当前位置:文档之家 › 解读美国安全政策文件使用高级加密算法保护国家安全系统和安全信息的政策

解读美国安全政策文件使用高级加密算法保护国家安全系统和安全信息的政策

  • 格式:doc
  • 大小:35.00 KB
  • 文档页数:9

下载文档原格式

  / 9

合集下载

CISP试题及答案-四套题

CISP试题及答案-四套题

1 信息安全发展各阶段中,下面哪一项是信息安全所面临的主要威胁A病毒B非法访问C信息泄漏D---口令2.关于信息保障技术框架 IATF,下列说法错误的是A IATF强调深度防御,关注本地计算环境,区域边境,网络和基础设施,支撑性基础设施等多个领域的安全保障B IATF强调深度防御,针对信息系统采取多重防护,实现组织的业务安全运作。

C IATF强调从技术,管理和人等多个角度来保障信息系统的安全D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全3.美国国家安全局的《信息保障技术框架》IATF,在描述信息系统的安全需求时将信息系统分为A 内网和外网两个部分B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别4.下面那一项表示了信息不被非法篡改的属性A 可生存性B 完整性C 准确性D 参考完整性5. 以下关于信息系统安全保障是主关和客观的结论说法准确的是A 信息系统安全保障不仅涉及安全技术,还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C 是一种通过客观保证向信息系统评估者提供主观信心的活动D6、一下那些不属于现代密码学研究A Enigma密码机的分析频率B --C diffie-herrman密码交换D 查分分析和线性分析7.常见密码系统包含的元素是:A. 明文、密文、信道、加密算法、解密算法B. 明文,摘要,信道,加密算法,解密算法C. 明文、密文、密钥、加密算法、解密算法D. 消息、密文、信道、加密算法、解密算法8.公钥密码的应用不包括:A. 数字签名B. 非安全信道的密钥交换C. 消息认证码D. 身份认证9.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换A. DSSB. Diffie-HellmanC. RSAD. AES10.目前对MD5,SHAI算法的攻击是指:A. 能够构造出两个不同的消息,这两个消息产生了相同的消息摘要B. 对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要C. 对于一个已知的消息摘要,能够恢复其原始消息D. 对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证。

从《国家网络战略》《国防部网络安全战略》看美国网络安全政策走向及对我国的影响

从《国家网络战略》《国防部网络安全战略》看美国网络安全政策走向及对我国的影响

从《国家网络战略》《国防部网络安全战略》看美国网络安全政策走向及对我国的影响《国家网络战略》和《国防部网络安全战略》是美国政府制定的两份重要文件,它们对美国的网络安全政策走向起着决定性的作用,并且对其他国家的网络安全政策也将产生深远的影响,尤其是对我国的网络安全政策。

本文将从这两份文件入手,分析美国网络安全政策的走向及对我国的影响。

一、美国网络安全政策的走向在《国家网络战略》中,美国政府明确提出了一系列网络安全政策目标和战略重点。

这些目标和重点主要包括:1. 保护美国关键基础设施的网络安全。

美国将重点保护能源、金融、运输等关键基础设施的网络安全,确保它们不受网络攻击的影响。

2. 提升网络防御和应对能力。

美国将大力发展网络防御技术,并提升对网络攻击的应对和打击能力,确保国家在网络空间的安全和稳定。

3. 保护个人隐私和数据安全。

美国将加强对个人隐私和个人数据的保护,打击网络犯罪和侵犯个人隐私的行为。

4. 促进国际合作与规范。

美国将积极参与国际网络安全事务,推动建立国际网络安全规范和合作机制,维护全球网络空间的秩序与安全。

而在《国防部网络安全战略》中,美国国防部进一步强调了网络安全对国家安全的重要性,提出了在网络空间中加强国防、威慑网络攻击等重点战略。

可以看出,美国网络安全政策的走向主要是以保护国家关键基础设施的网络安全、提升网络防御和应对能力、保护个人隐私和数据安全以及推动国际合作与规范为主要目标和战略重点的。

