美日電子政務信息安全體系比較研究

佟大柱　錢小龍

摘要：電子政務信息安全既影響國計民生，又關系到國家的政治穩定和經濟發展，保障電子政務信息安全是電子政務推廣使用的前提條件。美日兩國在電子政務信息安全建設方面起步較早，體系完善。隨著世界安全形勢的不斷變化，兩國的信息安全戰略不斷進行調整完善。通過對美日兩國電子政務信息安全體系建設的比較研究能給我國的電子政務信息安全體系建設提供良好的借鑒作用。

關鍵詞：電子政務；信息安全；電子政務安全

中圖分類號：G203 文獻標識碼：A 文章編號：1671-1580（2016）05-0184-03

一、研究背景

電子政務的推廣不僅使政府部門借助信息化手段為社會公眾提供高效、優質、廉潔的一體化管理和服務成為可能，同時還能降低政府與外部溝通的運行成本，優化政府工作流程和辦事效率。但由于網絡的開放性和共享性，電子政務信息的安全性也時刻面臨著來自網絡的各種威脅。如果一個國家的電子政務安全出現問題，其帶來的各種后果不堪設想。

美國聯邦政府自20世紀90年代初正式啟動電子政務建設，目前，美國的電子政務建設已經發展得相當成熟和完善。日本的電子政務建設雖晚于美國，但日本憑借其相繼實施的IT戰略計劃，使得國內的信息基礎設施、IT技術和人才以及信息化應用在短期內都取得了很大的進步與發展。我國在電子政務信息安全體系建設方面與美日等發達國家還存在一定的差距，通過對美日等發達國家在電子政務信息安全體系方面建設經驗的研究可以為我國提供十分有益的借鑒和幫助。

二、美日電子政務信息安全體系建設對比

（一）信息安全管理機構對比

為了保障網絡信息安全，美日兩國政府都先后組建了多個專門機構來具體負責信息安全工作。美國的信息安全機構設立完善，職責明晰。安全機構總體架構為總統指揮，網絡協調員協助，其安全機構設置主要分布在三個層面：總統辦事機構、內閣和獨立機構。每個層面又下設不同的安全管理部門，具體負責所在領域的信息安全工作，其中國家安全委員會是美國信息安全體系的中樞，網絡安全協調員負責各個安全機構之間的協調工作。同時美國還特別重視安全技術的研究，專門成立了官方的研究與技術中心，希望憑借其先進的技術手段來保障國家信息安全。日本政府也成立了多個專門機構來具體負責國家的信息安全工作，如經濟產業省的“信息安全對策辦公室”、IT戰略本部的“信息安全對策推進會”、信息處理振興協會的“信息技術安全中心”、電子商務促進會的“電子商務安全工作組”、“日本網絡安全協會（NPO）”和信息技術安全局的“國家信息安全中心”等。這些機構和部門不僅有自己的明確分工，同時還積極加強與民間機構和社會團體的合作，以期通過各類主體的履職與合作，共同應對來自網絡空間的威脅。

比較美日兩國信息安全管理機構的設置可以發現，美國更強調安全管理機構的官方性及權威性，更注重通過國家及政府層面的領導來實現國家信息安全的管理，即使是在技術研究領域也會出現官方的身影。而日本則更注重官民之間的合作，提倡政府主導、民間參與，以期在政府的規劃和指導下通過社會力量的介入來帶動全體國民信息安全意識的提升，從而推動整個國家信息安全水平的發展和提高。

（二）信息安全法律法規建設比較

美國一直對國家的信息安全問題高度重視，并且將信息安全列為國家安全戰略的重要組成部分，一直在加強信息安全方面的立法和研究。美國出臺的與信息安全相關的法律最早可以追溯到1967年的《信息自由法》，其后隨著信息安全形勢的發展，美國通過聯邦立法和各州立法的形式先后出臺了130多項專門針對互聯網管理的法律法規，用以加強對國家信息網絡基礎設施的保護和打擊網絡犯罪。

日本比較注重針對國家信息安全和個人信息安全方面的立法工作，先后頒布了《有關信息安全對策的指針》、《為確保電子政府信息安全的行動計劃》、《IT基本法》等一系列法律來提高政府對信息安全重要性的認識。隨后日本又先后通過了《關于保護行政機關保存個人信息的法律》、《關于在行政手續中利用信息通信技術的法律》以加強電子政務建設過程中對個人信息的保護力度。

美日兩國在涉及到國家信息安全及個人隱私保護方面的法律法規體系嚴密，內容豐富，而且一直在不斷地進行修訂和完善，這些法律法規為兩國的信息安全保護工作提供了切實的保障。同時兩國政府在信息安全的法制保障方面還積極加強和尋求國際合作，2000年，美、日等八國共同簽訂了《全球信息社會沖繩憲章》。2001年，美、日等30個成員國又共同達成了《反計算機犯罪公約》。2012年6月，歐美日聯合發布《政府信息安全推薦準則》，呼吁在政府信息安全領域應加強國際之間的合作和交流。

