中國信息安全認證中心 宋揚

　　美國的國家信息安全保障體系由來已久，從“二戰(zhàn)”期間對國家信息的保護，到“冷戰(zhàn)”期間與前蘇聯(lián)之間的信息戰(zhàn)，再到“911”事件發(fā)生之后，對信息安全保障的重視進入到一個新的階段，時至今日美國的信息安全的保障體系已經(jīng)逐步健全。美國信息安全保障框架形成了由安全技術(shù)、安全管理與政策法規(guī)三個層次統(tǒng)一協(xié)調(diào)的立體化框架。三個層次之間形成了一個有機整體?？傮w而言，美國現(xiàn)在的信息安全戰(zhàn)略屬于“擴張型”的信息安全戰(zhàn)略，在關(guān)鍵基礎(chǔ)設(shè)施、信息安全等級保護等相關(guān)領(lǐng)域制定了一系列的相關(guān)立法，形成了比較完善的信息安全保障體系。本文對美國信息安全保障立法體系進行介紹，并根據(jù)我國情況提出幾點思考。

　　一、美國保護政府信息安全立法情況

　　美國對計算機網(wǎng)絡(luò)高度依賴，從聯(lián)邦政府到州政府，再到公民個人的大量信息幾乎全部存儲在計算機系統(tǒng)中，由于政府信息安全事關(guān)國家安全及政治穩(wěn)定，一旦遭到破壞，產(chǎn)生的后果將更為深遠和不可逆。因此，美國極為重視對政府信息的保護。

　　目前，美國有關(guān)政府信息安全方面的法律主要有：

　　1966年，美國制定《信息自由法》，并且分別于1974年、1986年和1996年進行了修訂，主要內(nèi)容涉及對政府信息的獲取、公開方式、可分割性，以及相關(guān)的訴訟事宜等。

　　1987年制定的《計算機安全法》，規(guī)定NIST負責(zé)開發(fā)聯(lián)邦計算機系統(tǒng)的安全標(biāo)準(zhǔn)。除了國家安全系統(tǒng)被用于國防和情報任務(wù)外，商務(wù)部負責(zé)公布安全標(biāo)準(zhǔn)，加強聯(lián)邦計算機系統(tǒng)安全保護的培訓(xùn)的責(zé)任，以提高聯(lián)邦計算機系統(tǒng)的安全性和保密性。

　　1991年發(fā)布的《高性能計算法》，規(guī)定建立滿足安全需求的聯(lián)邦高性能計算程序，此程序應(yīng)當(dāng)提供跨部門之間協(xié)調(diào)并向國會遞交年度執(zhí)行報告。此外，此法還要求NIST為聯(lián)邦系統(tǒng)建立高性能計算的安全與隱私標(biāo)準(zhǔn)。

　　1996年發(fā)布的《克林格-科恩法》，又名《信息技術(shù)管理改革法》，規(guī)定設(shè)立首席信息官(CIO)職位;授予商務(wù)部發(fā)布安全標(biāo)準(zhǔn)的權(quán)利，要求各個機構(gòu)開發(fā)和維護信息技術(shù)架構(gòu);要求政府預(yù)算辦公室(OMB)監(jiān)督主要信息技術(shù)的收購，并且與國土安全部長協(xié)商，公布國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定的強制性聯(lián)邦計算機安全標(biāo)準(zhǔn)。

　　2000年發(fā)布的《政府信息安全改革法》，規(guī)定聯(lián)邦政府部門在保護信息安全方面的責(zé)任， 此法明確了商務(wù)部、國防部、司法部、總務(wù)管理局、人事管理局等部門維護信息安全的具體職責(zé)，建立了聯(lián)邦政府部門信息安全監(jiān)督機制。

　　2002年發(fā)布的《聯(lián)邦信息安全管理法》，為聯(lián)邦信息系統(tǒng)創(chuàng)建了一個安全框架。該法案強調(diào)風(fēng)險管理，規(guī)定了OMB、NIST、CIOs、CISOs(首席信息安全官)、IGs(聯(lián)邦機構(gòu)監(jiān)察長)的具體責(zé)任。倡導(dǎo)建立由OMB監(jiān)督的中央聯(lián)邦事件中心，負責(zé)分析安全事件并且提供技術(shù)幫助，通知機構(gòu)運營商當(dāng)前和潛在的安全威脅及漏洞。

　　2009年奧巴馬總統(tǒng)簽署《網(wǎng)絡(luò)空間政策評估報告》，強調(diào)保障美國政府的網(wǎng)絡(luò)系統(tǒng)安全。

