论美国的网络空间建设
——以国土安全部的视角
“9·11”事件后的第二年，美国颁布“国土安全法”
，成立政府机构
——国土安全部，负责国家全域的安全建设。法令规定了国土安全部的 5
项基本职能：反恐怖；国土边界管理；执行移民法；保卫网络空间安全；
抵御灾害和灾后重建。本研究聚焦国土安全部“保卫网络空间安全”职
能。
一、基本情况
（一）相关职能机构
国土安全部下属的网络和基础设施安全局（CISA）专司主责美国的网
络空间安全，包括联邦政府网络安全、打击网络犯罪以及关键基础设施
保护。该局于 2018 年 11 月 16 日由 NPPD（国家保护和计划局）改建而
成。组织结构见图一。
国土安全部的网络空间安全职能包括 3 个主要部分，即网络安全、
基础设施安全和应急通信管理，分别由网络安全处、基础设施安全处和
应急通信处承担，体现了网络空间安全（cyber security）管理和基础设施
安全（infrastructure security）管理一体，原因在于美国的能源、关键制
造业、交运系统、供水服务、政府设施、公共医疗系统、通信系统等 16
个基础设施领域高度网络化，任何网络域的安全事件将影响到物理设施
的正常运转，引发公共安全问题。
网络安全处由国家网络安全和通信整合中心（NCCIC）和网络安全部
署处（NSD）构成。其中，NCCIC 发挥着重要的节点、协调中心的作用。
（二）职能任务
1.保护联邦政府网络
随着针对政府部门的网络攻击事件不断攀升，保护联邦政府网络安
全成为了国土安全部的首要职责。网络和基础设施安全局通过实施国家
网络安全综合计划（CNCI），依托国家网络安全和通信整合中心、网络安
全部署处来实现其职责使命。
（1）国家网络安全综合计划
该计划由总统签发，针对保护联邦网络系统提出了 5 项主要措施：
使用可信连接技术将联邦政府的网络作为一个整体进行防御；在联邦网
络系统内部署使用 Einstein（爱因斯坦）系统；研发前沿的颠覆式网络安
全技术；整合联邦政府已有的 6 个网络中心1，以提供网络威胁综合态势
感知；延伸管理关键基础设施和核心资源。该计划于 2010 年前提出，目
前在实施中。
（2）国家网络安全和通信整合中心
该中心由专职人员构成，利用 Einstein 系统（包括 Einstein1、2、3、
3A 等版本）对联邦政府网络进行流量监控，发布威胁信息，形成防御边
界。例如当发现恶意邮件或未经数字签名的流量进入某一联邦机构时，
Einstein 系统形成威胁告警信息，并传送给网络内其它政府部门和美国计
算机紧急预备队（US-CERT）
，根据威胁造成的影响进行恢复或系统重建。
1
国防网络犯罪中心 Defense Cyber Crime Center(DC3); 情报界安全协调中心 Intelligence Community Security
Coordination Center(IC-SCC); 国家网络安全和通信整合中心 National Cybersecurity and Communications Integration
Center(NCCIC); 国家网络调查联合特遣部队 National Cyber Investigative Joint Task Force (NCIJTF); 国家安全局/中央安
全局网络威胁处理中心 National Security Agency/Central Security Service Cyber Threat Operations Center (NCTOC); 美
国网络司令部联合行动中心 United States Cyber Command Joint Operations Center
必要时，将网络威胁信息共享给运营关键基础设施的私营企业以及时采
取措施，并调动工业控制系统网络应急响应队（ICS-CERT）向私营企业提
供技术支持。如果是恶意网络攻击事件，可能涉及犯罪行为，国土安全
部将协调司法部联邦调查局等执法机构开展调查取证及相关司法工作。
（3）网络安全部署处
网络安全部署处以“纵深防御”
（Defense-in-Depth）理念为指导，部
署和实施国家网络保护系统（NCPS）
、持续性评估和减弱计划（CDM）
、
增强型网络安全服务（ECS）
。其中，国家网络保护系统是以 Einstein 系统
为主的复杂系统，增强型网络安全服务主要是利用成熟的商业现货来保
护联邦政府网络，如 AT&T、CenturyLink、Verizon 公司的网络安全技术。
2.保护关键基础设施
关键基础设施既是支持网络系统正常运行的物理基础，也是支撑国
家三大产业正常运转的核心。由于美国的关键基础设施领域大都由私营
企业掌管和维护，因此加强关键基础设施保护必然涉及到政府与私企之
