20xx年美国信息共享与安全保障国家战略

20xx年美国信息共享与安全保障国家战略

20xx年03月11日11:37作者：知远

作为总统，确保美国与美国人民祥和安宁是我义不容辞的责任。完成这一使命需要我们的情报、军事、外交、国土安全、执法与公共卫生机构以及我们在各州、各地方政府和私营部门的同行们尽可能密切合作。反过来，这种合作需要及时有效地把那些对我国构成威胁的相关情报和信息共享给最需要的人，从总统到街头巡逻的警察。

自20xx年9月11日美国遭受恐怖袭击以来，我们看到美国在信息共享方面已经取得了长足进步。今天，我们的情报分析人员、调查人员以及公共安全专家正在共享更多的信息，开展相对于以前来说更加高效的合作。不幸的是，我们仍存在一些不足，一些重要信息不能大范围迅速充分共享，或者一些机密或敏感信息在未经授权的情况下披露给外界，这损害了我们的国家安全。

为了保护国家安全我们需要共享信息，而且要保护这些信息不被其他人用于损害我们的国家，《20xx年信息共享与安全保障国家战略》的目标是要在这两者之间取得适当的平衡。虽然这两个重点——共享与安全保障——往往被人们以为是互相排斥的，但事实上，它们是相互促进的关系。

因此，此战略强调采取何种手段加强对于机密与敏感信息的保护，这有助于各参与部门与机构树立信心并在彼此之间建立互信，只有这样，这些信息才能在授权用户之间共享。

《20xx年信息共享与安全保障国家战略》认为重要信息是国家资产，必须受到保护并加以适当共享。美国的国家安全所面临的威胁不断发展变化，因此，我们的政策也应相应做出调整，确保重要信息得到有效使用与保护，达到预期效果。这包括保护美国人员的隐私与个人信息，并坚持我们对于透明度的承诺。该战略明确指出：美国人士的个人隐私、公民权利与公民自由必须而且应该得到保护。

我们的国家安全依赖于合适的时间于适当的人群中共享正确无误的信息。因此，我们要努力工作，使信息可以在负责、无缝、安全的环境中共享。在此战略的指引下，我们将继续利用重要信息维护国家的安宁与同胞的安全。

——巴拉克?胡赛因?奥巴马

执行摘要

我们的国家安全依赖于我们在合适的时间于适当的人群中共享正确无误信息的能力。这种信息共享授权需要联邦、州、地方、部落、领地、私营部门和外国合作伙伴彼此之间开展持续与负责地合作。过去几年，我们已经成功地理顺了相关政策与程序，克服了文化上的障碍，对信息系统加以更好地整合，使其能够在今天动态的作战环境中实现信息共享，不过，我们仍然面临着挑战，需要继续完善信息共享与信息安全保障的流程，并提高信息共享与信息安全保障能力。技术上的不断创新增强了我们信息共享的能力，同时也增加了漏洞暴露的可能性，这要求我们强化信息安全保障工作。《20xx年信息共享与安全保障国家战略》为有效制订、整合并执行政策、程序、标准以及技术提供了指导意见，以促进安全与负责的信息共享工作。

我们应对这些挑战必须具有战略眼光，立足于3项核心原则。首先，我们应把信息视为国家资产，认识到各部门和机构都已经达到了前所未有的能力，能够收集、存储并使用与他们的任务和适用法律职权相一致的信息；相应的，他们有责任利用这些信息为完成国家安全任务提供支持。其次，我们开始确认信息共享与安全保障需要各部门与机构共担风险管理。为了建立并维持彼此间共享信息所需的信任关系，我们必须共同努力确定风险，并集体降低这种风险，而不是因噎废食，为了避免损失根本不去共享信息。再次，由信息通知做出决策是核心前提，这是我们所有行动的基础，它提醒我们：更好地制定决策是信息共享的目的，这一观念要摆在首位。

《20xx年信息共享与安全保障国家战略》侧重于实现5个方面的目标：

1.通过协作与责任划分推动集体行动。

当我们共同努力，采用合适的管理模型使任务顺利完成，在可能的情况下采用通用流程建立起相互间的信任关系，简化信息共享协议制订过程，并且通过绩效管理、培训与激励机制为最终结果提供支持，我们就可以更好地实现我们的共同目标。

2.通过共同标准改善信息发现与获取的结果。

改善信息的发现与获取包括制订清楚的政策，使信息可供得到批准的个人使用。安全地发现并获取信息依赖于标识、身份验证以及授权控制、数据标记、企业范围内的数据相关性、共同的信息共享标准，还需要有严谨的程序确认并验证其用途。

