刘 静 牛红亮 徐 曦

（1.西安医学院图书馆，陕西 西安 710021；2.西北大学公共管理学院，陕西 西安 710127）

刘 静 女，1965年生。副研究馆员。

牛红亮 副研究馆员。

徐 曦 副教授。

信息时代，信息安全保密已经成为一个国家的重要安全议程。美国作为全球信息化程度最高的国家，拥有世界上最先进和最庞大的信息系统，对信息系统的依赖性最大，对信息安全的关注也最多，美国是最早制定信息安全政策的国家。面对信息化给美国带来的威胁和挑战，美国信息安全政策经历了萌芽、发展、成熟和强化4个阶段，信息安全政策的内容从“计算机安全”到“信息保障”，从“适度安全”到“完全安全”，从“互联的程度”到“与因特网隔离”，从单独制定信息安全技术标准到与盟国合作制定国际标准，美国信息安全政策有了很大的发展变化。研究借鉴美国信息安全政策经验，对促进我国信息安全政策体系健全和完善具有重要意义。

1 美国信息安全政策的主要内容

1.1 关键信息基础设施保护政策

美国1993年制定并颁布了《美国国家信息基础设施：行动计划》，即NII。计划用20年投资4000～5000亿美元建立由通信网络、计算机、数据库以及电子产品组成的网络，为用户提供大量的、统一标准的信息服务。1994年，美国政府提出《全球信息基础设施行动计划》，旨在通过卫星通信和电信光缆连通全球网络，形成信息共享的竞争机制。1997年，总统关键基础设施保护委员会（PCCIP）向总统提交了《关键基础——保护美国的基础设施》的报告，该报告规划了美国关于基础设施保护的基本政策。1998年5月，美国总统克林顿签署了《关于保护美国关键基础设施的第63号总统令》，该总统令第一次就美国信息安全的概念、意义、长期与短期目标等作了明确的说明。

2000年美国《国家安全战略报告》的颁布，是信息安全政策发展中的重大事件，“信息安全”最终成为美国国家安全战略的正式组成部分，并开始具有其自身的独立地位。2001年，布什总统签署行政令《信息时代的关键基础设施保护》，授权成立一项旨在通过不断努力对关键基础设施中信息系统的保护项目，包括对应急战备通信设施及其相关的物理设施进行保护。2008年美国的第54号总统令，提出国家信息安全综合行动计划（CNCI），确保国家信息技术和通信基础设施安全。

1.2 美国信息安全保密政策

1977年美国颁布的《联邦计算机系统保护法案》首次将计算机系统纳入法律的保护范畴。1987年美国国会通过《计算机安全保密法案》，该法案是美国计算机安全的基本法律。

美国总统直属的行政管理与预算局，在1985年制订了一项重要的政策，即《联邦政府信息资源管理OMB A-130号通告》，并在1993年对此进行了修改。A-130号通告是美国联邦政府信息资源管理和信息安全的政策大纲，它不仅详细论述了联邦政府信息、信息系统和信息技术的管理政策和方针，还在附录“联邦政府自动化信息资源的安全”政策大纲中，具体阐述了计算机系统的安全对策。1996年12月美国国防部颁发的《S600.1命令》和1998年5月美国前总统克林顿签发的63号总统令（PDD63），提出了“信息保障”的概念。1998年1月国防部制定了《国防信息保障纲要》，1998年5月国家安全局制定了《信息保障技术框架》（IATF），提出了“深度防御战略”。

2000年美国《政府信息安全改革法案》增补了信息安全一章，法案增加的信息安全方面的核心内容是：联邦政府机构应该建立内部计算机安全机制，以保护为政府工作的计算机系统不受侵害。2000年1月白宫发表了《保卫美国的计算机空间-保护信息的国家计划V1.0》。2002年通过的《联邦信息安全管理法案》将“信息安全”定义为“保护信息和信息系统以避免未授权的访问、使用、泄漏、破坏、修改或者销毁，以确保信息的完整性、保密性和可用性”。2009年8月通过了《美国信息与通讯增强法案》修订法案，该法案是对《联邦信息安全管理法案》所规定的IT安全指导的更新。2009年制定《涉密信息泄露应对指南》是适用于美国政府各级机构的信息安全政策文件，该指南适用于任何信息系统中涉密国家安全信息泄漏的应急处理。