这一走向表明,美国将加大对网络安全的投入和力度,并将网络安全放在国家安全的重要位置上。

美国网络安全政策的走向对我国的影响主要体现在以下几个方面:2. 对我国网络安全环境的影响。

美国网络安全政策的走向对我国的网络安全环境将产生直接影响,特别是在国际网络安全合作与规范领域。

美国对国际网络安全事务的积极参与,将推动国际网络安全规范和合作机制的建立,这将直接影响到我国在国际网络安全事务中的地位和发展。

美国网络安全行政令—提高关键基础设施网络安全

美国网络安全行政令—提高关键基础设施网络安全

美国网络安全行政令—提高关键基础设施网络安全美国网络安全行政令—提高关键基础设施网络安全1.引言1.1 背景1.2 目的1.3 适用范围2.关键基础设施网络安全评估2.1 评估目标2.2 评估方法2.2.1 安全漏洞扫描2.2.2 认证和授权测试2.2.3 威胁建模和风险评估2.3 评估结果分析2.3.1 漏洞和风险分级2.3.2 关键漏洞和风险问题2.4 安全改进建议2.4.1 漏洞修复计划2.4.2 安全控制加强2.5 评估报告提交3.关键基础设施网络安全防护措施3.1 网络防火墙和入侵检测系统3.2 访问控制和身份认证3.3 数据加密和传输安全3.4 应急响应和恢复计划3.5 安全培训和意识提高4.关键基础设施网络安全监测和报告4.1 安全监测目标4.2 监测工具和技术4.3 安全事件报告4.3.1 报告流程4.3.2 报告内容要求5.法律要求和合规性5.1 关键基础设施网络安全法规概述5.2 合规性要求5.3 法律责任和处罚6.附件6.1 关键基础设施网络安全评估表6.4 相关法律文档和指南法律名词及注释:1.网络安全行政令:颁布的具有法律效力的文件,用于管理和规范网络安全相关事宜。

2.关键基础设施:指对国家安全、经济社会稳定具有重要影响的领域和设施,如电力系统、通信网络、交通运输等。

3.安全漏洞扫描:通过自动化工具或手动检查,发现系统或应用程序中的潜在安全漏洞。

4.认证和授权测试:对系统进行认证和授权测试,验证系统是否满足合规性和安全要求。

5.威胁建模和风险评估:通过对系统进行威胁建模和风险评估,确定可能的威胁和风险,并制定相应的应对措施。

6.安全改进建议:基于评估结果提出的改进建议,旨在提高关键基础设施网络的安全性。

7.安全事件报告:记录关键基础设施网络发生的安全事件的详细信息,并报告给相关部门或组织。

8.安全培训和意识提高:通过培训和宣传活动提高关键基础设施网络的安全意识和技能。

nsc68号文件译本

nsc68号文件译本

nsc68号文件译本
NSC-68是美国国家安全委员会于1950年起草的一份机密文件,全名为《NSC 68,美国对外政策和国防政策的评估》(NSC 68: United States Objectives and Programs for National Security)。