3.通过共享服务与互操作能力，优化任务效能。

努力优化任务效能，包括共享服务、数据与网络的互操作能力，并提高采办的效率。

4.通过结构改革、政策和技术解决方案强化信息安全保障。

为了增强信息的可信度并保障其安全，我们制定的政策和具体协调机构必须把工作重点放在识别、预防和减轻内部威胁和外部入侵上，同时各部门与机构要努力提高数据层控制能力、自动化监控能力以及交叉分类解决方案。

5.通过连贯一致的举措，保护个人隐私、公民权利与公民自由。

对于保持公众信任来说，提高我们行动的一致性是必不可少的组成部分，依靠我们在整个政府中实施个人隐私、公民权利与公民自由保护，在发展信息共享的过程中建立起相应的保护机制，促进问责机制与遵守规范机制逐渐走向成熟，

在共同执行这一战略的过程中，我们将充分利用集体决议，把信息视为一项国家资产，使它可供所有授权用户发现与检索，并将这些授权用户用信息武装起来，使他们承担保护国家安全的职责。只有我们一起努力，坚持履行自己的职责，协调一致推进我们的目标，我们才能实现国家安全，成功满足我们国家的正当要求，而且这样做是完全值得的。

I.导言

为了防止在美国本土产生恐怖主义行为，我们必须调动所有情报、执法和国土安全能力。我们将继续整合并利用州和主要城市地区融合中心，它们有能力共享机密信息；建立报告可疑性活动的全国性体系；对反恐信息系统采用综合方法，确保我们的分析人员、执法人员和官员能够在整个政府范围内获取相关情报。依靠网络连接，我们正在改善信息共享与协作机制，方便联邦、州和地方政府机构部门能够无缝交换消息与信息，执行信息搜索与协作。

——《国家安全战略》，20xx年5月

我们的国家安全依赖于我们在合适的时间于适当的人群中共享正确无误信息的能力。由于世界正日益变成一个网络化的场所，解决国家安全面临的挑战——国外的和国内的——需要持续合作并负责地实施信息共享。

保障与保护美国公众的当务之急是各参与部门与机构结成合作关系，包括联邦、州、地方、部落与领地。合作与协同必须发生在情报、防务、外交、国土安全、执法部门以及私营机构之间。

1.范围

以《20xx年国家安全战略》为支撑，《20xx年信息共享与安全保障国家战略》（以下简称为战略）为更有效地整合并执行政策、程序、标准和技术，促进安全与负责地国家安全信息共享提供了指导。

《20xx年信息共享与安全保障国家战略》并没有对哪些类型与保密级别的信息必须共享加以限定。相反，它把重点转向信息共享与安全保障政策，这些政策定义了为信息决策提供有效支持的信息需求。这一战略以国家政策路线图的形式勾勒出一种愿景，为在现有法律与政策框架内实施信息共享与安全保障提出了指导意见。这一战略并不会替代《20xx年信息共享国家战略》（the National Strategy for Information Sharing，2007 NSIS），因为《20xx年信息共享国家战略》将继续提供政策框架，并为改善信息共享指明了许多核心举措。这一战略将继续强调对个人权利的适当保护——在此情况下，个人隐私与公民自由权是最为相关的。此外，各部门与机构千万不忽视自己的责任，要根据各自的职责保护所有美国人的公民权。

2．愿景

切实有效、适当地共享并保护信息是一个国家的优先事项，这样得到授权的任何个体（联邦、州、地方、部落、领地、私营部门或外国合作伙伴）才能阻止对美国人民的伤害，保护国家安全。这一战略指明了信息共享未来的发展方向，通过在任何时间向得到授权的任一用户提供正确的信息，信息将为国家安全决策提供支持，而这只能由法律或政策加以约束，技术水平不能成为障碍；在保护措施方面，要包涵全面的负责机制，防止信息被滥用。

3．在成功的基础上开展建设

在20xx年战略确立未来发展目标的同时，《20xx年信息共享国家战略》继续为《20xx年情报改革与恐怖主义预防法》的制度化要求提供政策框架，特别是改善与恐怖主义、国土安全以及大规模武器扩散相关信息共享的整合与负责情况。《20xx年信息共享国家战略》还凸显了搜集并报告本地生成信息的重要性，同时强调了及时、可直接用于行动的信息在政府、公众以及私营机构间的双向流动。到今为止，在这些合作伙伴的共同努力下，这些方面的工作已经取得了显著进步。

?建立归州与地方机构所有并管理的全国性网络融合中心，利用全国性可疑活动报告（Suspicious Activity Reporting，SAR）计划（Nationwide Suspicious Activity Reporting Initiative，NSI）在各级政府间共享反恐信息；并采取一贯的政策保护个人隐私、公民权利与公民自由。融合中心、联邦调查局（the Federal Bureau of Investigation，FBI）联合反恐工作小组、战地与地区情报小组、联邦、州与地方执法机构、高密度贩毒区计划（ High Intensity Drug Trafficking Area programs）、区域信息共享系统中心、情报与犯罪分析单位之间的协作水平已经有了明显提高，并且通过融合联络主任计划等措施，把部落与非执法部门的合作伙伴也包含在内。

