《毕业论文-美国信息安全政策法规研究.doc》由会员分享,可在线阅读,更多相关《毕业论文-美国信息安全政策法规研究.doc(17页珍藏版)》请在三一文库上搜索。
1、摘 要 本篇论文是从美国的信息安全初期的产生过程和几任总统所做出的战略策划,从头来研究这些战略的成长过程,从法规和组织机构及人才培养的方面进行讨论,还介绍了国家信息的保障体系,从对美国信息安全的认识和了解,并对他的战略意图进行更深的认识来促进和改善我们国家的体系和战略。 关键字:信息安全 信息安全战略 体系结构 组织机构Abstract This paper is the beginning of information security from the United States the production process and the president made several s
2、trategic planning from the beginning to study the growth process of these strategies, from the regulatory agencies and personnel training and organizational aspects of the discussion, also introduced National information security system, from the United States, awareness and understanding of informa
3、tion security, and his deeper understanding of the strategic intent to promote and improve our countrys systems and strategies.Keywords: Information Security,Information security legislation Architecture Organizations目 录第一章 美国信息安全战略计划11.1 信息安全的认识11.1.1信息安全的属性11.1.2信息的作用11.2 美国信息安全开始阶段21.3 历任总统的信息安全战
4、略2第二章 美国加强信息安全政策法规建设的主要做法42.1 建立组织机构42.1.1 审计局42.1.2 行政管理和预算局42.1.3 国家标准局42.1.4 国防部42.1.5 国土安全局52.2 加强保障体系建设52.2.1 组织管理体系52.2.2 技术防范体系52.2.3 应急响应体系62.2.4 服务体系62.2.5 人才培养体系62.2.6 国际合作保障体系62.3 完善具体措施62.3.1 规范及权威性的重视62.3.2 战略性的重视72.3.3 法律措施的重视72.3.4 执法行为的重视72.3.5 遵守法律观念的重视72.4 主要政策法规介绍82.4.1 63号总统令82.4
5、.2 信息保障技术框架82.4.3 网络空间安全国家战略计划8第三章 美国信息安全战略对我们的启示10第四章 小结11参考文献12鸣 谢13I第一章 美国信息安全战略计划美国是一个信息大国,他们对信息安全的重视程度相当的高,是全世界第一个制定并且开始实行信息安全战略的国家,随着时代和社会形势的变化它也跟着逐步完善和提高,对于美国信息安全的部署属性可以看作是“扩张型”。针对这一属性,美国政府及研发人员专门制定了相对完善和稳定的政策法规体系,建立了由国家到部委到机关三个层面的管理机制,对每个部门都要求积极配合,分工到位,各管其政的工作态度,并在国家防卫部门进行完整全面的信息安全评判,对各方面的数据
6、进行准备评判并在发现问题的同时积极的去修改完善。1.1 信息安全的认识所谓信息安全就是使在信息网络中的硬、软件和数据得到一定的保护,而防止其受到非正常或刻意原因的破坏使信息遭到利用,让其可以得到一个舒适的运行环境。 1.1.1信息安全的属性首先它是一门涉及面非常广的由多种学科组成的综合性学科,作为一种特别的资源具有一定的普遍性和多效性等,给我们带来了一种想象不到的惊喜。 信息安全顾名思义就是指保护信息资料的安全,让它不会受到来自外界的干扰和破坏,在国际上统一给它下了个定义就是:让信息拥有一定的完整、可用及保密性质。它必定将成为全世界所有国家去很在乎的一个关键性的国家安全战略。 1.1.2信息的
