美国信息安全政策导向及其启示

      近年来，随着互联网在世界的飞速发展，信息安全问题及其对经济发展、国家安全和社会稳定的重大影响，正日益凸显出来。在信息化进程中，国家安全与经济、政治的安全越来越不可分割，而经济、政治安全越来越依赖于关键性信息基础设施的安全。信息安全是事关国家安危的一个全球性重大战略问题，已成为世界各国政府的共识。特别是“9.11”恐怖袭击事件后，信息安全政策更成为各国（特别是发达国家）政府公共安全政策的一个重要组成部分。美国信息安全政策在全球范围内具有普遍性和代表性，其信息安全政策导向值得我们借鉴。

      一、确立维护信息网络安全的国家战略

      当今世界，美国的信息基础设施和信息应用最发达，其互联网技术也最先进和最普及。随着冷战的结束和信息全球化步伐的加快，美国充分认识到，不论在政治、经济、还是在军事上，信息网络的作用已经同美国的国家利益和战略目标密不可分，信息安全问题已经成为维护国家安全、保障公民基本权利和夺取军事斗争胜利的关键因素。并先后调整了国家安全战略，使信息网络安全在国家安全战略诸要素中的地位不断上升，已成为国家安全战略中“不可分割的重要组成部分”。

      美国信息安全的战略重点是基础设施的安全，以此为主线美国展开了信息安全的研究和部署，并采取一系列重要举措，首先从国家战略高度规划信息安全建设，特别是信息安全基础设施建设。为此，美国先后启动了七个关于保护美国关键基础设施的计划：即①信息共享计划；②确定伙伴关系计划；③组建工作机构计划；④信息安全教育战略计划；⑤保障政府信息安全计划；⑥完善法律法规战略计划；⑦研究与开发计划。美国国家安全局制定了《信息安全保障技术框架》（IATF），全方位地从技术角度阐述了信息安全保障的方方面面，这是信息安全保障技术领域中最为系统的研究。IATF为保护美国政府和工业界的信息与信息基础设施提供技术指南，并强调信息安全保障要靠人、操作和技术来实现。美国政府关键基础设施保护委员会发布了保卫美国信息安全的“国家行动计划”，经总统批准于2000年12月生效，2003年全面付诸实施。该计划分析了美国关键基础设施所面临的威胁，确定了计划的目标与范围，制定出联邦政府关键基础设施保护计划，以及私营部门、州和地方政府的关键基础设施保障框架。该计划明确强调，要提高美国信息网络系统的整体防护能力，包括国家攻击判断和预警能力及协调响应技巧，保护涉及美国关键基础设施、政府部门、军事指挥和情报系统、重要产业和企业以及公民的信息安全。美国国会、司法部、商务部和联邦调查局也曾多次召开会议，讨论加强信息安全措施，并明确规定联邦政府为制定国家信息安全标准及信息安全政策的授权单位。

      “9.11”恐怖袭击事件是“永远改变美国如何看待其全球角色以及怎样思考安全问题方式的变革性事件”（布什总统国家安全顾问赖斯语）。“9.11”之后，美国深知在没有了全球同等级军事竞争对手之后，“非对称攻击”对于其基础设施，尤其是信息战武器这种“穷国原子弹”对于其信息网络基础设施的高度威胁。2001年10月8日，白宫任命反恐专家理查德。克拉克为总统网络安全特别顾问，以协调有关机构保护信息网络系统。2002年又提出未来美国网络安全领域的十大重要措施，其中有：制订《保护cgberspace安全的国家战略》、制定cgberspace安全模型。加强行政部门间信息网络安全的合作、建立政府与企业界在信息网络安全方面的紧密联系、培训更多信息网络安全人员、建立cgberspace预警网、建立各类基础设施间的安全保护仿真模型、提高公民的信息网络安全意识等。克拉克还提出，新的国家信息网络安全战略应该是一个开放的、透明的、动态的、与时俱进的活的战略。2002年3月，关键基础设施保护理事会在综合各专家意见的基础上提出了与国家安全战略有关的53个重要问题。这53个问题综合起来是：家庭用户小型商业机构；大型企业；国家信息基础设施领域；国家制度和政策。

      “9.11”之后，各网络安全组织和政府部门纷纷调整自己的安全战略和行动计划，以提高网络防御能力，例如：联邦计算机事故反应中心的工作重点已转移到建立自动的网络安全问题报告和反应系统上。该中心确定的核心工作主要包括开发补救方法发布系统、提高数据分析能力、建立网络安全合作系统，以及制定事故指南等。美国国务院在贝尔茨维尔建立了一个网络监视中心。该中心负责对连接到美国驻外使、领域的“junkgard dog”网进行入侵探测测试和弱点评估。美国能源部为提高本部门的网络安全性也对自身的网络安全计划进行了调整，等等。2002年9月20日，美国正式公布了新的国家安全战略。新战略首次改变了过去冷战时期的军事威慑战略，强调要对恐怖（包括网络恐怖）威胁发动先发制人的军事打击。新战略还称，美国目前拥有世界上最强大的军事（包括在整个网络空间上所进行的各类信息）攻防战力量，应该确保全球军事优势，以阻止潜在对手赶超美国。紧接着白宫推出《国家信息安全战略》，众议院通过了《网络安全加强法律》，强化对信息网络安全防护的总体规划和指导，以保障信息网络的绝对安全。

      二、完善维护信息网络安全的管理体制