美国网络安全政策导向及其启示

第10卷第3期2010年9月

湖南涉外经济学院学报

Journal of H unan In ternati ona l E cono m ics Un iversity

Vol 110N o 3

Sep 12010

美国网络安全政策导向及其启示

刘助仁

(湖南省社会科学院政治与公共管理研究所, 湖南长沙 410003)

*

[摘 要] 互联网已经融入了当代社会的各个领域, 并成为了一个国家赖以正常运转的/神经系统0, 而

一旦出现网络危机, 该国整个社会有可能陷于瘫痪。因此, 网络安全已成为国家公共安全的/致命威胁0。当我们致力于我国网络安全保障体系建设的时候, 了解一下美国政府的网络安全政策导向, 即确立维护网络安全的国家战略, 完善维护网络安全的管理机制, 优化网络安全的技术组织结构, 健全维护网络安全的法制体系, 这对于我们拓宽思路、开阔视野或许是有益的。

[关键词] 美国; 网络安全; 政策导向; 启示

[中图分类号]C93116 [文献标识码]A

Gui dance and Enli ghten m ent of Cyber Security Poli cies of US A

LIU Zhu -ren

(Hunan Acade m y of Socia l Sc iences , Changsha 410003, Ch i n a)

Abstract :T he Interne t has i ntegrated i nto var i ous fi e l ds i n curren t society and has beco m e /a nervous syste m 0which

a country is depended on i n order to opera te w e l. l O nce ne t w ork cr isi s occurs , the who l e soc iety of t he country m ay proba -b l y be crippled . Therefore , cyber secu rity has beco m e /a m o rtal t hreat 0to na ti ona l publi c safe t y . W hen w e are devo ting ourse l ves to bu ilding nati onal cyber secur it y sy stem , it is very beneficial for us t o expand our thi nking and broaden our hor-i zon , ifw e can know t he gu i dance o f cybe r security po lic i es o f U S A, i nc l udi ng the estab lish m ent of nati onal stra teg ies to protect the net wo rk security , perfecti on o f its m anag e m ent mechan i s m, opti m iza tion of its techn i ca l organ izati on structure and comp l etion o f its leg al syste m. K ey w ords :U S A, cyber security , po licy gu i dance , en li ghten m ent

自从互联网逐步普及以来, 网络安全问题及其对经济发展、国家安全和社会稳定的重大影响, 正日益凸显出来。在信息网络化进程中, 国家安全与经济、政治的安全越来越不可分割, 而经济、政治安全越来越依赖于关键性信息网络基础设施的安全。网络安全是事关国家公共安全的一个全球性重大战略问题, 已成为世界各国政府的共识。特别是/9#110恐怖袭击事件后, 网络安全政策更成为各国特别是发达国家政府公共安全政策的一个重大组成部分。美国网络安全政策在全球范围内具有普遍性和代表性, 其网络安全政策导向值得我们借鉴。

的国家利益和战略目标密不可分, 网络安全事关国家的核心利益, 已经成为维护国家安全、保障公民基本权利和夺取军事斗争胜利的关键因素, 并先后调整了国家安全战略, 使网络安全在国家安全战略诸要素中的地位不断上升, 已成为国家安全战略中/不可分割的重要组成部分0。

美国网络安全的战略重点是基础设施的安全, 以此为主线美国展开了网络安全的研究和部署, 并采取一系列重要举措。首先从国家战略高度规划网络安全建设, 特别是网络安全基础设施建设。为此, 美国先后启动了七个关于保护美国关键基础设施的计划:即¹信息共享计划; º确定伙伴关系计划; »组建工作机构计划; ¼网络安全教育计划; ½保障政府网络安全计划; ¾完善法律法规战略计划; ¿研究与开发计划。美国国家安全局制定了5网络安全保障技术框架6(I ATF), 全方位地从技术角度阐述了网络安全保障的方方面面, 这是网络安全保障技术领域中最为系统的研究。I ATF 为保护美国政府和工业界的网络和网络基础设施提供技术指南, 并强调网络安全保障要靠人、操作和技术来实现。

一、确立维护网络安全的国家战略

当今世界, 美国的信息基础设施最发达, 其互联网络技术也

最先进。不论信息领域中的操作系统、数据库, 还是网路交换机等核心技术基本都掌握在美国企业的手中, 从而使其在网络空间占据着绝对的优势。随着信息全球化步伐的加快, 美国充分认识到, 无论在政治、经济还是在军事上, 信息网络的作用已经同美国

[收稿日期] 2010-06-30

[基金项目] 国家社科基金资助项目(08BSH009) 和湖南省社科规划课题(2008ZK 3152) 阶段成果之一。[作者简介] 刘助仁, 男, 湖南安化人, 研究员, 主要从事政治与公共管理方面研究。

美国政府关键基础设施保护委员会发布了保卫美国网络安全的/国家行动计划0, 经克林顿总统批准, 于2000年12月生效, 2003年全面付诸实施。该计划明确强调, 要提高美国信息网络系统的整体防护能力, 包括国家攻击判断和预警能力及协调响应技巧, 保护涉及美国关键基础设施、政府部门、军事指挥和情报系统、重要产业和企业以及公民的信息网络安全。美国国会、司法部、商务部和联邦调查局也曾多次召开会议, 讨论加强网络安全措施, 并明确规定联邦政府为制定国家网络安全标准及网络安全政策的授权单位。

/9#110之后, 美国深知在没有了全球同等级军事竞争对手之后, /非对称攻击0对于其基础设施, 尤其是网络战武器这种/穷国原子弹0对于其网络基础设施的高度威胁。2001年10月8日, 白宫任命反恐专家理查德#克拉克为总统网络安全特别顾问, 以协调有关机构保护信息网络系统。2002年克拉克又提出未来美国网络安全领域的十大重要措施, 其中有:制订5保护cg -berspace 安全的国家战略6、制定cgbers pace 安全模型, 加强行政部门间网络安全的合作、建立政府与企业界在网络安全方面的紧密联系、培训更多网络安全人员、建立cgberspace 预警网、建立各类基础设施间的安全保护仿真模型、提高公民的网络安全意识等。克拉克还提出, 新的国家网络安全战略应该是一个开放的、透明的、动态的、与时俱进的活动战略。为此, 各网络安全组织和政府部门纷纷调整自己的安全战略和行动计划, 以提高网络防御能力。2002年9月20日, 美国正式公布了新的国家安全战略。新战略首次改变了过去冷战时期的军事威慑战略, 强调要对恐怖(包括网络恐怖) 威胁发动先发制人的军事打击。新战略更明确提出国土安全部将承担整合和协调, 美国联邦基础设施保护的责任, 并要求国土安全部把保护网络基础设施放在最高的优先级别。与此同时, 美国在互联网上公布了5确保网络安全战略6草案, 建议政府提高网络关键设施的安全性, 加强计算机中心建设, 以监测对付/网络攻击0。