（三）信息安全體系運行模式比較

美國政府根據信息系統使用機構的不同，將系統分為三種類型：聯邦國家安全系統（Federal Na-tional Security Systems），聯邦非國家安全系統（Fed.eral Non-National Security Systems）和非聯邦系統（Non-Federal Systems）。根據所屬系統的不同分別由不同的機構采取相應的信息安全策略對系統進行管理和保護。同時為了確保政府機構信息安全，美國聯邦政府要求每個聯邦機構都需要根據自身職能和業務特點制定和實施相應的信息安全計劃，并且要求聯邦機構至少每隔三年要對所制定的安全計劃進行一次安全檢查和審計，對于涉及高風險的信息系統和主要應用程序，檢查和審計的周期應當相應縮短。同時聯邦機構每年要以報告的形式將檢查和審計結果交給OMB（美國聯邦總統管理和預算辦公室），OMB不僅要負責所有聯邦機構信息安全計劃的年度審查，還要將每年匯總的檢查結果以年度報告的形式交給國會。

日本的政府信息安全有一套專門的安全措施標準和運行模式。通過信息安全運行周期的設立，將制定、引入、運用、評價、修正幾個環節貫穿于運行周期的始終。每個環節在運行結束之后都會以報告的形式將運行結果予以反饋，并用于對下個運行周期的修改及完善。通過報告、監測、修訂的連續應用，不斷地進行周期循環，各個部門的信息安全狀況以及整個國家的信息安全體系都在不斷進行完善，而且有了質的提高。

可以看出，美國更傾向于信息安全體系與制度的頂層設計，采用自上而下的形式對信息系統的安全運行加以保護，并建立嚴格的檢查、審計和報告制度，以確保總統和國會對政府部門和聯邦機構的信息系統運行情況和信息安全形勢能夠及時了解和把握。而日本則更傾向于通過引入科學的信息安全體系運行模式，通過系統運行過程中不斷的動態修復和完善，在信息安全運行周期不斷循環的過程中使整個國家的信息安全體系得以完善和提高。

三、美日兩國信息安全戰略發展趨勢比較

美國是世界上最早制定和實施信息安全戰略的國家，并且隨著世界安全形勢的變化其國家安全戰略也在不斷地進行發展和完善。20世紀80年代初，美國聯邦政府成立了“美國國家保密通信和信息系統安全委員會”（NSTISSC），將國家的信息安全戰略定位為維護國家信息的安全性和保密性，這個“防御型”的國家安全戰略一直貫穿于里根和老布什兩屆政府期間。克林頓政府初期依然維持“防御型”的國家安全策略，1998年底美國國家安全局制定的《信息保障技術框架》（IATF）提出使用“深度防御戰略”，將網絡與基礎設施防御、區域邊界防御、計算環境防御和支撐性基礎設施的深度防御確定為目標。2000年，克林頓政府首次將“信息安全”列入總統國家安全戰略報告中，標志著信息安全正式進入美國國家安全戰略框架，同時也標志著美國國家安全戰略由“防御型”向“擴張型”轉變的開始。小布什執政期間連續發布了《信息時代的關鍵基礎設施保護》、《網絡空間的國家戰略》等文件，對國家安全戰略進行進一步強化，并開始將國家安全領域向網絡空間進行延伸。奧巴馬上臺后更加注重網絡空間的安全防護，設立專門的白宮網絡安全指揮官負責美國網絡安全戰略的制定。2009年6月，美國國防部正式成立了由戰略司令部領導的網絡戰司令部。網絡戰司令部主要進行數字戰爭，防護針對美軍計算機網絡的安全威脅。這也標志著美國“擴張型”國家安全戰略的正式確立。2012年奧巴馬簽署的《美國網絡作戰政策》總統指令中要求美國國家安全和情報官員制定一份網絡攻擊目標名單，并規定為實現美國在全世界的國家安全目標，美國可以動用獨特和非常規武力，在事先不進行任何警告的情況下發動攻擊。

與美國“擴張型”國家安全戰略不同的是，日本實施的是“保障型”信息安全戰略，強調“信息安全保障是日本綜合保障體系的核心”。這一戰略體系在日本早期實行的e-Japan戰略、u-Japan戰略和i-Ja-pan戰略三個戰略中都有體現。日本政府希望借助信息化戰略的推進帶動整個國家信息基礎設施、IT人才、IT技術的全面發展，在確保國家信息安全的基礎上將信息化滲透到社會的每個角落，從而帶動整個社會的經濟發展。實踐證明，日本“保障型”信息安全戰略在推動日本國家信息化進程中起到了不可磨滅的作用。隨著全球網絡空間的發展和信息安全環境的變化，日本政府也開始意識到網絡邊界安全的重要性，2013年，日本公布了《網絡安全戰略》，提出要創建“領先世界的強大而有活力的網絡空間”，實現“網絡安全立國”，同時提出“要積極參與世界安全規則制定”，這也標志著日本政府的國家信息安全戰略也在發生著微妙的變化。2014年3月，日本正式宣布設立“網絡防衛隊”，宣稱將以每天24小時態勢監視防衛省和自衛隊的網絡，應對網絡攻擊，同時還將收集、分析、調研網絡攻擊和威脅等相關情報。

縱觀美日兩國信息安全戰略的轉變，可以預見網絡空間安全的防護與攻擊將是未來國家之間安全爭奪的新領域，只有抓住互聯網發展機遇，做好信息化建設，制定與國情相適應的信息安全戰略才能在未來的網絡空間爭奪中占有一席之地。美日兩國電子政務信息安全體系的建設經驗及發展趨勢也給我國的電子政務信息安全體系建設提供了良好的借鑒作用。

[責任編輯：劉愛華]