1985年12月,美国总统直属的行政管理与预算办公室(OMB)负责制订了一项重要的政策《联邦政府信息资源管理OMB A-130号通告》,并在1993年7月2日作了修改。该通告全面阐述了联邦政府的信息资源管理政策。该通告适用于所有联邦政府部门的所有机构,因此这是美国联邦政府信息资源管理和信息安全的政策大纲。 1987年美国国会通过了《计算机安全法案》。要求所有联邦机构确认含有敏感信息的计算机系统,并提供开发计划确保这些系统的安全。这个法案说明美国政府对计算机脆弱性引起的威胁已经开始重视。 1998年5月国家安全局制定了《信息保障技术框架》。2000年1月,白宫发表了《保卫美国的计算机空间--保护信息的国家计划V1.0》。2001年10月,布什签署了第13231号总统令,确立了一个包括连续的确保信息安全的工作在内的保护项目,这个项目还包括支持信息系统安全的资源准备、沟通等。《联邦信息安全管理法(FISMA)》(The Federal Information Security Management Act (FISMA) )和13231号总统令(Executive Order 13231)以及其它相关的指导文件和授权文件为国家的网络空间案件提供了基本框架。 2002年,美国通过的《联邦信息安全管理法案》规定必须对联邦政府信息系统进行安全评估并备案,为美国政府机构信息系统改善信息安全问题设定了目标。《联邦信息安全管理法案》为美国联邦政府信息安全设定了目标,却没有规定如何实现这些目标。为此,美国国家技术与标准局(NIST)负责为实现这些目标制定最低安全要求,因此,NIST专门启动了信息系统安全计划。
国家信息安全战略的目标是:1,防止针对关键设施的网络攻击;2,减少可能遭受攻击的安全漏洞;3,减少损失,缩短对网络攻击的反应时间。
指导原则由6部分组成:1,全民动员。保护网络安全是一项繁杂的事务,单靠政府是难以完成的,需要整个社会的努力。2,保护隐私和公民自由。网络空间的保护与公民因和自由并不矛盾,保护措施应当是加强而不是削弱对公民的保护。公民自愿交流的、非公开的信息应当得到有效的保护。3,政府管制和市场力量的共同作用。政府规制不是保护网络安全的唯一手段,市场的力量也应得到发挥。4,责任。在2002年11月,总统签署了《2002年国家安全法案》(Homeland Security Act of 2002),成立了国家安全部(the Department of Homeland Security (简称DHS))。DHS要为许多安全政策负责。5,保持灵活性。网络空间变化多样,相应地,应对措施也要有相当的灵活性。6,跨年度计划。信息化的发展是一个连续的过程,《联邦信息安全管理法(FISMA)》要求各部门要制定跨年度的计划来实现连续的网络安全保护。
|
表1 网络安全的角色和职责 |
|
主体 |
关注要点 |
要点1 |
要点2 |
要点3 |
要点4 |
要点5 |
|
国家网络安全回应系统 |
减少国家网络的风险和安全漏洞的系统 |
国家安全意识及其培训项目 |
捍卫政府网络空间 |
国家安全和国际网络安全合作 |
|
家庭用户和小企业 |
|
✓ |
✓ |
|
|
|
大型企业 |
✓ |
✓ |
✓ |
✓ |
✓ |
|
关键部门和基础设施 |
✓ |
✓ |
✓ |
✓ |
✓ |
|
国家 |
✓ |
✓ |
✓ |
✓ |
|
|
全球 |
|
|
|
|
✓ |
国家网络空间安全管理的五项要点:
(1)国家网络空间安全回应系统。这是一个公共——私人合作机制,包括政府机构,也包括诸如私人部门信息分享与分析中心这样的非政府机构(ISACs)。由国土安全部来统一协调。进行分析和预警;管理局有国家意义的危机事件;促进政府和私人部门的设施安全;促进信息共享。
