3美国信息安全保障体系建设研究.
浅谈中国国家信息安全战略
浅谈中国国家信息安全战略关键词:信息安全国际信息安全威胁中国信息安全战略摘要:当今世界,和平与发展是时代的主题。
国家的发展需要和平稳定的建设环境,需要国家安全保障。
随着现代技术的发展,信息技术已经成为隐形的国际斗争的工具,某种程度上来说,鼠标、键盘和子弹、炸弹一样危险。
信息安全是国家安全的独立的基本要素,也影响着政治、军事、经济等其他要素。
对于中国而言,必须广泛吸收借鉴发达国家的经验,完善信息安全战略,健全信息安全体制,保障国家信息安全。
一、信息安全简述(一)、什么是信息安全从一个主权国家的角度来讲,信息安全属于非传统安全范畴。
非传统安全是指除军事、政治和外交冲突以外的其他对主权国家及人类整体生存和发展构成威胁的因素。
1信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。
2(二)、信息安全的重要性随着现代科学技术的发展,尤其是互联网的诞生为信息战提供的巨大技术支持,信息技术已经成为隐形的国际斗争的工具。
某种程度上来说,轻轻敲击一下键盘和发射一枚炸弹危险程度不相上下。
信息安全是国家安全的基本要素,举足轻重地影响着政治、军事、经济等其他要素。
二、国际信息安全现状分析(一)、信息安全威胁事件回顾1.1991年的海湾战争中,美国偷偷把一套带有病毒的同类芯片换装到伊拉克从法国购买了一种用于防空系统的新型电脑打印机里。
当美国领导的多国部队发动“沙漠风暴”行动,空袭伊拉克时,美军用无线遥控装置激活了隐藏的病毒,致使伊拉克的防空系统陷入了瘫痪。
1夏超然,2008年非传统安全问题的新挑战与国家安全战略的应对之策,《理论观察》2009年第1期2资料来源:“信息安全”维基百科/wiki2.1999年北约部队对南联盟发动空袭的同时,也利用信息战技术破坏无线电传输、电话设施、雷达传输系统等,甚至通过入侵电台广播进行心理战。
而南斯拉夫则通过宗教、族群意识对本国军民从事精神动员,并反制北约的宣传。
信息安全保障体系建设研究
信过程安全到保 障信息 自 身各个方 面的安全 , 最终走 向了今 天的信 息安全保障 。信息安全保 障的内容 , 也从先前单纯 的
信息加 密 、 通信保密 , 变为综合交叉 了数学 、 计算机 、 外语 、 电 子、 通信 、 物理 、 法律 、 管理等学科相关理论和技术的大杂烩 。 信息安全保障体 系概括地讲是 在保证效 率的前提下 , 确
中图分 类号 : F 1 2
文献标 志码 : A 文章编号 : 1 6 7 3 — 2 9 1 X ( 2 0 1 3 ) 2 5 — 0 2 0 1 — 0 3
2 0 1 3 年央视“ 3 ・ l 5 ” 晚会曝光 : 某些 网络公 司通过追踪用
因素 ; 通过采取 防护、 检测 、 预警 等手段排除风险 , 运用灾备 、 恢复及反击等安全保障策略 ,来保 障信息 系统 的完整性 、 保 密性 、 可控性 和可用性 ; 降低安全风险 到可接受 的程度 , 保障 系统运行效率和应用系统 的服务质量 , 实现系统组织机构 的 使命 。通俗地讲就是实现信息系统 的非服务对象进不来 , 拿 不走 , 改不 了, 看不懂 , 跑不 掉 , 打不垮。 通过建设安全保障模 型, 使 系统具备信 息安全 防护 、 及时发现隐患 的能力 , 必要时 提供 网络应急反应和灾难备份 , 甚至能够实现信息对抗等反
收 稿 日期 : 2 0 1 3 — 0 6 — 2 8
构, 即应用层 、 表示层 、 会话 层 、 传 输层 、 网络层 、 数据链 路层
和物理层。
作 者简 介: 张显恒( 1 9 8 0 一 ) , 男, 河南南阳人 , 教 师, 助理馆 员, 从事信 息安全研 究。
2 0 1 3 年第 2 5期
经济研究导刊
信息化安全保障体系建设方案
信息化安全保障体系建设方案随着信息技术的迅速发展,各行各业都在日益依赖于信息化系统,而信息安全问题也逐渐引起了广泛关注。
为了保障企业的信息系统安全,构建一个完善的信息化安全保障体系是非常重要的。
本文将提出一份信息化安全保障体系建设方案。
一、制定信息安全管理策略首先,企业需要明确自己的安全目标,并制定相应的信息安全管理策略。
该策略应包括安全意识教育培训、安全规章制度建立、风险评估与控制、安全事件响应等内容,以确保全员参与到信息安全工作中。
二、加强物理安全措施为了保障系统的物理安全,企业应加强对机房和服务器等重要设施的保护。
采取措施如加强门禁管控、安装监控摄像头、加密存储设备等,以防止未经授权的人员进入和设备丢失或损坏。
三、加强网络安全防护网络安全是信息化安全的重要环节,企业应加强网络安全防护措施。
包括建立防火墙、安装入侵检测系统、定期进行漏洞扫描和安全评估等,确保网络安全稳定可靠。
