美國信息安全政策的內容、特點及借鑒 *

劉 靜 牛紅亮 徐 曦

（1.西安醫學院圖書館，陜西 西安 710021；2.西北大學公共管理學院，陜西 西安 710127）

劉 靜 女，1965年生。副研究館員。

牛紅亮 副研究館員。

徐 曦 副教授。

信息時代，信息安全保密已經成為一個國家的重要安全議程。美國作為全球信息化程度最高的國家，擁有世界上最先進和最龐大的信息系統，對信息系統的依賴性最大，對信息安全的關注也最多，美國是最早制定信息安全政策的國家。面對信息化給美國帶來的威脅和挑戰，美國信息安全政策經歷了萌芽、發展、成熟和強化4個階段，信息安全政策的內容從“計算機安全”到“信息保障”，從“適度安全”到“完全安全”，從“互聯的程度”到“與因特網隔離”，從單獨制定信息安全技術標準到與盟國合作制定國際標準，美國信息安全政策有了很大的發展變化。研究借鑒美國信息安全政策經驗，對促進我國信息安全政策體系健全和完善具有重要意義。

1 美國信息安全政策的主要內容

1.1 關鍵信息基礎設施保護政策

美國1993年制定并頒布了《美國國家信息基礎設施：行動計劃》，即NII。計劃用20年投資4000～5000億美元建立由通信網絡、計算機、數據庫以及電子產品組成的網絡，為用戶提供大量的、統一標準的信息服務。1994年，美國政府提出《全球信息基礎設施行動計劃》，旨在通過衛星通信和電信光纜連通全球網絡，形成信息共享的競爭機制。1997年，總統關鍵基礎設施保護委員會（PCCIP）向總統提交了《關鍵基礎——保護美國的基礎設施》的報告，該報告規劃了美國關于基礎設施保護的基本政策。1998年5月，美國總統克林頓簽署了《關于保護美國關鍵基礎設施的第63號總統令》，該總統令第一次就美國信息安全的概念、意義、長期與短期目標等作了明確的說明。

2000年美國《國家安全戰略報告》的頒布，是信息安全政策發展中的重大事件，“信息安全”最終成為美國國家安全戰略的正式組成部分，并開始具有其自身的獨立地位。2001年，布什總統簽署行政令《信息時代的關鍵基礎設施保護》，授權成立一項旨在通過不斷努力對關鍵基礎設施中信息系統的保護項目，包括對應急戰備通信設施及其相關的物理設施進行保護。2008年美國的第54號總統令，提出國家信息安全綜合行動計劃（CNCI），確保國家信息技術和通信基礎設施安全。

1.2 美國信息安全保密政策

1977年美國頒布的《聯邦計算機系統保護法案》首次將計算機系統納入法律的保護范疇。1987年美國國會通過《計算機安全保密法案》，該法案是美國計算機安全的基本法律。

美國總統直屬的行政管理與預算局，在1985年制訂了一項重要的政策，即《聯邦政府信息資源管理OMB A-130號通告》，并在1993年對此進行了修改。A-130號通告是美國聯邦政府信息資源管理和信息安全的政策大綱，它不僅詳細論述了聯邦政府信息、信息系統和信息技術的管理政策和方針，還在附錄“聯邦政府自動化信息資源的安全”政策大綱中，具體闡述了計算機系統的安全對策。1996年12月美國國防部頒發的《S600.1命令》和1998年5月美國前總統克林頓簽發的63號總統令（PDD63），提出了“信息保障”的概念。1998年1月國防部制定了《國防信息保障綱要》，1998年5月國家安全局制定了《信息保障技術框架》（IATF），提出了“深度防御戰略”。

2000年美國《政府信息安全改革法案》增補了信息安全一章，法案增加的信息安全方面的核心內容是：聯邦政府機構應該建立內部計算機安全機制，以保護為政府工作的計算機系統不受侵害。2000年1月白宮發表了《保衛美國的計算機空間-保護信息的國家計劃V1.0》。2002年通過的《聯邦信息安全管理法案》將“信息安全”定義為“保護信息和信息系統以避免未授權的訪問、使用、泄漏、破壞、修改或者銷毀，以確保信息的完整性、保密性和可用性”。2009年8月通過了《美國信息與通訊增強法案》修訂法案，該法案是對《聯邦信息安全管理法案》所規定的IT安全指導的更新。2009年制定《涉密信息泄露應對指南》是適用于美國政府各級機構的信息安全政策文件，該指南適用于任何信息系統中涉密國家安全信息泄漏的應急處理。