1.3 美国的网络安全政策

2000年，克林顿政府发布了作为美国21世纪总体信息安全战略和行动指南的《信息系统保护国家计划》，提出21世纪之初若干年的网络空间安全发展规划。该计划的综合性、全面性、现实性都达到了前所未有的程度，它的发布成为了信息安全发展史上具有里程碑意义的事件。该计划的实施将为美国的经济、国家安全、公共安全中的关键部门提供有效的保护措施。

美国提出了政府网络隔离的保障措施。“9·11”之后，为避免恐怖分子可能发起的网络攻击，反恐专家理查德·克拉克提出了组建“政府专网”GOVNET计划，即以高级防火墙和入侵检测技术组建与因特网分离的政府专用保密IP网，以保证电子政务的安全。

2002年美国众议院通过了《信息网络安全研究与发展法》，该法在国家信息网络安全领域的机构建设、研究计划管理、资金投入与管理、专门人才培养等方面都规定了有效的措施。

2003年发布的《网络空间安全国家战略》提出国家信息基础设施保障要达到3个战略目标：防止针对美国关键基础设施的数码攻击，降低国家关键基础设施的脆弱性，以及一旦攻击发生将危害和恢复时间降到最低值。此外，美国还制定了一系列法案，来打击计算机网络犯罪，保障关键信息基础设施的安全，如《加强网络安全法》、《公共网络安全法》、《加强计算机安全法》等。

2006年签署的《联邦网络空间安全及信息保护研究与发展规划（CSIA）》确定了13个重要发展领域。2008年美国政府提出网络“曼哈顿计划”，从各方面可看出该计划包括保护政府机构的信息系统等政策。2009年5月，公布了《美国网络安全评估》报告，报告评估了美国政府在网络空间的安全战略、策略和标准，指出了存在的问题，提出了行动计划。

1.4 密码管理的政策

密码管理一向是美国信息安全政策的一个重要方面。1993年美国制定了“Clipper Chip”标准，1995年出台了密钥管理基础措施，1998年宣布增加出口密码密钥的长度，1999年宣布放宽密码出口控制，2000年正式发布了新的密码出口条例。从条例出台的紧密程度上就可以看出，美国政府对于密码管理的重视程度。

1996年，美国总统签署了关于加密出口政策的备忘录和关于密码出口条例的行政命令，允许支持密码托管或密码恢复的、密钥长度大于56的高强度密码出口。同年，美国政府公布了一个试图使美国人更容易使用高强度密码保护他们的隐私、知识产权和其他有价值信息的计划，设想建立一个带有密钥托管和密钥恢复的全球密钥管理基础设施。

近年来，美国政府减少了对密码等安全技术向盟国出口的限制，这样不仅能够增加美国敏感信息系统的安全保密性和系统稳定性，同时能够促进美国的软件产业发展，使美国公司在这一领域能保持相对领先的地位。

1.5 美国信息安全保密标准

1985年，美国国防部国家计算机安全中心代表国防部制定并出版了可信计算机安全评价标准，即著名的“桔皮书”。最初桔皮书标准用于美国政府和军方的计算机系统，但近年来桔皮书的影响已扩展到了商业领域，成为大家公认的标准。

密码使用管理政策集中在使用密码进行信息加密和使用数字签名实施证书授权两个方面。在信息加密政策方面，美国于20世纪70年代就颁布了国家数据DES，1993年政府宣布的“托管加密行动”制定了托管加密标准EES。

“9·11”之后，美国更加快了信息安全标准的出台。例如，NIST从2001～2002年4月期间，至少发布了NIST SP800-26/-27/-28/-29-30/-31/-33/-38/-40/-41/-44/-45/等密码标准或安全准则，还出台了一系列有关IT安全过程准则、电信安全规范、安全管理标准、IT安全服务指南和安全产品选购指南等强制性标准。

2 美国信息安全政策的特点

2.1 美国行政——立法关系的转变

“9·11”可以视作美国信息安全政策的分水岭。在信息安全相关的领域，公众对于政府的不信任表现为对政府所掌握的信息“监听”能力的担忧。“9·11”事件发生前，这种不信任表现得非常强烈。但在“9·11”事件后，由于公众对于安全问题的关注并愿意为此承受包括自由权受到侵犯在内的代价，促使了决策权力从立法机关向行政机关的转移。面对突发事件，要求作出快速反应，行政机构因其能够更加有效地行使权力而获得优势地位。在此背景下，美国信息安全政策决策的权力结构也发生了深刻变化：以国防部、联邦调查局、中央情报局、国家安全局、国土安全部、能源部等为代表的涉及国家信息安全的行政机构，开始在决策过程中占据优势的地位。

