1、 密级:页数:信息工程大学毕 业 设 计(论文)题目:美国信息安全战略的发展及对我国的启示学员姓名 学 号 所在单位 指导教师 技术职务 完成日期 摘 要信息是现代社会发展需要的战略资源。国际上围绕信息的获取、使用和控制的斗争也越来越激烈,信息安全已成为维护国家安全和社会稳定的一个焦点。信息安全不仅是一个技术问题,而且是一个管理与控制的问题,它涉及到国家安全、社会公共安全和公民个人安全的方方面面,是一个事关国家根本利益的战略问题。美国作为信息霸权国家,在这方面给予了极大的关注和投入,为了保护其信息设施的安全,不断强化其信息优势,形成了一系列与国家信息安全战略相关的理论。对于中国这样一个“后起之
2、秀”和处于信息低位势的国家,适时抓紧对美国国家信息安全战略的研究对自身综合国力的提高和国家的安全稳定无疑有着相当的迫切性与必要性。关键词:信息安全 信息安全战略 美国 中国I目 录第一章 美国信息安全战略的发展(1)1.1 美国信息安全战略的萌芽 (1)1.2 里根和老布什政府信息安全战略 (1)1.3 克林顿政府信息安全战略 (2)1.4 布什政府信息安全战略 (2)1.5 奥巴马政府信息安全战略 (2)第二章 美国信息安全战略体系(4)2.1 安全技术层 (4)2.1.1 制订计算机安全评价标准,积极参与开发国际通用安全准则(4)2.1.2 重视信息安全技术的发展和更新(5)2.1.3 重
3、视发展信息战能力,开发反侦探技术,实行“积极防御” (5)2.2 安全管理层 (6)2.3 政策法规层 (7)第三章 中美在信息安全战略上的差异(9)3.1 战略地位 (9)3.2 法制建设 (9)II3.3 保障信息安全的组织措施 (9)3.4 提升信息安全保障能力 (9)3.5 保障信息安全的法律措施 (9)第四章 美国对我国信息安全战略发展的启示 (10)4.1 运用多种技术来构建内外网(10)4.2 增加投入,多渠道培养信息安全人才(11)4.3 积极采取有效措施,建立完善的信息安全组织管理体系(11)4.4 完善信息安全方面的制度与法规,建立信息安全体系(12)4.5 加强网络基础设
4、施建设(13)第五章 总结与展望 (14)参考文献 (15)计算机和网络给全世界带来了巨大便利的同时也带来了前所未有的挑战,信息安全越来越为各国所重视,信息安全的内涵也在不断发展。世界上对信息安全的认识经历了从最初强调信息保密的通信保密时代,到强调信息的完整性、可靠性、可用性的信息安全时代,到目前强调不能被动地保护,还要包括保护检测反应恢复四个环节的信息安全保障时代。在很长一段时间内,信息的重要性常常是与军事机密联系在一起的,信息安全甚至就是保守军事秘密的同义词。随着计算机及互联网的发明和应用,这种情况开始发生改变。同时,由于信息的内涵不断丰富,信息安全已不再局限于军事领域,而是出现了普通化和
5、数字化的倾向,信息安全的内涵和范围也从军事领域扩大到各行各业,并成为影响国家安全的重要组成部分。美国是世界上信息技术、网络技术起步最早的国家,也是信息安全法律法规较系统的国家。研究美国的信息安全战略能够对我国制定信息安全政策和法律法规等起到良好的借鉴作用。第一章 美国信息安全战略的发展美国十分重视信息安全,是最早制定和实时信息安全战略的国家,并随着形势的变化不断发展和完善。总的来说美国现行的信息安全战略属于“扩张型”信息安全战略。为实现扩张性战略目标,美国制定了较为系统的信息安全政策法规体系,组建了从国家层面、部委层面到机构层面的信息安全管理机构,在各个层面上力求做到分工合理、各司其职;国防部
6、成立了网络战司令部,积极部署信息战;进行系统的信息安全评估,对信息安全状况、信息安全政策落实情况和信息安全能力评估,并根据评估结果调整和改革信息安全战略。1.1 美国信息安全政策的萌芽美国的信息安全政策萌芽可以追溯到 1946 年,1946 年原子能法与 1947 年国家安全法两部法律的出台,可以看作是美国国家信息安全的萌芽阶段开始的标志。这两部法律的通过,意味着美国政府已经开始认识到国家安全与特定种类信息流动之间存在的关系,这也正说明美国的信息安全意识开始觉醒。除此之外被看作美国信息安全政策发展萌芽阶段的另一部重要法律是 1966 年颁布的信息自由法 。它是美国最重要的信息法律,构成了其他信
