当前位置:文档之家 › 美国信息安全策略论文

美国信息安全策略论文

  • 格式:doc
  • 大小:25.50 KB
  • 文档页数:6

下载文档原格式

  / 6

合集下载

关于美国信息系统等级保护和信息产品策略的研究

关于美国信息系统等级保护和信息产品策略的研究

系统安 全信 息 等 ) 其次 。 。 根据 三 类安 全 目标 , 确定 不 4单位 业务对 信 息系统 的依 赖程 度 ( IS A ) . DT C P ; 根据 对上 述 因素 的不 同合 成方 式 . 分别 可 以确定 : 同信息 类 型 的潜 在影 响级 别 ( 、 、 ) 最 后 , 合 低 中 高 。 整 按 取高 ” 原则 , 1系统 强健度 等级 ( T ) 由信息 影 响与威 胁 等级 系统 内所有 信 息类 型 的潜在 影 响级 , 照” . I F: A 即选 择较 高影 响级别作 为 系统 的影响 级 ( 、 高 ) 低 中、 。 决定 :
级 存在 多样 性 . 但基 本 的思路 是 一致 的 。 不过 分级 的 信 息 系 统 的 ” 全 类 别 ” FP 9 只 安 是 IS 1 9中提 出 的 一种 系 方 法不 同而 已 。已在不 同分 级 方法 中出现 的作 为划 分 统级 别概 念 该定 义是 建 立在某 些 事件 的发 生会 对机 信 息 系统 安全 等级 的 因素主要 包括 : 构产 生潜在 影 响 的基础 之上 。具 体 以信息 和 信息 系统 1资产 ( 括有形 资产 和无 形 资产 ) 使用 资 产等 级 的 三类 安 全 目标 ( 密 性 、 整性 和 可用 性 ) 表 现 , . 包 ( 保 完 来 作 为判 断 系统 等级 重 要 因素 的文 件 如 FP 19 I T 即 , 失 了保密 性 、 I S 9 . F. A 丧 完整 性或 可用 性 , 机构 运 行 、 对 机构
21 0 1年第 2期

建 电

关 于 美 国信 息 系统 等 级 保 护 和 信 息产 品 策 略 的研 究
辜 碧 容
( 海 电机 学院 电子 信 息学 院 上 海 2 0 分析 美 国信 息 系统分 级 的 思路 , : 从信 息 系统 的分级 、 全措施 的选择 以及 安全 产 品 的策略 安 三 个方 面对 联邦和 国防部进 行 了比较 .得 出 了系统 处理信 息 的重要 性 可 以作 为划 分等级 的重要 依 据 以及

美英人工智能国家战略中的信息安全

美英人工智能国家战略中的信息安全

美英人工智能国家战略中的信息安全 中国信息通信研究院 王亦澎如果说今天的人工智能是互联网,乃至整个信息技术领域的皇冠,那么安全无疑是皇冠的基座。

就像任何新技术一样,人工智能的安全与否很大程度上影响着其未来的发展和应用。

符合什么标准的人工智能才算是安全的?或者人工智能的安全主要包括哪些方面?本文拟通过对美英人工智能国家战略的简要分析,介绍当下人工智能安全问题的几个主要维度。

一、美英人工智能发展战略简介1. 美国2016年10月,美国相继发布了两份与人工智能发展相关的战略文件,《国家人工智能研究和发展战略计划》和《为了人工智能的未来做好准备》。

12月,白宫又发布了一份名为《人工智能,自动化和经济》的报告。

《国家人工智能研究和发展战略计划》由美国国家科学技术委员会下属的网络和信息技术研究与开发小组委员会发布,主要针对人工智能产业本身的发展。

该战略为美国联邦政府资助的内部和外部人工智能研究制定了一系列目标,确定了政府资助人工智能领域研究的七项重大计划,包括:1. 对人工智能研究进行长期投资;2. 开发有效的人类与人工智能协作方法;3. 了解并解决人工智能的伦理、法律和社会影响;4. 确保人工智能系统的安全可靠;5. 开发用于人工智能培训及测试的公共数据集和环境;6. 制定标准和基准以测量和评估人工智能技术;7. 更好地了解国家人工智能人力需求。

