鉴于信息技术利用高移动计算设备和可移动存储媒体的趋势，保护静态数据(DAR)已经变得越来越重要。国防部不仅担心个人可识别信息（PII）的损失，而且担心移动设备上包含的所有非机密数据。存储在笔记本电脑、拇指驱动器和掌上电脑等设备上的个人身份信息或敏感的政府信息，有些并未列入保密行列。一旦这些设备受到威胁，可能会带来严重的问题。早在2007年7月3日，国防部发布了主题为“移动计算设备和可移动存储介质上静态敏感非机密数据”加密军事部门秘书备忘录，不仅要求对PII记录进行加密，而且还要求对移动计算设备和可移动存储媒体上包含的所有非公开发布的非机密信息进行加密。当下，研究该备忘录不仅使我们关注动态个人可识别信息保护问题，而且关注移动计算设备和可移动存储介质上静态敏感非机密数据保护问题，并加深对“重要数据”加密保护问题的进一步理解。

1、静态数据：指计算机存储器中的所有数据（如硬盘、光盘、软盘、拇指驱动器、掌上电脑、手机、其他可移动存储介质等）。正在传播于网络上的数据（传输中的数据）或暂时停留在计算机内存中要读取或更新的数据（正在使用的数据）不属于静态数据的范畴。

2、笔记本电脑：也称为笔记本电脑，是一种小型移动个人电脑，重量轻，携带舒适。笔记本电脑可以用电池供电，通常有一个薄的液晶显示屏（LCD）。有些型号可以与插接站（手提电脑的连接装置）对接进行配合，作为桌面系统运行的指令。

3、个人数字助理（PDAs）：也称为掌上电脑。手持计算机和袖珍计算机，是提供计算和数据存储能力的任何小型手持设备。掌上电脑的例子包括但不限于黑莓、Treos、掌上电脑和智能手机。

4、可移动存储介质：指墨盒式存储媒体设备和便于移动、便携数据的磁盘式存储媒体设备。可移动存储介质的例子包括但不限于软盘、光盘。u盘、外置硬盘和其他包含非易失性存储器的闪存卡/驱动器。

5、可信平台模块（TPM）：可信平台模块是一个存储密钥、密码和数字证书的微型控制器。它通常固定在电脑的主板上。它可以潜在地用于任何需要这些功能的计算设备。这种硬件芯片的特性，确保了存储的信息更加安全，不会受到外部软件攻击和物理盗窃。可信平台模块标准由可信计算集团联盟制定。

6、敏感非机密信息：未分类但禁止公开披露的信息。

1、在国防部的内部信息中，所有未曾公开发布并存储在个人笔记本电脑和个人数字助理等移动计算设备或拇指驱动器和光盘等可移动存储介质上的未分类静态数据，都应被视为敏感数据，并使用加密技术进行加密。所使用的加密技术至少应符合美国国家标准，以及符合技术研究所（NIST）联邦信息处理标准140-2 （FIPS 140-2）。另外还要建立一种机制确保主加密系统在出现故障的情况下，能够恢复加密数据或者实现监管其他功能。已经批准公开发布的国防部信息就不需要再加密了。

2、对于高级官员（例如，海军军官和高级管理人员）和其他经常出差的个人使用的移动计算设备上的国防部信息进行加密应该优先满足参考（c）的要求。特别是在美国大陆以外的地区，在这些地区，设备更有可能丢失、被盗或者被利用，而且一旦丢失的后果会更严重。

3、除了参考（a）至（c）中规定的所有计算设备的管理和访问控制之外，还要求加密移动计算设备和可移动存储介质上的静态敏感非机密数据。

4、考虑到新兴的加密产品性能各异，以及对设备认证的要求各异，国防部各部门应确保为国防部企业而采购的所有计算机产品（如服务器、台式机、笔记本电脑和平板电脑）满足受信任的平台模块（TPM）1.2版或更高版本（如果技术达到更到版本）。如果购买了没有受信任的平台模块的产品，必须向负责审批的机构提供书面理由。

5、美国国防部各部门应通过美国国防部企业软件项目（ESI）购买静态数据加密产品。美国国防部企业软件项目建立了国防部全部范围内的企业软件购买协议和一揽子购买协议，大大降低了购买常用软件的成本。

一揽子采购协议（BPA）是由美国政府出面向公布的静态数据（DAR）加密获奖名单中的公司合作并采购其设备和软件，以保护政府使用的笔记本电脑、其他移动计算设备和可移动存储介质设备上的敏感、非机密数据。

该项目对联邦、州和地方各级政府至关重要。通过联合采购设备和软件不仅节约了购买成本、增强了静态数据信息安全，还要求供应商满足严格的技术和信息保证要求。同时也体现了美国政府对美国公民负责，保护公民的隐私和敏感信息，进而改善政府内部的服务。

此外国防部全球安全管理局的团队解决了一个主要的数据加密问题，即允许各个州和地方政府共享解决问题的方案，同时在各个层面节省大量纳税人的财产。该项目作为一个里程碑，有助于取得公众的信任，并且还会在政府范围内持续提高的信息技术系统的安全性。

在行政管理和预算局（OMS）发布备忘录两个月后，美国国防部静态数据探索队以解决技术开发的需要（试图闯入电脑系统以检测其安全性）。截止到新闻的发布，美国国防部静态数据探索队已经发展成为了一个20，0 00名成员、18个联邦机构和北约组成的跨部门团队。

"这个非常成功的跨部门团队重新定义了静态数据要求并且实现了该静态数据要求，这使得政府能够建立这些至关重要的一揽子采购协议（BPA）"，国防部副首席信息官，大卫·温纳格伦说“真正具有历史意义的是，来自各级政府的机构聚集在一起，解决一个问题，并开发一个收购解决方案，以在令人难以置信的短时间内满足所有联邦和地方政府的静态数据（OAR）安全要求。”

