美国信息安全政策法规研究
浅析美国政府信息安全法规及其对我国的启示
是如何管理、 控制和保障信息安全的, 对我国研究构建政府信息安全法律体 系有着重要意义。
关键词 政府 信 息安全 法律 中图分 类号 : 9 1 D 72
文献标 识0-6・1 10 -5220 )530O
此外 , 还有《 计算机欺诈与滥用法》CF )《 ( AA 、经济间谍法案》E A 、 (E ) 《 数字千年版权法案》DMC )等法律对政府信息安全保护也有明确 ( A
的相 关 规 定 。 二 、 障 政 府信 息安 全 的 行政 法 规 保
一
、
保障政府信息安全的联邦法律
( )信 息 自由法》F A,9 6 一 Ⅸ (OI I6 ) 为 了 适 应计 算 机 及 网 络技 术 的发 展 和广 泛 应 用 , 该法 于 1 9 9 6年 被 修 订 , 电 予信 息 纳 入 该 法 , 公 民能 够 方便 地 获 取和 使 用 政 府信 把 使
L g ly tm dS  ̄e e a se An o W S
旦OO9.5 ( )
{占 I 缸会 ; J
浅析美国政府信息安全法规及其对我国的启示
张坤 鹏
摘 要
赵 延 杰
在应 用法律 保 障政府信 息安 全管理 上, 美国是 当前 出 台相 关法律 最健全 的 国家, 本文指 出从 法律 的角度 了解 美国 法规
联邦政府通过总统的行政令对政府部门信息制订了保密分类标 分类主要涉及国家安全与国防 、 情报收集和外交。确立三级分类 的信息进 行列举 。规定除了以下 9种不必公开的信息外都应按法 定 准, 条 什 向 公众 公开 : 家 安全 问题 , 根据 行 政 命 令 的标 准 被 设 定 为保 保密制度: 国 即 机密级、 秘密级、 绝密级 。但其合理性和合法性 , 最终受司 9 6年制定的 《 国家信息基础设施保护法案》 加强 , 密的材料; 内务材料: 法律规定豁免的材料; 商业秘密; 律师工作文件 , 法审查的控制。19 当事人特权性材料; 个人隐私 文件; 符合法定条件的执法档案; 金融 了对侵害国家信息基础设施的行为的认定和处罚 。 9 8 19 年克林顿签 关于保护国家信息基础设施的第 6 号总统令》 要求确保 3 , 机构材料 :地质数据。上述规定实质上是规定了何种信息应受法律 署颁布 了《 保 护而不应被公开。信 息 自由法》 《 足其它信息安全保护法律 的基础。 关键基础设施的安全。该总统令就美国信息安全的概念 、 意义、 长期 与短期 目标 等作 了明确的说明, 针对 下一步的行动作了指示, 并提出 ( )阳光 政 府 法 》GS I7 ) 二 《 ( A,9 6 该法影响着 约 5 O个联邦部门、 委员会和机构 , 要求公开其所有 了一个保护国家关键信息基础设施的方案 作为美 国 2 l世纪总体 会 议 的情 况 和 记 录 档案 , 有 1 但 0种 例外 9种 与 《 息 自 由法》 定 信息安全战略和指南的 《 信 规 信息系统保护国家计划》 0 0年出台, 20 涉及 的一样,增加的是政府正在参与仲裁或者正处于裁定或处理一起 案 到脆弱性评估、 信息共享 、 事件反应 、 人才培养 以及隐私保护、 法律改 件 的过程 中的信 息与档案 。除了联邦法律之外 ,美国各州都制订了 革等方面的内容,为每一项信息安全内容制定了详细 的时间表和计 划。 公开会议法或公开档案法等, 规范信息的公开与保密问题 。 ( )总统 档 案 法》P ,9 8 三《 (RA 17 ) 9・1 事件后。 1 布什政府把信息安全立法 问题提到新的高度, 并 该 法 规 定 白宫 幕 僚 向 总统 提 供 的文 件 要 该 届 政府 结束 l 之 做了大量 的工作。