美日電子政務(wù)信息安全體系比較研究

佟大柱　錢小龍

摘要：電子政務(wù)信息安全既影響國計(jì)民生，又關(guān)系到國家的政治穩(wěn)定和經(jīng)濟(jì)發(fā)展，保障電子政務(wù)信息安全是電子政務(wù)推廣使用的前提條件。美日兩國在電子政務(wù)信息安全建設(shè)方面起步較早，體系完善。隨著世界安全形勢(shì)的不斷變化，兩國的信息安全戰(zhàn)略不斷進(jìn)行調(diào)整完善。通過對(duì)美日兩國電子政務(wù)信息安全體系建設(shè)的比較研究能給我國的電子政務(wù)信息安全體系建設(shè)提供良好的借鑒作用。

關(guān)鍵詞：電子政務(wù)；信息安全；電子政務(wù)安全

中圖分類號(hào)：G203 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-1580（2016）05-0184-03

一、研究背景

電子政務(wù)的推廣不僅使政府部門借助信息化手段為社會(huì)公眾提供高效、優(yōu)質(zhì)、廉潔的一體化管理和服務(wù)成為可能，同時(shí)還能降低政府與外部溝通的運(yùn)行成本，優(yōu)化政府工作流程和辦事效率。但由于網(wǎng)絡(luò)的開放性和共享性，電子政務(wù)信息的安全性也時(shí)刻面臨著來自網(wǎng)絡(luò)的各種威脅。如果一個(gè)國家的電子政務(wù)安全出現(xiàn)問題，其帶來的各種后果不堪設(shè)想。

美國聯(lián)邦政府自20世紀(jì)90年代初正式啟動(dòng)電子政務(wù)建設(shè)，目前，美國的電子政務(wù)建設(shè)已經(jīng)發(fā)展得相當(dāng)成熟和完善。日本的電子政務(wù)建設(shè)雖晚于美國，但日本憑借其相繼實(shí)施的IT戰(zhàn)略計(jì)劃，使得國內(nèi)的信息基礎(chǔ)設(shè)施、IT技術(shù)和人才以及信息化應(yīng)用在短期內(nèi)都取得了很大的進(jìn)步與發(fā)展。我國在電子政務(wù)信息安全體系建設(shè)方面與美日等發(fā)達(dá)國家還存在一定的差距，通過對(duì)美日等發(fā)達(dá)國家在電子政務(wù)信息安全體系方面建設(shè)經(jīng)驗(yàn)的研究可以為我國提供十分有益的借鑒和幫助。

二、美日電子政務(wù)信息安全體系建設(shè)對(duì)比

（一）信息安全管理機(jī)構(gòu)對(duì)比

為了保障網(wǎng)絡(luò)信息安全，美日兩國政府都先后組建了多個(gè)專門機(jī)構(gòu)來具體負(fù)責(zé)信息安全工作。美國的信息安全機(jī)構(gòu)設(shè)立完善，職責(zé)明晰。安全機(jī)構(gòu)總體架構(gòu)為總統(tǒng)指揮，網(wǎng)絡(luò)協(xié)調(diào)員協(xié)助，其安全機(jī)構(gòu)設(shè)置主要分布在三個(gè)層面：總統(tǒng)辦事機(jī)構(gòu)、內(nèi)閣和獨(dú)立機(jī)構(gòu)。每個(gè)層面又下設(shè)不同的安全管理部門，具體負(fù)責(zé)所在領(lǐng)域的信息安全工作，其中國家安全委員會(huì)是美國信息安全體系的中樞，網(wǎng)絡(luò)安全協(xié)調(diào)員負(fù)責(zé)各個(gè)安全機(jī)構(gòu)之間的協(xié)調(diào)工作。同時(shí)美國還特別重視安全技術(shù)的研究，專門成立了官方的研究與技術(shù)中心，希望憑借其先進(jìn)的技術(shù)手段來保障國家信息安全。日本政府也成立了多個(gè)專門機(jī)構(gòu)來具體負(fù)責(zé)國家的信息安全工作，如經(jīng)濟(jì)產(chǎn)業(yè)省的“信息安全對(duì)策辦公室”、IT戰(zhàn)略本部的“信息安全對(duì)策推進(jìn)會(huì)”、信息處理振興協(xié)會(huì)的“信息技術(shù)安全中心”、電子商務(wù)促進(jìn)會(huì)的“電子商務(wù)安全工作組”、“日本網(wǎng)絡(luò)安全協(xié)會(huì)（NPO）”和信息技術(shù)安全局的“國家信息安全中心”等。這些機(jī)構(gòu)和部門不僅有自己的明確分工，同時(shí)還積極加強(qiáng)與民間機(jī)構(gòu)和社會(huì)團(tuán)體的合作，以期通過各類主體的履職與合作，共同應(yīng)對(duì)來自網(wǎng)絡(luò)空間的威脅。