这份文件对美国在冷战时期的对外政策和国防政策进
行了全面评估和规划。

NSC-68文件的译本是指对该文件进行翻译的版本。

由于NSC-68
是一份机密文件,其原始版本是英文的。

然而,鉴于该文件的重要
性和影响力,它也被翻译成了多种语言,以便更广泛地传播和理解。

NSC-68文件的译本在不同国家和地区可能有不同的翻译版本。

这些译本的翻译质量和准确性对于理解和解释NSC-68文件的内容至
关重要。

因此,译者在翻译过程中需要保持严谨和准确,以确保译
文能够准确传达原文的意思。

译本的质量取决于译者的专业能力和对原文的理解。

译者需要
具备良好的语言能力和翻译技巧,同时还需要对国际关系、冷战历
史和相关领域有一定的了解,以便准确翻译和传达NSC-68文件的内容。

此外,译本的准确性还需要经过校对和审核。

校对人员需要仔
细比对译文与原文的一致性,并确保译文没有漏译、误译或歧义。

审核人员则需要对译文进行全面审查,确保其符合专业标准和要求。

总之,NSC-68文件的译本是对该文件进行翻译的版本,其准确
性和质量对于理解和解释该文件的内容至关重要。

译者需要具备专
业能力和相关知识,并经过校对和审核,以确保译文能够准确传达
原文的意思。

美国网络法隐私保护与网络犯罪

美国网络法隐私保护与网络犯罪

美国网络法隐私保护与网络犯罪网络已经成为我们现代社会中不可或缺的一部分,我们越来越依赖于互联网来满足我们的日常需求,无论是工作、学习还是娱乐。

然而,随着互联网的广泛使用,网络犯罪也在不断增长。

为了保护个人隐私和打击网络犯罪,美国实施了一系列的网络法和隐私保护措施。

一、网络法的基本概述为了有效应对网络犯罪,美国制定了多项法律和法规。

其中最重要的是《计算机欺诈与滥用法》(Computer Fraud and Abuse Act, CFAA)。

该法案于1986年通过,旨在禁止未经授权进入计算机系统和从中窃取信息、修改数据以及故意损坏计算机设备等行为。

此外,美国还制定了其他相关法律,如《网络犯罪法》(Cybercrime Law),以加强网络犯罪的打击。

二、网络隐私保护措施为了确保人们的网络隐私不受侵犯,美国也采取了许多措施来保护个人信息的安全。

1. 数字权利管理(Digital Rights Management, DRM)DRM是一种技术手段,可以保护数字内容的版权,并限制用户对其进行复制或传播。

这种技术在电子书、音乐、电影等数字媒体领域得到广泛应用,以保护内容创作者的权益和用户的隐私。

2. 隐私权保护法美国各州都实施了不同程度的隐私保护法。

例如,加利福尼亚州颁布了《加利福尼亚消费者隐私法》(California Consumer Privacy Act, CCPA),要求企业提供更透明的隐私政策,并给予用户更多的控制权。

3. 数据加密技术数据加密技术可以有效保护个人信息的安全性。

在美国,政府机构和私营企业广泛使用加密技术来加固网络安全,以防止敏感数据泄露。

三、打击网络犯罪的挑战尽管美国采取了一系列措施来打击网络犯罪,但仍面临一些挑战。

1. 互联网跨境性互联网的跨境性使得打击网络犯罪变得更加困难。

网络犯罪分子可以通过跨境网络活动来规避国家法律的追究,这需要国际合作和信息共享来解决。

2. 匿名性网络犯罪分子可以通过使用匿名网络工具来隐藏身份,从而避免被追踪和定罪。

从《国家网络战略》《国防部网络安全战略》看美国网络安全政策走向及对我国的影响

从《国家网络战略》《国防部网络安全战略》看美国网络安全政策走向及对我国的影响

从《国家网络战略》《国防部网络安全战略》看美国网络安全政策走向及对我国的影响美国作为全球最大的信息技术大国,其网络安全政策一直备受关注。

近年来,美国国家网络安全战略和国防部网络安全战略的发布,对于全球网络安全格局产生着深远影响。

本文将从《国家网络战略》和《国防部网络安全战略》两个文件入手,探究美国网络安全政策的走向,并分析其对我国的可能影响。

一、美国国家网络战略的内容及走向2018年,美国国家安全委员会发布了《国家网络战略》,首次明确提出网络战争观念,强调网络空间是国家的战略资源,网络安全是国家安全的重要组成部分。

该战略提出了四个主要目标:强化网络安全防御、提高网络威慑能力、推动网络繁荣和创新以及保障网络在全球范围内的自由和开放。

从《国家网络战略》可以看出,美国正在加大对网络安全的重视,将网络安全提升到了国家安全的战略高度。

这体现了美国对网络安全的重要性,也意味着美国未来将更加强调网络空间的战略作用,不排除在必要时采取网络攻击手段。

二、美国国防部网络安全战略对我国的影响1. 网络攻防技术的走向美国国防部网络安全战略强调了“持续改进网络防御和反击能力”的重要性,预示着美国将在网络攻防技术方面更加强调持续性和灵活性,并且将更加强调网络攻击手段的使用。

