2 0 1 1年第2期 第21卷总第92期 铁道警官高等专科学校学报 Journal of Railway Police College 2011 No.2 Vo1.21 Serial 92 美国信息安全最新发展综述 郝文江,马晓明 (公安部第一研究所,北京100048;中NA-民公安大学,北京100038) 摘要:美国总统奥巴马执政以来出台了一系列网络安全战略,使之成为美国国家安全战略的一部分。 国家层面的战略计划、法律法规也相继出炉,体现了美国将迎来信息安全政策的重大调整。近两年以来关国 的信息安全战略部署和信息安全立法动向,为我国的信息安全战略调整提出了几点借鉴的启示,即我国应加 快制定信息安全立法规划,加强对国家信息基础设施的保护和明确国家在发生重大安全事件时可以对网络 进行管制。 关键词:美国;信息安全;战略部署;信息立法 中图分类号:D918文献标识码: B文章编号: 1009—3192(2011)02—0l13—04 现代社会中信息安全开始渗透到社会生活的各个领域, 对传统的行政权力划分提出挑战。美国现有的网络安全部 门结构非常复杂,国防部、国家安全局、国土安全部之间存在 安全评估后,奥巴马宣布将成立一个新的用于保护网络安全 的白宫办公室,其指导人被称为“网络沙皇”。奥巴马宣布, 要把保护美国最重要的计算机网络的安全作为美国国家和 经济安全的最优先项目。“我们将确保这些网络是安全的、 职能冲突,信息安全行政主管权的职能冲突也同样延伸到了 立法领域。美国政府历来高度重视网络空间的安全部署,奥 巴马执政以来则出台了一系列网络安全战略,使之成为美国 国家安全战略的一部分。国家层面的战略计划、法律法规也 集中出炉,体现了美国将迎来信息安全政策的重大调整。 一值得信赖的并且轻易恢复的,”奥巴马说,“我们将防备、阻 止、跟踪和防备那些网络攻击,并且迅速从任何攻击中恢复 过来。”2009年12月22日,奥巴马正式任命网络安全专家霍 华德・施密特为美国网络安全协调官,统筹协调美国网络安 全政策和行动。 、奥巴马政府的信息安全战略部署” 网络安全协调官指导下的网络安全办公室将为总统提 奥巴马政府高度重视网络安全在美国国家安全战略中 的作用,将信息安全战略列为执政的首要任务之一。其内容 包括:任命白宫网络安全协调官协调美国的网络安全事务; 供网络安全方面的决策和方针,并协调美国全国的网络安全 力量,特别是在主要的网络突发事件或网络攻击中,调整美 国政府的反应能力。之所以称其“网络沙皇”,是因为奥巴马 总统给予了强有力的支持。用奥巴马的话说,“我将依赖这 个办公室解决涉及网络安全的问题,这个办公室正规的权力 把网络基础设施列为战略资产加以保护;成立网络战司令 部,加强网络攻防能力。奥巴马政府网络安全战略的实质是 谋求网络威慑,实现制网权。 (一)确立了信息安全的集中领导权 将得到我的全力支持”。“网络沙皇”的自身任务也不轻,他 将担任“整个美国所依赖的要害的网络基础设施的安全”,这 些网络基础设施并不限于联邦政府。他还将同各州当地政 府的官员以及对抗网络攻击的国际性组织联合工作,而且也 将同私人部门联合,以确保对未来的网络突发事件采取有组 织的、统一的行动。 (二)高度重视网络基础设施 奥巴马执政以来出台了一系列信息安全机构的调整政 策,如:增设白宫网络安全事务协调官和白宫网络安全办公 室。白宫网络安全办公室是直接对国家安全委员会和美国 总统负责的网络安全机构,凌驾于军队和政府情报部门之 上,负责统筹全国网络安全事务。 面对美国政府、民间力量和军方在应对网络突发事件时 各自为政的局面,2009年5月底,在经过为期两个月的网络 收稿日期:2011—02—16 2009年2月制定的“国家网络安全综合倡议”对美国目 前的网络安全状况进行为期60天的评估。这期间,美国国 作者简介:郝文江,男,山东招远人,法学博士,主要从事信息安全、网络安全、计算机犯罪侦查取证方面研究;马晓明,女, 北京人,中国人民公安大学硕士研究生,主要从事信息安全、网络安全方面研究。 ・113・ 郝文江等:美国信息安全最新发展综述 会研究服务局和政府问责局分别出台了两份有关美国网络 安全的报告。 2009年3月10日,美国国会研究服务局针对小布什政 询问的问题(共有98个)进行回答,其中29个书面回答是 “在保密附录中提供答案”,这些问题如:对于网络战司令部 你的优先权是什么?你怎样定义美国网络司令部的使命? 