?接受国家信息交换模型（the National Information Exchange Model，NIEM），这是一种成功的案例，采用常用方式用于结构化数据交换，使信息能够得到更好地共享。目前，国家信息交换模型被许多联邦机构、州政府、私营部门组织和外国合作伙伴使用。

随之而来的另一种好处是：通过与标准制订组织（standards development organizations，SDOs）合作，国家信息交换模型已经被信息技术产业所接受。

?通过《网络空间可信身份认证国家战略》（National Strategy for Trusted Identities in Cyberspace）下的联邦身份认证与访问管理（Federal Identity Credential and Access Management，FICAM）框架，确立一项计划，在各个系统上统一并采用一致的用户身份识别与验证程序。这代表着向确立个人负责制并方便信息合理获取方向发展的关键一步。

?提供跨机构与部门访问多个数据存储库的通道，与任务职权和法律保护的相关规定保持一致。例如，国家反恐中心（the National Counterterrorism Center，NCTC）的分析人员现在可以访问30多套含有恐怖主义分子信息的网络。

这与9/11之前以机构为中心的数据存储仓库形成了鲜明的对比。

?国家反恐中心开发了一套单一的权威数据库，储存已知或可疑国际恐怖分子的身份信息。国家反恐中心数据库中的有关信息现在可以导入联邦调查局恐怖分子筛选中心数据库当中，这其中也包括国内众所周知或有理由怀疑是恐怖分子人员的身份信息，相对于以往多套、非集成的列表这是一个显著的进步。

?加强通信，方便各部门和机构与其他合作伙伴开展交流。例如，美国联邦调查局和国土安全部（Department of Homeland Security，DHS），得到跨机构威胁评估与协作小组的支援，全年每天都可以与超过一打联邦反恐机构召开3次机密视频电话会议。

这些努力产生的成果非常实用，适当时还可通报给非联邦机构的合作伙伴。

通过这些基础工作，我们已经成功开始梳理政策与流程，克服文化上的障碍，改善信息技术系统的互操作性，使相关信息能够得到共享。

II.作战环境

信息技术的不断进步激励利益相关者确定并实施信息管理的最佳做法。虽然新方法使得信息可以在司法管辖权、功能和组织界限间顺畅流通，不过，信息共享程度得到提高也可能会制造漏洞，使我们受到伤害，影响我们开发、利用信息，并有可能造成未经授权使用信息的现象出现。这些问题经常指向我们在控制、信息管理以及信息来源等方面面临的挑战。

?国家安全面临的威胁仍然形式各异。对美国本土及海外利益发动的恐怖袭击；信息系统面对的内部威胁；核扩散；网络攻击；全球经济压力；以及地区的不稳定性是我们面临的不同威胁的一些例子。未来，威胁只会继续演变，因为敌人会研究如何对付我们的安全措施。这种广泛而动态的一系列挑战表明了我们需要及时而有效地共享信息并加以保护的范围。

?管理办法与政策的不相匹配造成障碍。各部门与机构需要认清他们在信息共享与安全保障过程中的法定职责，克服历史上的孤立做法与政策，从整个政府的角度看待问题，并同意参与体系化的协作。更好地协调管理框架为政策与流程的出台提供一种机制，使各参与机构和部门以一种高效且更具成本效益的方式，在信息共享与安全保障过程中各负其责。

?共享信息的质量控制是一道难题。为国家安全提供支持的信息可能是不完整的、模糊的或不准确的。开发工具和技术帮助利益相关者在获取、访问、保留、复制、使用、管理、共享和保护信息时评估信息的出处，这对于确保质量控制至关重要。

对存在的共享信息实施有效性约束。对于共享的作战、执法或个人身份信息，总会有一些限制。此外，外国合作伙伴、州政府以及私营部门可能会在信息的使用或传播过程中给予一定的限制条件。我们的工作要尊重这种现实，以一种负责的方式共享信息，如为数据打上“标签”，识别并确认用户身份，保护网络正常工作，这是对此类信息给予适当保护的关键。

网络缺乏互操作性会在各部门和机构与任务间造成障碍。政策与技术上的差异会对授权用户在不同的网络上获取重要资源和信息制造障碍。我们正在努力工作，使互操作性能够满足用户的需要，使他们可以在“敏感但非机密”和机密的网络中访问信息，同时对这些信息维持高级别的保护。

提高信息共享程度需要有先进的关联性与分析能力。把大量数据转化为可据此操作的信息或情报仍然是一项持久的难题。不过，我们正在实施多项计划，使信息能够与先进的分析学关联起来，这包括开发新的工具，研究新的技术并开展相关培训工作。

