3美国信息安全保障体系建设研究.
浅谈中国国家信息安全战略
浅谈中国国家信息安全战略关键词:信息安全国际信息安全威胁中国信息安全战略摘要:当今世界,和平与发展是时代的主题。
国家的发展需要和平稳定的建设环境,需要国家安全保障。
随着现代技术的发展,信息技术已经成为隐形的国际斗争的工具,某种程度上来说,鼠标、键盘和子弹、炸弹一样危险。
信息安全是国家安全的独立的基本要素,也影响着政治、军事、经济等其他要素。
对于中国而言,必须广泛吸收借鉴发达国家的经验,完善信息安全战略,健全信息安全体制,保障国家信息安全。
一、信息安全简述(一)、什么是信息安全从一个主权国家的角度来讲,信息安全属于非传统安全范畴。
非传统安全是指除军事、政治和外交冲突以外的其他对主权国家及人类整体生存和发展构成威胁的因素。
1信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。
2(二)、信息安全的重要性随着现代科学技术的发展,尤其是互联网的诞生为信息战提供的巨大技术支持,信息技术已经成为隐形的国际斗争的工具。
某种程度上来说,轻轻敲击一下键盘和发射一枚炸弹危险程度不相上下。
信息安全是国家安全的基本要素,举足轻重地影响着政治、军事、经济等其他要素。
二、国际信息安全现状分析(一)、信息安全威胁事件回顾1.1991年的海湾战争中,美国偷偷把一套带有病毒的同类芯片换装到伊拉克从法国购买了一种用于防空系统的新型电脑打印机里。
当美国领导的多国部队发动“沙漠风暴”行动,空袭伊拉克时,美军用无线遥控装置激活了隐藏的病毒,致使伊拉克的防空系统陷入了瘫痪。
1夏超然,2008年非传统安全问题的新挑战与国家安全战略的应对之策,《理论观察》2009年第1期2资料来源:“信息安全”维基百科/wiki2.1999年北约部队对南联盟发动空袭的同时,也利用信息战技术破坏无线电传输、电话设施、雷达传输系统等,甚至通过入侵电台广播进行心理战。
而南斯拉夫则通过宗教、族群意识对本国军民从事精神动员,并反制北约的宣传。
信息安全保障体系建设研究
信过程安全到保 障信息 自 身各个方 面的安全 , 最终走 向了今 天的信 息安全保障 。信息安全保 障的内容 , 也从先前单纯 的
信息加 密 、 通信保密 , 变为综合交叉 了数学 、 计算机 、 外语 、 电 子、 通信 、 物理 、 法律 、 管理等学科相关理论和技术的大杂烩 。 信息安全保障体 系概括地讲是 在保证效 率的前提下 , 确
中图分 类号 : F 1 2
文献标 志码 : A 文章编号 : 1 6 7 3 — 2 9 1 X ( 2 0 1 3 ) 2 5 — 0 2 0 1 — 0 3
2 0 1 3 年央视“ 3 ・ l 5 ” 晚会曝光 : 某些 网络公 司通过追踪用
因素 ; 通过采取 防护、 检测 、 预警 等手段排除风险 , 运用灾备 、 恢复及反击等安全保障策略 ,来保 障信息 系统 的完整性 、 保 密性 、 可控性 和可用性 ; 降低安全风险 到可接受 的程度 , 保障 系统运行效率和应用系统 的服务质量 , 实现系统组织机构 的 使命 。通俗地讲就是实现信息系统 的非服务对象进不来 , 拿 不走 , 改不 了, 看不懂 , 跑不 掉 , 打不垮。 通过建设安全保障模 型, 使 系统具备信 息安全 防护 、 及时发现隐患 的能力 , 必要时 提供 网络应急反应和灾难备份 , 甚至能够实现信息对抗等反
收 稿 日期 : 2 0 1 3 — 0 6 — 2 8
构, 即应用层 、 表示层 、 会话 层 、 传 输层 、 网络层 、 数据链 路层
和物理层。
作 者简 介: 张显恒( 1 9 8 0 一 ) , 男, 河南南阳人 , 教 师, 助理馆 员, 从事信 息安全研 究。
2 0 1 3 年第 2 5期
经济研究导刊
信息化安全保障体系建设方案
信息化安全保障体系建设方案随着信息技术的迅速发展,各行各业都在日益依赖于信息化系统,而信息安全问题也逐渐引起了广泛关注。
为了保障企业的信息系统安全,构建一个完善的信息化安全保障体系是非常重要的。
本文将提出一份信息化安全保障体系建设方案。
一、制定信息安全管理策略首先,企业需要明确自己的安全目标,并制定相应的信息安全管理策略。
该策略应包括安全意识教育培训、安全规章制度建立、风险评估与控制、安全事件响应等内容,以确保全员参与到信息安全工作中。
二、加强物理安全措施为了保障系统的物理安全,企业应加强对机房和服务器等重要设施的保护。
采取措施如加强门禁管控、安装监控摄像头、加密存储设备等,以防止未经授权的人员进入和设备丢失或损坏。
三、加强网络安全防护网络安全是信息化安全的重要环节,企业应加强网络安全防护措施。
包括建立防火墙、安装入侵检测系统、定期进行漏洞扫描和安全评估等,确保网络安全稳定可靠。
