美国信息安全保密的政策、标准及网络建设

发布时间：2015-05-15 14:48商业秘密网点击率：9116

　　一、前言
　　美国是信息超级大国，美国的信息技术和信息安全技术地位举足轻重。对美国信息安全政策进行回顾和了解有助于我们采取相应的对策。从美国信息安全政策十几年的变化上，可以充分了解美国战略意图的转变和信息时代信息化带来的威胁和挑战。美国从提出“计算机安全”到提出“信息保障”；从讲“适度安全”到讲“完全安全”；从讲“互联的程度”到“与因特网隔离”，信息安全政策有了非常大的变化。美国的信息安全技术标准的发展，从单独制定到积极与盟国合作参与国际标准的制定，这种变化也体现出了美国在战略上控制信息技术及其安全的用心。9.11事件是“永远改变美国如何看待其全球角色和怎样思考安全问题方式的变革性事件”（布什总统国家安全顾问莱斯语）。9.11事件后，美国对信息安全有了新的要求，虽然还未见到正式的政策出台，但从美国新增设的部门以及从美国政府计划建设政府专用网（GovNet）的需求信息中可以发现一些变化。　　在信息安全领域，美国的目标如同前副总统戈尔所说，进入信息时代，信息安全保密已经进入任何一个国家的国家安全议程。美国已经掌握了信息时代的技术，现在必须准备处理好由信息时代带来的威胁和挑战。只有这样，美国才能在信息时代在世界上处于领导地位。
　　二、美国涉及信息安全保密的政策
　　1987年美国国会通过了《计算机安全保密法案》（the Computer Security Act）, 并于1988年开始实施。该法案目的是为了"改善联邦政府使用的计算机系统内敏感信息的安全与保密"。该法案定义"敏感信息"为"其丢失、不当使用、未经授权被人接触修改会不利于国家利益或联邦政府计划的实行"或不利于个人依法享有的个人隐私权的所有信息。计算机安全保密法案要求所有联邦机构确认含有敏感信息的计算机系统，并提供开发计划确保这些系统的安全。这个法案说明美国政府对计算机脆弱性引起的威胁已经开始重视。　　美国总统直属的行政管理与预算局(OMB)在1985年12月负责制订了一项重要的政策通告《联邦政府信息资源管理OMB A-130号通告》（OMB Circular A-130, "Management of FederalInformation Resources"）。并在1993年7月2日对A-130号通告作了修改。A-130号通告全面阐述了联邦政府的信息资源管理政策。在这份长达20多万字的政策文件中, 不仅详细论述了联邦政府信息、信息系统和信息技术的管理政策和方针, 而且在其附录中还详细阐述了具体执行上述政策的细则和指导方针。尤其在附录“联邦政府自动化信息资源的安全”政策大纲中, 具体阐述了计算机系统的安全对策。该通告适用于所有联邦政府部门的所有机构, 因此这是美国联邦政府信息资源管理和信息安全的政策大纲。
　　A-130号通告附录提出了"适度安全"的概念。该附录指出:"适度安全是指与由于信息的丢失、滥用、非法访问或非法修改而造成的危险和损害相适应的安全"。根据"适度安全"的观念, 把自动化信息系统分为两大类:一般支持系统和重点应用系统。对于这两类不同性质的系统分别制定了不同的信息安全政策。A-130通告安全计划内容第七条提出了系统互联，这一部分要求各机构根据系统规章控制本系统与其它系统的互联程度。
　　1995年的《政府文案工作减少法案》（Paperwork Reduction Act）在实现由传统的文案工作形式向在线形式或网络形式转变的过程中，向政府提出了新的安全挑战。2000年《政府信息安全改革法案》（Government Information Security Reform Act）增补了信息安全一章，增加了《政府文案工作减少法案》信息安全方面的内容，同时根据几年的实施修订《计算机安全保密法案》。这些法案增加的信息安全方面的核心内容是：联邦政府机构应该建立内部计算机安全机制，以保护为政府工作的计算机系统不受侵害。#p#分页标题#e#
　　1996年12月国防部颁发的《S600.1命令》和1998年5月美国前总统克林顿签发的63号总统令（PDD63），提出了信息保障（IA-Information Assurance）的概念。为此，1998年1月国防部制定了《国防信息保障纲要》（Defense Information Assurance Program），1998年5月国家安全局制定了《信息保障技术框架》，2000年1月白宫发表了《保卫美国的计算机空间-保护信息的国家计划V1.0》，关于信息保障国防部已经10多个相关的计划。同时，成立了“全国信息保障委员会”（NIAC）、“全国信息保障同盟”（NIAP）、“关键基础设施信息保障办公室”（CIAO）等10多个全国性机构。信息保障的提出，是美国军事战略从“以威慑为基础”转为“以能力为基础”的结果。原来强调对付有威胁的国家改为着重对付威胁本身，采取积极防御的策略。