7、作用通常人们对于一个陌生事物或者一种社会现象的了解都是通过书本或者文献资料,当计算机在二十世纪中期被搬上舞台的时候,人们所需要了解那些事情也变得容易多了,不论是在什么场合,人们正依托计算机来完成事情的处理,并通过计算机信息来传输一些大小事务例如:1、通过计算机来核对银行的信息。2、将罪犯的纪录输入电脑以便了解等。但是所有的这些都是处在一种没有防范的况下去处理问题的。局域网、互联网、卫星、邮件等都是属于传输的方式,由于他们都处在一种相对公开的环境下,没有很好的保护措施,所以很容易的被窃取或破坏。在这样的一种简单的保护中是很难确保信息的安全性,这时便需要一种多层次的保护手段通过技术和管理及法律的手
8、段达到信息安全的目的。1.2 美国信息安全开始阶段1946年是美国信息安全最重要的一年,其“原子能法”和“国家安全法”这两部具有重要意义的法案的出炉标志着美国国家信息安全开始的初期阶段,表示美国政府把信息安全和国家安全之间存在的信息流动关系的重要性看得很重,这是对信息进行保护的意识开始加强。此外在1966年颁发的“信息自由法”,是被认为美国国内最重要的一部宪法,是其它有关信息安全法律的基础,其同意个人或者相关机构能够在任何条件下获取被列入共享的文件资料,以此作为美国信息中受保护和不受保护的划分,从而对信息安全进行了划分。1.3 历任总统的信息安全战略老布什总统时期,美国信息安全战略的重点是:保
9、护信息的安全和隐密这两个性质上。里根总统时期,联邦政府组建了“国家保密通信及信息系统安全组委会”简称:NSTISCC。其组织成立的目的是为了在以往的安全战略中,通过法律法规的制定和规章制度的制定,去对信息的安全进行有效合理的保护。克林顿总统时期,其在任期间将信息安全正式列入国家安全战略计划中,并在维护信息的保密、完整及可用性等方面进行重点维护。1998年出台了“关键基础设施建设”的第63号总统令,这一号令是第一次很好很全面地说明了国家信息安全战略的概念、意义及其目标,也阐明了之前提出的“信息保障”,在稳定现有信息安全水平的基础上对下一步的工作提出了重要指示。为了将网络及一些基础设施、区域、环境
10、等的深层次维护和防御,国家安全局出台了“信息保障技术框架”简称“IATF”。2000年颁布了国家安全战略报告,在这份报告中将信息安全也列入了其中,这也标志着信息安全正式成为国家安全战略和框架,拥有了自己独立的位置。在总统在任期间还成立了几个对信息安全做出贡献的组织,例如:1、信息保障委员会。2、信息保障同盟。3、联邦计算机事件响应机动组等。布什总统时期,在其上任的期间经历了一次重大悲剧事件9.11,这次事件的发生使得国家不能不将信息安全的战略地位看得更重,在2011年发布的13231号行政令“信息时代的关键基础设施保护”这一命令的颁布,将原来的“保护委员”会变为更具实质性的“保护办公室”,成为
11、了联邦部门的最高设施保护机构。随着2003年“网络空间的国家战略”进一步将基础设施的保护作为重点。在此期间,布什政府还重整了之前的一些相关机构并设立了由总统直接管理的国家安全顾问这一重要职位,还设立了包括国土、保密局、系统安全中心等重要机构,这对信息安全保障的工作做出了进一步的保障。其目的是为了将由9.11导致的信息安全保障的不力因素进行有效的改善,并根据现实情况制定一套全新的国家信息安全战略。其主要强调了网络安全的重要性,更夸张地认为网络的威胁和核武器的威胁是一样具有很强破坏力的。2009年公布了一项有总统亲自参与的“美国网络安全评估”报告,此报告评估了现有的网络安全战略、策略和标准,并提出
12、了他们中存在的问题,制定了下一步的任务计划,政府表示将网络安全的保障作为国家安全的重要战略,由于网络安全已经逐渐成为了对美国国家安全的首要威胁,将任命一名由总统亲点的网络安全总管,其职责就是专门对网络安全战略在政府的要求下完成制定。并成立由战略司令部领导的相关部门,对数字战争进行有效的反击和防御。 2第二章 美国加强信息安全政策法规建设的主要做法这一系列的体系不光包含有信息安全的技术,还含有政策方针、法律法规及组织机构等有关内容。2.1 建立组织机构在为了很好的贯彻落实信息安全的政策,美国国内很多政府部门被新加上了许多职责,比如:监督、管理等。这些机构包括:1.审计局、2.行政管理及预算局、3
