6美国信息安全政策法规研究

1、从第一台计算机的问世到现在计算机的普遍,信息时代带动了一个新的社会现象，经过了很长时间的高速发展,信息这一门高新技术已经成为了世界上各个国家整体实力的支柱和力量的来源，随之而来的信息安全的问题也成为这些国家迫切需要提高的事情在这些国家中美国算得上是计算机技术最发达的一个国家，他领先于其他国家本论文通过对美国信息安全的立法和政策的理解，能对我国的信息安全技术提供宝贵的资料。关键字:信息安全信息安全立法体系结构AbstractFromtheadventofthefirstcomputertocomputerisnowwidespread,theinformationagehasdrivenanew

2、socialphenomenon,afteraverylongperiodofrapiddevelopment,theinformationthatthedoorhasbecometheworldshigh-techcountriesandtheoverallstrengthofthepillarsofAsourceofstrength,followedbytheissueofinformationsecurityhasbecomeanurgentneedforthesecountriestoimprovethings.InthesecountriestheUnitedStatescanber

3、egardedasthemostadvancedcomputertechnology,acountryhesleadinginothercountries.ThispaperbytheUnitedStatesInformationsecurityandunderstandingoflegislationandpolicy,Chinasinformationsecuritycanprovidevaluableinformationtechnology.Keywords:InformationSecurity.InformationsecuritylegislationArchitecture I

4、ITOC o 1-5 h z HYPERLINK l bookmark2 第一章信息安全概述1 HYPERLINK l bookmark4 1.1信息安全的理解1 HYPERLINK l bookmark6 1.2对信息的接收及发送的了解1 HYPERLINK l bookmark8 1.3信息安全专业的方向1 HYPERLINK l bookmark10 第二章信息安全四大体系3 HYPERLINK l bookmark12 2.1信息安全组织管理体系3 HYPERLINK l bookmark14 2.2信息安全技术防护体系3 HYPERLINK l bookmark16 2.3信息安全应

5、急响应体系3 HYPERLINK l bookmark18 2.4信息安全服务体系3 HYPERLINK l bookmark20 第三章国外信息安全立法特点5 HYPERLINK l bookmark22 3.1重视提升立法的规范性、权威性5 HYPERLINK l bookmark24 3.2重视强化立法的战略性5 HYPERLINK l bookmark26 3.3重视增强法律措施的可操作性、系统性和协调性5 HYPERLINK l bookmark28 3.4强化规范行为的法治性6 HYPERLINK l bookmark30 3.5重视提高信息网络使用者遵纪守法的自觉性6 HYPER

6、LINK l bookmark32 第四章美国信息安全政策法规发展的四个阶段7 HYPERLINK l bookmark34 4.1美国信息安全政策法规的”萌芽”阶段74.1.1萌芽的历史背景74.1.2政府对信息安全的认识7 HYPERLINK l bookmark36 4.2美国国家信息安全政策法规的发展阶段84.2.1信息安全的初期形态84.2.2计算机安全法的诞生8 HYPERLINK l bookmark38 4.3美国国家信息安全政策法规的成熟阶段84.3.1冷战对美国信息安全的影响84.3.2基础设备的保护法律94.3.3有关计划的出台9 HYPERLINK l bookmark

7、40 4.4美国国家信息安全政策法规的强化阶段101对美国政府的影响104.4.2政府的反应方案104.4.3食肉动物系统的作用114.4.4多国合作的效果11 HYPERLINK l bookmark42 第五章美国信息安全政策法规发展对我们的启示12 HYPERLINK l bookmark44 第六章小结13 HYPERLINK l bookmark46 参考文献14致谢15i第一章信息安全概述1.1信息安全的理解信息安全是信息网络硬件，软件和系统中的数据是从意外或恶意破坏的原因，变更，信息披露，持续和可靠的系统正常运行的保障及信息服务不中断。信息安全是一门综合性学科，包括由计算机科学，