2003年2月, 布什政府正式公布了5确保网络安全国家战略6。这是在/9#110事件发生一年多后, 美国政府经过对非传统安全问题的深刻反思后在网络安全方面出台的重大举措。该战略是美国保护国家安全整体战略的一部分, 是美国关于保护网络安全方面的首份最权威性政策文件。5确保网络安全国家战略6目标定位于提高美国网络空间的抗风险能力, 保证其免受自然和以下三方面的人为破坏:对国家安全、公众健康与安全的危害; 对地方政府维护本地区和提供基础设施服务的危害; 对私营团体经济运行和提供基础设施服务的危害。该战略对美国面临的网络威胁和脆弱性进行了阐述后认为, 没有一个单独的战略能消除网络空间的脆弱性和相关威胁, 国家必须进行风险管理, 提高能力, 将攻击造成的损失降到最低。由此明确指出制定和实施网络安全保护计划的指导方针, 提出了五大优先发展方面, 即国家网络安全响应系统; 国家网络安全威胁与脆弱性降低计划; 国家提高网络安全认识与培训计划; 政府网络安全保护; 国家安全与国际网络安全合作。每项优先方面都包含若干行动建议, 共47项行动建议。该战略还规定了联邦政府有关部门在网络安全保护中的基本职责, 也为州和地方政府、私人企业和机构以及普通市民指明了在网络安全方面的行动方向。

[2]

[1]

题是反恐, 重点在于/攻防结合0; 奥巴马政府不仅把网络列为关

键基础设施, 而且把它升级为国家战略资产, 是国家安全与经济的命脉, 进一步加大了在网络领域的战略攻防力度, 试图强化并利用其在网络空间中的领先优势, 谋求全面/制网权0。2009年2月, 奥巴马公布/国家基础设施保护计划0, 要求美国各级政府与私营企业合作, 全面保护网络安全。奥巴马在2009年5月公布5网络空间政策评估6时说到, 网络安全不仅事关公共安全, 而且事关美国的竞争力和美国在21世纪的经济繁荣。他将网络安全威胁定位为/举国面临的最严重的安全挑战之一0, 并高调亮出了自己的网络安全战略:/宣布我的政府将遵循全新的政策来确保美国数字化基础设施的安全。新政策从我的承诺开始:从今以后, 我们的数字化基础设施) ) ) 我们每天使用的网络和计算机) ) ) 将被视为一种国家战略性资产。保护这一基础设施将成为国家安全的优先事项。0要综合动用外交军事、经济、情报与执

[3]

法/四位一体0的手段确保网络安全。2009年6月, 美国正式宣布成立网络战争司令部, 提出/攻防一体0口号。与往届政府的网络安全政策相比, 奥巴马政府更注重运用军事手段维护网络安全, 其网络安全战略已显现/以攻为主, 实现网络威慑0的主题。

二、完善维护网络安全的管理机制

维护国家网络安全是美国政府的一项重要职责。为了统一领导和协调一致, 美国早就成立了由重要内阁成员参加的/关键基础设施保护委员会0。该委员会定期举行会议并提交报告, 为总统了解网络安全状况和制定政策提供建议, 并协调各项保护网络计划的实施。在网络安全的组织和执行机制上, 美国总统通过国家安全委员会、关键基础设施保护委员会处理和协调有关网络安全事务。有时甚至亲自出马。关于网络安全的具体工作则分别由美国商务部下属的国家标准与技术局(N IS T ) 和国防部下属的国家安全局(NSA ) 分工负责。N IS T 主要负责非保密信息的网络安全工作, 而N S A 主要负责保密信息的网络安全工作。在国家层次上, 商务部和国防部实际上分工负责了所有的网络安全工作。这两个部门责任明确。N IST 由商务部长主管, 协助政府和产业界进行安全规划、风险管理、应急计划、加密、人员身份认证及智能卡应用等安全技术的开发、推广应用、计算机病毒检测与防治、安全教育培训等方面的工作, 同时还负责制定安全技术和安全产品的国家和国际标准。在组织上, N IST 所负责的网络安全工作具体落实到该局下层的计算机系统实验室的计算机安全部。计算机安全部负责帮助联邦政府各部门解决各种各样的信息网络安全问题。而N S A 则具体负责/国家安全系统0(即保密信息) 的网络安全工作, 其职责是帮助政府机构解决与/国家安全系统0有关的信息网络安全问题; 出版/网络安全产品和服务名录0; 根据政府机构及其合同单位的要求, 对有关网络系统的薄弱环节加以评估, 并提出消除和改善薄弱环节的安全措施。

为了健全网络安全快速反应机制, 1998年2月, 美国联邦调查局成立了国家基础设施保护中心。这是美国唯一的专门对付攻击国家基础设施的犯罪活动的全国性机构。该中心成员由政府部门、州和地方政府以及私营部门的代表组成。其主要职责是发现有预谋的网络攻击行动, 并对政府和公共行政部门发出警告; 实施与打击网络犯罪及入侵有关的法律, 并执行反恐怖和涉外反间谍等任务; 对威胁国家重要基础设施的计算机入侵等非法活动进行调查分析; 当违法行为超出一般刑事犯罪的范围并由外国发起旨在攻击美国利益时, 对国家安全部门提供支持。目前该中心在评估威胁、提供威胁预警等方面发挥着越来越重要的作用。美军各兵种也相应采取了各有特点的网络安全快速反应机制。如陆军实施了/网络安全改进计划0、海军实施了智能卡身

[4]

然而, 网络安全威胁持续发展, 为了应对这种严重局面, 奥巴

马上任伊始就把网络安全作为维护美国安全的首要任务, 突出强调网络空间的战略地位, 把网络基础设施列为战略资产, 实施保护。在克林顿时代, 美国就把包括网络在内的基础设施列为关键基础设施, 网络安全战略主题是网络基础设施保护, 重点在于/全面防御0; 布什上台后, 网络恐怖主义浮出水面, 网络安全战略主

份认证、空军则着手验证网络安全新技术等。为了防止、侦测和反击国防部信息网络基础的威胁行为, 美国陆海空三军相继成立了专门负责网络战的网络中心。空军网络战中心AFT W C 已具备了计算机紧急响应能力, 并执行与国防网络局类似的任务; 海军的舰队网络战中心FI W C 与陆军的陆上网络战行动小组C I W A 也已具备类似的能力。

9#110事件后不到1个月, 布什总统即以1322号总统行政命令/要建立国土安全办公室0。经国会批准, 该办公室于2002年7月升格为/国土安全部0, 其职责是保护本土网络基础设施的安全。2003年1月, 国土安全部正式启动。为了加强网络安全的行政领导, 布什还以13231总统令/网络时代的关键基础设施保护0宣布, 将/关键基础设施保护委员会0这一部委之间的协调机构改为行政实体/关键基础设施保护办公室0, 接受总统办公厅的领导, 同时成立/关键基础设施保护理事会0, 任命克拉克为总统网络安全顾问, 使他成为全美网络安全总指挥, 有权了解各部门内属于其管辖范围的所有情况, 召集和主持与网络安全相关的各种会议, 制定保护关键基础设施的政策和方案, 并向总统国家安全事务助理和国土安全助理汇报。据13231总统令, 原关键基础设施保护委员会协调的10个网络系统委员会和23个联邦部委办在新成立的办公室统一指挥下, 负责全美联邦政府的网络安全问题, 与网络安全相关的每个部门除要指定首席网络官(CI O ) 之外, 必须任命/首席网络安全官0(IS O ), 以落实和加强网络安全的行政领导, 从而形成了新的更加紧密的协调机制。

