第6章 信息政策与法规.pptVIP

美国信息安全保密政策 美国联邦政府在信息安全方面的法律中最主要的是1987年由国会通过、1988年开始实施的“1987年计算机安全法” 1985年12月美国总统直属的“行政管理与预算局”(OMB)制订“联邦政府信息资源的管理，OMBA-130号通告”。1993年7月2日，美国对“A-130号通告”作了修改，并于1996年2月8日公布了最新版本的A-130通告。A-130号通告全面阐述了联邦政府的信息资源管理政策 1996年12月美国国防部颁发的《S600.1命令》和1998年５月美国前总统克林顿签发的63号总统令（PDD63），提出了信息保障（IA）的概念。 2002年7月16日美国总统布什公布《国土安全国家战略计划》，要求国土安全部把保护计算机基础设施放在最高的优先级别，从而再次强调维护网络安全的重要性。 * * 美国安全保密标准 为了对市场上商品化的计算机系统的安全性能客观评价，美国国防部国家计算机安全中心代表国防部制定并出版了可信计算机安全评价标准，即著名的“橘皮书” 橘皮书标准最初用于美国政府和军方的计算机系统，但近年来影响已扩展到了商业领域，成为大 家公认的标准；橘皮书为计算机系统的安全定义了七个安全级别，最高为Ａ级，最低为Ｄ级。 为了针对网络、安全的系统和数据库的具体情况来应用橘皮书的标准，国防部国家安全计算机中心又制定并出版了三个解释性文件，即可信网络解释、计算机安全子系统解释和可信数据库解释。至此，便形成了美国计算机系统安全评价标准系列——彩虹系列 * * 美国信息安全国际合作政策 信息安全政策在政治上的障碍和恐惧的逐步升级必须得到全球和国际间的共识，相应地需要不断在信息安全的各种层次上建立标准和公约 1993年美国、加拿大和欧盟一致同意开发“信息技术安全性通用标准”，该标准首先可帮助安全的信息技术产品开拓市场以期达到规模经济，其次可有利于达到北美和欧洲各国相互承认的产品安全评测标准。该标准有望在时机成熟时，递交给国际标准化组织作为国际标准的基础。 * * 信息安全保障政策 1995年，俄罗斯颁布了《联邦信息、信息化和信息保护法》，强调了国家在建立信息资源和信息化中的责任是“旨在为完成俄联邦社会和经济发展的战略、战役任务，提供高效益、高质量的信息保障创造条件”。法规中明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。 1997年出台的《俄罗斯国家安全构想》明确提出：保障国家安全把保障经济安全放在第一位，而“信息安全又是经济安全的重中之重”。 2000年，普京总统批准了《国家信息安全学说》，把信息安全正式作为一种战略问题来考虑，并从理论与实践上加紧准备，认真探讨进行信息战的各种措施。 俄罗斯的信息安全政策法规 * * 信息安全保障系统和法律平台 目前，俄罗斯广泛开展的主要工作是综合研究在自动化信息交换领域产生的法律保护和著作权问题。 2003年俄联邦实施的《技术调整法》涵盖了整个从产品制造、储藏、运输、使用在内的系统技术调整，其中还包括了安全性技术调整。对于知识产权和著作权在内的保护法规也都有详实的说明。 为了推动信息产业化的发展，俄联邦政府批准了《2002至2010年电子俄罗斯》专项纲要。该专项纲要为国家信息安全保障提供了完整的法律体系和适宜的调整机制，具有十分重要的意义。 * * 我国信息安全管理的基本方针 “兴利除弊，集中监控，分级管理，保障国家安全” 我国已有的法律法规中对信息安全作出的法律政策意义上的约束管理主要体现在三个层次上： 第一个层次是从国家宪法和部门法的高度对个人、法人和其他组织的有关信息活动、涉及国家安全的权利义务进行规范和提出法律约束。例如《国家安全法》、《国家保密法》、《反不正当竞争法》、《全国人大常委会关于维护互联网安全的决定》等。 我国信息安全政策法规实践 * * 第二个层次是直接约束计算机安全、国际互联网安全的法规。如《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国计算机信息网络国标互联网安全保护管理办法》、《中华人民共和国电信条例》、《中华人民共和国互联网服务管理规定》等。 第三个层次是对信息内容、信息安全技术、信息安全产品的授权审批的规定。如《电子出版物管理暂行规定》、《中国互联网域名注册暂行管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《商用密码管理条例》、《互联网站从事登载新闻业务管理暂行规定》等。 * * 美、俄等国外信息安全政策法规的共性： 信息安全在一国安全的地位越来越高，投入也越来越大 各国的信息安全政策法规都以本国的信息安全的组织保障为原则 各国的信息安全政策法规都以国家信息安全的全面保障为基础 各国的信息安全政策法规都以信息技术防范为主要手段