附录 行动与建议（A/R）概要

优先事务Ⅰ：国家网络空间安全响应系统

A/R 1-1：国土安全部将针对联邦政府与工业界及其他合作伙伴的合作而建设一个集中化的全天候联络点，这些合作包括网络空间分析、预警、信息共享、应急响应和国家级的恢复工作。私营部门对这些工作将起到主要作用，政府鼓励它们在法律允许的范围内加强合作，以便全天候地从宏观上掌握网络空间的安全程度。

A/R 1-2：根据2003年的预算，联邦政府将在政府内与网络安全相关的运行中心中安装CWIN，以发布分析结论和预警信息，并实施危机管理的协调。联邦政府将考虑将ISAC连接到CWIN上。

A/R 1-3：为检查民事机构对网络安全的准备情况和连续性计划，国土安全部将通过演练来检查网络攻击可能会造成的影响。发现的弱点将被添加到矫正行动计划中，并提交给管理和预算办公室。国土安全部还将通过这种演练测试公共和私营机构在事故管理中的协调、响应和恢复能力。

A/R 1-4：政府鼓励公司定期检查并演习信息技术连续性计划，把信息技术服务提供商的多样化（分散服务）作为一种降低风险的方法。

A/R 1-5：鼓励基础设施部门为网络安全紧急事件建设互助项目。司法部和联邦商业委员会必须和这些部门一起消除这种合作中的障碍。另外，国土安全部的信息分析和基础设施保护署将协调制定并不断更新政府和工业界的自愿性网络安全连续性计划，包括恢复Internet功能的计划。

A/R 1-6：公私机构之间对网络安全和基础设施脆弱性信息的共享存在着一些障碍，国土安全部将增强消除这些障碍的意识。国土安全部还将建设一个基础设施保护项目办公室，这个办公室将负责处理信息，还负责制定如何保管“企业自愿提交的关键基础设施信息”的协议。

A/R 1-7：鼓励公司积极参与在业界共享IT安全信息的项目，包括参加适宜的ISAC。建议学院和大学：（1）建设一个或多个ISAC以处理网络攻击和脆弱性；（2）为Internet服务提供商（ISP）和司法部门提供一个随时待命的联络点，在发现学校的IT系统即将实施网络攻击时通过该联络点与学校联络。

优先事务Ⅱ：国家网络空间安全威胁和脆弱性消减计划

A/R 2-1：司法部和其他相关机构将通过以下方法来减少网络攻击和网络威胁：（1）设法改善从事关键基础设施和网络安全工作的联邦政府、州政府、地方政府的有关部门与私营企业之间在信息共享和调查协调方面的工作；（2）设法为调查和取证提供足够的资源和培训，以便快速调查并快速解决关键基础设施事故；（3）充分研究网络犯罪和入侵的对象，以掌握安全问题涉及的范围并及时跟踪情况的变化。

A/R 2-2：国土安全部将协调适当的联邦机构和私营部门，对国家的网络威胁实施评估，确定各类目标可能造成的攻击影响。

A/R 2-3：商务部将组织一个特别工作组研究与IPv6相关的工作，研究内容包括政府在这项工作中的职能、国际合作、IPv4到IPv6的安全转换、成本和利益。特别工作组将征求那些可能受影响的企业的意见。

A/R 2-4：国土安全部将和商务部及其他机构一起，协调公共机构和私营部门之间的合作，以促进相关机构：（1）采用更为安全的协议；（2）开发更为安全的路由技术；（3）采纳“行为规范”，包括网络安全管理和相关的合作方面的规范。国土安全部将支持这些工作，在必要的情况下提交相关的预算计划。

A/R 2-5：国土安全部将协调能源部和相关机构，与各个行业合作，制定最佳实践措施，研究新的技术，以增强DCS/SCADA的安全性，判断最关键的DCS/SCADA站点并制定改善这些站点安全性的优先计划。

A/R 2-6：国土安全部将和国家基础设施咨询委员会及私营部门一起制定发现脆弱性的计划和机制。

A/R 2-7：总务管理局（GSA）将和国土安全部一起为联邦政府建设一个软件补丁信息交换站。国土安全部将和私营部门共享其经验，推动各个行业自愿参与为包括大企业在内的其他部门建设一个类似的信息交换站的工作。

A/R 2-8：政府鼓励软件行业在其产品开发过程和默认安装时考虑更多的安全特性，包括：（1）在产品中加入提高用户安全意识的功能和特性；（2）易用的安全功能；（3）尽可能为安全相关的工作提供指南和最佳实践措施。

