新闻中心 > 快讯 > 正文

美国信息安全保障立法体系介绍及思考

2015年07月24日15:55  来源:环球网

5034

  美国的国家信息安全保障体系由来已久,从“二战”期间对国家信息的保护,到“冷战”期间与前苏联之间的信息战,再到“911”事件发生之后,对信息安全保障的重视进入到一个新的阶段,时至今日美国的信息安全的保障体系已经逐步健全。美国信息安全保障框架形成了由安全技术、安全管理与政策法规三个层次统一协调的立体化框架。三个层次之间形成了一个有机整体。总体而言,美国现在的信息安全战略属于“扩张型”的信息安全战略,在关键基础设施、信息安全等级保护等相关领域制定了一系列的相关立法,形成了比较完善的信息安全保障体系。本文对美国信息安全保障立法体系进行介绍,并根据我国情况提出几点思考。

  一、美国保护政府信息安全立法情况

  美国对计算机网络高度依赖,从联邦政府到州政府,再到公民个人的大量信息几乎全部存储在计算机系统中,由于政府信息安全事关国家安全及政治稳定,一旦遭到破坏,产生的后果将更为深远和不可逆。因此,美国极为重视对政府信息的保护。

  目前,美国有关政府信息安全方面的法律主要有:

  1966年,美国制定《信息自由法》,并且分别于1974年、1986年和1996年进行了修订,主要内容涉及对政府信息的获取、公开方式、可分割性,以及相关的诉讼事宜等。

  1987年制定的《计算机安全法》,规定NIST负责开发联邦计算机系统的安全标准。除了国家安全系统被用于国防和情报任务外,商务部负责公布安全标准,加强联邦计算机系统安全保护的培训的责任,以提高联邦计算机系统的安全性和保密性。

  1991年发布的《高性能计算法》,规定建立满足安全需求的联邦高性能计算程序,此程序应当提供跨部门之间协调并向国会递交年度执行报告。此外,此法还要求NIST为联邦系统建立高性能计算的安全与隐私标准。

  1996年发布的《克林格-科恩法》,又名《信息技术管理改革法》,规定设立首席信息官(CIO)职位;授予商务部发布安全标准的权利,要求各个机构开发和维护信息技术架构;要求政府预算办公室(OMB)监督主要信息技术的收购,并且与国土安全部长协商,公布国家标准与技术研究院(NIST)制定的强制性联邦计算机安全标准。

  2000年发布的《政府信息安全改革法》,规定联邦政府部门在保护信息安全方面的责任, 此法明确了商务部、国防部、司法部、总务管理局、人事管理局等部门维护信息安全的具体职责,建立了联邦政府部门信息安全监督机制。

  2002年发布的《联邦信息安全管理法》,为联邦信息系统创建了一个安全框架。该法案强调风险管理,规定了OMB、NIST、CIOs、CISOs(首席信息安全官)、IGs(联邦机构监察长)的具体责任。倡导建立由OMB监督的中央联邦事件中心,负责分析安全事件并且提供技术帮助,通知机构运营商当前和潜在的安全威胁及漏洞。

  2009年奥巴马总统签署《网络空间政策评估报告》,强调保障美国政府的网络系统安全。

  二、美国打击计算机犯罪立法情况

  1958年,世界上第一例计算机犯罪在美国硅谷发生,但是直至8年后才被发现,随后计算机犯罪引起了美国的高度重视。1970年美国颁布了《金融秘密权利法》,对金融业务计算机中存储的数据进行限制。到1984年美国制定了规范计算机犯罪的专门性法律《联邦计算机安全处罚条例》,并在1987年颁布。在1988年美国就成立了由计算机安全专家组成的行动小组,对违法犯罪程序和计算机病毒的防范进行研究。同年,美国国防部高级研究计划署成立计算机应急响应小组,负责计算机安全问题。美国有关计算机犯罪的法律主要有:

  1984年的《伪造连接装置及计算机欺诈与滥用法》。这是美国通过的第一部关于计算机安全与犯罪的法案,规定了禁止对联邦计算机系统、银行系统、各州及对外贸易的各种攻击。

  1986年签署的《计算机欺诈与滥用法》,扩展了1984年《伪造连接装置及计算机欺诈与滥用法》的范围,并对1986年《电子通讯隐私法》进行了补充,宣告未经授权访问“联邦利益”计算机(指被牵涉进某个刑事案件的两台或多台计算机,且它们位于不同的州),及未经授权破解计算机口令为犯罪行为,以及交易盗窃的计算机密码为违法行为。在1994年的修正案中,对传播病毒和其他有害代码行为也作了规定。

  《计算机欺诈与滥用法》颁布以后,网络技术的发展导致计算机犯罪出现新的形式,尤其是业内人士的犯罪行为增加,但该法并没有对内部人员犯罪做出规定,加上近些年计算机犯罪的产业化趋势,使得计算机犯罪立法更为急迫。