包括 : 2年 督促 国会通过联邦法案; 发布行政命令和 国 后 才 能 公 开 。9 ・ 1 件 后 , 国政 府 对政 府 信 息 的 公开 更 加 谨慎 , 家信 息安全政策; l事 美 调整 国家信息安全工作机构, 设立直接向总统 负责 以防 被 恐怖 分 子 利 用 。 从 《 统档 案 法 》 执 行看 , 国行 政机 构 对 的总统国家安全顾 问, 总 的 美 成立本土安全部, 同时建立相应的其他配套机 构 ,以保 证 国 家信 息 安 全 工作 的协 调 、统一 与高 效 20 年 通 过 的 03 档 案 的控 制 权 是 非 常 大而 灵 活 的 ( 《 算机 安全 法 案 ̄CS ,9 7 四)计 ( A 18 ) 《 网络空间安全战略》 保护关键基础设施和关键资产国家战略》 和《 均 该法 被 l9 9 6年 《 息 技术 管 理 改 革法 案 》 2 0 信 和 0 2年 《 电子 政 务 把保护国家基础信息设施 安全列为第一优先 ,反映了美 国对国家基 法》 订 。 者 要 求行 政 机 构 设 置信 息 主 管( l 并为 他 们 设 定职 责 : 础信息设施保护的重视程度 。在《 修 前 c o) 网络空间安全国家战略》 中明确提 后者要求政府颁布计算机安全标准 、 培训相关信息安全工作职员、 为 出了政府 与私人双向信息共享机制。 计算机系统安全和 隐私信息制订安全计划。经过修订的 《 计算机安 三、 美国政府信息安全法规对我国政府信息安全法规建设的启示 全法》 是美国政府信息安全领域的重要法律, 其主要 内容包括规定了 我国的法律法规中有涉及信息安全 的规定,但整体立法层次不 国家标准与技术局是为联邦政府计算机系统制定信息安全政策和标 高.存在很多问题 。现行的有关信息安全的法律法规大 多是国务院 准 的授权单位, 要求凡是存有敏感信息的政府计算机系统 , 必须制定 及其部委制定的行政法规 , 没有专门针对政府信息安全管理的法律。 安全计划等等。 对 政 府信 息 安 全 管 理 的相 关 规 定 分 散于 各 个 法 律 、 规 条 文 中 , 法 针对 ( 《 五) 爱国者法 P ,0 1 (A2 0 ) 性 不 强, 能 上 不 能相 互 支 持 和补 充 , 且 主 要 是行 政 许 可 和 行政 处 功 而 这是 9・1 事件后美国为保障 国家安全颁布 的最为重要的一部 罚 , 有 局 限性 . 时还 出现 重 复规 定 和 自相 矛 盾 现 象 , 信 息 法规 的 1 具 有 给 法律 。它 从 法 律 上 授 予美 国 国 内执 法 机构 和 国 际情 报 机 构 广泛 的 权 执行 实施造成了障碍 , 损害了其威信和威力。 力以防止、 侦破和打击恐怖主义活动, 使美国公众生活在安全环境 中。 针对 目前我国政府信 息安全立法的现状,建立健全我国政府信 息安全法律保障体系,应吸取和借鉴国外先进 的信息安全立法经验, 该法还对美国现有的十几部法律作了修订 ( )联 邦信 息安 全 管 理 法案 FS 、0 2 六 《 (IMA2 0 ) 加快立法步伐及其修改和完善。首先应确立科学的政府信息安全法 该法对信息安全作 了定义, 并对 国家安全 系统的概念进行界定。 律 保 护 理念 , 成 适 合信 息 网络 安 全 需要 的法 治 文 化 。其 次 , 据 我 形 根 该法还授权各管理 部门行使国家信息安全管理职责, 比如: 授权管理 国信息安全相关法律规范分散的特 点,制定针对 政府信息安全的法 与预算办公室( OMB 主任对 安全政策、 ) 原则、 标准、 指南等 的制定、 执 律, 通过有针对性、 系统 性、 科学性、 可操作性的法律规定, 保护政府信 现代信息技术发展迅速, 政府信息安全立法应从有利 行情况进行监督, 授权国家标准与技术局( /T为联邦政府使用的系 NS ) 息安全。