这将对我国在网络攻防技术上造成一定的影响,要求我国在网络防御和反击能力上能够与美国保持一定的竞争关系,必须不断加强网络防御技术,提高反击能力,以应对可能的网络威胁。

2. 网络空间安全合作的可能压力美国国防部网络安全战略提出了“与盟国和伙伴国联手提高网络防御能力”的要求,预示着美国将加大网络空间安全合作的力度,并且可能要求盟国和伙伴国提高网络防御能力,以形成联合网络防御力量。

这将对我国在网络空间安全合作上产生一定的压力,要求我国加大国际网络空间安全合作力度,积极参与全球网络空间安全治理,提高国际影响力,保障我国网络空间安全利益。

3. 网络安全立法和监管的可能趋势三、我国应对美国网络安全政策走向的建议1. 加大网络安全投入和技术研发面对美国网络安全政策的走向,我国应当加大网络安全投入,加强网络安全技术研发,提高网络防御和反击能力,保障国家网络空间安全。

美国网络空间安全知识体系

美国网络空间安全知识体系美国网络空间安全知识体系汇总美国网络空间安全知识体系包括但不限于以下几个方面:1.网络安全:网络安全是指保护网络系统免受未经授权的访问、攻击和破坏。

这包括防火墙、入侵检测系统、数据加密和安全协议等技术手段,以及制定安全政策和培训员工等管理措施。

2.云计算安全:云计算安全是指保护云服务提供商和用户的数据和系统免受未经授权的访问、攻击和破坏。

这包括数据加密、身份验证、访问控制和安全协议等技术手段,以及制定安全政策和培训员工等管理措施。

3.物联网安全:物联网安全是指保护物联网设备免受未经授权的访问、攻击和破坏。

这包括数据加密、身份验证、访问控制和安全协议等技术手段,以及制定安全政策和培训员工等管理措施。

4.社交媒体安全:社交媒体安全是指保护社交媒体用户免受未经授权的访问、攻击和破坏。

这包括数据加密、身份验证、访问控制和安全协议等技术手段,以及制定安全政策和培训员工等管理措施。

5.移动安全:移动安全是指保护移动设备免受未经授权的访问、攻击和破坏。

这包括数据加密、身份验证、访问控制和安全协议等技术手段,以及制定安全政策和培训员工等管理措施。

6.物理安全:物理安全是指保护物理设施免受未经授权的访问、攻击和破坏。

这包括门禁系统、监控系统、安全巡逻和安全培训等技术手段,以及制定安全政策和培训员工等管理措施。

7.法律和合规:法律和合规是指确保网络安全政策和措施符合国家、州和地方法律要求,以及满足企业和组织合规要求。

总之,美国网络空间安全知识体系包括多个方面,涉及技术和管理措施,以确保网络安全和稳定。

美国网络空间安全知识体系归纳美国网络空间安全知识体系主要包含以下几个关键方面:1.基础理论:包括网络空间安全的基本概念、网络攻击与防御、网络系统的安全架构、网络犯罪的防范、网络安全的法律责任等。

