论美国高安全等级信息系统与网络防护

论美国高安全等级信息系统与网络防护
李梅梅;孙德刚
【摘要】网络空间安全已经升级为国家战略,高安全等级信息系统与网络的防护是其中的重要内容.本文对美国核心信息安全部门关于高安全等级网络与系统的标准、指南、指导性框架以及成熟的企业架构进行了深入研究和分析,探讨对于我国的借
鉴价值,提出我国未来高安全等级网络与系统建设和防护的思考与建议.
【期刊名称】《北京电子科技学院学报》
【年(卷),期】2016(024)003
【总页数】11页(P8-18)
【关键词】高安全等级;风险管理;企业架构;安全防护
【作者】李梅梅;孙德刚
【作者单位】中国科学院信息工程研究所北京 100093;中国科学院信息工程研究
所北京 100093
【正文语种】中文
【中图分类】D771.23
奥巴马政府分别于2009年和2011年发布了《网络空间政策评估》［1］和《网
络空间国际战略》［2］两份报告，公布了美国在网络空间的战略思想和战略目标。

2012年签署的《第20号总统政策指令:美国网络行动政策》给出了美国国家利益
的定义，包括国家安全、公共安全、国家经济安全、“关键基础设施”的安全可靠运行、“关键资源”的控制权［3］。

围绕国家利益，新的国家战略倡导建立顶层
机构、加强顶层设计与管理，鼓励公私合作、强化信息共享，推进国际交流协作、加大人才队伍培养。

由此可见，“集中”、“协作”，成为了新的关键词。

面对庞杂繁多的部门、机构、系统，如何在集中管理下保障高安全等级网络与系统间顺畅且安全的协作，是不容忽视的问题。

本文结合美国核心信息安全部门成熟的架构、管理模式和相关标准、指导框架，引发对若干问题的思考。

奥巴马于2009年在美国的国家安全委员会(NSC)和国家经济委员会(NEC)下设了网络空间安全办公室(CSO)。

CSO是美国政府在网络空间安全方面最高的协调机构。

在内阁中，与美国网络空间安全联系较多的部门是国土安全部(DHS)和国防部(DoD)［4］。

DHS主要负责非密网络和关键基础设施安全，并协调对危机事件做出响应，包含多个执行机构。

其中国家网络空间安全部(NCSD)就是其下属网络空间安全和通信办公室(CS＆C)的一个部门。

NCSD的首要目标是:(1)建立和维护有效的国家网络空间响应系统;(2)实施网络风险管理程序，保护国家关键基础设施［5］。

DOD主要负责协调美国政府各个部门和局商讨信息保障政策，设立国家级的信息保障政策、指令、指南、操作规程［6］。

美国国家安全局(NSA)隶属DOD，负责涉密信息系统的管理和安全工作。

NSA组织结构的核心成员通常采用各自名称的首字母表示，如:F、G、I、J、T等。

其中I代表信息保障署(IDA)，负责国家安全系统(NSS)的可用性、完整性、身份鉴别、机密性、不可抵赖性的保障［7］。

产学研方面，商务部(DOC)下属的国家标准和技术研究院(NIST)负责整体协调和规划美国网络空间安全教育活动［8］。

NIST目前设有7个实验室，其中一个为信息技术实验室(ITL)，其在计算机及信息安全领域发布的标准大致分为联邦信息处理标准(FIPS)系列和特别出版物(SP)系列［9］。

FIPS标准是针对强制性的联邦政府需求制定的，比如安全和互操作性，同时针对那些尚未形成可接受的工业标准或解决方案的需求而制定的［10］。

SP系列中关于信息安全技术的指南文件是
SP800标准，对联邦政府部门不具有强制性，涉及从规划、风险管理、安全意识
培训和教育到安全控制措施的一整套信息安全体系［11］。

美国在“911”之后整合成16个情报部门，并成立情报联盟(IC)，设立国家情报
总监(DNI)。

16个情报部门均有自己的情报搜集系统，具有各自的顶层架构或规划，相当于建立了16个“烟囱”，加上DNI共有17个“烟囱”。

国防部希望整合多个“烟囱”打造IC的顶层架构，其难度可想而知［12］。

除了美国自身，国际上还有至少5个国家、多于16个机构也同美国建立了情报网络，彼此间的协调交互更是纷繁复杂。

据最近披露的美国政府2013年预算，其中情报部门预算总计526亿美元，比2011年和2012年更多，管理工作主要由美国预算管理办公室(OMB)负责，对应为Ex300预算［13］。

