作为世界上互联网最发达的国家之一,美国对互联网的应用程度和依赖程度远高于大多数国家,因而面临更大的网络和信息安全威胁。20世纪80年代以来,美国政府对网络安全的重视程度不断提升,并视之为国家安全的重要组成部分。截至2015年,美国先后颁布了40 多份与网络安全有关的文件,形式包括战略、计划、行政令、总统令等。本书重点研究克林顿、布什和奥巴马三届美国总统执政期间所推出的与网络和信息安全相关的战略文件。 一、克林顿政府时代(1992—2001年) 美国的网络安全政策产生于克林顿政府时期保护关键基础设施的行动。克林顿总统在1996 年签发了第 13010号行政命令,创立了总统关键基础设施保护委员会,并强调了网络攻击对国家的经济和国防安全的威胁。在该委员会的建议下,克林顿总统在1998年5月签发了第63号总统决策令。 (一)第63号总统决策令:《克林顿政府对关键基础设施保护的政策》(Presidential Decision Directive 63:The Clinton Administration’s Policy on Critical Infrastructure Protection) 1998年5月22日,克林顿政府发布了第63号总统决策令(PDD63):《克林顿政府对关键基础设施保护的政策》,第一次就美国信息安全的概念、意义、长期与短期目标等做出了明确的说明,并针对下一步的行动做了指示。克林顿政府在PDD63中指出,“我们的经济越来越依靠那些相互依赖的、由计算机和网络支持的基础设施,对我们的基础设施和信息系统的非常规攻击有可能使我们的军事和经济力量遭到巨大伤害。” PDD63 提出,最迟不晚于 2000 年,美国应当实现初步的信息保障能力。PDD63 要求从总统令发布之日起,五年后美国将获得并保持对国家的关键基础设施进行保护的能力,以防止可能严重危害到下述职能的有预谋的行为:联邦政府履行其重要的国家安全责任并确保公众健康和安全;州和地方政府维持有序运转,提供最起码的重要公共服务;民营部门确保经济有序运行以及重要电信、能源、金融和运输服务的正常提供。这些关键职能遭到的任何破坏或操纵必须控制在短时、低频、可控、地域上可隔离且对美国的利益损害最小的规模。 (二)《信息系统保护国家计划(V1.0)》(National Plan for Information Systems Protection Version 1.0) 2000年1月5日,克林顿政府发布了《信息系统保护国家计划(V1.0)》,提出了美国政府在21 世纪之初若干年的网络空间安全发展规划。克林顿表示,“信息系统保护国家计划是一系列更为复杂的工作的第一步。随着我们对正在出现的威胁和脆弱性的认识不断深入,我们的计算机保护计划将持续发展和更新。它向我们展示了一个综合的方案,为我们的经济、国家安全、公共健康和安全中的关键部门提供了保护措施。为成功实施这个计划,政府和私人业主必须齐心协力,建立一种前所未有的合作关系。只有举国上下团结应战,我们才能达到我们的目标。我们不能指望只依赖政府法令来实现我们的目标,每个部门必须自己决定保护其关键系统所必需的方法、步骤和标准。作为合作关系中的一方,联邦政府随时准备提供帮助。” (三)《全球时代的国家安全战略》(A National Security Strategy For A Global Age) 2000年12月1日,克林顿总统签署了《全球时代的国家安全战略》。签署该文件是美国国家信息与网络安全政策的重大事件。文件将信息安全与网络安全列入国家安全战略,成为国家安全战略的重要组成部分。这标志着网络安全正式进入了国家安全战略框架,并具有了独立地位。