1985年12月，美國總統直屬的行政管理與預算辦公室（OMB）負責制訂了一項重要的政策《聯邦政府信息資源管理OMB A-130號通告》，并在1993年7月2日作了修改。該通告全面闡述了聯邦政府的信息資源管理政策。該通告適用于所有聯邦政府部門的所有機構，因此這是美國聯邦政府信息資源管理和信息安全的政策大綱。 1987年美國國會通過了《計算機安全法案》。要求所有聯邦機構確認含有敏感信息的計算機系統，并提供開發計劃確保這些系統的安全。這個法案說明美國政府對計算機脆弱性引起的威脅已經開始重視。 1998年5月國家安全局制定了《信息保障技術框架》。2000年1月，白宮發表了《保衛美國的計算機空間--保護信息的國家計劃V1.0》。2001年10月，布什簽署了第13231號總統令，確立了一個包括連續的確保信息安全的工作在內的保護項目，這個項目還包括支持信息系統安全的資源準備、溝通等。《聯邦信息安全管理法（FISMA）》（The Federal Information Security Management Act (FISMA) ）和13231號總統令（Executive Order 13231）以及其它相關的指導文件和授權文件為國家的網絡空間案件提供了基本框架。 2002年，美國通過的《聯邦信息安全管理法案》規定必須對聯邦政府信息系統進行安全評估并備案，為美國政府機構信息系統改善信息安全問題設定了目標。《聯邦信息安全管理法案》為美國聯邦政府信息安全設定了目標，卻沒有規定如何實現這些目標。為此，美國國家技術與標準局（NIST）負責為實現這些目標制定最低安全要求，因此，NIST專門啟動了信息系統安全計劃。

國家信息安全戰略的目標是：1，防止針對關鍵設施的網絡攻擊；2，減少可能遭受攻擊的安全漏洞；3，減少損失，縮短對網絡攻擊的反應時間。

指導原則由6部分組成：1，全民動員。保護網絡安全是一項繁雜的事務，單靠政府是難以完成的，需要整個社會的努力。2，保護隱私和公民自由。網絡空間的保護與公民因和自由并不矛盾，保護措施應當是加強而不是削弱對公民的保護。公民自愿交流的、非公開的信息應當得到有效的保護。3，政府管制和市場力量的共同作用。政府規制不是保護網絡安全的唯一手段，市場的力量也應得到發揮。4，責任。在2002年11月，總統簽署了《2002年國家安全法案》（Homeland Security Act of 2002），成立了國家安全部（the Department of Homeland Security (簡稱DHS)）。DHS要為許多安全政策負責。5，保持靈活性。網絡空間變化多樣，相應地，應對措施也要有相當的靈活性。6，跨年度計劃。信息化的發展是一個連續的過程，《聯邦信息安全管理法（FISMA）》要求各部門要制定跨年度的計劃來實現連續的網絡安全保護。
國家網絡空間安全管理的五項要點：

（1）國家網絡空間安全回應系統。這是一個公共――私人合作機制，包括政府機構，也包括諸如私人部門信息分享與分析中心這樣的非政府機構（ISACs）。由國土安全部來統一協調。進行分析和預警；管理局有國家意義的危機事件；促進政府和私人部門的設施安全；促進信息共享。

建立政府和私人共同參與的體系來應對國家級別的網絡事故；

         積極發展對網絡攻擊的戰略戰術分析和安全漏洞評估；

         鼓勵私人部門之間互相交流網絡安全的認識；

         發展網絡攻擊預警信息網以支持國土安全部協調各部門的風險管理活動；

         改善國家對事故的應對能力；

         促使政府和私人共同參與的連續性，并制定應急預案；

         政府網絡系統必須制定連續而又完整的網絡安全計劃；

         提高并加強政府和私人之間的網絡安全信息共享。

         提供信息共享。在聯邦政府內部、聯邦政府和州政府及地方政府之間、政府和私人部門之間建立有效的信息共享的機制，以此來提高政府與私人部門的風險意識和有效實施技術。

（2）減少國家網絡的風險和弱點的系統。主要關注三個方面的工作：第一，通過有效的確認和懲罰措施來減少威脅和阻止蓄意的破壞；第二，確認和糾正現存的可能會對關鍵系統造成嚴重損害弱點；第三，建立弱點更少的新系統，評估相應的風險應對技術。

         執法過程中強化對網絡攻擊進行預防和追究的能力；

         開展網絡安全漏洞的評估活動，以提高對網絡風險的認識；

         完善網絡通訊協議和網絡路由能力；

         鼓勵使用可靠的數碼監控系統和數據采集系統；

         盡量減少并修正軟件的安全漏洞；

         加深對基礎設施相對獨立性的理解，提高電信設施和網絡設備的物理安全系數；

         優先發展政府網絡安全研發；

         為網絡安全技術的研究和發展進行投資；

         評估并保護新開發的網絡系統。

（3）國家安全意識及其培訓系統。這個系統的主要組成部分如下：第一，制定廣泛的全民安全意識項目來促使全美國人都注意保護各自的網絡空間安全；第二，提供足夠的培訓和教育項目以支持國家信息空間安全的需要；第三，提高現有的聯邦信息安全培訓項目的效率；第四，促進私人部門支持協調的、具有廣泛認可度的網絡安全專業認證系統。

         發動全體國民參與網絡安全教育，促使他們積極捍衛自身的網絡安全；

         提供足夠的教育培訓項目以滿足國家網絡安全的需要；

         提高現有的培訓項目的效率；

         提高私人部門對專業網絡安全認證的支持。

（4）捍衛政府網絡空間。在聯邦政府里面，由管理與預算辦公室（OMB）主任負責確保各部門和機構的首長實施他們保護IT安全的法定責任。

         不斷評估政府網絡系統的風險和安全漏洞；

         給政府網絡的用戶授權并支持其使用；

         確保本地政府無線網絡的安全；

         提高政府采購活動的安全系數；

         鼓勵中央和地方政府考慮建立信息安全項目并參與信息共享分析中心；

         促進網絡安全技術和程序的應用。可以利用稅收優惠來促使各部門購買安全技術，也可以利用規制強制其購買，總之是要保證其擁有最低標準的網絡安全技術。

（5）國家安全和國際網絡安全合作。美國的網絡空間是與其它國家的網絡連接在一起的，因此必須于其它國家進行合作。合作的內容包括提供共同的安全意識；促進建立強有力的安全標準；積極監測和大力懲罰網絡犯罪等。

         強化與網絡有關的反間諜活動；

         提高對網絡攻擊的追查和回應能力；

         提高各部門行動的協調性，共同回應網絡攻擊；

         通過國家組織加強國家間政府及私人部門的對話和合作，以保護信息設施，提高全球的安全文化；

         在國家內部和國際上都要建立監視和預警網絡，以便及時探測并阻止網絡攻擊；

         鼓勵其他國家加入歐盟簽署的《打擊電腦犯罪國際公約》，或者促使他們的法律和程序比較完善。

（摘自“十一五”信息化專項規劃重大課題研究之“信息化風險及風險管理研究”）

作者：張成福   唐  鈞  陳淑偉  朱海燕  易小國  謝一帆  王建亮  孔祥振 等