那么，面对预算如此庞大、部门如此众多的高
安全等级的情报系统与网络，该如何进行管理呢?
信息保障技术框架(IATF)提出了信息安全工程模型(ISSE模型)，共分为5个阶段:(1)发掘信息保护需求;(2)确定系统安全需求;(3)设计系统安全体系结构;(4)开发详细安
全设计; (5)实现系统安全。

同时“评估信息保护的有效性”，跨越了整个信息安全工程过程［14］。

然而，针对复杂系统的安全管理问题，采用IATF的ISSE模型，存在一些问题，诸如:虽然具有阶段性，但没有提供并行的方法;没有反映各利益相
关方的复杂性;尤其是从开发的角度，不是由职责/使命驱动，没有高级需求的设计。

没有企业安全计划、没有企业安全策略、没有企业管理架构，导致的必然结果便是效率低下、目标模糊、资源浪费、机构冗余、任务风险和合作问题。

为此，国防部负责情报工作的副部长Michael G．Vickers提出:美国及其盟国面临不断变化、增长、复杂的威胁。

为消除威胁，需建立国防安全企业(DSE)。

DSE是一种治理机制，提供实现安全能力策略上监督和主张的方法，保障支持整个国防部综合优先任务的完成［15］。

这种机制，就是倡导建立一个联合架构，协调各成员企业，集中优
势资源，在必要时保证国家安全。

早在上世纪70年代，美国军方就启动计划试图整合作战所需的所有设备、器材、程序来建立一个大而全的系统，由此逐步的引发企业架构框架(EAF)理论的出现和
发展。

被誉为EAF开拓者的Zachman将企业架构(EA)称为构成组织的所有关键
元素和关系的综合描述，EAF是一个描述企业架构方法的蓝图。

EA可分为两大部分［16］:
①业务架构:是把企业的业务战略转化为日常运作的渠道，业务战略决定业务架构，它包括业务的运营模式、流程体系、组织结构、地域分布等内容。

②IT架构:指导IT投资和设计决策的IT框架，是建立企业信息系统的综合蓝图，
包括数据架构、应用架构和技术架构三部分。

由此可见，EA不仅仅是服务器、应用程序和网络，它涵盖了标准、人员、政策、
流程、系统，其目标在于:将这些内容组织和联系起来成为一个统一逻辑视图用于
给出明确的业务决策［17］。

融合了战略发展、业务以及IT系统的EA，能够建
立有效机制使IT与业务融合，即通过更好的IT运营，产生相应的业务价值，提高核心竞争力。

在尚未构建EA的现有状态下，人员、流程、技术、基础设施每个单独维度都未经集成，则不可能实现一个高效且有效的解决方案;建立EA基线后，开始对单维方法加以集成，然而为实现高效的方案，仍需要大量的返工;而EA实施后，运用多维方法，以协作的方式整合各种活动，可提供业务所需的能力［18］。

为了解决本章开头提出的问题，为满足众多情报部门更好的进行复杂协作的需求，DNI专门成立了联合架构工作组(JAWG)，面向IC的16个成员单位，整合情报部门的顶层企业架构，从而确立了一个情报联盟核心(IC Core)的目标［19］。

JAWG改变传统企业架构模型，建立了联合架构参考模型(JARM)，它是一种任务、业务驱动的互操作模型，也称为10层模型，分为三个层面:1－5层属于落地服务，6－7层属于面向业务的服务，8－10层属于业务驱动层。

模型自顶向下展开设计，每一层都细化和映射到下一层，每一层都是其上一层的支撑和实现［20］。

如图2所示:第9层“主线与场景”，表述为能力范围或主线，可以是诸如搜集外
网国外情报、分析获取国外情报、防卫对抗国外间谍活动、支持关键业务需求等比较大范围的能力方面［21］。