奥巴马政府就任后, 构建美国21世纪网络安全管理领导机制便成为当务之急。奥巴马认为, 网络安全威胁的特殊性使网络安全管理超出了任何政府单一部门的职能。过去美国政府仅仅把网络安全看作是技术问题, 但如今不能再保持这种观点了, 因为维护网络安全要求举美国全国之力, 要涉及外交、军事、情报、执法、经济政策等诸多领域。它们要求全面的战略、各个政府部门的协调管理。目前美国尚不存在满足上述要求的管理机制。于是, 他宣布要成立一个白宫层面的/网络安全办公室0, 这个办公室将要履行的重要责任:一是统筹和整合联邦政府所有的网络安全政策; 二是和总统管理与预算办公室密切合作以确保各部门的预算能体现这一重点(即网络安全); 三是在发生重大网络事故或网络攻击时, 协调联邦政府的应对行动。为了确保联邦政府的网络政策能强化美国的安全与繁荣, 领导该办公室的网络安全协调员将成为/国家安全团队0的成员和/国家经济委员会0的成员。美国军方也在不遗余力地构建网络安全管理的领导机制, 2009年6月23日美国正式组建网络司令部便是重要标志, 从而

[8]

进一步理顺了美军网络安全管理的领导机制。

[7]

[6]

[5]

四项研发内容:¹非对称环境模拟(模拟恐怖分子在其政治、经济、文化、意识形态影响下的个人行为, 预测他们的攻击方式和对抗攻击的措施等, 以便先发制人); º远距离身份识别(除利用指纹、声纹成功识别身份之外, 还发展远距人脸扫描和远距虹膜扫描来识别身份的技术, 以制/人肉炸弹0于未爆); »/热那亚0系统(帮助国家安全部门和联合司令部收集、存储和交换恐怖分子活动证据信息和统调反击的系统); ¼证据提取关键技术(从公用网和公开信息资源中提取恐怖分子的各种相关证据, 经/相关、

[9]

融合0, 以勾勒事件威胁图) 。

要提高网络安全技术水平, 必须加大对网络安全技术的财政预算投入, 大力培养网络安全的专业人才。美国政府2003年财政预算中设有专项经费, 用来研发和实施与本土安全有关的信息网络技术(这项经费的总金额高达7. 22亿美元), 其中用于维护网络安全的费用为2. 98美元(比2002年度的0. 62亿美元提高了381%) 。在2010年度财政预算中, 奥巴马政府投资3. 55亿美元以加强美国公共部门与私营部门的网络安全, 加强网络安全技术研发。该预算较之2009财年的预算支出3. 13亿美元有所增加。2009年10月, 参议院批准用于国土安全部网络安全的资金是3. 97亿美元, 超出奥巴马政府的原有预算。另外, 2010年财政预算给予国土安全部门的科技局10亿美元, 用于诸如网络安全等研究。这些预算不包括国防部用于网络安全的费用。这些费用主要用于研发、部署新的网络攻防技术设施。为了加强对网络安全的研究, 美国政府制定了/网络空间人才0计划, 该计划的实施, 为美国培养了部分急需的网络安全技术人才。与此同时, 5网络安全研究与开发法案6确立了美国网络安全技术人才的原则, 并明确规定了国家有义务资助他们开展工作。为研发网络新技术和保护网络安全, 奥巴马政府和军方招贤纳士。美国国土安全部门计划招募一批网络高手协助保卫网络安全。国防部打算投入资金加大网络专业人才培训力度。到2010年, 国防部网络技术专家人数将从当前的80人增加到250人。网络战司令部近

[11]

期拟征召2000) 4000名/士兵0。

网络安全技术标准可以为网络安全技术监测的建立提供理论依据, 有利于引导网络与网络安全技术向着健康有序的方向发展。早在上个世纪80年代初, 美国就开始着手制定计算机安全评价标准。1985年, 国防部国家计算机安全中心代表国防部制定并出版了可信计算机安全评价标准, 即著名的/桔皮书0。最初, 桔皮书标准只是应用于美国政府和军方的计算机系统, 但目前商业领域也广泛使用, 成为事实上公认的标准, 桔皮书为计算机系统的安全定义了七个安全级别, 最高为A 级, 最低为D 级, 每一级内又包含一个或多个级别。安全级别按D 、C1、C2、B1、B2、B3、A 1渐次增强。任何不满足较高级别安全可信性条件的系统都划入D 类。为了针对网络、安全的系统和数据库的具体情况来应用桔皮书的标准, 国防部国家安全计算机中心又制定并出版了三个解释性文件, 即可信网络解释、计算机安全子系统解释和可信数据库解释。至此, 便形成了美国计算机系统安全评价标准系列) ) ) 彩虹系列。/9#110之后, 美国更加快了网络安全标准的出台。例如N ISI 从2001年至2002年4月期间, 至少发布了N ISI SP800-26/-27/-28/-29-30/-31/-33/-38/-40/-41/-44/-45等密码标准或安全准则, 还出台了一系列有关II 安全过程准则、电信安全规范、安全管理标准、I T 安全服务指南和安全产品选购指南等强制性标准。同时, 美国利用自身在网络规则和硬件生产领域的强大发言权, 主导国际网络安全标准的制定, 并通过双边贸易谈判等渠道, 将增强网络安全和打击网络犯罪的通行标准推广到世界其他国家和地区。这种变化体现了美

[12]

国在战略上控制网络技术及其安全的用心。

[10]

三、优化网络安全的技术组织结构

美国凭借其深厚的科技水平, 在网络安全保密技术、安全控制技术和安全防护技术等的开发和使用上处于领先地位, 在不断进行技术完善的同时, 它还加强某些技术的控制与管理, 企图维持在世界上的霸主地位。随着美国网络安全观念的不断深化, 在大量开发防火墙、安全路由器、安全服务器、用户认证产品等保护技术和产品的同时, 也加强了对预警、检测、追踪、响应和恢复等积极防范技术和产品的研制。例如, 开发了可追踪黑客使用/拒绝服务程序0攻击源头的软件、联邦计算机入侵检查网络、国防部的自动入侵检查系统等。美国LOS A i a m os 国家实验室正在冲刺多项护己攻人的网络技术。即¹量子加密; º量子计算; »生物学加密; ¼网络取证(侦察网络犯罪); ½网络免疫(/天然0消除网络安全漏洞); ¾高密度存储(可重建受攻击而丢失的数据) 。此外, 还重点落实/对付非对称威胁倡议0。该倡议至少有以下