四、加强身份认证与访问控制为了防止未授权人员访问系统,企业应实施身份认证与访问控制措施。
采用强密码策略、双因素认证、访问权限管理等方法,限制系统访问权限,确保系统只被授权人员使用。
五、加强数据备份与恢复数据备份与恢复是信息化安全中不可或缺的环节。
企业应建立完善的数据备份策略,定期备份关键数据,并进行数据恢复测试,以确保在意外情况下能够及时恢复数据。
六、加强安全事件响应与处置企业应建立健全的安全事件响应与处置机制,以应对各类安全事件的发生。
这包括建立安全事件管理团队、建立响应流程和标准、定期演练等,从而提高对安全事件的警觉性和应对能力。
综上所述,一个完善的信息化安全保障体系需要综合考虑物理安全、网络安全、身份认证与访问控制、数据备份与恢复、安全事件响应与处置等多个方面。
企业应根据自身需求和实际情况,制定合适的安全保障方案,并定期进行评估和更新,以应对日益复杂的信息安全威胁。
通过建立和执行这些措施,企业能够更好地保护其信息资产和业务运作的安全。
国内外信息安全研究现状及发展趋势
国一直宣称维护个人自由的美国却在私底下收集别人的隐私,一方面体现了实用主义的双重标准,另一方面也是不自信的表现。
美国情报机构对个人的监控早已有之。
从1958年到1965年,联邦调查局局长胡佛就曾秘密收集包括总统在最后,十分感谢斯诺登,是他让我们警醒,这给中国维护信息安全敲响了警钟。
一、信息安全的现状1、产业背景目前国际上围绕信息安全的斗争愈演愈烈。
在全球信息化的同时,各种新攻击与防护技术(如对工业控制系统的攻击、无界浏览器、网络刷票、免杀等)、新攻击与防护方法(如网络身份证、云安全等。
)层出不穷。
这些新攻击与防护技术所带来的安全问题尤其突出,因此有必要对这些新攻击与防护技术、方法、所带来的安全问题进行系统分析,识别对国家安全和社会稳定所带来的风险和影响。
信息网络安全是美国三大核心国家战略之一,如果说在工业时代是以核战争为中心,那么在网络时代是就是以网络战为中心。
美国奥巴马政府把加强信息安全作为振兴美国经济繁荣和国家安全的重大战略,同时把加强信息安全教育和人才队伍培养列为保障网络空间安全战略的重点,以此来确保美国控制全球信息的绝对优势。
我国十分重视信息网络安全,已经将信息安全作为优先发展的前沿技术列入了“国家中长期科学和技术发展规划纲要(2006-2020年)”。
为了更好地了解国国务院发布的十二五规划纲要,描绘了未来五年我国经济会发展的宏伟蓝图,其中信息技术行业由于位列七大战略性新兴产业,并对推动经济会其他各领域的发展意义重大,从而成为十二五规划的重要国内外信息安全发展的新动向1.1美国信息安全发展新动向2010年1月,美国防部高级研究计划局(DARPA)拨款5560万美元推进建立一个原型的高级计算中心一一国家网络靶场(NCR),这是DARPA为实现布什政府提出的“国家网络综合倡议”(CNCI)的一个重要举措。
NCR将提供一个由先进计算机和数据网络组成的“测试平台”,以实现下列功能:1)评估信息保障技术和工具;2)复制各类大型复杂的计算机网络,以支持美国防部的网络战武器和操作;3)同一时段进行数个大型网络安全试验;4)模拟真实的美国全球信息网格试验;5)开发和部署网络测试能力。
中美信息安全意识培养模式的比较研究
例如 ,联邦计算机 服务 ( C ) 目 括研究联邦 各机构 内的 FS项 包
信息安全职位、 对联邦雇员提供培训和认证 。服务奖学金 ( F ) S S 项 目资助研究 生和本 科生 的信息安 全课 程学 习。 中小学 拓广
Meln大学软件工程 学院的 C RT协 作中心提 供应 急响应 和 lo E 信息安全 的课 程培训 。
摘 要 :文章通过 对 中美信 息安全 意识 的培 养模 式进行 比较研 究 ,借 鉴 美国在该领 域 内的先进理 念和 经
验 ,分析我 国在该领 域 内存在 的 问题 ,对 于促进全 民信息安 全意识 的提 升具有 长远 的意义 。 关 键词 :信 息安全 ;信息安 全意识 ;信息安 全防护 中图分 类 号 :T 33 8 文献标 识码 :A 文章 编 号 :17 — 12( 0 1 0 — 08 0 P9. 0 6 1 12 2 1 ) 6 08 — 3
Th m p rs n o c e sn n o m a i n S c rt eCo a io f n r a i g I f r to e u iy I
C 0 s i us s t e i ndAm e i a n cO ne sbe we n Ch na a rc
际需要 】 国国家关键 基础 设施 保证 办公 室 ( I 。美 C AO)指定
认证系统安全项 目 师和 R A认证 系统项 目师等等。 S
14学 校 研 究 .