13、.国家标准局、国土安全部、商务及财政部等,行成了相当完整完善的机构体系。2.1.1 审计局 直属与国会,是一个相当独立的部门,主要对国家财务和项目的核实工作,它与其他与信息安全有关的公共基金的情况:帮政府作出分析和选择最终让国会能有效的进行监督。部分政府资金的使用情况。都归它管。同时也向国会提交了许多报告。2.1.2 行政管理和预算局 管理和预算办公室为发展和有关信息安全政策,原则,标准和准则的政府部门负责监管。在监察政府的资讯保安政策,并为下列服务的实际负责执行:进行信息安全政策及规则的制定等,并监督其实行;对机构实施与信息安全保障措施进行相应的风险等级的划分:跟有关部门进行有效的合作,以便
14、于让美国国家标准局(NIST)的设立标准,准则和国家信息安全规定相配合。政府机构的相关信息安全项目进行每年的年度考核,是为了对信息安全方案的认可或者有不同的意见;联邦信息安全事件监控中心的运作,信息安全相关的问题,每年向国会报告。2.1.3 国家标准局 附属于商务部门,它存在的作用是为了辅助政府和企业之间的有效配合,比如:安全、应急等计划及一些安全技术的开发宣传。它还负责了对安全技术和产品的标准的制定。2.1.4 国防部 由美国国防部中的国家安全局和国家计算机安全中心来负责对国家信息安全事务进行有效的保护。国家安全局的责任是做好保密信息系统和信息安全的工作。国家安全系统的保密信息包括:1.相关
15、情报活动。2.与国家安全有关系的并且是隐蔽的活动。3.跟军队有关系的活动等。计算机安全中的责任是做好国家安全局应该负责的所有信息安全相关的工作,包括:1.解决政府中出现有关信息安全的问题。2.对各部门系统中存在的问题进行评估,对拿出解决的办法加以行动。2.1.5 国土安全局 这个部门的成立是由于9.11后美国对国内信息安全的不稳定而设立的。这个机构包括:1.基础设施保障中心。2.通信系统局。3.计算机安全分局等,有关信息安全的部门。他们的责任是对关键的基础设施进行保障和保护、信息管理标准的制定等。以往对自己国内信息安全的自信在9.11爆发后,奥巴马政府认为还是存在很多的问题的比如:1.管理的制
16、度和权力过于分散。2.缺乏一个系统的部门进行有效管理。3.没有部门对危险的等级和受损范围进行评估等。正因为这个组织的成立才缓解了国内的信息安全压力,加强了信息安全的保障。2.2 加强保障体系建设2.2.1 组织管理体系 在网络安全所出现的种种问题中,由管理不当所造成的占主要因素,3成技术、7成管理,这一理念就很能说明管理的重要性,不论在什么样的情况下,没有一套很好的管理体系将会造成工作的混乱状况,出现资源严重浪费的情况,这样一来对管理体系的建立、完善及落实是做好信息安全工作的关键. 在管理体系建设方面有几个因素需要注意: 1、制定一套完整的管理策略。 2、制定一系列人员管理制度。 3、制定完全
17、的设备管理制度。 4、制定对突发及应急时间响应制度。 2.2.2 技术防范体系 伴随着信息系统和政务的各方面要素的提升,使得安全防范的难度提高,针对这一情况,应该做出一种提前考虑把零散的信息产品集中起来构成一种整体的防范体系,达到更理想的效果. 2.2.3 应急响应体系 当有人为或自然原因等的危险和问题出现在信息系统的运行过程中,所造成的可能是让系统的整体运行受到一定程度上的影响及停止,此外该系统还很容易的被一些黑客等不法分子进行利用及破坏,造成信息系统的中端和泄漏,严重影响了企业和政府.达不到彻底的清除,解决的办法是马上建立一套高效能的应急响应系统,通过对系统的加强和完善来降低由破坏造成的严
18、重后果. 2.2.4 服务体系 随着技术的发展和提高,安全也会随之得到相应的提高,他们是一种共进退的关系,在外国的一些发达的信息产业上这一言论得到了很好的论证,对此不论在什么地方和情况下都要靠信息监管技术,达到一种专业和规范的信息服务及技术,这样才能将信息安全推向一个新的高度.2.2.5 人才培养体系 这个体系是对信息安全保障长远发展的一个重要体系,他跟美国政府对人才的重视息息相关,并为了培养出优秀的才人出台了一系列项目:1.计算机服务项目,它是一项基础项目,综合性强,培训的项目总的来说是围绕着信息安全这一理念。2.服务奖学金项目,这个项目的特点是学生的一切学习环境和所需资金都是来自于政府但是