　　国防部《S600.1命令》中将信息保障定义为：“通过确保信息和信息系统的可用性、完整性、可识别性和不可抵赖性来保护信息和信息系统的信息作战行动，包括综合利用保护、探测和恢复系统的反应能力。”而2001年《国防报告》则认为：“信息保障是指国防信息基础设施具有不可间断提供可靠服务的能力。信息保障要靠人员素质、业务能力和技术水平的有机结合，才能保证信息服务的及时性、完整性、可靠性、保密性和隐蔽性，并能在受到攻击之后及时有效地恢复这种服务。”信息保障安全的概念已经不局限于信息的保护，人们需要的是对整个信息和信息系统的保护和防御，以确保它们的安全性，包括了对信息的保护、检测、反应和恢复能力。为了保障信息安全，除了要进行信息的安全保护，还应该重视提高系统的入侵检测能力，系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术，信息保障强调信息系统整个生命周期的防御和恢复。
　　9.11事件，美国成立了由副总统领导的国家本土安全局，其职责包括了保护本土信息基础设施的安全。布什总统13231总统令，将克林顿成立的“总统关键基础设施保护委员会”这一部委之间的协调机构改为行政实体“总统关键基础设施保护办公室”，接受总统办公厅领导。任命反恐专家理查德.克拉克为“总统网络安全顾问”。这些措施，一方面体现了美国积极防御的战略意图；另一方面，让“信息安全”在国家和国家安全中占据重要地位。
　　三、美国实施的安全保密标准
　　为了促进美国信息安全产品的普及,美国国防部国家计算机安全中心主持了一项政府与产业界合作进行的项目--可信产品评价计划。这项计划的主要目标是根据有关标准从技术上来认定市场上商品化的计算机系统的安全性能。为此, 在1985年, 国防部国家计算机安全中心代表国防部制定并出版了可信计算机安全评价标准, 即著名的"桔皮书"(Orange Book)。最初桔皮书标准用于美国政府和军方的计算机系统,但近年来桔皮书的影响已扩展到了商业领域, 成为事实上大家公认的标准。
　　桔皮书为计算机系统的安全定义了七个安全级别, 最高为A级, 最低为D级。A级提供核查保护, 只适用于军用计算机。B级为强制保护，采用TCB(Trcusted Computing Base, 可信计算基准)方法, 即保持敏感性标签的完整性并用它们形成一整套强制访问控制规则。B级系统必须在主要数据结构和对象中带有敏感性标签, B级又可细为B1、B2、B3三个等级(按安全等级排序为B3,B2, B1)。B1表示被标签的安全性。B2表示结构化保护。B3表示安全域。C级为酌情保护。C级又细分为C1、C2两个等级(按安全等级排序为C2, C1)。C1表示酌情安全保护。C2表示访问控制保护。D级为最低级别。
　　为了针对网络、安全的系统和数据库的具体情况来应用桔皮书的标准, 国防部国家安全计算机中心又制定并出版了三个解释性文件, 即可信网络解释, 计算机安全子系统解释和可信数据库解释。至此, 便形成了美国计算机系统安全评价标准系列--彩虹系列(Rainbow Series)。#p#分页标题#e#
　　四、信息安全国际合作和产品出口
　　从战略上考虑，美国积极参与信息安全国际标准的制定工作和向盟国出口信息安全技术。美国政府认为：信息的安全和保密除了在国内有意义，在国际间也有很重要的政治意义和经济利益。因为增加安全保密性将减少由于系统脆弱性的攻击，但是这种防范措施同时会被认为具有攻击他国的可能性；同时，一旦认识到了潜在的信息安全上的威胁，美国政府必须马上做好准备对付其它国家所表现出的相同的兴趣。如同各国经济上的相互依赖，信息安全政策在政治上的障碍和恐惧的逐步升级必须得到全球和国际间的共识，相应地需要不断在信息安全的各种层次上建立标准和公约。另一方面，美国出口相应的信息安全技术给盟国，甚至是敌国。当年，里根政府将主动战略防御（SDI）的技术送给苏联，以减少苏联对受到美国攻击的恐惧，实践证明这种策略是明智的。因此，近年来，美国政府减少了对密码等安全技术向盟国出口的限制，这样不仅能够增加美国敏感信息系统的安全保密性和系统稳定性，同时能够促进美国的软件产业发展，使美国公司在这一领域能保持相对领先的地位。
　　1993年2月, 在一次欧洲联盟主持召开的讨论会上, 美国、加拿大和欧洲联盟一致同意开发"信息技术安全性通用标准"。具体参与此项工作的有美国、加拿大、英国、法国、德国和荷兰。制定安全性标准是为了开发可信的信息技术产品, 这些产品可以用来保护政府和私营企业的重要信息资源。制定欧美通用的信息技术安全标准, 首先可以帮助安全的信息技术产品开拓市场以期达到规模经济, 其次可以有利于达到北美和欧洲各国相互承认的产品安全评测标准。该通用标准以国际标准化组织(ISO)第27分委员第3工作小组初步拟定的标准草案作为起步框架,制定该通用标准时将参考欧洲四国(英、法、德、荷)制定的"信息技术安全性评测标准"(ITSEC)的试用草案;加拿大制定的"可信计算机产品评测标准";美国的"联邦政府信息技术安全性标准"(FC)(草案)及其前身"可信计算机安全评价标准(即桔皮书)。