大学 科研 院所从事信息安全 教育和研 究。美 国许 多大学 和科研 院所在信息安 全领域提供 本科和研 究生课程 ,设置相 应 的学位和研究 中心。P ru 大学 的信息保障 和安全教育研 ud e 究 中心倡导在信息和信息资源保 护技术方面的革新 , 并致 力于 发展和提高信息保障和安全方面的知识 。C reiMel ange l n大学 o
信息安全保障体系
信息安全保障体系信息技术的快速发展和广泛应用,给我们的生活带来了便利,但也带来了一系列的信息安全问题。
针对这些问题,建立一个完善的信息安全保障体系是非常必要的。
本文将介绍一个具备全面保护信息安全的体系。
1. 信息安全保障的重要性信息安全是指对信息的保密性、完整性和可用性进行保护,以防止未经授权的访问、篡改、破坏和泄露。
信息安全保障体系的建立可以有效预防各类信息安全事件的发生,保护用户的隐私和利益,维护社会安全稳定。
2. 信息安全保障体系的要素一个完善的信息安全保障体系包括以下要素:(1)政策与法规:国家和组织应当制定相关的信息安全政策和法规,明确信息安全的要求和责任,规范信息的合法使用和保护。
(2)组织与人员:建立专门的信息安全管理部门,负责组织和协调信息安全保障工作,将信息安全纳入组织的日常管理中,确保人员合规操作和意识到信息安全的重要性。
(3)技术与设备:采用先进的信息安全技术和设备,包括防火墙、入侵检测系统、数据加密等,保障信息的传输和存储的安全。
(4)安全审计与监控:建立信息安全审计和监控机制,对信息的使用和访问进行监控和审计,及时发现和防范安全威胁。
(5)应急响应与恢复:建立完善的信息安全事件应急响应机制,制定应急预案,面对安全事件能够及时响应、有效处理和迅速恢复。
3. 信息安全保障体系的实施流程信息安全保障体系的实施包括以下流程:(1)风险评估与分类:对组织的信息系统进行评估和分类,确定安全风险的等级和范围。
(2)制定安全措施:根据风险评估结果,制定相应的安全措施,包括物理安全、网络安全、数据安全等方面。
(3)实施控制措施:采取适当的技术和管理手段,实施控制措施,防范安全威胁和风险。
(4)监测与评估:对安全措施的实施进行监测和评估,确保措施的有效性和合规性。
(5)持续改进:根据监测和评估结果,进行持续改进和优化,及时修正不足和漏洞。
4. 信息安全保障体系的案例应用信息安全保障体系在各行业都得到了广泛的应用。
信息安全保障体系课件
国家四局办[2004]66号《关于信息安全等级保护工作的实施意见的通知》
等级
安全功能
保障/有效性
国家管理程度
对象
管理
技术
一级
基本
用户自主保护
基本保障
自主
中小企业
二级
必要
系统审计保护
计划跟踪
指导
一般信息系统
三级
体系化
安全标记保护
良好定义
监督
基础信息网络、政府、大型企业四级结构化源自护2.1.2 信息安全属性
可控性(Controlability)
指对信息和信息系统实施有效的安全监控管理,防止非法利用信息和信息系统保障(Assurance)
为在具体实现和实施过程中,保密性、完整性、可用性和可追究性等得到足够满足提供信心基础,这种信心基础主要通过认证和认可来实现。
2.1.3 信息安全保障体系结构
机制
加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证、可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复、电磁辐射控制、抗电磁干扰等。
服务
鉴别/身份认证、访问控制、数据机密性、数据完整性、抗抵赖、可靠性、可用性、安全审计等。
管理
技术管理策略、系统安全管理、安全机制管理、安全服务管理、安全审计管理、安全恢复管理等。
2.3.5 信息安全原则
安全是相对的,同时也是动态的,没有绝对的安全!安全是一个系统工程!信息安全技术原则最小化原则分权制衡原则安全隔离原则
小 结
本章从信息安全范畴、衡量信息安全的属性出发,介绍了信息安全保障体系,信息安全保障包括人、政策和技术工程方法,使用各类安全机制实现安全服务,满足安全功能需求。信息安全防御体系构建应该是动态和可适应的,以策略为核心,实施评估、保护、监测、响应和恢复等环节的闭环管理。最后介绍了等级保护、风险评估和安全测评的内容与方法,以及它们之间的关系。本章从整体上概括了信息系统安全保障体系和实施的工程方法。
IATF信息保障技术框架
