美国构筑网络安全顶层架构的主要做法及启示

国家信息技术安全研究中心 周季礼 61221部队 李 慧

美国构筑网络安全顶层架构的主要做法及启示

国家信息技术安全研究中心 周季礼 61221部队 李 慧

网络安全是一项跨部门、跨行业的系统工程，涉及政府部门、企事业机构、行业组织等多个领域，需要从国家层面统筹规划，形成结构科学、路线清晰的顶层架构，合力应对各类网络安全问题。美国做为头号网络强国，把网络安全放在十分重要的位置，构筑了比较完善的网络安全顶层架构，全面指导网络安全建设，以确保网络空间的绝对优势，掌握网络空间的主导权。研究剖析美国的网络安全顶层架构，对于构筑具有中国特色的网络安全保障体系，顶层推进我国网络安全建设具有重要意义。

一、美国构筑网络安全顶层架构的主要做法

为谋求网络空间的绝对优势，美国通过出台网络安全战略、完善网络安全机构、制定网络安全法规、统一网络安全标准、健全网络安全机制、培养网络安全力量等举措，全面构筑美国网络安全顶层架构，建立了比较完善的网络安全保障体系。其中，网络安全战略是整个顶层架构的统领；网络安全机构是顶层架构的核心；网络安全法规是顶层架构的基础；网络安全标准是顶层架构的重要支撑；网络安全机制是顶层架构的重要保障；网络安全力量是顶层架构的重要组成。美国网络安全顶层架构是一个集全局性、综合性、协调性和可行性为一体的整体框架方案，各要素之间实现了彼此关联、共同协作和有机融合。

1.出台网络安全战略

网络安全战略是网络安全顶层架构的统领。美国十分重视网络安全战略的地位作用，也是全球最早制定网络安全战略的国家，经过多年发展，已经率先形成了相对完整的国家网络空间安全战略，从顶层推进网络空间安全发展。1998年5月22日，美国颁布《保护美国关键基础设施》，即第63号总统令(PDD一63 )，首次提出了“信息安全”概念。2000年1月，发布了《保卫美国的网络空间—信息系统保护国家计划》，这是美国维护网络安全的第一份纲领性文件，也是世界上第一次由国家政府实施的、用来设计其国家网络空间保护方案的尝试。2000年12月，发布《全球时代的国家安全战略》，首次将网络安全纳入国家安全战略框架，正式成为国家安全战略的重要组成部分，标志着网络安全开始具有独立的地位，初步形成了美国网络安全战略。2003年2月14日，美国政府正式发布《确保网络安全国家战略》，首次明确了网络安全的3大战略目标和5大战略任务。这是美国专门针对网络安全而推出的国家安全战略文件，标志着网络安全战略独立地位的确立。2010年5月27日，美国颁布《国家安全战略》，专门用一节的篇幅阐述了网络安全问题，要求政府开展全面的国家行动，以提高公众的网络安全意识。2011年5月16日，美国司法部、国土安全部等六大部门联合发布了《网络空间国际战略》，全面勾画了综合运用外交、军事、经济、司法和情报手段在网络空间促进国家利益及保护安全、开放和可信网络空间的战略，成为美国政府部门制定网络空间运行和保护政策的纲领性文件。2011年7月14日，美国国防部发布首部《网络空间行动战略》，从军事层面确保国家网络安全战略的落实。2015年2月，美国发布《国家安全战略报告》，提升网络安全的战略地位，规划综合运用法律、经济、外交和军事手段预防和反击网络攻击。2015年4月23日，美国防部再次发布《美国防部网络空间战略》，对2011年7月的国防部网络空间行动战略进行修订和完善，统筹未来五年美网络空间领域的全面发展。

