美國信息安全保障立法體系介紹及思考

責(zé)任編輯:editor006

作者:宋揚(yáng)

2015-07-24 17:13:13

摘自:環(huán)球網(wǎng)

美國有關(guān)信息安全的隱私保護(hù)法律有:  1974年的《隱私權(quán)法》,規(guī)定聯(lián)邦機(jī)構(gòu)限制個(gè)人可識(shí)別信息的披露,要求機(jī)構(gòu)提供訪問個(gè)人信息記錄的權(quán)利。美國信息安全立法涉及范圍廣泛,有規(guī)范網(wǎng)絡(luò)犯罪方面的,加強(qiáng)信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)方面,規(guī)范信息收集、利用、發(fā)布方面,隱私權(quán)保護(hù)等方面。

美國的國家信息安全保障體系由來已久,從“二戰(zhàn)”期間對(duì)國家信息的保護(hù),到“冷戰(zhàn)”期間與前蘇聯(lián)之間的信息戰(zhàn),再到“911”事件發(fā)生之后,對(duì)信息安全保障的重視進(jìn)入到一個(gè)新的階段,時(shí)至今日美國的信息安全的保障體系已經(jīng)逐步健全。美國信息安全保障框架形成了由安全技術(shù)、安全管理與政策法規(guī)三個(gè)層次統(tǒng)一協(xié)調(diào)的立體化框架。三個(gè)層次之間形成了一個(gè)有機(jī)整體。總體而言,美國現(xiàn)在的信息安全戰(zhàn)略屬于“擴(kuò)張型”的信息安全戰(zhàn)略,在關(guān)鍵基礎(chǔ)設(shè)施、信息安全等級(jí)保護(hù)等相關(guān)領(lǐng)域制定了一系列的相關(guān)立法,形成了比較完善的信息安全保障體系。本文對(duì)美國信息安全保障立法體系進(jìn)行介紹,并根據(jù)我國情況提出幾點(diǎn)思考。

一、美國保護(hù)政府信息安全立法情況

美國對(duì)計(jì)算機(jī)網(wǎng)絡(luò)高度依賴,從聯(lián)邦政府到州政府,再到公民個(gè)人的大量信息幾乎全部存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中,由于政府信息安全事關(guān)國家安全及政治穩(wěn)定,一旦遭到破壞,產(chǎn)生的后果將更為深遠(yuǎn)和不可逆。因此,美國極為重視對(duì)政府信息的保護(hù)。

目前,美國有關(guān)政府信息安全方面的法律主要有:

1966年,美國制定《信息自由法》,并且分別于1974年、1986年和1996年進(jìn)行了修訂,主要內(nèi)容涉及對(duì)政府信息的獲取、公開方式、可分割性,以及相關(guān)的訴訟事宜等。

1987年制定的《計(jì)算機(jī)安全法》,規(guī)定NIST負(fù)責(zé)開發(fā)聯(lián)邦計(jì)算機(jī)系統(tǒng)的安全標(biāo)準(zhǔn)。除了國家安全系統(tǒng)被用于國防和情報(bào)任務(wù)外,商務(wù)部負(fù)責(zé)公布安全標(biāo)準(zhǔn),加強(qiáng)聯(lián)邦計(jì)算機(jī)系統(tǒng)安全保護(hù)的培訓(xùn)的責(zé)任,以提高聯(lián)邦計(jì)算機(jī)系統(tǒng)的安全性和保密性。

1991年發(fā)布的《高性能計(jì)算法》,規(guī)定建立滿足安全需求的聯(lián)邦高性能計(jì)算程序,此程序應(yīng)當(dāng)提供跨部門之間協(xié)調(diào)并向國會(huì)遞交年度執(zhí)行報(bào)告。此外,此法還要求NIST為聯(lián)邦系統(tǒng)建立高性能計(jì)算的安全與隱私標(biāo)準(zhǔn)。