2.技术原理:包括网络安全技术基础、加密技术、防火墙技术、入侵检测技术、网络扫描技术、网络病毒防护技术等。

美国数据安全管理制度

一、引言随着信息技术的飞速发展,数据已成为国家战略资源和核心竞争力的重要组成部分。

数据安全关系到国家安全、经济发展、社会稳定和人民利益。

美国作为全球数据安全领域的领导者,其数据安全管理制度具有代表性。

本文将从美国数据安全管理的背景、法律法规、技术手段和行业自律等方面进行阐述。

二、美国数据安全管理制度背景1. 美国作为全球数据安全领域的领导者,对数据安全高度重视。

在经历了一系列数据泄露事件后,美国政府意识到数据安全的重要性,开始加大投入,完善数据安全管理制度。

2. 随着大数据、云计算、物联网等新兴技术的广泛应用,数据安全风险日益凸显。

为应对这一挑战,美国政府对数据安全管理制度进行了不断完善。

三、美国数据安全管理制度法律法规1. 《美国法典》第18卷第1039节:涉及国家秘密、商业秘密、个人隐私等数据的安全保护。

2. 《美国法典》第50卷第442节:涉及国防信息、军事信息等数据的安全保护。

3. 《健康保险携带和责任法案》(HIPAA):针对医疗行业的数据安全保护。

4. 《支付卡行业数据安全标准》(PCI DSS):针对支付行业的数据安全保护。

5. 《加州消费者隐私法案》(CCPA):针对加州居民个人信息的保护。

6. 《欧盟通用数据保护条例》(GDPR):虽然不是美国法律,但对美国企业具有重大影响,要求企业在全球范围内遵守。

四、美国数据安全管理制度技术手段1. 加密技术:对敏感数据进行加密,防止数据泄露。

2. 访问控制:限制对数据的访问权限,确保数据安全。

3. 入侵检测与防御系统:实时监测网络,发现并阻止攻击行为。

4. 安全审计:定期对系统进行安全审计,发现潜在风险。

5. 安全培训:提高员工的安全意识,降低人为因素导致的数据泄露风险。

五、美国数据安全管理制度行业自律1. 美国信息安全管理协会(ISACA):制定了一系列数据安全标准和最佳实践,引导企业加强数据安全管理。

2. 美国计算机协会(ACM):关注数据安全领域的研究与发展,推动技术进步。

信息时代下美国关键基础设施加强信息系统保护

信息时代下美国关键基础设施加强信息系统保护作者:孔勇范佳雪来源:《中国信息化》2022年第07期环顾全球,网络安全形势仍十分严峻,各国在网络空间展开激烈博弈。

关键信息基础设施是我国经济社会运行的神经中枢,发挥着基础性、全局性、支撑性作用,因此保护好关键信息基础设施是网络安全的重中之重。

网络安全是开放的而不是封闭的,维护关键信息基础設施网络安全要有全球视野和开放心态,因此有必要关注其他国家的做法。

美国全面加强关键基础设施保护安全工作已有二十五年历史,是值得我们重点关注的对象。

通过开展美国关键基础设施保护系列政策的研究,旨在进一步更好地学习美国关键基础设施保护的理念与经验,思考关键基础设施保护工作路径,少走弯路。

美国于1998年颁布的第63号总统令《关键基础设施保护》,把保护美国关键基础设施安全作为明确的国家目标,并提出关键基础设施保护工作的组织架构。

9·11事件之后,布什政府于2001年10月16日发布了13231号行政令《信息时代的关键基础设施保护》(以下简称“13231号行政令”),成立总统关键基础设施保护委员会(PCIPB:President’s Critical Infrastructure Protection Board),全面负责美国关键基础设施信息系统安全的管理协调工作,与信息安全相关的多个政府部门和联邦机构统一与PCIPB相协调。

针对信息系统保护的不同职能,PCIPB下设10个常设委员会分别与私营部门、各州和地方政府以及学术界开展合作,涉及领域包括信息安全保护协调、事故协调与危机响应、基础设施相互依存、信息共享、行政部门信息系统安全、研究与开发、国际信息基础设施保护、执法协调、国家安全和金融信息系统基础设施安全等。

另外,13231号行政令还建立了国家基础设施咨询委员会(NIAC:National Infrastructure Advisory Committee),与之前成立的总统国家安全通信咨询委员会一并组成总统咨询小组,代表私营产业界向总统提供建议。