该战略最后提出了两方面建议:1. 开发一个人工智能研发实施框架,以抓住科技机遇,并支持人工智能研发投资的有效协调,与战略的第一至六项计划相对应。

2. 研究创建和维持一个健全的人工智能研发队伍的国家愿景,与战略第七项计划对应。

《为了人工智能的未来做好准备》和《人工智能,自动化和经济》与前一份战略不同,这两份报告主要针对的是人工智能对国家社会、经济可能产生的影响。

《时刻准备着:为了人工智能的未来》介绍了人工智能的发展历史和在公共领域的应用现状,分析了政府在推动人工智能发展中应当扮演的角色,强调应充分重视人工智能在未来可能带来重大的影响和挑战,要求保持国内和国际两个维度、多主体间的密切合作。

各国的信息安全策略

各国的信息安全策略



为 国家 战 略 资 产 。保 护这 一 基 础 设 施将 成 为 国 家 安 全 的优 先 事
项。”
安 全 。对 白宫 官 员 进 行 全 面 台, 以支 持 国 家 和 国 土 安 全 。 立 “ 家安 全 参 谋 部 ” , 由 国 国 全 协 调 官领 导 ,统 一 支 持 国 安 全 委 员 会 和 国 家 安 全 委 员 在 国 家安 全 参 谋 部 中 新 增 人 F 职 务 , 用 以 处 理 2 世 纪 所 口 1 临的 新 挑 战 ,包 括 网 络 安 全 、 觇模 杀 伤 性 武 器 、 恐 怖 主 义 , 界 安 全 ,信 息 共 享和 弹 性 政 这 些 人 员 和 职 务 具 有 对 事 件 亍 防和 响应 的职 能 。 预 经 过 几 个月 的 工 作 ,2 0 年 09 2 日,奥 巴马 在 白宫 东 斤公 布 9 鲁为 《网络 空 间政 策 评 估 —— 章可 信 和 强 健 的 信 息 和 通 信 基 殳施 》的 报 告 ,并 发 表 重 要 讲

德 国设 立 专 门机构 保 障信 息安 全
德 国早在 1 9 9 1年就 成 立 了国 家信息 安 全局 ,主 要 负责 保障 信 息传 递 过 程 中 的 保 密和 安 全 , 以及 根据 需 要 进 行 网络 加 密 , 该机 构 隶 属 于 德 国 内政 部 , 目前 有 3 0 工作 人 员 ,全部 都 是 9名 专 业技 术人 员 ,涉 及 统计 学 、数 学 、 法学 、物 理 学 、信 息学 、 电子 信 息 技 术 等 专 业 。 德 国在 保 障 信 息 安 全 中 ,主 要 考 虑 : ( 1) 全 性 。 谁 进 入 网络 、谁 浏 览 个 人 资 料 、谁 在 进 行 电子 安 签 字 、 谁 输 入 有 害 程 序 等 ; ( 合 法 性 。 实 施 信 息 安 全 技 术 2) 合 法 : ( 准确 性 。 保 证信 息传 递 内容 收发 一 致 ; ( 使 用 3) 4) 性 。保 证信 息 长期 可供 阅读 ,随时 可供 查 询 : ( 统 一 性。 各 5) 数 据 标准 统 一 ,确 保 电子政 务 网络互 联 互通 。

美国信息安全政策

美国信息安全政策

美国信息安全政策概述美国社会和经济的快速发展依赖于一个错综复杂的信息网络。

克林顿政府在其63号总统令中指出:”我们的经济越来越依靠那些互依赖的、由计算机和网络支持的基础设施,对我们的基础设施和信息系统的非常规攻击有可能使我们的军事和经济力量遭到巨大伤害”。