IATF,信息保障技术框架IATF:Information Assurance 'urns Technical Framewor k 是美国国家安全局NSA National Security Agency 制定的,描述其信息保障的指导性文件;在我国国家973“信息与网络安全体系研究”课题组在2002年将版引进国内后,IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用; Assurance n. 保证,确信,肯定,自信,人寿保险一、IATF概述1.IATF形成背景建立IATF主要是美国军方需求的推动;上世纪四五十年代,计算机开始在军事中应用,六七十年代网络化开始发展,这些发展都对信息安全保障提出了要求;从1995年开始,美国国防高级研究计划局和信息技术办公室DARPA/ITO就开始了对长期研发投资战略的探索,以开展信息系统生存力技术的研究;1998年1月,国防部DoD副部长批准成立了DIAP国防范畴内信息保障项目,从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督;DIAP形成了国防部IA项目的核心部分;除了军事机构外,随着社会的发展,各种信息系统已经成为支持整个社会运行的关键基础设施,而且信息化涉及的资产也越来越多,由此产生的各种风险和漏洞也随之增多,而且现有的技术无法完全根除;面对这些威胁,人们越来越深刻地认识到信息安全保障的必要性;在这个背景下,从1998年开始,美国国家安全局历经数年完成了信息保障技术框架这部对信息保障系统的建设有重要指导意义的重要文献;2.IATF发展历程IATF的前身是网络安全框架NSF,NSF的最早版本和版对崭新的网络安全挑战提供了初始的观察和指南;1998年5月,出版了版,对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容;1998年10月,又推出了版;到了1999年8月31日,NSA出版了,此时正式将NSF更名为信息保障技术框架;版将安全解决方案框架划分为4个纵深防御焦点域:保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施;1999年9月22日推出的版本的变更主要以格式和图形的变化为主,在内容上并无很大的变动;2000年9月出版的版通过将IAT F的表现形式和内容通用化,使IATF扩展出了DoD的范围;2002年9月出版了最新的版本,扩展了“纵深防御”,强调了信息保障战略,并补充了语音网络安全方面的内容;目前正在编制之中;随着社会对信息安全认识的日益加深,以及信息技术的不断进步,IATF必定会不断发展,内容的深度和广度也将继续得到强化;3.IATF的焦点框架区域划分IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域:网络和基础设施,区域边界、计算环境和支撑性基础设施;在每个焦点领域范围内,IATF都描述了其特有的安全需求和相应的可供选择的技术措施;IATF提出这四个框架域,目的就是让人们理解网络安全的不同方面,以全面分析信息系统的安全需求,考虑恰当的安全防御机制;二、IATF与信息安全的关系IATF虽然是在军事需求的推动下由NSA组织开发,但发展至今的IATF已经可以广泛地适用于政府和各行各业的信息安全工作了,它所包含的内容和思想可以给各个行业信息安全工作的发展提供深刻的指导和启示作用;1.IATF的核心思想IATF提出的信息保障的核心思想是纵深防御战略Defense in Depth;所谓深层防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全;在纵深防御战略中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可;我们知道,一个信息系统的安全不是仅靠一两种技术或者简单地设置几个防御设施就能实现的,IATF为了我们提供了全方位多层次的信息保障体系的指导思想,即纵深防御战略思想;通过在各个层次、各个技术框架区域中实施保障机制,才能在最大限度内降低风险,防止攻击,保护信息系统的安全;此外,IATF提出了三个主要核心要素:人、技术和操作;尽管IATF重点是讨论技术因素,但是它也提出了“人”这一要素的重要性,人即管理,管理在信息安全保障体系建设中同样起到了十分关键的作用,可以说技术是安全的基础,管理是安全的灵魂,所以应当在重视安全技术应用的同时,必须加强安全管理;2.IATF的其他信息安全IA原则除了纵深防御这个核心思想之外,IATF还提出了其他一些信息安全原则,这些原则对指导我们建立信息安全保障体系都具有非常重大的意义;1保护多个位置;包括保护网络和基础设施、区域边界、计算环境等,这一原则提醒我们,仅仅在信息系统的重要敏感设置一些保护装置是不够的,任意一个系统漏洞都有可能导致严重的攻击和破坏后果,所以在信息系统的各个方位布置全面的防御机制,这样才能将风险减至最低;2分