四、加强身份认证与访问控制为了防止未授权人员访问系统,企业应实施身份认证与访问控制措施。
采用强密码策略、双因素认证、访问权限管理等方法,限制系统访问权限,确保系统只被授权人员使用。
五、加强数据备份与恢复数据备份与恢复是信息化安全中不可或缺的环节。
企业应建立完善的数据备份策略,定期备份关键数据,并进行数据恢复测试,以确保在意外情况下能够及时恢复数据。
六、加强安全事件响应与处置企业应建立健全的安全事件响应与处置机制,以应对各类安全事件的发生。
这包括建立安全事件管理团队、建立响应流程和标准、定期演练等,从而提高对安全事件的警觉性和应对能力。
综上所述,一个完善的信息化安全保障体系需要综合考虑物理安全、网络安全、身份认证与访问控制、数据备份与恢复、安全事件响应与处置等多个方面。
企业应根据自身需求和实际情况,制定合适的安全保障方案,并定期进行评估和更新,以应对日益复杂的信息安全威胁。
通过建立和执行这些措施,企业能够更好地保护其信息资产和业务运作的安全。
国内外信息安全研究现状及发展趋势
国一直宣称维护个人自由的美国却在私底下收集别人的隐私,一方面体现了实用主义的双重标准,另一方面也是不自信的表现。
美国情报机构对个人的监控早已有之。
从1958年到1965年,联邦调查局局长胡佛就曾秘密收集包括总统在最后,十分感谢斯诺登,是他让我们警醒,这给中国维护信息安全敲响了警钟。
一、信息安全的现状1、产业背景目前国际上围绕信息安全的斗争愈演愈烈。
在全球信息化的同时,各种新攻击与防护技术(如对工业控制系统的攻击、无界浏览器、网络刷票、免杀等)、新攻击与防护方法(如网络身份证、云安全等。
)层出不穷。
这些新攻击与防护技术所带来的安全问题尤其突出,因此有必要对这些新攻击与防护技术、方法、所带来的安全问题进行系统分析,识别对国家安全和社会稳定所带来的风险和影响。
信息网络安全是美国三大核心国家战略之一,如果说在工业时代是以核战争为中心,那么在网络时代是就是以网络战为中心。
美国奥巴马政府把加强信息安全作为振兴美国经济繁荣和国家安全的重大战略,同时把加强信息安全教育和人才队伍培养列为保障网络空间安全战略的重点,以此来确保美国控制全球信息的绝对优势。
我国十分重视信息网络安全,已经将信息安全作为优先发展的前沿技术列入了“国家中长期科学和技术发展规划纲要(2006-2020年)”。
为了更好地了解国国务院发布的十二五规划纲要,描绘了未来五年我国经济会发展的宏伟蓝图,其中信息技术行业由于位列七大战略性新兴产业,并对推动经济会其他各领域的发展意义重大,从而成为十二五规划的重要国内外信息安全发展的新动向1.1美国信息安全发展新动向2010年1月,美国防部高级研究计划局(DARPA)拨款5560万美元推进建立一个原型的高级计算中心一一国家网络靶场(NCR),这是DARPA为实现布什政府提出的“国家网络综合倡议”(CNCI)的一个重要举措。
NCR将提供一个由先进计算机和数据网络组成的“测试平台”,以实现下列功能:1)评估信息保障技术和工具;2)复制各类大型复杂的计算机网络,以支持美国防部的网络战武器和操作;3)同一时段进行数个大型网络安全试验;4)模拟真实的美国全球信息网格试验;5)开发和部署网络测试能力。
中美信息安全意识培养模式的比较研究
例如 ,联邦计算机 服务 ( C ) 目 括研究联邦 各机构 内的 FS项 包
信息安全职位、 对联邦雇员提供培训和认证 。服务奖学金 ( F ) S S 项 目资助研究 生和本 科生 的信息安 全课 程学 习。 中小学 拓广
Meln大学软件工程 学院的 C RT协 作中心提 供应 急响应 和 lo E 信息安全 的课 程培训 。
摘 要 :文章通过 对 中美信 息安全 意识 的培 养模 式进行 比较研 究 ,借 鉴 美国在该领 域 内的先进理 念和 经
验 ,分析我 国在该领 域 内存在 的 问题 ,对 于促进全 民信息安 全意识 的提 升具有 长远 的意义 。 关 键词 :信 息安全 ;信息安 全意识 ;信息安 全防护 中图分 类 号 :T 33 8 文献标 识码 :A 文章 编 号 :17 — 12( 0 1 0 — 08 0 P9. 0 6 1 12 2 1 ) 6 08 — 3
Th m p rs n o c e sn n o m a i n S c rt eCo a io f n r a i g I f r to e u iy I
C 0 s i us s t e i ndAm e i a n cO ne sbe we n Ch na a rc
际需要 】 国国家关键 基础 设施 保证 办公 室 ( I 。美 C AO)指定
认证系统安全项 目 师和 R A认证 系统项 目师等等。 S
14学 校 研 究 .
