　　美國(guó)的國(guó)家信息安全保障體系由來(lái)已久，從“二戰(zhàn)”期間對(duì)國(guó)家信息的保護(hù)，到“冷戰(zhàn)”期間與前蘇聯(lián)之間的信息戰(zhàn)，再到“911”事件發(fā)生之后，對(duì)信息安全保障的重視進(jìn)入到一個(gè)新的階段，時(shí)至今日美國(guó)的信息安全的保障體系已經(jīng)逐步健全。美國(guó)信息安全保障框架形成了由安全技術(shù)、安全管理與政策法規(guī)三個(gè)層次統(tǒng)一協(xié)調(diào)的立體化框架。三個(gè)層次之間形成了一個(gè)有機(jī)整體?？傮w而言，美國(guó)現(xiàn)在的信息安全戰(zhàn)略屬于“擴(kuò)張型”的信息安全戰(zhàn)略，在關(guān)鍵基礎(chǔ)設(shè)施、信息安全等級(jí)保護(hù)等相關(guān)領(lǐng)域制定了一系列的相關(guān)立法，形成了比較完善的信息安全保障體系。本文對(duì)美國(guó)信息安全保障立法體系進(jìn)行介紹，并根據(jù)我國(guó)情況提出幾點(diǎn)思考。

　　一、美國(guó)保護(hù)政府信息安全立法情況

　　美國(guó)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)高度依賴(lài)，從聯(lián)邦政府到州政府，再到公民個(gè)人的大量信息幾乎全部存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中，由于政府信息安全事關(guān)國(guó)家安全及政治穩(wěn)定，一旦遭到破壞，產(chǎn)生的后果將更為深遠(yuǎn)和不可逆。因此，美國(guó)極為重視對(duì)政府信息的保護(hù)。

　　目前，美國(guó)有關(guān)政府信息安全方面的法律主要有：

　　1966年，美國(guó)制定《信息自由法》，并且分別于1974年、1986年和1996年進(jìn)行了修訂，主要內(nèi)容涉及對(duì)政府信息的獲取、公開(kāi)方式、可分割性，以及相關(guān)的訴訟事宜等。

　　1987年制定的《計(jì)算機(jī)安全法》，規(guī)定NIST負(fù)責(zé)開(kāi)發(fā)聯(lián)邦計(jì)算機(jī)系統(tǒng)的安全標(biāo)準(zhǔn)。除了國(guó)家安全系統(tǒng)被用于國(guó)防和情報(bào)任務(wù)外，商務(wù)部負(fù)責(zé)公布安全標(biāo)準(zhǔn)，加強(qiáng)聯(lián)邦計(jì)算機(jī)系統(tǒng)安全保護(hù)的培訓(xùn)的責(zé)任，以提高聯(lián)邦計(jì)算機(jī)系統(tǒng)的安全性和保密性。

　　1991年發(fā)布的《高性能計(jì)算法》，規(guī)定建立滿(mǎn)足安全需求的聯(lián)邦高性能計(jì)算程序，此程序應(yīng)當(dāng)提供跨部門(mén)之間協(xié)調(diào)并向國(guó)會(huì)遞交年度執(zhí)行報(bào)告。此外，此法還要求NIST為聯(lián)邦系統(tǒng)建立高性能計(jì)算的安全與隱私標(biāo)準(zhǔn)。

　　1996年發(fā)布的《克林格-科恩法》，又名《信息技術(shù)管理改革法》，規(guī)定設(shè)立首席信息官(CIO)職位;授予商務(wù)部發(fā)布安全標(biāo)準(zhǔn)的權(quán)利，要求各個(gè)機(jī)構(gòu)開(kāi)發(fā)和維護(hù)信息技術(shù)架構(gòu);要求政府預(yù)算辦公室(OMB)監(jiān)督主要信息技術(shù)的收購(gòu)，并且與國(guó)土安全部長(zhǎng)協(xié)商，公布國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定的強(qiáng)制性聯(lián)邦計(jì)算機(jī)安全標(biāo)準(zhǔn)。