为维护国家安全和经济增长,美国政府陆续颁布了一系列的法律、法规和指南来提高对其关键信息系统的安全保障能力。

“911”事件后,美国政府对信息安全更加重视,陆续出台了一些新的举措。

一、重点保护国家关键基础设施鉴于社会和经济的快速发展对信息网络的严重依赖性,美国政府对国家信息系统和关键信息基础设施的安全一直以来都予以了特别的关注。

1998年5月克林顿总统签署第63号总统令-《克林顿政府对关键基础设施保护的政策》(PDD63),提出“最迟不晚于2000年,美国应当实现初步的信息保障能力。

”PDD63令要求从总统令发布之日起,五年后美国将已经获得并保持对国家的关键基础设施进行保护的能力,以防止可能会严重危害到下述职能的有预谋的行为:联邦政府履行其重要的国家安全责任并确保公众健康和安全;州和地方政府维持有序运转,提供最起码的重要公共服务;私营部门确保经济有序运行以及重要电信、能源、金融和运输服务的正常提供。

这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上。

2001 年10 月,布什总统签署第13231号行政令-《信息时代的关键基础设施保护》,授权成立一项旨在通过不断努力来保护关键基础设施中的信息系统的保护项目,包括对应急战备通信设施及其相关的物理设施进行保护。

2003年2月发布的《保护网络空间的国家战略》(以下简称战略)则进一步指出:“美国的政策是通过保护关键基础设施,防止信息系统的运行遭到破坏,从而保护美国的人民、美国的经济及国家的安全”。

其中,国家的基础设施包括农业、食品、供水、公共健康、应急服务、政府、国防工业基地、信息与通信、能源、运输、银行与金融、化学品和危险物品、邮政和船运部门的公共和私营部门。

美国近年信息安全发展综述

美国近年信息安全发展综述

面对 美国政府 、 民间力量和军方在应对 网络突发事件时 各 自为政的局面 ,0 9 5 2 0 年 月底, 在经过为期 6 0天的网络安全评估后 ,奥 巴马宣布将成立一个新的用于保护 网络安全的 白宫
办公室 ,其领导人被称为 “ 网络沙皇” 。奥 巴马宣布 ,要把保护美 国最重要的计算机 网络安 全作为美国国家和经济安全的最优先项 目。“ 我们将确保这些 网络是安全 的、值得信赖的并 且轻 易恢复 的” “ , 我们将防备、阻止、跟 踪那些网络攻击 ,并且迅速从任何攻击 中恢复过
络安 全 力量 。特 别是在 主要 的网络突 发事 件或 网络攻 击 国际伙伴 , 立法执法部 门各个方面的反馈意 见。 报告指 出:
中,调整 美 国政府 的反应 。之所以称 其 “ 网络沙 皇” ,是 国 家 正 处 于 一 个 十字 路 口;现 状 已 不 可 接 受 ; 必 须 马 上
的 网络 基 础 设 施 的 安 全 ” ,这 些 网 络 基 础 设 施 并 不 限 于 联 在提高 网络安全方面起领导作 用。
邦政府 。他还将 同各州 当地 政府 的官 员以及 对抗 网络攻
击 的 国 际 性 组 织 联 合 工 作 ,而 且 也 将 同 私 人 部 门 联 合 ,
2 1 年 6月 2 00 5日,白宫公布了网络空间可信身份战
调 美 国 络 安 全 政 策 和 行 动 。 关 系 。网络安全 政策 不包括 其他与 国家安 全和 基础设施 网络 安 全 协 调 官 指 导 下 的 网 络 安 全 办 公 室 将 为 总 统 安 全 不 相 关 的 信 息 通 讯 政 策 。 政 府 网 络 安 全 专 家 评 论 小 提 供 网络 安 全 方 面 的 决 策 和 方 针 ,并 协 调 美 国 全 国 的 网 组 参 与并 接 收 了 工 业 , 术 , 民 自由保 密 团体 , 学 公 州政 府 ,

