美国信息安全保密的政策、标准及网络建设(2)

　　1996年12月国防部颁发的《S600.1命令》和1998年5月美国前总统克林顿签发的63号总统令（PDD63），提出了信息保障（IA-Information Assurance）的概念。为此，1998年1月国防部制定了《国防信息保障纲要》（Defense Information Assurance Program），1998年5月国家安全局制定了《信息保障技术框架》，2000年1月白宫发表了《保卫美国的计算机空间-保护信息的国家计划V1.0》，关于信息保障国防部已经10多个相关的计划。同时，成立了“全国信息保障委员会”（NIAC）、“全国信息保障同盟”（NIAP）、“关键基础设施信息保障办公室”（CIAO）等10多个全国性机构。信息保障的提出，是美国军事战略从“以威慑为基础”转为“以能力为基础”的结果。原来强调对付有威胁的国家改为着重对付威胁本身，采取积极防御的策略。
　　国防部《S600.1命令》中将信息保障定义为：“通过确保信息和信息系统的可用性、完整性、可识别性和不可抵赖性来保护信息和信息系统的信息作战行动，包括综合利用保护、探测和恢复系统的反应能力。”而2001年《国防报告》则认为：“信息保障是指国防信息基础设施具有不可间断提供可靠服务的能力。信息保障要靠人员素质、业务能力和技术水平的有机结合，才能保证信息服务的及时性、完整性、可靠性、保密性和隐蔽性，并能在受到攻击之后及时有效地恢复这种服务。”信息保障安全的概念已经不局限于信息的保护，人们需要的是对整个信息和信息系统的保护和防御，以确保它们的安全性，包括了对信息的保护、检测、反应和恢复能力。为了保障信息安全，除了要进行信息的安全保护，还应该重视提高系统的入侵检测能力，系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术，信息保障强调信息系统整个生命周期的防御和恢复。
　　9.11事件，美国成立了由副总统领导的国家本土安全局，其职责包括了保护本土信息基础设施的安全。布什总统13231总统令，将克林顿成立的“总统关键基础设施保护委员会”这一部委之间的协调机构改为行政实体“总统关键基础设施保护办公室”，接受总统办公厅领导。任命反恐专家理查德.克拉克为“总统网络安全顾问”。这些措施，一方面体现了美国积极防御的战略意图；另一方面，让“信息安全”在国家和国家安全中占据重要地位。
　　三、美国实施的安全保密标准
　　为了促进美国信息安全产品的普及,美国国防部国家计算机安全中心主持了一项政府与产业界合作进行的项目--可信产品评价计划。这项计划的主要目标是根据有关标准从技术上来认定市场上商品化的计算机系统的安全性能。为此, 在1985年, 国防部国家计算机安全中心代表国防部制定并出版了可信计算机安全评价标准, 即著名的"桔皮书"(Orange Book)。最初桔皮书标准用于美国政府和军方的计算机系统,但近年来桔皮书的影响已扩展到了商业领域, 成为事实上大家公认的标准。
　　桔皮书为计算机系统的安全定义了七个安全级别, 最高为A级, 最低为D级。A级提供核查保护, 只适用于军用计算机。B级为强制保护，采用TCB(Trcusted Computing Base, 可信计算基准)方法, 即保持敏感性标签的完整性并用它们形成一整套强制访问控制规则。B级系统必须在主要数据结构和对象中带有敏感性标签, B级又可细为B1、B2、B3三个等级(按安全等级排序为B3,B2, B1)。B1表示被标签的安全性。B2表示结构化保护。B3表示安全域。C级为酌情保护。C级又细分为C1、C2两个等级(按安全等级排序为C2, C1)。C1表示酌情安全保护。C2表示访问控制保护。D级为最低级别。
　　为了针对网络、安全的系统和数据库的具体情况来应用桔皮书的标准, 国防部国家安全计算机中心又制定并出版了三个解释性文件, 即可信网络解释, 计算机安全子系统解释和可信数据库解释。至此, 便形成了美国计算机系统安全评价标准系列--彩虹系列(Rainbow Series)。(作者：未知，来源：国家保密技术研究所)