1996年發(fā)布的《克林格-科恩法》,又名《信息技術(shù)管理改革法》,規(guī)定設(shè)立首席信息官(CIO)職位;授予商務(wù)部發(fā)布安全標(biāo)準(zhǔn)的權(quán)利,要求各個(gè)機(jī)構(gòu)開發(fā)和維護(hù)信息技術(shù)架構(gòu);要求政府預(yù)算辦公室(OMB)監(jiān)督主要信息技術(shù)的收購,并且與國土安全部長協(xié)商,公布國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定的強(qiáng)制性聯(lián)邦計(jì)算機(jī)安全標(biāo)準(zhǔn)。

2000年發(fā)布的《政府信息安全改革法》,規(guī)定聯(lián)邦政府部門在保護(hù)信息安全方面的責(zé)任, 此法明確了商務(wù)部、國防部、司法部、總務(wù)管理局、人事管理局等部門維護(hù)信息安全的具體職責(zé),建立了聯(lián)邦政府部門信息安全監(jiān)督機(jī)制。

2002年發(fā)布的《聯(lián)邦信息安全管理法》,為聯(lián)邦信息系統(tǒng)創(chuàng)建了一個(gè)安全框架。該法案強(qiáng)調(diào)風(fēng)險(xiǎn)管理,規(guī)定了OMB、NIST、CIOs、CISOs(首席信息安全官)、IGs(聯(lián)邦機(jī)構(gòu)監(jiān)察長)的具體責(zé)任。倡導(dǎo)建立由OMB監(jiān)督的中央聯(lián)邦事件中心,負(fù)責(zé)分析安全事件并且提供技術(shù)幫助,通知機(jī)構(gòu)運(yùn)營商當(dāng)前和潛在的安全威脅及漏洞。

2009年奧巴馬總統(tǒng)簽署《網(wǎng)絡(luò)空間政策評(píng)估報(bào)告》,強(qiáng)調(diào)保障美國政府的網(wǎng)絡(luò)系統(tǒng)安全。

二、美國打擊計(jì)算機(jī)犯罪立法情況

1958年,世界上第一例計(jì)算機(jī)犯罪在美國硅谷發(fā)生,但是直至8年后才被發(fā)現(xiàn),隨后計(jì)算機(jī)犯罪引起了美國的高度重視。1970年美國頒布了《金融秘密權(quán)利法》,對(duì)金融業(yè)務(wù)計(jì)算機(jī)中存儲(chǔ)的數(shù)據(jù)進(jìn)行限制。到1984年美國制定了規(guī)范計(jì)算機(jī)犯罪的專門性法律《聯(lián)邦計(jì)算機(jī)安全處罰條例》,并在1987年頒布。在1988年美國就成立了由計(jì)算機(jī)安全專家組成的行動(dòng)小組,對(duì)違法犯罪程序和計(jì)算機(jī)病毒的防范進(jìn)行研究。同年,美國國防部高級(jí)研究計(jì)劃署成立計(jì)算機(jī)應(yīng)急響應(yīng)小組,負(fù)責(zé)計(jì)算機(jī)安全問題。美國有關(guān)計(jì)算機(jī)犯罪的法律主要有:

1984年的《偽造連接裝置及計(jì)算機(jī)欺詐與濫用法》。這是美國通過的第一部關(guān)于計(jì)算機(jī)安全與犯罪的法案,規(guī)定了禁止對(duì)聯(lián)邦計(jì)算機(jī)系統(tǒng)、銀行系統(tǒng)、各州及對(duì)外貿(mào)易的各種攻擊。

1986年簽署的《計(jì)算機(jī)欺詐與濫用法》,擴(kuò)展了1984年《偽造連接裝置及計(jì)算機(jī)欺詐與濫用法》的范圍,并對(duì)1986年《電子通訊隱私法》進(jìn)行了補(bǔ)充,宣告未經(jīng)授權(quán)訪問“聯(lián)邦利益”計(jì)算機(jī)(指被牽涉進(jìn)某個(gè)刑事案件的兩臺(tái)或多臺(tái)計(jì)算機(jī),且它們位于不同的州),及未經(jīng)授權(quán)破解計(jì)算機(jī)口令為犯罪行為,以及交易盜竊的計(jì)算機(jī)密碼為違法行為。在1994年的修正案中,對(duì)傳播病毒和其他有害代碼行為也作了規(guī)定。

