3美国信息安全保障体系建设研究.docx
《3美国信息安全保障体系建设研究.docx》由会员分享,可在线阅读,更多相关《3美国信息安全保障体系建设研究.docx(12页珍藏版)》请在冰豆网上搜索。
3美国信息安全保障体系建设研究
信息工程大学
毕 业 设 计(论文)
题目:
美国信息安全保障体系建设研究
学员姓名
学 号
所在单位
指导教师
技术职务
完成日期
摘要
本文通过介绍美国国家信息安全保障体系,美国信息安全保障体系的发展和美国电子政务信息安全体系对我国的启示,通过对信息安全体系做了一个总结。
随着网络和信息技术的普及,电子政务成为时代发展的必然。
电子政务的安全运行是维护国家利益和安全的必然要求。
网络和信息安全则是确保电子政务的安全运行的关键。
我国应采取各种措施,加大信息技术开发力度,推动网络安全建设与管理,以保障电子政务的健康安全运行。
分析了美国信息安全法律体系考察对及其对我国的启示。
关键词:
信息安全保障体系美国
第一章信息安全的简介1
1.1信息安全概念的演变1
1.2“信息保障”的概念2
第二章美国加强信息安全保障体系建设的基本做法4
2.1信息安全已成为美国安全战略的重要组成部分4
2.2建立各级信息安全主管机构5
2.3重视发展信息战能力,实行“积极防御”7
2.3.1国防系统信息安全是美政府保护的重点对象7
2.3.2国防部将信息安全对策提高到信息战的高度,加强信息攻击能力7
2.4以信息安全法律法规提供有力保障8
2.5强化国家信息保障政策和措施8
2.6不断开发和完善信息安全技术10
2.6.1制定计算机安全评价标准,积极参与开发国际通用安全准则10
2.6.2重视信息安全技术的发展和更新11
第三章加强我国信息安全保障体系建设的建议13
3.1建立统一的安全平台13
3.2进一步完善我国信息安全保障的法律体系14
3.2.1确立科学的信息安全法律保护理念14
3.2.2构建完备的信息安全法律体系14
3.2.3强化信息安全法律效率14
3.3改善电子政务的应用安全14
第五章总结与展望15
参考文献16
致谢17
第一章信息安全保障体系简介
1.1信息安全概念的演变
信息安全问题伴随着通信、网络及信息系统的发展,经历了由通信保密到信息安全,再到信息安全保障的发展历程。
通信保密阶段:
19世纪中叶以后,随着电报、电话、无线电的发明,通信领域发生了根本性的变革,有线和无线通信随之出现并逐步应用。
由于电信号很容易被搭线窃听或被无线电侦收,所以人们开始广泛采用密码技术手段保护秘密信息,密码安全也成为关系战略全局和长远利益的重大问题。
密码一旦失泄密,就从根本上失去了保护秘密信息的屏障,造成全局上的被动和失利。
况且,任何国家,若侦破了对手的密码,都要作为最高机密严加保守,失密者难以察觉,其危害非常深远。
二战期间,英国破译了德军“恩尼格玛”密码后,得知德军要轰炸英国考文垂市,但英国不动声色,不惜以牺牲考文垂市的代价,保住侦破德军密码的秘密,以换取长远的战略利益。
信息安全阶段:
进入20世纪80年代后,随着微型机和局域网的出现,一方面推动了信息的共享,同时也使系统面临来自外部的非法访问、操作员使用脆弱口令等的威胁。
因此,信息安全关注的对象,从数据转向信息和信息系统,继而重视信息系统的安全,主要目的是保护信息在存储、处理或传输过程中不被非法访问或篡改、破坏,确保对合法用户的服务并限制非授权用户的访问,确保信息系统的业务功能能够正常运行。
解决办法主要是预防为主,利用密码技术、访问控制技术、身份鉴别技术等技术措施,保护信息的保密性、完整性,保证计算机系统为授权用户所使用。
这一时期,信息安全理论与技术快速发展,信息安全也从萌芽逐步走向成熟。
信息安全保障阶段:
20世纪90年代末以来,随着互联网的发展及广泛应用,信息基础设施固有的脆弱性凸显,信息系统受到的攻击日趋频繁,信息安全威胁日益增长,在攻与防的对抗过程中,使人们逐渐认识到安全风险的本质,认识到安全不仅涉及到技术,而且还涉及人和管理,认识到不存在绝对的安全,认识到安全是一个动态的过程,安全事件发生时的处理以及事后的处理,都应当是信息安全要考虑的内容。