A/R 2-9：国土安全部将建设并领导公私合作联盟以发现不同部门之间的互依赖性，包括网络和物理上的互依赖性。这些合作联盟将制定脆弱性的消减计划，并与《国土安全国家战略》中提出的计划联合发挥作用。国土安全部的国家基础设施仿真和分析中心（NISAC）将支持这一工作，该中心将开发一套模型来描述网络和物理上的互依赖性所带来的影响。

A/R 2-10：在接到请求或在必要时，国土安全部将支持信息系统网络的所有者或运营者以及网络数据中心制定系统矫正以及应急计划，以减少大规模物理破坏可能对上述网络的支撑设施造成的破坏，并制定限制访问关键设施的操作流程。

A/R 2-11：为满足这一要求，科技政策办公室（OSTP）的主管将协调这一开发工作，每年更新研发日程。在联邦政府的研发日程中，从2004财政年度及其后续几年里安排了前期（1～3年）、中期（3～5年）和后期（5年或更长）IT安全研究计划。在所有工作中，当前优先考虑入侵检测、Internet基础设施安全（包括BGP和DNS等协议）、应用安全、拒绝服务攻击、通信安全（包括SCADA系统加密和鉴别）、高保障系统和安全系统集成。

A/R 2-12：为优化与私营部门相关的研究工作，国土安全部将提供足够的机制来协调高校、业界和政府的研发工作，在必要情况下将建设新的机制。

A/R 2-13：政府鼓励私营部门在近期的研发工作中，优先考虑开发高度安全可靠的操作系统。如果这种系统开发完成并通过评估，联邦政府将考虑增加财政预算，增加对这类系统的定购量。

A/R 2-14：国土安全部将推动国家级的公共-私营合作项目，推广用以提高软件代码开发的完整性、安全性和可靠性的经验和方法，包括在开发过程中减少错误代码、恶意代码和后门的流程与步骤。

A/R 2-15：国土安全部将协调OSTP和其他相关的机构，促进公私研究机构以及安全界的交流，以确保新兴技术能定期接受国家科技委员会内相关部门的检查，查看其是否与国土安全和网络空间安全的要求相符，以及是否与联邦研究日程相符。

优先事务Ⅲ：国家网络安全意识和培训计划

A/R 3-1：国土安全部将与相关的联邦、州和地方实体以及私营部门相协调合作，推动全面的网络安全意识培养行动，其内容包括针对特定对象制定相应的培训教材，扩大“安全在线”（StaySafeOnLine）活动，面向工业界中为安全做出突出贡献的人员制定奖励项目。

A/R 3-2：国土安全部将和教育部一起，在合理的预算下，鼓励并支持州、地方和私营组织制定针对中小学生网络安全学习的项目和指南。

A/R 3-3：家庭用户和小型商业机构可以通过保护自己的网络连接的安全以帮助提高国家网络空间的安全。个人或企业的计算机操作人员可以通过安装并定期更新防火墙软件、安装最新的杀毒软件、定期更新操作系统和应用程序以增强系统的安全性，这将有助于增强网络空间的安全性。为促进用户采取这些保护措施，国土安全部将组建一个由私营公司、组织和消费者群组成的工作组，通过该工作组，信息技术产品和服务的提供商或其他组织可以找到使家庭用户和小型商业机构更易于保护其系统安全的方法。

A/R 3-4：鼓励大型机构对影响国家关键基础设施安全的内部网络的安全性进行评估。评估内容包括：（1）审计最佳实践措施的有效性及其应用；（2）制定连续性计划，考虑配备冗余人员和设备；（3）参与工业界范畴内的信息共享及对最佳实践措施的传播。

A/R 3-5：鼓励各个学院和高校采取以下全部或部分安全措施来加强其网络系统的安全：（1）建设一个或多个ISAC，以处理网络攻击和网络脆弱性问题；（2）制定相关政策，授权首席信息官处理网络安全问题；（3）为IT安全制定最佳实践措施；（3）制定模范的用户安全意识项目和教材。

A/R 3-6：持续的公共-私营合作联盟将有助于通过以下工作来保护国家网络基础设施的安全：在必要和可行时参与对技术和研发的缺陷分析，从而能够对联邦的网络安全研究日程提供输入，对相关的研究进行协调，并制定和传播网络安全的最佳实践措施。

A/R 3-7：国土安全部将实施并鼓励在美国国内制定用以推动网络安全专业培训的项目，包括与国家科学基金会（NSF）、人事管理办公室（OPM）和国家安全局（NSA）相协调，一起探寻如何利用现有的“网络警察服务奖学金”项目以及由《网络安全研究和开发法》创建的为各类研究生、博士后、高级研究人员和教员提供的奖学金和受训项目。