府提出的CNCI,发布了《国家网络安全综合倡议:法律授权和政策考虑》的报告。这是一份关于美国网络战争及国防法 律与政策问题的报告。报告认为对政府关键基础设施的网 络攻击是要高度关注的首要威胁,奥巴马政府的网络安全重 点是加强行政和立法部门应对网络安全挑战的能力。同一 DOD具有在网络空间在战术、战斗和战略层面上指挥军事战 斗的重大能力吗?美国有适合于网络战争的威慑学说和威 慑战略吗?到什么程度DOD考虑某些美国关键基础设施的 防御必须包括延伸到国外的网络?等等。 该司令部隶属于美国战略司令部,驻马里兰州米德堡基 天,美国国会政府问责局公布《国家网络安全战略》报告,提 地。该司令部将对目前分散在美国各军种中的网络战指挥 出了美国需要进一步采取措施加强的五大网络安全领域,即 支持网络分析和预警能力,完成网络演习中提出的行动,增 强基础设施控制系统的网络安全性,加强国土安全部对网络 攻击的恢复能力,控制网络犯罪。 2009年5月29日,奥巴马指导了一个60天全面广泛 的、对美国网络安全政策和结构“彻底清查(clean—slate)”的 评论评估。经过几个月的工作,评论小组公布了一份结论性 报告——《网络空间政策评估——保障可信和可恢复的信息 和通信基础设施》,该报告概述了朝向未来的可靠、可恢复、 可信的数字基础设施的起始之路。网络安全政策包括关于 网络空间操作和安全的战略、方针和标准,网络安全政策不 包括其他与国家安全和基础设施安全不相关的信息通信政 策。政府网络安全专家评论小组参考并接收了工业、学术 界、公民自由保密团体、州政府、国际伙伴、立法执法部门各 个方面的反馈意见。报告指出:国家正处于一个十字路口; 现状已不可接受;必须马上开始全国性的网络空间安全对 话;美国不可能独自确保网络空间的安全;联邦政府不能完 全委托或取消其保护国家免受网络事件或事故影响的角色; 与私营部门合作,必须定义下一代基础设施的性能和安全目 标;白宫必须在提高网络安全方面起领导作用。 2010年6月25日,白宫公布了网络空间可信身份战略, 建立网络空间的身份生态环境。6月下旬,美国网络安全协 调官霍华德・施密特在白宫网站上发布了《国家网络安全网 络空间可信身份国家战略》(NSTIC)草案。NSTIC是为了响 应奥巴马总统批准的《网络空间政策评估》中提出的要求,在 综合了政府关键部门、龙头企业和个人隐私等各方面的基础 上撰写而成。最终的目的是建立一个以用户为中心的身份 生态认证系统,该系统在对用户进行身份认证的同时,能够 更多地控制相关个人信息。并且,在通常情况下,个人无需 提供不必要的个人隐私及相关信息。这个系统建成后,无论 是个人还是组织都能够在信任状态下进行在线业务,保证业 务双方的身份认可,以及运行这些业务的基础设施的身份认 可。 (三)提高网络攻防能力,实施积极防御 2009年6月23日,美国国防部(DOD)部长盖茨正式下 令创建网络战司令部,以协调美军的网络安全以及指挥网络 战。根据盖茨当天签署的一份长达3页的备忘录,网络战司 令部将于2010年10月全部投入运行。 关于美国网络战司令部使命的许多方面是保密的。在 此前参议院海陆空三军委员会听证会上,Alexander就参议员 ・114・ 机构进行整合,最终可能完全独立运作。2010年3月17日, 美战略司令部司令奇尔顿表示,美军目前已经基本完成网络 战司令部组建准备工作,美国国家安全局局长亚历山大中将 已经被提名兼任该司令部司令,经国会批准后网络战司令部 正式投入运行。据分析,国防部的网络战司令部主要完成三 项任务:首先是保护军方的网络免遭敌方入侵和破坏。其次 是在网络安全办公室的协调下,与政府及民间的网络安全组 织和公司一起,反制敌方黑客对诸如电力控制系统、供水控 制系统等美国重要民用网络的破坏和入侵。第三则是对感 兴趣的别国网络进行侵入和破坏,争夺网络空间的控制权。 届时,国防部的网络战司令部既是美国民问网络安全力量的 骨干,又将在为总统提供决策建议时,作为网络安全办公室 的一个有益补充。 2010年2月16日,美国两党问政策问题研究中心组织 了“网络风暴”演习,旨在使美国领导人演练应对未来灾难性 的网络袭击。 网络战司令部的成立被外界称为从被动响应到积极防 御的战略转变,甚至有人认为美国成立网络战司令部的目的 是在网络空间实施“先发制人”的政策。早在2009年4月, 一个美国空军官员就对BBC说过:“美国应当构建一个攻击 性的僵尸网络,把向美国发起网络攻击的任何力量作为目 标。”