1.2“信息保障”的概念
美国军方率先提出了“信息保障”的概念,为区别于“信息安全”,同时体现出继承性,国内常采用“信息安全保障”概念。
所谓信息安全保障,是指“保证信息和信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御过程。
它要求加强对信息和信息系统的保护,加强对信息安全事件和各种脆弱性的检测,提高应急反应能力和系统恢复能力”。
对信息安全保障概念与内涵的理解,我认为可归结为一、二、二、三、四、五、六、七,具体为:
“一”是指一个策略。
就是指信息安全保障强调采取系统的纵深防御策略,从网络互联、边界防护到主机防护,逐层设防,确保安全。
第一个“二”是指两个对象。
是指信息安全保障的对象是信息和信息系统。
第二个“二”是指信息安全保障活动涉及的两个领域,即网络空间、电磁空间
“三”是指信息安全保障应强调人、技术、管理三个方面的作用。
在这三者中,人员是核心,技术是关键,管理是保证,训练有素的人员要通过相应的管理来运用恰当的技术达到保障信息安全的目的,而且技术将落实到信息安全保障环节的各个方面,在各个环节中发挥作用。
“四”是指信息安全保障涉及的四个层面,包括计算环境、边界、网络基础设施、信息安全基础设施。
“五”是指信息生命周期中的五种状态,信息安全保障渗透于信息产生、存储、处理、传输和销毁的整个过程。
“六”是指信息安全的六种属性。
包括保密性、完整性、真实性、抗抵赖性、可用性、可控性。
“七”是指信息安全保障的七个环节,包括预警、策略、防护、检测、响应、恢复、反击,构成了信息安全保障具有动态反馈特点的七大环节。
从以上分析可以看出,信息安全保障更加强调系统工程的方法,纵深防御的策略和整体防护的技术。
信息安全保障体系是实施信息安全保障的法制、组织管理、技术、人才、运行保障等层面有机结合的整体,是国家安全体系的重要组成部分。
第二章美国加强信息安全保障体系建设的基本做法
2.1信息安全已成为美国安全战略的重要组成部分
美国前总统克林顿说过,“这个充满希望的时代也充斥着危险。
所有受计算机驱动的系统都容易遭到入侵和破坏。
重要经济部门或政府机构的计算机一旦受到合力攻击,就会产生灾难性的后果”。
美国拥有世界上最强大的军事和经济力量,这两种力量相互强化,相互依赖,同时也日益依赖于关键基础设施和网络信息系统。
这种依赖关系成了脆弱性的根源。
因此,计算机网络的脆弱性已给美国家安全提出了一个紧迫的问题,关键基础设施和信息系统的安全成为美面临的首要威胁之一,“电子珍珠港”事件随时可能爆发,美国必须采取措施保障关键基础设施和信息系统的安全,避免“信息灾难”。
基于这一认知,美国政府1984年以来共颁布近10个涉及关键基础设施和信息安全的政策、通告、总统行政命令和国家计划,其中包括“关于通信和自动化信息系统安全的国家政策”(即NSDD一145,1984年9月17日)、《联邦政府信息资源的管理通告》(即A一130通告,1985年12月)、关于反恐怖主义政策的总统令(1995年6月)、第13010号(1966年7月15日)及第13025号(1996年11月)和13064号(1997年10月)行政命令、第63号总统令(PDD一63,1998年5月)、《信息系统保护国家计划》、(2000年1月)、《信息时代保护关键基础设施的行政命令》(2001年10月16日)等。
这些通告、政策和命令各有侧重,但都强调关键基础设施即那些维持经济和政府部门最低限度运作所需的物理和网络系统,包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续工作的领导机构等的安全,关系国家存亡。