美国信息安全发展策略导向评述

美国信息安全发展策略导向评述
Ab t a t sr c :S m p t e rc nl mp r n h n e n omain s c r yd v lp n tae y o A.S me fc s d r s a c u u h e e t i o t t a g si i f r t e u i e eo me t r tg f y a c n o t s US o u e e e r h o
i usadpo csi i o ai e u t o S r ersne ,Fnl , nlz h h n e i U A hw t e et u s e n r et n n r t nscry fU A aerpeetd i l a a etecags n S o f c o r s j fm o i ay y o f
向, 并且 分析 了这 些 变化 对我 国信 息安 全发展 造 成 的影响 。
关键词 :信息安全 ; 发展策略 ;美国国家 自然科学基金会 ; 美国防高级研究计划局
中 图法分 类号 :T 39 P0 文 献标 识码 :A 文章 编 号 :1 139 (06 0— 17 0 0 —6 5 20 )9 00 —4 0
的重点转移到 了实用技术 、 信息战对抗技术 上。同时加强了与 其他学科领域的研究合作 、 府与企业 问的研究合作 。主要变 政
化可以包括以下几个方面 。
1 1 1 加 强 政 府 角 色 ..
成战略 、 作战及战术 目 , 标 或强 化其他 用 于达成 这些 目标 的方
法 ” 。
( )0 2年 9月底 , 5 20 白宫本土安 全办公室 披露 了国家信 息 安全战略指 导文件 《 国家保 障 数字 空 间安全 策 略》 用 于美 国 , 关键信息基础设施 的安全指南 。 另外 , 国加强 了对 信息技术 的控制 。对 安全项 目的级别 美 进行更细粒度 的划分 , 多原有 的信息技 术开放研究课 题上升 许

美国网络安全零信任战略

美国网络安全零信任战略

美国网络安全零信任战略美国网络安全零信任战略是指在网络安全领域,不再相信任何用户、设备或网络的安全性,而是要将所有用户和设备都视为潜在的威胁,并使用多层次、分散式的安全策略来保护网络和数据的安全。

网络安全零信任战略的提出是由于传统网络安全模型的不足而引起的。

传统网络安全模型通常基于防御周边的理念,认为信任内部网络,并且只在周边设置防御措施,但随着网络攻击技术的发展,传统模型越来越容易受到攻击,并且无法防范内部威胁。

网络安全零信任战略的关键思想是将所有用户和设备都视为潜在的威胁,即使是内部用户和设备也不能被信任。

在零信任模型中,用户需要经过身份验证和授权,才能获得访问网络和数据的权限,而不再仅仅依赖于网络内的信任。

此外,零信任模型还强调使用多层次、分散式的安全策略来保护网络和数据的安全。

在实施网络安全零信任战略时,可以采取以下措施:1. 多因素身份验证:使用多种因素来验证用户身份,例如密码、指纹、面部识别等,以降低身份被冒用的风险。

2. 细分网络权限:将网络划分为多个安全区域,并根据用户的权限和需要来分配网络访问权限,以减少潜在攻击者横向移动的能力。

3. 安全访问控制:建立严格的访问控制策略,只允许经过身份验证和授权的用户和设备访问网络和数据。

4. 实时监测和响应:使用实时监测工具和安全信息和事件管理系统(SIEM)来监控网络和设备的活动,并能够及时发现并应对潜在的威胁。

5. 数据加密:使用强大的加密算法对敏感数据进行加密,以防止数据在传输和存储过程中被窃取。

网络安全零信任战略的优势在于它可以更好地保护网络和数据的安全性。

通过将所有用户和设备都视为潜在的威胁,并采取多层次、分散式的安全策略,可以降低网络遭受攻击的风险,并及时检测和应对潜在的威胁。

此外,零信任模型还可以提高网络的可伸缩性和灵活性,使企业能够更好地适应不断变化的网络安全威胁。

美国信息安全政策的内容、特点及借鉴

美国信息安全政策的内容、特点及借鉴

联邦政府信息资源管理和信息安全 的政策大纲 , 它不仅详细
论述 了联邦政府信息 、 信息系统和信息技术的管理政策和方
美 国 19 9 3年制定并颁布 了《 计划用 2 , I 。 O年投资 4 0 0 0亿美元建立 由 0050 通信 网络 、 计算机 、 数据库 以及 电子产品组成的网络 , 为用户
《 全球信息基础设施行动计划 》 旨在通过卫星通信和 电信光 ,
缆 连 通 全 球 网 络 , 成 信息 共 享 的竞 争机 制 。 97年 , 形 19 总统 关
19 9 8年 1 月国防部制定 了 《 国防信 息保障纲要》 19 ,9 8年 5 月
国家安全局制定 了《 息保障技术框架 》 I T )提 出了“ 信 (A F , 深
机空间一 保护信息的国家计划 v1 》 0 2 . 。2 0 年通过的《 0 联邦信
息安全管理法案 》 “ 将 信息安 全” 义为 “ 定 保护信息 和信息 系 统以避免未授权 的访 问 、 使用 、 泄漏 、 破坏 、 修改或者销毁 , 以
本文 系陕西省图书馆学会研究课题 ( 编号 :1 0 3 “ 113 ) 政府信息资源管理与公益性服务研究” 成果之一 。
20 0 0年美 国《 政府信息安全改革法案 》 增补 了信息安全