几乎同时美国报纸也透露,“国防部确实在开发进攻性 网络武器”。可以设想,网络战司令部非常可能利用在美国 国内众多的僵尸网络及其命令和通过控制服务器来隐蔽其 秘密的军用进攻性僵尸网络。美国建立网络司令部可能在 网络战空间中引起新的军备竞赛。 二、近年美国政府信息安全法律动向 信息安全开始渗透到社会生活的各个领域,对传统的行 政权力划分提出挑战。美国现有的网络安全部门结构非常 复杂,国防部、国家安全局、国土安全部之间存在职能冲突, 许多新成立的机构严重缺员。信息安全行政主管权的职能 冲突也同样延伸到了立法领域。近几年的网络安全立法更 像是信息安全主管权的争夺战。各部门都想通过立法来分 未来信息安全主导权的一杯羹。美国在近十年间一直努力 构建严密而复杂的网络监管体系。美国政府对互联网的监 管措施越来越严密,并呈现出“法制化”、“规范化”的特点。 (一)已通过的信息安全法律 1.《美国信息与通讯增强法案》修订法案 2009年8月13日通过了《美国信息与通讯增强法案》修 郝文江等:美国信息安全最新发展综述 订法案(U.S.ICE),该法案是对《联邦信息安全管理法案》 (FISMA)所规定的IT安全指导的更新。u.S.ICE修订本将 当然要留给政府和私营部门一定的灵活性。二是提议成立 国家网络中心,并由参议院指定一个人作为中心主任,直接 监督联邦机构信息安全的职责从白宫的OMB转移到DHS。 修订版删除了在总统行政办公室中设置国家网络安全 办公室的规定。U.S.ICE改为将大多数政府的I1r安全监管 授予国土安全部部长及其国家保护的项目部门。OMB将不 会失去所有的职权,他将保留对预算内容的最终发言权。但 是,按修订版,DHS将检查所有部门和机构网络安全开销计 划并且向OMB发布他的建议。从OMB到DHS转移职权背 后的想法是国土安全部具有网络安全专门技术而OMB精通 的是预算。依据委员会的高级委员,“国土安全部”已经是关 于网络安全的协调机构。该法案授权国家标准和技术研究 向国会、美国人民和总统就信息安全问题负责。提案未提及 在总统行政办公室设立法定的协调中心来解决网络安全问 题。因为目前白宫的网络安全协调中心既没有权限也没有 人员来协调政府范围内的网络运营和战略。三是提议在政 府和私营部门之间建立网络防御联盟的伙伴关系,以促进私 营部门和政府之间关于网络威胁和最新技术信息的信息互 通。私营部门往往是遭受网络攻击的前沿阵地,该网络攻击 的信息可以提高政府对网络威胁性质的认识,政府也应该分 享其掌握的网络威胁信息,包括机密或解密的情报。该联盟 将成为传递敏感信息和网络威胁信息的交换所,当然该联盟 所(NIST)作为制定IT安全规范指导重要政府机构,但是授 权DHS指导具有优先权的政府机构。 的工作必须严格遵守《信息自由法》、《反垄断法》等法律法 规的规定。 U.S.ICE修订版的其他规定包括: (1)在DHS内构建一个机构间网络安全委员会,提供来 2.《网络空间作为国有资产保护法案2010)(Protecting Cyberspace as a National Asset Act of2010) 自不同机构研究联邦网络安全政策的专家。来自每个机构 负责IT安全政策的资深人员将是委员会成员。在有些机构 这些成员将是首席信息官,而在其他机构则是首席信息安全 官。 (2)与I1r供应商合作,以驱动成本效能为目标,为商业 现货供应产品设立IT安全基线。 (3)构成一个包括DHS、NIST和政府服务局的机构间联 合小组,为安全技术建立通用认证和认可框架。政策将不允 美国国土安全委员会主席、资深参议员乔・利伯曼日前 向美国参议院提出该法案。该法案已经由参议院国土安全 与政府事务委员会通过,提案授权国土安全部对国家机构的 IT系统进行维护监管。该法案同样遭到了质疑,不少人认为 该法案授权美国国土安全部监管新IT安全产品的测试和政 府采购,而国土安全部并没有这方面的专门人才。去年12 月,总统任命了一个新的白宫网络安全协调官,该法案似乎 试图绕过网络安全协调官及其办公室的权限。 该法案中最有争议的条款,是它规定总统可以宣布国家 紧急网络状态,并强制私营业主对关键IT系统采取补救措 许机构建立它们自己的C&A标准。 2.2010年通过的决议 2010年的美国信息安全立法提案不少,但真正获得通过 施,以保护国家的利益。