□袁 艺 夏成效 胡效军
美国是世界上最早建立和使用计算机网络的国家,随着“信息高速公路”建设的完成,开始进入网络经济时代。作为信息产业发展最为迅速的国家,美国拥有世界上最先进和最庞大的信息系统,对信息网络的依赖性也最大,信息网络安全问题成为其主要的现实隐患之一。因此,美国在促进信息产业迅速发展的同时,也在不断调整信息安全战略,并采取多种方法和措施,应对日趋严重的信息安全问题。
一、加强信息安全顶层设计,确立信息网络安全国家战略
美国一直高度重视信息安全问题,把确保信息安全列为国家安全战略最重要的组成部分之一。2003年2月14日,美国公布了《网络安全国家战略》报告,正式将网络安全提升至国家安全的战略高度,从国家战略全局对信息网络的正常运行进行谋划,以保证国家和社会生活的安全与稳定。2003年,美国又制定了《确保信息安全的国家战略》,确定了3个战略目标和5项优先行动。可以说,过去20多年来,美国一直在努力设计一种战略来应对信息安全威胁和保护自身利益,从“主张发展优先”逐渐变化为“主张安全优先”,从“适度安全”到“先发制人”,通过不断改变信息安全战略,来确保国家的网络信息安全。
从克林顿政府时期开始,美国就着手信息安全领域的战略部署,当时的信息安全主题以防护为主,重点在于“全面防御”,保障信息安全的主要手段还是以信息安全产品为主。到了布什时代,布什政府一方面继承了克林顿政府网络保护的特点,同时又强化了网络反恐的主题,体现攻防结合的特点。特别是“9·11”恐怖袭击事件之后,在反恐战争的背景下,加强国家控制信息流动的能力,成为美国政府保障美国国家信息安全的首要选择。美国的信息安全战略已开始具有极强的扩张性,组建了全球最强大的“世界信息战略指挥中心”,构建了“网络中心战”和覆盖全球的信息网络,研究探索信息战的规律并制定扩张型信息战战略战术,为更大方位地实行信息霸权做准备。2008年年初,布什赋予国防部更大的网络战反制权,允许美军主动发起网络攻击,甚至可以悄无声息地破坏、控制敌方的商务、政务等民用网络系统。奥巴马上台后,将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项。”奥巴马政府在削减了包括f22战机在内的传统武器的同时,却大幅增加网络攻击武器的投入,并筹建网军司令部,其网络安全战略已显现出“攻击为主,网络威慑”的特点。
二、做好信息安全立法工作,完善保障信息安全法规体系
近年来,在解决计算机网络的脆弱性问题以及保障信息安全方面,美国采取了强有力的立法措施,并陆续颁布了一系列法律、法规和指南来提高对信息安全的保障能力。信息安全立法涉及的领域从最初规范网络传播色情内容开始,逐步发展到政务安全、邮件、隐私、犯罪、电子商务、反恐等方面,已形成一整套较为完善的法规体系。例如,在政府机构档案文件信息及保密方面,制定了《信息自由法》、《总统档案法》、《联邦信息资源管理法》等;针对网络信息犯罪,主要制订了《国家信息基础设施保护法案》、《反电子盗窃法》、《计算机犯罪强制法》等。保证联邦计算机系统安全是美国联邦政府的主要工作,因此,联邦政府还运用行政权力,以政府通告、总统行政命令等形式,不断推出有关信息安全的政策方针和各类规章制度。1998年5月,克林顿总统颁布了第63号总统令,要求确保关键基础设施的安全。2000年1月,克林顿又签发了信息系统保护国家计划,要求立法机构制定鼓励网络空间安全信息共享的法律框架。
“9·11”事件后,美国政府对信息安全更加重视,陆续出台了一些新的法规文件。2002年12月颁布了《电子政务法》,该法对联邦政府信息技术管理和规划的每一个方面,从危机管理到电子档案及查询索引都做了规定。该法还第一次拨专款3.45亿美元支持《电子政务计划》。在具体内容中特别强调了电子政务中的信息安全问题,重新授权政府信息安全改革法,为保护政府计算机网络安全提供管理框架。2005年7月,美国政府制定了《联邦信息安全管理法案》。该法案对信息安全进行了新的定义和解释,授权各管理部门行使国家信息安全管理职责,例如,授权国家标准与技术局为联邦政府使用的系统制定安全标准与指南;授权管理与预算办公室主任对安全政策、原则、标准、指南等的制定、执行(包括遵守)情况进行监督等。该法是美国政府在“9·11”事件后为加强国家信息安全颁布的另一部非常重要的法律。