大学 科研 院所从事信息安全 教育和研 究。美 国许 多大学 和科研 院所在信息安 全领域提供 本科和研 究生课程 ,设置相 应 的学位和研究 中心。P ru 大学 的信息保障 和安全教育研 ud e 究 中心倡导在信息和信息资源保 护技术方面的革新 , 并致 力于 发展和提高信息保障和安全方面的知识 。C reiMel ange l n大学 o
信息安全保障体系
信息安全保障体系信息技术的快速发展和广泛应用,给我们的生活带来了便利,但也带来了一系列的信息安全问题。
针对这些问题,建立一个完善的信息安全保障体系是非常必要的。
本文将介绍一个具备全面保护信息安全的体系。
1. 信息安全保障的重要性信息安全是指对信息的保密性、完整性和可用性进行保护,以防止未经授权的访问、篡改、破坏和泄露。
信息安全保障体系的建立可以有效预防各类信息安全事件的发生,保护用户的隐私和利益,维护社会安全稳定。
2. 信息安全保障体系的要素一个完善的信息安全保障体系包括以下要素:(1)政策与法规:国家和组织应当制定相关的信息安全政策和法规,明确信息安全的要求和责任,规范信息的合法使用和保护。
(2)组织与人员:建立专门的信息安全管理部门,负责组织和协调信息安全保障工作,将信息安全纳入组织的日常管理中,确保人员合规操作和意识到信息安全的重要性。
(3)技术与设备:采用先进的信息安全技术和设备,包括防火墙、入侵检测系统、数据加密等,保障信息的传输和存储的安全。
(4)安全审计与监控:建立信息安全审计和监控机制,对信息的使用和访问进行监控和审计,及时发现和防范安全威胁。
(5)应急响应与恢复:建立完善的信息安全事件应急响应机制,制定应急预案,面对安全事件能够及时响应、有效处理和迅速恢复。
3. 信息安全保障体系的实施流程信息安全保障体系的实施包括以下流程:(1)风险评估与分类:对组织的信息系统进行评估和分类,确定安全风险的等级和范围。
(2)制定安全措施:根据风险评估结果,制定相应的安全措施,包括物理安全、网络安全、数据安全等方面。
(3)实施控制措施:采取适当的技术和管理手段,实施控制措施,防范安全威胁和风险。
(4)监测与评估:对安全措施的实施进行监测和评估,确保措施的有效性和合规性。
(5)持续改进:根据监测和评估结果,进行持续改进和优化,及时修正不足和漏洞。
4. 信息安全保障体系的案例应用信息安全保障体系在各行业都得到了广泛的应用。
信息安全保障体系课件
国家四局办[2004]66号《关于信息安全等级保护工作的实施意见的通知》
等级
安全功能
保障/有效性
国家管理程度
对象
管理
技术
一级
基本
用户自主保护
基本保障
自主
中小企业
二级
必要
系统审计保护
计划跟踪
指导
一般信息系统
三级
体系化
安全标记保护
良好定义
监督
基础信息网络、政府、大型企业四级结构化源自护2.1.2 信息安全属性
可控性(Controlability)
指对信息和信息系统实施有效的安全监控管理,防止非法利用信息和信息系统保障(Assurance)
为在具体实现和实施过程中,保密性、完整性、可用性和可追究性等得到足够满足提供信心基础,这种信心基础主要通过认证和认可来实现。
2.1.3 信息安全保障体系结构
机制
加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证、可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复、电磁辐射控制、抗电磁干扰等。
服务
鉴别/身份认证、访问控制、数据机密性、数据完整性、抗抵赖、可靠性、可用性、安全审计等。
管理
技术管理策略、系统安全管理、安全机制管理、安全服务管理、安全审计管理、安全恢复管理等。
2.3.5 信息安全原则
安全是相对的,同时也是动态的,没有绝对的安全!安全是一个系统工程!信息安全技术原则最小化原则分权制衡原则安全隔离原则
小 结
本章从信息安全范畴、衡量信息安全的属性出发,介绍了信息安全保障体系,信息安全保障包括人、政策和技术工程方法,使用各类安全机制实现安全服务,满足安全功能需求。信息安全防御体系构建应该是动态和可适应的,以策略为核心,实施评估、保护、监测、响应和恢复等环节的闭环管理。最后介绍了等级保护、风险评估和安全测评的内容与方法,以及它们之间的关系。本章从整体上概括了信息系统安全保障体系和实施的工程方法。