　　在时机成熟时, 该通用标准递交给国际标准化组织作为国际标准的基础。代表各国参加该项工作的机构是: 美国的国家标准与技术局(NIST)、国家安全局(NSA)在加拿大的通信安全机构(CSE); 英国的通信和电子安全小组(CESC); 德国的德国信息安全局(GISA); 法国的信息系统安全服务中心(SCSSI); 荷兰的国家通信安全局(NLNCSA)。
　　五、美国的涉密网络
　　根据美国联邦审计署的报告，美国政府目前使用的涉密系统有上百个，大部分没有和因特网隔离。军队中使用的涉密系统就更多，主要依赖于MILNET、NIPRNET、SIPRNET、INTELINK等网络实现。
　　在1988年之前，美国军方使用的网络MILNET与因特网都是互联的。但是，1988年发生的Morrison蠕虫事件使这一情况发生了不可逆转的变化。当时，因特网上10%的主机（约6000多台）遭受到蠕虫攻击并导致停机。由于这次事件，MILNET与因特网之间的联系断开了。Intelink开始于1994年，仅在美国FBI(联邦调查局)、CIA（中央情报局）、DEA（毒品管制局）、NSA（国家安全局）等情报部门之间使用，该网络使用国防部专用服务器，不与Internet互联，但据悉该网络使用率不高。
　　美国国防部"互联网协议路由网络"（NIPRNET），NIPRNET是一种属非保密但十分敏感的网络系统。世界各地1500 个美军机构中的350万个用户都依靠它的联系进行日常工作。NIPRNET与外界互联网相连接了12个网关，是最易受到网络攻击的部位。美国国防信息系统局（DISA）维护着五角大楼的一个保密网络，即"保密互联网协议网络"（SIPRNET）。该网络不与外界互联网相连。
　　9.11事件的发生，更使政府认识到对公共网络的依赖性以及在一些商务服务发生中断时对政府部门所造成的潜在影响。新的政府办公网试图让政府选择不通过公共网络也可完成重要数据的通信方式。这一措施不仅保证了可用性，同时会大大增强政府通信的安全性和保密性。美国政府2003年财政预算将有7.22亿美元用于计算机安全建设，以防止计算机网络遭受恐怖袭击。其中引人注目的是计划研究“政府专用网”(GovNet)，建立一个连接联邦机构的保密网络，采用合适的技术与因特网隔离；提出政府专用网（GovNet）系统设想的是布什总统的网络安全问题特别顾问理查德.克拉克。根据《GovNet需求信息通知》，GovNet的关键特征是“它必须没有外来网络的攻击，在完全安全的情况下进行网络通信”。政府希望GovNet能够借助IP协议提供专用的语音和数据传输网络服务，同时保证GovNet不和商用或公共网络连接。#p#分页标题#e#
　　克拉克认为如果政府在互联网安全方面不投入更多的资金，那么，“数字珍珠港”事件总有一天会爆发。恐怖分子完全可能破坏美国的信息基础设施，控制电信、电网、水力供应和空中交通的计算机网络。克拉克的GovNet计划得到美国本土安全防御办公室主任汤姆.里奇和布什总统国家安全事务助理赖斯两人的肯定与支持。里奇公开表示，建立独立的政府内部网络将是“在技术层面加强美国国家安全最核心的战略选择之一”。根据GovNet的需求信息，美国政府目前已经收到了投资商170份建议。根据最近的消息，美国政府会在夏季最终决定是否实行这一计划。
　　GovNet一经提出，就有许多批评和争议。主要焦点在于造价问题、安全问题和实用性等问题。支持者则认为，随着网络规模和复杂度的急剧增加，网络安全的问题日益严重，越来越多的用户发现连接在因特网上的安全保密风险太大，甚至防火墙、虚拟专用网、入侵监测系统IDS等安全措施也不足以保证安全。在这种情况下，美国计划打造与公网隔离的专用网络，说明美国确实感到了威胁。
　　六、结束语
　　从美国信息安全政策以及信息安全技术要求的发展变化中，有两点印象比较深刻：
　　1　在美国，信息安全的地位越来越高，越来越引起政府的重视，投入上也越来越大。从侧面看，一方面，说明美国政府意识到的威胁越来越大，另一方面，说明美国对其他国家信息安全的威胁也越来越大。
　　2　无论信息安全还是信息安全技术，美国政府一直处于主导和领导地位，完全是自上而下开展相关工作。随着信息安全地位的上升，相关的法律和管理措施能够及时出台，保障信息安全按照美国政府的战略意图顺利进行。(作者：未知，来源：国家保密技术研究所)


商业秘密网官方公众号	真了么官方公众号

下一篇：美国337调查程序中的商业秘密保护
上一篇：美国信息安全的10项措施

最新资讯：

温馨提醒：

当您的合法权益遭到侵害时，请冷静以待，可以通过咨询法律专业律师，咨询相关法律问题，走适宜的维权之路，这样才能最大程度保护您自身权益！

如果有法律问题，请拨打免费咨询热线：0574-83099995 我们及时为您解答。

图文资讯

资讯排行榜