根据该提案,当美国政府认为美国 安全将因互联网的开放而受到侵犯时,总统可以命令谷歌、 雅虎等搜索引擎运营商暂停互联网服务。其他以美国为基 地的互联网服务提供商,在全国发生互联网安全紧急事件 时,都将受到总统的管制,违者将遭到严厉的处罚。若如此, 美国总统就正式拥有开启和关闭“互联网按钮”的权力。 三、对我国信息安全战略的几点启示 的仅是几个决议,而非实质性的法律法规。在通过的《国土 安全部拨款法案2010)和《国土安全法律和技术授权法案 2010>>中,2010年财年预算给予国土安全部的科学与技术局 10亿美元,用于诸如网络安全等研究。这些预算不包括国防 部用于网络安全的费用。这些费用主要用于研发、部署新的 网络攻防技术设施,如小布什政府CNCI中的爱因斯坦3型 (Einsteird)等网络侦测设备,以及国家网络靶场(National Cyber Range,NCR)和网络风暴3(Cyber Storm 3)演习等项 目。 通过控制互联网来控制世界一直是美国的主导战略。 通过对近两年来美国的信息安全战略和立法分析看出,美国 的国家信息安全战略已经进入了奥巴马时代的“网络威慑” 期,经历了一个“从预防为主到先发制人”的演化过程,手段 经历了“从控制互联网软硬件系统到控制互联网内容”的演 化过程。拥有开启和关闭互联网的“总开关”成为美国通过 为研发网络新技术和保护网络安全,美政府通过一系列 决议来培养信息安全人才,为信息安全做人才储备。2010年 6月29日众议院教育和劳工委员会提案通过,决定未来5年 内推进全国高校中网络安全课程的学习,并举办全国大学生 网络防御比赛。另外,《网络安全研究和发展法案》修正案旨 在促进学院、大学和制造技术推广中心之间的合作。 互联网来控制世界最终目的的重要手段。而更令人担忧的 是,根据《网络空间作为国有资产保护法案2010)的提案,以 美国为基地的互联网服务提供商,在全国发生互联网安全紧 急事件时,都将受到总统的管制。与此同时,美国在近十年 间一直努力构建严密而复杂的网络监管体系。由于互联网 本身的“活跃”属性和美国社会对公权力膨胀的担心,“管” 与“放”的矛盾一直十分激烈,且将长期争论下去。但总的来 看,美国政府对互联网的监管措施将越来越严密,并呈现出 “法制化”、“规范化”的特点。我国应该加快信息安全的立 ・(二)2010年具有影响力的信息安全法提案 2010年,最受关注的两个提案是《国家网络基础设施保 护法案2010)和《网络空间作为国有资产保护法案2010)。 1.《国家网络基础设施保护法2010)(National Cyber In— frastructure Protection Act of 2010) 该提案提出了三点建议:一是国会应该在网络基础设施 保护领域设置“安全线”,以保障美国的网络基础设施安全, 】15・ 郝文江等:美国信息安全最新发展综述 法工作,为我国信息化健康发展提供法制保障。 当今世界在这一领域最具实力和最具执行力的国家。政府 (一)加快制定信息安全立法规划 有对网络行为进行管制的必要性和正当性。我国应该制定 我国在网络安全立法方面以2004年通过的《电子签名 完备的信息安全法对网络进行管控。有消息称《信息安全条 法》为标志实现了零的突破,随后,各部门发布了电信条例、 例》已纳入2011年国务院立法规划。我国的信息安全法应 信息网络传播权条例、互联网信息服务管理办法、计算机信 该包括国家在重大安全应急事件情况下对通信网络的管制 息系统安全保护条例、互联网视听节目服务管理规定等。与 权力的授予,尤其是把在有理由相信国家安全受到威胁时, 发达国家和一些发展中国家相比,我国在信息安全方面的立 可以将采取临时管制措施纳入信息安全法的规定当中。 法明显滞后,表现在不仅已有立法的范围只覆盖了网络安全 四、结语 的个别领域,而且立法的效力层次较低。信息安全涉及各行 各业,由某一个行业主管部门出台的行政性规制很难做到全 互联网是一个开放的世界,但“没有规矩,不成方圆”,互 面公正。鉴于此,我们建议我国应尽快制定信息安全立法规 联网上一旦出现法律和监管上的真空,国家安全、信息安全、 划,明确立法时间表。 电子商务、个人隐私、未成年人保护等合法行为、合法权益、 (二)加强对国家信息基础设施的保护 合理诉求必将遭受冲击和破坏。依法管理互联网已成国际 信息基础设施已经在国家社会生活的各个领域中发挥 惯例,只有明确互联网法律保护什么、禁止什么,明确互联网 着不可替代的作用,政治生活、经济运作、商业活动、军事安 主体参与者的权利和义务,才能保障互联网健康、有序、快速 全和文化娱乐,都依赖庞大而复杂的网络系统。