IATF信息保障技术框架
IATF,信息保障技术框架IATF:Information Assurance 'urns Technical Framewor k 是美国国家安全局NSA National Security Agency 制定的,描述其信息保障的指导性文件;在我国国家973“信息与网络安全体系研究”课题组在2002年将版引进国内后,IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用; Assurance n. 保证,确信,肯定,自信,人寿保险一、IATF概述1.IATF形成背景建立IATF主要是美国军方需求的推动;上世纪四五十年代,计算机开始在军事中应用,六七十年代网络化开始发展,这些发展都对信息安全保障提出了要求;从1995年开始,美国国防高级研究计划局和信息技术办公室DARPA/ITO就开始了对长期研发投资战略的探索,以开展信息系统生存力技术的研究;1998年1月,国防部DoD副部长批准成立了DIAP国防范畴内信息保障项目,从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督;DIAP形成了国防部IA项目的核心部分;除了军事机构外,随着社会的发展,各种信息系统已经成为支持整个社会运行的关键基础设施,而且信息化涉及的资产也越来越多,由此产生的各种风险和漏洞也随之增多,而且现有的技术无法完全根除;面对这些威胁,人们越来越深刻地认识到信息安全保障的必要性;在这个背景下,从1998年开始,美国国家安全局历经数年完成了信息保障技术框架这部对信息保障系统的建设有重要指导意义的重要文献;2.IATF发展历程IATF的前身是网络安全框架NSF,NSF的最早版本和版对崭新的网络安全挑战提供了初始的观察和指南;1998年5月,出版了版,对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容;1998年10月,又推出了版;到了1999年8月31日,NSA出版了,此时正式将NSF更名为信息保障技术框架;版将安全解决方案框架划分为4个纵深防御焦点域:保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施;1999年9月22日推出的版本的变更主要以格式和图形的变化为主,在内容上并无很大的变动;2000年9月出版的版通过将IAT F的表现形式和内容通用化,使IATF扩展出了DoD的范围;2002年9月出版了最新的版本,扩展了“纵深防御”,强调了信息保障战略,并补充了语音网络安全方面的内容;目前正在编制之中;随着社会对信息安全认识的日益加深,以及信息技术的不断进步,IATF必定会不断发展,内容的深度和广度也将继续得到强化;3.IATF的焦点框架区域划分IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域:网络和基础设施,区域边界、计算环境和支撑性基础设施;在每个焦点领域范围内,IATF都描述了其特有的安全需求和相应的可供选择的技术措施;IATF提出这四个框架域,目的就是让人们理解网络安全的不同方面,以全面分析信息系统的安全需求,考虑恰当的安全防御机制;二、IATF与信息安全的关系IATF虽然是在军事需求的推动下由NSA组织开发,但发展至今的IATF已经可以广泛地适用于政府和各行各业的信息安全工作了,它所包含的内容和思想可以给各个行业信息安全工作的发展提供深刻的指导和启示作用;1.IATF的核心思想IATF提出的信息保障的核心思想是纵深防御战略Defense in