《美国信息安全保障体系建设研究要点》由会员分享,可在线阅读,更多相关《美国信息安全保障体系建设研究要点(19页珍藏版)》请在金锄头文库上搜索。
1、 信息工程大学毕业设计(论文)题目: 美国信息安全保障体系建设研究 学员姓名 学号 所在单位 指导教师 技术职务 完成日期 摘 要本文通过介绍美国国家信息安全保障体系,美国信息安全保障体系的发展和美国电子政务信息安全体系对我国的启示,通过对信息安全体系做了一个总结。随着网络和信息技术的普及,电子政务成为时代发展的必然。电子政务的安全运行是维护国家利益和安全的必然要求。网络和信息安全则是确保电子政务的安全运行的关键。我国应采取各种措施,加大信息技术开发力度,推动网络安全建设与管理,以保障电子政务的健康安全运行。分析了美国信息安全法律体系考察对及其对我国的启示。关键词:信息安全 保障体系 美国目
2、录第一章 信息安全的简介11.1信息安全概念的演变11.2“信息保障”的概念2第二章 美国加强信息安全保障体系建设的基本做法 42.1信息安全已成为美国安全战略的重要组成部分4 2.2建立各级信息安全主管机构5 2.3重视发展信息战能力,实行“积极防御”72.3.1国防系统信息安全是美政府保护的重点对象7 2.3.2国防部将信息安全对策提高到信息战的高度,加强信息攻击能力7 2.4以信息安全法律法规提供有力保障8 2.5强化国家信息保障政策和措施8 2.6不断开发和完善信息安全技术10 2.6.1制定计算机安全评价标准,积极参与开发国际通用安全准则10 2.6.2重视信息安全技术的发展和更新1
3、1 第三章 加强我国信息安全保障体系建设的建议13 3.1建立统一的安全平台13 3.2进一步完善我国信息安全保障的法律体系14 3.2.1确立科学的信息安全法律保护理念143.2.2构建完备的信息安全法律体系14 3.2.3强化信息安全法律效率143.3改善电子政务的应用安全14第五章 总结与展望15 参考文献16 致谢17 第一章 信息安全保障体系简介1.1信息安全概念的演变 信息安全问题伴随着通信、网络及信息系统的发展,经历了由通信保密到信息安全,再到信息安全保障的发展历程。通信保密阶段:19世纪中叶以后,随着电报、电话、无线电的发明,通信领域发生了根本性的变革,有线和无线通信随之出现并
4、逐步应用。由于电信号很容易被搭线窃听或被无线电侦收,所以人们开始广泛采用密码技术手段保护秘密信息,密码安全也成为关系战略全局和长远利益的重大问题。密码一旦失泄密,就从根本上失去了保护秘密信息的屏障,造成全局上的被动和失利。况且,任何国家,若侦破了对手的密码,都要作为最高机密严加保守,失密者难以察觉,其危害非常深远。二战期间,英国破译了德军“恩尼格玛”密码后,得知德军要轰炸英国考文垂市,但英国不动声色,不惜以牺牲考文垂市的代价,保住侦破德军密码的秘密,以换取长远的战略利益。信息安全阶段:进入20世纪80年代后,随着微型机和局域网的出现,一方面推动了信息的共享,同时也使系统面临来自外部的非法访问、
5、操作员使用脆弱口令等的威胁。因此,信息安全关注的对象,从数据转向信息和信息系统,继而重视信息系统的安全,主要目的是保护信息在存储、处理或传输过程中不被非法访问或篡改、破坏,确保对合法用户的服务并限制非授权用户的访问,确保信息系统的业务功能能够正常运行。解决办法主要是预防为主,利用密码技术、访问控制技术、身份鉴别技术等技术措施,保护信息的保密性、完整性,保证计算机系统为授权用户所使用。这一时期,信息安全理论与技术快速发展,信息安全也从萌芽逐步走向成熟。信息安全保障阶段:20世纪90年代末以来,随着互联网的发展及广泛应用,信息基础设施固有的脆弱性凸显,信息系统受到的攻击日趋频繁,信息安全威胁日益增