建立政府和私人共同参与的体系来应对国家级别的网络事故;
l 积极发展对网络攻击的战略战术分析和安全漏洞评估;
l 鼓励私人部门之间互相交流网络安全的认识;
l 发展网络攻击预警信息网以支持国土安全部协调各部门的风险管理活动;
l 改善国家对事故的应对能力;
l 促使政府和私人共同参与的连续性,并制定应急预案;
l 政府网络系统必须制定连续而又完整的网络安全计划;
l 提高并加强政府和私人之间的网络安全信息共享。
l 提供信息共享。在联邦政府内部、联邦政府和州政府及地方政府之间、政府和私人部门之间建立有效的信息共享的机制,以此来提高政府与私人部门的风险意识和有效实施技术。
(2)减少国家网络的风险和弱点的系统。主要关注三个方面的工作:第一,通过有效的确认和惩罚措施来减少威胁和阻止蓄意的破坏;第二,确认和纠正现存的可能会对关键系统造成严重损害弱点;第三,建立弱点更少的新系统,评估相应的风险应对技术。
l 执法过程中强化对网络攻击进行预防和追究的能力;
l 开展网络安全漏洞的评估活动,以提高对网络风险的认识;
l 完善网络通讯协议和网络路由能力;
l 鼓励使用可靠的数码监控系统和数据采集系统;
l 尽量减少并修正软件的安全漏洞;
l 加深对基础设施相对独立性的理解,提高电信设施和网络设备的物理安全系数;
l 优先发展政府网络安全研发;
l 为网络安全技术的研究和发展进行投资;
l 评估并保护新开发的网络系统。
(3)国家安全意识及其培训系统。这个系统的主要组成部分如下:第一,制定广泛的全民安全意识项目来促使全美国人都注意保护各自的网络空间安全;第二,提供足够的培训和教育项目以支持国家信息空间安全的需要;第三,提高现有的联邦信息安全培训项目的效率;第四,促进私人部门支持协调的、具有广泛认可度的网络安全专业认证系统。
l 发动全体国民参与网络安全教育,促使他们积极捍卫自身的网络安全;
l 提供足够的教育培训项目以满足国家网络安全的需要;
l 提高现有的培训项目的效率;
l 提高私人部门对专业网络安全认证的支持。
(4)捍卫政府网络空间。在联邦政府里面,由管理与预算办公室(OMB)主任负责确保各部门和机构的首长实施他们保护IT安全的法定责任。
l 不断评估政府网络系统的风险和安全漏洞;
l 给政府网络的用户授权并支持其使用;
l 确保本地政府无线网络的安全;
l 提高政府采购活动的安全系数;
l 鼓励中央和地方政府考虑建立信息安全项目并参与信息共享分析中心;
l 促进网络安全技术和程序的应用。可以利用税收优惠来促使各部门购买安全技术,也可以利用规制强制其购买,总之是要保证其拥有最低标准的网络安全技术。
(5)国家安全和国际网络安全合作。美国的网络空间是与其它国家的网络连接在一起的,因此必须于其它国家进行合作。合作的内容包括提供共同的安全意识;促进建立强有力的安全标准;积极监测和大力惩罚网络犯罪等。
l 强化与网络有关的反间谍活动;
l 提高对网络攻击的追查和回应能力;
l 提高各部门行动的协调性,共同回应网络攻击;
l 通过国家组织加强国家间政府及私人部门的对话和合作,以保护信息设施,提高全球的安全文化;
l 在国家内部和国际上都要建立监视和预警网络,以便及时探测并阻止网络攻击;
l 鼓励其他国家加入欧盟签署的《打击电脑犯罪国际公约》,或者促使他们的法律和程序比较完善。
(摘自“十一五”信息化专项规划重大课题研究之“信息化风险及风险管理研究”)
作者:张成福 唐 钧 陈淑伟 朱海燕 易小国 谢一帆 王建亮 孔祥振 等
