美國網路安全戰略與政策二十年

本書收錄了自1998 年至今柯林頓、小布希、歐巴馬和特朗普共四任總統任期內，美國政府、軍方、國會和有關部門發布的主要網路安全戰略、法律、規劃、行政令、總統令，以及根據美國網路安全戰略要求，各關鍵基礎設施部門發布的本行業網路安全戰略和規劃，總計36 篇，並以時間順序排列。附錄Ⅰ還摘要介紹了美國重要智庫戰略與國際研究中心（CSIS）對特朗普網路安全政策給出的建議。為了更全面地反映美國網路安全政策制定過程，本書收錄的檔案包括一些過程稿或徵求意見稿。 考慮到篇幅等因素，本書對各行業的網路安全戰略和規划進行了摘要介紹，全部詳細內容可通過掃描書中給出的二維碼免費閱讀。 本書可供各級網路安全和信息化領導機構以及各網路安全主管部門、各關鍵信息基礎設施主管或監管部門在制定網路安全政策時參考，也可供各類網路安全管理和技術人員在實際工作中參考，還可用作高等院校和科研機構在網路安全、國際關係等專業方向的教學或研究參考資料。

一、第63 號總統決定令：柯林頓政府對關鍵基礎設施保護的政策 1

1．日益增長的潛在脆弱性 2

2．總統的意願 2

3．國家目標 2

4．公共-私營合作聯盟以減少脆弱性 3

5．方針 3

6．結構和組織 4

7．保護聯邦政府的關鍵基礎設施 5

8．任務 5

9．執行 6

附錄A 結構和組織 6

附錄B 其他任務 9

二、保護美國的網路空間——信息系統保護國家計畫 11

總統的話 12

國家協調員的話 13

1．美國關鍵基礎設施面臨的威脅 32

2．保護隱私與公民自由 39

3．計畫的目標和範圍 42

4．聯邦政府關鍵基礎設施保護計畫 45

5．私營部門以及州和地方政府的關鍵基礎設施保障框架 101

附錄A 主要的聯邦CIP 官員和聯繫方式 110

附錄B 預算趨勢 110

附錄C 關鍵基礎設施保護中的聯邦研發日程 116

附錄D 術語表和縮略語 129

三、第13231 號行政令：資訊時代的關鍵基礎設施保護 134

1．政策 135

2．範圍 135

3．設立機構 135

4．進一步授權 135

5．委員會職責 136

6．成員 137

7．主席 138

8．常設委員會 138

9．規劃和預算 139

10．總統的諮詢委員會 140

11．國家通信系統 141

12．反情報 141

13．定密權 141

14．一般條款 141

四、《保護網路空間的國家戰略（草案）》的53 個重要問題 142

譯者注 143

第1 級：家庭用戶和小型商業機構 143

第2 級：大型機構 143

第3 級：國家信息基礎設施部門 144

第4 級：國家機構和政策 146

第5 級：全球 147

五、保護網路空間的國家戰略（草案） 148

委員會主席和副主席的信 149

1．介紹 150

2．網路空間威脅與脆弱性：行動案例 153

3．國家政策與指導原則 158

4．本部戰略的重點 162

5．第1 級：家庭用戶和小型商業機構 166

6．第2 級：大型機構 170

7．第3 級：關鍵部門 174

8．第4 級：國家的優先任務 192

9．第5 級：全球 205

10．建議概要 208

六、保護網路空間的國家戰略 215

1．執行摘要 216

2．介紹 221

3．網路空間威脅和脆弱性 224

4．國家政策與指導原則 229

5．優先事務Ⅰ：國家網路空間安全回響系統 232

6．優先事務Ⅱ：國家網路空間安全威脅和脆弱性消減計畫 237

7．優先事務Ⅲ：國家網路空間安全意識和培訓計畫 243

8．優先事務Ⅳ：保護政府部門的網路空間安全 248

9．優先事務Ⅴ：國家安全和國際網路空間安全合作 252

10．總結：前方之路 254

附錄 行動與建議（A/R）概要 255

七、關鍵基礎設施和重要資產的物理保護國家戰略 260

1．執行摘要 261

2．介紹 268

3．行動案例 271

4．國家政策和指導方針 276

5．跨部門安全優先權 283

6．確保關鍵基礎設施的安全 295

7．保護國家重要資產 321

8．總結 327

八、工業界對國家戰略的回響綱要（摘要） 329

1．目的 330

2．背景 330

3．介紹 330

4．各部門面對的共同問題 331

5．總結 334

九、研發項目開發計畫：通過信息安全技術實現關鍵基礎設施保護（摘要） 335

1．介紹 336