  三、美国保护个人隐私立法情况

  美国的电子商务迅速发展,收集和分析个人信息的软件行业纷纷建立,给用户的个人隐私安全带来极大隐患。为了降低个人隐私因使用电脑等高科技过程中被侵犯的可能性,美国从法律层面加强对隐私的保护。美国有关隐私保护的法律落后于欧盟,尤其是2001《爱国者法》的出台,扩大了警察机关的权限,为政府更多涉入公民私生活创造了条件,违反确保公民私生活隐秘的宪法原则,引起很大的争议,美国应该考虑制定适应当今时代的新的隐私保护法律。美国有关信息安全的隐私保护法律有:

  1974年的《隐私权法》,规定联邦机构限制个人可识别信息的披露,要求机构提供访问个人信息记录的权利。

  1986年通过的《电子通信隐私法》主要禁止未经授权的电子窃听,对信息传输安全、存储安全和监视合法性进行的规定。

  1998年美国通过了《儿童网上隐私保护法》,该法规定了网站经营者必须披露其隐私保护政策,声明寻求儿童监护人同意的时间及方式,以及违法儿童隐私保护应承担的责任。该法适用于美国管辖之下的自然人或单位对13岁以下儿童在线个人信息的收集。

  2001的《医治保险携带和责任法》(HIPAA)修正案,目标之一就是保护病人的电子健康记录,并提出保护的具体标准。该法详细规定了行政保障措施、物理保障措施、技术保障措施及安全责任的分配问题,对于违反安全标准的实体,规定了最高可达25万美元罚款和最长10年监禁的严厉惩罚措施。

  四、美国保护关键基础设施立法情况

  关键基础设施关系到一国的经济发展与社会稳定,美国特别重视对关键基础设施的保护。20世纪90年代中期,鉴于日益增长的国际恐怖主义威胁,美国从国土安全的角度对关键基础设施进行了重新定义。2001年的《爱国者法案》对其做出了详细的概念解释。2003年布什总统发布第7号国土安全总统令《关键基础设施标识、优先级和保护》,对美国关键基础设施和重要资源进行优先级排序和保护。2006年DHS发布《国家基础设施保护计划》为今后的关键基础设施保护提供总体框架。相关法律主要涉及以下几部:

  1996年发布《国家信息基础设施保护法》,规定未经授权进入受保护的计算机系统并通过各种形式进行恶意破坏行为,利用电子手段对他人和机构进行敲诈行为,或是试图这样做的行为都要受到刑事指控。

  2002年发布《国土安全法》,明确了国土安全部(DHS)的职责和组织体系、信息分析和基础设施保护、CIO管理职责,及加强在国土安全保护方面的合作等。

  2010年发布的《国土安全网络和物理基础设施保护法》,涵盖了部门责任义务的遵守、个人隐私保护和数据泄露应对、网络安全教育和技术研发、重要电力基础设施保护和漏洞分析、国际合作、打击网络犯罪以及采购与供应链安全等内容。

  此外,美国111届国会上提出《国家网络基础设施保护法案2010》,规定在国防部(DOD)建立国家网络中心,设立主管职位直接向总统报告安全事件,建立国家网络安全项目预算全国性的网络防御应急基金,建立政府与私营部门之间协作的网络防御联盟,分享彼此的网络安全威胁信息,并互相提供技术支援。

  五、几点思考

  总结美国相继出台的信息安全立法,可以看出美国规范信息安全的法律经历了一个从“预防为主”到“先发制人”,以控制“硬件设备”到控制“网络信息内容”的演化过程。

  首先,美国信息安全立法涉及范围广泛,有规范网络犯罪方面的,加强信息网络基础设施保护方面,规范信息收集、利用、发布方面,隐私权保护等方面。

  其次,注重多部门协作,建立威胁信息共享及应急支持机制,并且设立专门机构协调各方携手保护信息安全。

  再次,为了落实信息安全政策及法律,美国将政策执行、监督、管理等权利分配给多个部门,包括DHS、OMB、国防部、审计署、商务部、司法部等,并且根据现实需要不断增设新机构。

  此外,美国还注重标准的制定,在多部法律中提到制定相应标准保护信息安全,例如规定CIO委员会与NIST协作制定安全标准,NIST制定高性能计算的安全与隐私标准等。

  总体而言,美国当前有关信息安全立法的发展趋势是要扩大政府部门在网络监管中的权限,并明确其职责任务,以满足应对与日俱增的信息安全风险与挑战的需求。(中国信息安全认证中心 宋扬)                                          

文章关键词:信息安全;保障措施;立法体系; 责编:安文靖
5034

相关阅读 换一换

  • 什么专业就业满意度最高?本科:信息安全

    信息安全、建筑学、小学教育、城市规划、新闻学、财政学、医学影像学、劳动与社会保障、软件工程、播音与主持专业 

  • 上合组织向联合国提"信息安全国际行为准则"新草案

    近年来,信息和网络安全问题受到国际社会普遍关注,网上公民隐私和国家主权受到大规模侵犯,制订相关国际规则、规范信息和网络空间行为的国际呼声日益高涨。中、俄等国曾于2011年9月向第六十六届联大提交“信息安全国际行为准则”,引起国际社会广泛关注,推动了信息和网络空间国际规则制定进程。

