美国信息安全政策导向及其启示,本文主要内容关键词为:美国论文,信息安全论文,导向论文,启示论文,政策论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
近年来,随着互联网在世界的飞速发展,信息安全问题及其对经济发展、国家安全和社会稳定的重大影响,正日益凸显出来。在信息化进程中,国家安全与经济、政治的安全越来越不可分割,而经济、政治安全越来越依赖于关键性信息基础设施的安全。信息安全是事关国家安危的一个全球性重大战略问题,已成为世界各国政府的共识。特别是“9.11”恐怖袭击事件后,信息安全政策更成为各国(特别是发达国家)政府公共安全政策的一个重要组成部分。美国信息安全政策在全球范围内具有普遍性和代表性,其信息安全政策导向值得我们借鉴。
一、确立维护信息网络安全的国家战略
当今世界,美国的信息基础设施和信息应用最发达,其互联网技术也最先进和最普及。随着冷战的结束和信息全球化步伐的加快,美国充分认识到,不论在政治、经济、还是在军事上,信息网络的作用已经同美国的国家利益和战略目标密不可分,信息安全问题已经成为维护国家安全、保障公民基本权利和夺取军事斗争胜利的关键因素。并先后调整了国家安全战略,使信息网络安全在国家安全战略诸要素中的地位不断上升,已成为国家安全战略中“不可分割的重要组成部分”。
美国信息安全的战略重点是基础设施的安全,以此为主线美国展开了信息安全的研究和部署,并采取一系列重要举措,首先从国家战略高度规划信息安全建设,特别是信息安全基础设施建设。为此,美国先后启动了七个关于保护美国关键基础设施的计划:即①信息共享计划;②确定伙伴关系计划;③组建工作机构计划;④信息安全教育战略计划;⑤保障政府信息安全计划;⑥完善法律法规战略计划;⑦研究与开发计划。美国国家安全局制定了《信息安全保障技术框架》(IATF),全方位地从技术角度阐述了信息安全保障的方方面面,这是信息安全保障技术领域中最为系统的研究。IATF为保护美国政府和工业界的信息与信息基础设施提供技术指南,并强调信息安全保障要靠人、操作和技术来实现。美国政府关键基础设施保护委员会发布了保卫美国信息安全的“国家行动计划”,经总统批准于2000年12月生效,2003年全面付诸实施。该计划分析了美国关键基础设施所面临的威胁,确定了计划的目标与范围,制定出联邦政府关键基础设施保护计划,以及私营部门、州和地方政府的关键基础设施保障框架。该计划明确强调,要提高美国信息网络系统的整体防护能力,包括国家攻击判断和预警能力及协调响应技巧,保护涉及美国关键基础设施、政府部门、军事指挥和情报系统、重要产业和企业以及公民的信息安全。美国国会、司法部、商务部和联邦调查局也曾多次召开会议,讨论加强信息安全措施,并明确规定联邦政府为制定国家信息安全标准及信息安全政策的授权单位。
“9.11”恐怖袭击事件是“永远改变美国如何看待其全球角色以及怎样思考安全问题方式的变革性事件”(布什总统国家安全顾问赖斯语)。“9.11”之后,美国深知在没有了全球同等级军事竞争对手之后,“非对称攻击”对于其基础设施,尤其是信息战武器这种“穷国原子弹”对于其信息网络基础设施的高度威胁。2001年10月8日,白宫任命反恐专家理查德。克拉克为总统网络安全特别顾问,以协调有关机构保护信息网络系统。2002年又提出未来美国网络安全领域的十大重要措施,其中有:制订《保护cgberspace安全的国家战略》、制定cgberspace安全模型。加强行政部门间信息网络安全的合作、建立政府与企业界在信息网络安全方面的紧密联系、培训更多信息网络安全人员、建立cgberspace预警网、建立各类基础设施间的安全保护仿真模型、提高公民的信息网络安全意识等。克拉克还提出,新的国家信息网络安全战略应该是一个开放的、透明的、动态的、与时俱进的活的战略。2002年3月,关键基础设施保护理事会在综合各专家意见的基础上提出了与国家安全战略有关的53个重要问题。这53个问题综合起来是:家庭用户小型商业机构;大型企业;国家信息基础设施领域;国家制度和政策。