2．現狀分析 338

3．研發項目開發計畫：任務及其相關關係 344

4．CIP 中的Infosec 技術研究領域 345

5．CIP 中的Infosec 運行研究領域 349

6．總結 352

十、銀行與金融部門關鍵基礎設施保障國家戰略（摘要） 353

執行摘要 354

1．銀行與金融部門透視 355

2．關鍵基礎設施保障戰略指導 367

3．加強基石建設 374

4．其他考慮 380

十一、信息與通信部門的關鍵基礎設施和網路空間安全國家戰略（摘要）395

執行摘要 396

1．背景與範圍 397

2．威脅、脆弱性與風險管理 400

3．工業界與政府的角色 407

4．展望 410

十二、高等教育對保護網路空間的國家戰略的貢獻（摘要） 412

執行摘要 413

1．介紹 413

2．高教部門的網路安全工作 414

3．美國高教部門人口統計 414

4．美國高教部門的組織 415

5．網路安全與高等教育的使命 416

6．網路安全與高等教育的價值體現 417

7．高教部門的計算機和網路基礎設施 418

8．回應有關國家戰略的問題 419

9．網路安全行動框架 420

10．下一步行動 421

11．總結 423

十三、美國化學部門網路安全戰略（摘要） 424

執行摘要 425

1．化學部門的背景 425

2．情況分析 427

3．美國化學部門網路安全戰略建議 430

十四、電力部門對關鍵基礎設施保護挑戰的回應（摘要） 437

1．介紹 438

2．方案概述 438

3．本行業的歷史使命 439

4．電力部門行動方案的要素 441

5．總結 446

十五、保險部門對保護網路空間的國家戰略的回響v5.1（摘要） 447

1．保險部門簡介 448

2．總結 450

十六、供水部門關鍵基礎設施保護國家計畫（摘要） 452

1．引言 453

2．供水部門的代表 453

3．顧問組 454

4．信息共享和分析中心 454

5．供水部門的問題 454

十七、鐵路部門關鍵基礎設施保護國家計畫（摘要） 455

1．行業概述 456

2．現任部門協調員的活動 456

3．鐵路部門對“911”事件的反應 457

4．恐怖主義風險分析和安全管理計畫 458

5．聯邦政府的參與 459

6．總結 460

十八、保護新經濟時代石油和天然氣基礎設施的安全（摘要） 461

介紹 462

1．新經濟環境 462

2．脆弱性、後果和威脅 465

3．風險管理 470

4．回響和恢復 475

5．信息共享和部門協調 480

6．有關信息共享的法律法規問題 485

7．研究與開發需要 489

十九、第7 號國土安全總統令：關鍵基礎設施標識、優先權和保護 491

1．目的 492

2．背景 492

3．定義 492

4．政策 493

5．部長的角色與責任 493

6．對口聯邦機構的角色與責任 494

7．其他部、局和辦公室的角色與責任 494

8．與私營部門協調 495

9．國家特殊安全事件 495

10．實施 496

二十、第54 號國家安全總統令：國家網路安全綜合計畫（節選） 498

譯者註： 499

1．可信網際網路連線 499

2．愛因斯坦2 項目 499

3．愛因斯坦3 項目 500

4．研發 500

5．態勢感知 500

6．反情報計畫 501

7．涉密網安全 501

8．網路安全教育 501

9．新技術 501

10．網路威懾 502

11．供應鏈安全 502

12．聯邦在關鍵基礎設施安全中的角色 502

二十一、網路空間政策評估：保障可信和堅韌的信息和通信基礎設施 503

序 504

執行摘要 504

引言 507

1．從頂層加強領導 510

2．打造數位化國家能力 514

3．共同承擔網路安全責任 516

4．建立有效的信息共享和事件回響框架 519

5．鼓勵創新 523

6．行動計畫 527

二十二、網路空間國際戰略 529

序 530

1．制定網路空間政策 530

2．網路空間的未來 533

3．政策優先 539

4．展望未來 544

二十三、第21 號總統政策令：關鍵基礎設施安全和韌性 545

1．介紹 546

2．政策 546

3．角色和職責 547

4．三個戰略要求 549

5．創新和研發 550

6．指令的實施 550