《計(jì)算機(jī)欺詐與濫用法》頒布以后,網(wǎng)絡(luò)技術(shù)的發(fā)展導(dǎo)致計(jì)算機(jī)犯罪出現(xiàn)新的形式,尤其是業(yè)內(nèi)人士的犯罪行為增加,但該法并沒有對(duì)內(nèi)部人員犯罪做出規(guī)定,加上近些年計(jì)算機(jī)犯罪的產(chǎn)業(yè)化趨勢,使得計(jì)算機(jī)犯罪立法更為急迫。

三、美國保護(hù)個(gè)人隱私立法情況

美國的電子商務(wù)迅速發(fā)展,收集和分析個(gè)人信息的軟件行業(yè)紛紛建立,給用戶的個(gè)人隱私安全帶來極大隱患。為了降低個(gè)人隱私因使用電腦等高科技過程中被侵犯的可能性,美國從法律層面加強(qiáng)對(duì)隱私的保護(hù)。美國有關(guān)隱私保護(hù)的法律落后于歐盟,尤其是2001《愛國者法》的出臺(tái),擴(kuò)大了警察機(jī)關(guān)的權(quán)限,為政府更多涉入公民私生活創(chuàng)造了條件,違反確保公民私生活隱秘的憲法原則,引起很大的爭議,美國應(yīng)該考慮制定適應(yīng)當(dāng)今時(shí)代的新的隱私保護(hù)法律。美國有關(guān)信息安全的隱私保護(hù)法律有:

1974年的《隱私權(quán)法》,規(guī)定聯(lián)邦機(jī)構(gòu)限制個(gè)人可識(shí)別信息的披露,要求機(jī)構(gòu)提供訪問個(gè)人信息記錄的權(quán)利。

1986年通過的《電子通信隱私法》主要禁止未經(jīng)授權(quán)的電子竊聽,對(duì)信息傳輸安全、存儲(chǔ)安全和監(jiān)視合法性進(jìn)行的規(guī)定。

1998年美國通過了《兒童網(wǎng)上隱私保護(hù)法》,該法規(guī)定了網(wǎng)站經(jīng)營者必須披露其隱私保護(hù)政策,聲明尋求兒童監(jiān)護(hù)人同意的時(shí)間及方式,以及違法兒童隱私保護(hù)應(yīng)承擔(dān)的責(zé)任。該法適用于美國管轄之下的自然人或單位對(duì)13歲以下兒童在線個(gè)人信息的收集。

2001的《醫(yī)治保險(xiǎn)攜帶和責(zé)任法》(HIPAA)修正案,目標(biāo)之一就是保護(hù)病人的電子健康記錄,并提出保護(hù)的具體標(biāo)準(zhǔn)。該法詳細(xì)規(guī)定了行政保障措施、物理保障措施、技術(shù)保障措施及安全責(zé)任的分配問題,對(duì)于違反安全標(biāo)準(zhǔn)的實(shí)體,規(guī)定了最高可達(dá)25萬美元罰款和最長10年監(jiān)禁的嚴(yán)厲懲罰措施。

四、美國保護(hù)關(guān)鍵基礎(chǔ)設(shè)施立法情況

關(guān)鍵基礎(chǔ)設(shè)施關(guān)系到一國的經(jīng)濟(jì)發(fā)展與社會(huì)穩(wěn)定,美國特別重視對(duì)關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)。20世紀(jì)90年代中期,鑒于日益增長的國際恐怖主義威脅,美國從國土安全的角度對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行了重新定義。2001年的《愛國者法案》對(duì)其做出了詳細(xì)的概念解釋。2003年布什總統(tǒng)發(fā)布第7號(hào)國土安全總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù)》,對(duì)美國關(guān)鍵基礎(chǔ)設(shè)施和重要資源進(jìn)行優(yōu)先級(jí)排序和保護(hù)。2006年DHS發(fā)布《國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》為今后的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)提供總體框架。相關(guān)法律主要涉及以下幾部:

1996年發(fā)布《國家信息基礎(chǔ)設(shè)施保護(hù)法》,規(guī)定未經(jīng)授權(quán)進(jìn)入受保護(hù)的計(jì)算機(jī)系統(tǒng)并通過各種形式進(jìn)行惡意破壞行為,利用電子手段對(duì)他人和機(jī)構(gòu)進(jìn)行敲詐行為,或是試圖這樣做的行為都要受到刑事指控。

2002年發(fā)布《國土安全法》,明確了國土安全部(DHS)的職責(zé)和組織體系、信息分析和基礎(chǔ)設(shè)施保護(hù)、CIO管理職責(zé),及加強(qiáng)在國土安全保護(hù)方面的合作等。

2010年發(fā)布的《國土安全網(wǎng)絡(luò)和物理基礎(chǔ)設(shè)施保護(hù)法》,涵蓋了部門責(zé)任義務(wù)的遵守、個(gè)人隱私保護(hù)和數(shù)據(jù)泄露應(yīng)對(duì)、網(wǎng)絡(luò)安全教育和技術(shù)研發(fā)、重要電力基礎(chǔ)設(shè)施保護(hù)和漏洞分析、國際合作、打擊網(wǎng)絡(luò)犯罪以及采購與供應(yīng)鏈安全等內(nèi)容。

此外,美國111屆國會(huì)上提出《國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)法案2010》,規(guī)定在國防部(DOD)建立國家網(wǎng)絡(luò)中心,設(shè)立主管職位直接向總統(tǒng)報(bào)告安全事件,建立國家網(wǎng)絡(luò)安全項(xiàng)目預(yù)算全國性的網(wǎng)絡(luò)防御應(yīng)急基金,建立政府與私營部門之間協(xié)作的網(wǎng)絡(luò)防御聯(lián)盟,分享彼此的網(wǎng)絡(luò)安全威脅信息,并互相提供技術(shù)支援。

五、幾點(diǎn)思考

總結(jié)美國相繼出臺(tái)的信息安全立法,可以看出美國規(guī)范信息安全的法律經(jīng)歷了一個(gè)從“預(yù)防為主”到“先發(fā)制人”,以控制“硬件設(shè)備”到控制“網(wǎng)絡(luò)信息內(nèi)容”的演化過程。

首先,美國信息安全立法涉及范圍廣泛,有規(guī)范網(wǎng)絡(luò)犯罪方面的,加強(qiáng)信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)方面,規(guī)范信息收集、利用、發(fā)布方面,隱私權(quán)保護(hù)等方面。

其次,注重多部門協(xié)作,建立威脅信息共享及應(yīng)急支持機(jī)制,并且設(shè)立專門機(jī)構(gòu)協(xié)調(diào)各方攜手保護(hù)信息安全。

再次,為了落實(shí)信息安全政策及法律,美國將政策執(zhí)行、監(jiān)督、管理等權(quán)利分配給多個(gè)部門,包括DHS、OMB、國防部、審計(jì)署、商務(wù)部、司法部等,并且根據(jù)現(xiàn)實(shí)需要不斷增設(shè)新機(jī)構(gòu)。

此外,美國還注重標(biāo)準(zhǔn)的制定,在多部法律中提到制定相應(yīng)標(biāo)準(zhǔn)保護(hù)信息安全,例如規(guī)定CIO委員會(huì)與NIST協(xié)作制定安全標(biāo)準(zhǔn),NIST制定高性能計(jì)算的安全與隱私標(biāo)準(zhǔn)等。

總體而言,美國當(dāng)前有關(guān)信息安全立法的發(fā)展趨勢是要擴(kuò)大政府部門在網(wǎng)絡(luò)監(jiān)管中的權(quán)限,并明確其職責(zé)任務(wù),以滿足應(yīng)對(duì)與日俱增的信息安全風(fēng)險(xiǎn)與挑戰(zhàn)的需求?!                                             ?/p>

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)