比較美日兩國信息安全管理機(jī)構(gòu)的設(shè)置可以發(fā)現(xiàn)，美國更強(qiáng)調(diào)安全管理機(jī)構(gòu)的官方性及權(quán)威性，更注重通過國家及政府層面的領(lǐng)導(dǎo)來實(shí)現(xiàn)國家信息安全的管理，即使是在技術(shù)研究領(lǐng)域也會(huì)出現(xiàn)官方的身影。而日本則更注重官民之間的合作，提倡政府主導(dǎo)、民間參與，以期在政府的規(guī)劃和指導(dǎo)下通過社會(huì)力量的介入來帶動(dòng)全體國民信息安全意識(shí)的提升，從而推動(dòng)整個(gè)國家信息安全水平的發(fā)展和提高。

（二）信息安全法律法規(guī)建設(shè)比較

美國一直對(duì)國家的信息安全問題高度重視，并且將信息安全列為國家安全戰(zhàn)略的重要組成部分，一直在加強(qiáng)信息安全方面的立法和研究。美國出臺(tái)的與信息安全相關(guān)的法律最早可以追溯到1967年的《信息自由法》，其后隨著信息安全形勢(shì)的發(fā)展，美國通過聯(lián)邦立法和各州立法的形式先后出臺(tái)了130多項(xiàng)專門針對(duì)互聯(lián)網(wǎng)管理的法律法規(guī)，用以加強(qiáng)對(duì)國家信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和打擊網(wǎng)絡(luò)犯罪。

日本比較注重針對(duì)國家信息安全和個(gè)人信息安全方面的立法工作，先后頒布了《有關(guān)信息安全對(duì)策的指針》、《為確保電子政府信息安全的行動(dòng)計(jì)劃》、《IT基本法》等一系列法律來提高政府對(duì)信息安全重要性的認(rèn)識(shí)。隨后日本又先后通過了《關(guān)于保護(hù)行政機(jī)關(guān)保存?zhèn)€人信息的法律》、《關(guān)于在行政手續(xù)中利用信息通信技術(shù)的法律》以加強(qiáng)電子政務(wù)建設(shè)過程中對(duì)個(gè)人信息的保護(hù)力度。

美日兩國在涉及到國家信息安全及個(gè)人隱私保護(hù)方面的法律法規(guī)體系嚴(yán)密，內(nèi)容豐富，而且一直在不斷地進(jìn)行修訂和完善，這些法律法規(guī)為兩國的信息安全保護(hù)工作提供了切實(shí)的保障。同時(shí)兩國政府在信息安全的法制保障方面還積極加強(qiáng)和尋求國際合作，2000年，美、日等八國共同簽訂了《全球信息社會(huì)沖繩憲章》。2001年，美、日等30個(gè)成員國又共同達(dá)成了《反計(jì)算機(jī)犯罪公約》。2012年6月，歐美日聯(lián)合發(fā)布《政府信息安全推薦準(zhǔn)則》，呼吁在政府信息安全領(lǐng)域應(yīng)加強(qiáng)國際之間的合作和交流。