另外 , 统制定安全标准与指南。 该法是美 国政府在 9・1 1事件后为加强国 于信息技术发展, 有利于 电子政务发展的角度出发, 及时修改现有法 家 安 全颁 布 的另 一 部 非 常重 要 的法 律 律中与信息社会发展 不相适应的部分, 健全政府信息 公开 、 信息资源 ( ) 电子 政 务 法案  ̄E 七 Ⅸ (GA, 0 ) 2 2 0 开发的组织机构及 其职责和政府信 息资源管理等方面的法律法规。 该法对联邦政府信息管理和规划的各个方面,从危机管理到 电 参考文献 ; 子 档 案及 查 询 索 引 都 做 了规 定 。在 具 体 内容 中特别 强调 了 电 子政 务 【l ̄ e oisn U Ifr t n e ui a P r4 1 v nR bno , S noma o c ry w・ a . S i S tL t 中 的信 息 安 全 问题 , 新授 权 政 府 信息 安 全 改 革法 , 重 为保 护 政府 计 算 [ ht= w w. ih u e olmb noe/ p r / 0 』 s _ p r p f 2 t / w wh e o s g v ]p/ t o h frgr ot 2 7 mar o . d. e s0 e t 【】 3唐岚. 美国国家信息安全体系简介. 国际资料信息.0 52 . 20 () 机 网络 安 全 提 供 管理 框 架 。
美国网络安全管理评估报告
美国网络安全管理评估报告一、引言网络安全管理评估报告是对美国网络安全管理情况进行全面评估和分析的报告。
本报告旨在提供关于美国网络安全管理的详细信息,包括当前的网络安全威胁、政府机构的网络安全政策和措施、网络安全意识和培训、网络安全事件响应能力等方面的内容。
通过本报告,可以全面了解美国网络安全管理的现状和存在的问题,为进一步提升网络安全管理能力提供参考。
二、网络安全威胁分析1. 攻击类型分析根据最新的数据和统计分析,美国面临的网络安全威胁主要包括:恶意软件攻击、网络钓鱼、拒绝服务攻击、数据泄露和勒索软件等。
其中,恶意软件攻击是最为常见和严重的威胁之一,攻击者通过植入恶意软件来窃取敏感信息或破坏系统正常运行。
2. 攻击来源分析美国网络安全威胁的来源多样化,主要包括国内外黑客组织、恶意软件开发者、竞争对手和国家级网络攻击行动等。
其中,国家级网络攻击行动对美国的网络安全构成了重大威胁,一些国家利用网络技术进行间谍活动、信息窃取和网络战争等。
三、政府机构的网络安全政策和措施1. 网络安全法律法规美国政府制定了一系列网络安全法律法规,包括《网络安全法》、《信息安全管理法》等,以保护国家的网络安全和信息安全。
这些法律法规明确了网络安全的基本要求、责任和义务,为网络安全管理提供了法律依据。
2. 政府机构的网络安全措施美国政府各部门和机构都制定了相应的网络安全措施,以应对不同的威胁和风险。
这些措施包括:建立网络安全管理机构、加强网络安全技术和设备的投入、加强对关键信息基础设施的保护、加强网络安全监测和预警等。
四、网络安全意识和培训1. 政府机构的网络安全意识教育美国政府高度重视网络安全意识的提升,通过开展网络安全意识教育活动,提高政府机构工作人员的网络安全意识和技能。
这些教育活动包括网络安全培训课程、网络安全宣传活动等。
2. 公众网络安全意识教育除了政府机构,美国还开展了面向公众的网络安全意识教育活动,通过媒体、社交平台等渠道宣传网络安全知识,提高公众对网络安全的认识和防范能力。
中美两国对于网络安全的政策和防范措施有何不同?