“9.11”之后,各网络安全组织和政府部门纷纷调整自己的安全战略和行动计划,以提高网络防御能力,例如:联邦计算机事故反应中心的工作重点已转移到建立自动的网络安全问题报告和反应系统上。该中心确定的核心工作主要包括开发补救方法发布系统、提高数据分析能力、建立网络安全合作系统,以及制定事故指南等。美国国务院在贝尔茨维尔建立了一个网络监视中心。该中心负责对连接到美国驻外使、领域的“junkgard dog”网进行入侵探测测试和弱点评估。美国能源部为提高本部门的网络安全性也对自身的网络安全计划进行了调整,等等。2002年9月20日,美国正式公布了新的国家安全战略。新战略首次改变了过去冷战时期的军事威慑战略,强调要对恐怖(包括网络恐怖)威胁发动先发制人的军事打击。新战略还称,美国目前拥有世界上最强大的军事(包括在整个网络空间上所进行的各类信息)攻防战力量,应该确保全球军事优势,以阻止潜在对手赶超美国。紧接着白宫推出《国家信息安全战略》,众议院通过了《网络安全加强法律》,强化对信息网络安全防护的总体规划和指导,以保障信息网络的绝对安全。
二、完善维护信息网络安全的管理体制
维护国家信息网络安全是美国政府的一项重要职责。为了统一领导和协调一致,美国早就成立了由主要内阁成员参加的“关键基础设施保护委员会”。该委员会定期举行会议并提交报告,为总统了解信息网络安全状况和制定政策提供建议,并协调各项保护信息系统计划的实施。在信息安全的组织和执行机制上,美国总统通过国家安全委员会、关键基础设施保护委员会处理和协调有关信息网络安全事务,有时甚至亲自出马。关于信息网络安全的具体工作则分别由美国商务部下属的国家标准与技术局(NIST)和国防部下属的国家安全局(NSA)分工负责。NIST主要负责非保密信息的网络安全工作,而NSA主要负责保密信息的网络安全工作。在国家层次上,商务部和国防部实际上分工负责了所有的信息网络安全工作。这两个部门责任明确。NIST由商务部长主管,协助政府和产业界进行安全规划、风险管理、应急计划、加密、人员身份认证及智能卡应用等安全技术的开发、推广应用、计算机病毒检测与防治、安全教育培训等方面的工作,同时还负责制定安全技术和安全产品的国家和国际标准。在组织上,NIST所负责的信息网络安全工作具体落实到该局下属的计算机系统实验室的计算机安全部。计算机安全部负责帮助联邦政府各部门解决各种各样的信息网络安全问题。而NSA则是具体负责“国家安全系统”(即保密信息)的网络安全工作,其职责是帮助政府机构解决与“国家安全系统”有关的信息安全问题;出版“信息安全产品和服务名录”;根据政府机构及其合同单位的要求,对有关信息系统的薄弱环节加以评估,并提出消除和改善薄弱环节的安全措施。
为了健全信息网络安全快速反应机制,1998年2月美国联邦调查局成立了国家基础设施保护中心。这是美国唯一的专门对付攻击国家基础设施的犯罪活动的全国性机构。该中心成员由政府部门、州和地方政府以及私营部门的代表组成。其主要职责是发现有预谋的网络攻击行动,并对政府和公共行政部门发出警告;实施与打击网络犯罪及入侵有关的法律,并执行反恐怖和涉外反间谍等任务;对威胁国家重要基础设施的计算机入侵等非法活动进行调查和分析;当违法行为超出一般刑事犯罪的范围并由外国发起旨在攻击美国利益时,对国家安全部门提供支持。目前,该中心在评估威胁、提供威胁预警等方面在发挥越来越重要的作用,
“9.11”事件后不到1个月,布什总统即以13228号总统行政令“要建立国土安全办公室”。经国会批准,该办公室于2002年7月升格为“国土安全部”,其职责是保护本土信息基础设施的安全。2003年1月,国土安全部正式启动。为了加强信息网络安全的行政领导,布什还以13231总统令“信息时代的关键基础设施保护”宣布,将“关键基础设施保护委员会”这一部委之间的协调机构改为行政实体“关键基础设施保护办公室”,接受总统办公厅领导,同时成立“关键基础设施保护理事会,任命克拉克为总统网络安全顾问,使他成为全美网络安全总指挥,有权了解各部门内属于其管辖范围的所有情况,召集和主持与网络安全相关的各种会议,制定保护关键基础设施的政策和方案,并向总统国家安全事务助理和国土安全助理汇报。根据13231总统令,原关键基础设施保护委员会协调的10个信息系统委员会和23个联邦部委办在新成立的办公室统一指挥下,负责全美联邦政府的信息网络安全问题,与网络安全相关的每个部门除要指定首席信息官(CIO)之外,必须任命“首席信息安全官”(ISO),以落实和加强网络安全的行政领导,从而形成了新的更加紧密的协调机制。
