美国信息安全综述1美国信息安全战略的演变美国十分重视信息安全,是最早制定和实施信息安全战略的国家,并随着形势的变化不断发展和完善。
总的来说美国现行的信息安全战略属于“扩张型”信息安全战略。
为实现扩张性战略目标,美国制定了较为系统的信息安全政策法规体系,组建了从国家层面、部委层面到机构层面的信息安全管理机构,在各个层面上力求做到分工合理、各司其职;国防部成立了网络战司令部,积极部署信息战:进行系统的信息安全评估,对信息安全状况、信息安全政策落实情况和信息安全能力评估,并根据评估结果调整和改革信息安全战略。
1.1克林顿政府信息安全战略克林顿政府任职期间,即20世纪90年代中后期至2l世纪初,美国信息安全战略发展为维护信息的保密性、完整性、可用性、可控性的信息安全战略,并且正式成为国家安全战略的正式组成部分。
1998年美国政府颁发了《保护美国关键基础设施》的总统令(PDD.63),第一次就美国信息安全战略的完整概念、意义、长期与短期目标等作了说明,对由国防部提出的“信息保障”作了新的解释,并对下一步的信息安全工作做了指示。
1998年底美国国家安全局制定了《信息保障技术框架》(IATF),提出了“深度防御战略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础没施的深度防御目标p】。
2000年总统国家安全战略报告的颁布,是美国国家信息安全政策的重大事件。
在该报告中,“信息安全”被列入其中,成为国家安全战略的正式组成部分。
这标志着信息安全正式进入国家安全战略的框架,并开始具有其自身的独立地位。
此外,在这一时期还成立了多个信息安全保护组织,其中包括全国性的信息保障委员会、全国性的信息保障同盟、首席信息官委员会、关键基础设施保障办公室、联邦计算机事件响应能动组等。
1.2布什政府信息安全战略由于“9·ll”事件,使信息安全战略地位不断升级。
布什政府在任期间,美国把信息安全战略置于国家总体安全战略的核心地位,非常关注贯彻实施信息安全战略措施。
2001年美国发布第13231号行政令《信息时代的关键基础设施保护》,将“总统关键基础设施保护委员会”改为行政实体“总统关键基础没施保护办公室”,作为联邦基础设施安全保护的最高管理协调机构。
2003年2月发布砜网络空间的国家战略》,进一步保护国家关键基础设施安全吲。
此外布什政府还渊整国家信息安全工作机构,设置直接向总统负责的总统国家安全顾问—职,设立国土安全部、国家保密局信息战处、联合参谋信息战局、信息系统安全中心,同时建立相应的其他配套的工作机构,以保证国家信息安全工作的协调、统一与效率。
1.3奥巴马政府信息安全战略奥巴马政府虽然刚刚上任不久,不过依旧高度重视信息安全战略,积极推进网络安全评估,试图改变美国信息安全保障不力的情况,开始着手制定新的国家信息安全战略。
奥巴马在竞选期间就一直强调网络安全对美国的重要性,他甚至将来自网络空问的威胁等同于核武器和生物武器对美国的威胁polo 奥巴马上台不久就亲自主导了一个60天的信息安全评估项目,2009年5月29日公布了《美国网络安全浮估》报告,报告评估了美国政府在网络空问的安全战略、策略和标准,指出了存在的问题,提出行动计划。
奥巴马也于报告发布当天表示,要将保护网络基础设施作为维护美国国家安全的第一要务,指出来自网络空l’日J的威胁已成为美国面临的最严重的经济和军事威胁之一,他表示要亲自任命一位白宫计算机网络安全总管,负责制定美国网络安全战略为紧跟奥巴马政府强化网络安全的要求,今年4月,美国参议院商业、科学和交通委员会RockefelIer主席等人,向第111届国会提交了《2009网络安全法》(Cybersecurity Act of 2009)议案。
目前该议案已提交商业、科学和交通委员会审议。
今年6月份,美国国防部正式成立了由战略司令部领导的网络战司令部。
网络战司令部主要进行数字战争,防护针对美军计算机网络的安全威胁。
司令部将于lO月开始运作,并于2010年lO月正式运行。
2组织机构为了落实各项信息安全政策,美国将政策执行、监督、管理等权利分配给多个政府部门,其中包括:审计署、行政管理和预算局、国家标准局、国土安全部、国防部、商务部、财政部等多个部I、】以及多个委员会和办公室,这就构成了美国庞大的信息安全机构体系。
美国成立了“全围信息保障委员会”、“全国信怠保障同盟”和“关键基础设施慝息保障办公室”等10多个全国性机构。
其中总统信息安全政策委员会、总统关键基础设施保护办公室等,直接为总统决策服务。
这些委员会成员主要包括主要政府部门,定期举行会议并提交报出’为总统了j薛信息安全状况和制定政策提供建议,并协调各项保护信息系统计划的实施。
