1985年12月，美國(guó)总统直属的行政管理(lǐ)与预算办公室（OMB）负责制订了一项重要的政策《联邦政府信息资源管理(lǐ)OMB A-130号通告》，并在1993年7月2日作了修改。该通告全面阐述了联邦政府的信息资源管理(lǐ)政策。该通告适用(yòng)于所有(yǒu)联邦政府部门的所有(yǒu)机构，因此这是美國(guó)联邦政府信息资源管理(lǐ)和信息安全的政策大纲。 1987年美國(guó)國(guó)会通过了《计算机安全法案》。要求所有(yǒu)联邦机构确认含有(yǒu)敏感信息的计算机系统，并提供开发计划确保这些系统的安全。这个法案说明美國(guó)政府对计算机脆弱性引起的威胁已经开始重视。 1998年5月國(guó)家安全局制定了《信息保障技术框架》。2000年1月，白宫发表了《保卫美國(guó)的计算机空间--保护信息的國(guó)家计划V1.0》。2001年10月，布什签署了第13231号总统令，确立了一个包括连续的确保信息安全的工作在内的保护项目，这个项目还包括支持信息系统安全的资源准备、沟通等。《联邦信息安全管理(lǐ)法（FISMA）》（The Federal Information Security Management Act (FISMA) ）和13231号总统令（Executive Order 13231）以及其它相关的指导文(wén)件和授权文(wén)件為(wèi)國(guó)家的网络空间案件提供了基本框架。 2002年，美國(guó)通过的《联邦信息安全管理(lǐ)法案》规定必须对联邦政府信息系统进行安全评估并备案，為(wèi)美國(guó)政府机构信息系统改善信息安全问题设定了目标。《联邦信息安全管理(lǐ)法案》為(wèi)美國(guó)联邦政府信息安全设定了目标，却没有(yǒu)规定如何实现这些目标。為(wèi)此，美國(guó)國(guó)家技术与标准局（NIST）负责為(wèi)实现这些目标制定最低安全要求，因此，NIST专门启动了信息系统安全计划。

國(guó)家信息安全战略的目标是：1，防止针对关键设施的网络攻击；2，减少可(kě)能(néng)遭受攻击的安全漏洞；3，减少损失，缩短对网络攻击的反应时间。

指导原则由6部分(fēn)组成：1，全民(mín)动员。保护网络安全是一项繁杂的事務(wù)，单靠政府是难以完成的，需要整个社会的努力。2，保护隐私和公民(mín)自由。网络空间的保护与公民(mín)因和自由并不矛盾，保护措施应当是加强而不是削弱对公民(mín)的保护。公民(mín)自愿交流的、非公开的信息应当得到有(yǒu)效的保护。3，政府管制和市场力量的共同作用(yòng)。政府规制不是保护网络安全的唯一手段，市场的力量也应得到发挥。4，责任。在2002年11月，总统签署了《2002年國(guó)家安全法案》（Homeland Security Act of 2002），成立了國(guó)家安全部（the Department of Homeland Security (简称DHS)）。DHS要為(wèi)许多(duō)安全政策负责。5，保持灵活性。网络空间变化多(duō)样，相应地，应对措施也要有(yǒu)相当的灵活性。6，跨年度计划。信息化的发展是一个连续的过程，《联邦信息安全管理(lǐ)法（FISMA）》要求各部门要制定跨年度的计划来实现连续的网络安全保护。
國(guó)家网络空间安全管理(lǐ)的五项要点：

（1）國(guó)家网络空间安全回应系统。这是一个公共――私人合作机制，包括政府机构，也包括诸如私人部门信息分(fēn)享与分(fēn)析中心这样的非政府机构（ISACs）。由國(guó)土安全部来统一协调。进行分(fēn)析和预警；管理(lǐ)局有(yǒu)國(guó)家意义的危机事件；促进政府和私人部门的设施安全；促进信息共享。

建立政府和私人共同参与的體(tǐ)系来应对國(guó)家级别的网络事故；

         积极发展对网络攻击的战略战术分(fēn)析和安全漏洞评估；

         鼓励私人部门之间互相交流网络安全的认识；

         发展网络攻击预警信息网以支持國(guó)土安全部协调各部门的风险管理(lǐ)活动；

         改善國(guó)家对事故的应对能(néng)力；

         促使政府和私人共同参与的连续性，并制定应急预案；

         政府网络系统必须制定连续而又(yòu)完整的网络安全计划；

         提高并加强政府和私人之间的网络安全信息共享。

         提供信息共享。在联邦政府内部、联邦政府和州政府及地方政府之间、政府和私人部门之间建立有(yǒu)效的信息共享的机制，以此来提高政府与私人部门的风险意识和有(yǒu)效实施技术。