四、健全维护网络安全的法制体系

要使网络安全运行、信息安全传递, 亟需进行必要的法律建

项网络安全法规时, 不仅要考虑如何确定否定式的消极后果, 而

且应充分考虑如何确定肯定式的积极后果; 二是立法要与现实发展相配合。网络安全法付诸实践是慎重而长远的事情, 立法本身需要根据现实发展不断作出调整; 三是立法的基础是不断强化网络安全技术标准。立法起到规范技术标准和准则的目的, 同时各种专业技术标准和准则也是立法的基石。

奥巴马上任后, 为谋求网络威慑, 实现制网权, 更加注重发挥法律法规的力量。2009年9月和11月, 美国众议院科技委员会科学教育分委会和技术、创新分委会分别通过2009年网络安全研究法案和2009年网络安全协议与加强法案。众议院将以上两个法案进行整合, 听取有关建议, 形成并通过了加强网络安全法案。这个法案将为美国建立网络威慑, 积极参与制定形成国际网络安全技术标准, 实现制网权提供有力保障。

[14]

设和相应的政策配套。美国已建立一整套法制体系。其中最主要的是美国国会1987年通过、1988年开始实施的计算机安全法。制定计算机安全法的目的, 是为了/改善联邦政府计算机系统内敏感信息的安全与保密0。该法的主要内容包括:以法律形式规定了国家标准与技术局(N ISI) 是为联邦政府计算机系统制定网络安全政策和标准的授权单位; 凡参与上述系统的管理、使用或操作的人员必须定期接受强制性的培训; 在商务部建立一个国家计算机系统安全与保密咨询委员会, 并明确了其职责内容, 等等。这些法规确立了计算机服务盗窃罪、侵犯知识产权罪、破坏计算机设备或配置罪、计算机欺骗罪、计算机滥用罪、非授权的计算机使用罪等罪名。美国已确立的有关网络安全的其他法规还包括国家信息网络基础设施保护法、信息自由法、个人隐私法、反腐败行径法、伪造访问设备和计算机欺骗滥用法、电子通信隐私法、正当通信法、电信法、儿童网上保护法、加强网络安全法、公共网络安全法案、通信行为规则法案、数字电话法案、电子签名法案、政府信息网络安全政策法案、反黑客法案及禁止互联网赌博法案

[13]等。

/9#110后, 在反恐高于一切的方针下, 被看作特殊时期网络管理主要法律依据的:一是/9#110事件后6周内即颁布的爱国者法案, 强化政府对网络安全的监控与管理, 为执法部门的调查认证, 尤其是互联网和电子邮件调查的取证扫清了法律障碍; 二是为使反网络恐怖袭击有法可依, 美国国会举行了多次听证会, 并在此基础上于2002年10月在参众两院分别通过了反恐怖主义法案, 法案将黑客攻击视为恐怖定义行为之一, 并把打击网络恐怖主义列为其中的一项重要内容; 三是布什总统于2002年11月签署的国土安全法, 该法对互联网的监控更为严密, 法案增加了有关监控互联网和惩治黑客等条款, 在此情形下, 服务商信誉、客户机密只能让位于国家安全。这三部法案都大大加强了对美国国内机构和人士的情报侦察, 这在以前是不允许的。

有了相关法律的保障, 还必须有相应的政策, 以使网络安全保障具有可操作性。美国网络安全政策主要体现在5联邦政府信息资源管理O M B A ) 130号通告6中和/国家网络安全保障0政策及密码使用管理政策方面。A ) 130号通告全面阐述了联邦政府的信息网络资源管理政策, 不仅详细论述了联邦政府信息、信息网络和网络技术的管理政策和方针, 而且在其附录中还详细阐述了具体执行上述政策的细则和指导方针。尤其是附录/联邦政府自动化信息资源的安全0政策大纲中, 具体阐述了计算机系统的安全对策。这是美国联邦政府信息资源管理和网络安全的政策大纲。/国家网络安全保障0政策是指:用支持网络空间安全的意识培训和教育来作为国家这一领域的启蒙; 在信息系统和网络中使用强密码来实现包括数字签名和加密技术; 开发和使用良好的商业化安全网络技术产品和服务; 全球网络安全管理基础设施; 防御基础设施, 包括国家攻击判断和预警能力及协调响应技巧。密码使用管理政策集中在使用密码进行信息加密和使用数字签名实施证书授权两个方面。

2003年正式通过5网络安全国家战略6以后, 美国一直在努力寻求提高网络安全的法律手段来保护其网络空间安全, 并有越来越多的法律法规出台, 其立法趋势:一是立法要强制与激励举行。法不仅要具有一般法律的强制性, 还应具有激励性, 制定一

五、对我国网络安全建设的启迪

根据我国网络安全的现实状况, 借鉴美国加强网络安全建设

的政策导向, 当务之急, 最关键的问题是统一解决我国网络安全保障的战略规划, 要把网络安全保障提高到国家安全高度来认识。网络安全是一个国家的综合集成系统, 国家网络安全保障战略将是一个关系到国家网络安全全局、着眼国家网络安全长远发展的重要纲领性文件, 它将站在维护国家安全和保障国家网络安全建设健康发展的高度, 提出我国网络安全保障战略发展的指导思想、战略目标、推进策略、动作机制和实施路线, 以利于统一思想、统一意志、形成合力, 起到动员、指导和促进网络安全的全面建设。因此它的战略规划管理要求国家进行科学的、强有力的干预和导向, 国家网络安全保障体系的构建必须高层建瓴、顶层规划。这样才会有全国统一、全面、合理的制度安排, 准确把握全国关键基础设施的纵深防御和多层屏障的科学设置, 日益加强网络安全体系的切实保障作用。建立网络安全保障体系的基本构想应该是, 完善国家网络安全的管理组织机制, 优化网络安全的技术组织结构、健全网络安全的法律法规体系。参考文献:

[1][6][10]黄鹏, 由鲜举等. 美国如何打造网络安全盾牌[N ]1中国电子报, 2002-09-13(3) 1

[2]蔡文之. 网络:21世纪的权力与挑战[M]1上海:上海人民出版社, 2007:132-1331

[3][7]张保明, 编译1奥巴马的网络安全新思维[J]1国际技术经济导报, 2009, (8):6, 7-81[4][5][9]唐岚. 美国国家信息安全保障体系简介[J]1国际资料信息, 2002, (5):19-211[8]温宪. 美国拓宽网络空间霸权[N ]1人民日报, 2009-07-09(14) 1

[11]程群. 奥巴马政府的网络安全战略分析[J]1现代国际关系, 2010, (1):101

[12]龚玉朝. 美国国家网络空间安全战略的新发展[N ]1学习时

报, 2010-5-24(7) 1

[13][14]王坚. 美国的信息网络安全措施[J]1全球科技经济瞭

望, 2003, (10):49, 49-501[15]曲成义. 国家信息安全战略研究的几点思考[J]1计算机安

全, 2003, (11):11

[15]