1.3 美國的網絡安全政策

2000年，克林頓政府發布了作為美國21世紀總體信息安全戰略和行動指南的《信息系統保護國家計劃》，提出21世紀之初若干年的網絡空間安全發展規劃。該計劃的綜合性、全面性、現實性都達到了前所未有的程度，它的發布成為了信息安全發展史上具有里程碑意義的事件。該計劃的實施將為美國的經濟、國家安全、公共安全中的關鍵部門提供有效的保護措施。

美國提出了政府網絡隔離的保障措施。“9·11”之后，為避免恐怖分子可能發起的網絡攻擊，反恐專家理查德·克拉克提出了組建“政府專網”GOVNET計劃，即以高級防火墻和入侵檢測技術組建與因特網分離的政府專用保密IP網，以保證電子政務的安全。

2002年美國眾議院通過了《信息網絡安全研究與發展法》，該法在國家信息網絡安全領域的機構建設、研究計劃管理、資金投入與管理、專門人才培養等方面都規定了有效的措施。

2003年發布的《網絡空間安全國家戰略》提出國家信息基礎設施保障要達到3個戰略目標：防止針對美國關鍵基礎設施的數碼攻擊，降低國家關鍵基礎設施的脆弱性，以及一旦攻擊發生將危害和恢復時間降到最低值。此外，美國還制定了一系列法案，來打擊計算機網絡犯罪，保障關鍵信息基礎設施的安全，如《加強網絡安全法》、《公共網絡安全法》、《加強計算機安全法》等。

2006年簽署的《聯邦網絡空間安全及信息保護研究與發展規劃（CSIA）》確定了13個重要發展領域。2008年美國政府提出網絡“曼哈頓計劃”，從各方面可看出該計劃包括保護政府機構的信息系統等政策。2009年5月，公布了《美國網絡安全評估》報告，報告評估了美國政府在網絡空間的安全戰略、策略和標準，指出了存在的問題，提出了行動計劃。

1.4 密碼管理的政策

密碼管理一向是美國信息安全政策的一個重要方面。1993年美國制定了“Clipper Chip”標準，1995年出臺了密鑰管理基礎措施，1998年宣布增加出口密碼密鑰的長度，1999年宣布放寬密碼出口控制，2000年正式發布了新的密碼出口條例。從條例出臺的緊密程度上就可以看出，美國政府對于密碼管理的重視程度。

1996年，美國總統簽署了關于加密出口政策的備忘錄和關于密碼出口條例的行政命令，允許支持密碼托管或密碼恢復的、密鑰長度大于56的高強度密碼出口。同年，美國政府公布了一個試圖使美國人更容易使用高強度密碼保護他們的隱私、知識產權和其他有價值信息的計劃，設想建立一個帶有密鑰托管和密鑰恢復的全球密鑰管理基礎設施。

近年來，美國政府減少了對密碼等安全技術向盟國出口的限制，這樣不僅能夠增加美國敏感信息系統的安全保密性和系統穩定性，同時能夠促進美國的軟件產業發展，使美國公司在這一領域能保持相對領先的地位。

1.5 美國信息安全保密標準

1985年，美國國防部國家計算機安全中心代表國防部制定并出版了可信計算機安全評價標準，即著名的“桔皮書”。最初桔皮書標準用于美國政府和軍方的計算機系統，但近年來桔皮書的影響已擴展到了商業領域，成為大家公認的標準。

密碼使用管理政策集中在使用密碼進行信息加密和使用數字簽名實施證書授權兩個方面。在信息加密政策方面，美國于20世紀70年代就頒布了國家數據DES，1993年政府宣布的“托管加密行動”制定了托管加密標準EES。

“9·11”之后，美國更加快了信息安全標準的出臺。例如，NIST從2001～2002年4月期間，至少發布了NIST SP800-26/-27/-28/-29-30/-31/-33/-38/-40/-41/-44/-45/等密碼標準或安全準則，還出臺了一系列有關IT安全過程準則、電信安全規范、安全管理標準、IT安全服務指南和安全產品選購指南等強制性標準。

2 美國信息安全政策的特點

2.1 美國行政——立法關系的轉變

“9·11”可以視作美國信息安全政策的分水嶺。在信息安全相關的領域，公眾對于政府的不信任表現為對政府所掌握的信息“監聽”能力的擔憂。“9·11”事件發生前，這種不信任表現得非常強烈。但在“9·11”事件后，由于公眾對于安全問題的關注并愿意為此承受包括自由權受到侵犯在內的代價，促使了決策權力從立法機關向行政機關的轉移。面對突發事件，要求作出快速反應，行政機構因其能夠更加有效地行使權力而獲得優勢地位。在此背景下，美國信息安全政策決策的權力結構也發生了深刻變化：以國防部、聯邦調查局、中央情報局、國家安全局、國土安全部、能源部等為代表的涉及國家信息安全的行政機構，開始在決策過程中占據優勢的地位。