第8层“企业活动与业务操作”表述为企业胜任能力模型(ECM)。

胜任能力模型(Competency Model)又叫素质模型，最早是人力资源管理的概念。

ECM是对使命/业务功能和活动的刻画，是一种表达“做的是什么”的方式，与联邦政府企业
体系架构(FEA)业务参考模型相类似。

它研究了IC400多个功能和活动，提炼成
24个胜任能力，细化为185个功能。

每个能力划分为三类功能:策略/规划、管理、执行［22］。

ECM中的功能对应到企业服务列表(ESL)中的若干服务，由这些服务组合实现功能。

ESL提供了一种业务驱动的、功能化的框架对企业服务进行分类，包含服务域、服务类型和服务组件［23］。

第1－7层逐一由相应的技术服务分类(TST)中相应的服务来实现，如图3所示。

比如第7层“应用与内容”可转换为:规划与分析支撑服务、数据获取服务、元数
据处理服务、开发服务、任务管理服务、任务执行服务、社团服务、应用与内容安全服务等。

其中任务管理服务可再细化为:采集需求管理服务、外部用户状态感知
服务、任务规划、任务工作流管理、任务调度服务等等［24］。

JARM的10层模型依次映射为企业胜任能力模型ECM、企业服务列表ESL、技术服务分类TST，即第4层表示为ECM中的相应能力，每个能力对应的功能表示为ESL中相应的服务，具体的服务又由技术服务分类TST中的相应技术服务实现。

而TST又对应到JARM中的第1－7层。

正因如此，体现了JARM自顶向下展开
设计，每一层都细化和映射到下一层，每一层都是其上一层的支撑和实现［25］。

前述的情报联盟核心(IC Core)就是参照JARM建立起来的，分为10层结构，图4中下半部分对应JARM的1－7层，代表IT架构，上半部分对应JARM的8－10
层，代表业务架构。

IC Core是一系列链接或社区性质的服务、规定和标准、程序、政策的集中性的集合，用于推动DSE联盟彼此协作的业务活动［26］。

(一)商务部NIST标准
SP800－37《将风险管理框架应用到联邦信息系统指南:安全生命周期方法》规定:风险管理框架(RMF)是由NIST与美国各政府机构合作开发的一个通用信息安全框架，其目的是为了提高信息安全，加强风险管理流程。

为了整合贯穿组织的风险管理过程，以及更有效地解决任务/业务问题，RMF使用一种三层的风险管理途径解决风险:(ⅰ)组织层;(ⅱ)使命/业务层; (ⅲ)信息系统层。

风险管理过程在所有的三层
实施，目标是持续改进组织的风险相关的活动，使得在使命/业务层上有共同利益
的人能够有效地跨层和在各自层级之间交流［27］。

第1层从上层组织的角度讨论风险。

在第1层，制定了一个综合的管理架构和机
构范围的风险管理策略。

应用第1层做出的风险决策，继续第2层的活动，从任
务和业务流程(EA)的视角来看待网络风险。

在第3层将从信息系统的角度来定位
风险。

在这层从信息系统级别上来选择和部署所需的保障措施与对策(安全控件)。

第3层的风险活动和决策会受到第1层和第2层的影响［28］。

RMF解决组织关于信息系统的设计、开发、实施、操作、处理和这些系统运作环境的安全问题，由六个步骤组成［29］，如图6所示。

信息系统安全防护遵从风险管理框架，将风险的管理转换为一系列的安全控件，组织风险转换为管理类控件、使命/业务过程风险转换为技术类控件、信息系统风险
转换为运行类控件。

一个信息系统安全控件的选择和规格是信息安全风险管理计划的一部分，需要考虑有效性、效率、联邦法律的约束、行政命令、政策法规、标准和指导方针［30］。

如何对安全控件进行选择、实现、评估和监视，又对应一组
安全任务，核心的包含治理、保护、检测、响应、恢复［31］。

(二)国土安全部基础设施框架
通过政府和私营部门之间的合作而创建一个基于风险的网络安全框架，使用共同的语言，可以根据业务需要用一个具有成本效益的方式解决和管理网络安全风险，而无需对企业施加额外的规章要求。