2.2 确立网络安全的国家战略

随着信息全球化步伐的加快，美国先后调整了国家信息安全政策，使网络安全在国家信息安全政策中的地位不断上升，已成为国家安全战略中“不可分割的重要组成部分”。美国把网络安全作为维护美国安全的首要任务，突出强调网络空间的战略地位，不仅把网络列为关键基础设施，而且将其升级为国家战略资产，进一步加大了在网络领域的战略攻防力度。不论信息领域中的操作系统、数据库，还是网路交换机等核心技术基本都掌握在美国企业的手中，从而使其在网络空间占据着绝对的优势。

2.3 经费向应用性研究倾斜，加强与其他领域的合作

美国信息安全技术研究经费主要来源于美国国防部高级计划研究署（DARPA）。自“9·11”后，DARPA的研究重点倾向于机密项目、武器项目的研究。美国信息安全研究的经费更倾向于工程性、实用技术性研究，希望支持可以立即投入应用，能获得短期回报的项目。

政府重视与公司合作，加大了与工业界巨头的合作，工业界已经站到了信息安全的前沿，成为实际信息技术的研究者和实施者。信息安全政策的实施以及新的信息安全技术的推广离不开政府与私营部门间的合作，因此美国在新的信息安全政策中，把公私合作作为发展的一个重点。美国政府投入大量资金推动公司不断创新其产品内容，更新政府信息安全产品与技术，以便更好地保护国家领域内的信息安全。另外，由于信息安全问题在很多方面已经超出了计算机的研究领域，信息安全技术研究中不可避免地需要同其他研究领域的研究者进行合作，也就是所谓的“超越保护”的概念。

2.4 加强信息监督，大幅度限制信息公开

2002年9月，白宫本土安全办公室披露了国家信息安全战略指导文件《国家保障数字空间安全策略》，用于美国关键信息基础设施的安全指南。美国加强了对信息技术的控制，对安全项目的级别进行更细致的划分，许多原有的信息技术开放研究课题上升为机密项目，不再对外界提供有关信息，对信息安全研究人员进行严格的限制。严格控制密码技术的研究和出口，继续实施密钥托管的政策。对密码算法出口继续进行限制，对出口密钥的长度、加密芯片的种类都有严格的要求。

“9·11”事件后，美国强化对国内信息的监控，迅速通过了《爱国者法案》，这是“9·11”事件后，美国为保障国家安全颁布的最为重要的法律。它的目的主要是：从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动。其中规定获得法庭许可后，联邦政府相关部门可运用包括窃听在内的各种手段搜集与恐怖袭击相关的信息。国家信息安全综合行动计划要求检测所有联邦政府部门和机构的信息系统，以发现恶意攻击活动，为政府提供信息安全预警，帮助联邦政府增强信息安全意识，提高网络防范的综合能力。“9·11”事件发生后，美国政府大幅度缩减了解密文件的数量，与此同时，政府文件加密的数量呈明显上升趋势，政府越来越多地作出“加密”的决定，美国政府在“9·11”事件发生后大幅度加强了对信息公开的控制。

2.5 谋求信息安全领域的国际合作

网络的跨国特性和高速发展的经济相互依存，决定了国家必须通过合作来保护特定国境内的信息安全。通过加强特定的国家行为体之间的合作，共同应对来自非国家行为体的挑战，实现共同的国家信息安全。

2001年，欧洲委员会近30个成员国和4个伙伴国家（美国、加拿大、日本和南非）共同签署了《计算机犯罪公约》。该公约是国际社会合作打击网络犯罪的第一个国际多边公约，其主要目标是加强打击网络犯罪的国际合作。2006年，参议院投票批准了该公约于2007年1月1日在美正式生效。2002年，包括美国在内的八国集团签订了《全球信息社会冲绳宪章》。宪章要求进一步加强电子认证、电子签名、加密技术以及其他确保信息交易安全手段的作用，保证打击计算机网络犯罪的有效措施能够到位。宪章还要求8国在打击计算机犯罪方面的合作，以保护关键性信息基础设施不受侵害。2009年12月美国和俄罗斯之间开始就可能的网络裁减协议进行谈判。