讲究效率是必需的。过去几年，经济衰退，这影响到每一个人，包括家庭、商业机构与政府。在一个极端苛刻的预算环境中，任务目标必须满足创新与灵活性的要求。

不正确地保护信息是一项障碍。我们正确保护共享信息的能力与控制流程、访问控制、

身份管理、企业审核能力以及网络互操作性工作直接相关。这使得我们从在单独的网络与系统中控制质量与访问转向围绕利益相关者对共享信息实施管理。

III.原则

我国公民的思想、价值观、创新力以及灵活性是美国最重要的资源。我们为预有准备、保持警惕且全力投入的机构的发展提供支持，并且强调我们的公民是国家坚忍不拔的源泉。而且我们必须通过与私营部门、非政府组织、基金会和以社区为基础的机构结成战略合作伙伴关系，有效利用政府之外的创造能力。

这样一种合作关系对于美国在本土与海外取得成功都至关重要，而且我们将通过强化参与、协调、提高透明度与信息共享等机遇对这种关系提供支持。

——《国家安全战略》，20xx年5月

为了实现战略愿景，我们的工作要以3项核心原则为基础。

1.把信息视为国家资产

各部门与机构已经有了史无前例的能力去收集、储存信息，并且在符合他们的任务和法定职责的条件下使用这些信息。他们有相应的义务使信息可供任何机构、部门或与国家安全任务相关的合作伙伴使用，并且应以一种合法且能够有效保护个人权利的方式管理这些信息。这需要有一种不断走向成熟的信息安全、访问和保护政策与流程。例如，建立一种企业级的方法，把利益相关者从专注于机构本身的网络和应用程序中解脱出来，提供安全且经过授权的访问信息通道，使信息可在各部门与机构间共享。

在把信息作为一项国家资产管理的同时，要求利益相关者将这些信息提供给有需要的人使用，而且要保证它的安全，不得未经授权或因意外被人利用。虽然信息的原创者要对共享信息的准确性、特征描述和适用性负责，不过，在报告或决策中使用这些信息的用户同样需要对使用它的方式承担责任并负责。总而言之，信息的搜集、分析并经各利益相关者传播必须是可发现和检索的，要符合必要的法律约束，并由政府各部门的政策、标准以及管理框架加以指引。

2.信息的共享与安全保障需要各部门与机构共担风险管理机制。

在信息的共享与安全保障过程中，各部门与机构建立起彼此之间的信任需要有能力实施管理，而不是规避风险。当信息共享采用一种缺乏一致性、片断式的方法，或从单一机构的角度出发实施管理时，国家安全面临的风险就会增加。不过，采用健全的政策与标准、提高认识、开展较为全面的培训、实施有效控制并强化问责制会使这种风险降低。企业层面的绩效管理与合规性监控将为控制、信息决策起辅助作用，并将培养一种文化氛围，强调负责任共享的重要性。

共享与安全保障不是相互排斥的。用于信息共享与安全保障的政策、实践和方法能够在实现适当保密性的同时提升信息的透明度。认识到信息共享的好处，利益相关者采取适当的

措施在信息共享过程中建立起彼此之间的信任关系，保护信息免受损害，从而降低风险并对这种风险加以有效管理。由于任务对提高信息共享要求的紧迫性，因此需要下大力气改善具备互操作能力的安全保障技术。

3.信息通知决策

知情决策需要能够发现、检索并使用准确、相关、及时、有效的信息。同样，我们国家的安全取决于能否使信息更易于被联邦、州、地方、部落、领地、私营部门以及外国合作伙伴依据适当的任务背景以一种令人信任的方式获取。我们的目标是要通过政策、指导方针、交换标准和通用框架的一致应用，增加作战中的有用信息，同时始终尊重隐私与个人权利。

最终，负责的信息共享的价值将由它对于主动决策的贡献来衡量。上述原则和后文所述目标将帮助我们实现这样一种环境：在该环境中，决策由信息驱动，而且反映我们各级（从前线人员到机构负责人）的最佳评估结果。

IV.目标

1.通过协作与问责制推动集体行动。

（1）改善控制方式，促进合作

控制在设置优先事项并推动做出决策方面发挥着关键作用。负责这些责任的机构，同时也负责性能与合规性监控，存在于政府的各个层面。应明确它们的工作要求、协调一致，并且使机构章程具有互补性，为在尽可能低的层次开展合作与执行政策提供支持，此外，仍然允许通过白宫的政策流程把问题向上级部门提交。一种有效的控制架构会对各种任务的复杂性做出说明，确认来源的真实性、弥补差距、最大限度降低冗余并且协调利益相关者之间政策的制订与实施。