美国政府认为,对美基础设施发动网络攻击将取代外交行动和军事冲突,成为敌对方实现既定目标的首选方式。
病毒、网络蠕虫、特洛伊木马、计算机定时炸弹以及其他形式的自动攻击等网络武器已成为继核武器和大规模杀伤性武器之后对美安全的最大威胁。
在美看来,最有可能发动网络攻击的敌人包括:
(1)主权国家。
其中既包括那些所谓的“无赖国家”,通过发动信息战等获取对美的不对称优势;同时也包括那些企图获取经济利益、破坏美国经济稳定和采取军事或情报行动破坏美安全的别有用心的国家。
(2)经济竞争者。
一些外国公司可能通过黑客手段窃取先进的关键技术、商业秘密、私人信息和一些研究成果。
(3)各种犯罪。
包括跨国金融犯罪、盗取信用卡等。
(4)黑客。
黑客的动机包括贪婪、政治目的、窃取信息或仅仅是恶作剧,他们给计算机系统造成的危害日益严重。
(5)恐怖主义分子。
信息战技术为他们攻击预定目标和制造威胁提供了更好的工具。
(6)内部人员。
内部人员可能是对美关键基础设施最大的威胁,他们通常最能知晓基础设施及其支持系统的运行情况。
心怀不满的员工、被收买的泄密者、受到伤害或威胁的雇员、以前雇佣的员工以及商业伙伴都会出于怨恨、经济好处和害怕而计划和进行攻击。
因此,美国应具有保护其关键基础设施免遭攻击的能力,确保“关键设施的任何中断或受到的操纵都必须是短暂的、偶发的、可控制的、互相隔绝以及对美国家利益造成的危害最小”。
2.2建立各级信息安全主管机构
为了使已颁布的政策和计划得到落实,美建起了一个庞大而有序的信息安全机构体系,在总统直属的信息安全领导机构的统一规划下展开维护全美信息安全的各项工作。
设立相关的委员会,直接为总统决策服务。
根据具体需要和有关法令,相继设立了总统信息安全政策委员会、总统关键基础设施保护委员会等。
这些委员会成员包括主要政府部门,定期举行会议并提交报告,为总统了解信息安全状况和制定政策提供建议,并协调各项保护信息系统计划的实施。
1997年,关键基础设施委员会向克林顿总统提交了“关键基础——保护美国的基础设施”的报告,主张确保基础设施的有效性和生存能力应该成为美国的国策,应采取一切措施保护基础设施。
根据这一建议,克林顿总统签署了第63号总统令。
2001年10月,小布什政府颁布了《信息时代保护关键基础设施的行政命令》,组建了新的关键基础设施委员会,其成员包括国务卿、国防部长、司法部长、商务部长、行政管理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。
根据该命令,委员会主席兼任总统有关网络安全的特别顾问。
他有权了解各部/局内属于其管辖范围的所有情况,召集和主持委员会的各种会议,制定保护关键基础设施的政策和方案,并向总统国家安全事务助理和国土安全助理汇报。
建立各级信息安全主管机构。
根据《联邦政府信息资源的管理通告》的规定,行政管理与预算局(OMB)负责制定和监督政府部门有关信息系统安全的政策、原则、标准和指导方针。
在它统一领导下,美国的信息安全工作分别由商务部下属的国家标准与技术局和国防部下属的国家安全局分工负责。
NIST主要负责非保密信息(即敏感信息)的安全工作,NSA负责保密信息的安全工作。
NIST由商务部长主管,协助政府和产业界进行安全规划、风险管理、应急计划、加密、人员身份认证及智能卡应用等安全技术的开发、推广应用、计算机病毒检测与防治、安全教育培训等方面的工作,同时还负责制定安全技术和安全产品的国家和国际标准。
NIST下设的计算机系统实验室还进行计算机和网络安全技术的研究开发工作,其研究重点包括密码学、认证技术、公用密钥、网络互联以及安全标准等。
根据1990年7月的总统密令——“国家保密通信”规定,NSA的职责是:
(1)帮助政府机构解决与“国家安全系统”有关的信息安全问题,其中包括制定风险评估、安全规划、运行安全、验证等安全措施。
(2)出版“信息系统安全产品和服务名录”,其中有经过评审的产品名单。