该框架使用业务驱动因素，以指导网络安全的活动，并将网络安全风险作为组织的风险管理程序的一部分进行考虑。

由三部分组成:核心框架、该框架的实施层级和
框架配置文件。

框架中的每个组件都强调业务驱动和网络安全的活动之间的联系。

核心框架是一系列的在关键基础设施部门通用的网络安全活动、期望的结果和适用的参考。

其横向坐标包括:
●功能:在最高水平上组织基本的网络安全活动
●类别:将功能划分为网络安全的效果群组的细分
●子类别:将一个类别划分为技术和/或管理活动的效果
●参考性文献:包括在关键基础设施领域通用的标准、指南和实践，阐述一个达到与子类别相关效果的方法
纵向坐标表示5个功能:
●识别:组织对管理的系统、资产、数据和性能的网络安全风险的理解
●保护:制定并实施合适的安全防护措施，以确保关键性基础设施服务的提供
●检测:制定并实施适当的活动，以识别网络安全事件的发生
●响应:制定并实施适当的活动，以便对检测到的网络安全事件采取有关的行动
●恢复:制定和实施适当的活动，以保持事后复原能力的计划，并且能够恢复因为网络安全事件受损的任何功能或服务
参照风险管理的思路，框架的实施遵照分层模式，如图9所示。

共分为行政级别、业务/流程级别和实现/运行级别三层。

行政管理层将任务优先级、可利用的资源，以及整体风险承受能力传达给业务/流程层。

业务/流程层使用信息作为输入，与实现/运行层合作交流业务需求，并创建一个轮廓。

同时将配置文件的实施过程传达
给业务/流程层。

业务/流程层使用这些信息来进行影响评估，并向行政管理层报告影响评估的结果，来告知他们该组织的整体风险管理程序;并且会将影响评估的结
果报告给实现/运行层，以便让他们意识到对业务的影响。