（2）增加通用流程的使用

许多机构对于采办、获取、保留、生产、使用、管理、共享并对信息提供安全保障采用通用流程。例如，全国性网络融合中心和地方执法机构使用的可疑活动报告流程（包括利益相关者的行为、隐私保护和在全国各地司法管辖区用于确定并报告可疑活动的使能技术）并为共享可疑活动报告信息充当统一焦点。通用流程，如用于可疑活动报告的通用流程，为各机构提供了可重复、具备互操作性以及互信协议的模板。为满足不断发展的任务需求，具备一定灵活性的标准化技术还促进了信息的及时发现、访问与交换，并更易于将新的合作伙伴纳入现有的信息流当中。通用流程的利用率升高不仅为加强保护隐私、公民权利与公民自由提供了机遇，而且它还使对信息提供保护的措施得以审查实施。

（3）理顺信息共享协议的开发

用于保护国家安全的信息共享依赖于多家政府机构、私营部门和外国合作伙伴所提供信息的有效性，所有这些部门都有不同的任务和不同的信息搜集与传播政策。因此，研究制定机构间信息共享的协议往往是跨部门成功合作的关键步骤。不幸的是，这一步骤经常是旷日

持久的拖沓，因为参与信息共享的部门试图就信息的获取、处理等方面事项确定双方都能接受的需求与约束，并根据不同的任务、需求、约束以及权力机构创建的模板使用信息，以共同的法律和政策合规性要求为基础将理顺这一流程，方便问题的解决并强化与私营部门以及与外国伙伴的合作关系。

（4）通过绩效管理、培训与激励机制鼓励发展。

实现这一战略目标需要一种管理方法，包括在机构与个人层面实施绩效激励。各部门和机构将从整合他们的绩效管理方法中获益，为朝着实现信息共享与安全保障目标发展的整体观念提供支持。利益相关者不仅要在信息共享与安全保障流程（如可发现性、及时性、准确性、合规性与监督）中对进展情况做出衡量，而且要评估他们的整体效益（如共享的信息是如何帮助完成任务的）。绩效管理与衡量标准，当与高效的领导层搭配时，会加快工作进度并激励人员满足较高的期望和专业标准。通过培训和激励对工作人员进行投资也有助于促使重视信息共享与安全保障文化的形成，这种文化氛围会扩展到我们眼前机构之外的组织。

2.通过通用标准，改善信息的发现与获取

（1）为信息的发现与访问制订明确的政策

信息共享的核心意图是要使某些信息能够被有合理需求的人员以一种及时的方式发现并访问。发现和访问是两个不同的概念：前者解决用户识别信息存在的能力，后者与用户检索信息的能力有关。我们的国家安全要求相关信息能够按照现行法律与政策被合适的人员发现。发现和访问需要有明确一贯的政策与标准，以及实现互操作流程与工艺的技术指导。

（2）提高标识、身份验证和授权的控制

信息发现需要有一种标准化的方法，以便进行身份验证，这样参与机构才能验证并确认那些试图登录系统的用户的身份。信息的持有者往往会创建他们各自的认证服务，导致用户需要不同的凭据访问不同的系统或网络。利用让人信服、具备互操作性的身份认证服务将最大限度减少所需凭据的数量，去除不必要的匿名，并通过消除独立的认证服务提高效率。

一旦用户身份得到认证，他们独特的属性将帮助确认是否得到授权以访问信息。信息的创建者和用户共担责任，使用标准化的流程、属性以及“使用规则”为身份认证与授权决策提供支持。另外，用户属性需要实施动态管理，明确告知这些决策的出台，包括用于灵活更新和删除用户访问权限的条款。各部门与机构较大的政策与技术调整将实现互操作能力，在确认相应用户的过程中树立起信心和相互之间的信任，同时还会提供访问任务相关信息的途径。

（3）促进数据层标记

大多数信息授权模型被限制在访问控制领域，在网络或应用程序层加以约束和实施，而不是利用具体信息资源的固有特性在数据层加以约束和实施。随着网络的合并与接受共享服务，访问控制必须利用“标签”应用于数据本身。信息标签是一种方法，标准属性——标记——被附加到一条信息上对它加以描述。根据个人资料，指引用户直接访问特定的信息，人

工发现与访问能力可从信息标记中获益；信息标签也能根据任务的相关性，自动实施访问决策。

通过把用户属性与相应的信息属性加以匹配，特定任务信息自动化传送的情况得到了改善，同时对信息加密并采取保护措施，使之不能发送给错误的收件人，信息标记进一步在如下方面进到辅助作用：满足记录的管理需求，对披露查询做出回应，整合隐私保护，并且对错误的数据披露与更改做出补救。

