从美国法规政令看信息安全.pdfVIP

论坛与综述 —-·Forumand Summary 从美国的法规政今 信总安全 四川大学 赵泽良 中国人民银行计算机安全管理处 姜云兵 随着美国政府、企业、社会越来越依赖于信 的国家安全信息的通信与自动化系统的安全是国 息网络，美国会、政府、军队对信息系统保护越 家的关键责任；成立一个高级别的、由总统安全 teerin 来越重视。美国会讨论和通过了许多有关计算机 事务助理领导的系统安全指导组(S g 犯罪、密码控制、关键基础设施保护等方面法律。 Group)，国务卿、财政部长、国防部长、司法部 美政府特别是克林顿政府一直将信息技术安全作 长、管理与预算办公室(OMB)主任、中情局长是 为重要关注的领域之一，以总统决定令、行政命 这个组的成员；成立国家通信和信息系统安全委 令的形式发布了诸多有关信息安全的政令。本文 通过对近20年来美国的有关法律、政令的分析， 席，共22名成员．其中有12名来自国防与情报 对美的信息安全政策进行了探讨。 部门：国家安全局局长被指定为通信和自动化信 息系统安全的国家经理(National 重视组织建设，明确任务分工 NSA开发和研究用于保护涉及非密敏感信息的 自动化系统的标准和技术，这是NSA成立32年 20世纪80年代的3个法规对信息安全的组后，首次涉足除外交情报、军事通信安全外的民 织机构建设、责任分工起了十分重要的作用。 用领域。 45 (一)NSDD一1 (二)A一130 国家安全决定令是里根总统用于发布有关国 管理与预算办公室(OMB)全面负责计算机 防、情报、外交方面的国家安全政策的文件。 1984年9月17日，经过美国家安全局(NSA)的信息资源管理的通用框架草案，并于同年12月， 游说阻]，美国总统里根签署第145号国家安全决 定令：”关于通信和自动化信息系统安全的国家 130的附录III“联邦自动化信息资源安全”提出 政策”【11(NSDD一145)。 了包括在联邦自动化信息安全程序中的最基本控 NSDD一145指出某些孤立的信息可能是非密制，为联邦机构明确了信息安全的责任。这些控 的，但一旦将它们收集起来就可能泄露高度机密 制主要有：安全责任的分配；包括：规则、训练、 和敏感的信息，这些信息关系着国家的根本利 人员控制、事件响应、技术安全、系统互连等的 益；认为信息安全是政府操作效能与军事斗争准 安全计划；授权过程等。它要求联邦机构执行一 备的关键要素，确保那些处理与传输机密和敏感 个自动化信息安全程序，以确保信息在系统中的 作者简介：赵泽良，男，1961年5月生，四川大学博士生，高级工程师，研究方向为信息技术安全。姜云兵，男，1970年12月生，四 川大学博士生，研究方向为信息技术安全。 万方数据 论坛与综述 Forumand 收集、处理、传输、存储、传播是充分的安全。 (三)计算机安全法 1987年国会通过了计算机安全法【41(H．R145)， 目的是改善联邦计算机系统的安全与隐私。该法