(三)国家安全局涉密系统与网络管理
为保护国家安全系统机构提供全面的信息保障指南，提高应对持续攻击的能力和可行性。

描述了保障信息能力的最佳实践方案，这些方案均遵守了当前的政策和标准，并考虑到了当前技术和一些其他限制条件所带来的局限性。

CGS框架由四个首要的网络安全任务所组成:治理、保护、检测、响应与恢复。

这
四个任务专注于那些为网络保密性所必需的能力与行为。

●治理:为各机构全面了解整个组织的使命与环境、管理档案与资源、保证员工的了解与参与、建立跨组织的弹性机制等行为提供指南。

健全的治理为支撑和维持组织结构弹性的保护与防御行为提供基础。

在其他三项的帮助下，在突发事件事前、事中和事后，治理能力都能保证使命的完成。

为了处理安全突发事件和紧急状况，需要积极主动地制定计划和程序，这有助于快速而充分地维护和存储数据以及网络活动。

●保护:为机构保护物理和逻辑环境、资产和数据提供指南。

建立纵深防御，以必须考虑的物理措施和网络体系架构、设备配置、数据安全的进展为起点。

防护能力同时为系统或用户建立身份和访问控制管理，通过生成实体、给实体分配各自属性和元数据(包括权限)，提供各自的凭证和控制访问。

●检测:为识别和防御机构的物理和逻辑事务上的漏洞、异常和攻击提供指南。

网络安全检测对实现态势感知提供了指导。

行业的持续监控措施和技术可能会影响其它的性能，但是描述的目的还是在检测功能上。

通过检测来自个人、进程和技术的异常和攻击，检测功能能够建立企业内部的安全监控。

●响应与恢复:为建立针对威胁和漏洞的有效响应机制提供指南。

必须能够从影响环境的威胁和漏洞中得到快速有效地响应和恢复。

当发生紧急情况或灾难时，响应与恢复能力论述了恢复任务的机制、策略和措施。

将有助于确保环境的稳定性，采取尽快维持正常活动的操作。

2．《可管理的网络解决方案》
该方案是一系列里程碑的集合，讲述如何将一个不可管理的、不安全的网络转变成可管理的、有强大抗攻击能力、更具安全性的网络。

该计划是一个长期的解决方案，一旦网络变得可管理，部署实施任何安全措施并进行验证都将更加有效率和效果。

本方案给出总体性的指导，提供建议和关键性安全提示，包含了8个里程碑和3
个方面的网络安全任务。

［34］
●里程碑:如图11黑色方框所示。

每个里程碑都包含一个“做什么(To Do)”的清单，明确需要考虑的关键点和需要执行的任务。

在理想情况下，只有每一个里程碑全部执行完毕后才能进行下一个里程碑，但有些里程碑也是可以并行执行的。

●网络安全任务:一旦网络可管理了，就可以考虑添加附加功能及安全措施。

安全任务就是针对可管理网络的相关安全措施的实施。

显然，实施什么内容、如何实施对于网络来说至关重要。

定义了三个方面的网络安全任务:
(1)业务功能任务:如图11绿色方框所示。

制定安全策略，指明网络该如何使用;制
定备份策略，保证在突发故障或数据丢失的情况下业务能够正常运行。

对管理员和用户进行培训，使得可以更好的使用和保护网络。

针对意外事件，制定应急响应与灾难恢复计划，避免造成重要信息丢失或某些业务崩溃。

(2)基于主机的安全:如图11棕色方框所示。

确保程序和代码必须经过验证才能在
网络上运行。

利用病毒扫描和HIPS检测可疑行为，消除威胁。

在个人电子设备和可移动载体接入网络和系统时，进行授权。

避免敏感数据未经授权的访问、修改、破坏和泄露。

(3)网络监视与控制:如图11蓝色方框所示。

禁止设备自动连接到所有资源，使用
专用通道对接入网络中的设备进行管理。

提供一种允许、拒绝或修改节点间流量的方法，使敏感信息与依赖基础设施的网络进行充分隔离。

检测流量异常，发出告警。

确保未授权用户不能利用不安全的协议或机制访问网络。

管理和保护日志文件确保能在需要时恢复。

能很好地控制网络的升级和扩展。

制定审计策略验证网络是否符合安全政策。

(四)美国非涉密网络评估
DHS首要责任是维护国家非涉密网际空间的安全。

咨询公司Rand受DHS委托，考察了《未来网络空间安全规划》这一报告中呈现的未来网络功能和这些功能是怎样与一系列的网络安全活动相互配合来保护一个网络的。

进而提出了一个方法用于评估网络安全的防御活动。

［35］
DHS初衷是制定和建议一个网络防御战略。

在这份报告中，提出了拥有100多个措施的集合，该集合可以作为网络防御战略的要素。

采用一种特殊方法使得可以根据措施之间的依赖性来对措施进行分配和划分优先级。

这种特殊方法的思路为:通过层次分解组织关系，假定直接相关的任何两个活动可
以被表征为具有亲子关系，选择旭日图加以表现;图表不只是显示纵向关系(亲子)，各分支之间也有关系，每个动作的相对重要性是通过该动作与同环的其他动作(一
个共同的父动作的其他孩子活动)在环中占据的角度楔大小关系决定的，角度越大，说明该防御策略越重要。

报告认为网络安全的总体目标是:降低网络攻击预期损失。

将措施分为四个基本策
略来支持这个目标，即为第一环所示。

四个基本策略是完整的，也是不同的，但在实践中是有重叠的。

各自的角度，“弱化攻击”分配180°，“加速恢复”分配40°，“减少暴露”和“增加弹性”都分配70°。

可以看作相对重要性或优先级近
似值而不是精确值，如“弱化攻击”比“加速恢复”更重要。

通过上述对美国高安全等级信息系统与网络管理相关标准、框架和指南的分析，认
为美国涉密系统与非密系统的安全防护要求存在以下差别:
●非密系统安全防护侧重于可用性和完整性，涉密系统安全防护侧重保密性和完整性，涉密是在非密基础上的细化和强化;
●在“治理、保护、检测、响应、恢复”五方面:在治理方面，非密系统要求较弱，注重响应和恢复。

在保护与检测方面，涉密系统安全防护的目标是“尽量不被攻击”，而非涉密系统的目标是“尽量减少攻击损失”;
●涉密系统在物理防护、物理监控和人员身份控制等方面比非密系统的要求高;
●非密系统安全防护的要求是建议和推荐的，配备的安全组件不多;涉密系统安全防护严格依据等级要求建设，合规性要求严格;
●涉密系统的集中控制和集中管理的要求比较多。