19、学完后必须为政府办事。3.中小学培训项目,这是为了以后而坐准备的一个项目,长此以往信息安全方面的人才将不会缺少。体现了政府一种长远的眼光。等一系列人才的培养项目。 2.2.6 国际合作保障体系这项体系是为了跟世界接轨,效仿经济上的相互依赖,达成对信息安全的世界性的共识。大家一起应对来自于信息安全方面的危险。美国主动参加了信息安全国际标准的制定。还减少了与信息安全相关的技术和产品的出口限制,目的是为了拉近距离促进发展,保持美国信息安全的领先地位。2.3 完善具体措施2.3.1 规范及权威性的重视在立法的前提下,需先解决一些在法规的层次、部门的规章及民众的参与等问题,法制的建设需要将深化信息安全作
20、为国家的体系之一的理念深入,从而不断的去完善制度和措施,对可用、保密、完整等信息的性质和安全的概念进行重点强化,让它成为一种必不可少的观点.对信息网络安全的保护及防范不光是要靠对立法的改善,防范体系的完整,而是要在对责任人进行责任的详细告知,通过很好的沟通和配合来提高意识和技术水平.2.3.2 战略性的重视在对缺乏战略的规划及有法律保护的信息安全和立法的速度已经远远落后于发展的速度这些信息建设时所出现的问题的解决上,首先是要端正态度,把信息的安全看作是国家的安全,将信息安全放在国家安全的优先位置上。接着是组织的成立上,应当马上组成一个成熟的系统安全组织,从而去对保障安全的能力进行提升,坚持对不
21、法行为和敌对分子进行严惩和打击最重达到国家信息安全的稳定。最后是审时度势,随着时代变化和社会的进步,根据需要的不同去改变和完善信息安全的保障体系。2.3.3 法律措施的重视现存的法律缺乏一定的效能和不具备很好的针对性概括性太大,这是需要重视的问题。由于上诉问题导致了各种法律之间缺乏配合,让不法分子有很多空子钻,从这些问题的出现反映了法律机制还需要进一步的去完善,才能构成一套完整的体系结构,从而去支持那些缺少法律保护的企业,不让他们有法不依。让那些复杂的网络不法行为比如:1、故意散播不良信息,虚假信息。2、做出对国家安全有威胁的信息行为等。得到有效的控制。趋于对预警及响应系统的需求和依托、管理制
22、度、特定机构的需求,必须马上建立起一套完善体系。对信息的安全进行等级划分,严格的按照划分的等级进行防范,提高对问题的解决能力。 2.3.4 执法行为的重视 信息安全的防范出现了由于行政上的过分干涉导致了防范能力降低的问题需要解决,存在这样的问题主要是因为:1、现存的法律对网络的权利和公民权利保护事情上的不重视。2、对政治和经济的保护力度不够。3、对建立一个健康稳定的网络环境力度不够。3、执法能力需要大大提高等。面对着这些问题,相关部门也着力从:1、网络是名制。2、审查力度的加大。3、对合法与不合法的信息进行过滤。4、将被列入网络“黑名单”的人和机构进行监视和查办等。方法去提高执法能力。争取做到
23、责任到人,执法到人。 2.3.5 遵守法律观念的重视 因为对网络行为长期缺少用法律来规范,导致了大家网络法律意识低下,自律和公德意识低下,才使得很多网民存在侥幸心理,发生很多网络的不良事件,更为严重的是直接将网络看成是自己的天地为所欲为,肆无忌惮。才给国家带来了极大的危害。面对这些问题,必须从法律意识的普及和加强来对网民进行教育,对犯法的网民进行强制教育。改善共同的网络环境。2.4 主要政策法规介绍 美国政府相继出台了许多政策政令全是为了组建国家信息安全平台,其中包含了总统的行政命令、指令及信息安全计划和战略等。美国在80年代初出台了许多关于信息安全的法律法规,其中几部重要的有:1.“信息自由
24、法”。2.“计算机安全法”。 3.“反黑客法”等,在各项法律中,于98年出台的:1.美国第63号总统令关于“保护关键基础设施”。2.“信息保障技术框架”(简称IATF)。3.03年发布的“网络空间安全国家战略计划”等都是重要的法律法规。2.4.1 63号总统令 这个总统令指明:1.最迟在2000年美国国内需要具备初步的信息保护能力。2.美国将在号令发布后的5年建立并且维护完善的基础设施保障实力,为了防止以下几种行为:1.联邦政府确保公众健康及安全。2.州及地方在提交基本的公务前提下,让其能有规律的运行。3.私企在保证其能源、经济及运输能维持服务,如果遇到破坏要在短时间内不论从频率或地址上进行隔