8、信息论，通信技术，数论，信息安全技术，应用数学，密码学，网络技术等。信息作为一种资源，它的普遍，共享，增值性，能够处理和更加有效，使之为人类的意义尤其重要。信息安全的本质，以保护受到威胁的各类信息系统或信息网络，信息资源,干扰和破坏，就是要确保信息安全。根据国际标准化组织，信息安全的含义主要是指完整性，可用性，保密性和可靠性的定义。信息安全是任何国家，政府，部门，行业是非常重要的问题，是一个国家安全战略不可忽视。然而，对于不同的部门和行业，其信息安全要求和优先事项不同。1.2对信息的接收及发送的了解从资料中了解一个社会的内幕，早已屡见不鲜。之后在20世纪50年，从社会拥有的计算机中理解一个社会

9、的内幕，正变得越来越容易。无论是机构或个人，是委托给计算机来完成的事情越来越多品种，敏感信息通过计算机系统之间的通信中私人信息从计算机或从计算机传输到计算机中存储的输电线路脆弱，电子银行业务通过通信线路检查财务账目，执法机关了解，该电脑记录的罪犯，医生使用计算机管理，所有这些，最重要的问题在于是不是非法（擅自）访问（访问），而不在此条件下防范转让信息。通过各种手段发送信息，有本地计算机网络，互联网和分布式数据库，有蜂窝无线分组交换无线，卫星视频会议，电子邮件和其他类型的传输技术。信息存储，处理和交换过程中，存在泄漏或拦截，窃听，篡改和伪造的可能性。很明显，一个单一的保安措施已经难以保证通信和信

10、息安全必须是综合应用各种保安措施，即通过技术，管理，行政手段来实现源，信号，三方面的信息保护目的是为了达到秘密信息安全.1.3信息安全专业的方向一个具有信息安全专业知识的人会具备一定的视野，在对信息安全技术及法律法规的制定方面能提供一定的帮助，它是一门交叉性的学科，在经历了一段漫长的时期才得以更完善全面的发展，随着社会的变化和发展，信息所棉铃的问题也日益突出，确保信息的安 全已经成为了很重要的事情，所以培养一批专业的人才和开发高端的技术已经尤为重要,相信信息安全专业会成为十分具有发展前途的专业。第二章信息安全四大体系2.1信息安全组织管理体系在网络安全的问题上，约80%是由于管理不当造成的。虽

11、然“技术占三分，管理占七分“这种思路不一定准确，但在某种程度上体现了安全管理的重要。缺乏对信息安全管理系统的正常组织，容易使之成为一个混乱和无序状态。因此，一步一步的建立及完善信息安全组织和管理体系，政府在信息安全方面的工作是实行安全管理责任新的信息安全管理体系的建设特别是从以下几个方面：新区电子政务发展和信息安全管理策略部署，制定和实施新的区域组织和信息系统的安全人员管理，电子政务信息系统网络通信的安全管理系统，电子政务系统的主机和系统安全管理系统，电子政务系统的数据安全管理系统，电子政务系统的业务安全管理系统，电子政府安全事故处理和应急响应系统响应管理系统。2.2信息安全技术防护体系当新的

12、电子政务系统和政府网络应用范围，规模，复杂程度不断提升，其技术也增加了防护的难度。面对这一问题，在信息安全保障体系建设的新技术上，希望提出将孤立系统集成在一个平台上的信息安全产品，以形成信息安全保障体系，以达到一定的效果。2.3信息安全应急响应体系系统的运行过程中，有遇到的信息安全风险可能，包括设备问题，自然原因，停电等。这些原因引起的风险，可能会使系统运行受到影响，更可能会导致中断。另外，电子政务系统可以很容易成为:黑客，恶意软件和其他反动势力的人员的目标，例如篡改主页，服务攻击，网络病毒等。导致严重的后果,产生多方面的影响。通过改进各种方法和使用各种手段，尽管能对上述危害进行控制，但不能完

13、全消除，这样就有必要建立一个信息安全应急响应制度，以减少对政府信息的影响的各类突发事件。2.4信息安全服务体系信息技术到了一定的阶段，信息安全的服务也会同时发展起来，这是在国外也已经得到的验证。对此，新区将依靠信息安全的核心技术，以便于达到专业化，标准化和完善的安全服务模式。第三章国外信息安全立法特点3.1重视提升立法的规范性、权威性由于许多立法，民主参与立法过程缺乏，法规和部门规章问题的复杂性和多层次的主要焦点。加强法律信息系统应注意的是信息安全是国家安全体系，是提高认识的重要组成部分，不断完善信息网络安全制度和措施，加强信息网络安全和信息的可用性，保密，完整，真实，成为全社会的共识。信息安