（三）信息安全體系運(yùn)行模式比較

美國政府根據(jù)信息系統(tǒng)使用機(jī)構(gòu)的不同，將系統(tǒng)分為三種類型：聯(lián)邦國家安全系統(tǒng)（Federal Na-tional Security Systems），聯(lián)邦非國家安全系統(tǒng)（Fed.eral Non-National Security Systems）和非聯(lián)邦系統(tǒng)（Non-Federal Systems）。根據(jù)所屬系統(tǒng)的不同分別由不同的機(jī)構(gòu)采取相應(yīng)的信息安全策略對(duì)系統(tǒng)進(jìn)行管理和保護(hù)。同時(shí)為了確保政府機(jī)構(gòu)信息安全，美國聯(lián)邦政府要求每個(gè)聯(lián)邦機(jī)構(gòu)都需要根據(jù)自身職能和業(yè)務(wù)特點(diǎn)制定和實(shí)施相應(yīng)的信息安全計(jì)劃，并且要求聯(lián)邦機(jī)構(gòu)至少每隔三年要對(duì)所制定的安全計(jì)劃進(jìn)行一次安全檢查和審計(jì)，對(duì)于涉及高風(fēng)險(xiǎn)的信息系統(tǒng)和主要應(yīng)用程序，檢查和審計(jì)的周期應(yīng)當(dāng)相應(yīng)縮短。同時(shí)聯(lián)邦機(jī)構(gòu)每年要以報(bào)告的形式將檢查和審計(jì)結(jié)果交給OMB（美國聯(lián)邦總統(tǒng)管理和預(yù)算辦公室），OMB不僅要負(fù)責(zé)所有聯(lián)邦機(jī)構(gòu)信息安全計(jì)劃的年度審查，還要將每年匯總的檢查結(jié)果以年度報(bào)告的形式交給國會(huì)。

日本的政府信息安全有一套專門的安全措施標(biāo)準(zhǔn)和運(yùn)行模式。通過信息安全運(yùn)行周期的設(shè)立，將制定、引入、運(yùn)用、評(píng)價(jià)、修正幾個(gè)環(huán)節(jié)貫穿于運(yùn)行周期的始終。每個(gè)環(huán)節(jié)在運(yùn)行結(jié)束之后都會(huì)以報(bào)告的形式將運(yùn)行結(jié)果予以反饋，并用于對(duì)下個(gè)運(yùn)行周期的修改及完善。通過報(bào)告、監(jiān)測(cè)、修訂的連續(xù)應(yīng)用，不斷地進(jìn)行周期循環(huán)，各個(gè)部門的信息安全狀況以及整個(gè)國家的信息安全體系都在不斷進(jìn)行完善，而且有了質(zhì)的提高。

可以看出，美國更傾向于信息安全體系與制度的頂層設(shè)計(jì)，采用自上而下的形式對(duì)信息系統(tǒng)的安全運(yùn)行加以保護(hù)，并建立嚴(yán)格的檢查、審計(jì)和報(bào)告制度，以確保總統(tǒng)和國會(huì)對(duì)政府部門和聯(lián)邦機(jī)構(gòu)的信息系統(tǒng)運(yùn)行情況和信息安全形勢(shì)能夠及時(shí)了解和把握。而日本則更傾向于通過引入科學(xué)的信息安全體系運(yùn)行模式，通過系統(tǒng)運(yùn)行過程中不斷的動(dòng)態(tài)修復(fù)和完善，在信息安全運(yùn)行周期不斷循環(huán)的過程中使整個(gè)國家的信息安全體系得以完善和提高。

三、美日兩國信息安全戰(zhàn)略發(fā)展趨勢(shì)比較

美國是世界上最早制定和實(shí)施信息安全戰(zhàn)略的國家，并且隨著世界安全形勢(shì)的變化其國家安全戰(zhàn)略也在不斷地進(jìn)行發(fā)展和完善。20世紀(jì)80年代初，美國聯(lián)邦政府成立了“美國國家保密通信和信息系統(tǒng)安全委員會(huì)”（NSTISSC），將國家的信息安全戰(zhàn)略定位為維護(hù)國家信息的安全性和保密性，這個(gè)“防御型”的國家安全戰(zhàn)略一直貫穿于里根和老布什兩屆政府期間。克林頓政府初期依然維持“防御型”的國家安全策略，1998年底美國國家安全局制定的《信息保障技術(shù)框架》（IATF）提出使用“深度防御戰(zhàn)略”，將網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御、區(qū)域邊界防御、計(jì)算環(huán)境防御和支撐性基礎(chǔ)設(shè)施的深度防御確定為目標(biāo)。2000年，克林頓政府首次將“信息安全”列入總統(tǒng)國家安全戰(zhàn)略報(bào)告中，標(biāo)志著信息安全正式進(jìn)入美國國家安全戰(zhàn)略框架，同時(shí)也標(biāo)志著美國國家安全戰(zhàn)略由“防御型”向“擴(kuò)張型”轉(zhuǎn)變的開始。小布什執(zhí)政期間連續(xù)發(fā)布了《信息時(shí)代的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》、《網(wǎng)絡(luò)空間的國家戰(zhàn)略》等文件，對(duì)國家安全戰(zhàn)略進(jìn)行進(jìn)一步強(qiáng)化，并開始將國家安全領(lǐng)域向網(wǎng)絡(luò)空間進(jìn)行延伸。奧巴馬上臺(tái)后更加注重網(wǎng)絡(luò)空間的安全防護(hù)，設(shè)立專門的白宮網(wǎng)絡(luò)安全指揮官負(fù)責(zé)美國網(wǎng)絡(luò)安全戰(zhàn)略的制定。2009年6月，美國國防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部。網(wǎng)絡(luò)戰(zhàn)司令部主要進(jìn)行數(shù)字戰(zhàn)爭，防護(hù)針對(duì)美軍計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅。這也標(biāo)志著美國“擴(kuò)張型”國家安全戰(zhàn)略的正式確立。2012年奧巴馬簽署的《美國網(wǎng)絡(luò)作戰(zhàn)政策》總統(tǒng)指令中要求美國國家安全和情報(bào)官員制定一份網(wǎng)絡(luò)攻擊目標(biāo)名單，并規(guī)定為實(shí)現(xiàn)美國在全世界的國家安全目標(biāo)，美國可以動(dòng)用獨(dú)特和非常規(guī)武力，在事先不進(jìn)行任何警告的情況下發(fā)動(dòng)攻擊。

