在其中。只有联邦政府能够动用军事、情报和外交资产来维护美国在境外的利益。更为现实的情况是，联邦政府还在州和地方政府的支持下，一直领导着维护边境安全的工作。在防止恐怖分子进入美国国土方面，联邦政府可以动用几种其独有的工具，其中包括：军事、外交情报的收集，移民和入籍法规，边防、海关检查以及港口、机场的安全检查。

联邦政府的执法功能由可用以协调应对安全威胁和突发事件的多种司法手段以及允许跨越州界和国界缉拿罪犯的机制组成。此外，联邦机构还开展关键性研究工作，协调保护规划和突发事件处理工作，并且向州和地方当局提供物质和其他形式的支持。这些功能构成了阻止、预防、保护和应急响应的元素。

除了这些关键性服务和功能外，联邦政府还能跨越政府管辖权限和在私营部门内进行组织、召集和协调。因此它也有制定连贯的国家政策、战略和计划的责任。在国土安全方面，联邦政府将协调政府与私营机构的工作互补，以提高我们长期保护每处关键基础设施和重要资产的能力。

每次恐怖主义事件都会造成全国性影响。因此，联邦政府将发挥领导作用，确保实现本战略“介绍”提出的三项基本目标。这一领导角色涉及：

密切关注我们最关键的设施、系统和功能，督促经济部门和政府机构做好防范准备。

确保联邦、州、地方政府和私营实体携手合作，共同保护面临威胁和/或其损失会对国家造成重大影响的关键设备、系统和功能。

及时对州、地方政府和私营部门合作伙伴提供并协调与之相关且具有行动意义的国家级威胁信息、威胁评估和威胁警报。

制定并执行综合性多级保护政策和计划。

探索各种潜在激励选择方案，以鼓励利益相关人遇到特殊保护问题时自行开发解决方案。

开发跨部门、跨辖权的保护标准、指南、规范和协议。

促进关键基础设施和重要资产保护最佳处理方式、实践措施和脆弱性评估方法的共享。

进行试验性项目和计划示范演示。

促进先进技术的开发和转让，利用私营部门的专业技能优势。

在全国范围内开展关键基础设施和重要资产保护教育，提高全民的保护意识。

提高联邦政府与州、地方政府以及服务供应商合作的能力。

作为我们最珍贵的标志性建筑物和纪念碑等很多国家重要资产的管理者，同时作为执行关键性任务的设施的所有者和运营者，联邦政府还肩负着重大的直接保护责任。因此，联邦政府将采取适当步骤：

确定它自己的关键设施、系统和功能。

确定这些资产所依赖的关键节点。

评估相关的脆弱性。

以适当措施减轻脆弱性和保护由其控制的设施和资产。

联邦领导部门和机构

每个关键基础设施部门都面临着独有的安全挑战。《国土安全国家战略》为保护美国的关键基础设施和重要资产提出了一个基于部门的组织框架（参见“保护关键基础设施和重要资产的联邦组织”）。这一组织框架阐明了负责协调保护工作、推动相关部门长期合作的联邦领导部门和机构。

除了确保联邦政府拥有和运营的基础设施和资产的安全以外，联邦领导部门和机构还应在以下方面对州、地方政府和私营部门合作伙伴提供帮助：

组织和实施保护工作，保持操作计划的连贯性，提高对关键设施、系统和功能脆弱性及其所受威胁的了解和认识。

验证和推广具体部门行之有效且高效率的保护手段和方法。

扩大部门内私营实体之间及政府与私营实体之间有关安全信息的自愿共享。

每个联邦政府领导部门或机构都将推选一个“部门联系人”，作为部门与政府之间的主要联络渠道。工业界的相应“部门联系人”将由联邦政府领导部门和机构指定，由其作为中间人，负责协调本部门关键设施和系统保护的规划和行动。

联邦政府将扩大这一公共-私营部门合作模式，将其作为我们行动战略的重要组成部分。因此，新近被《国土安全国家战略》确定的关键基础设施部门的联邦政府领导部门和机构将立即采取行动，指定部门联系人和协调员，以推动保护工作大力展开。这方面的工作还包括确定本部门内的重要设施、系统和功能以及推动部门制定保护计划。

国土安全部

联邦领导部门和机构的组织模式为国家级保护协调和规划提供了一个重点突出的领导结构。新建立的国土安全部将通过跨部门总体协调大幅度提高这一模式的效力。国土安全部将在联邦部门和机构、州和地方政府以及私营部门之间扮演推动合作的主要联系人和推动者的角色。