签署 了《 于保护美 国关 键基础设施 的第 6 关 3号总统令 》 该 , 总统 令第一次就美 国信息安全 的概念 、 意义 、 长期 与短期 目 标等作 了明确的说 明。
章, 法案增加 的信息安全方 面的核心 内容是 : 邦政府机 联
图书馆学刊
2 1 年第 9 02 期
TU S U G UA N X U EK A N o . 2 H N 9. 01 2

美国informationass...

美国informationass...
自从出现通信安全,正确识别或验证电子交易方,一直是一项重要的安全功能,随 着大型计算机网络的出现,数据和交易的真实性成为一项更加重要、更富有挑战性的 要求。
·47。
第 ……十一-七- 届全国信息保密 II学—术— 会— 议(IS2一007)论--文 一一集…
最后,在许多类型的网络交易中,非常重要的是参与交易的有关方不能事后否认他 们的参与,即数据或交易的抗抵赖(non-repudiation')E1I。
在PITAC提交的报告中,指出10个领域:鉴别技术;安全基础协议;安全软件工 程与软件保障;整体系统安全;监控与探测;缓解与恢复方法;网络鉴识;新技术的模 型化与测试平台;度量、基准与最佳实践;能损害网络安全的非技术问题。
2005年IRC表包括下面的8个问题:大规模身份管理;内部威胁;时敏(time- critical)系统的可用性;构建可扩展的安全系统;情景理解与攻击源的身份确定;信息 出处;安全保密;企业级安全度量。
1 Dod CIO Annual Information Assurance Report,May 1999;Asses sment of the Information Assurance Program of the Department of Defense,May 1998;and Report to the Congres on the Information Security
·49·
一 第一十”~七翟届 —嘲全—啊国鞠■信霸息 离—保■—密——学鞭术 ——会——议—嘲(I—S■2豳0黼0瀚7霸)霸论暖文嘲广集…“…~6一
(2)产生背景
根据H.R.3394[9]中的陈述,大致有三个方面: ◆计算技术及通信技术的革命性进展将政府、商业、科技和教育基础设施(电力、

美国工业信息安全体系及其借鉴意义

美国工业信息安全体系及其借鉴意义

1美国工业信息安全体系及其借鉴意义陆明远 黄雪宜(天津大学国家保密学院 天津 300072)

摘 要:随着信息技术不断创新,信息产业持续发展,以信息化促进工业化已经成为许多国家的发展战略。为满足国家建设需求,政企合作方式被广泛采用,企业掌握着大量关乎国家利益的信息,信息安全问题随之而来。为有效保护涉密信息,维护国家的经济和技术利益,美国制定了国家工业安全计划及其配套的国家工业安全计划操作手册,其明确的组织架构、清晰的权责划分以及全面的保护措施,对我国的工业信息安全体系建设具有一定的借鉴意义。

关键词:工业部门;信息安全;保密制度;责任制度

American Industrial Information Security System and Its Referential Significance

Lu Ming-yuan Huang Xue-yi(School of National Information Security, Tianjin University Tianjin 300072)

Abstract: With the continuous innovation of information technology and the sustainable development of information industry, it has become the development strategy of many countries to promote industrialization with informatization. In order to meet the needs of national construction, government-enterprise cooperation is widely adopted. Enterprises hold a large number of information about national interests, and the problem of information security comes with them. For the effective protection of confidential information, the maintenance of national economic and technical benefits, the United States has formulated the National Industrial Security Program and its supporting National Industrial Security Program Operating Manual, the clear organizational structure, specific division of powers and responsibilities and comprehensive protection measures will be of great referential significance to the construction of industrial information security system in china.Key words: industry department; information security; secrecy system; responsibility system