（4）加强企业范围内的数据关联

能否把不同部门与机构数据库中的关联信息连接到一起，意味着如下所述的不同结果：一种是在威胁的计划阶段就对它加以确定，而另一种是在威胁已经产生后分析应该采取什么样的措施挫败袭击。数据关联和先进的分析方法，外加一体化的共享与安全保障，将使用户能够参考多个机构拥有的最新的权威信息。这种能力能够为分析人员的工作提供支持，使他们能够确定人员、位置、事件之间的关系，以及其他一些方面并不明显的特征。为了发展这种能力，同时考虑日益增加的大量数据，利益相关者需要使他们的信息能够被访问，这样分析人员才能创建一种单一的查询方法搜索大量信息资源。分析人员还需要有自动化的功能，当存在与任务相关的可用信息时，在拥有信息和发出警报之间建立联系，虽然目前的技术需要集中式的信息仓库，它在一些有限的情况下还可能适当保留，不过，分散处理办法使创建者可以根据需要维护并更新信息。这预示着提高信息共享的速度，并使信息的保真度具有更高的水平。成功的数据关联同样需要有一套验证组件在行动之前确定信息的准确性和适用性。

（5）推动采用信息共享标准

满足任务需要，在企业范围内探索并找到授权使用信息的标准。由于采用其他手段需要全面审查并实施新的标准，依靠重新利用现有标准，利益相关者可从以前投入的时间、资源和经验中获益。因此，满足任务需要的能力应更加迅速、切实有效地实施，而不必研究专门的定制解决方案或仅为了一次应用制定独特的标准。参与信息共享且富有远见的部门与机构利用自愿达成的共识，制定标准做法（正如现有联邦政策中描述的那样），其中政府采用标准化组织已经确立的标准，这些标准化组织往往包含了政府、产业界以及国际会员。

依靠这种方法，我们的目标是先采用现有标准满足任务需要，当没有适用标准时，利用标准制订组织解决这种不足。

（6）支持企业范围内的认证与一致性

由于缺乏适用于整个政府、私营部门以及国际机构的标准，决策者与用户面临着挑战，即确定哪些标准最适于满足他们要求，同时还满足与其他伙伴的互操作性要求。因此，有必要利用一个流程对要采用的标准加以验证、确认，并要求技术解决方案的互操作性可用于共享和保护信息。反过来，这将会告知决策者采用哪些最为合适的标准，同时向业界发出信号，可以使用哪些标准开发工具和产品推进互操作性的发展，并为更广泛的任务需要提供支持。

3.通过共享服务与互操作性优化任务效能

（1）共享服务有利于所有合作伙伴

在整个政府范围内，各部门与机构已经开始接受共享的计算模型，有时称为“云计算”（cloud computing）。在该模型中，数据中心被合并，计算机基础设施被当作是一种共享服务加以应用。由共同基础设施上的主机系统和应用程序分配工作量，这降低了对于计算能力的要求并削减了总的成本。通过提供共享计算之外的能力，如共享应用程序和共享信息服务，未来有望引进额外的增强功能。因此，各部门与机构可以接受现有的能力，专注于开发最符合自己任务和专业的服务与技术。特别是：共享功能将使各部门与机构能够更好地把目标服务传送给特定终端用户，而不是试图服务于所有类型的用户，提供所需的全部功能。预计这种方法的优点包括精简成本，提高效能，并且有可能减少独特接口和所需标准的数量。

（2）改善确定的数据、服务和网络互操作性

虽然共享服务模型提供了显著的增强功能，但它并不能保证互操作性或信息共享的情况得到改善。各部门与机构继续设法解决由于使用旧的数据、服务与系统带来的问题，这些过时的技术已经不同程度地与各种机密和非机密的网络连接在一起。信息技术的发展往往没有对互操作性问题给予足够的重视。依靠在信息技术解决方案的设计阶段进行规划并给予优先考虑，各部门与机构能够享受到跨机构实施互操作性所带来的优势，同时满足个别任务的授权需要。提高互操作性并得到共享的服务与信息将提高任务的成功率，最大程度降低复杂度，并减少重复，降低当前的维护要求。

（3）通过采办支持集体需求

对于部署具备互操作功能的技术解决方案和共享服务来说，结合标准的采办方法十分必要。当政府部门和机构或与产业界结成合作伙伴关系，确定并重复使用政府已经处理过的最好解决方案，并且开发基于标准的技术，为多项任务和多家机构提供支持时，我们用于系统集成和信息共享的能力将得到进一步的增强，并且更具灵活性。利益相关者得到鼓励，与产业界共同合作，开发、采购利用信息共享与安全保障标准的工具与技术。联邦采办政策，包括无偿援助政策，将促进部门与机构间的合作，并对他们给予奖励，这会导致重新利用现有服务，并鼓励企业层采办重点的发展。调整采办要求不仅要支持互操作技术的需要，而且要依靠更小的采办规模和降低处理成本，尽可能缩减各部门与机构增加的成本。