Depth;所谓深层防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全;在纵深防御战略中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可;我们知道,一个信息系统的安全不是仅靠一两种技术或者简单地设置几个防御设施就能实现的,IATF为了我们提供了全方位多层次的信息保障体系的指导思想,即纵深防御战略思想;通过在各个层次、各个技术框架区域中实施保障机制,才能在最大限度内降低风险,防止攻击,保护信息系统的安全;此外,IATF提出了三个主要核心要素:人、技术和操作;尽管IATF重点是讨论技术因素,但是它也提出了“人”这一要素的重要性,人即管理,管理在信息安全保障体系建设中同样起到了十分关键的作用,可以说技术是安全的基础,管理是安全的灵魂,所以应当在重视安全技术应用的同时,必须加强安全管理;2.IATF的其他信息安全IA原则除了纵深防御这个核心思想之外,IATF还提出了其他一些信息安全原则,这些原则对指导我们建立信息安全保障体系都具有非常重大的意义;1保护多个位置;包括保护网络和基础设施、区域边界、计算环境等,这一原则提醒我们,仅仅在信息系统的重要敏感设置一些保护装置是不够的,任意一个系统漏洞都有可能导致严重的攻击和破坏后果,所以在信息系统的各个方位布置全面的防御机制,这样才能将风险减至最低;2分层防御;如果说上一个原则是横向防御,那么这一原则就是纵向防御,这也是纵深防御思想的一个具体体现;分层防御即在攻击者和目标之间部署多层防御机制,每一个这样的机制必须对攻击者形成一道屏障;而且每一个这样的机制还应包括保护和检测措施,以使攻击者不得不面对被检测到的风险,迫使攻击者由于高昂的攻击代价而放弃攻击行为;3安全强健性;不同的信息对于组织有不同的价值,该信息丢失或破坏所产生的后果对组织也有不同的影响;所以对信息系统内每一个信息安全组件设置的安全强健性即强度和保障,取决于被保护信息的价值以及所遭受的威胁程度;在设计信息安全保障体系时,必须要考虑到信息价值和安全管理成本的平衡;三、IATF对档案信息安全的启示档案信息化是我国信息化事业的一个重要组成方面,而且档案信息的特殊性使得档案在信息化过程中将面临更多更严峻的考验,其中档案信息安全问题是档案信息化工作中的首要关键问题;由于IATF的广泛适用性,使得它对档案信息安全保障体系的建设也具有相当重要的启示和指导意义;我们可以根据IATF所关注的四个技术框架焦点区域,并结合IATF的纵深防御思想和IA原则,来对档案信息安全保障体系的建立进行分析和考虑:1.网络与基础设施防御网络和支撑它的基础设施是各种信息系统和业务系统的中枢,为用户数据流和用户信息获取提供了一个传输机制,它的安全是整个信息系统安全的基础;网络和基础设施防御包括维护信息服务,防止拒绝服务攻击DoS;保护在整个广域网上进行交换的公共的、私人的或保密的信息,避免这些信息在无意中泄漏给未授权访问者或发生更改、延时或发送失败;保护数据流分析等;对档案信息系统来说,数据的安全交换和授权访问是最基本的要求,所以必须保证网络及其基础设施能在无故障、不受外界影响的情况下稳定可靠地运行,不会由于安全设备的引入造成时延或数据流的堵塞,并保证所传输的数据不会被未授权的用户所访问;这就要求档案部门在建立网络时要事先考虑到可能的业务类型和访问量等,保证建立的网络具有足够的带宽和良好的性能来支持这些服务和业务,并能有效抵抗恶意攻击;除了对网络和基础设施进行优化配置管理以外,档案部门还应根据业务和信息的重要程度来进行网络隔离或建立虚拟专用网VPN,从物理或逻辑上将业务网和互联网实施隔离,使信息能在一个专用的网络通道中进行传递,这样能有效减少来自互联网的攻击;2.区域边界防御根据业务的重要性、管理等级和安全等级的不同,“一个信息系统通常可以划分多个区域,每个区域是在单一统辖权控制下的物理环境”,具有逻辑和物理安全措施;这些区域大多具有和其他区域或网络相连接的外部连接;区域边界防御关注的是如何对进出这些区域边界的数据流进行有效的控制与监视,对区域边界的基础设施实施保护;档案部门在建立局域网时,应该考虑将业务管理和信息服务系统划分为不同的安全区域,根据区域的安全等级在每个区域边界设置硬件或软件防火墙身份对访问者进行身份认证;部署入侵检测机制,以提高对网络及设备自身安全漏洞和内外部攻击行为的检测、监控和实时处理能力;设置防毒网关,防止病毒通过网络边界入侵应用系统;设置VPN连接设备,以实现各个区域和网络之间的安全互连等;总而言之,要确保在被保护区域内的系统与网络保持可接受的可用性,并能够完全防范拒绝服务这一入侵攻击;3.