作为跨部门的协调人，国土安全部还将负责详细修订和实施本战略的核心内容。本章所含内容包括了建立和维护对国家级关键资产、系统和功能的完全、及时和精确评估，同时对各关键基础设施部门的脆弱性和保护工作现状进行评估。国土安全部将利用这些信息评估威胁，为受威胁关键基础设施及时发出警报，同时设立“红色小组”审查各部门和政府辖区的防范工作。此外，国土安全部还将与其他联邦部门和机构、州和地方政府以及私营部门合作，确定并执行保护关键基础设施和重要资产的补充计划和协调流程。这一工作的有效起点，就是联邦领导部门和机构以及州和地方政府当前采用的那种应对自然灾害的合作方式。

除了跨部门协调之外，国土安全部还将对若干个部门实施联邦领导的职责，这些部门包括政府、应急响应、运输、邮政和递送以及信息和电信。

为了履行这些责任，国土安全部将：

通过制定和实施自己的开放、兼容和针对结果的计划，与州和地方政府以及私营部门建立合作伙伴关系。

积极创造机会，建立已被证明行之有效的合作模式。

确定并共享联邦政府的核心权限、职能和被选定的资源，以推动合作伙伴大力开展工作。

促进机构和部门之间的真诚交流。

国土安全办公室

国土安全办公室将继续作为与国土安全（其中包括关键基础设施和重要资产保护任务领域）相关的跨部门政策问题总统主要政策顾问班底和协调机构行使职责。国土安全办公室的作用是建议并辅助总统，协调执行部门在美国境内对恐怖分子攻击的侦察、戒备、预防、保护、反应和恢复工作。国土安全办公室将和管理和预算办公室一起，整理并签署总统有关关键基础设施和重要资产保护的预算提案。国土安全办公室在其现有权限下，还将同管理和预算办公室一起，确保其他联邦政府部门和机构的预算能够有效完成各自的保护任务。

负责国家关键基础设施和重要资产保护的联邦政府部门如下图所示：

其他联邦部门和机构

除了指定的联邦领导部门和机构之外，联邦政府还将综合其他众多部门和机构特有的专业技术和知识，用以扩大国土安全保卫的范围。例如，国家科学技术学院的国家标准和度量实验室将在制定关键基础设施和重要资产保护工作的标准方面起重要作用。这一角色的最近实例体现在2001年PATRIOT法、2002年《加强边界安全和签证改革法》和《国家建筑安全小组法》所用的语言中。

涉及整个部门的全面方案往往包含国际成分，需要发展与外国政府或机构的协调关系，其中包含与外国政府的信息共享。因此，国务院将通过为与我们的国际朋友或盟友签订双边或多边基础设施保护协议进行铺垫工作来支持保护计划的制定和实施。国务院将以其领导美国对外政策以及支持其他联邦部门和机构计划和工作的独有职责，在推动我们关键基础设施和重要资产重点保护项目发展方面发挥重要作用。

②州和地方政府的责任

作为我们国家组成部分的50个州、4个托管领地和87000个地方辖区在保护关键基础设施和重要资产工作中起着重要且独特的作用。美国所有的州和托管领地都设有国土安全联络办公室，负责管理其反恐和基础设施保护工作。此外，各州还有执法机关、国民警卫队单位和其他负责保护州内社区的重要服务部门。

与联邦政府相同，州和地方政府也应该确定并保护其在辖区内拥有和运行的关键基础设施和重要资产。州政府还应通过与指定的联邦领导部门和机构密切合作，在本辖区和地区协调保护行动、应急响应行动和资源支持。州政府应该深入协调关键基础设施和重要资产保护的规划和戒备工作，运用统一标准确定设施和资产的关键性，确保保护的重点投资，规范辖区内的防范工作。当面临的威胁超出辖区和辖区内实体的能力时，州政府还应疏通寻求联邦资助的渠道。州政府还应推动安全信息和威胁警报的交流下达到地方政府一级。

很多州彼此之间通过全国紧急事件管理人员协会、全国州长协会等各种机构以及确保相互支持的协议，建立了组织严密的关系。它们可以在相互协调的条件下，依靠共同的努力实施地区性保护方案。回应“9·11”事件的经历已经证明，用于处理危机情况的相互协助协议以及其他类似的有效合作方案，能够有效统一各辖区和机构的计划和行动。

每次破坏或攻击最初都只是地方性问题。不论受到攻击的基础设施归谁拥有和运营，在事件的影响扩大到全国范围之前，都需要地方政府和社区当机立断采取措施，地方政府和社区必须担负行动的最初责任。

地方政府站在保护工作的最前线，代表着面向美国人民的公共服务水平。地方政府必须了解自己的社区、居民、地形以及赖以维护公共卫生、公众安全和社会秩序的现有关键性服务项目。各社区在地方政府领导下确保公众的安全、经济机会和生活质量。因此，公众信心起始于地方，依赖于社区怎样计划和保护他们的市民、应对紧急情况和从混乱中恢复秩序。如果地方政府成功地防止并减少人员和财产的损失，或者像纽约在“9·11”事件中那样，面对灾难目标明确、工作有效，那么既能证明它们的能力，也能加强公众的信心。所以，地方社区有责任让市民做好应对紧急事件的准备，还要担负起领导责任，制定并协调地方和地区计划，确保对居民和商业的保护。