2.2 確立網絡安全的國家戰略

隨著信息全球化步伐的加快，美國先后調整了國家信息安全政策，使網絡安全在國家信息安全政策中的地位不斷上升，已成為國家安全戰略中“不可分割的重要組成部分”。美國把網絡安全作為維護美國安全的首要任務，突出強調網絡空間的戰略地位，不僅把網絡列為關鍵基礎設施，而且將其升級為國家戰略資產，進一步加大了在網絡領域的戰略攻防力度。不論信息領域中的操作系統、數據庫，還是網路交換機等核心技術基本都掌握在美國企業的手中，從而使其在網絡空間占據著絕對的優勢。

2.3 經費向應用性研究傾斜，加強與其他領域的合作

美國信息安全技術研究經費主要來源于美國國防部高級計劃研究署（DARPA）。自“9·11”后，DARPA的研究重點傾向于機密項目、武器項目的研究。美國信息安全研究的經費更傾向于工程性、實用技術性研究，希望支持可以立即投入應用，能獲得短期回報的項目。

政府重視與公司合作，加大了與工業界巨頭的合作，工業界已經站到了信息安全的前沿，成為實際信息技術的研究者和實施者。信息安全政策的實施以及新的信息安全技術的推廣離不開政府與私營部門間的合作，因此美國在新的信息安全政策中，把公私合作作為發展的一個重點。美國政府投入大量資金推動公司不斷創新其產品內容，更新政府信息安全產品與技術，以便更好地保護國家領域內的信息安全。另外，由于信息安全問題在很多方面已經超出了計算機的研究領域，信息安全技術研究中不可避免地需要同其他研究領域的研究者進行合作，也就是所謂的“超越保護”的概念。

2.4 加強信息監督，大幅度限制信息公開

2002年9月，白宮本土安全辦公室披露了國家信息安全戰略指導文件《國家保障數字空間安全策略》，用于美國關鍵信息基礎設施的安全指南。美國加強了對信息技術的控制，對安全項目的級別進行更細致的劃分，許多原有的信息技術開放研究課題上升為機密項目，不再對外界提供有關信息，對信息安全研究人員進行嚴格的限制。嚴格控制密碼技術的研究和出口，繼續實施密鑰托管的政策。對密碼算法出口繼續進行限制，對出口密鑰的長度、加密芯片的種類都有嚴格的要求。

“9·11”事件后，美國強化對國內信息的監控，迅速通過了《愛國者法案》，這是“9·11”事件后，美國為保障國家安全頒布的最為重要的法律。它的目的主要是：從法律上授予美國國內執法機構和國際情報機構非常廣泛的權力和相應的設施以防止、偵破和打擊恐怖主義活動。其中規定獲得法庭許可后，聯邦政府相關部門可運用包括竊聽在內的各種手段搜集與恐怖襲擊相關的信息。國家信息安全綜合行動計劃要求檢測所有聯邦政府部門和機構的信息系統，以發現惡意攻擊活動，為政府提供信息安全預警，幫助聯邦政府增強信息安全意識，提高網絡防范的綜合能力。“9·11”事件發生后，美國政府大幅度縮減了解密文件的數量，與此同時，政府文件加密的數量呈明顯上升趨勢，政府越來越多地作出“加密”的決定，美國政府在“9·11”事件發生后大幅度加強了對信息公開的控制。

2.5 謀求信息安全領域的國際合作

網絡的跨國特性和高速發展的經濟相互依存，決定了國家必須通過合作來保護特定國境內的信息安全。通過加強特定的國家行為體之間的合作，共同應對來自非國家行為體的挑戰，實現共同的國家信息安全。

2001年，歐洲委員會近30個成員國和4個伙伴國家（美國、加拿大、日本和南非）共同簽署了《計算機犯罪公約》。該公約是國際社會合作打擊網絡犯罪的第一個國際多邊公約，其主要目標是加強打擊網絡犯罪的國際合作。2006年，參議院投票批準了該公約于2007年1月1日在美正式生效。2002年，包括美國在內的八國集團簽訂了《全球信息社會沖繩憲章》。憲章要求進一步加強電子認證、電子簽名、加密技術以及其他確保信息交易安全手段的作用，保證打擊計算機網絡犯罪的有效措施能夠到位。憲章還要求8國在打擊計算機犯罪方面的合作，以保護關鍵性信息基礎設施不受侵害。2009年12月美國和俄羅斯之間開始就可能的網絡裁減協議進行談判。