中美两国对于网络安全的政策和防范措施有何不同?随着信息化和互联网技术的不断发展,网络安全问题已成为国际社会关注的重要议题。
作为全球最大的两个经济体,中美两国也在网络安全方面加强了合作,但在政策和防范措施上还存在一些不同,下面让我们一一来了解。
一、政策的不同中美两国在网络安全政策方面的不同主要表现在以下三个方面:1.法律法规中美两国网络安全的法律法规有很大差异。
美国表现出了比中国更开放多元的态度,美国并没有制订与网络空间有关的特定立法行动,并且在竞争和天然垄断问题上采取了默许的态度。
中国则出台了一系列关于网络安全的政策,如《网络安全法》、《信息安全技术规范》等,旨在维护国家利益和个人隐私。
2.对外合作中国一直以来认为网络安全是个国际性问题,需要各国联合起来解决。
中国提出的“建设网络安全命运共同体”成为了一种国际共识。
同时,中国积极参与多边对话交流与合作机制,如东盟10+1网络安全全年会、上海合作组织等机构,并推动成立了亚洲网络安全合作组织等。
美国则采取了一种更强调自主性的策略。
美国主张利用网络空间各种资源进行攻击和反击,尤其是在网络战略、网络战术及信息战等方面极有优势。
3.国家重视程度中国对于网络安全的重视程度比美国更为严格,中国国家安全法将网络空间纳入国家安全范畴,网络安全已成为国家安全体系的重要组成部分,并由中央网信办牵头组织实施相关政策。
美国政府则相对较为宽松,政策不像中国一样严格和具体。
美国对于网络安全的管理和控制的方式更多是通过执法机构、私营公司和网络行业协会。
二、防范措施的不同除了政策外,中美两国在网络安全防范方面也存在很大差异,主要表现在以下三个方面:1.网络监管中国的网络安全防范主要偏向监管,中国政府非常重视企业和个人数据的收集和积累。
中国政府推行的强制性技术规范化,尤其是企业数据保护和隐私保护方面的规章制度,使得企业和个人数据的保护有了明确的法律保障。
美国则更侧重于技术手段的不断创新,例如网络攻防技术、数据加密技术等。
美国信息安全政策发展及其启示
et bi met f n to a t ae y n ip o e t e sa lh n o a a i l rt g a d r rv d h ma a e n m ca i s n s e n g met e h ns m t manan e wok e ui o it i n t r s cr y. o t z g h og n ain l tu t r t pi i t e r a i to a r cue min z s uig ewo k e uiy eh oo y, i rvn a d sn n t r s crt tc nlg mpo ig n manann te l a s se o te e wok scrt it ii g h e l y t m f h nt r euiy. Co iig u wok, we g mbnn o r r ga e o v sme e p r ne I n oma in e uiy o te g h n h sr tgc oiin rm te x ei c s n f r t s crt t srn te te ta e i e i o p st fo o h Un e S a e . t srn te itra inl op r t n n c mmo i d t ts t 0 te g h n n en t a o c oe a i a d o o n
1概 述
美 国是 信 息 超 级 大 国 ,美 国 的信 息 技 术 和信 息
息 安 全战 略 。为 实现 扩 张性 战略 目标 ,美 国制 定 了 较 为 系统 的信 息 安全 政 策法 规体 系 ,组 建 了从 国家 层 面 、部 委层 面 到 机 构 层 面 的 信 息安 全 管 理 机 构 ,
试论西方信息安全法的构建对我国的启示
试论西方信息安全法的构建对我国的启示摘要:伴随着科学信息技术的迅猛发展,社会的”信息化”已经成为了这个时代的主要流。
就目前而言,我国仍未颁布一部统一、完善、有针对性的信息安全法律,从实质上解决信息安全领域的出现的诸多问题。
为此,制定适合我国国情的信息安全保障法,已然成为我们亟待解决的重大课题之一。
本文由国内外信息安全领域的法律法规发展状况入手,通过对发展状况的分析,提出我国应对信息安全问题的对策。
关键词:信息安全;信息安全法;价值思考;法律体系的构建信息科学技术的发展对于人类社会的进步与发展有着不可替代的作用,具有社会性、传播性以及法定性等特点。