7、息安全保护法律的基础。该法允许个人和其他组织机构(包括非美国公民和组织)可无条件获得“九类”规定的政府信息外的其他联邦政府部门所掌握的文件资料。由此界定了美政府信息中可以公开和不能公开的部分,也就为信息安全界定了保障范围。1.2 里根和老布什政府信息安全战略里根和老布什政府任职期间,即 20 世纪 80 年代-90 年代初,美国实行的是以维护信息的安全性和保密性为核心的信息安全战略。80 年代初,美国联邦政府成立了“美国国家保密通信和信息系统安全委员会” (NSTISSC) 。这一时期主要是参照传统的国家安全战略,从制定法律法规和规章制度入手,保护信息及信息系统的安全。1.3 克林顿政府信息安
8、全战略克林顿政府任职期间,即 20 世纪 90 年代中后期至 21 世纪初,美国信息安全战略发展为维护信息的保密性、完整性、可用性、可控性的信息安全战略,并且正式成为国家安全战略的正式组成部分。1998 年美国政府颁发了保护美国关键基础设施的总统令(PDD-63) ,第一次就美国信息安全战略的完整概念、意义、长期与短期目标等作了说明,对由国防部提出的“信息保障”作了新的解释,并对下一步的信息安全工作做了指示。1998 年底美国国家安全局制定了信息保障技术框架 (IATF) ,提出了“深度防御战略” ,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。200
9、0 年总统国家安全战略报告的颁布,是美国国家信息安全政策的重大事件。在该报告中, “信息安全”被列入其中,成为国家安全战略的正式组成部分。这标志着信息安全正式进入国家安全战略的框架,并开始具有其自身的独立地位。此外,在这一时期还成立了多个信息安全保护组织,其中包括全国性的信息保障委员会、全国性的信息保障同盟、首席信息委员会、关键基础设施保障办公室、联邦计算机事件响应能动组等。1.4 布什政府信息安全战略由于“911”事件,使信息安全战略地位不断升级。布什政府在任职期间,美国把信息安全战略置于国家总体安全战略的核心地位,非常关注贯彻实施信息安全战略措施。2001 年美国发布第 13231 号行政
10、令信息时代的关键基础设施保护 ,将“总统关键基础设施保护委员会”改为行政实体“总统关键基础设施保护办公室” ,作为联邦基础设施安全保护的最高管理协调机构。2003 年 2 月发布了网络空间的国家战略 ,进一步保护国家关键基础设施安全。此外布什政府还调整国家信息安全工作机构,设置直接向总统负责的总统国家安全顾问一职,设立国土安全部、国家保密局信息战处、联合参谋信息战局、信息系统安全中心,同时建立相应的其他配套的工作机构,以保护国家信息安全工作的协调、统一与效率。1.5 奥巴马政府信息安全战略奥巴马政府虽然刚刚上任不久,不过依旧高度重视信息安全战略,积极推进网络安全评估,试图改变美国信息安全保障不
11、力的情况,开始着手制定新的国家信息安全战略。奥巴马在竞选期间就一直强调网络安全对美国的重要性,他甚至将来自网络空间的威胁等同于核武器和生物武器对美国的威胁。奥巴马上台不久就亲自主导了一个 60 天的信息安全评估项目,2009 年 5 月 29 日公布了美国网络安全评估报告,报告评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计划。奥巴马也于报告发布当天表示,要将保护网络基础设施作为维护美国国家安全的第一要务,指出来自网络空间的威胁已成为美国面临的最严重的经济和军事威胁之一,他表示要亲自任命一位白宫计算机网络安全总管,负责制定美国网络安全战略。2009 年 6 月份,美
12、国国防部正式成立了由战略司令部领导的网络战司令部。网络战司令部主要进行数字战争,防护针对美军计算机网络的安全威胁。第二章 美国信息安全战略体系美国对信息网络安全问题的关注由来已久。近年来,其重大步骤主要由保证要害部门安全、加强基础设施安全、制定网络安全战略、加强国家安全与国际网络安全合作、强化网络安全研究及政府协调与监管、实施网络安全演习等等。据悉,美国中央情报局曾模拟了一次类似“911”恐怖袭击规模的互联网电子攻击,以检测近年来在实施网络安全战略中所拥有的防御能力。演习使美国政府认识到,如果不采取必要的措施,出现“网络 911 事件”是完全可能的。因此,为了国家安全,美国在网络安全上根本不敢
