美國資訊安全保障立法體系介紹及思考
- 發佈時間:2015-07-24 16:24:00 來源:環球網 責任編輯:羅伯特
中國資訊安全認證中心 宋揚
美國的國家資訊安全保障體系由來已久,從“二戰”期間對國家資訊的保護,到“冷戰”期間與前蘇聯之間的資訊戰,再到“911”事件發生之後,對資訊安全保障的重視進入到一個新的階段,時至今日美國的資訊安全的保障體系已經逐步健全。美國資訊安全保障框架形成了由安全技術、安全管理與政策法規三個層次統一協調的立體化框架。三個層次之間形成了一個有機整體。總體而言,美國現在的資訊安全戰略屬於“擴張型”的資訊安全戰略,在關鍵基礎設施、資訊安全等級保護等相關領域制定了一系列的相關立法,形成了比較完善的資訊安全保障體系。本文對美國資訊安全保障立法體系進行介紹,並根據我國情況提出幾點思考。
一、美國保護政府資訊安全立法情況
美國對電腦網路高度依賴,從聯邦政府到州政府,再到公民個人的大量資訊幾乎全部存儲在電腦系統中,由於政府資訊安全事關國家安全及政治穩定,一旦遭到破壞,産生的後果將更為深遠和不可逆。因此,美國極為重視對政府資訊的保護。
目前,美國有關政府資訊安全方面的法律主要有:
1966年,美國制定《資訊自由法》,並且分別於1974年、1986年和1996年進行了修訂,主要內容涉及對政府資訊的獲取、公開方式、可分割性,以及相關的訴訟事宜等。
1987年制定的《電腦安全法》,規定NIST負責開發聯邦電腦系統的安全標準。除了國家安全系統被用於國防和情報任務外,商務部負責公佈安全標準,加強聯邦電腦系統安全保護的培訓的責任,以提高聯邦電腦系統的安全性和保密性。
1991年發佈的《高性能計演算法》,規定建立滿足安全需求的聯邦高性能計算程式,此程式應當提供跨部門之間協調並向國會遞交年度執行報告。此外,此法還要求NIST為聯邦系統建立高性能計算的安全與隱私標準。
1996年發佈的《克林格-科恩法》,又名《資訊技術管理改革法》,規定設立首席資訊官(CIO)職位;授予商務部發佈安全標準的權利,要求各個機構開發和維護資訊技術架構;要求政府預算辦公室(OMB)監督主要資訊技術的收購,並且與國土安全部長協商,公佈國家標準與技術研究院(NIST)制定的強制性聯邦電腦安全標準。
2000年發佈的《政府資訊安全改革法》,規定聯邦政府部門在保護資訊安全方面的責任, 此法明確了商務部、國防部、司法部、總務管理局、人事管理局等部門維護資訊安全的具體職責,建立了聯邦政府部門資訊安全監督機制。
2002年發佈的《聯邦資訊安全管理法》,為聯邦資訊系統創建了一個安全框架。該法案強調風險管理,規定了OMB、NIST、CIOs、CISOs(首席資訊安全官)、IGs(聯邦機構監察長)的具體責任。倡導建立由OMB監督的中央聯邦事件中心,負責分析安全事件並且提供技術幫助,通知機構運營商當前和潛在的安全威脅及漏洞。
2009年奧巴馬總統簽署《網路空間政策評估報告》,強調保障美國政府的網路系統安全。
二、美國打擊電腦犯罪立法情況
1958年,世界上第一例電腦犯罪在美國矽谷發生,但是直至8年後才被發現,隨後電腦犯罪引起了美國的高度重視。1970年美國頒布了《金融秘密權利法》,對金融業務電腦中存儲的數據進行限制。到1984年美國制定了規範電腦犯罪的專門性法律《聯邦電腦安全處罰條例》,並在1987年頒布。在1988年美國就成立了由電腦安全專家組成的行動小組,對違法犯罪程式和電腦病毒的防範進行研究。同年,美國國防部高級研究計劃署成立電腦應急響應小組,負責電腦安全問題。美國有關電腦犯罪的法律主要有:
1984年的《偽造連接裝置及電腦欺詐與濫用法》。這是美國通過的第一部關於電腦安全與犯罪的法案,規定了禁止對聯邦電腦系統、銀行系統、各州及對外貿易的各種攻擊。
1986年簽署的《電腦欺詐與濫用法》,擴展了1984年《偽造連接裝置及電腦欺詐與濫用法》的範圍,並對1986年《電子通訊隱私法》進行了補充,宣告未經授權訪問“聯邦利益”電腦(指被牽涉進某個刑事案件的兩台或多台電腦,且它們位於不同的州),及未經授權破解電腦密碼為犯罪行為,以及交易盜竊的電腦密碼為違法行為。在1994年的修正案中,對傳播病毒和其他有害代碼行為也作了規定。