6、长,在攻与防的对抗过程中,使人们逐渐认识到安全风险的本质,认识到安全不仅涉及到技术,而且还涉及人和管理,认识到不存在绝对的安全,认识到安全是一个动态的过程,安全事件发生时的处理以及事后的处理,都应当是信息安全要考虑的内容。1.2 “信息保障”的概念美国军方率先提出了“信息保障”的概念,为区别于“信息安全”,同时体现出继承性,国内常采用“信息安全保障”概念。所谓信息安全保障,是指“保证信息和信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御过程。它要求加强对信息和信息系统的保护,加强对信息安全事件和各种脆弱性的检测,提高应急反应能力和系统恢复能力”。对信息安全保障概念与内涵
7、的理解,我认为可归结为一、二、二、三、四、五、六、七,具体为: “一”是指一个策略。就是指信息安全保障强调采取系统的纵深防御策略,从网络互联、边界防护到主机防护,逐层设防,确保安全。第一个“二”是指两个对象。是指信息安全保障的对象是信息和信息系统。第二个“二”是指信息安全保障活动涉及的两个领域,即网络空间、电磁空间“三”是指信息安全保障应强调人、技术、管理三个方面的作用。在这三者中,人员是核心,技术是关键,管理是保证,训练有素的人员要通过相应的管理来运用恰当的技术达到保障信息安全的目的,而且技术将落实到信息安全保障环节的各个方面,在各个环节中发挥作用。“四”是指信息安全保障涉及的四个层面,包括
8、计算环境、边界、网络基础设施、信息安全基础设施。“五”是指信息生命周期中的五种状态,信息安全保障渗透于信息产生、存储、处理、传输和销毁的整个过程。“六”是指信息安全的六种属性。包括保密性、完整性、真实性、抗抵赖性、可用性、可控性。“七”是指信息安全保障的七个环节,包括预警、策略、防护、检测、响应、恢复、反击,构成了信息安全保障具有动态反馈特点的七大环节。从以上分析可以看出,信息安全保障更加强调系统工程的方法,纵深防御的策略和整体防护的技术。信息安全保障体系是实施信息安全保障的法制、组织管理、技术、人才、运行保障等层面有机结合的整体,是国家安全体系的重要组成部分。第二章 美国加强信息安全保障体系
9、建设的基本做法2.1信息安全已成为美国安全战略的重要组成部分美国前总统克林顿说过,“这个充满希望的时代也充斥着危险。所有受计算机驱动的系统都容易遭到入侵和破坏。重要经济部门或政府机构的计算机一旦受到合力攻击,就会产生灾难性的后果”。美国拥有世界上最强大的军事和经济力量,这两种力量相互强化,相互依赖,同时也日益依赖于关键基础设施和网络信息系统。这种依赖关系成了脆弱性的根源。因此,计算机网络的脆弱性已给美国家安全提出了一个紧迫的问题,关键基础设施和信息系统的安全成为美面临的首要威胁之一,“电子珍珠港”事件随时可能爆发,美国必须采取措施保障关键基础设施和信息系统的安全,避免“信息灾难”。基于这一认知
10、,美国政府1984年以来共颁布近10个涉及关键基础设施和信息安全的政策、通告、总统行政命令和国家计划,其中包括“关于通信和自动化信息系统安全的国家政策”(即NSDD一145,1984年9月17日)、联邦政府信息资源的管理通告(即A一130通告,1985年12月)、关于反恐怖主义政策的总统令(1995年6月)、第13010号(1966年7月15日)及第13025号(1996年11月)和13064号(1997年10月)行政命令、第63号总统令(PDD一63,1998年5月)、信息系统保护国家计划、(2000年1月)、信息时代保护关键基础设施的行政命令(2001年10月16日)等。这些通告、政策和命