A/R 3-8：国土安全部将与具有网络安全培训知识的其他机构相协调，一起制定一种协调机制，将联邦政府的网络安全培训与计算机司法取证培训项目联系起来。

A/R 3-9：国土安全部将鼓励为建设一个公私部门广泛认可的安全认证项目而开展必需的基础工作。国土安全部和其他联邦机构将有效而清晰地描述联邦IT安全界的需求，以协助这些工作的开展。

优先事务Ⅳ：保护政府部门的网络安全

A/R 4-1：联邦机构将继续扩大对自动化的安全评估和安全策略实施工具的使用，并积极部署威胁管理工具，从而能够检测到攻击。联邦政府将判断是否必须采取特定的措施（通过政策或财政预算流程）来促使各个机构更多地使用这些工具。

A/R 4-2：通过现在正在实施的电子鉴别活动，联邦政府将审查对强访问控制和身份鉴别的需求，研究联邦各部使用相同的物理和逻辑访问控制工具及鉴别机制的范围，最终进一步推动一致性和互操作性。

A/R 4-3：联邦机构应当考虑安装能持续检测非授权网络连接的系统，各个机构的政策和流程应当反映出对风险消减措施的考虑，包括使用强加密技术、双向鉴别、防辐射标准及技术、配置管理、入侵检测、事件处理、计算机安全意识与培训项目。

A/R 4-4：联邦政府将对国家信息保障联盟（NIAP）重新进行全面的考查，以判断其对商用软件产品不断出现的安全缺陷这一问题的解决程度。这一考查过程将吸取在实施国防部2002年7月发布的政策时得到的教训。该政策要求产品在采购时应经过NIAP或类似评估流程的审查。

A/R 4-5：联邦政府将考虑是否有必要对联邦政府的安全服务提供商进行认证，以考查其是否具有最小的能力，包括考查其是否具有足够的独立性。

A/R 4-6：鼓励州和地方政府为其各个部门和机构制定IT安全项目，包括意识培养、审计及标准；鼓励各州与其他情况类似的州一起参加已经建立的ISAC。

优先事务Ⅴ：国家安全和国际网络安全合作

A/R 5-1：联邦调查局和中央情报局应当确保以更强有力的反情报姿态来打击针对美国政府、商业和教育机构的以网络空间为基础的情报收集行为。这项工作必须包括要更加深入地了解我们的对手利用网络空间进行间谍活动的能力和意图。

A/R 5-2：情报部门、国防部和执法机构必须增强迅速调查攻击源的能力，以便于及时有效地做出响应。与国家安全战略一致，这些工作同样将努力发展相关能力来抵抗对关键系统和基础设施的攻击。

A/R 5-3：美国必须增强与网络攻击和间谍活动有关的执法部门、国家安全部门和国防部门之间的协调能力，确保各个部门之间在适当情况下能够互相交换与犯罪事件相关的信息。国家安全委员会和国土安全办公室将对此进行研究，以确保相应的协调机制到位。

A/R 5-4：当某个国家、恐怖主义集团或者其他敌人通过网络空间攻击美国时，美国政府的回应不需要局限于对犯罪活动进行起诉。美国保留以适当的方式进行回应的权力，美国将为这类意外事件做好准备。

A/R 5-5：美国政府将通过适当的国际组织加强合作，与企业建立合作联盟，以推动国外公共-私营部门间就信息基础设施保护展开对话，并推动全球“安全文化”的形成。

A/R 5-6：美国将与加拿大和墨西哥合作，将北美打造成“安全的网络空间地带”。我们将会把该项目扩展到标识和保护那些用来支撑电信、能源、运输、银行与金融系统、应急服务、食品、公众健康和供水系统的关键公共网络。

A/R 5-7：美国将督促每个国家在处理千年虫问题的经验基础上为国内和国际之间的网络安全工作指定集中化的联系地址。这些联系地址的建立能够极大地增强国际协作能力以及对问题的解决。我们还将督促每个国家都建立自己的观察和预警网络，用于向政府部门、公众和其他国家对可能发生的攻击或病毒发出通知。

A/R 5-8：为了促进在出现网络威胁时的实时信息共享，美国将支持建立能够接收、评估和发布此类信息的全球网络。该网络可由FIRST之类的非政府机构负责建设。

A/R 5-9：美国政府鼓励区域性组织，如APEC、EU和OAS等，分别建立或指派负责网络安全事务的委员会。这类委员会也可以通过与来自私营部门的代表共同建立联合工作组受益。美国政府还鼓励区域性组织，如APEC、EU和OAS等，与来自政府和私营部门的代表建立网络安全事务联合委员会。

A/R 5-10：美国将鼓励其他国家接受《欧洲委员会网络犯罪约定》，或确保其法律和流程至少包含了相关内容。