美国总统选举与国 家信息安全政策

美国总统选举与国 家信息安全政策

美国总统选举与国家信息安全政策在当今数字化时代,信息安全已成为国家安全的重要组成部分。

而美国总统选举这一重大政治事件,也与国家信息安全政策紧密相连。

美国总统选举是一个复杂且备受全球关注的过程,涉及到大量的选民信息、竞选策略和政治交流。

在这个过程中,信息的流动和处理至关重要,而信息安全的保障则成为了关键的一环。

首先,选举过程中的选民登记系统需要高度的信息安全防护。

选民的个人信息,如姓名、地址、身份证号码等,必须得到妥善的保护,以防止被非法获取和滥用。

一旦这些信息泄露,可能会导致选民身份被冒用、选举结果被篡改等严重后果。

竞选团队在制定和传播竞选策略时,也依赖于各种信息系统和网络平台。

这些平台可能会成为黑客攻击的目标,导致竞选机密的泄露或者虚假信息的传播。

例如,黑客可能会获取竞选团队的内部通信,了解其战略部署,然后将这些信息透露给竞争对手,从而影响选举的公正性。

社交媒体在总统选举中扮演着举足轻重的角色。

候选人通过社交媒体与选民进行互动,传播自己的政治主张。

然而,社交媒体平台也存在着信息安全隐患。

虚假账号、网络谣言、恶意软件等都可能在选举期间泛滥,干扰选民的判断,破坏选举的正常秩序。

为了应对这些信息安全挑战,美国政府制定了一系列的政策和措施。

在法律层面,出台了相关的法律法规,对涉及选举的信息处理和保护进行规范。

同时,加大了对信息安全领域的投入,提升技术防护能力,包括加强网络监控、加密技术的应用等。

然而,尽管有这些努力,美国在总统选举中的信息安全问题仍然层出不穷。

一方面,技术的快速发展使得黑客的攻击手段日益复杂,难以完全防范。

另一方面,政治分歧和利益冲突也导致信息安全政策的执行存在困难。

在不同政党之间,对于信息安全政策的重视程度和执行力度可能存在差异。

一些政党可能会将信息安全问题作为攻击对手的手段,而不是真正致力于解决问题。

这种政治化的操作不仅削弱了信息安全政策的有效性,也进一步加剧了社会的分裂。

此外,国际因素也对美国的总统选举信息安全构成威胁。

美国信息安全最新发展综述

美国信息安全最新发展综述
对传统 的行政权 力划 分提 出挑 战。美 国现 有 的网络 安全部 门结构非常复杂 , 国防部 、 国家安全 局 、 国土安全部 之间存在
安全评估后 , 巴马宣布将成立一个新 的用 于保护 网络安全 奥 的 白宫办公室 , 指导人 被称 为“ 其 网络沙皇 ” 。奥 巴马宣 布 ,
要把保护美 国最重要 的计算 机 网络 的安全作 为美 国 国家和 经济安全的最优先项 目。“ 们将 确保 这些 网络是安 全 的、 我
网络武器” 。可以设想 , 网络 战司令 部非 常可 能利用 在美 国 国 内众多 的僵尸 网络及其 命令 和通 过控 制服 务器来 隐蔽 其 秘密 的军用进攻性 僵 尸 网络。美 国建立 网络 司令部 可 能在

值得 信赖的并 且轻 易恢 复 的, 奥 巴马说 , 我 们将 防 备 、 ” “ 阻 止、 跟踪和 防备那些 网络 攻击 , 且迅 速从任 何攻击 中恢 复 并 过来 。 20 ”0 9年 1 2 2月 2日, 巴马正式任命 网络安全 专家霍 奥 华德 ・ 密特为美 国网络安全协调官 , 施 统筹协 调美 国网络安
全政 策和行动。