14、全立法的完善，信息安全保障体系的健全，不单是要通过技术方法来保护信息网络安全，还要坚持对一些利益相关者说明信息网络安全的责任，以多方交流和合作达到提升社会的网络安全意识，提高信息建立的法制水平。3.2重视强化立法的战略性通过有计划的规划解决信息技术战略法制建设的缺失，信息安全的基本法律缺乏，立法跟不上信息化发展的需要。信息安全应被列为维护国家安全的重要组成部分，应该优先发展信息安全的法制建设，坚持以国家信息系统安全机构的能力不断提高信息安全；重视网络战争的发展动向，根据战争的早期反应调控；重视信息安全和打击犯罪的斗争，在以重罪定性来确保网络空间战争和打击网络犯罪和色情非法行为的倡议下，国家信息

15、安全得到保障。重视国际法和国内法，以弥补不足，坚持与不断发展和完善的信息安全，加强法律保障能力。3.3重视增强法律措施的可操作性、系统性和协调性关键是解决了高效，便捷的法律规范机制的缺失。努力解决法律保护信息安全的力量太强，但小于针对性，特别是，相互之间缺乏合作，在法律上有很多漏洞，没有形成一个完整的规范和控制系统，在行业的管理方面也缺乏一定的法律支持，从而造成难遵守的问题比较明显和慢慢复杂的信息网络不能得到合理的规范并故意发布虚假和有害信息，发布敌对行为危害国家安全的信息等行为，缺少严禁性质的规范和处理行的规范。尤其是迫切需要建立有针对性的，严格按照信息安全预警和应急机制，信息安全管理系统，

16、信息安全的应急计划和信息机构和机制及网络信息发言人，随着信息系统的安全确定保护级别，不断提高信息系统安全和国防能力和应变能力。3.4强化规范行为的法治性对行政问题的过多强调不利于信息安全的保障。关键问题是有关的法律对信息网络涉及主权问题和公民权益问题的保护缺乏，以及保障国家政治和经济的安全问题，在行政执法意识和能力的问题上也没有很大提高，因此，信息安全的长期有效的法律体系有待于提高。目前，迫切需要促进和规范互联网按实名制，坚持以信息网络机构的法律审查，法律禁止由政府列入“黑名单“的所有网站在一个健全的内容过滤和互联网接入服务提供者的法律框架，坚持合法性。要求信息主管的各个部门及其个传输、发布、

17、监控单位都要按照法律程序，依法办事，争取做到事情能够各负其责,，尽量不要由于责任事故的分不清你我、出现推来推去的问题继续发生。3.5重视提高信息网络使用者遵纪守法的自觉性“法不责众“及”网络暴行“逐渐增加的问题是需要认真解决好的。因为信息网络法律法规长期缺乏认识，不但造成了用户使用网络的法律意识、自律意识、社会公德意识的薄弱而且还使得部分用户的侥幸心理及不负责任的心理一天一天的增长，更夸张的是将网络看成是一个可以不管任何法律及道德的世外天地。恰巧正是由于这种情况的存在，那些恶势力及蓄意侵害国家安全的人有机会下手，使得国家的安全和民族团结存在着一定的潜在危险，甚至构成了一个很严重的威胁，现实的危

18、害。第四章美国信息安全政策法规发展的四个阶段4.1美国信息安全政策法规的”萌芽”阶段4.1.1萌芽的历史背景一世纪，第二次世界大战后60年，第二次世界战争中美国的国家安全政策产生了重要影响，为信息技术发展产生了刺激作用。在第二次世界大战中，由于军事上的需要，便使得计算机技术有了飞速的发展。接着是在第二次世界大战中发挥了重要作用的情报系统，这也让美国开始认识到并重视信息安全的保障。美国的一些政客们业从中开始认识到国家的安全和一些特殊的信息之间存在的关系。美国的国家安全立法产生的标志性时期是1946年的“原子能法”，1966年“信息安全法”。到1946年国家安全立法的“原子能法”在美国的占领历史上