  • 2015年五大最热信息安全威胁趋势预测

    在信息安全领域,2014年已经成为极不平凡的一年——网络威胁与数据泄露等事故以几乎永无止境之势一波波袭来,给零售业、银行业、游戏网络以及政府机关等行业造成巨大冲击。展望步步走来的2015年,Durbin表示ISF为接下来的一年整理出五大将占据主导性的安全发展趋势。

  • “信息安全”背后隐藏3万亿美元市场

    过去两年,全球积累的数据量就已经超过了以往人类所有历史的总和,让过去基于小数据集的隐私保护技术难以应付。“大数据的广度带来了多元技术的融合,使得传统的模糊化技术、匿名技术几乎无法生效,大数据的深度带来了实时分析,使得传统加密和密码技术遇到巨大的瓶颈。

  • 信息领域决不该有双重标准

    习近平主席在巴西国会发表《弘扬传统友好共谱合作新篇》的演讲中强调,“互联网技术再发展也不能侵犯他国的信息主权,更不能牺牲别国安全谋求自身所谓绝对安全。

  • 信息安全讲师在2千万被泄露开房信息中查到自己

    在信息安全行业工作10多年的白领王金龙和张威也是开房数据泄露的受害者,由于个人隐私信息被泄露,两人饱受垃圾短信和推销电话骚扰之苦。王金龙和张威分析,此次全面的个人隐私信息泄露会带来极大隐患,大概分五个方面:

  • 住房信息联网为何屡期不至

    四川省住建厅22日宣布,四川省年内将实现三级住房信息系统联网。赵路兴称,一旦信息联网,就意味着房产税将会开征,“信息联网后,开征房产税,多套房拥有者自然有抵触情绪”。

  • 互联网设备望升级 掘金移动基站信息安全

    在中国第互联网大会召开前一天,中国电信宣布启动第三次全国宽带大提速,全面推广100M宽带。国都证券认为,庞大的基站投资最先受益的是网络设计与规划类厂商,如富春通信和杰赛科技,其次是射频器件厂商,如大富科技和武汉凡谷。

  • 公务员加入倒卖公民个人信息更应严惩

    截至4月23日,全国各地警方共抓获侵害公民个人信息犯罪嫌疑人1700余名,挖出犯罪源头38个。公务员守土有责,有责任捍卫公民信息安全,利用职权倒卖公民信息,就犹如本该下闸蓄水,却开闸放水,这不仅冲掉了起码的职业道德,还冲掉了公民的信息安全,置公民于不安全的境地之中。

  • 个人信息告别“裸奔”有了一点希望

    近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。也就是说,相关原则、指南、标准的制定与出台,既是立法的重要支撑与依据,也是保障法律实施有效性和充分性的重要措施。

  • 两会英语:保护“网民”的“信息安全”

    信息安全法”,是指调整在维护信息安全过程中所产生的社会关系法律规范的总称。

  • 网络安全博览会19日开幕 周鸿祎等畅谈信息安全保护

    本次博览会由中央网络安全和信息化领导小组办公室、工业和信息化部、公安部指导,武汉市人民政府主办,工业和信息化部电子一所、中国网络安全产业联盟和武汉市网络安全和信息化领导小组办公室共同承办。

  • 合力共筑网络安全防线

    网络空间是亿万民众共同的精神家园,网络空间乌烟瘴气、生态恶化,不符合人民利益。现如今,我国互联网事业成绩与问题并存,网络安全和信……

  • 泄露公民信息的是“态度漏洞”

    社保系统已成个人信息泄露“重灾区”,重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。数据显示,我国每年因信息诈骗带来的损失数以亿元计,有单个受害者的损失甚至高达数千万元,且损失数据呈逐年递增趋势。

  • 至少19省社保系统信息泄露 涉及5200万居民

    补天漏洞响应平台数据显示,从2014年4月以来,涉及居民社保信息泄露的报告达46个,其中高危44个,至少涉及江苏、陕西、四川、浙江、山西等19省份,涉及人员高达5200万。近日,知名漏洞响应平台曝光江苏、陕西、四川、浙江、山西等全国至少19省份的社保系统存在漏洞,数千万用户的社保信息遭遇泄露危机。

  • 新闻
  • 财经
  • 汽车
  • 体育
  • 娱乐
  • 健康
  • 科技

慢新闻

省招办辟谣!网传“河南50万考生无大学可上”数据错误百出 为不实消息 省招办辟谣!网传“河南50万考生无大学可上”数据错误百出 为不实消息

推荐视频

高考前"最后一课":我的故事都是关于你

i新闻

新闻推荐

网站简介 | 版权声明 | 广告服务 | 联系方式 | 网站地图

Copyright © 2012 hnr.cn Corporation,All Rights Reserved

映象网络 版权所有