(3)根据政府机构及其合同单位的要求,对有关信息系统的薄弱环节加以评估,并提出消除和改善薄弱环节的安全措施。
在明确主管机构的基础上,美政府按部门的重要程度进行划分,责成各部门内设相应机构,执行OMB、NIST和NSA的规定和计划,并根据各自具体情况,以国家有关的信息安全法规政策为依据,制订类似“信息技术管理手册”的用户指示性文件,指导其下属部门的信息安全工作。
第63号总统令规定,第一批实施信息安全保护计划的部门为要害部门,其中包括中央情报局、商务部、国防部、能源部、司法部、联邦调查局、交通部、财政部、联邦紧急事务处理局、国家安全局等,它们必须在1998年11月完成其保护关键信息系统的计划。
农业部、教育部、住房和城市发展部、内政部、劳工部、总务局、国家宇航局、核调整委员会等则列为第二批,这些部门的信息安保计划在2年内制定完成。
第63号总统令还规定,各部是其下属基础设施部门安全的主管机构,由部门联络官员进行信息的上传下达,同时必须任命一名首席关键基础设施保护官员,主管本部门关键基础设施的保护工作。
例如,信息与通讯部门的安全由商务部主管,银行与金融系统由财政部主管等等。
在这些机构中,值得一提的是隶属于联邦调查局的国家基础设施保护中心。
该中心成立于1998年2月,其成员由政府部门、州和地方政府以及私营部门的代表组成。
具体任务包括:
(1)侦破、阻止、评估、预警调查涉及对计算机和信息技术构成的威胁,并对以美关键基础设施为目标的非法行动做出反应;
(2)主管计算机入侵事件的调查;(3)实施与打击网络犯罪及入侵有关的法律,并执行反恐怖和涉外反问等任务;(4)当违法行为超出一般刑事犯罪的范围并由外国发起旨在攻击美国利益时,对国家安全部门提供支持;(5)与政府部门和私营机构联合培训网络调查员和基础设施保护人员。
目前,该中心在评估威胁提供威胁、预警等方面发挥越来越重要的作用,成为美收集威胁关键基础设施有关信息的国家重要部门。
2.3重视发展信息战能力,实行“积极防御”
2.3.1国防系统信息安全是美政府保护的重点对象
美国认为,联邦政府中没有一个部门像国防部那样依赖信息技术,而且它肩负着保卫国家的使命,是负责保护美关键基础设施不受网络攻击和应付其他对美国家安全威胁的领导机构。
由于部门的特殊性,在遵循政府有关政策和法令的同时,国防部还制订了本部门专门的信息安全政策和措施,例如国防关键基础设施保护方案、国防系统信息保护计划等,对国防信息保护行动进行协调、综合和监督。
主管的国防部副部长负责制定国防部关键基础设施保护的有关政策,并作为国防部门的协调员参加国家关键基础设施协调小组,同时担任国防部首席信息官员和基础设施保护官员。
国防部门关键基础设施保护与政府其他部门和私营部门最为显著的不同是,国防部在所有关键节点采用并不断完善入侵侦查系统,以及建立计算机网络保护联合特别小组来管理该项工作。
目前,自动人侵侦查环境一先进技术示范计划开始启动,提供自动侦查和威胁预警及攻击评估。
国防信息系统局是国防系统信息安全的主管部门。
美国负责信息战的全球控制中心设在总部。
国防信息系统局下设信息系统安全中心和自动化系统安全事故支持小组等部门,负责制定国防部信息安全标准,处理国防部所有的信息安全事故,分析薄弱环节并提出保护、侦测和应对措施。
根据各自的特点和掌握的技术,美军各兵种还相应采取了各有特点的信息安全防护措施。
例如,陆军实施了“网络安全改进计划”,分4个阶段改进现有的网络监控、入侵检测和入侵反应技术,并开发网络安全新技术,使陆军的所有用户通过4个“网络安全中心”进入网络等。
海军实施了智能卡身份鉴认。
空军则着手验证信息安全新技术,例如探测通过无线侵入系统保护、监视敏感信息网址的智能软件等。
2.3.2国防部将信息安全对策提高到信息战的高度,加强信息攻击能力
美国在防范本国计算机网络系统不受入侵的同时,也加紧了研究和制定对别国实施信息战的财。
1992年12月开始,美国防部实施一项防御性信息战计划。