2.完善网络安全机构

网络安全机构是顶层架构的核心。通过二十多年的完善调整和职能优化，美国构建起了一个庞大而有序的网络安全组织体系，统筹协调各机构、各行业、各领域、各个行为体的网络安全行动。其中，美网络安全领导工作牵头单位为由白宫网络安全协调官与情报、通信和基础设施等部门共同组成的跨部门决策委员会，负责制定联邦网络安全政策，授权情报部门与民间共享网络威胁信息等。白宫网络安全协调官专门负责政府部门间网络安全事务的协调，建立对联邦信息系统的自动监控、制定统一的网络安全战略、建立联邦计算机事故反应制度以及加强政府与私营部门的合作等。网络安全协调官与白宫“首席技术官”、“首席信息官”，构成美国网络安全的“三驾马车”。白宫网络安全办公室负责协调美国联邦政府的所有军事和民事部门的网络安全政策和行动。国家情报总监办公室负责协调16个情报机构，监控情报界信息系统，制定政府网络反情报计划。其下设有国家反恐怖主义中心，提供网络反恐情报支持。2015年2月10日，又在其下面组建了网络威胁情报集成中心（CTIIC），旨在协调政府各机构之间的情报，以更好的对网络攻击做出回应。国土安全部负责协调国内网络安全行动，保护国家关键基础设施，保障政府和关键网络安全，指导各行业完善网络安全制度; 其下设有美国计算机应急响应小组和国家网络安全和通信集成中心（NCCIC），用于监测针对美国重要/关键基础设施的网络攻击，及时做出应对。国防部负责保护军方网络安全、应对国外网络攻击、并实施网络反击等，其下设有联合作战部队全球网络行动中心和国防网络犯罪中心。联邦调查局负责国内情报与反情报、反恐等领域的网络侦查任务，调查和诉讼涉及全国范围的网络犯罪。其下设有国家网络调查联合工作组（NCIJTF），负责协调、整合和共享有关网络威胁调查的相关信息。国家安全局/美军网络司令部负责国外网络空间、外部网络威胁情报搜集和研判，以及国家安全和军事网络系统安全防护。其下设有网络空间安全威胁行动中心，负责国家安全局所负责的网络安全工作。国务院担负制定、协调和监管国际通信和信息政策的实施，其下设有网络事务协调办公室负责协调网络安全的国际合作等。

3.制定网络安全法规

网络安全法规是顶层架构的基础。数十年来，美国制定通过了130多项与网络相关的法律法规，内容最全、数量最多，高居世界之首；主要涉及网络基础设施保护、网络泄密与数据保密、打击网络恐怖主义、网络色情等犯罪活动治理、惩治网络信息滥用与欺诈、网络知识产权保护等，构建了比较完善的网络安全法律法规体系。1977 年制定《联邦计算机系统保护法》，首次将计算机系统纳入法律。1984 年制定《伪造接入设备及计算机欺诈与滥用法》，对网络犯罪进行界定。1986 年制定《电子通信隐私法》， 禁止未经授权的电子窃听。1987年制定《计算机安全法》，提出加强联邦计算机系统的安全性和保密性。1995 年通过《削减公文法》，赋予白宫管理和预算办公室制定并颁布国家网络安全政策的职责。1996 年颁布《信息技术管理改革法》，要求政府首长负责制定本部门的信息安全政策和程序。同年通过《电信法》，强调打击网络恐怖主义；还制定《国家信息基础设施保护法》，加强了对侵害国家信息基础设施的行为的认定和处罚。1997 年通过《公共网络安全法》、《加强计算机安全法》；2000 年通过《政府信息安全改革法》，建立政府网络安全监督机制。2002 年3 月，通过《联邦信息安全管理法》，建立联邦计算机事故反应中心。2002 年11 月通过《国土安全法》，赋予国土安全部部分网络安全职责。同年，还通过《2002年网络安全研发法》，赋予国家科学基金会和国家标准与技术研究院开展网络安全研究的职责；通过《2002 年电子政务法》，指导联邦信息技术管理；通过《关键基础设施信息保护法》，建立关键基础设施信息保护程序。2006 年批准了国际《网络犯罪公约》。2012年4月，通过了《网络情报共享与保护法》、《联邦信息安全修正法》、《2012年网络安全加强法》和《促进美国网络信息技术研究与开发法案》。 2013年2月12日，美国总统签署了网络安全行政令，提出建立和发展一个推动网络安全的实践框架。2013年4 月，通过了《网络安全研发法案》、《2013 年推进美国网络和信息技术研发法案》和《2013年联邦信息安全修正法案》。2014年12月18日，通过《2014年联邦信息安全管理法案》、《2014年国家网络安全保护法》和《网络安全人员评估法案》。为此，由联邦法律、州法律、联邦行政决定、一些判例及国际公约，共同构成了美国网络安全法规体系。