计算环境防御在计算环境中的安全防护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统,这些应用能够提供包括信息访问、存储、传输、录入等在内的服务;计算环境防御就是要利用识别与认证I&A、访问控制等技术确保进出内部系统数据的保密性、完整性和不可否认性;这是信息系统安全保护的最后一道防线;在档案信息系统中,保护计算环境可以考虑以下方式:保护应用系统程序安全,包括使用安全的操作系统和应用程序;在关键服务器上部署主机入侵检测系统和主机审计策略,以防止来自区域内部授权访问者或管理人员的攻击;防病毒系统,防止来自网络之外的病毒感染;主机脆弱性扫描,以减少主机漏洞,实现对主机的最优化配置;关键的配置文件或可执行文件实施文件完整性保护等;4.支撑性基础设施支撑基础设施是一套相关联的活动与能够提供安全服务的基础设施相结合的综合体;目前纵深防御策略定义了两种支撑基础设施:密钥管理基础设施KMI/公钥基础设施PKI和检测与响应基础设施;KMI/PKI涉及网络环境的各个环节,是密码服务的基础;本地KMI/PKI提供本地授权,广域网范围的KMI/PKI提供证书、目录以及密钥产生和发布功能;检测与响应基础设施中的组成部分提供用户预警、检测、识别可能的网络攻击、作出有效响应以及对攻击行为进行调查分析等功能;就档案信息系统而言,需要建立一个用于管理整个网络的加密认证装置、VPN设备等组件的密钥管理中心,对密钥的的生成、备份、传递、分发、使用、更新、恢复和销毁进行统一的管理;同时要部署入侵检测系统、审计、配置系统,以提高系统的安全强度,保护数据的机密性、完整性和可用性;IATF的四个技术焦点区域是一个逐层递进的关系,从而形成一种纵深防御系统;因此,以上四个方面的应用充分贯彻了纵深防御的思想,对整个信息系统的各个区域、各个层次,甚至在每一个层次内部都部署了信息安全设备和安全机制,保证访问者对每一个系统组件进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻击的风险降至最低,确保档案信息的安全和可靠;。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息工程大学毕业设计(论文)题目:美国信息安全保障体系建设研究学员姓名学号所在单位指导教师技术职务完成日期摘要本文通过介绍美国国家信息安全保障体系,美国信息安全保障体系的发展和美国电子政务信息安全体系对我国的启示,通过对信息安全体系做了一个总结。
随着网络和信息技术的普及,电子政务成为时代发展的必然。
电子政务的安全运行是维护国家利益和安全的必然要求。
网络和信息安全则是确保电子政务的安全运行的关键。
我国应采取各种措施,加大信息技术开发力度,推动网络安全建设与管理,以保障电子政务的健康安全运行。
分析了美国信息安全法律体系考察对及其对我国的启示。
关键词:信息安全保障体系美国目录第一章信息安全的简介 (1)1.1信息安全概念的演变 (1)1.2“信息保障”的概念 (2)第二章美国加强信息安全保障体系建设的基本做法 (4)2.1信息安全已成为美国安全战略的重要组成部分 (4)2.2建立各级信息安全主管机构 (5)2.3重视发展信息战能力,实行“积极防御” (7)2.3.1国防系统信息安全是美政府保护的重点对象 (7)2.3.2国防部将信息安全对策提高到信息战的高度,加强信息攻击能力 .. 7 2.4以信息安全法律法规提供有力保障 (8)2.5强化国家信息保障政策和措施 (8)2.6不断开发和完善信息安全技术 (10)2.6.1制定计算机安全评价标准,积极参与开发国际通用安全准则 (10)2.6.2重视信息安全技术的发展和更新 (11)第三章加强我国信息安全保障体系建设的建议 (13)3.1建立统一的安全平台 (13)3.2进一步完善我国信息安全保障的法律体系 (14)3.2.1确立科学的信息安全法律保护理念 (14)3.2.2构建完备的信息安全法律体系 (14)3.2.3强化信息安全法律效率 (14)3.3改善电子政务的应用安全 (14)第五章总结与展望 (15)参考文献 (16)致谢 (17)第一章信息安全保障体系简介1.1信息安全概念的演变信息安全问题伴随着通信、网络及信息系统的发展,经历了由通信保密到信息安全,再到信息安全保障的发展历程。