1995年1月,美国防部组建了信息战执行委员会,从事信息战概念的界定、信息战发展方向的确定等工作。
同年12月,国防部的防御性信息战管理计划提出了3项措施,用以防止、侦测和反击对国防部信息基础结构的威胁行为。
到目前为止,陆、海、空三军相继成立了专门负责信息战的信息战中心。
空军信息战中心已具备了计算机紧急响应能力,并执行与国防信息系统局类似的任务;海军的舰队信息战中心和陆军的陆上信息战行动小组也已具备类似的能力。
2.4安全法律法规提供有力保障
美国是信息安全方面的法律制订得最多、最完善的国家。
从1986年的计算机诈骗及滥用法案、电子通讯私有法案以来,美国已确立的有关信息安全的法律无所不包,包括信息自由法、个人隐私法、反腐败行径法、伪造访问设备法、计算机安全法、正当通信法、电讯法、数字电话法案、电子签名法案及反黑客法案等。
其中,1987年经过修订的《计算机安全法》是美信息方面最主要的法律,其主要内容包括:
以法律形式规定了国家标准与技术局是为联邦政府计算机系统制定信息安全政策和标准的授权单位,要求凡是存有敏感信息的政府计算机系统,必须制定安全计划等等。
该法在80年代末至90年代初被作为各州制定其他地方法规的依据。
美政府还一直强调“保护基础设施的目标必须通过维护甚至是加强美国公民的隐私和公民自由的方式来实现”。
2000年的《信息系统保护国家计划》更是将“保证公民的隐私和自由权”列为10项任务之一。
该计划明确表示“不会以牺牲公民的自由权为代价来换取对基础设施的保障,美政府也绝对不会为了达到其信息安全的目标而制定侵犯性的法规条例”,并为此制定了9项原则。
此外,由多数非政府人员组成的国家基础设施保护委员会每年都审查与公民自由、隐私权和私人数据保护有关计划的实施情况。
美保护隐私方面的具体做法主要包括:
实施安全意识教育计划,强调计算机道德,促进公民尊重通讯中的个人隐私;评估系统弱点并寻找保护政府和私营部门关键系统不被侵入的技术,确保通过这些系统的个人隐私的安全;将公民信息作为所有保护关键基础设施计划的一个重要部分;加强对个人秘密信息的保护;在不违反现有法律(包括电子通讯隐私法、隐私法及其他法律)的情况下实施所有基础设施保护计划等等。
2.5强化国家信息保障政策和措施
近年来,美国政府集中研究了各种针对国家和国家经济的重大威胁,认为在现代网络化经济背景下,信息基础设施是美国经济繁荣的核心信息基础设施的破坏将成国家经济的混乱。
美国政府将关键基础设施威胁概括为两个类别:
(1)对关键基础设施的物理攻击。
(2)对关键基础设施实施管理的信息系统或者通信系统的电子化攻击,信息保障概念和加大政府管理力度。
1998年5月,美国前总统克林顿发布了关于保护国家关键基础设施的第63号总统令(PDD-63);2000年美国政府的《国家安全报告》中首次把保卫能源、银行与财政、电信、交通、供水系统等重要的信息基础设施的安全,列为国家利益之首的关键利益。
911事件的发生,又使美国政府强烈的认识到紧急事件发生后应急管理的重要性、各部门之间的安全情报等信息的流动性及共享性问题。
2001年9月20日,宣布成立国土安全办整合职能,统一管理,从而提高国土安全保障力。
2002年9月,美国国土安全办公室公布国家信息安全战略指导文件《国家保障数字空间安全策略》,该文件覆盖了信息安全的各个方面,包括家庭用户、跨国公司和政府机构,其目的是为所有国家关键基础设施组成部分的用户提供防止网络恐怖攻击的指南,包括防范外部恶意黑客和来自内部人员的威胁。
2003年2月,美国政府发布《国家网络空间安全战略》,针对包括联邦政府在内的最大计算机网络运营者到最小的家庭用户,提出了一系列建议。
扶持可持续发展的科学研究和发展体系。
美国国家标准与技术局、国防部DOD与国家安全局分别根据联邦信息安全法案与NSD-42的授权,都各自从事和支持计算机安全系统的研究。