美国安全法的规定

美国安全法的规定美国作为世界上最强大的经济体之一,对安全问题的关注一直以来都是重中之重。

为了维护国家的安全和稳定,美国制定了一系列的安全法规来管理和保护国内的各个领域。

本文将重点介绍美国安全法的规定。

一、国家安全法美国国家安全法是一系列维护国家安全的法律规范,涵盖了军事安全、国际间谍活动打击、国内恐怖主义防范、边境控制、网络安全等多个领域。

这些法规的制定和实施,旨在保护国家的安全利益和公民的生命财产安全。

1. 国防授权法案美国国防授权法案是每年都会提交给国会的一项法案,旨在规划和授权国防部门的资金使用,确保军事力量的有效运作。

该法案包含了对国防战略、武器装备研发和军人待遇等方面的规定。

2. 情报改革和恐怖主义预防法为了应对国际恐怖主义活动的威胁,美国制定了情报改革和恐怖主义预防法。

该法案规定了各个情报机构的职责和权限,加强了情报信息的收集和分享,以及对恐怖主义组织进行打击和追踪。

3. 边境安全法为了加强对边境的控制和管理,防止非法移民和贩毒活动等违法行为,美国制定了边境安全法。

该法律规定了边境巡逻、移民审核和海关检查等具体操作程序,以确保国境的安全和秩序。

4. 网络安全法随着科技的发展,网络安全问题日益凸显,为了应对网络攻击和数据泄露的风险,美国设立了网络安全法律框架。

该法规限制了对网络信息的滥用和非法获取,并规定了网络平台对用户信息的保护责任。

二、金融安全法除了国家安全法外,美国还制定了一系列的金融安全法来维护金融系统的安全和稳定。

这些法规旨在防范金融犯罪、保护投资者权益、监管金融机构的运作等。

1. 金融犯罪执法和追踪法该法律旨在打击和防范金融领域的犯罪行为,包括洗钱、欺诈、贪污等违法行为。

它赋予执法机构追踪和调查金融犯罪的权力,保护金融市场的稳定和透明。

2. 证券法证券法是美国金融体系的重要法规之一,旨在为投资者提供合法、公正和公平的交易环境。

该法规规定了证券的发行、披露、交易和监管等各个环节,以确保投资者的权益和市场的稳定。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

解读美国安全政策文件《使用高级加密算法保护国家安全系统和安全信息的政策》——谈对我国电子文件信息安全研究的借鉴意义张健2012-12-23 21:06:03 来源:《浙江档案》(杭州)2008年10期【英文标题】Analyses on American Security Policy File National Policy on the Use of the Advanced Encryption Standard to Protect National Security Systems and National Security Information and Its Referential Significance to Chinese Electronic Records Information Security Research【作者简介】张健,南京政治学院上海分院信息管理系【内容提要】美国政府颁布政策文件中允许使用高级加密算法用于政府机密信息的安全保护,并在其中对算法的应用做了详细的描述和限定。

该政策文件对于我国电子文件的信息安全研究具有借鉴意义。

【关键词】高级加密标准/AES/电子文件/信息安全引言《使用高级加密算法保护国家安全系统和安全信息的政策》(以下简称《政策》)(National Policy on the Use of the Advanced Encryption Standard (AES) to Protect National Security Systems and National Security Information)是美国国家安全系统委员会(Committee on National Security Systems,CNSS)颁布的针对美国政府机构的政策文件。

该政策文件主要用于明确和指导在美国政府范围内使用高级加密算法(Advanced Encryption Standard,AES)保护电子信息安全的范围和级别。

尽管这是美国政府的政策文件,但对我国电子文件的信息安全研究仍然具有一定的借鉴意义。

一、国家安全系统委员会CNSS2001年“9.11”事件后,美国政府重新整合并加强了相关安全机构。

国家安全系统委员会CNSS就是在这样一个背景下,依据美国总统13231号令由原国家安全通信和信息系统安全委员会重组而成。

CNSS作为一个重要的政府咨询委员会,提供对政策议题的讨论、国家政策的制定以及对国家安全系统的相关指导。

其中,国家安全系统是指由美国政府及其承包商或雇员使用的信息系统,安全系统包含机密信息或涉及情报活动;涉及与国家安全相关的密码学活动;涉及对军事力量的命令与控制;涉及单件武器或武器系统的设备组成;涉及对军事或情报任务的直接完成具有重要意义的相关因素等。

