1. 信息安全管理机构
2004年1月,美国成立了“全国信息保障委员会”、“全国信息保障同盟”和“关键基础设施信息保障办公室”等10多个全国性机构。9 11事件后,美国成立了由副总统领导的国家本土安全局,其职责包括了保护本土信息基础设施的安全。布什总统发布13231总统令,将克林顿成立的“总统关键基础设施保护委员会”这一部委之间的协调机构改为行政实体“总统关键基础设施保护办公室“,接受总统办公厅领导。这些措施体现了美国积极防御的信息安全战略意图。
美国联邦政府信息系统信息安全机构的设置情况是:
(1)商务部发布有关计算机安全的标准和指导方针,并决定在何种范围内强制执行,或准予豁免执行某些标准规定。商务部属下的国家标准与技术局主要负责非保密信息系统的信息安全工作,具体主持制定和推广成本效益好的计算机安全标准和指导发展。计算机系统实验室计算机安全部具体落实国家标准与技术局所负责的信息安全工作,负责帮助联邦政府各部委解决各种各样的信息安全问题,其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全、加密技术、人员身份认证技术、智能卡应用技术、计算机病毒检测与防治。
(2)国防部属下的国家安全局主要负责保密信息系统(被有关法规称为“国家安全系统”)的信息安全工作。国家安全局局长被任命为国家安全系统的信息安全国家主管。国家安全系统的保密信息包括美国宪法2315款第102项规定的信息:涉及情报的活动;涉及与国家安全有关的隐蔽活动;涉及军队的指挥与控制;涉及属于武器和武器系统的设备或对于完成军事或情报任务至关重要的设备等。全国计算机安全中心具体落实国家安全局所负责的信息安全工作,包括以下几个方面:第一,帮助其他政府机构解决与“国家安全系统”有关的信息安全问题,其中包括风险评估、安全规划、运行安全、验证等安全措施;第二,出版《信息系统安全产品和服务名录》; 第三,根据联邦政府机构及其合同单位的要求,对有关信息系统的薄弱环节加以评估,并提出消除和改善薄弱环节的信息系统安全措施。
(3)计算机应急处理小组协调中心的具体任务是:提供24小时可靠、可信的紧急情况联络;促进专家之间的交流以便解决信息安全问题;作为发现和改善计算机系统薄弱环节的服务中心;与研究流动保持紧密联系,进行旨在改进现有系统安全性能的研究;采取有效措施增进广大网络用户和网络服务提供单位对信息安全的认识和了解。
2.信息安全防护政策
1985年12月,美国总统直属的行政管理与预算局(OMB)负责制订了一项重要的政策《联邦政府信息资源管理OMB A-130号通告》,并在1993年7月2日作了修改。该通告全面阐述了联邦政府的信息资源管理政策。在这份长达20多万字的政策文件中,不仅详细论述了美国联邦政府信息、信息系统和信息技术的管理政策与方针,而且在其附录中还详细阐述了具体执行上述政策的细则。尤其在附录《联邦政府自动化信息资源的安全》政策大纲中,具体阐述了计算机系统的安全对策。该通告适用于所有联邦政府部门的所有机构,因此这是美国联邦政府信息资源管理和信息安全的政策大纲。
1987年美国国会通过了《计算机安全法案》,并于1988年开始实施。该法案目的是为了“改善联邦政府使用的计算机系统内敏感信息的安全与保密”。该法案定义敏感信息为其丢失、不当使用、未经授权被人接触修改会不利于国家利益或联邦政府计划的实行或不利于个人依法享有的个人隐私权的所有信息。计算机安全保密法案要求所有联邦机构确认含有敏感信息的计算机系统,并提供开发计划确保这些系统的安全。这个法案说明美国政府对计算机脆弱性引起的威胁已经开始重视。
1996年12月国防部颁发的《S600。1命令》和1998年5月美国总统克林顿签发的63号总统令(PDD63),提出了信息保障的概念。为此,1998年1月国防部制定了《国防信息保障纲要》,1998年5月国家安全局制定了《信息保障技术框架》。