而政府、社 的发展。只有让法律法规适应日新月异的互联网技术发展, 会团体、公司的网站每天都会面临各种网络攻击,给国家的 依法管理好互联网,才能让网民安全使用互联网,共享互联 政治经济和国家安全带来严重隐患。在今天的经济形势下, 网科技进步带来的硕大成果。 所有个人和组织都需要为网络攻击关键基础设施导致的不 稳定性做好准备。为消除这一日益增加的隐患,我国应该尽 参考文献: 快出台国家信息基础设施保护方面的法律法规,不仅包括对 [1]John Rollins&Anna C.Henning.Comprehensive National 光缆和移动通信基础设施的保护,而且包括对非法接人行为 Cybersecurity Initiative:Legal Authorities and Policy Con— 的界定,对黑客和制造病毒等网络系统中的恶意破坏行为进 siderations[R].Congressional Research Service,10 行处罚。 mach2009. (三)明确国家在重大安全事件时可以对网络进行管制 [2]United States Government Accountability Office(GAO).Na— 网络世界从来不是一个不用现实的法律条例约束的独 tional Cybersecurity Strategy:Key ImprovementsAre Needed 立王国。高声宣扬“网络自由”的美国,从来都没有对互联网 to Strengthen the Nationps Posture[EB/OL].http://www. “疏于”防范和管控。美国通过各种途径,对网络实施着当今 gao.gov/new.items/d09432 t.pdf. 世界最成熟和最有效率的监控和管制措施。不论是战略层 面还是策略层面,不论是技术层面还是管理层面,美国都是 责任编辑:马克 An Overview of the Latest Development of US Information Security Hao Wenjiang&Ma Xiaoming (The First Research Institute,Ministry of Public Security,Beqing 100048,China) Abstract:In recent years,since he came into power the US president Obama has announced a series of strate— gy of network security and made it a part of US national security strategy.Thereafter some strategic plans,rules and regulations at nation level came out in succession.It reflects that US will have great adiustment in information secu— rity policy.US strategic plans and legislative trend provide some references and revelation for the information secur— ity strategy adjustment in China.China should promptly make an information security legislation program,strength— en the protection of the basic equipment of information security,and clarify that the government can control the net— work when significant security incidents happen. Key words:US;information security;strategic plan;Legislation of information ・116・