19、一个非常重要的地位。从“原子能法”内容的了解中，当时的那些政客们开始认识到必须通过严格的管制以用于保障国家信息安全。该法提出了一个新的理念：“限制数据”（简称RD）的，任何与核有关的数据项目都包括在了数据目录中。使得RD处在非常严格的保护措施中，只允许极少部分机构和人能接触到这些信息。这种方法能够有效的控制触碰国家信息的人，因而使信息安全的保护达到最有效的方法。然而，这些保护措施也有一定不弊端，它使得信息在除了军事外的其他方面失去了价值。所以，在1954年美国“原子能法修正案，让更多的人来访问商业用途上与国际原子能机构合作，原子能和平利用这些数据信息得到了法律保障。4.1.2政府对信息安全的认

20、识政府在对信息安全保护的重视程度上不断增加，但与此同时西方的一些传统导致了人们思考的知情权和国家安全问题之间的一种平衡关系，避免公民要求政府信息的公开和透明的个人权利不受到损害。为此1966年，总统签署了“信息自由法”。“信息自由法”的发展宗旨是敦促政府机构将其掌握的文件及其他资料，包含以电子格式信息向公民全部公开，使其能够对政府进行监督。但也有必要保护国家安全，因此，用了9个列外的形势将被列在需要保护的条文头。分别有以下9个条列：（1）国防和外交事务的利益，被评为保密的事项；（2）只有在人事制度，政府机构和做法有关事宜；（3）由公共信息法律的其他豁免；（4）贸易秘密;在备忘录和字母（5）政府

21、机构和政府机构；（6）个人隐私的文件，包括人事档案，医疗档案及类似文件；（7）执法文件；（8）重大财务机构；（9）地质资料。这9个条例可不必对外公开。4.2美国国家信息安全政策法规的发展阶段4.2.1信息安全的初期形态在20世纪的冷战时期，互联网的雏形产生了。不久后，在网络上传输，因为它的巨大优势，获得信息的出现与快速发展。同时，一个国家信息安全有关的一系列事件，导致了政治家和公民对国家安全关注和重视。在这种情况的背景下1978年6月28日美国宣布了一个总统命令，命名为：1.2065号。该命令是对这段时期有着里程碑式重要意义,表现着国家信息安全政策开始初具规模。与此同时，美国制定了计算机犯罪的

22、法律和制度来控制和维护国家信息网络安全系列，其中有：1破坏罪。2故意非法入侵罪。3侵犯知识产权罪等相关事项。如何可以很好的管理有关的国家安全政策文件的信息是美国政府发表这一行政命令的目的这也是第一份文件。它的基本信息它反映了国家信息安全管理的涉及。该信息有三个层次的级别：1.最高机密2绝密3秘密，有哪些部门可以有一定权力发布特殊等级的信息被很清楚的规定。接着，在政府里做事的职员所拥有的所有权利也被确立。最后是为了拥有专门负责管理国家信息安全有关联的事情而建立了一个新的机构一信息安全检察办公室。4.2.2计算机安全法的诞生美国政府为了强化网络安全,规范网络领域采取了一系列的法律用来规范它们。于是

23、就诞生了1977年的“联邦计算机系统保护法”，这一法律意味着将计算机系统也列入保护的范围内并多次进行修改且通过了一些法律规定。1987年的“计算机安全法”成为了基本的计算机安全法，这项法律带动了美国计算机产业走向一个日渐成熟和稳定的方向其目的是为了让一些过于敏感的内容的安全和保密工作得到了一定的改善；其政策和标准的授权机构就是依照法律来规定国家的标准和有关部门，制定信息安全政策和标准权威；当存在一些涉及保密的信息时需要专门为其设计一个安全计划凡是跟这个计划有关的人员都必须得通过一系列的相关培训；在有必要的情况下成立一个隶属商务部门的与安全和保密有关系部门同时制定出相关的计划4.3美国国家信息安