　　二、美國打擊計算機犯罪立法情況

　　1958年，世界上第一例計算機犯罪在美國硅谷發(fā)生，但是直至8年后才被發(fā)現(xiàn)，隨后計算機犯罪引起了美國的高度重視。1970年美國頒布了《金融秘密權(quán)利法》，對金融業(yè)務(wù)計算機中存儲的數(shù)據(jù)進行限制。到1984年美國制定了規(guī)范計算機犯罪的專門性法律《聯(lián)邦計算機安全處罰條例》，并在1987年頒布。在1988年美國就成立了由計算機安全專家組成的行動小組，對違法犯罪程序和計算機病毒的防范進行研究。同年，美國國防部高級研究計劃署成立計算機應(yīng)急響應(yīng)小組，負責(zé)計算機安全問題。美國有關(guān)計算機犯罪的法律主要有：

　　1984年的《偽造連接裝置及計算機欺詐與濫用法》。這是美國通過的第一部關(guān)于計算機安全與犯罪的法案，規(guī)定了禁止對聯(lián)邦計算機系統(tǒng)、銀行系統(tǒng)、各州及對外貿(mào)易的各種攻擊。

　　1986年簽署的《計算機欺詐與濫用法》，擴展了1984年《偽造連接裝置及計算機欺詐與濫用法》的范圍，并對1986年《電子通訊隱私法》進行了補充，宣告未經(jīng)授權(quán)訪問“聯(lián)邦利益”計算機(指被牽涉進某個刑事案件的兩臺或多臺計算機，且它們位于不同的州)，及未經(jīng)授權(quán)破解計算機口令為犯罪行為，以及交易盜竊的計算機密碼為違法行為。在1994年的修正案中，對傳播病毒和其他有害代碼行為也作了規(guī)定。

　　《計算機欺詐與濫用法》頒布以后，網(wǎng)絡(luò)技術(shù)的發(fā)展導(dǎo)致計算機犯罪出現(xiàn)新的形式，尤其是業(yè)內(nèi)人士的犯罪行為增加，但該法并沒有對內(nèi)部人員犯罪做出規(guī)定，加上近些年計算機犯罪的產(chǎn)業(yè)化趨勢，使得計算機犯罪立法更為急迫。

　　三、美國保護個人隱私立法情況

　　美國的電子商務(wù)迅速發(fā)展，收集和分析個人信息的軟件行業(yè)紛紛建立，給用戶的個人隱私安全帶來極大隱患。為了降低個人隱私因使用電腦等高科技過程中被侵犯的可能性，美國從法律層面加強對隱私的保護。美國有關(guān)隱私保護的法律落后于歐盟，尤其是2001《愛國者法》的出臺，擴大了警察機關(guān)的權(quán)限，為政府更多涉入公民私生活創(chuàng)造了條件，違反確保公民私生活隱秘的憲法原則，引起很大的爭議，美國應(yīng)該考慮制定適應(yīng)當(dāng)今時代的新的隱私保護法律。美國有關(guān)信息安全的隱私保護法律有：

　　1974年的《隱私權(quán)法》，規(guī)定聯(lián)邦機構(gòu)限制個人可識別信息的披露，要求機構(gòu)提供訪問個人信息記錄的權(quán)利。

　　1986年通過的《電子通信隱私法》主要禁止未經(jīng)授權(quán)的電子竊聽，對信息傳輸安全、存儲安全和監(jiān)視合法性進行的規(guī)定。

　　1998年美國通過了《兒童網(wǎng)上隱私保護法》，該法規(guī)定了網(wǎng)站經(jīng)營者必須披露其隱私保護政策，聲明尋求兒童監(jiān)護人同意的時間及方式，以及違法兒童隱私保護應(yīng)承擔(dān)的責(zé)任。該法適用于美國管轄之下的自然人或單位對13歲以下兒童在線個人信息的收集。

　　2001的《醫(yī)治保險攜帶和責(zé)任法》(HIPAA)修正案，目標(biāo)之一就是保護病人的電子健康記錄，并提出保護的具體標(biāo)準(zhǔn)。該法詳細規(guī)定了行政保障措施、物理保障措施、技術(shù)保障措施及安全責(zé)任的分配問題，對于違反安全標(biāo)準(zhǔn)的實體，規(guī)定了最高可達25萬美元罰款和最長10年監(jiān)禁的嚴(yán)厲懲罰措施。