13、掉以轻心。美国的信息安全构架主要包括以下三个层次:一是安全技术层,二是安全管理层,三是政策法规层。三个层次的构架中,政策法规层保护安全管理层和安全技术层,安全管理层保护安全技术层。美国的经验是值得参考和借鉴的,因为在事实上,任何一个国家的信息安全都可以按照这样一种构架来分析。2.1 安全技术层美国是网络的起源国,它的信息技术也是世界公认的处于领先水平。在信息使用技术发展的同时,美国一直致力于同时开发与完善信息安全技术。安全技术层主要包括物理安全、信息加密、数字签名、存取控制、认证鉴别、信息完整、业务填充、路由控制、压缩过滤、防火墙、公证审计、协议标准、电磁防护、媒体保护、故障处理、安全检测、安
14、全评估、应急处理等。这些词语由于与技术相关,非常专业,相对较难理解。具体来讲,美国主要在以下三方面开发与完善信息安全技术。2.1.1 制订计算机安全评价标准,积极参与开发国际通用安全准则早在 20 世纪 80 年代初,美国就开始着手制订“可信计算机安全评价标准” 。1985 年,美国国防部国家计算机安全中心代表国防部制订并出版的“可信计算机安全评价标准TCSEC”(又名“橘皮书” ,Orange Book) ,是国际公认的第一个计算机信息系统评估标准。最初,该标准只使用于美国政府和军方的计算机系统,但目前商业领域也开始使用,因而已成为事实上公认的标准。各公司已经开始给它们的产品更新换代,打上按
15、橘皮书评定的安全级别的标记。TCSEC 为计算机系统的安全定义了 7 个安全级别,最高为 A 级,最低为 D,每一级内又包含一个或多个级别。安全级别按 D、C1、C2、B1、B2、B3、A1 渐次增强。任何不满足较高级别安全可信性条件的系统都划入 D 类。1987 年,美国计算机安全中心(NCSC)为“橘皮书”提出了可依赖网络解释(TNI) ,通常被称为“红皮书” 。1991 年,美国国家计算机安全中心又为“橘皮书”提出了可依赖数据库管理系统解释(TDI) 。由于 90 年代开始黑客活动日益猖獗,1992 年 12 月,美国政府又公布了联邦评价标准(FC) ,用以代替 80 年代颁布的“橘皮书
16、” 。1993 年,美国国防部国防信息系统局进一步提出在 C4I 系统(Command,Control,Communication,Computer,and Intelligence System)上采用多级安全(MLS)技术与概念。在上述标准的基础上,美国、加拿大和欧盟又联合研制了信息技术安全评测公共标准。2.1.2 重视信息安全技术的发展和更新保证信息的保密性、可用性和完整性的技术在体系上可分为密码技术、安全控制技术(如访问控制技术、口令控制技术)和安全保护技术(防火墙技术、计算机网络病毒防治技术、信息泄露防护技术)等。以密码技术为例,由于密码技术是信息安全的基础和关键技术,美国历来十分重
17、视对密码的管理。1996 年,美国总统颁布了关于密码出口条例的行政命令,允许支持密钥托管或密钥恢复、密钥长度大于 56 位的高强度密码出口。1998 年,美国政府宣布允许更高强度的密码出口到限定国家,但事实上却不允许密钥长度超过 56 位的密码出口,除非密码支持密钥托管与密钥恢复。2000 年 10 月,美国商务部发布了新的密码出口条例,根据这个条例,任何密钥长度的密码产品或软件,经技术审查后无需许可证就可出口到除7 个所谓的支持恐怖主义国家以外的任何国家或非政府用户。再以防火墙技术为例,防火墙技术也是实现信息安全的一种重要手段,主要用于拒绝未经过授权的用户访问,阻止未授权的用户存取敏感数据,