当需求超出了地方政府的能力时，州和地方政府可以寻求联邦政府进行协调、提供支持和资源。关键基础设施和重要资产的保护需要各级政府间的广泛合作。国土安全部的设立，尤其是为了在包括关键基础设施和重要资产保护在内的国土安全问题上协调州和地方政府的工作。其他联邦领导部门、机构和执法机关将在具体保护关键基础设施和重要资产时提供必要和适当的支持。

③私营部门的责任

我们的关键基础设施和重要资产主要由私营部门拥有和运营。私营部门的公司在制定风险管理计划时往往十分慎重，同时把对安全的投资看作是商业运作和树立用户信心的必备功能。此外，在当前威胁丛生的环境中，私营部门通常把守着保护自身设施的第一道防线。因此，私营部门基础设施的所有者和运营者应该对自己的规划、担保和投资方案重新进行评估和调整，以便更好地适应由恶意暴力行为带来的日益增长的风险。自“9·11”事件以来，为了适应新的危险环境，很多企业增加了限度投资并加强了安全保卫工作。

就大多数企业而言，对安全的投资水平反映了隐含风险与后果之间的平衡，这一平衡基于：①对风险环境的了解；②在经济上合理、在竞争激烈的市场中或在政府资源有限的环境中得以生存的要素。如果说恐怖主义威胁的动态特性以及后果的严重性与潜在的攻击阴谋相关，那么私营部门自然会寻求从政府得到信息，以帮助它们更好地做出关键基础设施安全投资决策。同样，当私营部门面临的威胁超出了企业的自我保护能力、超越了合理的附加投资水平时，它们也会寻求政府提供帮助。鉴于此，联邦政府应该与私营部门（以及州和地方政府）密切合作，确保国家级关键基础设施和资产的安全；及时发出警报，确保面临迫在眉睫具体威胁的基础设施和资产得到保护；创造一个能使私营部门在其中更好地履行具体保护责任的环境。

及时可信的信息以及相关专业技术的提供，再辅以通过内部获得的工具和最佳实践措施，可以鼓励私营部门提前在风险管理的各个层次上谨慎投资。通过建立互惠互利关系和协调一致开展保护工作，公共和私营部门的合作伙伴关系可以极大增强我们国家保护关键基础设施和重要资产的能力。

在与国土安全部以及其他联邦部门和机构合作的过程中，部门协调员将发挥关键性作用。部门协调员还将与政府人员共同确定、改进和推广面向具体工业部门的最佳实践措施。部门协调员将依靠国土安全部以及其他联邦政府领导部门和机构提供协调一致的指南、行业安全保卫标准以及对行动具有指导意义的预警，以此来实施自己的保护方案。私营部门可能还需要得到激励才能加大安全投资。因此，部门联络人和部门协调员应与政府的相关人员一起开发潜在的激励催化剂，同时扫除公共-私营部门合作的障碍。

除了政府的正式支持外，私营工业部门还可以用很多措施来在各个方面改善自己的安全状况。很多工业部门通过建立联盟来增加其运营的国家级关键基础设施的可靠性和确保公众对它们的信心。由于公众对某一部门总体业绩的看法能够影响股东对部门成员的评估，因此很多机构可以在一个框架内携手合作，共享与安全相关并具有可行性的最佳实践措施。由高度互联的业内企业组成的部门还达成了相互援助协议，以防一个系统遭到破坏对整个部门造成影响。能源部门（尤其是电力工业）保障可靠性的行动就是关键基础设施合作的一个实例。

早在“9·11”事件之前，就有若干个关键基础设施部门建立了信息共享和分析中心，以规范成员之间的信息交换和提高防范物理和网络破坏的运营风险的管理水平。此外，很多部门机构还与联邦政府的相应部门共同制定规划，对促进国家保护工作做出了贡献。联邦政府对部门信息共享和分析中心的支持和保护计划，现在必须扩大到新指定的关键基础设施部门。

合作伙伴关系将为制定和实施协调一致的保护战略打下基础。真正的合作伙伴关系需要不断的交流，其中最重要的因素是相互信任。但是目前，公共-私营部门之间建立这种合作关系尚存在障碍。当前人们采取的态度以及机构体系关系、操作流程和结构框架都是过去时代的产物。在当今市场高度流动和环境威胁丛生的条件下，要保护我们的关键基础设施和重要资产不受恐怖主义袭击，就需要一种新型的、更有利于合作的体系关系和态度。显然，合作伙伴是必不可少的。