25、绝,尽量减少国家的损坏。2.4.2 信息保障技术框架 这项保障框架是20世纪美国国内信息保障技术中最为系统和最具有意义的研究,IATFI.0版在98年出版,2.0在99年出版,3.0在2000年出版。这项技术的出现对于美国国内的基础设施保障来说是很有意义的,他对政府和工业领域都提供了非常有用的技术指导,对系统提出了更高的要求,并提出了以基础设施防御和区域防御及环境防御的深层次的防御目标。画出了新的防御战略。它所能处理的问题有:1.将信息需要的保护和出现问题的解决方案进行了很好的定义。2.在技术方面寻求信息保护的优良技术。3.在资源方面起到搜寻机构中所拥有的各种资源。4.将方法和技术的使用放在了
26、最合适的地方。 2.4.3 网络空间安全国家战略计划 这一战略计划的出台是有一定意义的,它是第一份为了信息安全为专门出的安全战略方案,它确立了信息安全的独立,有标志性价值。还确立了安全政策的3个要素,都是最基本的:1.利益。2.保障。3.方法。他们之前被列入不同的文档中,在这个方案计划中得到了有机的在一起完整的结合起来。它很好的说出了美国网络世界所出现的危机和易攻击的危险,详细的指明了下一步对信息安全保护计划方案的制定,规定并强化了有关部门的职责,为政府、公民、私企打出了通道6第三章 美国信息安全战略对我们的启示通过对美国信息安全及战略的了解,我能从中认识到美国作为一个世界强国的厉害之处,他们
27、对信息安全的保障和法律法规的建设方面都相当的完善,对于一个发展中国家的我们从中学到了4点启示需要像美国多学习:1、信息安全体系建设需要集中统一领导。信息系统安全关系国家的最高利益,只有统一的强有力的国家级信息安全领导机构,才能统一领导政府、军队和民间的信息安全工作。 2、信息安全体系建设需要理顺管理体制。信息安全体系建设涉及党、政、军、民各界,只有从国家、国防安全的高度,理顺信息安全管理体制,才有可能建成“确保绝对安全,确保绝对畅通”的信息安全体系。 3、信息安全体系建设需要统筹规划部署。国防信息安全体系建设是规模宏大、技术复杂的系统工程,需要按照大系统、大工程、大科学、大国防的思路,来统筹规
28、划、部署、建设、使用和管理。 4、信息安全体系建设需要加强技术基础。信息安全体系建设,高新技术密集,难度很大,投人很多,需要发挥国家的整体优势,加强理论、技术和工业基础。 5、信息安全体系建设需要加强政策研究。美国政府在信息安全体系建设方面的成功,得益于它的信息安全政策。实践证明,一个正确的决策政策的形成,决不会一蹴而就,而是根据变化的情况不断进行调整。0第四章 小结本文通过论述美国信息安全政策的萌芽,以及疆根、老布什政府,克林顿、小布什和奥巴马政府的信息安全战略,回顾了美国信息安全战略的演变过程,通过探讨美国信息安全的政策法规、组织机构、人才培养和围际合作,介绍了美国信息安全保障体系。希望通
29、过对美国信息安全战略的初步探讨,加深对美国信息安全战略的理解,促进我国信息安全战略和保障体系的建立和完善。0参考文献1卢新德构建信息安全保障新体系全球信息战的新形势与我国的信息安全战略北京:中国经济 出版社,2007。2沈逸开放、控制与合作:美国国家信息安全政策分析l复旦大学博士学位论文。20053杜友文,王建冬美国国家信息安全政策综述叭晋图学刊,2008。4杜友文,王建冬美国国家信息安全政策综述晋图学刊,20085美国保障政府信息安全法律及立法机构通过的其他法律6杜友文,王建冬美国国家信息安全政策综述1晋图学刊,20087雷猛美国信息安全战略简析.信息网络安全,2005(2)8奥巴马要求全面
30、评估美国网络安全200970鸣 谢大学三年学习时光已经接近尾声,在此我想对我的母校,我的父母、亲人们,我的老师和同学们表达我由衷的谢意。感谢我的家人对我大学四年学习默默的支持;感谢我的母校信大电院给了我大学深造的机会,让我能继续学习和提高;感谢学校教员、队长、政委和同学们四年来的关心和鼓励。教员们课堂上的激情洋溢,课堂下的谆谆教诲;同学们在学习中的认真热情,生活上的热心主动,所有这些都让我的四年充满感动。这次毕业论文设计我得到了很多教员和同学的帮助,其中我的论文指导老师李智诚教员对我的关心和支持尤为重要。每次遇到难题,我最先找的就是李教员寻求帮助,而李教员每次不管忙闲,都会抽空来帮我解答。我做毕业设计的每个阶段,从选题上的查阅资料、论文的提纲确定,中期论文的修改,后期格式的调整等各个环节中,李教员偶读给予了我悉心的指导,在此谨向李教员致以诚挚的谢意和崇高的敬意!同时,这篇毕业论文的写作业得到了郭祯、温得巍、卫岩等同学的热情帮助。感谢在整个毕业设计期间和我密切合作的同学,和曾经在各个方面给予我帮助的伙伴们。在此,我再一次真诚的向帮助过我的教员和同学们表示感谢!0