（2）减少國(guó)家网络的风险和弱点的系统。主要关注三个方面的工作：第一，通过有(yǒu)效的确认和惩罚措施来减少威胁和阻止蓄意的破坏；第二，确认和纠正现存的可(kě)能(néng)会对关键系统造成严重损害弱点；第三，建立弱点更少的新(xīn)系统，评估相应的风险应对技术。

         执法过程中强化对网络攻击进行预防和追究的能(néng)力；

         开展网络安全漏洞的评估活动，以提高对网络风险的认识；

         完善网络通讯协议和网络路由能(néng)力；

         鼓励使用(yòng)可(kě)靠的数码监控系统和数据采集系统；

         尽量减少并修正软件的安全漏洞；

         加深对基础设施相对独立性的理(lǐ)解，提高電(diàn)信设施和网络设备的物(wù)理(lǐ)安全系数；

         优先发展政府网络安全研发；

         為(wèi)网络安全技术的研究和发展进行投资；

         评估并保护新(xīn)开发的网络系统。

（3）國(guó)家安全意识及其培训系统。这个系统的主要组成部分(fēn)如下：第一，制定广泛的全民(mín)安全意识项目来促使全美國(guó)人都注意保护各自的网络空间安全；第二，提供足够的培训和教育项目以支持國(guó)家信息空间安全的需要；第三，提高现有(yǒu)的联邦信息安全培训项目的效率；第四，促进私人部门支持协调的、具有(yǒu)广泛认可(kě)度的网络安全专业认证系统。

         发动全體(tǐ)國(guó)民(mín)参与网络安全教育，促使他(tā)们积极捍卫自身的网络安全；

         提供足够的教育培训项目以满足國(guó)家网络安全的需要；

         提高现有(yǒu)的培训项目的效率；

         提高私人部门对专业网络安全认证的支持。

（4）捍卫政府网络空间。在联邦政府里面，由管理(lǐ)与预算办公室（OMB）主任负责确保各部门和机构的首長(cháng)实施他(tā)们保护IT安全的法定责任。

         不断评估政府网络系统的风险和安全漏洞；

         给政府网络的用(yòng)户授权并支持其使用(yòng)；

         确保本地政府无線(xiàn)网络的安全；

         提高政府采購(gòu)活动的安全系数；

         鼓励中央和地方政府考虑建立信息安全项目并参与信息共享分(fēn)析中心；

         促进网络安全技术和程序的应用(yòng)。可(kě)以利用(yòng)税收优惠来促使各部门購(gòu)买安全技术，也可(kě)以利用(yòng)规制强制其購(gòu)买，总之是要保证其拥有(yǒu)最低标准的网络安全技术。

（5）國(guó)家安全和國(guó)际网络安全合作。美國(guó)的网络空间是与其它國(guó)家的网络连接在一起的，因此必须于其它國(guó)家进行合作。合作的内容包括提供共同的安全意识；促进建立强有(yǒu)力的安全标准；积极监测和大力惩罚网络犯罪等。

         强化与网络有(yǒu)关的反间谍活动；

         提高对网络攻击的追查和回应能(néng)力；

         提高各部门行动的协调性，共同回应网络攻击；

         通过國(guó)家组织加强國(guó)家间政府及私人部门的对话和合作，以保护信息设施，提高全球的安全文(wén)化；

         在國(guó)家内部和國(guó)际上都要建立监视和预警网络，以便及时探测并阻止网络攻击；

         鼓励其他(tā)國(guó)家加入欧盟签署的《打击電(diàn)脑犯罪國(guó)际公约》，或者促使他(tā)们的法律和程序比较完善。

（摘自“十一五”信息化专项规划重大课题研究之“信息化风险及风险管理(lǐ)研究”）

作者：张成福   唐  钧  陈淑伟  朱海燕  易小(xiǎo)國(guó)  謝(xiè)一帆  王建亮  孔祥振 等