奥 巴 马 政 府 的信 息 安 全 战 略 部 署 ”
网络安全 协调官 指导 下的 网络安全办 公室将 为总统 提
奥 巴马政府 高度重视 网络安 全在美 国 国家 安全 战略 中 的作 用 , 将信息安全 战略列 为执政 的首要 任务之一 。其 内容
包括 : 任命 白宫 网络安全 协调 官协 调美 国的 网络安 全事 务 ;
网络空间操作和安 全 的战略 、 针和标 准 , 方 网络安全 政策 不 包 括其他与 国家安全 和基 础设 施安 全不 相关 的信 息通信 政 策 。政 府网络 安全 专 家评 论 小组 参 考并 接 收 了工 业 、 术 学
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

美国信息安全策略浅析
【摘要】国内外一直很重视计算机和信息系统的安全防护工作,相继颁发各项安全保密规定,在其中就有关于安全策略的明确表述,本文从信息安全策略的内涵、美国信息安全策略的现状、特点出发,分析对我国信息安全策略方面的一些启示。

【关键词】信息安全;安全产品;安全策略
随着信息技术的不断发展,国内外信息安全形势愈加严峻,2011年12月,继csdn、天涯社区用户数据泄露之后,支付宝1500万~2500万用户账号(没有密码)信息泄露,被用于网络营销;2012年2月,美国一系列政府网站均遭到了 anonymous 组织的攻击,而其中cia官网被黑长达9小时,这一组织之前曾拦截了伦敦警察与fbi之间的一次机密电话会谈,并随后上传于网络,使得互联网应用人心惶惶,如何加强信息安全,作为其核心的信息安全策略已得到了高度重视。

1 信息安全策略的内涵
随着信息安全理论与技术的不断发展,人们已经从对安全产品的关注转移到对安全策略的关注,因为同样的安全产品,如果采用不同的安全策略,其结果可能大不相同,合理的安全策略可以起到安全倍增器的作用,反之,错误的安全策略可能会严重削弱系统的安全性。

策略作为一个汉语词汇,“策”本意是指竹制的马鞭;“略”是指封疆土地。

辞海中对策略的解释为:为实现战略任务而采取的手
段,是指一系列政策、措施,是局部性的,在战略原则许可的范围内具有较大灵活性。

在信息安全领域中,“策略”一词来自于“policy”的翻译。

policy 源自希腊语polis,是指“一条行动路线、指导原则或程序,被认为是权宜的、谨慎的或是有利的。

”按这个原意,安全策略应该是指在安全保障方面的行动路线、指导原则或程序。

也就是说,安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。

或者说,安全策略是指在一个系统(网络)中关于安全问题采取的原则,对安全使用的要求,以及如何保护信息的安全。

信息防护不是一个静态过程,而是一个包括5个主要环节的动态过程,即policy(安全策略)、protection(保护)、 detection (检测)、response(响应)和recovery(恢复),即ppdrr模型。

在安全策略的指导下,保护、检测、响应和恢复组成了一个完整的、动态的循环来保证信息的安全。

因此,在实施信息安全过程中,首先应进行系统安全需求和安全风险分析,确定系统的安全目标,然后制定相应的安全策略,再根据ppdrr模型,进行动态防护,其中,安全策略是整个系统安全的依据,策略一旦制定,应当作为整个系统安全行为的准则。

2 美国信息安全策略的现状
美国最高当局历来把信息安全视为国家安全的重要组成部分,从20世纪80年代末到90年代,美国政府把信息安全提高到了“国
家安全”的战略高度,尤其重视信息系统的保护。

美国政府以政府通告、总统训令等形式不断推出信息安全政策方针和各类规章制度,逐步形成了一整套信息安全防范体系,并规定每隔数年必须重新审定。

1994年4月美国总统克林顿遵循先例,发布了第29号总统决策令,要求修改信息安全政策,强化信息安全保密机构。

美国近几届国防部长也都十分关注信息安全防护问题,并直接领导了有关工作。

美国参谋长联席会议和三军首脑也是信息战及信息安全防护的积极推动者。

美国防部1996年投资10亿美元为所有数据加密,以保护信息系统安全。

1996年2月28日,五角大楼的战略情报专家正式提出了一份名为《互联网络评估》的报告,主张美军方要对因特网实行监控。

美陆军1996年数字化总计划特别强调了信息和信息系统的安全问题,计划要对信息系统的脆弱性进行分析和评估,并提出了保护战场信息流的策略。

“9.11”事件之后,布什政府为了体现其对国家信息安全的重视,不仅宣布了新的网络空间安全国家计划,而且采取各种有效措施,全面加强网络与信息安全的防范工作,其中包括大规模增加反恐开支和用于信息安全的经费。