间的协调配合。为此，网络和基础设施安全局专门设立了国家基础设施
协调中心（NICC），并面向全社会提出了关键基础设施网络界自愿计划
（C3VP）
。通过前者为联邦政府和基础设施的所有者、运营者间进行信息
共享开辟了渠道，如进行基础设施威胁态势感知信息的共享、基础设施
安全评估信息的共享，以及为企业提供决策支持；通过后者为企业提供
由国家标准和技术研究所（NIST）开发的网络安全框架（Cybersecurity
Framework v1.1）服务，涵盖从识别到保护、检测、响应、恢复的完整流
程。
3.打击网络犯罪
打击网络犯罪不单独是国土安全部网络和基础设施安全局的职责，
而是国土安全部下的美国移民和海关执法局国土安全调查处网络犯罪中
心的主要职责。网络犯罪中心（Cyber Crimes Center）包括网络犯罪股、
贩卖儿童调查股、计算机取证股。
4.网络事件响应
以国家网络事件响应计划（NCIRP）为核心，推动政府、企业和民众
的网络安全管理。它将网络事件响应分为三种，即设施响应、威胁响应、
情报响应，分别由国家网络安全和通信整合中心、司法部联邦调查局（FBI）
和国土安全部特勤局（U.S. Secret Service）
、国家情报局局长办公室（ODNI）
来履行相应职能。其中，设施响应侧重于对受到攻击破坏的网络设施进
行恢复或重建，威胁响应主要针对发起网络攻击，尤其是网络犯罪行为
的主体进行调查，情报响应主要由情报部门为相应的政府机构在开展网
络犯罪调查和事件响应的过程中提供情报支持。
二、基本特点
（一）重视信息共享和协调机制的建设
共享和协调机制包括联邦政府内各机构间和政府与企业间两个层面。
联邦政府内部通过部署国家网络保护系统，将某一机构遭受的网络攻击
信息自动分发给其它机构，能有效避免网络攻击造成的不良影响在政府
网络内扩散。联邦政府常态化设有政府协调委员会（GCC）
，以及在“网
络风暴”
（Cyber Storm）演习中设立的机构间协调组织：NCRCG（国家网
络响应协调组）和 IIMG（机构间事件管理组）
，均起到一个衔接、协调以
及网络安全信息共享的作用。在业界，为了共同面对网络事件，保护企
业利益，成立了 SCC（行业协调委员会）和 ISAC（信息共享和分析中心）
，
及时共享网络威胁信息。这里的 SCC 和 ISAC 并非特指，而是通称，具体
来讲每一类产业都有自己的 SCC 和 ISAC，
比如化工业有从事化学品生产、
存储、分配、使用的民间协会和企业的代表所组成的化工业 SCC 和 ISAC，
这些代表来自美国化学理事会、美国石油协会、压缩气体协会、肥料研
究所等 10 多个组织，
它们通过本行业的 SCC 和 ISAC 共享网络安全信息。
在政府和企业间，通过 NCCIC 发挥政企信息共享“节点”的作用，通过
SSA（行业特定机构）为 16 个关键基础设施行业指定专门的政府机构结
成“对子”
（对应关系见图二）
，共同抵御各类安全风险，包括网络威胁、
自然灾害、人为破坏和恐怖袭击等。
（二）抓网络安全与抓基础设施安全一体
从机构设置上来讲，CISA 在国土安全部内既负责网络安全，也负责
基础设施安全。原因在于美国社会的高度网络化，传统三大产业的物理
设施不是单纯的物理设施，而是高度“网络化”的物理设施。一次网络
攻击可能针对的是网络系统，但造成的影响很有可能映射到物理设施域
或社会域。如对工业控制系统网的攻击，会带来相应的系统失灵或故障，
影响生产力。如黑客入侵美国 HIPAA 数据库（一种公众医疗信息数据库）
修改个人的医疗档案数据，不仅对信息安全构成威胁，还引发社会问题。
应对这样的问题，在国家网络安全和通信整合中心（NCCIC）下辖三支队
伍：美国计算机紧急预备队（US-CERT）、工业控制系统网络应急响应队
（ICS-CERT）和国家通信协调中心（NCC）
，其中 US-CERT 侧重网络基础设
施保护，ICS-CERT 侧重工业控制领域基础设施保护，而 NCC 负责管理通
信行业的 ISAC（信息共享和分析中心）
，三者在 NCCIC 的框架内提供政府
和企业间网络威胁信息共享，再加上 NCCIC 与 NICC（国家基础设施协调
中心）之间的信息共享，从整体上形成对网络与基础设施齐抓共管的局
面。
（三）发布国家层面的计划（倡议）推动全民共同参与网络安全建
设
由于网络空间“无疆界”
，抓好网络空间安全是全社会的共同责任。
美国的基础设施主要由私营企业掌握，且各州独立行使主权，因此联邦
政府通过提出各类倡议、活动、计划来调动社会各界，含私营企业、各
级政府（联邦、州、部落、地区）和学术界共同参与网络安全的积极性，
营造全民共享网络安全的氛围，如 NCIRP（国家网络事件响应计划）