3 对美国信息安全政策的思考和借鉴

3.1 组建专门的信息安全协调机构

美国通过建立国家层面上权威的、统一的信息安全整体组织和策略，确定信息安全专门的组织、规划、管理和实施协调的立法管理机构，对信息安全进行有序管理，提高信息安全管理、政策执行和监督的力度。我国的政府组织机构体系庞大，有权管理信息安全的机构主要有安全部、工业和信息化部、国家安全部、国家保密局等。但是，由于相关机构之间缺乏协调机制，各机构之间在信息交换、协调行动方面的情况不容乐观。因此，我国可以成立信息安全专门机构，负责协调各机构间的行动。

3.2 完善我国信息安全政策法规体系

目前我国还没有一部统一的全国性的《信息安全管理法》，现有与信息安全相关的法规主要包括：《中华人民共和国保守国家秘密法》、《计算机信息系统安全保护条例》、《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》等。有关国家信息安全管理的规定，多是一些层次较低的规章和条例，与美国等信息技术发达国家相比，我国的相关法规政策无论从数量还是质量都有待进一步提高。为此，要加强我国信息安全相关政策法规体系的建设，完善我国信息安全政策法规体系。

3.3 确立信息安全的战略地位，加强关键信息基础设施的保护

信息安全政策可以确定信息化的发展方向和具体方针策略，为社会信息活动提供具有导向性和约束力的行为准则。美国历来重视信息安全问题，2000年美国《国家安全战略报告》的颁布，使“信息安全”最终成为美国国家安全战略的正式组成部分，并开始具有其自身的独立地位，最终确立信息安全政策的国家战略地位。

信息基础设施在国家社会生活的各个领域中发挥着重要的不可替代的作用，基础设施的安全是信息安全的支撑点，如果信息基础设施受到破坏或攻击，将会给国家带来无法估量的损失。美国政府设立了多个部门保护信息关键基础设施，出台了多部关于基础设施保护的政策法规。我国关键基础设施种类多、规模大，涉及范围广，故应加强国家关键信息基础设施建设和保护。

3.4 加强政府对信息安全技术的投入

美国政府非常重视在信息网络安全的研发，对此给予长期、稳定、充分的资金投入，以确保研究机构有充足的时间进行开发，实现高质量的研究计划。美国自“9·11”后更加大了对信息安全的投入力度，对信息安全的投入从“9·11”前的每年27亿美元增加到后来的每年50亿美元，把发展的重点转移到了实用技术、信息战对抗技术上。美国2010年财年预算给予国土安全部的科学与技术局10亿美元，用于诸如网络安全等研究。在这方面我国每年的投入增长较快，但还不够，还要在经费方面适当加大投入，以取得实效。

3.5 培养信息人才，提高信息安全意识

人才培养是信息安全保障体系中非常重要的一环。美国在信息安全知识、技术、意识均处于世界领先地位，重视信息安全人才的培养，出台了各类信息安全教育项目，在多项法律法规或文件中强调提高公众的信息安全意识。

我国已成为世界上使用互联网人数最多的国家，信息技术对外开放的程度越来越大，面临的信息安全威胁越来越严峻。因此，培养信息人才，建设新型信息安全责任体系，提高公民的信息安全意识刻不容缓。

3.6 积极参与国际合作

国际合作始终是国家信息安全政策的一个重要组成部分，只有国际社会共同行动起来，排除困难，协调合作，才能确保各国信息领域的安全。目前，各国信息安全战略都把重点放在了国家层面的合作上。我国也应该积极参与信息安全国际间的合作与交流。

[1]杜友文.美国信息安全政策及其对我国的启示[J].情报探索，2009（1）.

[2]谭安芬.美国信息安全政策发展及其启示[J].计算机安全，2011（11）.

[3]孙德刚.美国信息安全政策研究[J].信息安全与通信保密，2003（1）.

[4]刘助仁.美国网络安全政策导向及其启示[J].中国公共安全，2010（3）.

[5]郝文江，张乐.美国信息安全战略发展研究[J].北京人民警察学院学报，2010（1）.