改革开放以来,我国的通信技术得到了前所未有的爆炸性发展,但信息安全的问题也日渐显现。
因此,我们必须处理好发展与安全之间的关系,构建适合我国国情的信息安全法。
信息安全的内涵有广义和狭义之分。
广义上的信息安全的范围跨度很大,主要包括:国家信息安全,如军事、政治、绝密文件等机密安全;商业企业信息安全,如商业、企业秘密,著作权和知识产权的保护;个人信息安全,例如预防个人信息的泄漏,个人隐私的泄漏等。
而狭义上的信息安全则主要指的是信息网络安全的理念,主要包括信息的网络软硬件、数据库、数据传输等不受非法的侵犯、破坏和泄漏等。
信息安全法,主要指在信息安全的法律关系中,享有权利、承担义务的国家、组织或个人在维护信息安全的过程中,所要遵循的法律规范的总称。
信息安全法具有制定主体的多样性,保护客体的非物质性以及调整内容的丰富性等特点。
它调整对象的范围也是相当的广泛,主要包括国家信息安全、社会信息安全、市场信息安全以及个人的信息安全。
信息安全法律体系的合理构建,为保障国家、社会、商业与个人信息的安全性、完整性、可靠性与可操纵性提供了法律的平台。
一、国外有关信息安全法律法规的发展状况由1973年瑞典颁布《数据法》开始,西方国家就已经相继开始颁布关于保护国内信息安全的法律和法规。
美国数据安全管理制度
美国数据安全管理制度一、美国数据安全管理制度框架1. 法律法规框架美国政府通过立法和监管手段,建立了完善的数据安全管理法律法规体系。
其中,最具代表性的是《个人信息保护和电子文档法案》(HIPAA)和《信息技术管理改革法案》(FITARA)。
HIPAA是美国最重要的医疗个人隐私保护法律,规定了医疗机构应该如何在处理患者数据时保护隐私。
FITARA则规定了联邦政府各部门和机构在信息技术采购、管理和运营中应该遵守的规范和要求。
此外,美国还通过《网络安全法》(CFAA)、《个人隐私保护法》(PPA)、《个人信息保护法案》等一系列法律法规,对数据安全管理进行了全面规范和监管。
2. 政策导向框架美国政府通过国家信息技术标准研究所(NIST)等部门和机构,制定了一系列数据安全管理政策标准和指南。
其中,最有代表性的是NIST发布的《信息技术安全管理标准》(ITSM),该标准为美国政府和企业提供了一个全面的信息安全体系框架,涵盖了信息安全管理、风险评估、安全控制、安全意识培训等方面。
此外,美国还推出了《信息共享和数据保护法案》(ISPA)等政策文件,制定了信息共享和保护原则,以促进信息共享和防范信息泄露和滥用。
3. 组织机构框架美国政府和企业机构根据法律法规和政策导向,建立了相应的数据安全管理组织机构和团队。
在政府部门中,设立了信息技术安全办公室(CISO)、数据安全局(DSA)、网络安全中心(CSC)等机构,负责制定和执行数据安全管理政策和措施。
在企业机构中,建立了信息安全管理委员会(ISMC)、信息安全团队(IST)等部门,负责企业信息安全管理工作。
二、美国数据安全管理政策1. 数据分类和标记政策美国政府和企业机构制定了一系列数据分类和标记政策,根据信息资产的重要性和敏感程度确定数据安全管理的级别和措施。
根据HIPAA和FITARA的要求,医疗机构和联邦政府各部门对患者个人隐私数据和敏感信息进行了严格分类和标记,确保数据得到妥善保护和控制。
解读美国政府信息安全报告及相关经验借鉴
有效 实施 、 件变 更 控制 并非 总是 有效 、 责划 分 没有始 终 软 职
如一地 执 行 、 业务 持续 性 计划 经常是 不 充分 的 、 门信息 安 部 全 规 划没 有全 面地 应用 。
方 面的 隐患 。在 审 计署 2 0 0 5年 4月提交 的报告 中已经 指
出 ,不到 一半 的 部 门有应 急指 挥通 讯录 ,很 少 的部 门记录 了重 要文 件分 布情 况 ,大 多数 机构 没有 测试 、检 验 、演 习
他们 的业务连 续计划 以确保 灾难发 生时可 以应用 这些计 划。
访 问控 制
它保证只有经过授权的用户才可以阅读 、修改或者删
除 数 据 。访 问控 制包 括 电子 方 式以及 物理 方 式 ,前者 包括
账号控 制 、 密码 控制 以及 用 户权限 控制 , 后者 包括 门卫 、 门
部 门级别的安全规划
维普资讯
信 息 网 络 安 全
海 外 资 Biblioteka 解 读 信 息 安全 报 告 及 相 关经 验借 鉴