层防御;如果说上一个原则是横向防御,那么这一原则就是纵向防御,这也是纵深防御思想的一个具体体现;分层防御即在攻击者和目标之间部署多层防御机制,每一个这样的机制必须对攻击者形成一道屏障;而且每一个这样的机制还应包括保护和检测措施,以使攻击者不得不面对被检测到的风险,迫使攻击者由于高昂的攻击代价而放弃攻击行为;3安全强健性;不同的信息对于组织有不同的价值,该信息丢失或破坏所产生的后果对组织也有不同的影响;所以对信息系统内每一个信息安全组件设置的安全强健性即强度和保障,取决于被保护信息的价值以及所遭受的威胁程度;在设计信息安全保障体系时,必须要考虑到信息价值和安全管理成本的平衡;三、IATF对档案信息安全的启示档案信息化是我国信息化事业的一个重要组成方面,而且档案信息的特殊性使得档案在信息化过程中将面临更多更严峻的考验,其中档案信息安全问题是档案信息化工作中的首要关键问题;由于IATF的广泛适用性,使得它对档案信息安全保障体系的建设也具有相当重要的启示和指导意义;我们可以根据IATF所关注的四个技术框架焦点区域,并结合IATF的纵深防御思想和IA原则,来对档案信息安全保障体系的建立进行分析和考虑:1.网络与基础设施防御网络和支撑它的基础设施是各种信息系统和业务系统的中枢,为用户数据流和用户信息获取提供了一个传输机制,它的安全是整个信息系统安全的基础;网络和基础设施防御包括维护信息服务,防止拒绝服务攻击DoS;保护在整个广域网上进行交换的公共的、私人的或保密的信息,避免这些信息在无意中泄漏给未授权访问者或发生更改、延时或发送失败;保护数据流分析等;对档案信息系统来说,数据的安全交换和授权访问是最基本的要求,所以必须保证网络及其基础设施能在无故障、不受外界影响的情况下稳定可靠地运行,不会由于安全设备的引入造成时延或数据流的堵塞,并保证所传输的数据不会被未授权的用户所访问;这就要求档案部门在建立网络时要事先考虑到可能的业务类型和访问量等,保证建立的网络具有足够的带宽和良好的性能来支持这些服务和业务,并能有效抵抗恶意攻击;除了对网络和基础设施进行优化配置管理以外,档案部门还应根据业务和信息的重要程度来进行网络隔离或建立虚拟专用网VPN,从物理或逻辑上将业务网和互联网实施隔离,使信息能在一个专用的网络通道中进行传递,这样能有效减少来自互联网的攻击;2.区域边界防御根据业务的重要性、管理等级和安全等级的不同,“一个信息系统通常可以划分多个区域,每个区域是在单一统辖权控制下的物理环境”,具有逻辑和物理安全措施;这些区域大多具有和其他区域或网络相连接的外部连接;区域边界防御关注的是如何对进出这些区域边界的数据流进行有效的控制与监视,对区域边界的基础设施实施保护;档案部门在建立局域网时,应该考虑将业务管理和信息服务系统划分为不同的安全区域,根据区域的安全等级在每个区域边界设置硬件或软件防火墙身份对访问者进行身份认证;部署入侵检测机制,以提高对网络及设备自身安全漏洞和内外部攻击行为的检测、监控和实时处理能力;设置防毒网关,防止病毒通过网络边界入侵应用系统;设置VPN连接设备,以实现各个区域和网络之间的安全互连等;总而言之,要确保在被保护区域内的系统与网络保持可接受的可用性,并能够完全防范拒绝服务这一入侵攻击;3.计算环境防御在计算环境中的安全防护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统,这些应用能够提供包括信息访问、存储、传输、录入等在内的服务;计算环境防御就是要利用识别与认证I&A、访问控制等技术确保进出内部系统数据的保密性、完整性和不可否认性;这是信息系统安全保护的最后一道防线;在档案信息系统中,保护计算环境可以考虑以下方式:保护应用系统程序安全,包括使用安全的操作系统和应用程序;在关键服务器上部署主机入侵检测系统和主机审计策略,以防止来自区域内部授权访问者或管理人员的攻击;防病毒系统,防止来自网络之外的病毒感染;主机脆弱性扫描,以减少主机漏洞,实现对主机的最优化配置;关键的配置文件或可执行文件实施文件完整性保护等;4.支撑性基础设施支撑基础设施是一套相关联的活动与能够提供安全服务的基础设施相结合的综合体;目前纵深防御策略定义了两种支撑基础设施:密钥管理基础设施KMI/公钥基础设施PKI和检测与响应基础设施;KMI/PKI涉及网络环境的各个环节,是密码服务的基础;本地KMI/PKI提供本地授权,广域网范围的KMI/PKI提供证书、目录以及密钥产生和发布功能;检测与响应基础设施中的组成部分提供用户预警、检测、识别可能的网络攻击、作出有效响应以及对攻击行为进行调查分析等功能;就档案信息系统而言,需要建立一个用于管理整个网络的加密认证装置、VPN设备等组件的密钥管理中心,对密钥的的生成、备份、传递、分发、使用、更新、恢复和销毁进行统一的管理;同时要部署入侵检测系统、审计、配置系统,以提高系统的安全强度,保护数据的机密性、完整性和可用性;IATF的四个技术焦点区域是一个逐层递进的关系,从而形成一种纵深防御系统;因此,以上四个方面的应用充分贯彻了纵深防御的思想,对整个信息系统的各个区域、各个层次,甚至在每一个层次内部都部署了信息安全设备和安全机制,保证访问者对每一个系统组件进行访问时都受到保障机制的监视和检测,以实现系统全方位的充分防御,将系统遭受攻击的风险降至最低,确保档案信息的安全和可靠;。