(1)美国审计署(GAO)审计署(GAO)是为国会工作的,独立的、无党派的机构,负责财政审计、项目复查与评估以及调查研究。
在信息安全监管领域,审计署负责核查与信息安全相关的公共基金的使用情况:评估联邦政府信息安全的项目和工作:为政府提供分析、选择和其它支持以便帮助美国国会做出有效的监督、政策以及资金分配决策。
审计署公布的信息安全报告很多,包括向国会提交的《信息安全年度报告》、《关键基础设施保护:国土安全部需要进一步促进网络安全》、《关键基础没施保护:国土安全部需要更好地解决其网络安全职责问题》、《关键基础设施保护:部门特别计划对关键网络安全要素的覆盖各不相同》、《网络分析与警告:国土安全部在建立综合安全能力上面临挑战》、《网络安全:联邦层面需要持续努力保护关键系统和信息》、《美国审计署报告:美国需要加强激励网络安全努力》、《信息安全:新兴的网络安全威胁》、《国家网络安全战略》等等。
(2)行政管理和预算局(OMB)行政管理和预算局(OM B)负责制定和监督政府部部门有关信息安全的政策、原则、标准和指导方针。
在监督政府机关的信息安全政策与实际实施中负责如下事务:制定信息安全政策、规则等,并监督其实行;要求机关按照风险等级实施相应的信息安全保护措施:与有关机构合作,以确保国家标准局(NIST)建立的标准、指南等与国家安全系统的互补性;对政府机关的信息安全项目进行一年一度的评价,认可或者不认可其信息安全项目;监督联邦信息安全事件中心的运行;每年就信息安全相关问题向国会进行报告。
(3)国家标准局(NIST)国家标准局为商务部下属机构,它协助政府和产业界进行安全规划、风险管理、应急计划、加密、人员身份认证及智能卡应用等安全技术的开发、推广应用、计算机病毒检测与防治、安全教育培训等方面的工作,同时还负责制定安全技术和安全产品的国家和国际标准。
(4)美国国防部美国国防部主要由其下属的国家安全局和全国计算机安全中心负责国家信息保障事务。
国家安全局主要负责保密信息系统(国家安全系统)的信息安全工作。
国家安全局局长被任命为国家安全系统的信息安全国家主管。
国家安全系统的保密信息包括美国宪法2315款第102项规定的信息:涉及情报的活动:涉及与国家安全有关的隐蔽活动;涉及军队的指挥与控制;涉及属于武器和武器装备或对完成军事或情报任务至关重要的设备等。
全国计算机安全中心具体落实国家安全局所负责的信息安全工作,包括以下几个方面:帮助其他政府机构解决与“国家安全系统”有关的信息安全问题,其中包括风险评估、安全规划、运行安全、验证等安全措施;出版《信息系统安全产品和服务名录》:根据联邦政府机构及其合同单位的要求,对有关信息系统的薄弱环节加以评估,并提出消除和改善薄弱环节的信息系统安全措施。
(5)国土安全部国土安全部是“9·11’’后新组建的部门,该部下属机构包括:国家基础设施保护中心,国家通信系统局,关键基础没施保障办公室,计算机安全分会,国家基础没施建模与分析中心,联邦计算机事故反应中心等。
主要负责关键基础设施保护和计算机安全、信息管理标准的制定、信息共享等。
虽然美国拥有庞大信息安全管理的机构,但是奥巴马政府认为:美国的网络安全管理权力分散在多个联邦部门和机构中,没有一个部门统一负责制定网络安全政策,没有一个委员会去监控网络安伞威胁的范围和等级。
美国迫切需要建立一个能够统筹协调所有网络安全政策和行动的机构,以加强对阿络安全的监管口从此可见,现有的组织机构还将会进一步变革。
3人才培养体系人才培养是信息安全保障体系中非常重要的一环。
美国政府历来重视信息安全人才的培养,为培养信息安全人水出台了各类信息安全教育项目。
其中比较有代表性的教育项目包括:(1)联邦计算机服务(FSC)项目,它是综合性的项目,它的很多活动都遵循信息安全培训概念性框架。
这个框架是国家标准局在《信息技术安全培训要求:基于角色和表现的模型(NIST SP 800.16)》中提出的。
FSC项目整合和借鉴了联邦政府内已有的相关项目和成果,此外它还完成人事管理办公厅(0MP)的信息技术职位研究。
(2)服务奖学金(SFS)项目:在该项目中,政府资助研究生和本科生的信息安全学习,他们学成后要服务于联邦政府。
(3)中小学拓广项目:该项目和前面几个项目保持了很好的衔接性,也体现了美国政府眼光的长远,为培养信息安全人才奠定了良好的基础。
(4)联邦范围内的信息安全意识培养项目。
(5)计算机公民项目。
4总结本文通过论述美国信息安全政策的萌芽,以及里根、老布什政府,克林顿、小布什和奥巴马政府的信息安全战略,回顾了美国信息安全战略的演变过程,通过探讨美国信息安全的政策法规、组织机构、人才培养和围际合作,介绍了美国信息安全保障体系。
希望通过对美国信息安全战略的初步探讨,加深对美国信息安全战略的理解,促进我国信息安全战略和保障体系的建立和完善。