第10卷第3期2010年9月

湖南涉外经济学院学报

Journal of H unan In ternati ona l E cono m ics Un iversity

Vol 110N o 3

Sep 12010

美国网络安全政策导向及其启示

刘助仁

(湖南省社会科学院政治与公共管理研究所, 湖南长沙 410003)

*

[摘 要] 互联网已经融入了当代社会的各个领域, 并成为了一个国家赖以正常运转的/神经系统0, 而

一旦出现网络危机, 该国整个社会有可能陷于瘫痪。因此, 网络安全已成为国家公共安全的/致命威胁0。当我们致力于我国网络安全保障体系建设的时候, 了解一下美国政府的网络安全政策导向, 即确立维护网络安全的国家战略, 完善维护网络安全的管理机制, 优化网络安全的技术组织结构, 健全维护网络安全的法制体系, 这对于我们拓宽思路、开阔视野或许是有益的。

[关键词] 美国; 网络安全; 政策导向; 启示

[中图分类号]C93116 [文献标识码]A

Gui dance and Enli ghten m ent of Cyber Security Poli cies of US A

LIU Zhu -ren

(Hunan Acade m y of Socia l Sc iences , Changsha 410003, Ch i n a)

Abstract :T he Interne t has i ntegrated i nto var i ous fi e l ds i n curren t society and has beco m e /a nervous syste m 0which

a country is depended on i n order to opera te w e l. l O nce ne t w ork cr isi s occurs , the who l e soc iety of t he country m ay proba -b l y be crippled . Therefore , cyber secu rity has beco m e /a m o rtal t hreat 0to na ti ona l publi c safe t y . W hen w e are devo ting ourse l ves to bu ilding nati onal cyber secur it y sy stem , it is very beneficial for us t o expand our thi nking and broaden our hor-i zon , ifw e can know t he gu i dance o f cybe r security po lic i es o f U S A, i nc l udi ng the estab lish m ent of nati onal stra teg ies to protect the net wo rk security , perfecti on o f its m anag e m ent mechan i s m, opti m iza tion of its techn i ca l organ izati on structure and comp l etion o f its leg al syste m. K ey w ords :U S A, cyber security , po licy gu i dance , en li ghten m ent

自从互联网逐步普及以来, 网络安全问题及其对经济发展、国家安全和社会稳定的重大影响, 正日益凸显出来。在信息网络化进程中, 国家安全与经济、政治的安全越来越不可分割, 而经济、政治安全越来越依赖于关键性信息网络基础设施的安全。网络安全是事关国家公共安全的一个全球性重大战略问题, 已成为世界各国政府的共识。特别是/9#110恐怖袭击事件后, 网络安全政策更成为各国特别是发达国家政府公共安全政策的一个重大组成部分。美国网络安全政策在全球范围内具有普遍性和代表性, 其网络安全政策导向值得我们借鉴。

的国家利益和战略目标密不可分, 网络安全事关国家的核心利益, 已经成为维护国家安全、保障公民基本权利和夺取军事斗争胜利的关键因素, 并先后调整了国家安全战略, 使网络安全在国家安全战略诸要素中的地位不断上升, 已成为国家安全战略中/不可分割的重要组成部分0。

美国网络安全的战略重点是基础设施的安全, 以此为主线美国展开了网络安全的研究和部署, 并采取一系列重要举措。首先从国家战略高度规划网络安全建设, 特别是网络安全基础设施建设。为此, 美国先后启动了七个关于保护美国关键基础设施的计划:即¹信息共享计划; º确定伙伴关系计划; »组建工作机构计划; ¼网络安全教育计划; ½保障政府网络安全计划; ¾完善法律法规战略计划; ¿研究与开发计划。美国国家安全局制定了5网络安全保障技术框架6(I ATF), 全方位地从技术角度阐述了网络安全保障的方方面面, 这是网络安全保障技术领域中最为系统的研究。I ATF 为保护美国政府和工业界的网络和网络基础设施提供技术指南, 并强调网络安全保障要靠人、操作和技术来实现。

一、确立维护网络安全的国家战略

当今世界, 美国的信息基础设施最发达, 其互联网络技术也

最先进。不论信息领域中的操作系统、数据库, 还是网路交换机等核心技术基本都掌握在美国企业的手中, 从而使其在网络空间占据着绝对的优势。随着信息全球化步伐的加快, 美国充分认识到, 无论在政治、经济还是在军事上, 信息网络的作用已经同美国

[收稿日期] 2010-06-30

[基金项目] 国家社科基金资助项目(08BSH009) 和湖南省社科规划课题(2008ZK 3152) 阶段成果之一。[作者简介] 刘助仁, 男, 湖南安化人, 研究员, 主要从事政治与公共管理方面研究。

美国政府关键基础设施保护委员会发布了保卫美国网络安全的/国家行动计划0, 经克林顿总统批准, 于2000年12月生效, 2003年全面付诸实施。该计划明确强调, 要提高美国信息网络系统的整体防护能力, 包括国家攻击判断和预警能力及协调响应技巧, 保护涉及美国关键基础设施、政府部门、军事指挥和情报系统、重要产业和企业以及公民的信息网络安全。美国国会、司法部、商务部和联邦调查局也曾多次召开会议, 讨论加强网络安全措施, 并明确规定联邦政府为制定国家网络安全标准及网络安全政策的授权单位。

/9#110之后, 美国深知在没有了全球同等级军事竞争对手之后, /非对称攻击0对于其基础设施, 尤其是网络战武器这种/穷国原子弹0对于其网络基础设施的高度威胁。2001年10月8日, 白宫任命反恐专家理查德#克拉克为总统网络安全特别顾问, 以协调有关机构保护信息网络系统。2002年克拉克又提出未来美国网络安全领域的十大重要措施, 其中有:制订5保护cg -berspace 安全的国家战略6、制定cgbers pace 安全模型, 加强行政部门间网络安全的合作、建立政府与企业界在网络安全方面的紧密联系、培训更多网络安全人员、建立cgberspace 预警网、建立各类基础设施间的安全保护仿真模型、提高公民的网络安全意识等。克拉克还提出, 新的国家网络安全战略应该是一个开放的、透明的、动态的、与时俱进的活动战略。为此, 各网络安全组织和政府部门纷纷调整自己的安全战略和行动计划, 以提高网络防御能力。2002年9月20日, 美国正式公布了新的国家安全战略。新战略首次改变了过去冷战时期的军事威慑战略, 强调要对恐怖(包括网络恐怖) 威胁发动先发制人的军事打击。新战略更明确提出国土安全部将承担整合和协调, 美国联邦基础设施保护的责任, 并要求国土安全部把保护网络基础设施放在最高的优先级别。与此同时, 美国在互联网上公布了5确保网络安全战略6草案, 建议政府提高网络关键设施的安全性, 加强计算机中心建设, 以监测对付/网络攻击0。

