美國信息安全體制彰顯三大變化《轉》

美國信息安全體制彰顯三大變化

 

　　首都經濟貿易大學信息學院 曠野

　　「9·11」以後，美國的信息安全政策和管理體制變化主要體如今如下三個方面：一是情報收集、分析和分享，二是重要信息基礎設施保護，三是網絡***能力建設。

　　5 月29日，美國政府發佈了《網絡空間政策評估報告》。與此同時，美國總統奧巴馬發表講話，全面闡述美國的信息安全新政策。新政策的主要內容是在白宮設立一個由信息安全協調員領導的信息安全協調辦公室，以負責統籌和協調政府的信息安全政策。信息安全協調員是美國政府行政部門中最重要的官員之一，對美國安全、外交和經濟事務具備舉足輕重的影響力。設立信息安全協調員辦公室，任命信息安全協調員，能夠認爲是奧巴馬政府對布什政府信息安全管理體制的重大調整。 「9·11」以前，美國的信息安全政策制定與計劃執行分散在不一樣的職能部門。「9·11」事件以後，美國社會認爲，如此多的美國情報機構竟然沒能發現和阻止「9·11」事件，這說明美國的情報和安全體制存在問題。所以，信息安全政策必須做爲國家安全政策的組成部分統籌考慮。「9·11」以後，美國的信息安全政策和管理體制變化主要體如今如下三個方面：

　　一是情報收集、分析和分享。

　　與信息安全有關的情報包括兩個方面：一是針對網絡的威脅，如網絡***、關鍵信息基礎設施的安全漏洞等；二是利用網絡傳播威脅國家安全的信息。美國聯邦政府有 10多個情報機關，分屬於不一樣部門，雖然早在1981年情報委員會就成立了，但直到2004年，情報的匯聚與分享並無實質性進展。「9·11」以後，媒體批評美國情報機構對情報的分析甄別能力不足，處理不及時，政府當即着手改革情報體制，頒佈愛國者法和情報改革法。其中，愛國者法的主要內容是放寬對執法部門限制，擴大執法部門的權力。情報改革法的主要內容是對情報活動的協調機制以及情報的分析研判、分享機制進行了改革。情報改革法設立了國家情報總監一職，賦予國家情報總監協調各情報機關相關行動的權力。

　　二是重要信息基礎設施保護。

　　重要信息基礎設施保護之因此成爲信息安全戰略的一部分，是由於全部國家的關鍵基礎設施都須要信息系統支持其安全穩定運行。

　　在美國的重要信息基礎設施中，首當其衝的是聯邦政府信息系統。2002年，美國頒佈信息安全管理法，明確了聯邦政府信息系統的安全管理職責。信息安全管理法要求，美國聯邦政府各部門必須制定並實施保障本部門信息和信息系統安全的綜合計劃，每一年必須進行信息安全評估。

　　2003 年，美國製定了《確保信息安全的國家戰略》，肯定了3個戰略目標和5項優先行動。3個戰略目標是：阻止針對美國關鍵基礎設施的網絡***；減小美國信息基礎設施的脆弱性；發生網絡***時，使損害程度最小、恢復時間最短。5項優先行動是：創建信息安全應急響應系統；減小網絡安全威脅和脆弱性；加強網絡安全意識，開展網絡安全培訓；保障政府信息系統信息安全；增強信息安全領域國際合做。

　　《確保信息安全的國家戰略》明確提出，國土安所有是美國聯邦政府確保網絡安全的核心部門，支持聯邦政府各部門、各機構對網絡***作出響應，在保障信息安全時是公共部門、私營部門和研究機構之間的指揮中樞。

　　2008 年1月，美國總統簽署國家安全第54號總統令/國土安全第23號總統令，提出國家信息安全綜合行動計劃(CNCI)。雖然該計劃屬於絕密，但從各方面分析能夠看出，該計劃主要內容包括：(1)開展應急響應和網絡監測。支持「美國計算機應急響應機制(US_CERT)」和「美國政府網絡系統監測和預警中心」，創建爲政府和企業提供網絡威脅和脆弱性分析、判斷和響應的機制。(2)擴展愛因斯坦計劃。監測全部聯邦政府部門和機構的信息系統，以發現惡意***活動，爲政府提供信息安全預警，幫助聯邦政府加強信息安全意識，提升網絡防範的綜合能力。(3)開展可信互聯網接入計劃。把聯邦政府互聯網接入點的數量從 2000多減小到50之內，並對聯邦信息網絡進行更有效的管理和安全監測，對政府網絡提供更綜合性的保護。(4)創建國家網絡安全中心。(5)增長國家網絡調查聯合工做組(NCIJTF)成員單位。(6)增強供應鏈安全。對進入美國重要信息系統的技術與產品進行嚴格控制。(7)開展網絡威脅信息通報和預警。(8)開展「網絡風暴」演習。組織聯邦、州和地×××府及私營部門、國際盟友共同參與，檢驗和增強國家的網絡安全預防與響應能力。(9)增強信息安全培訓，確保具備合格的系統維護人員。(10)增長對信息安全的財政投入。

　　三是網絡***能力建設。

　　近年來，美國軍方注重網絡***能力建設，四處網羅網絡精英甚至***，組建網絡部隊，但這些動做僅侷限在專業軍兵種體系以內，如空軍創建的網絡部隊。

　　6 月23日，美國國防部長羅伯特·蓋茨發佈命令，組建美軍的網絡戰司令部，網絡戰司令部隸屬於美軍戰略司令部。蓋茨要求網絡戰司令部今年10月開始對外辦公，明年10月全面履行職責。這次組建的網絡戰司令部將全面承擔保障軍隊網絡與信息系統安全、針對敵對國家和組織進行網絡打擊的責任。

　　美國這次體制調整主要是提升國家信息基礎設施保護工做領導和協調的層級，由原來的政府部長層級，提升到總統層級，而且與情報收集工做、軍隊信息安全保障整合起來，造成一體化的綜合性國家信息安全領導和協調體制。美國軍事網絡的信息安全工做將由新成立的網絡戰司令部負責，而國家安全局將繼續爲政府網絡和商業網絡的信息安全防禦提供專業支持，國土安所有將主要負責政府網絡和非政府網絡中與基礎設施有關的信息系統安全。上述這些工做所有聚集到白宮信息安全協調員處，並由信息安全協調員經過國家安全委員會和國家經濟委員會兩個機構整合到美國國家的安全政策和經濟發展政策之中。