通信保密阶段:19世纪中叶以后,随着电报、电话、无线电的发明,通信领域发生了根本性的变革,有线和无线通信随之出现并逐步应用。
由于电信号很容易被搭线窃听或被无线电侦收,所以人们开始广泛采用密码技术手段保护秘密信息,密码安全也成为关系战略全局和长远利益的重大问题。
密码一旦失泄密,就从根本上失去了保护秘密信息的屏障,造成全局上的被动和失利。
况且,任何国家,若侦破了对手的密码,都要作为最高机密严加保守,失密者难以察觉,其危害非常深远。
二战期间,英国破译了德军“恩尼格玛”密码后,得知德军要轰炸英国考文垂市,但英国不动声色,不惜以牺牲考文垂市的代价,保住侦破德军密码的秘密,以换取长远的战略利益。
信息安全阶段:进入20世纪80年代后,随着微型机和局域网的出现,一方面推动了信息的共享,同时也使系统面临来自外部的非法访问、操作员使用脆弱口令等的威胁。
因此,信息安全关注的对象,从数据转向信息和信息系统,继而重视信息系统的安全,主要目的是保护信息在存储、处理或传输过程中不被非法访问或篡改、破坏,确保对合法用户的服务并限制非授权用户的访问,确保信息系统的业务功能能够正常运行。
解决办法主要是预防为主,利用密码技术、访问控制技术、身份鉴别技术等技术措施,保护信息的保密性、完整性,保证计算机系统为授权用户所使用。
这一时期,信息安全理论与技术快速发展,信息安全也从萌芽逐步走向成熟。
信息安全保障阶段:20世纪90年代末以来,随着互联网的发展及广泛应用,信息基础设施固有的脆弱性凸显,信息系统受到的攻击日趋频繁,信息安全威胁日益增长,在攻与防的对抗过程中,使人们逐渐认识到安全风险的本质,认识到安全不仅涉及到技术,而且还涉及人和管理,认识到不存在绝对的安全,认识到安全是一个动态的过程,安全事件发生时的处理以及事后的处理,都应当是信息安全要考虑的内容。
1.2 “信息保障”的概念美国军方率先提出了“信息保障”的概念,为区别于“信息安全”,同时体现出继承性,国内常采用“信息安全保障”概念。
所谓信息安全保障,是指“保证信息和信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御过程。
它要求加强对信息和信息系统的保护,加强对信息安全事件和各种脆弱性的检测,提高应急反应能力和系统恢复能力”。
对信息安全保障概念与内涵的理解,我认为可归结为一、二、二、三、四、五、六、七,具体为:“一”是指一个策略。
就是指信息安全保障强调采取系统的纵深防御策略,从网络互联、边界防护到主机防护,逐层设防,确保安全。
第一个“二”是指两个对象。
是指信息安全保障的对象是信息和信息系统。
第二个“二”是指信息安全保障活动涉及的两个领域,即网络空间、电磁空间“三”是指信息安全保障应强调人、技术、管理三个方面的作用。
在这三者中,人员是核心,技术是关键,管理是保证,训练有素的人员要通过相应的管理来运用恰当的技术达到保障信息安全的目的,而且技术将落实到信息安全保障环节的各个方面,在各个环节中发挥作用。
“四”是指信息安全保障涉及的四个层面,包括计算环境、边界、网络基础设施、信息安全基础设施。
“五”是指信息生命周期中的五种状态,信息安全保障渗透于信息产生、存储、处理、传输和销毁的整个过程。
“六”是指信息安全的六种属性。
包括保密性、完整性、真实性、抗抵赖性、可用性、可控性。
“七”是指信息安全保障的七个环节,包括预警、策略、防护、检测、响应、恢复、反击,构成了信息安全保障具有动态反馈特点的七大环节。
从以上分析可以看出,信息安全保障更加强调系统工程的方法,纵深防御的策略和整体防护的技术。
信息安全保障体系是实施信息安全保障的法制、组织管理、技术、人才、运行保障等层面有机结合的整体,是国家安全体系的重要组成部分。
第二章美国加强信息安全保障体系建设的基本做法2.1信息安全已成为美国安全战略的重要组成部分美国前总统克林顿说过,“这个充满希望的时代也充斥着危险。
所有受计算机驱动的系统都容易遭到入侵和破坏。
重要经济部门或政府机构的计算机一旦受到合力攻击,就会产生灾难性的后果”。
美国拥有世界上最强大的军事和经济力量,这两种力量相互强化,相互依赖,同时也日益依赖于关键基础设施和网络信息系统。
这种依赖关系成了脆弱性的根源。