與美國“擴(kuò)張型”國家安全戰(zhàn)略不同的是，日本實(shí)施的是“保障型”信息安全戰(zhàn)略，強(qiáng)調(diào)“信息安全保障是日本綜合保障體系的核心”。這一戰(zhàn)略體系在日本早期實(shí)行的e-Japan戰(zhàn)略、u-Japan戰(zhàn)略和i-Ja-pan戰(zhàn)略三個(gè)戰(zhàn)略中都有體現(xiàn)。日本政府希望借助信息化戰(zhàn)略的推進(jìn)帶動(dòng)整個(gè)國家信息基礎(chǔ)設(shè)施、IT人才、IT技術(shù)的全面發(fā)展，在確保國家信息安全的基礎(chǔ)上將信息化滲透到社會(huì)的每個(gè)角落，從而帶動(dòng)整個(gè)社會(huì)的經(jīng)濟(jì)發(fā)展。實(shí)踐證明，日本“保障型”信息安全戰(zhàn)略在推動(dòng)日本國家信息化進(jìn)程中起到了不可磨滅的作用。隨著全球網(wǎng)絡(luò)空間的發(fā)展和信息安全環(huán)境的變化，日本政府也開始意識(shí)到網(wǎng)絡(luò)邊界安全的重要性，2013年，日本公布了《網(wǎng)絡(luò)安全戰(zhàn)略》，提出要?jiǎng)?chuàng)建“領(lǐng)先世界的強(qiáng)大而有活力的網(wǎng)絡(luò)空間”，實(shí)現(xiàn)“網(wǎng)絡(luò)安全立國”，同時(shí)提出“要積極參與世界安全規(guī)則制定”，這也標(biāo)志著日本政府的國家信息安全戰(zhàn)略也在發(fā)生著微妙的變化。2014年3月，日本正式宣布設(shè)立“網(wǎng)絡(luò)防衛(wèi)隊(duì)”，宣稱將以每天24小時(shí)態(tài)勢(shì)監(jiān)視防衛(wèi)省和自衛(wèi)隊(duì)的網(wǎng)絡(luò)，應(yīng)對(duì)網(wǎng)絡(luò)攻擊，同時(shí)還將收集、分析、調(diào)研網(wǎng)絡(luò)攻擊和威脅等相關(guān)情報(bào)。

縱觀美日兩國信息安全戰(zhàn)略的轉(zhuǎn)變，可以預(yù)見網(wǎng)絡(luò)空間安全的防護(hù)與攻擊將是未來國家之間安全爭奪的新領(lǐng)域，只有抓住互聯(lián)網(wǎng)發(fā)展機(jī)遇，做好信息化建設(shè)，制定與國情相適應(yīng)的信息安全戰(zhàn)略才能在未來的網(wǎng)絡(luò)空間爭奪中占有一席之地。美日兩國電子政務(wù)信息安全體系的建設(shè)經(jīng)驗(yàn)及發(fā)展趨勢(shì)也給我國的電子政務(wù)信息安全體系建設(shè)提供了良好的借鑒作用。

[責(zé)任編輯：劉愛華]