　　四、美國保護關(guān)鍵基礎(chǔ)設(shè)施立法情況

　　關(guān)鍵基礎(chǔ)設(shè)施關(guān)系到一國的經(jīng)濟發(fā)展與社會穩(wěn)定，美國特別重視對關(guān)鍵基礎(chǔ)設(shè)施的保護。20世紀(jì)90年代中期，鑒于日益增長的國際恐怖主義威脅，美國從國土安全的角度對關(guān)鍵基礎(chǔ)設(shè)施進行了重新定義。2001年的《愛國者法案》對其做出了詳細的概念解釋。2003年布什總統(tǒng)發(fā)布第7號國土安全總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識、優(yōu)先級和保護》，對美國關(guān)鍵基礎(chǔ)設(shè)施和重要資源進行優(yōu)先級排序和保護。2006年DHS發(fā)布《國家基礎(chǔ)設(shè)施保護計劃》為今后的關(guān)鍵基礎(chǔ)設(shè)施保護提供總體框架。相關(guān)法律主要涉及以下幾部：

　　1996年發(fā)布《國家信息基礎(chǔ)設(shè)施保護法》，規(guī)定未經(jīng)授權(quán)進入受保護的計算機系統(tǒng)并通過各種形式進行惡意破壞行為，利用電子手段對他人和機構(gòu)進行敲詐行為，或是試圖這樣做的行為都要受到刑事指控。

　　2002年發(fā)布《國土安全法》，明確了國土安全部(DHS)的職責(zé)和組織體系、信息分析和基礎(chǔ)設(shè)施保護、CIO管理職責(zé)，及加強在國土安全保護方面的合作等。

　　2010年發(fā)布的《國土安全網(wǎng)絡(luò)和物理基礎(chǔ)設(shè)施保護法》，涵蓋了部門責(zé)任義務(wù)的遵守、個人隱私保護和數(shù)據(jù)泄露應(yīng)對、網(wǎng)絡(luò)安全教育和技術(shù)研發(fā)、重要電力基礎(chǔ)設(shè)施保護和漏洞分析、國際合作、打擊網(wǎng)絡(luò)犯罪以及采購與供應(yīng)鏈安全等內(nèi)容。

　　此外，美國111屆國會上提出《國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護法案2010》，規(guī)定在國防部(DOD)建立國家網(wǎng)絡(luò)中心，設(shè)立主管職位直接向總統(tǒng)報告安全事件，建立國家網(wǎng)絡(luò)安全項目預(yù)算全國性的網(wǎng)絡(luò)防御應(yīng)急基金，建立政府與私營部門之間協(xié)作的網(wǎng)絡(luò)防御聯(lián)盟，分享彼此的網(wǎng)絡(luò)安全威脅信息，并互相提供技術(shù)支援。

　　五、幾點思考

　　總結(jié)美國相繼出臺的信息安全立法，可以看出美國規(guī)范信息安全的法律經(jīng)歷了一個從“預(yù)防為主”到“先發(fā)制人”，以控制“硬件設(shè)備”到控制“網(wǎng)絡(luò)信息內(nèi)容”的演化過程。

　　首先，美國信息安全立法涉及范圍廣泛，有規(guī)范網(wǎng)絡(luò)犯罪方面的，加強信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護方面，規(guī)范信息收集、利用、發(fā)布方面，隱私權(quán)保護等方面。

　　其次，注重多部門協(xié)作，建立威脅信息共享及應(yīng)急支持機制，并且設(shè)立專門機構(gòu)協(xié)調(diào)各方攜手保護信息安全。

　　再次，為了落實信息安全政策及法律，美國將政策執(zhí)行、監(jiān)督、管理等權(quán)利分配給多個部門，包括DHS、OMB、國防部、審計署、商務(wù)部、司法部等，并且根據(jù)現(xiàn)實需要不斷增設(shè)新機構(gòu)。

　　此外，美國還注重標(biāo)準(zhǔn)的制定，在多部法律中提到制定相應(yīng)標(biāo)準(zhǔn)保護信息安全，例如規(guī)定CIO委員會與NIST協(xié)作制定安全標(biāo)準(zhǔn)，NIST制定高性能計算的安全與隱私標(biāo)準(zhǔn)等。

　　總體而言，美國當(dāng)前有關(guān)信息安全立法的發(fā)展趨勢是要擴大政府部門在網(wǎng)絡(luò)監(jiān)管中的權(quán)限，并明確其職責(zé)任務(wù)，以滿足應(yīng)對與日俱增的信息安全風(fēng)險與挑戰(zhàn)的需求。