2003年2月, 布什政府正式公布了5确保网络安全国家战略6。这是在/9#110事件发生一年多后, 美国政府经过对非传统安全问题的深刻反思后在网络安全方面出台的重大举措。该战略是美国保护国家安全整体战略的一部分, 是美国关于保护网络安全方面的首份最权威性政策文件。5确保网络安全国家战略6目标定位于提高美国网络空间的抗风险能力, 保证其免受自然和以下三方面的人为破坏:对国家安全、公众健康与安全的危害; 对地方政府维护本地区和提供基础设施服务的危害; 对私营团体经济运行和提供基础设施服务的危害。该战略对美国面临的网络威胁和脆弱性进行了阐述后认为, 没有一个单独的战略能消除网络空间的脆弱性和相关威胁, 国家必须进行风险管理, 提高能力, 将攻击造成的损失降到最低。由此明确指出制定和实施网络安全保护计划的指导方针, 提出了五大优先发展方面, 即国家网络安全响应系统; 国家网络安全威胁与脆弱性降低计划; 国家提高网络安全认识与培训计划; 政府网络安全保护; 国家安全与国际网络安全合作。每项优先方面都包含若干行动建议, 共47项行动建议。该战略还规定了联邦政府有关部门在网络安全保护中的基本职责, 也为州和地方政府、私人企业和机构以及普通市民指明了在网络安全方面的行动方向。

[2]

[1]

题是反恐, 重点在于/攻防结合0; 奥巴马政府不仅把网络列为关

键基础设施, 而且把它升级为国家战略资产, 是国家安全与经济的命脉, 进一步加大了在网络领域的战略攻防力度, 试图强化并利用其在网络空间中的领先优势, 谋求全面/制网权0。2009年2月, 奥巴马公布/国家基础设施保护计划0, 要求美国各级政府与私营企业合作, 全面保护网络安全。奥巴马在2009年5月公布5网络空间政策评估6时说到, 网络安全不仅事关公共安全, 而且事关美国的竞争力和美国在21世纪的经济繁荣。他将网络安全威胁定位为/举国面临的最严重的安全挑战之一0, 并高调亮出了自己的网络安全战略:/宣布我的政府将遵循全新的政策来确保美国数字化基础设施的安全。新政策从我的承诺开始:从今以后, 我们的数字化基础设施) ) ) 我们每天使用的网络和计算机) ) ) 将被视为一种国家战略性资产。保护这一基础设施将成为国家安全的优先事项。0要综合动用外交军事、经济、情报与执

[3]

法/四位一体0的手段确保网络安全。2009年6月, 美国正式宣布成立网络战争司令部, 提出/攻防一体0口号。与往届政府的网络安全政策相比, 奥巴马政府更注重运用军事手段维护网络安全, 其网络安全战略已显现/以攻为主, 实现网络威慑0的主题。

二、完善维护网络安全的管理机制

维护国家网络安全是美国政府的一项重要职责。为了统一领导和协调一致, 美国早就成立了由重要内阁成员参加的/关键基础设施保护委员会0。该委员会定期举行会议并提交报告, 为总统了解网络安全状况和制定政策提供建议, 并协调各项保护网络计划的实施。在网络安全的组织和执行机制上, 美国总统通过国家安全委员会、关键基础设施保护委员会处理和协调有关网络安全事务。有时甚至亲自出马。关于网络安全的具体工作则分别由美国商务部下属的国家标准与技术局(N IS T ) 和国防部下属的国家安全局(NSA ) 分工负责。N IS T 主要负责非保密信息的网络安全工作, 而N S A 主要负责保密信息的网络安全工作。在国家层次上, 商务部和国防部实际上分工负责了所有的网络安全工作。这两个部门责任明确。N IST 由商务部长主管, 协助政府和产业界进行安全规划、风险管理、应急计划、加密、人员身份认证及智能卡应用等安全技术的开发、推广应用、计算机病毒检测与防治、安全教育培训等方面的工作, 同时还负责制定安全技术和安全产品的国家和国际标准。在组织上, N IST 所负责的网络安全工作具体落实到该局下层的计算机系统实验室的计算机安全部。计算机安全部负责帮助联邦政府各部门解决各种各样的信息网络安全问题。而N S A 则具体负责/国家安全系统0(即保密信息) 的网络安全工作, 其职责是帮助政府机构解决与/国家安全系统0有关的信息网络安全问题; 出版/网络安全产品和服务名录0; 根据政府机构及其合同单位的要求, 对有关网络系统的薄弱环节加以评估, 并提出消除和改善薄弱环节的安全措施。

为了健全网络安全快速反应机制, 1998年2月, 美国联邦调查局成立了国家基础设施保护中心。这是美国唯一的专门对付攻击国家基础设施的犯罪活动的全国性机构。该中心成员由政府部门、州和地方政府以及私营部门的代表组成。其主要职责是发现有预谋的网络攻击行动, 并对政府和公共行政部门发出警告; 实施与打击网络犯罪及入侵有关的法律, 并执行反恐怖和涉外反间谍等任务; 对威胁国家重要基础设施的计算机入侵等非法活动进行调查分析; 当违法行为超出一般刑事犯罪的范围并由外国发起旨在攻击美国利益时, 对国家安全部门提供支持。目前该中心在评估威胁、提供威胁预警等方面发挥着越来越重要的作用。美军各兵种也相应采取了各有特点的网络安全快速反应机制。如陆军实施了/网络安全改进计划0、海军实施了智能卡身

[4]

然而, 网络安全威胁持续发展, 为了应对这种严重局面, 奥巴

马上任伊始就把网络安全作为维护美国安全的首要任务, 突出强调网络空间的战略地位, 把网络基础设施列为战略资产, 实施保护。在克林顿时代, 美国就把包括网络在内的基础设施列为关键基础设施, 网络安全战略主题是网络基础设施保护, 重点在于/全面防御0; 布什上台后, 网络恐怖主义浮出水面, 网络安全战略主

份认证、空军则着手验证网络安全新技术等。为了防止、侦测和反击国防部信息网络基础的威胁行为, 美国陆海空三军相继成立了专门负责网络战的网络中心。空军网络战中心AFT W C 已具备了计算机紧急响应能力, 并执行与国防网络局类似的任务; 海军的舰队网络战中心FI W C 与陆军的陆上网络战行动小组C I W A 也已具备类似的能力。

9#110事件后不到1个月, 布什总统即以1322号总统行政命令/要建立国土安全办公室0。经国会批准, 该办公室于2002年7月升格为/国土安全部0, 其职责是保护本土网络基础设施的安全。2003年1月, 国土安全部正式启动。为了加强网络安全的行政领导, 布什还以13231总统令/网络时代的关键基础设施保护0宣布, 将/关键基础设施保护委员会0这一部委之间的协调机构改为行政实体/关键基础设施保护办公室0, 接受总统办公厅的领导, 同时成立/关键基础设施保护理事会0, 任命克拉克为总统网络安全顾问, 使他成为全美网络安全总指挥, 有权了解各部门内属于其管辖范围的所有情况, 召集和主持与网络安全相关的各种会议, 制定保护关键基础设施的政策和方案, 并向总统国家安全事务助理和国土安全助理汇报。据13231总统令, 原关键基础设施保护委员会协调的10个网络系统委员会和23个联邦部委办在新成立的办公室统一指挥下, 负责全美联邦政府的网络安全问题, 与网络安全相关的每个部门除要指定首席网络官(CI O ) 之外, 必须任命/首席网络安全官0(IS O ), 以落实和加强网络安全的行政领导, 从而形成了新的更加紧密的协调机制。