2009年5月29日,奥巴马政府公布了《美国网络安全评估》报告,报告评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计划。

奥巴马也于报告发布当天明确要
求,要将保护网络基础设施作为维护美国国家安全的第一要务。

2010年6月,美国国防部正式组建由战略司令部领导的网络战司令部,主要进行数字战争,防护针对美军计算机网络的安全威胁,该司令部于同年10月开始运作。

3 美国信息安全策略特点
美国信息安全策略的特点主要体现在两个方面。

一是,实现网络威慑战略。

美国具备了网络威慑的条件:intel的cpu占据全球计算机90%的市场份额;微软的操作系统已经占据了世界个人电脑操作系统的85%以上;思科核心交换机遍布全球网络节点;在互联网应用方面技术积累时间长、应用最为广泛。

美军还具备网络攻击的经验,在科索沃战争、伊拉克战争中,美军曾经通过网络攻击,挫毁对手的信息系统,达到瘫痪对手的目的。

二是,全面发展“先发制人”的网络攻击能力。

美国是世界上第一个引入网络战概念的国家,也是第一个将其应用于战争的国家。

2008年初,布什赋予国防部更大的网络战反制权,允许美军主动发起网络攻击。

要求美军具备进入任何远距离公开或封闭的计算机网络的能力,然后潜伏在那里,保持“完全隐蔽”并“悄悄窃取信息”,最终欺骗、拒绝、瓦解对方系统,兵不血刃地破坏敌方的指挥控制、情报信息和防控设施等军用网络系统,甚至可以悄无声息地破坏、控制敌方的商务、政务等民用网络系统。

4 美国信息安全策略的几点启示
深入分析美国网络安全策略,不难得出以下三方面的启示。


是,深化安全防护技术的研究,加强关键基础设施保护能力。

无论是克林顿的政令还是奥巴马的网络安全评估报告,都突出了利用安全防护技术加强对关键基础设施的保护。

美军打造一支以网络中心战为核心的队伍,目的是实现可靠的、可信的、信息可以高度共享的、可互联互通互操作的动态基础设施,以满足网络中心战的需求。

目前,虽然我军的信息安全水平有了明显提高,安全防护体系已经初步建立,但随着信息技术的不断发展和国际上攻击技术的进步,我们应该进一步深化安全防护技术的研究,加强对基础设施的保护。

二是,深入开展网络安全模拟仿真技术研究,加强模拟真实环境检验网络安全水平的能力。

美军通过多次网络风暴演习,充分检验了基础设施之间的协调能力、国家机构的应急响应能力等。

美军网络风暴演习都是通过安全模拟仿真技术进行特制,模拟真实环境中发生过的情况。

我国也应深入开展安全模拟仿真技术的研究,具备在线组织实施演练、评估等能力,实现“以训代战”的目的,通过模拟多样的攻击方式、针对攻击检验安全防护策略、以及对安全事件进行的响应,从而促进网络攻击对抗能力的提高和应急响应机制的完善。

三是,建立和强化防范机制。

这些机制包括加强网络安全防范意识教育,彻底消除侥幸心理,形成主动防范、积极应对的全民意识;提高安全监测、防护、响应、恢复和抗击能力;加快出台相关法律法规,改变目前相关法律法规太笼统、缺乏可操作性的现状,对各种信息主体的权利、义务和法律责任做出明晰的法律约束;加强网络运行管理机制,强化安全措施和解决方案;加快制定
信息安全国家标准。

【参考文献】
[1]旷野,闫晓丽.美国网络空间可信身份战略的真实意图[j].信息安全与技术,2012(11).
[2]彭设强,郑皓,彭曙光.高等院校教师年度考核绩效管理系统的安全设计与实现[j].科技信息,2010(17).
[责任编辑:王静]。