1．风险管理、业务驱动:没有绝对安全，只有相对安全，即在满足组织最终业务目标的前提下、在可接受的风险范围内的安全。

建设系统的首要问题是要解决职责和使命的实现，既是出发点也是落脚点，系统的安全最重要的是使命的安全，所谓的目标导向，而非技术导向。

无论是JARM的10层模型还是RMF的三层管理途径，首先都从认识风险出发。

其次依据风险建立业务架构，梳理能力和功能，以使命/
业务驱动IT架构建立。

在每日运行中，支持使命和业务功能的IT系统应达到“充分必要”的安全，来完成组织所规定的使命和业务功能。

2．分层架构、集中管控:复杂系统的研究与运行基本要靠分层和分工完成，分层架构会更重视营造生态环境，专注于自己关注层面的问题，提高相邻层面的沟通和理解能力。

JARM的10层模型和RMF的三层管理途径，都遵从风险－业务－技术
的层级模式，自顶向下，从抽象到具体，彼此衔接，相互映射，切实做到业务指导技术，技术支撑业务。

高安全等级网络的安全防护要提高集中智能化管理的能力，需要整合资源，建立数据和业务驱动的统一安全管理平台，提高“安全一切尽在掌控之中”的用户感受。

3．关注运行、兼顾物理:重视运行安全，实行全面监控和持续评估，注重系统的响应与恢复能力。

关注供应链安全，加强技术手段的使用。

持续关注物理信息安全风险和密码技术的应用，重视基础设施的安全防护，保障系统的可用性。

【相关文献】
［1］美国政府报告．网络空间政策评估［R］．(2009)［2011－09－12］
http://wenku．baidu．com/link?url= r1HcQG7kt4V-zs-Nwm9W35 _
lNNI7BZvwha6dNLHDiT3GQMnGizvbTfDdSuw
2y8nVHaoAUbG72JChCls6TQL1UxZgC9pofw OBiR7V36Oh3—i
［2］邱惠君、黄鹏．解读美国《网络空间安全国家战略》［J］．信息网络安全．2005.3:65－67．［3］《第20号总统政策指令》译文摘录［J］．保密科学技术．2013.6:20－24．
［4］［6］［8］刘峰、林东岱．美国网络空间安全体系［M］．北京:科学出版社．2015:1－2; 1;8．
［5］United States Department of Homeland Security［EB/OL］．［2016.7.2］
https://en．wikipedia．org/wiki/United_States_Department_of_ Homeland_Security
［7］National Security Agency ［EB/OL］．［2016.7.18］https://en．wikipedia．org/wiki/ National_Security_Agency
［9］National Institute of Standards and Technology［EB/OL］．［2016.7.8］
https://en．wikipedia．org/wiki/National_Institute_of_Standards_ and_Technology
［10］Federal Information Processing Standards［EB/ OL］．［2016.5.23］
https://en．wikipedia．org/ wiki/Federal_Information_Processing_Standards
［11］王惠莅，杨晨．SP 800系列信息安全标准研究［J］．信息技术与标准化．2011.5:65－69．［12］［19］［20］［21］［22］［24］［25］［26］Randy Marks．Enterprise Architecture in the Intelligence Community:The JointArchitecture Working Group(JAWG)［R］．(2013)http://cryptome．org/2013/09/nsa-spy-architecture．pdf
［13］CIRCULAR NO．A–11 PART 7 PLANNING，BUDGETING，ACQUISITION，ANDMANAGEMENTOF CAPITAL ASSETS
［R］．(2011.8)https://www．whitehouse．gov/sites/
default/files/omb/assets/a11_current_year/ s300．pdf
［14］中国信息安全产品测评认证中心．安全工程［EB/OL］．［2014.4.29］
http://wenku．baidu．com/link? url = NiQvJw1o3w64AUKjomrgvg
rc3laFgIpAIzZRfTJqhM7o8mHrIlcYC6p4NbH9 corDnyV9IWuDXssd8cSYJd1JhwY-bV3bb
wM-cfYRZKNoeUJK。