美国信息安全保密体系初探.docxVIP

专家之声ExpertOpinion美国信息安全保密体系初探林东岱刘峰中国科学院信息工程研究所美国作为世界上军事和经济实力最强大的国家，在信息技术领域也远远领先于其他国家，美国早在老布什时代就提出了兴建信息高速公路的计划。随后的时间里，网络渗透人们生活的方方面面，促成了人类历史上一次伟大的信息革命。但随之而来的信息安全保密问题却时时刻刻刺激着人们的神经，一些灾难性的事件层出不穷。之后的克林顿、小布什和奥巴马政府，通过越来越密集地发布有针对性的国家政策、组建专门的政府机构，来应对日益严峻和复杂的信息安全保密挑战。迄今为止，美国信息安全保密综合实力远远领先于世界上的其他国家。面对传统的信息安全保密问题，如网络窃密、网络犯罪、基础设施脆弱，人们提出了看似完善的信息安全CIA模型。但“9·11”事件当头一棒，人们明白涉密信息也需要共享才能有效，之后的维基揭秘事件又让人认识到，窃密、泄密手段无孔不入。信息安全保密的短板理论告诉我们，攻击方和防护方之间存在着巨大的不平等。面对挑战，人们下意识地想简化问题，但是事实证明，简单的技术以及技术的堆砌已经无法应对复杂的网络环境，唯有体系化的防护才是唯一应对之道。在复杂的信息社会环境中，摸索一套完善的信息安全保密防护体系很难。美国作为当今世界上信息安全保密研究最早、最先进和最完善的国家，我们或许可以从其一系列做法中得到一些启示。本文*本文受中国科学院先导专项课题（No.XD及信息工程研究所密码专项基金No.Y2Z0011102支持。6|保密科学技术|2012年9月专家之声ExpertOpinion将从美国的信息安全保密组织机构及管理体系、法律法规体系、标准技术体系和近年来美国实施和发布的重大计划和战略中探究美国目前的做法，希望能够对我国的信息安全保密研究与建设提供参考。安全监督办公室（ISOO），该机构隶属于国家档案馆（NARA），它全面负责美国政府和各行业中涉密信息和计划的保护、管理和监督，并承担部分安全教育工作。ISOO每年负责向总统就涉密信息和计划的状态及预算花费等内容做汇报。2011年，奥巴马发布了第13587号总统令《促进涉密网络安全和责任共享以及保护涉密信息的结构改革》。该总统令是美国近年来对涉密网络保护理念转变以来——由单纯的保密转为共享和保护——所采取的一项重大措施。依照该总统令，美国还将在涉密信息共享和保护方面建立一系列机构，包括：高级信息共享和保护指导委员会、涉密信息共享保护办公室、网络中涉密信息保护执行代理及内部威胁专责小组。美国作为世界上科技最发达的国家，拥有世界上最多、最先进的信息安全保密相关的科研教育机构。美国国会早在2002年就通过了《网络安全研究发展法案》，分配资金用于国家标准技术研究院（NIST）和国家自然科学基金（NSF）专门资助网络安全的研究。国防部DARPA下属的I2O和STO两个办公室也资助信息安全保密领域的研究，平均每年负责32亿美元的预算管理。作为科技强国，美国政府还设有专门的计划来广泛吸取社会上（高校和企业）的科研成果，以加强和加速联邦政府在信息安全保密方面的能力建设。比如，NIST同国家安全局（NSA）共同发起了国家信息保障合作计划（NationalInformationAssurancePartnership，NIAP）。美国的国家自然科学基金委资助建立了多个专门从事网络安全研究的中心，如：CCIED、SAFE、TCIP和ACCURATE。仅2008财年，NSF就在网络安全领域资助了总额为9670万美元的科研项目。作为美国重要的国家级科研力量，NIST每年的科研经费接近10亿美元。NIST拥有7个常任委员会，其中之一便是信息安全和隐私咨询顾问委员会（ISPAB）。此外，NIST下属的信息技术实验室（ITL），专门设有计算机安全处（CSD）。2012年，NIST成立了国家卓越网络安全中心（National1组织机构及管理体系美国的行政机构是美国管理公共事务的行政组织体系，它是美国政治制度的重要组成部分。美国的行政机构包括：联邦行政机构和州及地方行政机构。联邦行政机构由内阁各部、总统办事机构和独立机构构成。与信息安全保密相关的机构还包括美国的军事机构，以及立法和司法机构。美国设有众多的信息安全保密管理机构，奥巴马于2009年在美国的国家安全委员会（NSC）和国家经济委员会（NEC）下设了网络安全办公室（CSO），先后任命霍华德·施密特和迈克尔·丹尼尔为网络安全协调员。网络安全办公室的人员将负责为政府编纂和综合所有的网络安全政策，在重大网络事故或攻击情形下协调政府反应。在内阁各部中，国防部（DoD）、国土安全部（DHS）对美国的国家信息安全体系涉及较多。国防部的首席信息官担任国家安全体系委员会（CNSS）的主席，该机构负责协调美国政府各