11、令各有侧重,但都强调关键基础设施即那些维持经济和政府部门最低限度运作所需的物理和网络系统,包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续工作的领导机构等的安全,关系国家存亡。美国政府认为,对美基础设施发动网络攻击将取代外交行动和军事冲突,成为敌对方实现既定目标的首选方式。病毒、网络蠕虫、特洛伊木马、计算机定时炸弹以及其他形式的自动攻击等网络武器已成为继核武器和大规模杀伤性武器之后对美安全的最大威胁。在美看来 ,最有可能发动网络攻击的敌人包括:(1)主权国家。其中既包括那些所谓的“无赖 国家”,通过发动信息战等获取对美的不对称优
12、势;同时也包括那些企图获取经济利益、破坏美国经济稳定和采取军事或情报行动破坏美安全的别有用心的国家。(2)经济竞争者。一些外国公司可能通过黑客手段窃取先进的关键技术、商业秘密、私人信息和一些研究成果。(3)各种犯罪。包括跨国金融犯罪、盗取信用卡等。(4)黑客。黑客的动机包括贪婪、政治目的、窃取信息或仅仅是恶作剧,他们给计算机系统造成的危害日益严重。(5)恐怖主义分子。信息战技术为他们攻击预定 目标和制造威胁提供了更好的工具。(6)内部人员。内部人员可能是对美关键基础设施最大的威胁,他们通常最能知晓基础设施及其支持系统的运行情况。心怀不满的员工、被收买的泄密者、受到伤害或威胁的雇员、以前雇佣的员
13、工以及商业伙伴都会出于怨恨、经济好处和害怕而计划和进行攻击。因此,美国应具有保护其关键基础设施免遭攻击的能力,确保“关键设施 的任何中断或受到的操纵都必须是短暂的、偶发的、可控制的、互相隔绝以及对美国家利益造成的危害最小”。2.2 建立各级信息安全主管机构为了使已颁布的政策和计划得到落实,美建起了一个庞大而有序的信息安全机构体系,在总统直属的信息安全领导机构的统一规划下展开维护全美信息安全的各项工作。设立相关的委员会 ,直接为总统决策服务。根据具体需要和有关法令,相继设立了总统信息安全政策委员会、总统关键基础设施保护委员会等。这些委员会成员包括主要政府部门,定期举行会议并提交报告,为总统了解信
14、息安全状况和制定政策提供建议,并协调各项保护信息系统计划的实施。1997年,关键基础设施委员会向克林顿总统提交了“关键基础保护美国的基础设施”的报告,主张确保基础设施 的有效性和生存能力应该成为美国的国策,应采取一切措施保护基础设施。根据这一建议,克林顿总统签署了第63号总统令。2001年10月,小布什政府颁布了信息时代保护关键基础设施的行政命令,组建了新的关键基础设施委员会,其成员包括国务卿、国防部长、司法部长、商务部长、行政管理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。根据该命令,委员会主席兼任总统有关网络安全的特别顾问。他有
15、权了解各部局内属于其管辖范围的所有情况,召集和主持委员会的各种会议,制定保护关键基础设施的政策和方案 ,并向总统国家安全事务助理和国土安全助理汇报。建立各级信息安全主管机构。根据联邦政府信息资源的管理通告的规定,行政管理与预算局(OMB)负责制定和监督政府部门有关信息系统安全的政策、原则、标准和指导方针。在它统一领导下,美国的信息安全工作分别由商务部下属的国家标准与技术局和国防部下属的国家安全局分工负责。NIST主要负责非保密信息(即敏感信息)的安全工作 ,NSA负责保密信息的安全工作。NIST由商务部长主管,协助政府和产业界进行安全规划、风险管理、应急计划、加密、人员身份认证及智能卡应用等安全技术的开发、推广应用、计算机病毒检测与防治、安全教育培训等方面的工作,同时还负责制定安全技术和安全产品的国家和国际标准。NIST下设的计算机系统实验室还进行计算机和网络安全技术的研究开发工作,其研究重点包括密码学、认证技术、公用密钥、网络互联以及安全标准等。根据1990年7月的总统密令“国家保密通信”规定,NSA的职责是:(1)帮助政