三、健全维护信息网络安全的法制体系
要使网络安全运行,信息安全传递,极需进行必要的法律建设和相应的政策配套。美国已建立一整套法制体系。其中最主要的是美国国会1987年通过、1988年开始实施的计算机安全法。制定计算机安全法的目的,是为了“改善联邦政府计算机系统内敏感信息的安全与保密”。该法的主要内容包括:以法律形式规定了国家标准与技术局(NIST)是为联邦政府计算机系统制定信息安全政策和标准的授权单位;凡是存有敏感信息的联邦政府的计算机系统,必须制定安全计划:凡参与上述系统的管理、使用或操作的人员必须定期接受强制性的培训;在商务部内建立一个国家计算机系统安全与保密咨询委员会,并明确了其职责内容,等等。该法在20世纪80年代未至90年代初被作为美国各州制定其他地方法规的依据。这些法规确立了计算机服务盗窃罪、侵犯知识产权罪、破坏计算机设备或配置罪、计算机欺骗罪、计算机滥用罪、非受权的计算机使用罪等罪名。美国已确立的有关信息网络安全的其它法规还包括国家信息基础设施保护法、信息自由法、个人隐私法、伪造访问设备和计算机欺骗滥用法、电子通信隐私法、正当通信法、电信法、通信行为规则法案、数字电话法案、电子签名法案、政府信息安全改革法案、反黑客法案及禁止互联网赌博法案等。
“9.11”后,作为加强安全防范的有效措施,美国参议院以99票对1票的绝对优势,通过了爱国者法案,强化政府对网络安全的监控与管制,为执法部门的调查认证,尤其是为互联网和电子邮件调查的取证扫清了法律障碍。为使反网络恐怖袭击有法可依,美国国会举行了多次听证会,并在此基础上于2002年10月在参众两院分别通过了反恐怖主义法案,法案将黑客攻击视为恐怖主义行为之一,并把打击网络恐怖主义列为其中的一项重要内容。
有了相关法律的保障,还必须有相应的政策,以使保障信息安全具有可操作性。美国信息网络安全政策主要体现在《联邦政府信息资源管理OMBA-130号通告》中和“国家信息安全保障”政策及密码使用管理政策方面。A-130号通告全面阐述了联邦政府的信息资源管理政策,不仅详细论述了联邦政府信息、信息系统和信息技术的管理政策和方针,而且在其附录中还详细阐述了具体执行上述政策的细则和指导方针。尤其在附录“联邦政府自动化信息资源的安全”政策大纲中,具体阐述了计算机系统的安全对策。这是美国联邦政府信息资源管理和信息安全的政策大纲。“国家信息安全保障”政策是指:用支持信息空间安全的意识培训和教育来作为国家这一领域的启蒙;在信息系统和网络中使用强密码来实现包括数字签名和加密技术;开发和使用良好的商业化安全信息技术产品和服务;全球信息安全管理基础设施;防御基础设施,包括国家攻击判断预警能力及协调响应技巧。密码使用管理政策集中在使用密码进行信息加密和使用数字签名实施证书授权两个方面。
四、优化信息安全的技术组织结构
早在上个世纪80年代初,美国就开始着手制定计算机安全评价标准。1985年,国防部国家计算机安全中心代表国防部制定并出版了可信计算机安全评价标准,即著名的“桔皮书”。最初,桔皮书标准只适应于美国政府和军方的计算机系统,但目前商业领域也开始使用,成为事实上公认的标准。桔皮书为计算机系统的安全定义了七个安全级别,最高为A级,最低为D级,每一级内又包含一个或多个级别。安全级别按D、C1、C2、B1、B2、B3、A1渐次增强。任何不满足较高级别安全可信性条件的系统都划入D类。为了针对网络、安全的系统和数据库的具体情况来应用桔皮书的标准,国防部国家安全计算机中心又制定并出版了三个解释性文件,即可信网络解释、计算机安全子系统解释和可信数据库解释。至此,便形成了美国计算机系统安全评价标准系列——彩虹系列(Rainbow Seyies)。“9.11”之后,美国更加快了信息安全标准的出台。例如NIST从2001年10月至2002年4月期间,至少发布了NISTSP800-26/-27/-28/-29/-30/-31/-33/-38/-40/-41/-44/-45/等密码标准或安全准则,还出台了一系列有关1T安全过程准则、电信安全规范、安全管理标准、IT安全服务指南和安全产品选购指南等等强制性标准。