根据2002国土安全法案,在司法部成立了科技办公室,授权科技办公室从事包括手段和技术在内的研究,以帮助有关计算机犯罪的侦查与司法工作。
2004年9月,通过了国土安全法案的两项修正案,《HR5069:
科学与技术增强法》确立发展、评估和拦截新技术的相关规划,包括等级保护规划,约束国会报告的要求以及与外国政府的合作关系。
《HR5068:
电子安全增强法案》,将任命一个电子安全方面的助理部长,其主要责任是协调部门在固定关键信息技术基础设施方面的工作。
实际上,美国政府信息系统安全领域研究的刀刃是国防部的国防高级研究项目管理局DARPA与能源部实验室,在美国政府财政年度预算拨款中可以清楚的看到这一点。
公共部门的研究机构同样作为开发下一代信息系统安全的重要组成部分,国家科学基金会NSF的基金则用于支持以大学为核心的下一代信息安全的关注和研究,并以此影响非政府工商业系统的安全研究。
提高全民信息安全意识和深化安全培训美国政府在提高全民信息安全意识和深化信息安全培训方面,制订了一系列计划并展开了卓有成效的工作。
联邦信息安全法案要求机构的首席信息官应为负有重大安全责任的人员提供培训,机构领导应保证机构有足够的经过信息安全培训的人员。
被联邦信息安全法案所取代的计算机安全法案,授权国家标准与技术局在与人事管理局协商的情况下,制订在信息安全实践方面为机构职员提供培训的指南,涵盖计算机安全需要的广泛方面,从培养用户在安全问题与实践上的安全意识,到为负责计算机系统安全的人员开发培训课程时对指南的适用。
根据国家安全指令NSD-42,国家安全局为国家安全系统制定安全标准。
为响应PDD-63的要求,国家安全局制订了包括建立,“家信息保证教育高级中心”在内的“国家信息保证教育与培训规划”,中心选择了一些在符合国家安全系统委员会标准的信息保证方面较为成熟的高校。
作为帮助培养信息安全技术骨干的一部分,国会还通过了网络安全研发法案,授权国家科学基金会:
授与提升计算机安全领域的基础研究许可:
支持建立计算机与网络安全研究的多学科中心:
授予高级研究机构建立或促进其计算机与网络安全计划和注册的许可;提供计算机与网络安全毕业生的帮助计划:
建立毕业生科研奖学金计划;许可大学建立项目以培养学生从事计算机与网络安全领域的学术研究。
法案还授权国家标准与技术局支持高校、政府、营利与非赢利组织之间在计算机安全领域形成多学科的研究合作关系:
授权国家标准与技术局成立博士后研究奖学金计划与高级研究奖学金计划。
2.6.不断开发和完善信息安全技术
2.6.1制订计算机安全评价标准,积极参与开发国际通用安全准则
早在80年代初,美国就开始着手制定计算机安全评价标准。
1985年,国防部国家计算机安全中心代表国防部制定并出版了“可信计算机安全评价标准”,即《桔皮书》,它是国际公认的第一个计算机信息系统评估标准。
最初,该标准只适用于美国政府和军方的计算机系统,但目前商业领域也开始使用,成为事实上公认的标准。
各公司已经开始给它们的产品打上按《桔皮书》评定的安全级别的标记。
TCSEC为计算机系统的安全定义了7个安全级别,最高为A级,最低为D,每一级内又包含一个或多个级别。
安全级别按D、C1、C2、B1、B2、B3、A1渐次增强。
任何不满足较高级别安全可信性条件的系统都划入D类。
1992年12月,美国政府公布了联邦评价准则。
美国的TCSEC实施后,对全球的信息安全管理、制造、销售和使用都产生了广泛影响。
英、法、德、荷等国纷纷效法。
随着计算机网络的日益国际化,信息技术安全标准也日益成为国际上共同关心的问题。
世界各国迫切希望有一个国际通用的信息技术安全标准,共同开发世界通用的信息技术安全标准已是大势所趋。
1993年6月,美、英、加等6个国家的7个相关政府组织共同合作,将各自独立的准则集合成一个统一的、能被广泛接受的安全准则,以解决原标准中出现的概念和技术上的差异,最终形成了国际通用准则。
2.6.2重视信息安全技术的发展和更新
保证信息的保密性、可
升级会员 