4.统一网络安全标准

网络安全标准是顶层架构的重要支撑，没有统一的网络安全标准，就不可能构造出一个全面、完善的网络安全保障体系。美国作为全球信息技术强国，建立了门类齐全的网络安全标准，为网络安全各方面工作提供指南和遵循。目前，美国制定的网络安全标准共分为两大类：一类是由国家安全局制定的国家安全系统标准；另一类是由商务部的国家标准技术研究院制定的联邦政府信息系统标准。国家安全系统是美国处理涉密信息，以及情报、军事、密码等敏感信息的联邦政府信息系统，其标准按内容又可分为3类：一是国家安全系统委员会发布的政策、指令、指南等带有标准性质的文件，共约有117个，主要规范国家安全系统的使用政策、管理规范和操作指南，是国家安全系统管理与技术防护的主要依据。内容涉及网络安全防护、密码设备、通信防护、卫星及空间系统防护等技术标准，也包括产品使用、产品准入、人员培训等管理标准。二是信息技术产品标准，共约有18个，除了信息安全产品标准以外，还包括安全操作系统、无线局域网设备、安全交换机、USB存储驱动器等通用信息技术产品标准。三是载体销毁标准，主要包括高性能碎纸机、穿孔纸带销毁机、光介质粉碎机、磁盘消磁机、高性能粉碎机等5个标准。联邦政府信息系统标准均为公开标准，又可分为两类：一是联邦信息处理标准，大部分为强制标准，共约有17个；二是“特别出版物”，主要是非强制性的技术指南，共约有126个，内容涉及网络安全审计、身份鉴别、安全培训、通信与无线、密码、风险评估、介质保护、物理环境安全等23个方面。

5.健全网络安全机制

网络安全机制是网络安全战略得以落实的重要保障，是有效提升网络安全能力的重要举措。美国建立健全了多种网络安全机制，扎实提高网络安全水平。一是建立严格的网络安全预警机制。美国政府要求每个联邦机构制定和实施信息安全计划，并规定至少每隔三年要执行一次独立的安全检查或审计。对于涉及高风险的网络系统和主要应用程序，检查和审计应当缩短周期。对各种网络安全应急计划还要经常进行演练和测试，以保证有效性和可行性，提高网络预警水平。二是建立网络威胁信息共享机制。2007年10月31日，美国颁布《信息共享国家战略》，明确提出信息资源属于国家资产，并对联邦机构之间（含军政之间）、联邦与州和地方政府之间、公共部门与私营部门之间、与外国有关机构之间进行信息共享的方法进行了明确。2012年12月19日，美国通过了《信息共享与信息安全国家战略》，明确提出情报部门、国防部、外交部、国土安全部、执法部门和私营部门团体之间要加强合作，共享信息资源。三是健全工业控制系统漏洞共享机制。2006年5月，美国建立工业控制系统漏洞发布机制，要求发现漏洞的行业或机构及时向美国计算机应急响应小组(US-CERT)汇报，US-CERT及时进行处理和发布并录入国家漏洞库(NVD)。四是健全网络安全协同治理的利益协调机制。2010 年3 月24 日,美国修订《网络安全法案》,要求政府及私营机构在网络安全领域加强信息共享,并在发生网络安全紧急情况时加强彼此协作。2013 年2 月12 日,美国签署《关于提高关键基础设施网络安全的行政命令》,提出各个部门要遵守相关政策和指令来协同解决网络安全问题;政府与私营机构应共享网络威胁信息;国土安全部在国家网络安全治理中应考虑各方意见等。五是建立网络安全审查机制。2000年，美国率先在国家安全系统中对采购的产品进行网络安全审查，随后对联邦政府云计算服务、国防供应链等出台了安全审查政策，实现了对国家安全系统、国防系统、联邦政府信息系统的全面网络安全审查。六是建立常态化的网络安全攻防演练机制。美国国土安全部分别在2006年、2008年和2010年举办了三次“网络风暴”演习。2009年11月，美国防部与“白狼”安全防务公司联合举行了“网络拂晓”网络战演习。美国金融机构也分别于2011年11月、2013年6月举办了“量子黎明”演习。美国防部与国土安全部、联邦调查局以及一些私营公司连续开展了四年的年度“网络卫士”演习等。七是建立军民网络融合发展保障机制。2007年，美国国防部启动了“国防工业重要企业网络安全和信息保护”计划，旨在利用国防网络力量或军方信息技术，来保护国防工业重要企业的信息网络。2011年6月，美国国防部和国土安全部启动国防工业联盟（DIB）网络试点项目，旨在情报机构与公司共享威胁信息，共同防御网络攻击。2010年10月，美国国防部和国土安全部共同签署合作协议，建立了跨部门的网络安全联合防御机制。八是建立共同应对网络威胁的国际合作机制。2010年，美国和欧盟初步达成覆盖军、民领域的网络空间合作战略。2012年，美军和日本、韩国等国家的军队加强了在网络空间的合作。2013年，美国与日本政府达成协议，加强两国网络空间管理机构在网络威胁信息共享、国际网络安全政策协调合作。2015年4月，美日两国修改《日美防卫合作指针》，建立共同应对网络威胁的协调机制等。