科研信息化安全保障体系建设方案
与美 国同样关注信息安 全的国家包括 俄罗斯和 日本。1 9 ,俄罗斯颁布了 《 9 5年 联邦信息 、信息化和信息保护法》 9 7年 } ;19 ¨
台的 《 俄罗斯国家安全构想 》明确提出 : 障国家安全应把保 障经济安 全放在第一位 ”而 “ “ 保 , 信息安全又是经济安全 的重 中之重” 。
20 0 0年 ,普京总统批准了 《 国家信息安 全学说 》 日本也制定了国家信息通信技 术发展战 略,强调 “ 。 信息安全 保障是 日本综合安 全保 障体系的核心” ,出台了《 l 2 世纪信息通信 构想 》和 《 信息通信产业技术 战略 》 。 我国也很重视信息安 全保 障体系建设 。19 9 4年,国务院发布了《 中华人 民共和国计算机信息 系统安全保 护条例》0;19 9 9年
推动的典 型代表 。19 9 8年 5 月,美 国政府颁发 《 保护美国关键基础设施 》总统令 (DD一 3。19 P 6 ) 9 8年美 国国家安全局制定了《 信 息保障技 术框 架 》(A ) I TF ,提出了 “ 度防御策略” 0 0年 1 深 。2 0 月,美国发布了《 保卫美 国的计算 机空间—— 保护信息系统 的国 家计划 》 ,制定m美国联邦政府关键 基础设施保护计划 以及州和地方政 府的关键 基础设施保障框架 ,是当前国际信息安 全保障框
安全保障 T作的意见》 中办发 『 0] 号) 0 ( 2 3 7 明确要求推进认证认可工作 。目前,国内在大规模信 息 0 2 系统的信息安全保 障体系方
面已有一些_ T作正在开展。例如,我 国正在大力建设 的国家电子政务外网是按照中办发 【0 21 2 01 7号文件和 【0 61 20 1 8号文件的要求 建设 的政务网络平台,我国当前正在进 行的等级保护T作 则依据等 保系列标 准 G / 2 3 — 0 8 BT2 29 2 0 和相关文件要求进行。
美国公共部门信息安全体系建设探究
t I叫分 卉
J
全 国 警 报
对 f 旨怖悟自卣 自席蛊 日求 娃. ‘ { 色闩传l Ⅲ
求 忏 鲁 幸 l 蛆 1 Ⅲ ‘ 喾 批 件向 性 孥
幔 心 茉 统 十 蔓 j Ⅲ『 【 拉 书箭 必 车 护 自
l 并
州盱Jf £官 会曲安
^
坷 过
』 怦刹啦 求与秸们n 种. 吐^州l 挂水 I / 。
候 .睦 j戚 删 为 J ' I J 1 I 姜I 醴八皇攻
样
技 盟 r 醍讹 曲 曲 f I = - H 1
坎 雄 血 f蛳
几 d抵御返 , 1 溅师
北挪 门 的 酮 f 自玉 此 胁 的影 u . r 1
I 秣 小 r l H肌托
举全【 ] ≈付 T E T钎垒佰自 f I 挑进 r嚣 【 t 作【
C ER T/ C C
1
年 卡内
悔伦 上 学拽 1 研芄 所 《 ¨ 刮 雅 F
泣rC R r c S I J搿 歧n…啪硅1的 ・ E , c E 是 】 1 驯 .H , I 一扑 雎 ̄ i怛J的特- . 『 ' 1『 l q 攸打 I 1 凶 - 鞲件 /
个常 备 中心相 连 ,由这个 中心 协 调州 政府 企业 的 应急 反
应和 恢复 工作 。 有 些州 际安 全 信 息共享 和 分析 中心 由机构 内部成 员 组
成 , 于州首席 安全 官 向本 系统 负责 I 便 T的官员发 出警报 。 这
些中 心还 便于 成 员共 同就入 侵 事件 进行 分 析和 提 出反 应建
模 式 中的一 种 。
根 据权 限为 本 部 门和本 机构 作 出 决策 的权 力 。为 了达 到 分支 机构 与企业 本 身 的平衡 , T管理 条例 I
信息安全保障体系的建设及其应用
信息安全保障体系的建设及其应用信息安全是现代化社会的重要组成部分,信息安全保障体系的建设及其应用也是现代企业所面临的重要问题之一。
在互联网的时代下,信息安全问题已变得异常重要。
从小的家庭到大的政府机构,几乎所有人都有需要保护信息安全的需求。
因此,建立一个有效的信息安全保障体系已经成为人们越来越迫切的需求。