4.通过结构改革、政策和技术解决方案强化信息的安全保障

（1）改革结构与政策

最近发生的信息泄露与披露事件凸显了在保护敏感与机密信息方面存在的漏洞。不过，继续实施结构改革并推行标准化政策将加强监督工作，向安全方面的最佳做法看齐。未经授权披露和滥用信息的风险源于内部威胁和外部入侵，结构改革必须解决这两个问题。对信息进行安全保障的能力取决于政策和程序的实施与加强，使网络能够监控、侦测异常行为，确定内部威胁和外部入侵。现有协调机构对于信息安全保障高度关注，同时有责任制定有效的技术政策与标准，协调政府各部门实施；执行独立的合规性评估，并拥有高级官方职责。近乎实时的跨多个网络与领域的反间谍、保密、信息安全保障以及人力资源要素，使合适的机

构能够积极主动地减少并处理安全漏洞。同样，发展协调一致的体系能力，监控网络的健康状况并检测恶意访问企图，需要全面了解应用程序和服务是如何跨网络、跨保密级别应用的。制定的政策与程序还应该解决信息意外泄露的问题。预防、监控和减轻风险的政策，与适当的支持性政策相搭配，可以帮助建立伙伴之间的保证与信任关系，放心地共享信息。

（2）加强数据层控制、自动化监控与跨保密级别解决方案

在我们发展安全保障能力的过程中，技术同样发挥着重要作用。不断进步需要我们采用具备互操作能力的应用程序把工作重点从网络转向数据层控制。无论信息在什么样的环境下流动，安全控制的粒度越细，越能改善对于信息的访问状况，并加强对于信息的保护，防止信息在未经授权的情况下被披露、传播、访问和修改。自动化的持续监控，配合适当的隐私保护措施，将为共担风险的管理模式提供支持，并能够近乎实时地描绘现有风险或新出现的风险。过去，信息安全保障工作的重点主要限定在特定保密级别的系统与网络上。不过，各部门和机构往往一致认为需要跨系统安全地共享信息，无论这些系统处于什么样的保密级别。技术、功能和服务（诸如共享计算），进一步促进了对于跨保密级别实施共享的需求。因此，我们需要制定技术、标准和通用流程为这种重要的新兴需求提供支持。

5.通过一致性与合规性保护隐私、公民权利与公民自由

（1）提高政府各部门保护应用的一致性

保护个人隐私、公民权利和公民自由是维持公众信任不可分割的一部分；这是我们信息共享与安全保障工作的基石。各部门与机构需要采取一致的方法保护他们控制的基本隐私、公民权利与公民自由，并根据现有法律和政策提供适当的任务灵活性。利用管理机构和现有程序，不断完善并建立必要的指导方针，对共享信息提供适当保护，如《信息共享环境隐私保护准则》（Information Sharing Environment Privacy Guidelines）。培养一种全面而有效的方法，在联邦与非联邦合作伙伴信息共享过程中定义并实施个人隐私、公民权利与公民自由保护，维持适用的法律、法律与政策要求。当务之急是既要保证国家安全又要保护个人隐私。

（2）在信息共享行动发展过程中建立保护机制

保护个人隐私、公民权利与公民自由不是法律顾问和主题问题专家的专属领域。控制信息使用和保护的法律与政策可通过政策制定过程实施，并与技术实现相融合。这值得项目经理、系统架构师与开发人员、信息安全保障人员以及项目与系统设计中的其他人员参与、协调。在任何新举措的初期阶段（或者在现有系统与流程的重新设计阶段）解决个人隐私、公民权利与公民自由等问题，使这些信息的保护措施可以在整个企业范围内加以考虑、整合、管理与监控。

（3）促进问责制与遵守法规机制

通过监督、绩效管理确保遵规守法，另外，在问责制中适用采用执法机制与确定采取保护措施同等重要。当前，各部门与机构就其在个人隐私、公民权利与公民自由保护等方面的严谨性实施监督并做出报告，在此过程中，这些机构与部门采用了适当的合规性文档与绩效管理技术。问责制中采用的监控与衡量合规性验证机制在确定和处理漏洞方面对任务伙伴起

辅助作用，同样的作用还体现在验证他们是否主动并系统化地完善对于个人权利的保护方面。在我们向企业方法过渡过程中，必须不断强化保护措施并实施评估，包括监控访问与应用控制、审计和用途信息的分析，开展定期、系统性地合规性审查。

履行保护个人隐私、公民权利与公民自由的相关义务，符合相关规定，必须随着信息共享需求与技术的变化向前发展。展望未来，这种企业范围模型将包括利用政策，评估和强化个人隐私、公民权利与公民自由保护要求。