24、全政策法规的成熟阶段4.3.1冷战对美国信息安全的影响当20世纪末的苏联解体意味着冷战时代的结束，这一时代的到来带动了国际安全形势有着较好的变化，可对于美国而言并没有什么太好的转变，在这一期间互联网有了很大的发展，随之产生了能联系全世界的系统网络，在美国政府和人民生活中占有重要地位的基础信息建设上克林顿及相关政府提出了需要兴建信息的高速通道直到1933年的NII和1994年的GII计划这里所指的基础信息建设是由公共保障、社会和政府等相关部门和单位在工作和生活中所需要的信息资源的统称其中包括各式各样的计算机网络设施和其他一些高端行业中所需要的科学机制性方面的内容,而其中很重要的基础信息设备则是国

25、际互联网网络的重要环节,要保护好它们就得从2个方面入手：1.预防由自然或人为的因素造成的灾害导致的系统运行中断。2保护信息资源的：1可用性。2可靠性。3完整性.4。保密性.5.不可抵赖性这五个属性。在此期间需要强化国家中重要信息的基础设备安全是国家在制定战略时的重要部分。这一战略重点表现为几个法案的制定和签署其中有：1.1988年的“国家信息基础设施保护法案”2.1998年的“关键基础设施的63号总统令”3.2000年“信息安全”的战略报告4.3.2基础设备的保护法律对于那些蓄意破坏国家信息基础设备的举动国家将用“基础设施保护法”来处理并惩罚。其法案的具体内容是：1.在没有经过允许或授权的情况

26、下私自的进入或者下载连上网的计算机从中获取了已经被列入保护范围内的资料将受到指控。2.在没有经过允许的情况下对一定级别的计算机系统蓄意破坏或者传输资料、代码等使计算机受到了破坏，也将受到指控。98年签订的“有关关键基础设备的63号文件”，这一文件的签订将起到说明信息安全的意义及一个长期或者短期的目标等，对此政府部门需要商定至少二个国家规划来对其系统设备进行必要的保护，同时需要政府每隔一定的时间向外界说明及公布这一时期内对设施的保护所取得的成果。这一文件中说到：1政府的信息系统安全性将在2000年得到跨步增长。2为了不让基础设施受到任何情况的攻击将在2003年成立几个安全的基础设施，这是一个覆盖

27、全国的协调机构，此机构隶属于联邦调查局中的国家基础设施保护中心，它能代表政府内只要跟信息有关联的部门和一些私企的代表，就因为这样它的重要性是显而易见的。这个机构中还分别单独成立了3个特殊机构：1.共享和分析中心。2.国家设备保障咨询会。3关键设备保障办公室。它们的责任就是与政府和私企进行协调工作。4.3.3有关计划的出台在美国国家信息安全发展中有一件很重要的事情就是战略计划的出台，该报告的内容将“信息安全”作为安全战略的组成因素。正是因为这一计划的出来，代表了信息安全这一概念成为了国家安全战略的框架，并一步一步地拥有了自己在框架内的重要地位。在该文件中有三个大的有关系信息安全政策的关键问题。1

28、从三个新的方面构成信息安全利益。（1）必须确保那些基础设备能够不间断的运行。（2）收集各个方面的信息包括杀伤性武器中的各种信息，及国外的信息，使得军事领域中的信息技术有很好的发展。（3）加大信息的传输能达到国家拥有对别的国家产生影响力的作用。2.国家信息安全在对国外所拥有的能力和所作出的事情受到了一定程度上的重视，这让原本很大的世界变得越来越小、越来越近。让资源何信息能够通过网络实现共享，这也让一些不法分子能够通过许多途径对国家安全构成重大危害，后果是不可估量的。3面对这样的情况可以通过国家与国家之间的合作来降低和防范危险的发生。4.4美国国家信息安全政策法规的强化阶段1对美国政府的影响9.1

29、1一个重大事件的发生，从这件事情上反映了国家在信息安全方面还面临着许多重大的考验，这件事情也使得美国国内信息安全的情况发生了变化，在此之前政府及研究人员认为对于信息安全的威胁主要来自于基础设备的损坏，所以把工作的重点就放在了防范设备损坏的工作上，但是当9.11事件发生的时候，人们猛然发现那些不法分子甚至没有去攻击那些基础设备，而是直接利用发达的网络通讯来进行行动的有利方法，他们的思路是去利用好网络信息，他们通过对网络的利用从而改进自己组织的各项能力，并通过媒体来透视事情发生后的一些场面，这让维护国家信息安全的格局发生了变化且做出了新的要求，不在像以往那样局限性的防御基础设备，转而向强化对信息流