三、构建信息网络安全机构,健全维护信息安全管理体制
维护国家信息网络安全是美国政府的一项重要职责。通过强化政府的安全职能,加强网络监控力度,改组信息管理机构,设立层层主管机构,美国逐步形成一整套信息安全防范体系。为了统一领导并便于协调,美国很早就成立了由主要内阁成员参加的“关键基础设施保护委员会”。该委员会定期举行会议并提交报告,为总统了解信息网络安全状况和制定政策提供建议,并协调各项保护信息系统计划的实施。在信息安全的组织和执行机制上,美国总统通过国家安全委员会、关键基础设施保护委员会处理和协调有关信息网络安全事务。关于信息网络安全的具体工作,分别由美国商务部下属的国家标准与技术局和国防部下属的国家安全局分工负责。
“9·11”事件后,美国政府强烈认识到紧急事件发生后的应急管理中,各部门之间的安全情报等信息的流动性及共享性问题的重要性。2002年7月,美国在原来“国土安全办公室”的基础上,成立了“国土安全部”。国土安全部是美国联邦政府确保网络安全的核心部门,支持联邦政府各部门、各机构对网络攻击做出响应,在保障信息安全时是公共部门、私营部门和研究机构之间的指挥中枢。国土安全部设立了“国家网络安全中心”,作为承担和实施美国国家网络保护职能的具体机构。布什总统还下令将“关键基础设施保护委员会”这一协调机构改为行政实体“关键基础设施保护办公室”,接受总统办公厅领导,原关键基础设施保护委员会协调的10个信息委员会和23个联邦部委办,在新成立的办公室统一指挥下负责全美联邦政府的信息网络安全问题。美国在联邦调查局还成立了国家基础设施保护中心,连接美国所有行政部局及一些私营部门的信息共享和分析中心,对网络攻击提供实时报警、综合分析、执法调查和应急响应活动。
四、不断加大信息安全投入,大力发展信息网络安全技术
美国政府非常重视在信息网络安全研发方面给予连续、长期、稳定、充分的资金投入,以确保研究机构有充足的时间进行充分的开发和实现高质量的研究计划。美国政府要求国会从2000年起每年增加20亿美元用于提高网络安全,从而保证有持续的资金流,以满足信息网络安全研究开发、奖学金和其他刺激措施的长期需要。“9·11”事件后,美国投入600亿美元用于反恐,其中打击网络恐怖活动的开支也相应增加。此外,据美国数据公司和摩根公司联合调查统计,2000年美国各大公司用于信息网络技术安全的开支增长了43%。2008年1月,美国总统签署国土安全第23号总统令,提出国家信息安全综合行动计划,明确指出要增加对信息安全的财政投入。
随着网络安全问题的不断更新,美国政府不断发展并部署新的信息安全技术,大量开发防火墙、安全路由器、安全服务器、用户认证产品等保护计划和产品的研制,其信息网络安全技术在世界上处于领先水平。2006年4月,美国信息安全研究委员会发布《联邦网络空间安全及信息保护研究与发展计划》,制定了全面、协调并面向新一代技术的研发框架,确定了14个技术优先研究领域和13个重要投入领域。此外,美国在不断进行技术研发和完善的同时,还加强了某些技术的控制和管理,企图在下一代信息安全技术中掌控全球,维持其世界霸主地位。
五、提高全民信息安全意识,加强网络安全教育培训
美国政府在提高全民信息安全意识和深化信息安全培训方面,制订了一系列计划并展开了卓有成效的工作。在增强信息安全意识方面,由国土安全部负责领导提高家庭用户、小型企业、大型机构、高等教育机构、州和地方政府等关键用户网络安全意识行动,如制定提高中小学生网络安全意识计划,以及促使州和地方政府的关键决策者支持对信息系统安全保护措施投资等。
在网络安全教育培训方面,进一步提高现有联邦网络安全培训计划的有效性,促进开展足够多的培训和教育计划。国土安全部还与其他部门协作,在1999年正式实施“国家网络安全培训计划”。国家安全局采用授权认可的管理方式,选择美国境内在符合国家安全系统委员会标准的信息保证方面较为成熟的23所高校,制订了包括建立“网络安全保障教育和学术交流中心”在内的“国家信息保障教育与培训规划”。作为帮助培养信息安全技术骨干的一部分,国会还通过了网络安全研发法案,授权国家科学基金会授予提升计算机安全领域的基础研究许可,授予高级研究机构建立或促进其计算机与网络安全计划和注册的许可,提供计算机与网络安全毕业生的帮助计划,许可大学建立项目以培养学生从事计算机与网络安全领域的学术研究等,加强网络安全和专业人员资格认证。