一、信息安全保障体系的定义信息安全保障体系是一个系统性的、动态的、自我调节的、全面保障信息安全的方法论,它通过技术管理等手段,确保机构内部的信息安全和人员交流的安全。
二、信息安全保障体系的建设与应用1、建设一个完善的信息安全保障体系一个完善的信息安全保障体系应该从以下几个方面入手:(1)身份验证:通过识别用户的身份来控制其访问的内容和权限,保障机构内部信息的安全。
(2)防火墙:通过防火墙来保证数据的完整性、保密性和可用性,有效地控制网络访问。
(3)数据加密:使用数据加密技术对机构内部的重要数据进行加密保护,以确保未经授权的人无法访问该信息。
(4)安全策略:运用安全策略的组合来保障网络和服务器的安全,确保机构信息安全系统的完整和可靠性。
2、信息安全保障体系的应用(1)保障机构内部信息安全:在机构网络中复杂的和较为普遍的技术手段,包括防火墙、口令认证、主机安全、访问控制传输加密等。
(2)保护客户信息:通过密码保护或其他机制保护客户信息的隐私和机密性。
(3)保护机构业务:保护机构重要商业信息的机密性,包括对机构的客户声誉、产品信息和市场信息的保护等。
三、信息安全保障体系的优势1、完善的信息安全保障体系,可以更好地确保机构的隐私和商业机密。
2、信息安全保障体系可以全面地保障用户的个人隐私,防止隐私泄露,从而有效地维护用户的合法权益。
3、信息安全保障体系可以通过技术手段,如防火墙、远程访问控制、数据加密等,保护机构的信息不被黑客攻击、病毒感染等有害影响。
4、完整的信息安全保障体系能够确保机构业务的完整性,包括机构的客户声誉、产品信息和市场信息的保护。
信息安全保障制度建设
随着信息技术的飞速发展,信息安全已经成为我国国家安全的重要组成部分。
信息安全事故的频发,给我国的经济、政治、军事、文化等各个领域带来了严重威胁。
为了保障信息安全,我国政府高度重视信息安全保障制度建设,以下将从信息安全管理、信息安全技术、信息安全法律法规等方面进行阐述。
一、信息安全管理1.建立健全信息安全组织体系建立健全信息安全组织体系是信息安全保障制度建设的首要任务。
我国应设立国家信息安全委员会,统筹协调全国信息安全工作。
各级政府、企事业单位和全社会都要建立健全信息安全组织机构,明确信息安全责任,形成上下联动、齐抓共管的信息安全工作格局。
2.完善信息安全管理制度信息安全管理制度是信息安全保障制度的核心。
我国应制定信息安全管理制度,包括信息安全等级保护制度、信息安全风险评估制度、信息安全事件应急处理制度等。
通过制度规范信息安全工作,确保信息安全管理体系的有效运行。
3.加强信息安全教育培训信息安全教育培训是提高全民信息安全意识、增强信息安全技能的重要途径。
我国应加强信息安全教育培训,提高政府、企事业单位和社会公众的信息安全意识,普及信息安全知识,培养信息安全专业人才。
二、信息安全技术1.加强信息安全技术研发信息安全技术研发是信息安全保障制度建设的基石。
我国应加大对信息安全技术的研发投入,提高信息安全技术自主创新能力。
重点发展密码技术、网络安全技术、数据安全技术、云计算安全等关键技术。
2.推广应用信息安全产品信息安全产品是信息安全保障制度建设的有力支撑。
我国应积极推广应用信息安全产品,提高信息安全防护能力。
鼓励企业研发具有自主知识产权的信息安全产品,提高国内信息安全产品市场占有率。
3.完善信息安全基础设施建设信息安全基础设施建设是信息安全保障制度建设的硬件保障。
我国应加大信息安全基础设施建设投入,完善网络安全监控、数据备份与恢复、应急响应等基础设施,提高信息安全保障能力。
三、信息安全法律法规1.完善信息安全法律法规体系信息安全法律法规是信息安全保障制度建设的法律保障。
信息安全保障体系
编辑课件
信息安全威胁的分类
人为因素
信息安全 威胁
编辑课件
3.1 信息安全基本技术
身份认证:建立信任关系 ➢口令 ➢数字证书(采用公钥)
均年增幅68%。其中网上支付用户年增幅 80.9%,在所有应用中排名第一。 • 2009年全球网民大约15亿(美国统计)。
编辑课件
信息安全问题日益严重
• 计算机系统集中管理着国家和企业的政 治、军事、金融、商务等重要信息。
• 计算机系统成为不法分子的主要攻击目 标。
• 计算机系统本身的脆弱性和网络的开放 性,使得信息安全成为世人关注的社会 问题。
• 当前,信息安全的形势是日益严重。
编辑课件
典型案例-病毒与网络蠕虫
• 红色代码 2001年7月 ,直接经济损失超过26亿 美元
• 2001年9月, 尼姆达蠕虫,约5.9亿美元的损失 • 熊猫病毒”是2006年中国十大病毒之首。它通
过多种方式进行传播,并将感染的所有程序文 件改成熊猫举着三根香的模样,同时该病毒还 具有盗取用户游戏账号、QQ账号等功能 。
“客观世界在认知世界的映射和表示” ?