30、动的管理，也就是一个国家需要有能够控制国家及国外的信息流的能力，从中去发现一些特殊的情况以便提前作出应急策略，这样的能力是需要有很高的技术和很强的管理体系，这样才能有快速高效的应对能力，不过随之也带来了对公众的隐私和知情权作为工作的负面影响，政府部门需要做出相关的解释，9.11事件的发生必定会带来极大的影响，在国内公民一致认为：他们的国家受到了恐怖组织的威胁，也对国家的安全产生了极大的担心，并付出了很高的代价来换取一些政府的安全保障，这样使得政府在对基础设备的保护和强化国内信息控制的问题上能够很好的提高和发展，并积极要求国际上的合作。在这一时期国内信息安全的政策和立法从下面的多个方面体现：1.

31、对现有的基础设备进行进一步的强化保障，为此还特意出版了“信息时代保障关键基础设备”为了在关键设备上的保护。在2002年通过了网络安全研究与发展法，这项法律是在机构的建设方面和计划的管理资金的投入方面采取了一定的措施。与此同时美国政府还专门制定了许多相关的法案，来保障和攻击网络犯罪，从而加强了基础设施的安全。4.4.2政府的反应方案其次，在加强基础设备保护的同时政府部门还强化了对信息的监控措施，爱国者法案是美国政府在9.11事件后发布的最重大的一部法律，但同时也是受到争议最大的一部。这部法案的目的是给了国内执法部门很大的权力和加强了相应的设备用于打击敌对势力，让公民拥有一个很好的生活环境。这部法

32、律涉及了十个章节的内容，并对之前的很多部法律作出了改善修订。在通过许可后从各种渠道获得不法分子的资料，并许可对在国外拥有大额的帐户进行审查，以防止不法分子的行为从而起到打击作用。4.4.3食肉动物系统的作用美国对信息监控有着一套名为“Carnivore”（食肉动物系统）的系统。这套系统一旦装上网络服务商的服务器上时，就能很好的对网络活动进行特定的监控并监测邮件和浏览的内容。在9.11发生后的一项重要措施就是美国政府通过新的法案并给于资金为了加强系统的功能，系统的所属机构在得到允许后积极的加快强化的速度，并将其安装在了很多的服务器上。4.4.4多国合作的效果最后，美国政府致力寻求国际合作，使得网

33、络的特性和快速的发展让国家与国家之间通过合作来保护信息。通过合作和加强控制来实现国家信息安全得到有力保障的目的，也同时通过彼此间的合作来反击不法分子的行为，来达到信息的安全。200可1年有30个成员国家和4个合作国家共同达成了一个名为计算机犯罪公约这是第一个通过国与国之间合作而达成的公约，它的意义就在于加大对不法分子国际合作的打击。2002年签订的全球信息社会冲绳宪章在对信息技术的发展方面提出了一些制定，这有利于推动世界信息社会的发展，并要求更进一步的强化电子的认证及签名和加密的技术。2005年美国政府声明，随着网络社会的发展和不法分子威胁的挑战，其商务部门将一直对13台根服务器进行有效的监控

34、。第五章美国信息安全政策法规发展对我们的启示通过对美国信息安全的法规和体系的深入学习和了解，从中可以看出中国的信息安全系数相比美国来说还是存在一定的差距的，不论是从体系结构还是法律法规的制定方面，因此2011年中国提出了信息安全专项有关事宜：1为国家信息化建设提供支撑的信息安全商品产业化。2.为基础信息网络和重要信息系统安全运行提供技术支持的信息安全专业化服务。3.面向国家信息安全的安全标准体系及重要信息安全产品的关键标准其目的是为了信息安全不论在中国的各个行业都能有不受侵扰稳步发展。通过对美国信息安全相关政策法规的了解我认为我们应该注意以下几个方面的问题：1.加强政府对信息技术的投入和监管，为了让信息资源能够很好的进行管理，必须投入一定的费用，取得实效。有效的监管信息技术。2完善国家信息资源管理相关政策法规体系建设，需要出台一部系统的完善的统一的“信息安全管理法”加强信息资源管理相关政策法规体系的建设，对法律保障体系进行完善。3提升政府在