CNSS与国防部有着密切联系,其主席John G. Grimes同时也是国防部负责网络与信息集成的主要官员。

CNSS的成员单位包括美国众多重要政府部门,如:国家安全局NSA、中央情报局CIA、联邦调查局FBI、国家安全委员会NSC等等。

从以上情况可以看出,CNSS作为美国政府部门中一个重要的安全政策机构,其制定颁布的政策在美国国家安全领域具有相当的权威和指导意义。

二、高级加密标准AES高级加密标准(Advanced Encryption Standard,AES)是由美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)在全球范围内公开征集并经过多轮筛选淘汰,历时5年最终于2001年颁布的密码算法,并于2002年成为正式的联邦加密算法标准。

AES的最终获胜者是比利时密码学家Joan Daemen和Vincent Rijmen提交的Rijdael的算法。

NIST征集AES的目的是为了取代已经过时的数据加密标准(Data Encryption Standard,DES)算法,DES于1977年得到美国政府的正式许可成为标准加密算法。

NIST在众多候选算法中从加密性能、实现成本、算法复杂度等多方面全面评估,最终选择了非美国密码学家提供的Rijdael算法,这也从另一个侧面显示了Rijdael算法的高度可靠性。

NIST公布的AES与Rijdael并不完全一样,主要差别在密钥的长度的选择。

AES的密钥长度为128位、192位或256位,而Rijdael的密钥长度则更加灵活,从128位到256位之间,32的整倍数均可作为密钥长度。

但在实际使用中,基本上可以忽略这些差别。

由于参加AES 征集的密码学家事先都签署了同意完全公开密码算法细节和完全放弃版权的协议,因此AES最终结果公布后即在世界各国和各领域得到广泛应用。

在经受了全球范围密码学家和黑客的攻击测试后,AES被证明是安全可靠的。

三、对《政策》文件的解读自AES被美国政府批准成为加密算法标准用以保护敏感的而非机密的电子数据(信息)后,就出现了对AES是否能或是否应该用以保护机密信息以及保护到哪一个级别的众多质疑。

作为回应,NSA对AES本身和AES网来保护国家安全系统和信息的可行性进行了检测和验证。

该《政策》文件就是作为政策指导反映了NSA的工作结果。

《政策》认为,在当今复杂的世界和更加复杂的通信环境中,对信息保护的需求显得愈发重要。

信息保护不单依靠加密算法的数学强度,许多其他因素影响着什么样的加密算法能或应该用来满足特定的需求。

这些因素包括:在特定的软件、固件、硬件上加密算法实现的性能;与美国政府核准的密钥和密钥管理活动相适应的可操作需求;需保护的机密信息的唯一性;国内和国际协同工作需求等。

上述情况要求采用灵活的适应性强的策略,要求使用NSA研发或认证的加密算法,并且能够不受版权限制。

美国政府的机密信息的级别由低到高划分为三级:CONFIDENTIAL、SECRET 和TOP-SECRET。

《政策》明确指出:经过NSA的研究和测试,AES加密算法在其所有密钥长度上(128位,192位,256位)都能用来保护级别到SECRET的机密信息。

而保护TOP-SECRET级别的机密信息则需要密钥长度为192位或者256位。

用来保护国家安全系统和信息的具体产品中的AES必须首先经过NSA的检测和验证才能使用。

《政策》同时说明,其他非国家安全系统和信息环境中使用AES,由NIST的检测和验证。

《政策》强调其规定适用于所有美国政府部门。

从《政策》中的上述内容可以看出,美国政府充分认识到当前通信环境的复杂,为保护通信安全必须使用加密技术。

在对使用AES的产品如用来保护国家机密信息,必须经过NSA的核准,而保护其他信息则由NIST负责。

经过NSA检测认证的AES加密产品可以用来保护美国政府的机密信息,尤其是密钥长度达到256位时,甚至可以用来保护最高级的机密信息。

并没有因为AES算法来自非美国的密码专家就对其另眼相看,这表明NSA对自己分析研究他人密码算法的能力具有充分的信心。

四、对我国电子文件信息安全研究的借鉴意义随着我国信息化建设的加速进行,以办公自动化系统为基础的电子政务建设是各级政府在新世纪建设全面小康社会、建设和谐社会的重要任务。