18、同时允许合法用户不受妨碍地访问网络信息资源。美国先后开发了多种防火墙技术,如 FTP 防火墙、Telnet 防火墙、Email 防火墙、病毒防火墙等各种专用防火墙技术,各种防火墙技术可以被一起用来弥补各自的缺陷,增加系统的安全标准。而且,为了解决各个不同厂商生产的防火墙兼容性,美国国家计算机安全保密协会 NCSA(National Computer Security Association)成立的防火墙开发商联盟 FWPD(Firewall Product Developer)制订了防火墙测试标准。此外,在大量开发防火墙、安全路由器、安全服务器、用户认证产品等保护类技术和产品更新换代的同时,也
19、加强了对预警、检测、追踪、响应和恢复等积极防范技术和产品更新换代的研制。2.1.3 重视发展信息战能力,开发反侦探技术,实行“积极防御”密码技术不仅被美国用来保护自己的信息安全,同时还被作为一种反侦探的工具。目前,美国微软公司的 Windows 操作系统是全球市场利用率最高的软件。微软视窗系统的一个安全问题是视窗本身的保密功能不强,解决的办法是采用其他加密软件。视窗系统内设有一个用于加密和解密的应用编程接口函数集 CryptoAPI,加密软件开发商可以通过CryptoAPI 编制加密软件。当软件开发商得到微软的许可使用 CryptoAPI 时,他们实际上是得到了一个验证许可的密钥。但其实视窗系
20、统中还存在第二把密钥,叫做 NSA Key,而NSA 就是美国国家安全局(National Security Agency)的简称。也就是说,在风行全球的 Windows 系列操作系统中留有一个“后门” ,从而使美国著名的情报机构国家安全局可以秘密地访问电脑用户的操作系统。这一密码存在于目前常用的几乎所有 Windows 操作系统中,如 WIN95、WIN98、WIN2000 以及 Windows NT。也就是说,微软在每一份视窗系统中都安装了一个“后门” ,专供 NSA 在需要时侵入全世界用户的电脑。这就是所谓的“NSA 密钥”事件。经过密码技术处理后的信息,只有拥有密钥的相关人员才能得到相
21、关算法,弄明白密文的意义。国防系统信息安全是美国政府保护的重点对象。因此,在遵循有关政策和法令的同时,美国国防部还制订了本部门专门的信息安全政策和措施,例如国防关键基础设施保护方案、国防系统信息保护计划等,对国防信息保护行动进行协调、综合和监督。国防部关键基础设施保护与政府其他部门及私营部门最显著的不同是,国防部在所有关键节点采用并不断完善入侵侦查系统(Intrusion detect systems,IDS) ,以及建立计算机网络保护联合特别小组来管理该项工作。目前,自动入侵侦察环境先进技术师范(automated intrusion detection environment-advanc
22、ed concept technology demonstration)计划开始启动,提供自动侦查和威胁预警及攻击评估。2.2 安全管理层信息安全管理可以分为多个层次,如国家的宏观管理、网络经营者的行业管理以及网络使用单位的具体管理等。信息安全管理具体内容主要包括密钥管理、系统安全管理、安全服务器、安全机制管理、安全时间管理、安全审计管理、安全恢复管理、安全组织管理、安全制度管理、安全意识教育、安全规章制度以及人事管理等。美国对信息安全管理非常重视,这可以从许多信息安全管理机构的设立看出。在美国,信息和信息系统安全是由总统亲自领导的,投入力度相当可观。美国在执行网络空间安全国家战略的过程中,成
23、立了整合有关 22 个联邦机构安全力量的国土安全部。近几年,布什政府颁布了信息时代保护关键基础设施的行政命令 ,组建了新的关键基础设施委员会,其成员包括国务卿、国防部长、司法部长、商务部长、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。根据该命令,委员会主席兼任总统有关网络安全的特别顾问。他有权了解各部/局内属于其管辖范围的所有情况,召集和主持委员会的各种会议,制订保护关键基础设施的政策和方案,并向总统国家安全事务助理和国土安全助理汇报。为了加强信息安全管理,美国成立了许多信息安全机构,主要包括:国家安全局(NSA) 、美国国家保密通信和信息系统安全委员会(NSTISSC) 、总统信息安全政策委员会国家信息安全监察办公室、国会国家计算机系统安全和个人隐私咨询委员会等等。联邦机构与私营部门之间的联盟是否能够发挥效力,依赖于有效的协调和交流。为