　　2000年發(fā)布的《政府信息安全改革法》，規(guī)定聯(lián)邦政府部門(mén)在保護(hù)信息安全方面的責(zé)任, 此法明確了商務(wù)部、國(guó)防部、司法部、總務(wù)管理局、人事管理局等部門(mén)維護(hù)信息安全的具體職責(zé)，建立了聯(lián)邦政府部門(mén)信息安全監(jiān)督機(jī)制。

　　2002年發(fā)布的《聯(lián)邦信息安全管理法》，為聯(lián)邦信息系統(tǒng)創(chuàng)建了一個(gè)安全框架。該法案強(qiáng)調(diào)風(fēng)險(xiǎn)管理，規(guī)定了OMB、NIST、CIOs、CISOs(首席信息安全官)、IGs(聯(lián)邦機(jī)構(gòu)監(jiān)察長(zhǎng))的具體責(zé)任。倡導(dǎo)建立由OMB監(jiān)督的中央聯(lián)邦事件中心，負(fù)責(zé)分析安全事件并且提供技術(shù)幫助，通知機(jī)構(gòu)運(yùn)營(yíng)商當(dāng)前和潛在的安全威脅及漏洞。

　　2009年奧巴馬總統(tǒng)簽署《網(wǎng)絡(luò)空間政策評(píng)估報(bào)告》，強(qiáng)調(diào)保障美國(guó)政府的網(wǎng)絡(luò)系統(tǒng)安全。

　　二、美國(guó)打擊計(jì)算機(jī)犯罪立法情況

　　1958年，世界上第一例計(jì)算機(jī)犯罪在美國(guó)硅谷發(fā)生，但是直至8年后才被發(fā)現(xiàn)，隨后計(jì)算機(jī)犯罪引起了美國(guó)的高度重視。1970年美國(guó)頒布了《金融秘密權(quán)利法》，對(duì)金融業(yè)務(wù)計(jì)算機(jī)中存儲(chǔ)的數(shù)據(jù)進(jìn)行限制。到1984年美國(guó)制定了規(guī)范計(jì)算機(jī)犯罪的專(zhuān)門(mén)性法律《聯(lián)邦計(jì)算機(jī)安全處罰條例》，并在1987年頒布。在1988年美國(guó)就成立了由計(jì)算機(jī)安全專(zhuān)家組成的行動(dòng)小組，對(duì)違法犯罪程序和計(jì)算機(jī)病毒的防范進(jìn)行研究。同年，美國(guó)國(guó)防部高級(jí)研究計(jì)劃署成立計(jì)算機(jī)應(yīng)急響應(yīng)小組，負(fù)責(zé)計(jì)算機(jī)安全問(wèn)題。美國(guó)有關(guān)計(jì)算機(jī)犯罪的法律主要有：

　　1984年的《偽造連接裝置及計(jì)算機(jī)欺詐與濫用法》。這是美國(guó)通過(guò)的第一部關(guān)于計(jì)算機(jī)安全與犯罪的法案，規(guī)定了禁止對(duì)聯(lián)邦計(jì)算機(jī)系統(tǒng)、銀行系統(tǒng)、各州及對(duì)外貿(mào)易的各種攻擊。

　　1986年簽署的《計(jì)算機(jī)欺詐與濫用法》，擴(kuò)展了1984年《偽造連接裝置及計(jì)算機(jī)欺詐與濫用法》的范圍，并對(duì)1986年《電子通訊隱私法》進(jìn)行了補(bǔ)充，宣告未經(jīng)授權(quán)訪(fǎng)問(wèn)“聯(lián)邦利益”計(jì)算機(jī)(指被牽涉進(jìn)某個(gè)刑事案件的兩臺(tái)或多臺(tái)計(jì)算機(jī)，且它們位于不同的州)，及未經(jīng)授權(quán)破解計(jì)算機(jī)口令為犯罪行為，以及交易盜竊的計(jì)算機(jī)密碼為違法行為。在1994年的修正案中，對(duì)傳播病毒和其他有害代碼行為也作了規(guī)定。