从档案工作的角度看,文档一体化信息网络系统中流转的电子文件是上述工作的实际承载者。

电子文件从产生到应用到最后归档,无论是通过网络传输还是保存在各类存储介质中,都需要保证其真实完整可靠。

《政策》对我国电子文件信息安全研究有以下几点值得借鉴:(一)政府电子文件应当加密以保证安全在电子政务的大环境中,政府电子文件包含有大量国家涉密或非涉密信息。

当电子文件在网络上传输时,特别是通过开放的因特网传输,很容易被他人非法截取,进而可能导致国家(涉密)信息的泄漏、被删除、被篡改,对国家的政治、经济、军事、安全等相关利益造成损失。

例如电子邮件(Email)传送的信息没有进行任何加密处理,这使得通信内容完全没有安全保障。

因此必须采用有效的加密措施保障政府电子文件在整个生命周期的机密性、完整性、可用性、可验证和抗否认,这对于电子文件最后归档保存和提供利用具有重要意义。

(二)尽快研究制定电子文件加密国家标准电子文件是上世纪90年代以来随着网络的普及应用而产生的新生事物,无论国外还是国内对其研究和应用都还处于起步阶段。

我国相应的国家、行业标准还很不完善,目前与电子文件(数字档案)直接相关的只有国家标准《GB/T 18894-2002电子文件归档与管理规范》、《GB/T20163-2006中国档案机读目录格式》,行业标准《DA/T 15-1995磁性载体档案管理与保护规范》、《DA/T32-2005公务电子邮件归档与管理规则》等。

这些标准和规范反映了我国电子文件理论与实践近20年来的研究成果,但也应当看到其中没有直接针对电子文件信息安全保密的加密标准。

随着办公自动化系统、文档一体化系统在全国各级政府部门的推广使用,电子文件(电子公文)的安全保密问题日益突出。

目前亟需制定电子文件加密国家强制或推荐标准,并严格规定相关机构对办公自动化、文档一体化等系统进行审查和批准的权限和责任。

(三)电子文件加密应当采用可靠算法即使对政府电子文件采用了加密措施,如果选择的算法加密强度低或者密钥过短,则仍然没有安全保障。

国外情报部门(例如美国国家安全局NSA)在对自身信息进行高强度加密的同时,也在不断研究各种加密算法的破解技术。

在充裕的资金保障下,他们能够购买超高速计算机进行计算,雇佣优秀的密码专家进行分析破解。

因此在选择加密算法时,应当选取经过广泛检验被证明安全可靠的加密算法,并经国家相关安全部门核准再使用。

由于更长的密钥使加密信息更安全,但进行加密运算时间更长,因此在实际进行加密时,应依据电子文件内容涉密程度的不同使用不同长度的密钥。

(四)电子文件加密软硬件产品需经检验后使用在当前全球一体化的环境中,各方的利益取向呈现出多元化。

因此政府部门在文档一体化信息网络系统的建设过程中,购买使用加密软件程序或者硬件加密设备时,应当避免选择国(境)外厂商、国内外资厂商、国内合资厂商的产品。

即使对国内厂商的产品,也必须由国家相关主管部门对所选择的软件程序和硬件设备进行安全检验测试,以确保产品的安全可靠。

同时,在产品的顶层设计中,应当将整个系统的可迁移性,即在不同厂商同类产品中转换使用的可能性,作为重要考量。

以此避免被完全限定在某个厂商的产品中,避免安全保密和其他风险。

(五)电子文件加密措施需要政府多部门间协同完成电子文件的标准尤其是加密标准,具有极强的专业技术特性,因此其研究制定和落实执行将不仅仅是政府某一个部门能够完成的。

相关加密技术标准的制定必然需要国家标准化管理委员会、国家档案局、公安部、安全部、各专业研究机构等多部门共同完成。