V.未来发展方向

正如《美国国家安全战略》中所阐述的那样：“各政府部门开展合作，并与各州、地方和部落的伙伴以及与产业界和国外的合作伙伴开展合作，必将为我们的活动提供指导。”

该战略作为一个指南，用于平衡集体努力，促进负责地信息共享与安全保障工作，为国家安全提供支持，提高美国人民的安全水平。总之，我们可以超越传统意上的信息共享协议，深入我们的使命，当得到所有相关信息的支持时，诱导有关机构与部门做出自信的决策，使民众得以更好地了解。不过，这同样需要有一种平衡投入，对信息本身、信息的来源以及搜集方法实施适当的安全保障，同时还需要尊重相关法律与政策的规定。我们的事业要想取得成功取决于集体努力，在信息共享与安全保障之间实现平衡，它建立在以往成功的基础之上，并依赖于不断成熟的信息共享环境。

应该制订综合实施计划，为实现这一目标提供协调和可持续发展的方法，并对这一战略的远景有清醒的认识。这一计划将侧重于实现优先目标，以5年期限对利益相关者的行动进行排序，包括绩效管理与里程碑，并指定牵头部门与机构。这一实施计划将把年度计划与实施指导原则加以整合，与联邦预算周期保持同步，并保持适当的灵活性，可以对活动加以调整，根据年度绩效管理、重点更替和资源分配予以交付。计划在实施过程中将包括为国家安全提供支持的所有部门与机构，这些部门与机构由白宫领导，该实施计划利用管理与预算办公室的战略资源分配流程，在适当条件下，根据任务相关性与现有权限，由各部、局和行政机构管理。

1．优先目标

（1）五大目标

以下是政府当局在实现信息共享与安全保障战略目标过程中总结出来的5大优先事项。

1.理顺信息共享与安全保障的管理，促进更好的决策、绩效、负责制以及战略目标的实施。

2.为信息共享与安全保障协定制订指导原则，解决共同的需求，包括个人隐私、公民权利与公民自由的保护，同时允许在满足任务需求的过程中采取一定的灵活性。

3.采取元数据标准，以便在联邦网络和安全领域中促进数据的联合发现、访问、关联与监控。

4.把联邦身份认证与访问管理路线图扩展到整个安全领域并加以实施。

5.采取可移动的媒介政策、流程与控制；对资产、漏洞和威胁提供及时的审查能力；确立程序、流程与技术，制止、检测并消灭内部威胁；共担风险管理，加强非机密与机密信息的安全保障工作。

（2）其他优先目标

其余目标代表着各部门、机构和利益相关者为推动这一战略目标的实现应实施的另外的一些优先活动。

6.定义并接受基本能力和通用要求，使数据、服务和网络具备互操作性。

7.使用共同、量身定制的课程为合适的利益相关者提供信息共享、安全保障和处理培训，促使他们形成一致、灵活且值得信赖的流程。

8.制定并实施共同的流程与标准，为基于策略自动化发现与访问的决策提供支持。

9.确立信息共享流程，以及各部门与私营部门合作伙伴的具体协议，提高信息的质量和及时性并保卫国家的基础设施。

10.制定参考架构，为在不同的数据集中采用一致的方法实现数据发现与关联提供支持。

11.在合适的利益相关者中执行《联邦信息共享服务战略》所提出的建议与活动，促进其接受共享服务。

12.细化标准认证和一致性流程，在部门与机构、标准化组织和供应商之间实现基于标准的采购，促进产品与服务的互操作性。

13.促进各方遵守现有跨部门流程，与外国合作伙伴协调信息共享计划，接受并实施必要的指导方针，遵守法定机构与总统政策的要求，确保在信息共享与安全保障时保持一致。

14.在各级政府中创建信息请求、警报、提醒与通知的通用流程，使它们能够及时接收并传播信息，并且做出适当反应。

15.完成全国性可疑活动报告计划（NSI）在全国网络融合中心和联邦机构内的实施，同时，扩大培训与宣传范围，除执法部门外还要包括公共安全机构。

16.实现4种关键的作战能力，4种使能能力，以及其他优先目标，在州与地方环境内围绕全国网络融合中心，使之能够有效并合法地发挥作为一个重点的作用，用于接收、分析、搜集并共享与威胁有关的信息。整个政府内的国家安全利益相关者，以我们共同的原则为指导，现在可以采取一致的行动来实现这些优先目标，确定执行计划以实现这一战略目标。随着我们合力执行这一战略，我们将充分利用集体决定，把信息作为一项国家资产，使它能够

被所有授权用户发现和检索，用所有可用信息对那些负责维护我们国家安全的机构进行武装，推动他们做出正确的决策，保护我们的国家和人民。只有我们齐心协力，把握自己的责任，发挥与我们实现目标相一致的作用，我们就能成功实现我国的合理要求，这是完全值得的。 知远/铁木