　　《計(jì)算機(jī)欺詐與濫用法》頒布以后，網(wǎng)絡(luò)技術(shù)的發(fā)展導(dǎo)致計(jì)算機(jī)犯罪出現(xiàn)新的形式，尤其是業(yè)內(nèi)人士的犯罪行為增加，但該法并沒(méi)有對(duì)內(nèi)部人員犯罪做出規(guī)定，加上近些年計(jì)算機(jī)犯罪的產(chǎn)業(yè)化趨勢(shì)，使得計(jì)算機(jī)犯罪立法更為急迫。

　　三、美國(guó)保護(hù)個(gè)人隱私立法情況

　　美國(guó)的電子商務(wù)迅速發(fā)展,收集和分析個(gè)人信息的軟件行業(yè)紛紛建立，給用戶(hù)的個(gè)人隱私安全帶來(lái)極大隱患。為了降低個(gè)人隱私因使用電腦等高科技過(guò)程中被侵犯的可能性，美國(guó)從法律層面加強(qiáng)對(duì)隱私的保護(hù)。美國(guó)有關(guān)隱私保護(hù)的法律落后于歐盟，尤其是2001《愛(ài)國(guó)者法》的出臺(tái)，擴(kuò)大了警察機(jī)關(guān)的權(quán)限，為政府更多涉入公民私生活創(chuàng)造了條件，違反確保公民私生活隱秘的憲法原則，引起很大的爭(zhēng)議，美國(guó)應(yīng)該考慮制定適應(yīng)當(dāng)今時(shí)代的新的隱私保護(hù)法律。美國(guó)有關(guān)信息安全的隱私保護(hù)法律有：

　　1974年的《隱私權(quán)法》，規(guī)定聯(lián)邦機(jī)構(gòu)限制個(gè)人可識(shí)別信息的披露，要求機(jī)構(gòu)提供訪(fǎng)問(wèn)個(gè)人信息記錄的權(quán)利。

　　1986年通過(guò)的《電子通信隱私法》主要禁止未經(jīng)授權(quán)的電子竊聽(tīng)，對(duì)信息傳輸安全、存儲(chǔ)安全和監(jiān)視合法性進(jìn)行的規(guī)定。

　　1998年美國(guó)通過(guò)了《兒童網(wǎng)上隱私保護(hù)法》，該法規(guī)定了網(wǎng)站經(jīng)營(yíng)者必須披露其隱私保護(hù)政策，聲明尋求兒童監(jiān)護(hù)人同意的時(shí)間及方式，以及違法兒童隱私保護(hù)應(yīng)承擔(dān)的責(zé)任。該法適用于美國(guó)管轄之下的自然人或單位對(duì)13歲以下兒童在線(xiàn)個(gè)人信息的收集。

　　2001的《醫(yī)治保險(xiǎn)攜帶和責(zé)任法》(HIPAA)修正案，目標(biāo)之一就是保護(hù)病人的電子健康記錄，并提出保護(hù)的具體標(biāo)準(zhǔn)。該法詳細(xì)規(guī)定了行政保障措施、物理保障措施、技術(shù)保障措施及安全責(zé)任的分配問(wèn)題，對(duì)于違反安全標(biāo)準(zhǔn)的實(shí)體，規(guī)定了最高可達(dá)25萬(wàn)美元罰款和最長(zhǎng)10年監(jiān)禁的嚴(yán)厲懲罰措施。

　　四、美國(guó)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施立法情況

　　關(guān)鍵基礎(chǔ)設(shè)施關(guān)系到一國(guó)的經(jīng)濟(jì)發(fā)展與社會(huì)穩(wěn)定，美國(guó)特別重視對(duì)關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)。20世紀(jì)90年代中期，鑒于日益增長(zhǎng)的國(guó)際恐怖主義威脅，美國(guó)從國(guó)土安全的角度對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行了重新定義。2001年的《愛(ài)國(guó)者法案》對(duì)其做出了詳細(xì)的概念解釋。2003年布什總統(tǒng)發(fā)布第7號(hào)國(guó)土安全總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù)》，對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施和重要資源進(jìn)行優(yōu)先級(jí)排序和保護(hù)。2006年DHS發(fā)布《國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》為今后的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)提供總體框架。相關(guān)法律主要涉及以下幾部：