因此,计算机网络的脆弱性已给美国家安全提出了一个紧迫的问题,关键基础设施和信息系统的安全成为美面临的首要威胁之一,“电子珍珠港”事件随时可能爆发,美国必须采取措施保障关键基础设施和信息系统的安全,避免“信息灾难”。
基于这一认知,美国政府1984年以来共颁布近10个涉及关键基础设施和信息安全的政策、通告、总统行政命令和国家计划,其中包括“关于通信和自动化信息系统安全的国家政策”(即NSDD一145,1984年9月17日)、《联邦政府信息资源的管理通告》(即A一130通告,1985年12月)、关于反恐怖主义政策的总统令(1995年6月)、第13010号(1966年7月15日)及第13025号(1996年11月)和13064号(1997年10月)行政命令、第63号总统令(PDD一63,1998年5月)、《信息系统保护国家计划》、(2000年1月)、《信息时代保护关键基础设施的行政命令》(2001年10月16日)等。
这些通告、政策和命令各有侧重,但都强调关键基础设施即那些维持经济和政府部门最低限度运作所需的物理和网络系统,包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续工作的领导机构等的安全,关系国家存亡。
美国政府认为,对美基础设施发动网络攻击将取代外交行动和军事冲突,成为敌对方实现既定目标的首选方式。
病毒、网络蠕虫、特洛伊木马、计算机定时炸弹以及其他形式的自动攻击等网络武器已成为继核武器和大规模杀伤性武器之后对美安全的最大威胁。
在美看来,最有可能发动网络攻击的敌人包括:(1)主权国家。
其中既包括那些所谓的“无赖国家”,通过发动信息战等获取对美的不对称优势;同时也包括那些企图获取经济利益、破坏美国经济稳定和采取军事或情报行动破坏美安全的别有用心的国家。
(2)经济竞争者。
一些外国公司可能通过黑客手段窃取先进的关键技术、商业秘密、私人信息和一些研究成果。
(3)各种犯罪。
包括跨国金融犯罪、盗取信用卡等。
(4)黑客。
黑客的动机包括贪婪、政治目的、窃取信息或仅仅是恶作剧,他们给计算机系统造成的危害日益严重。
(5)恐怖主义分子。
信息战技术为他们攻击预定目标和制造威胁提供了更好的工具。
(6)内部人员。
内部人员可能是对美关键基础设施最大的威胁,他们通常最能知晓基础设施及其支持系统的运行情况。
心怀不满的员工、被收买的泄密者、受到伤害或威胁的雇员、以前雇佣的员工以及商业伙伴都会出于怨恨、经济好处和害怕而计划和进行攻击。
因此,美国应具有保护其关键基础设施免遭攻击的能力,确保“关键设施的任何中断或受到的操纵都必须是短暂的、偶发的、可控制的、互相隔绝以及对美国家利益造成的危害最小”。
2.2 建立各级信息安全主管机构为了使已颁布的政策和计划得到落实,美建起了一个庞大而有序的信息安全机构体系,在总统直属的信息安全领导机构的统一规划下展开维护全美信息安全的各项工作。
设立相关的委员会,直接为总统决策服务。
根据具体需要和有关法令,相继设立了总统信息安全政策委员会、总统关键基础设施保护委员会等。
这些委员会成员包括主要政府部门,定期举行会议并提交报告,为总统了解信息安全状况和制定政策提供建议,并协调各项保护信息系统计划的实施。
1997年,关键基础设施委员会向克林顿总统提交了“关键基础——保护美国的基础设施”的报告,主张确保基础设施的有效性和生存能力应该成为美国的国策,应采取一切措施保护基础设施。
根据这一建议,克林顿总统签署了第63号总统令。
2001年10月,小布什政府颁布了《信息时代保护关键基础设施的行政命令》,组建了新的关键基础设施委员会,其成员包括国务卿、国防部长、司法部长、商务部长、行政管理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。
根据该命令,委员会主席兼任总统有关网络安全的特别顾问。
他有权了解各部/局内属于其管辖范围的所有情况,召集和主持委员会的各种会议,制定保护关键基础设施的政策和方案,并向总统国家安全事务助理和国土安全助理汇报。
建立各级信息安全主管机构。
根据《联邦政府信息资源的管理通告》的规定,行政管理与预算局(OMB)负责制定和监督政府部门有关信息系统安全的政策、原则、标准和指导方针。
在它统一领导下,美国的信息安全工作分别由商务部下属的国家标准与技术局和国防部下属的国家安全局分工负责。