美国政府电子政务系统的安全防护体系

　　1. 信息安全管理机构
　　2004年1月,美国成立了“全国信息保障委员会”、“全国信息保障同盟”和“关键基础设施信息保障办公室”等10多个全国性机构。9 11事件后，美国成立了由副总统领导的国家本土安全局，其职责包括了保护本土信息基础设施的安全。布什总统发布13231总统令，将克林顿成立的“总统关键基础设施保护委员会”这一部委之间的协调机构改为行政实体“总统关键基础设施保护办公室“，接受总统办公厅领导。这些措施体现了美国积极防御的信息安全战略意图。
　　美国联邦政府信息系统信息安全机构的设置情况是：
　　（1）商务部发布有关计算机安全的标准和指导方针，并决定在何种范围内强制执行，或准予豁免执行某些标准规定。商务部属下的国家标准与技术局主要负责非保密信息系统的信息安全工作，具体主持制定和推广成本效益好的计算机安全标准和指导发展。计算机系统实验室计算机安全部具体落实国家标准与技术局所负责的信息安全工作，负责帮助联邦政府各部委解决各种各样的信息安全问题，其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全、加密技术、人员身份认证技术、智能卡应用技术、计算机病毒检测与防治。
　　（2）国防部属下的国家安全局主要负责保密信息系统（被有关法规称为“国家安全系统”）的信息安全工作。国家安全局局长被任命为国家安全系统的信息安全国家主管。国家安全系统的保密信息包括美国宪法2315款第102项规定的信息：涉及情报的活动；涉及与国家安全有关的隐蔽活动；涉及军队的指挥与控制；涉及属于武器和武器系统的设备或对于完成军事或情报任务至关重要的设备等。全国计算机安全中心具体落实国家安全局所负责的信息安全工作，包括以下几个方面：第一，帮助其他政府机构解决与“国家安全系统”有关的信息安全问题，其中包括风险评估、安全规划、运行安全、验证等安全措施；第二，出版《信息系统安全产品和服务名录》； 第三，根据联邦政府机构及其合同单位的要求，对有关信息系统的薄弱环节加以评估，并提出消除和改善薄弱环节的信息系统安全措施。
　　（3）计算机应急处理小组协调中心的具体任务是：提供24小时可靠、可信的紧急情况联络；促进专家之间的交流以便解决信息安全问题；作为发现和改善计算机系统薄弱环节的服务中心；与研究流动保持紧密联系，进行旨在改进现有系统安全性能的研究；采取有效措施增进广大网络用户和网络服务提供单位对信息安全的认识和了解。
　　2．信息安全防护政策
　　1985年12月，美国总统直属的行政管理与预算局（OMB）负责制订了一项重要的政策《联邦政府信息资源管理OMB A-130号通告》，并在1993年7月2日作了修改。该通告全面阐述了联邦政府的信息资源管理政策。在这份长达20多万字的政策文件中，不仅详细论述了美国联邦政府信息、信息系统和信息技术的管理政策与方针，而且在其附录中还详细阐述了具体执行上述政策的细则。尤其在附录《联邦政府自动化信息资源的安全》政策大纲中，具体阐述了计算机系统的安全对策。该通告适用于所有联邦政府部门的所有机构，因此这是美国联邦政府信息资源管理和信息安全的政策大纲。
　　1987年美国国会通过了《计算机安全法案》，并于1988年开始实施。该法案目的是为了“改善联邦政府使用的计算机系统内敏感信息的安全与保密”。该法案定义敏感信息为其丢失、不当使用、未经授权被人接触修改会不利于国家利益或联邦政府计划的实行或不利于个人依法享有的个人隐私权的所有信息。计算机安全保密法案要求所有联邦机构确认含有敏感信息的计算机系统，并提供开发计划确保这些系统的安全。这个法案说明美国政府对计算机脆弱性引起的威胁已经开始重视。
　　1996年12月国防部颁发的《S600。1命令》和1998年5月美国总统克林顿签发的63号总统令（PDD63），提出了信息保障的概念。为此，1998年1月国防部制定了《国防信息保障纲要》，1998年5月国家安全局制定了《信息保障技术框架》。 #p#分页标题#e#