7．指定的關鍵基礎設施部門和對口機構 552

8．定義 553

二十四、第13636 號行政令：增強關鍵基礎設施網路安全 554

1．政策 555

2．關鍵基礎設施 555

3．政策協調 555

4．網路安全信息共享 555

5．隱私和公民自由保護 556

6．諮詢過程 556

7．減少關鍵基礎設施網路風險的基本框架 556

8．自願性關鍵基礎設施網路安全項目 557

9．標識處於最大風險的關鍵基礎設施 558

10．框架的採用 558

11．定義 559

12．總則 559

二十五、增強關鍵基礎設施網路安全框架（CSF） 560

執行摘要 561

1．框架介紹 562

2．框架基本要素 564

3．如何使用本框架 567

二十六、網路威懾政策報告 571

1．前言 572

2．美國將試圖威懾什麼 572

3．網路威懾戰略 573

4．美國網路威懾政策的組成要素 574

5．結論 583

二十七、國防部網路戰略 584

1．引言 586

2．戰略內容 590

3．戰略目標 592

4．實現目標 593

5．管理戰略 600

6．總結 601

二十八、2015 年網路安全法 602

第Ⅰ章 網路安全信息共享（第101～111 條） 604

第Ⅱ章 國家網路安全增強（第201～229 條） 619

第Ⅲ章 聯邦網路安全人員評價（第301～305 條） 633

第Ⅳ章 其他網路事項（第401～407 條） 635

二十九、國家網路安全行動計畫 642

1．挑戰 643

2．我們的路線 643

3．國家網路安全促進委員會 644

4．提升全國網路安全水平 644

5．威懾、勸阻和終止網路空間惡意活動 647

6．改進網路空間事件回響 647

7．保護個人隱私 648

8．網路安全投入 648

三十、第41 號總統政策令：美國網路事件協調 649

1．範圍 650

2．定義 650

3．事件回響的指導原則 650

4．並行工作方向 651

5．針對重大網路事件的聯邦政府回響協調框架 652

6．一致的公共聯絡 653

7．與現有政策的關係 653

附錄 重大網路事件聯邦政府協調框架 653

三十一、國家網路事件回響計畫 658

1．執行摘要 659

2．簡介 660

3．範圍 661

4．與國家戰備體系的關係 662

5．角色和責任 663

6．核心功能 672

7．協調結構和整合 674

8．結論 682

附錄A 政策法規 682

附錄B 網路事件嚴重度圖示 683

附錄C 網路事件嚴重度圖示和國家回響協調中心激活等級的對照 684

附錄D 向聯邦政府報告網路事件 685

附錄E 聯邦網路安全中心的角色 687

附屬檔案F 核心功能和關鍵任務 688

附錄G 制定內部網路事件回響計畫 692

附錄I 其他資源 697

三十二、“國家網路安全促進委員會”報告（節選） 698

摘要 699

附錄A 要求、建議和行動措施 701

三十三、強化美國網路安全和能力行政令草案 705

1．政策 706

2．發現 706

3．定義 706

4．政策協調 707

5．網路脆弱性評估 707

6．對網路對手的評估 707

7．美國網路能力評估 708

8．私營部門基礎設施激勵報告 708

9．一般條款 708

三十四、強化聯邦網路和關鍵基礎設施網路安全行政令草案 710

1．聯邦網路安全 711

2．關鍵基礎設施網路安全 712

3．國家網路安全 713

4．一般條款 714

三十五、強化聯邦網路和關鍵基礎設施網路安全行政令 715

1．聯邦網路安全 716

2．關鍵基礎設施網路安全 718

3．國家網路安全 719

4．定義 720

5．一般條款 720

三十六、保護網路資產：應對關鍵基礎設施面臨的緊迫網路威脅 721

1．執行摘要——要點導讀 722

2．介紹 723

3．建議和依據 724

4．目標：根本性改變 732

附錄A 研究方法 732

附錄B 致謝 734

附錄C 關鍵部門面臨網路威脅的緊迫性 734

附錄D 國家網路治理：英國和以色列模式 738

附錄E 參考文獻 740

附錄Ⅰ 美國CSIS 對特朗普政府的網路安全建議（摘要） 755

1．政策 756

2．組織 759

3．資源 759

附錄Ⅱ 主要縮略語761

致謝 773