奥巴马政府就任后, 构建美国21世纪网络安全管理领导机制便成为当务之急。奥巴马认为, 网络安全威胁的特殊性使网络安全管理超出了任何政府单一部门的职能。过去美国政府仅仅把网络安全看作是技术问题, 但如今不能再保持这种观点了, 因为维护网络安全要求举美国全国之力, 要涉及外交、军事、情报、执法、经济政策等诸多领域。它们要求全面的战略、各个政府部门的协调管理。目前美国尚不存在满足上述要求的管理机制。于是, 他宣布要成立一个白宫层面的/网络安全办公室0, 这个办公室将要履行的重要责任:一是统筹和整合联邦政府所有的网络安全政策; 二是和总统管理与预算办公室密切合作以确保各部门的预算能体现这一重点(即网络安全); 三是在发生重大网络事故或网络攻击时, 协调联邦政府的应对行动。为了确保联邦政府的网络政策能强化美国的安全与繁荣, 领导该办公室的网络安全协调员将成为/国家安全团队0的成员和/国家经济委员会0的成员。美国军方也在不遗余力地构建网络安全管理的领导机制, 2009年6月23日美国正式组建网络司令部便是重要标志, 从而

[8]

进一步理顺了美军网络安全管理的领导机制。

[7]

[6]

[5]

四项研发内容:¹非对称环境模拟(模拟恐怖分子在其政治、经济、文化、意识形态影响下的个人行为, 预测他们的攻击方式和对抗攻击的措施等, 以便先发制人); º远距离身份识别(除利用指纹、声纹成功识别身份之外, 还发展远距人脸扫描和远距虹膜扫描来识别身份的技术, 以制/人肉炸弹0于未爆); »/热那亚0系统(帮助国家安全部门和联合司令部收集、存储和交换恐怖分子活动证据信息和统调反击的系统); ¼证据提取关键技术(从公用网和公开信息资源中提取恐怖分子的各种相关证据, 经/相关、

[9]

融合0, 以勾勒事件威胁图) 。

要提高网络安全技术水平, 必须加大对网络安全技术的财政预算投入, 大力培养网络安全的专业人才。美国政府2003年财政预算中设有专项经费, 用来研发和实施与本土安全有关的信息网络技术(这项经费的总金额高达7. 22亿美元), 其中用于维护网络安全的费用为2. 98美元(比2002年度的0. 62亿美元提高了381%) 。在2010年度财政预算中, 奥巴马政府投资3. 55亿美元以加强美国公共部门与私营部门的网络安全, 加强网络安全技术研发。该预算较之2009财年的预算支出3. 13亿美元有所增加。2009年10月, 参议院批准用于国土安全部网络安全的资金是3. 97亿美元, 超出奥巴马政府的原有预算。另外, 2010年财政预算给予国土安全部门的科技局10亿美元, 用于诸如网络安全等研究。这些预算不包括国防部用于网络安全的费用。这些费用主要用于研发、部署新的网络攻防技术设施。为了加强对网络安全的研究, 美国政府制定了/网络空间人才0计划, 该计划的实施, 为美国培养了部分急需的网络安全技术人才。与此同时, 5网络安全研究与开发法案6确立了美国网络安全技术人才的原则, 并明确规定了国家有义务资助他们开展工作。为研发网络新技术和保护网络安全, 奥巴马政府和军方招贤纳士。美国国土安全部门计划招募一批网络高手协助保卫网络安全。国防部打算投入资金加大网络专业人才培训力度。到2010年, 国防部网络技术专家人数将从当前的80人增加到250人。网络战司令部近

[11]

期拟征召2000) 4000名/士兵0。

网络安全技术标准可以为网络安全技术监测的建立提供理论依据, 有利于引导网络与网络安全技术向着健康有序的方向发展。早在上个世纪80年代初, 美国就开始着手制定计算机安全评价标准。1985年, 国防部国家计算机安全中心代表国防部制定并出版了可信计算机安全评价标准, 即著名的/桔皮书0。最初, 桔皮书标准只是应用于美国政府和军方的计算机系统, 但目前商业领域也广泛使用, 成为事实上公认的标准, 桔皮书为计算机系统的安全定义了七个安全级别, 最高为A 级, 最低为D 级, 每一级内又包含一个或多个级别。安全级别按D 、C1、C2、B1、B2、B3、A 1渐次增强。任何不满足较高级别安全可信性条件的系统都划入D 类。为了针对网络、安全的系统和数据库的具体情况来应用桔皮书的标准, 国防部国家安全计算机中心又制定并出版了三个解释性文件, 即可信网络解释、计算机安全子系统解释和可信数据库解释。至此, 便形成了美国计算机系统安全评价标准系列) ) ) 彩虹系列。/9#110之后, 美国更加快了网络安全标准的出台。例如N ISI 从2001年至2002年4月期间, 至少发布了N ISI SP800-26/-27/-28/-29-30/-31/-33/-38/-40/-41/-44/-45等密码标准或安全准则, 还出台了一系列有关II 安全过程准则、电信安全规范、安全管理标准、I T 安全服务指南和安全产品选购指南等强制性标准。同时, 美国利用自身在网络规则和硬件生产领域的强大发言权, 主导国际网络安全标准的制定, 并通过双边贸易谈判等渠道, 将增强网络安全和打击网络犯罪的通行标准推广到世界其他国家和地区。这种变化体现了美

[12]

国在战略上控制网络技术及其安全的用心。

[10]

三、优化网络安全的技术组织结构

美国凭借其深厚的科技水平, 在网络安全保密技术、安全控制技术和安全防护技术等的开发和使用上处于领先地位, 在不断进行技术完善的同时, 它还加强某些技术的控制与管理, 企图维持在世界上的霸主地位。随着美国网络安全观念的不断深化, 在大量开发防火墙、安全路由器、安全服务器、用户认证产品等保护技术和产品的同时, 也加强了对预警、检测、追踪、响应和恢复等积极防范技术和产品的研制。例如, 开发了可追踪黑客使用/拒绝服务程序0攻击源头的软件、联邦计算机入侵检查网络、国防部的自动入侵检查系统等。美国LOS A i a m os 国家实验室正在冲刺多项护己攻人的网络技术。即¹量子加密; º量子计算; »生物学加密; ¼网络取证(侦察网络犯罪); ½网络免疫(/天然0消除网络安全漏洞); ¾高密度存储(可重建受攻击而丢失的数据) 。此外, 还重点落实/对付非对称威胁倡议0。该倡议至少有以下