、C3VP
（关键基础设施网络界自愿计划）等。
通过推出 Stop.Think.Connect 活动，
为不同层次的受众提供不同的学习资源，如对幼儿园和小学生提供网上
冲浪的答题游戏，在游戏中普及知识，等等，以此提升公众的网络安全
意识和普及安全上网常识。通过 CSVI（网络学生志愿者计划）给大学生
提供在国土安全部约 10 周的工作机会，在网络安全专业人员的指导下积
累网络安全的实践经验，也为国土安全部扩展了未来网络人才渠道。
参考文献：
[1] Department of Homeland Security. Cybersecurity Strategy [EB/OL].
[2018-05-15].
https://www.dhs.gov/sites/default/files/publications/DHS-Cybersecurity-Strate
gy_1.pdf.
[2] Department of Homeland Security. Combating Cyber Crime [EB/OL].
[2018-12-21]. https://www.dhs.gov/cisa/combating-cyber-crime
[3] Department of Homeland Security. Securing Federal Networks [EB/OL].
[2018-12-21]. https://www.dhs.gov/cisa/securing-federal-networks
[4] Department of Homeland Security. Protecting Critical Infrastructure
[EB/OL].
[2018-12-21].
https://www.dhs.gov/cisa/protecting-critical-infrastructure
[5] Department of Homeland Security. Cyber Incident Response [EB/OL].
[2018-12-21]. https://www.dhs.gov/cisa/cyber-incident-response
[6] Department of Homeland Security. U.S. Department of Homeland
Security Organizational Chart [EB/OL]. [2018-12-21]
[7] Executive Office of the President of the United States. The
Comprehensive National Cybersecurity Initiative [EB/OL]. [2018-12-21]
[8] Chemical Sector Coordination Council. Chemical Sector Coordination
Council Charter [EB/OL]. [2015-01-13]
[9] Homeland Security. Introduction to the Chemical Sector-Specific Agency
[EB/OL]. [2017-03]
[10] Homeland Security. National Response Framework [EB/OL]. [2008-01]
[11] Homeland Security. Recommended Practice: Improving Industrial
Control System Cybersecurity with Defense-in-Depth Strategies [EB/OL].
[2016-09]
[12] Homeland Security. DHS role in cyber incident response [EB/OL]
[13] Homeland Security. National cyber incident response plan [EB/OL].
[2016-12]
[14] NIST. Fact sheet: Cybersecurity Framework Version 1.1 [EB/OL].
[2018-03-10]
[15] Department of Homeland Security. Enhance Shared Situational
Awareness [EB/OL]. [2019-01-13]. https://www.us-cert.gov/essa.
图一
图二
图三 国土安全部网络空间安全职能