美国国防部静态数据探索队（DARTT）在2006年10月向美国国防部军事部门首席信息官提交建议之前，进行了广泛的威胁分析、风险分析和市场调查。2006年11月，美国国防部静态数据探索队与美国国防部联合展开了采购计划。美国联邦总务管理局（GSA）一揽子采购方案和联邦机构于2006年12月加入DARTT，北约于2007年1月加入。州和地方政府于2007年3月加入。 

参考文献：

（a）美国国防部（DoD）I8500.2，“信息保证（IA）实施”，2003年2月6日

（b）美国国防部（DoD）D8100.2，“美国国防部（DoD）全球信息网格（GIG）中商业无线设备、服务和技术的使用”，2004年4月14日，由美国国防部长办公室（ASD NII）/美国国防部首席信息官（DoD CIO）备忘录补充，同一主题，2006年6月2日

（c）美国国防部（DoD）政策备忘录，“美国国防部保护个人身份信息指南（PH）”，2006年8月18日

（d）美国国防部（DoD）政策备忘录，“保护便携式计算设备上的国防部静态敏感数据”，2006年4月18日

参考文献（a）至（c）要求在某些情况下对不同类别的国防部静态敏感数据进行加密。参考资料（d）提供了关于如何保护国防部内使用的便携式计算设备上的敏感非机密信息的建议，并希望这些建议能满足未来政策的要求。该备忘录确立了国防部保护移动计算设备和可移动存储介质上敏感非机密信息的附加政策。它适用于所有国防部组件及其支持的处理敏感国防部信息的商业接触器。

本期作者：赵丽莉，秦现招

为深入研讨我国密码法相关制度与现实挑战，凝聚国内外密码与网络安全精英，合力推动我国密码产业发展，苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报，供政府、产业及学术同仁参考。以期联合政产学研力量，为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会、编辑部采取开放组织形式，欢迎各界同仁予以各种方式积极参与和支持，踊跃投稿！

主     编：马民虎          

副 主 编：黄道丽 朱莉欣

责任编辑：原浩 赵丽莉 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯

联系电话：0512—69562805，13771998064（同微信）

投稿邮箱：xieyonghong2015@xjtu.edu.cn

      2021年5月25日，寰球密码法律政策发展动态编委会在苏州正式成立。编委会为创新学术团体，设立主任一名，委员若干名，每届任期两年。目前，编委会正式聘任委员共24名，分别来自科研机构、高等院校和大型互联网企业等。编委会的职责定位于联合政产学研力量，发挥学术优势，提升我国密码产业发展，为国家密码管理部门提供战略性立法建议和决策咨询，为密码产业、行业安全发展提供合规指引。当下，编委会的常态化工作之一是编撰“寰球密码法律政策发展动态”简报（周刊），供政府、产业及学术同仁参考。 

往期简报回顾

• 第1期丨欧盟通过《加密保障安全和加密的安全问题决议》及各方反响
• 第2期丨加密：在隐私、安全和合法数据访问之间寻求平衡
• 第3期丨法国2004-575号法令2020年修订版中的密码规则
• 第4期丨SolarWinds攻击事件后美国国会议员致信NSA“质询”加密后门问题
• 第5期丨2020年度美国NSA网络安全的密码工作评述
• 第6期丨美国联邦公钥基础设施指南
• 第7期丨美CRS报告聚焦区块链应用实践、局限性和监管考量
• 第8期丨加密货币犯罪与反洗钱报告（上）
• 第9期丨加密货币犯罪与反洗钱报告（中）
• 第10期丨加密货币犯罪与反洗钱报告（下）
• 第11期丨全面推进密码法治建设 不断加强网络安全保护
• 第12期丨美CRS聚焦加密常识—就大众关心问题发布专题报告
• 第13期丨美国“加密工作组”发布新版《印度加密政策争议》报告
• 第14期丨欧盟“保障数字绿色证书合理使用”提议及其评价
• 第15期丨美国BIS调整密码出口管控规则 减轻密码物项报告和通知义务
• 第16期丨香港SFC确立加密货币交易监管标准
• 第17期丨全面推进密码法治建设 筑牢网络空间密码防线
• 第18期丨商用密码认证规则及实践
• 第19期丨苏州新闻广播-红色密语专题节目“密码与网络安全”
• 第20期丨NIST发布《向后量子密码迁移》简报
• 第21期丨英国推出密码使用新安全标准（SS-007）
• 第22期丨美NSA发布解密文件—探讨美70年代后期公众密码学的争议问题
• 第23期丨英国发布2020年度网络安全报告——让英国成为最安全的在线生活和工作场所
• 第24期丨NIST SP800-175A：美国联邦政府使用密码相关法律指引概述
• 第25期丨对限制进口高于256位加密的加密软件相关问题的分析
• 第26期丨密码技术在《个人信息保护法》中的基石地位和实现
• 第27期丨后斯诺登时代的NIST密码标准和指南制定流程
• 第28期丨英国发布《国防和安全产业战略》：强调加密在保障国防和安全产业方面的重要角色
• 第29期 丨《全面与进步跨太平洋伙伴关系协定》（CPTPP） 密码管理规定
• 第30期 | 美国联邦政府的“密码机制”：SP800-175B概述
• 第31期 | CDC与BBA发布马萨诸塞州服务区块链技术立法者指引
• 第32期 | DEPA协定中的密码管理规定
• 第33期丨美国人口普查局报告总结爱因斯坦计划执行效果并部署新的加密系统