　　1996年發(fā)布《國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法》，規(guī)定未經(jīng)授權(quán)進(jìn)入受保護(hù)的計(jì)算機(jī)系統(tǒng)并通過(guò)各種形式進(jìn)行惡意破壞行為，利用電子手段對(duì)他人和機(jī)構(gòu)進(jìn)行敲詐行為，或是試圖這樣做的行為都要受到刑事指控。

　　2002年發(fā)布《國(guó)土安全法》，明確了國(guó)土安全部(DHS)的職責(zé)和組織體系、信息分析和基礎(chǔ)設(shè)施保護(hù)、CIO管理職責(zé)，及加強(qiáng)在國(guó)土安全保護(hù)方面的合作等。

　　2010年發(fā)布的《國(guó)土安全網(wǎng)絡(luò)和物理基礎(chǔ)設(shè)施保護(hù)法》，涵蓋了部門(mén)責(zé)任義務(wù)的遵守、個(gè)人隱私保護(hù)和數(shù)據(jù)泄露應(yīng)對(duì)、網(wǎng)絡(luò)安全教育和技術(shù)研發(fā)、重要電力基礎(chǔ)設(shè)施保護(hù)和漏洞分析、國(guó)際合作、打擊網(wǎng)絡(luò)犯罪以及采購(gòu)與供應(yīng)鏈安全等內(nèi)容。

　　此外，美國(guó)111屆國(guó)會(huì)上提出《國(guó)家網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)法案2010》,規(guī)定在國(guó)防部(DOD)建立國(guó)家網(wǎng)絡(luò)中心，設(shè)立主管職位直接向總統(tǒng)報(bào)告安全事件，建立國(guó)家網(wǎng)絡(luò)安全項(xiàng)目預(yù)算全國(guó)性的網(wǎng)絡(luò)防御應(yīng)急基金，建立政府與私營(yíng)部門(mén)之間協(xié)作的網(wǎng)絡(luò)防御聯(lián)盟，分享彼此的網(wǎng)絡(luò)安全威脅信息，并互相提供技術(shù)支援。

　　五、幾點(diǎn)思考

　　總結(jié)美國(guó)相繼出臺(tái)的信息安全立法，可以看出美國(guó)規(guī)范信息安全的法律經(jīng)歷了一個(gè)從“預(yù)防為主”到“先發(fā)制人”，以控制“硬件設(shè)備”到控制“網(wǎng)絡(luò)信息內(nèi)容”的演化過(guò)程。

　　首先，美國(guó)信息安全立法涉及范圍廣泛，有規(guī)范網(wǎng)絡(luò)犯罪方面的，加強(qiáng)信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)方面，規(guī)范信息收集、利用、發(fā)布方面，隱私權(quán)保護(hù)等方面。

　　其次，注重多部門(mén)協(xié)作，建立威脅信息共享及應(yīng)急支持機(jī)制，并且設(shè)立專(zhuān)門(mén)機(jī)構(gòu)協(xié)調(diào)各方攜手保護(hù)信息安全。

　　再次，為了落實(shí)信息安全政策及法律，美國(guó)將政策執(zhí)行、監(jiān)督、管理等權(quán)利分配給多個(gè)部門(mén)，包括DHS、OMB、國(guó)防部、審計(jì)署、商務(wù)部、司法部等，并且根據(jù)現(xiàn)實(shí)需要不斷增設(shè)新機(jī)構(gòu)。

　　此外，美國(guó)還注重標(biāo)準(zhǔn)的制定，在多部法律中提到制定相應(yīng)標(biāo)準(zhǔn)保護(hù)信息安全，例如規(guī)定CIO委員會(huì)與NIST協(xié)作制定安全標(biāo)準(zhǔn)，NIST制定高性能計(jì)算的安全與隱私標(biāo)準(zhǔn)等。

　　總體而言，美國(guó)當(dāng)前有關(guān)信息安全立法的發(fā)展趨勢(shì)是要擴(kuò)大政府部門(mén)在網(wǎng)絡(luò)監(jiān)管中的權(quán)限，并明確其職責(zé)任務(wù)，以滿(mǎn)足應(yīng)對(duì)與日俱增的信息安全風(fēng)險(xiǎn)與挑戰(zhàn)的需求。（中國(guó)信息安全認(rèn)證中心宋揚(yáng)）　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　