美国信息安全政策概述
美国社会和经济的快速发展依赖于一个错综复杂的信息网络。克林顿政府在其63号总统令中指出:”我们的经济越来越依靠那些互依赖的、由计算机和网络支持的基础设施,对我们的基础设施和信息系统的非常规攻击有可能使我们的军事和经济力量遭到巨大伤害”。为维护国家安全和经济增长,美国政府陆续颁布了一系列的法律、法规和指南来提高对其关键信息系统的安全保障能力。“911”事件后,美国政府对信息安全更加重视,陆续出台了一些新的举措。
一、重点保护国家关键基础设施鉴于社会和经济的快速发展对信息网络的严重依赖性,美国政府对国家信息系统和关键信息基础设施的安全一直以来都予以了特别的关注。
1998年5月克林顿总统签署第63号总统令-《克林顿政府对关键基础设施保护的政策》(PDD63),提出“最迟不晚于2000年,美国应当实现初步的信息保障能力。”PDD63令要求从总统令发布之日起,五年后美国将已经获得并保持对国家的关键基础设施进行保护的能力,以防止可能会严重危害到下述职能的有预谋的行为:联邦政府履行其重要的国家安全责任并确保公众健康和安全;州和地方政府维持有序运转,提供最起码的重要公共服务;私营部门确保经济有序运行以及重要电信、能源、金融和运输服务的正常提供。这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上。
2001 年10 月,布什总统签署第13231号行政令-《信息时代的关键基础设施保护》,授权成立一项旨在通过不断努力来保护关键基础设施中的信息系统的保护项目,包括对应急战备通信设施及其相关的物理设施进行保护。2003年2月发布的《保护网络空间的国家战略》(以下简称战略)则进一步指出:“美国的政策是通过保护关键基础设施,防止信息系统的运行遭到破坏,从而保护美国的人民、美国的经济及国家的安全”。其中,国家的基础设施包括农业、食品、供水、公共健康、应急服务、政府、国防工业基地、信息与通信、能源、运输、银行与金融、化学品和危险物品、邮政和船运部门的公共和私营部门。
二、信息安全与信息保密信息安全不等同于信息保密,信息保密仅仅是信息安全的一个方面。在2002年3月通过的《联邦信息安全管理法案》(FISMA)中,信息安全被定义为”保 护信息和信息系统以避免未授权的访问、使用、泄漏、破坏、修改或者销毁,以确保信息的 完整性、保密性和可用性”。其中完整性是指防止不恰当的信息修改和破坏,也包括确保信 息的不可否认性和可认证性;保密性是指对信息访问和公开的授权限制,包括对个人隐私和 私有信息的保护;可用性是指对信息的及时和可靠的访问。
三、分工负责,各司其职信息安全的工作涉及方方面面,不可能只依靠一个机构来执行法律和政策,但也不应该分工不明确,以致于“政出多门”,造成“政策撞车”,反而形成“谁都抓,谁都无法落实”的局面。因此在实施基础设施保护时,美国政府特别注意明确规定各机构的职责范围,在各个层次上都力求做到分工负责,各司其职。
(一) 国家层面
PDD63令中规定:”总统指派一个由大型基础设施提供商和州及地方官员组成的小组组成总统基础设施保障委员会”。总统基础设施保障委员会将定期集会,以加强关键基础设施保护中公共和私营部门间的合作关系,并在必要的时候向总统提交报告。第13231号行政令则将部委间的协调机构“总统关键基础设施保护委员会”改为行政实体“总统关键基础设施保护办公室”,作为联邦基础设施安全保护的最高管理协调机构。
(二)部委层面
针对每一个有可能成为信息或物理攻击目标的基础设施部门,第PDD63号行政令为其指定了一个唯一的联邦部局作为联络时的领导机构。对于某些关键基础设施保护职能必须主要由联邦政府执行,如国防、外事、情报、执法。其中的每一项特殊职能,都应有一个领导机构负责协调美国政府在该领域内的活动。针对”9.11”以后的安全形势,美国专门成立了国土安全部,并对部门间的职责作出了调整。《战略》中指出:国土安全部负责信息与通信、运输(航空、公共运输、水运、天然气管道、高速公路)、邮政和海运、应急服务以及政府持续性;财政部负责银行与金融;健康与公共服务部负责公共健康(包括预防、监视、化验室和个人健康服务)、食品(不包括肉类和禽类食品);能源部供水化学工业和危险物品管理;农业部负责农业和食品(肉类和禽类食品);国防部负责国防工业基地。另外,科技政策办公室(OSTP)负责协调关键基础设施保护方面的科研工作;管理和预算办公室(OMB)负责监督联邦政府的计算机安全项目中的政策、原则、标准和方针在整个政府部门的实施情况;美国国务院负责协调网络安全方面的国际协作事务。中央情报局负责评估其他国家对美国的网络和信息系统的威胁。司法部和联邦调查局负责对网络犯罪的调查和起诉工作。
(三)机构层面
各个联邦机构自己负责机构内的信息系统的安全保障工作。FISMA规定,联邦机构的首脑根据风险情况和对信息(由机构收集或者维护)和信息系统(机构使用或者运行)的损害程度提供安全保护。
四、信息安全保护职责
(一)信息安全保护机构主管应确保对信息(由机构收集或者维护)和信息系统(机构使用或者运行)提供安全保护;遵守相关法律、政策、程序、标准和指南的要求;将安全管理融入到机构战略和运营规划中;定期向机构主管、众议院的政府改革和科学委员会、参议院的政府事务与商业、科学和运输委员会、国会授权的对口委员会以及审计总署提交报告,汇报机构信息安全策略以及实践的有效性。
(二) 年度独立评估每个机构每年必须对其信息安全程序和实践进行独立评估以确认其有效性(FISMA)。独立评估包括:
1. 对安全策略、过程和典型子系统的安全实践的有效性测试;
2. 基于相关法律、政策、程序、标准和指南的评估;
3. 独立陈述(涉及国家安全时)在独立评估的基础上,联邦管理与预算局应国会上报评估汇总结果,而联邦审计总署应周期性评估并向国会汇报各机构信息安全策略和实践的适度与有效性以及相关要求的执行情况。
我国目前正在全面推进国民经济和社会信息化,加速开展电子政务、电子商务和企业信息化建设,整个社会对信息网络的依赖与日俱增。信息网络在极大地促进我国经济、文化、科技发展和社会进步的同时,也给国家安全和社会稳定带来了严峻挑战。我们应充分借鉴国外的先进经验,探索并制定符合中国国情的信息安全战略、方针和政策,进一步提高信息安全的保障能力和防护水平,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
五、参考文献:
(一) Federal Information Security Management Act,USA,2002联邦信息安全管理法案,美国,2002 (二) Critical Infrastructure Protection in the Information Age,Executive Order 13231,USA, 2001。信息时代的关键基础设施保护,第13231号行政令,美国,2001 (三) Security of Federal Automated Information Resources,Appendix III to OMB Circular No.A-130,office of Management and Budget,2000。联邦自动信息资源的安全, 联邦管理与预算局A-130通告附录三, 美国,2000 (四) The Clinton Administration’s Policy on Critical Infrastructure Protection,Presidential Decision Directive 63,1998。克林顿政府对关键基础设施保护的政策,第63号总统令,1998 (五) The National Strategy to Secure Cyberspace,USA,2003。保护网络空间安全的国家战略,美国,2003 (六) Http://www.dhs.gov