■ 北京大学电子政务研 究院 李明升
2 0 年 9月到 2 0 年 5月 ,为 了评 估政府 各个 部 门在 04 05
患 。 如 , 的信 息系 统允许 用 户使用 非常 简单 的词语 做 密 例 有 码, 这使 得黑 客很 容 易破 解 密码 。 理控 制方 面 , 的部 门 物 有
信 息 网 络 安 全
海 9 资 讯
保全 部 门能够理 解风 险 并且 有效 控制 、 合理 采取措 施 。 这个 方面 , 有 的部 门都存 在 隐患 , 们都 没有 制定 全面 的信 息 所 他
安全 规划 , 尤其是 新 型的 安全 威胁 方面 , 包括 垃圾 邮件 、 钓
中美两国在大数据政策领域的对比研究
中美两国在大数据政策领域的对比研究【摘要】本文通过对中美两国大数据政策领域的对比研究,分析了两国在大数据政策制定和执行方面的背景和现状。
通过对比分析中美大数据法律法规、个人数据隐私保护、大数据产业发展和大数据安全管理的政策差异,发现了两国在政策制定和执行方面的异同点。
在总结了中美大数据政策的异同点,并提出了对未来发展的启示和建议。
研究发现,中美在大数据政策方面存在一些差异,但也有共同点。
对此,本文从政策层面提出了一些建议,以促进中美大数据政策的发展和合作。
通过本文研究,可以更好地了解中美两国在大数据政策领域的差异和共同点,为未来的政策制定和执行提供参考和借鉴。
【关键词】中美大数据政策,对比研究,背景现状,法律法规,个人数据隐私保护,产业发展,安全管理,异同点总结,未来发展,建议。
1. 引言1.1 中美两国在大数据政策领域的对比研究随着信息技术的快速发展和大数据时代的到来,大数据已经成为世界各国经济社会发展的重要驱动力。
中美作为世界上最大的两个经济体,在大数据政策领域备受关注。
中美两国在大数据政策方面有许多相似之处,同时也存在一些明显的差异。
中美大数据政策的对比研究可以帮助我们更好地了解两国在这一领域的立法、监管和发展方向,为未来制定更加科学有效的政策提供参考。
本文将从中美大数据政策的背景和现状、大数据法律法规的对比分析、个人数据隐私保护政策差异、大数据产业发展政策对比以及大数据安全管理政策比较等方面展开讨论,旨在深入挖掘中美两国在大数据领域的共同点和差异点,总结中美大数据政策的异同,探讨对未来发展的启示,并提出对中美大数据政策的建议。
通过这些研究,我们可以更好地促进中美在大数据领域的合作与交流,推动全球大数据产业的发展。
2. 正文2.1 中美大数据政策的背景和现状在当今信息化时代,大数据已经成为各国经济和社会发展的重要驱动力之一。
中美作为世界上两大经济体,在大数据政策领域也有各自的背景和现状。
从背景来看,中国作为全球最大的互联网市场之一,拥有庞大的数据资源和庞大的互联网用户群体。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
摘要本篇论文是从美国的信息安全初期的产生过程和几任总统所做出的战略策划,从头来研究这些战略的成长过程,,从法规和组织机构及人才培养的方面进行讨论,还介绍了国家信息的保障体系,从对美国信息安全的认识和了解,并对他的战略意图进行更深的认识来促进和改善我们国家的体系和战略。
关键字:信息安全信息安全战略体系结构组织机构AbstractThis paper is the beginning of information security from the United States the production process and the president made several strategic planning from the beginning to study the growth process of these strategies, from the regulatory agencies and personnel training and organizational aspects of the discussion, also introduced National information security system, from the United States, awareness and understanding of information security, and his deeper understanding of the strategic intent to