3 對美國信息安全政策的思考和借鑒

3.1 組建專門的信息安全協調機構

美國通過建立國家層面上權威的、統一的信息安全整體組織和策略，確定信息安全專門的組織、規劃、管理和實施協調的立法管理機構，對信息安全進行有序管理，提高信息安全管理、政策執行和監督的力度。我國的政府組織機構體系龐大，有權管理信息安全的機構主要有安全部、工業和信息化部、國家安全部、國家保密局等。但是，由于相關機構之間缺乏協調機制，各機構之間在信息交換、協調行動方面的情況不容樂觀。因此，我國可以成立信息安全專門機構，負責協調各機構間的行動。

3.2 完善我國信息安全政策法規體系

目前我國還沒有一部統一的全國性的《信息安全管理法》，現有與信息安全相關的法規主要包括：《中華人民共和國保守國家秘密法》、《計算機信息系統安全保護條例》、《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《計算機病毒防治管理辦法》等。有關國家信息安全管理的規定，多是一些層次較低的規章和條例，與美國等信息技術發達國家相比，我國的相關法規政策無論從數量還是質量都有待進一步提高。為此，要加強我國信息安全相關政策法規體系的建設，完善我國信息安全政策法規體系。

3.3 確立信息安全的戰略地位，加強關鍵信息基礎設施的保護

信息安全政策可以確定信息化的發展方向和具體方針策略，為社會信息活動提供具有導向性和約束力的行為準則。美國歷來重視信息安全問題，2000年美國《國家安全戰略報告》的頒布，使“信息安全”最終成為美國國家安全戰略的正式組成部分，并開始具有其自身的獨立地位，最終確立信息安全政策的國家戰略地位。

信息基礎設施在國家社會生活的各個領域中發揮著重要的不可替代的作用，基礎設施的安全是信息安全的支撐點，如果信息基礎設施受到破壞或攻擊，將會給國家帶來無法估量的損失。美國政府設立了多個部門保護信息關鍵基礎設施，出臺了多部關于基礎設施保護的政策法規。我國關鍵基礎設施種類多、規模大，涉及范圍廣，故應加強國家關鍵信息基礎設施建設和保護。

3.4 加強政府對信息安全技術的投入

美國政府非常重視在信息網絡安全的研發，對此給予長期、穩定、充分的資金投入，以確保研究機構有充足的時間進行開發，實現高質量的研究計劃。美國自“9·11”后更加大了對信息安全的投入力度，對信息安全的投入從“9·11”前的每年27億美元增加到后來的每年50億美元，把發展的重點轉移到了實用技術、信息戰對抗技術上。美國2010年財年預算給予國土安全部的科學與技術局10億美元，用于諸如網絡安全等研究。在這方面我國每年的投入增長較快，但還不夠，還要在經費方面適當加大投入，以取得實效。

3.5 培養信息人才，提高信息安全意識

人才培養是信息安全保障體系中非常重要的一環。美國在信息安全知識、技術、意識均處于世界領先地位，重視信息安全人才的培養，出臺了各類信息安全教育項目，在多項法律法規或文件中強調提高公眾的信息安全意識。

我國已成為世界上使用互聯網人數最多的國家，信息技術對外開放的程度越來越大，面臨的信息安全威脅越來越嚴峻。因此，培養信息人才，建設新型信息安全責任體系，提高公民的信息安全意識刻不容緩。

3.6 積極參與國際合作

國際合作始終是國家信息安全政策的一個重要組成部分，只有國際社會共同行動起來，排除困難，協調合作，才能確保各國信息領域的安全。目前，各國信息安全戰略都把重點放在了國家層面的合作上。我國也應該積極參與信息安全國際間的合作與交流。

[1]杜友文.美國信息安全政策及其對我國的啟示[J].情報探索，2009（1）.

[2]譚安芬.美國信息安全政策發展及其啟示[J].計算機安全，2011（11）.

[3]孫德剛.美國信息安全政策研究[J].信息安全與通信保密，2003（1）.

[4]劉助仁.美國網絡安全政策導向及其啟示[J].中國公共安全，2010（3）.

[5]郝文江，張樂.美國信息安全戰略發展研究[J].北京人民警察學院學報，2010（1）.