　　2000年，《政府信息安全改革法案》增补了信息安全一章，增加了《政府文案工作减少法案》信息安全方面的内容，同时根据实践工作修订了《计算机安全保密法案》。这些法案增加的信息安全方面的核心内容是：联邦政府机构应该建立内部计算机安全机制，以保护为政府工作的计算机系统不受侵害。
　　2000年1月，白宫发表了《保卫美国的计算机空间――保护信息的国家计划V1.0》；关于信息保障，国防部已经制定了10多个相关的计划。
　　2002年，美国通过的《联邦信息安全管理法案》规定必须对联邦政府信息系统进行安全评估并备案，为美国政府机构信息系统改善信息安全问题设定了目标，也被称作美国电子政务法案。《联邦信息安全管理法案》为美国联邦政府信息安全设定了目标，却没有规定如何实现这些目标。为此，美国国家技术与标准局（NIST）负责为实现这些目标制定最低安全要求，因此，NIST专门启动了信息系统安全计划。
　　3．信息安全技术标准
　　1985年，国防部国家计算机安全中心代表国防部制定并出版屯《可信计算机安全评价标准》，即著名的“桔皮书”（Orange BOOK）。最初，《可信计算机安全评价标准》用不无道理丰产田政府和军方的计算机系统，而近年这一标准的影响已扩展到了公共管理领域，成为事实上大家公认的标准。
　　《可信计算机安全评价标准》为计算机信息系统的安全定义了7个安全级别，从最高的A级到最低的D级：A级提供核查保护，只适用于军用计算机；B级为强制保护，采用TCB可信计算基准方法，即保持敏感性标签的完整性并用它们形成一整套强制访问控制规则。B级系统必须在主要数据结构和对象中带有敏感性标签，B级又可细分为B1、B2、B3三个等级：B1表示被标签的安全性，B2表示结构化保护、B3表示安全领域；C级为酌情保护，在C级中又细分为C1、C2这两个等级：C1表示酌情安全保护、C2表示访问控制保护；D级为最低级别。
　　为了更好地根据网络、信息系统和数据库的具体情况应用“桔皮书”标准，国防部国家安全计算机中心又制定并出版屯三个解释性文件，即《可信网络解释》、《计算机安全系统解释》和《可信数据库解释》。至此，便形成了美国计算机系统安全评价标准系列――彩虹系列。
　　4．信息安全防护技术措施
　　美国政府2003年财政预算有7.22亿美元用于信息安全建设，以防止遭受恐怖袭击。其中引人注目的是“政府专用网”（GOVNET）研究计划，建立一个连接联邦机构的保密网络，采用合适的技术与因特网隔离。根据《GOVNET需求信息通知》，GOVNET的关键特征是“它必须没有外来网络的攻击，在完全安全的情况下进行网络通信”。政府希望GOVNET能够借助IP协议提供专用的语音和数据传输网络服务，同时保证GOVNET不和商用或公共网络连接。
　　布什总统的网络安全问题特别顾问理查德?克拉克在提出GOVNET系统的设想时认为，如果政府在互联网安全方面不投入更多的资金，那么，“数字珍珠港”事件总有一天会爆发。恐怖分子完全可能破坏美国的信息基础设施，控制电信、电网、水力供应和空中交通的计算机网络。GOVNET计划同时也得到美国本土安全防御办公室主任汤姆?里奇和布什总统国家安全事务助理赖斯两人的肯定与支持。里奇公开表示，建立独立的政府内部网络将是“在技术层面加强美国国家安全最核心的战略选择之一”。根据GOVNET的需求信息，美国政府目前已经收到了投资商的170份建议。根据最近的消息，美国政府会在近期最终决定是否实行这一计划。
　　GOVNET一经提出，就有许多批评和争议。主要焦点在于造价问题、安全问题和实用性等问题。支持者则认为，随着网络规模和复杂度的急剧增加，网络安全的问题日益严重，越来越多的用户发现连接在因特网上的安全保密风险太大，甚至防火墙、虚拟专用网、入侵监测系统IDS等安全措施也不足以保证安全。
　　#p#分页标题#e#