promote and improve our country's systems and strategies.Keywords: Information Security,Information security legislationArchitecture Organizations目录第一章美国信息安全战略计划 (1)1.1 信息安全的认识 (1)1.1.1信息安全的属性 (1)1.1.2信息的作用 (1)1.2 美国信息安全开始阶段 (2)1.3 历任总统的信息安全战略 (2)第二章美国加强信息安全政策法规建设的主要做法 (4)2.1 建立组织机构 (4)2.1.1 审计局 (4)2.1.2 行政管理和预算局 (4)2.1.3 国家标准局 (4)2.1.4 国防部 (4)2.1.5 国土安全局 (5)2.2 加强保障体系建设 (5)2.2.1 组织管理体系 (5)2.2.2 技术防范体系 (5)2.2.3 应急响应体系 (6)2.2.4 服务体系 (6)2.2.5 人才培养体系 (6)2.2.6 国际合作保障体系 (6)2.3 完善具体措施 (6)2.3.1 规范及权威性的重视 (6)2.3.2 战略性的重视 (7)2.3.3 法律措施的重视 (7)2.3.4 执法行为的重视 (7)2.3.5 遵守法律观念的重视 (7)2.4 主要政策法规介绍 (8)2.4.1 63号总统令 (8)2.4.2 信息保障技术框架 (8)2.4.3 网络空间安全国家战略计划 (8)第三章美国信息安全战略对我们的启示 (10)第四章小结 (11)参考文献 (12)鸣谢 (13)第一章美国信息安全战略计划美国是一个信息大国,他们对信息安全的重视程度相当的高,是全世界第一个制定并且开始实行信息安全战略的国家,随着时代和社会形势的变化它也跟着逐步完善和提高,对于美国信息安全的部署属性可以看作是“扩张型”。
针对这一属性,美国政府及研发人员专门制定了相对完善和稳定的政策法规体系,建立了由国家到部委到机关三个层面的管理机制,对每个部门都要求积极配合,分工到位,各管其政的工作态度,并在国家防卫部门进行完整全面的信息安全评判,对各方面的数据进行准备评判并在发现问题的同时积极的去修改完善。
1.1 信息安全的认识所谓信息安全就是使在信息网络中的硬、软件和数据得到一定的保护,而防止其受到非正常或刻意原因的破坏使信息遭到利用,让其可以得到一个舒适的运行环境。
1.1.1信息安全的属性首先它是一门涉及面非常广的由多种学科组成的综合性学科,作为一种特别的资源具有一定的普遍性和多效性等,给我们带来了一种想象不到的惊喜。
信息安全顾名思义就是指保护信息资料的安全,让它不会受到来自外界的干扰和破坏,在国际上统一给它下了个定义就是:让信息拥有一定的完整、可用及保密性质。
它必定将成为全世界所有国家去很在乎的一个关键性的国家安全战略。
1.1.2信息的作用通常人们对于一个陌生事物或者一种社会现象的了解都是通过书本或者文献资料,当计算机在二十世纪中期被搬上舞台的时候,人们所需要了解那些事情也变得容易多了,不论是在什么场合,人们正依托计算机来完成事情的处理,并通过计算机信息来传输一些大小事务例如:1、通过计算机来核对银行的信息。
2、将罪犯的纪录输入电脑以便了解等。
但是所有的这些都是处在一种没有防范的况下去处理问题的。
局域网、互联网、卫星、邮件等都是属于传输的方式,由于他们都处在一种相对公开的环境下,没有很好的保护措施,所以很容易的被窃取或破坏。
在这样的一种简单的保护中是很难确保信息的安全性,这时便需要一种多层次的保护手段通过技术和管理及法律的手段达到信息安全的目的。
1.2 美国信息安全开始阶段1946年是美国信息安全最重要的一年,其“原子能法”和“国家安全法”这两部具有重要意义的法案的出炉标志着美国国家信息安全开始的初期阶段,表示美国政府把信息安全和国家安全之间存在的信息流动关系的重要性看得很重,这是对信息进行保护的意识开始加强。
此外在1966年颁发的“信息自由法”,是被认为美国国内最重要的一部宪法,是其它有关信息安全法律的基础,其同意个人或者相关机构能够在任何条件下获取被列入共享的文件资料,以此作为美国信息中受保护和不受保护的划分,从而对信息安全进行了划分。
1.3 历任总统的信息安全战略老布什总统时期,美国信息安全战略的重点是:保护信息的安全和隐密这两个性质上。
里根总统时期,联邦政府组建了“国家保密通信及信息系统安全组委会”简称:NSTISCC。