《電腦欺詐與濫用法》頒布以後,網路技術的發展導致電腦犯罪出現新的形式,尤其是業內人士的犯罪行為增加,但該法並沒有對內部人員犯罪做出規定,加上近些年電腦犯罪的産業化趨勢,使得電腦犯罪立法更為急迫。
三、美國保護個人隱私立法情況
美國的電子商務迅速發展,收集和分析個人資訊的軟體行業紛紛建立,給用戶的個人隱私安全帶來極大隱患。為了降低個人隱私因使用電腦等高科技過程中被侵犯的可能性,美國從法律層面加強對隱私的保護。美國有關隱私保護的法律落後於歐盟,尤其是2001《愛國者法》的出臺,擴大了警察機關的許可權,為政府更多涉入公民私生活創造了條件,違反確保公民私生活隱秘的憲法原則,引起很大的爭議,美國應該考慮制定適應當今時代的新的隱私保護法律。美國有關資訊安全的隱私保護法律有:
1974年的《隱私權法》,規定聯邦機構限制個人可識別資訊的披露,要求機構提供訪問個人資訊記錄的權利。
1986年通過的《電子通信隱私法》主要禁止未經授權的電子竊聽,對資訊傳輸安全、存儲安全和監視合法性進行的規定。
1998年美國通過了《兒童網上隱私保護法》,該法規定了網站經營者必須披露其隱私保護政策,聲明尋求兒童監護人同意的時間及方式,以及違法兒童隱私保護應承擔的責任。該法適用於美國管轄之下的自然人或單位對13歲以下兒童線上個人資訊的收集。
2001的《醫治保險攜帶和責任法》(HIPAA)修正案,目標之一就是保護病人的電子健康記錄,並提出保護的具體標準。該法詳細規定了行政保障措施、物理保障措施、技術保障措施及安全責任的分配問題,對於違反安全標準的實體,規定了最高可達25萬美元罰款和最長10年監禁的嚴厲懲罰措施。
四、美國保護關鍵基礎設施立法情況
關鍵基礎設施關係到一國的經濟發展與社會穩定,美國特別重視對關鍵基礎設施的保護。20世紀90年代中期,鋻於日益增長的國際恐怖主義威脅,美國從國土安全的角度對關鍵基礎設施進行了重新定義。2001年的《愛國者法案》對其做出了詳細的概念解釋。2003年布希總統發佈第7號國土安全總統令《關鍵基礎設施標識、優先級和保護》,對美國關鍵基礎設施和重要資源進行優先級排序和保護。2006年DHS發佈《國家基礎設施保護計劃》為今後的關鍵基礎設施保護提供總體框架。相關法律主要涉及以下幾部:
1996年發佈《國家資訊基礎設施保護法》,規定未經授權進入受保護的電腦系統並通過各種形式進行惡意破壞行為,利用電子手段對他人和機構進行敲詐行為,或是試圖這樣做的行為都要受到刑事指控。
2002年發佈《國土安全法》,明確了國土安全部(DHS)的職責和組織體系、資訊分析和基礎設施保護、CIO管理職責,及加強在國土安全保護方面的合作等。
2010年發佈的《國土安全網路和物理基礎設施保護法》,涵蓋了部門責任義務的遵守、個人隱私保護和數據洩露應對、網路安全教育和技術研發、重要電力基礎設施保護和漏洞分析、國際合作、打擊網路犯罪以及採購與供應鏈安全等內容。
此外,美國111屆國會上提出《國家網路基礎設施保護法案2010》,規定在國防部(DOD)建立國家網絡中心,設立主管職位直接向總統報告安全事件,建立國家網路安全項目預算全國性的網路防禦應急基金,建立政府與私營部門之間協作的網路防禦聯盟,分享彼此的網路安全威脅資訊,並互相提供技術支援。
五、幾點思考
總結美國相繼出臺的資訊安全立法,可以看出美國規範資訊安全的法律經歷了一個從“預防為主”到“先發制人”,以控制“硬體設備”到控制“網路資訊內容”的演化過程。
首先,美國資訊安全立法涉及範圍廣泛,有規範網路犯罪方面的,加強資訊網路基礎設施保護方面,規範資訊收集、利用、發佈方面,隱私權保護等方面。
其次,注重多部門協作,建立威脅資訊共用及應急支援機制,並且設立專門機構協調各方攜手保護資訊安全。
再次,為了落實資訊安全政策及法律,美國將政策執行、監督、管理等權利分配給多個部門,包括DHS、OMB、國防部、審計署、商務部、司法部等,並且根據現實需要不斷增設新機構。
此外,美國還注重標準的制定,在多部法律中提到制定相應標准保護資訊安全,例如規定CIO委員會與NIST協作制定安全標準,NIST制定高性能計算的安全與隱私標準等。
總體而言,美國當前有關資訊安全立法的發展趨勢是要擴大政府部門在網路監管中的許可權,並明確其職責任務,以滿足應對與日俱增的資訊安全風險與挑戰的需求。