6.建强网络安全力量

网络安全力量是顶层架构的重要组成，也是国家网络安全的关键支撑。美国经过分头发展、统一整合和加速扩编三个阶段，建立起了一支军警民于一体的网络安全力量体系。1995年，美国防部就建立了网络威胁预警机构。1998年美国防部组建了第一支计算机防御部队，即计算机防御联合特遣部队，为作战司令官直接提供网络防御支持。陆海空三军也建立了类似的计算机防御分队，以满足军事网络的安全需求。为加强统一领导、提升网络防御能力，2002年美军组建了第一个网络战指挥机构——“网络战联合功能构成司令部”。2009年6月23日，美国防部下达成立网络空间司令部，优化组织指挥流程，统一指挥和协调网络战力量，负责领导、整合和更好地协调国防部网络的日常防御、保护和运作；指导国防部信息网络的运作和防御，并准备奉命实施网络空间的全频谱军事行动等。2010年10月，美军网络空间司令部正式投入运营。2009年8月18日，美国空军成立第24航空联队，负责建立、运作、维护和防护空军部队的网络安全，实施全频谱网络空间作战。2010年1月，美国海军正式成立舰队网络司令部和第10舰队，负责海军内部的网络安全和作战任务。2010年10月1日，美国陆军成立网络司令部，担负保卫陆军网络的使命，支援美军网络司令部的联合行动。2011年底，美陆军成立美军第一支旅级网络战部队，即780军事情报旅，负责搜集潜在的网络威胁情报。2013 年2月27日，美国国防部决定在现有人数的基础上，把网络空间安全部队扩编5倍，从目前900人陆续扩编至4900人。2015年3月4日，美国网络司令部司令表示，美军网络司令部的目标是组建133支网络分队，人员达到6200人，而且到2016财年年底大部分网络分队至少达到初始作战能力。此外，美国的国民警卫队、警察机构、各行业单位或私营企业也都建有专门的网络安全力量，以应对各类网络威胁。

二、启示与思考

网络安全顶层架构是网络安全建设的顶层指南，也是衡量一个国家网络安全水平的重要指标。当前我国网络安全顶层架构正在加紧构建中，但还不完善。需要借鉴美国的先进经验，加强统筹规划，明确发展思路，突出建设重点，加紧构筑具有中国特色、科学合理的网络安全顶层架构，全面指导网络安全建设。

1.加紧构建网络安全顶层架构

网络安全是一个庞大的系统工程,必须依赖政府自上而下的来构建网络安全顶层架构，全面推进网络安全保障体系建设。要站在战略的高度统筹考虑,站在全局的高度顶层设计, 加紧构建具有整体性、全局性的网络安全顶层架构，培育网络空间安全环境,并以顶层架构来指导网络安全保障体系的构建和网络安全管理能力的提升。

2.加快出台网络空间安全战略

美国在不同发展阶段出台了国际、国内网络安全战略，以及行动战略（如国防部网络战略），从顶层指导网络安全健康发展。目前，全球已有50多个国家出台了专门的网络安全或信息安全战略。因此，我国应该借鉴美国和国外的通行做法，加快出台我国专门的网络空间安全战略，明确我国在网络空间的根本利益，科学规划网络安全发展的目标、方针、措施、步骤及组织保障等，从顶层指导和整体推进我国的网络安全发展。

3.健全完善网络安全管理机构

网络安全是一个有机联系的整体, 美国构建起了一个比较完善的网络安全管理体系，统筹协调网络安全中的各项工作，并积极推动政府跨部门及公私之间的合作。为此，我国应该仿效美国先进经验，在中央网络安全和信息化领导小组的坚强领导下，统筹协调经济、政治、文化、社会、军事等各个领域的的网络安全工作，强化政府机构之间的协同配合和民营企业的参与合作，建立运转顺畅、协调有力、分工合理、责任明确的网络安全管理体制，形成一个综合高效的网络安全管理组织体系。

4.加快网络空间安全法规建设

法规是网络安全顶层架构的基础支撑，没有立法保障，就无法对网络安全建设进行规范和统一。我国自上世纪90年代开始网络安全立法工作，已初步形成网络安全法律法规体系，但仍存在重点不突出、立法空白多等诸多问题。因此，要借鉴美国立法经验，按照“统筹规划、循序渐进、突出重点、适度立法”原则，加快制定新的网络安全法律，规范网络主体的权利和义务，逐步构建起完备的网络安全法规体系，为保障国家网络安全、推进网络强国建设提供坚实的制度保障。

周季礼，1967年出生，男，研究生，高级工程师，主要研究方向：信息安全技术

李慧，1970年出生，女，副研究员，主要研究方向：信息安全