其组织成立的目的是为了在以往的安全战略中,通过法律法规的制定和规章制度的制定,去对信息的安全进行有效合理的保护。
克林顿总统时期,其在任期间将信息安全正式列入国家安全战略计划中,并在维护信息的保密、完整及可用性等方面进行重点维护。
1998年出台了“关键基础设施建设”的第63号总统令,这一号令是第一次很好很全面地说明了国家信息安全战略的概念、意义及其目标,也阐明了之前提出的“信息保障”,在稳定现有信息安全水平的基础上对下一步的工作提出了重要指示。
为了将网络及一些基础设施、区域、环境等的深层次维护和防御,国家安全局出台了“信息保障技术框架”简称“IATF”。
2000年颁布了国家安全战略报告,在这份报告中将信息安全也列入了其中,这也标志着信息安全正式成为国家安全战略和框架,拥有了自己独立的位置。
在总统在任期间还成立了几个对信息安全做出贡献的组织,例如:1、信息保障委员会。
2、信息保障同盟。
3、联邦计算机事件响应机动组等。
布什总统时期,在其上任的期间经历了一次重大悲剧事件——9.11,这次事件的发生使得国家不能不将信息安全的战略地位看得更重,在2011年发布的13231号行政令“信息时代的关键基础设施保护”这一命令的颁布,将原来的“保护委员”会变为更具实质性的“保护办公室”,成为了联邦部门的最高设施保护机构。
随着2003年“网络空间的国家战略”进一步将基础设施的保护作为重点。
在此期间,布什政府还重整了之前的一些相关机构并设立了由总统直接管理的国家安全顾问这一重要职位,还设立了包括国土、保密局、系统安全中心等重要机构,这对信息安全保障的工作做出了进一步的保障。
其目的是为了将由9.11导致的信息安全保障的不力因素进行有效的改善,并根据现实情况制定一套全新的国家信息安全战略。
其主要强调了网络安全的重要性,更夸张地认为网络的威胁和核武器的威胁是一样具有很强破坏力的。
2009年公布了一项有总统亲自参与的“美国网络安全评估”报告,此报告评估了现有的网络安全战略、策略和标准,并提出了他们中存在的问题,制定了下一步的任务计划,政府表示将网络安全的保障作为国家安全的重要战略,由于网络安全已经逐渐成为了对美国国家安全的首要威胁,将任命一名由总统亲点的网络安全总管,其职责就是专门对网络安全战略在政府的要求下完成制定。
并成立由战略司令部领导的相关部门,对数字战争进行有效的反击和防御。
第二章美国加强信息安全政策法规建设的主要做法这一系列的体系不光包含有信息安全的技术,还含有政策方针、法律法规及组织机构等有关内容。
2.1 建立组织机构在为了很好的贯彻落实信息安全的政策,美国国内很多政府部门被新加上了许多职责,比如:监督、管理等。
这些机构包括:1.审计局、2.行政管理及预算局、3.国家标准局、国土安全部、商务及财政部等,行成了相当完整完善的机构体系。
2.1.1 审计局直属与国会,是一个相当独立的部门,主要对国家财务和项目的核实工作,它与其他与信息安全有关的公共基金的情况:帮政府作出分析和选择最终让国会能有效的进行监督。
部分政府资金的使用情况。
都归它管。
同时也向国会提交了许多报告。
2.1.2 行政管理和预算局管理和预算办公室为发展和有关信息安全政策,原则,标准和准则的政府部门负责监管。
在监察政府的资讯保安政策,并为下列服务的实际负责执行:进行信息安全政策及规则的制定等,并监督其实行;对机构实施与信息安全保障措施进行相应的风险等级的划分:跟有关部门进行有效的合作,以便于让美国国家标准局(NIST)的设立标准,准则和国家信息安全规定相配合。
政府机构的相关信息安全项目进行每年的年度考核,是为了对信息安全方案的认可或者有不同的意见;联邦信息安全事件监控中心的运作,信息安全相关的问题,每年向国会报告。
2.1.3 国家标准局附属于商务部门,它存在的作用是为了辅助政府和企业之间的有效配合,比如:安全、应急等计划及一些安全技术的开发宣传。
它还负责了对安全技术和产品的标准的制定。
2.1.4 国防部由美国国防部中的国家安全局和国家计算机安全中心来负责对国家信息安全事务进行有效的保护。
国家安全局的责任是做好保密信息系统和信息安全的工作。
国家安全系统的保密信息包括:1.相关情报活动。
2.与国家安全有关系的并且是隐蔽的活动。
3.跟军队有关系的活动等。
计算机安全中的责任是做好国家安全局应该负责的所有信息安全相关的工作,包括:1.解决政府中出现有关信息安全的问题。
2.对各部门系统中存在的问题进行评估,对拿出解决的办法加以行动。