随着美国信息网络安全观念的不断深化,在大量开发防火墙、安全路由器、安全服务器、用户认证产品等保护技术和产品的同时,也加强了对预警、检测、追踪、响应和恢复等积极防范技术和产品的研制。例如,开发了可追踪黑客使用“拒绝服务程序”攻击源头的软件、联邦计算机入侵侦查网络、国防部的自动入侵侦查系统等。美国LosAiamos国家实验室正在冲刺多项护己攻人的信息网络技术。即①量子加密;②量子计算;③生物学加密;④网络取证(侦察网络犯罪);⑤网络免疫(“天然”消除网络安全漏洞);⑥高密度存储(可重建受攻击而丢失的数据)。
此外,还在重点落实“对付非对称威胁倡议”。该倡议至少有以下四项研发内容:①非对称环境模拟(模拟恐怖分子在其政治、经济、文化、意识形态影响下的个人行为,预测他们的攻击方式和对抗攻击的措施等,以便“先发制人”);②远距身份识别(除利用指纹、声纹成功识别身份之外,还发展远距人脸扫描和远距虹膜扫描来识别身份的技术,以制“人肉炸弹”于未爆);③“热那亚”系统(帮助国家安全部门和联合司令部收集、存储和交换恐怖分子活动证据信息和统调反击的系统);④证据提取关联技术(从公用网和公开信息源中提取恐怖分子的各种相关证据,经“相关、融合”,以勾勒事件威胁图)。
“9.11”之后,美军更是殚精竭虑地要确保网络安全,并采取了一系列重要举措:一是新建美军“军情在线”(AKO)。6台服务器和3台文档管理服务器通往数百万台军用计算机系统和网络的大门,AKO的信息资源对于反恐的情报交流举足轻重。二是开发“本土防卫系统”(HDS)。该系统可为查找攻击源提供跟踪能力,为全军反恐行动提供指挥控制能力。三是量化“网络作战状态级”。2001年下半年DOD装备了一套网络受侵告警系统。该系统把“网络作战状态级”分为五级,按网络受威胁从低到高的紧迫态分别称为Normal、Alpha、Bravo、chaylie、Delta。四是成立“全球作战司令部”。2002年6月美国国防部长宣布,DOD将航天司令部和战略司令部合并,暂名为“全球作战司令部”,以消除指挥体系的重叠,增强战略决策所需的信息采集、网络对抗和信息评估能力,提高网络攻防和武器攻击效能。
为了保证国家安全,美国又提出了政府网络隔离的保障措施,组建“政府专网”GOVNET计划,即以高级防火墙和入侵检测技术组建与因特网分离的政府专用保密IP网,以保证电子政务的安全。该计划的安全特点是:它没有来自外部网络的攻击,能实现政府部门的安全保密通信;它能达到商业级的语言通信能力,能支持政府的信息化应用。电子文件的密级方面,美国现已将文件的密级进一步扩展,密级划分更加细化,更便于执行。同时提高信息安全标准,严格限制外国人接触政府机构的计算机网络。鉴于“9.11”恐怖袭击事件刚刚发生的紧急情况下,通信量较平时猛增600%,致使本很发达的美国通信线路也发生严重阻塞,为此DISA在“9.11”之后迅速推出了应急通信计划,“全国无线‘优先接入系统’(PAS)”就是其中的主要项目,目的是确保美国在危急关头全国500个重要人士(含飞行员、消防员等)优先畅通安全保密的通信。美国的许多其他重要部门也加紧采取网络防护措施,严格管理。例如美国能源部的三个国家实验室有自己独立的光纤专线,参与国家实验室的每个机构也都有独立的局域网和光纤。此外,9.11之后,美国还加强了信息发布审查及控制机制,注意清理政府网站上的“敏感信息”。
五、对我国信息安全建设的启迪
根据我国信息安全的现实状况,借鉴美国加强信息安全建设的政策导向,当务之急,最关键的问题是统一解决我国信息安全保障的战略规划,要把信息安全保障提高到国家安全高度来认识。建立信息安全保障体系的基本构想应该是,完善国家信息安全的管理组织机制,健全信息安全的法律法规体系,优化信息安全的技术组织结构。如果我们不及时加快建立国家信息安全保障体系,将会对未来国民经济建设带来极大的安全隐患。加强国家信息安全建设已经刻不容缓。这不仅关系到“以信息化带动产业化方针”的正确实施,更关系到“全面建设小康补会”的发展进程。
标签:信息安全论文; 网络安全论文; 计算机安全论文; 网络安全防护论文; 信息安全标准论文; 网络攻击论文; 国家部门论文;