四、健全维护网络安全的法制体系

要使网络安全运行、信息安全传递, 亟需进行必要的法律建

项网络安全法规时, 不仅要考虑如何确定否定式的消极后果, 而

且应充分考虑如何确定肯定式的积极后果; 二是立法要与现实发展相配合。网络安全法付诸实践是慎重而长远的事情, 立法本身需要根据现实发展不断作出调整; 三是立法的基础是不断强化网络安全技术标准。立法起到规范技术标准和准则的目的, 同时各种专业技术标准和准则也是立法的基石。

奥巴马上任后, 为谋求网络威慑, 实现制网权, 更加注重发挥法律法规的力量。2009年9月和11月, 美国众议院科技委员会科学教育分委会和技术、创新分委会分别通过2009年网络安全研究法案和2009年网络安全协议与加强法案。众议院将以上两个法案进行整合, 听取有关建议, 形成并通过了加强网络安全法案。这个法案将为美国建立网络威慑, 积极参与制定形成国际网络安全技术标准, 实现制网权提供有力保障。

[14]

设和相应的政策配套。美国已建立一整套法制体系。其中最主要的是美国国会1987年通过、1988年开始实施的计算机安全法。制定计算机安全法的目的, 是为了/改善联邦政府计算机系统内敏感信息的安全与保密0。该法的主要内容包括:以法律形式规定了国家标准与技术局(N ISI) 是为联邦政府计算机系统制定网络安全政策和标准的授权单位; 凡参与上述系统的管理、使用或操作的人员必须定期接受强制性的培训; 在商务部建立一个国家计算机系统安全与保密咨询委员会, 并明确了其职责内容, 等等。这些法规确立了计算机服务盗窃罪、侵犯知识产权罪、破坏计算机设备或配置罪、计算机欺骗罪、计算机滥用罪、非授权的计算机使用罪等罪名。美国已确立的有关网络安全的其他法规还包括国家信息网络基础设施保护法、信息自由法、个人隐私法、反腐败行径法、伪造访问设备和计算机欺骗滥用法、电子通信隐私法、正当通信法、电信法、儿童网上保护法、加强网络安全法、公共网络安全法案、通信行为规则法案、数字电话法案、电子签名法案、政府信息网络安全政策法案、反黑客法案及禁止互联网赌博法案

[13]等。

/9#110后, 在反恐高于一切的方针下, 被看作特殊时期网络管理主要法律依据的:一是/9#110事件后6周内即颁布的爱国者法案, 强化政府对网络安全的监控与管理, 为执法部门的调查认证, 尤其是互联网和电子邮件调查的取证扫清了法律障碍; 二是为使反网络恐怖袭击有法可依, 美国国会举行了多次听证会, 并在此基础上于2002年10月在参众两院分别通过了反恐怖主义法案, 法案将黑客攻击视为恐怖定义行为之一, 并把打击网络恐怖主义列为其中的一项重要内容; 三是布什总统于2002年11月签署的国土安全法, 该法对互联网的监控更为严密, 法案增加了有关监控互联网和惩治黑客等条款, 在此情形下, 服务商信誉、客户机密只能让位于国家安全。这三部法案都大大加强了对美国国内机构和人士的情报侦察, 这在以前是不允许的。

有了相关法律的保障, 还必须有相应的政策, 以使网络安全保障具有可操作性。美国网络安全政策主要体现在5联邦政府信息资源管理O M B A ) 130号通告6中和/国家网络安全保障0政策及密码使用管理政策方面。A ) 130号通告全面阐述了联邦政府的信息网络资源管理政策, 不仅详细论述了联邦政府信息、信息网络和网络技术的管理政策和方针, 而且在其附录中还详细阐述了具体执行上述政策的细则和指导方针。尤其是附录/联邦政府自动化信息资源的安全0政策大纲中, 具体阐述了计算机系统的安全对策。这是美国联邦政府信息资源管理和网络安全的政策大纲。/国家网络安全保障0政策是指:用支持网络空间安全的意识培训和教育来作为国家这一领域的启蒙; 在信息系统和网络中使用强密码来实现包括数字签名和加密技术; 开发和使用良好的商业化安全网络技术产品和服务; 全球网络安全管理基础设施; 防御基础设施, 包括国家攻击判断和预警能力及协调响应技巧。密码使用管理政策集中在使用密码进行信息加密和使用数字签名实施证书授权两个方面。

2003年正式通过5网络安全国家战略6以后, 美国一直在努力寻求提高网络安全的法律手段来保护其网络空间安全, 并有越来越多的法律法规出台, 其立法趋势:一是立法要强制与激励举行。法不仅要具有一般法律的强制性, 还应具有激励性, 制定一

五、对我国网络安全建设的启迪

根据我国网络安全的现实状况, 借鉴美国加强网络安全建设

的政策导向, 当务之急, 最关键的问题是统一解决我国网络安全保障的战略规划, 要把网络安全保障提高到国家安全高度来认识。网络安全是一个国家的综合集成系统, 国家网络安全保障战略将是一个关系到国家网络安全全局、着眼国家网络安全长远发展的重要纲领性文件, 它将站在维护国家安全和保障国家网络安全建设健康发展的高度, 提出我国网络安全保障战略发展的指导思想、战略目标、推进策略、动作机制和实施路线, 以利于统一思想、统一意志、形成合力, 起到动员、指导和促进网络安全的全面建设。因此它的战略规划管理要求国家进行科学的、强有力的干预和导向, 国家网络安全保障体系的构建必须高层建瓴、顶层规划。这样才会有全国统一、全面、合理的制度安排, 准确把握全国关键基础设施的纵深防御和多层屏障的科学设置, 日益加强网络安全体系的切实保障作用。建立网络安全保障体系的基本构想应该是, 完善国家网络安全的管理组织机制, 优化网络安全的技术组织结构、健全网络安全的法律法规体系。参考文献:

[1][6][10]黄鹏, 由鲜举等. 美国如何打造网络安全盾牌[N ]1中国电子报, 2002-09-13(3) 1

[2]蔡文之. 网络:21世纪的权力与挑战[M]1上海:上海人民出版社, 2007:132-1331

[3][7]张保明, 编译1奥巴马的网络安全新思维[J]1国际技术经济导报, 2009, (8):6, 7-81[4][5][9]唐岚. 美国国家信息安全保障体系简介[J]1国际资料信息, 2002, (5):19-211[8]温宪. 美国拓宽网络空间霸权[N ]1人民日报, 2009-07-09(14) 1

[11]程群. 奥巴马政府的网络安全战略分析[J]1现代国际关系, 2010, (1):101

[12]龚玉朝. 美国国家网络空间安全战略的新发展[N ]1学习时

报, 2010-5-24(7) 1

[13][14]王坚. 美国的信息网络安全措施[J]1全球科技经济瞭

望, 2003, (10):49, 49-501[15]曲成义. 国家信息安全战略研究的几点思考[J]1计算机安

全, 2003, (11):11

[15]