• 数据:信息的载体,以不同形式、在不同的系统 、载体上存在。
• 网络空间(cyberspace):信息基础设施相互依存 的网络,包括互联网、电信网、电脑系统以及重 要产业中的处理器和控制器。(美国第54号国家 安全总统令暨第23号国土安全总统令)
• 随着网络信息系统的普遍使用,信息安全问题变 得尤为突出。 编辑课件
信息安全技术
第一章信息安全保障概述1.1信息保障安全背景1.1.1信息技术及其发展阶段第一阶段:电信技术的发明第二阶段:计算机技术的发展1936年,英国数学家图灵(Turing)差UN改造了图灵机理论;1937年,香农发表《继电器和开关电路的符号分析》,奠定了计算机二进制基础;1946年2月14日,世界上第一台计算机ENIAC诞生;1945年,冯·诺依曼提出“存储程序通用电子计算机方案”。
第三阶段:互联网的使用60年代末,产生了ARPnet,重要研究成果TCP/IP协议;90年代,发展成全球性网络——因特网(Internet)。
1.1.2信息技术的影响1.积极影响(1)社会发展;(2)科技进步;(3)人类生活。
2.消极影响(1)信息泛滥;(2)信息污染;(3)信息犯罪。
1.2信息安全保障基础1.2.1信息安全发展阶段1.通信保密阶段关注信息在通信过程中的安全问题,即机密性。
密码学是确保机密性的核心技术。
2.计算机安全阶段关注“机密性、访问控制与认证”。
3.信息安全保障阶段美国国防部“信息安全保障体系”(IA),给出了“保护-监测-响应”PDR 模型,后来又增加了恢复,成为PDRR模型。
我国99年提出“保护-预警-监测-应急-恢复-反击”,即PWDRRC模型。
1.2.2信息安全的含义1.从网络系统看,现代信息安全主要包“运行系统安全”,“系统信息安全”两层含义。
2.信息安全基本属性:(1)完整性;(2)机密性;(3)可用性;(4)可控制性;(5)不可否认性。
3.整体上说现代信息安全是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和。
是多层次、多因素、多目标的复合系统。
1.2.3信息系统面临的安全风险1.信息泄露2.破化信息的完整性3.拒绝服务4.非授权访问5.授权侵犯6.业务流分析7.窃听8.物理侵入9.恶意代码10.假冒和欺诈11.抵赖12.重放攻击13.陷阱门14.媒体废弃15.人员不慎1.2.4信息安全问题产生的根源1.信息安全内因:信息系统的复杂性(1)组成网络的通信和信息系统的自身缺陷(2)互联网的开放性2.信息安全的外因:人为的和环境的威胁(1)人为原因(2)自然环境原因1.2.5信息安全的地位和作用1.2.6信息安全技术(1)核心基础安全技术1)密码技术(2)安全基础设施技术2)标识与认证技术3)授权与访问控制技术(3)基础设施安全技术4)主机系统安全技术5)网络系统安全技术(4)应用安全技术6)网络与系统攻击技术7)网络与系统安全防护与应急响应技术8)安全审计与责任认定技术9)恶意代码检测与防范技术(5)支撑安全技术10)信息安全测评技术11)安全管理技术1.3信息安全保障体系1.3.1信息安全保障体系框架1.生命周期:规划组织-开发采购-实施交付-运行维护-废弃2.保障要素:技术、管理、工程、人员3.安全特征:保密性、完整性、可用性1.3.2型与技术框架1.P2DR安全模型:(1)策略;(2)防护;(3)监测;(4)响应。
网络安全行业信息安全保障体系构建方案设计
网络安全行业信息安全保障体系构建方案设计第1章研究背景与意义 (4)1.1 网络安全现状分析 (4)1.2 信息安全保障需求 (4)第2章信息安全保障体系理论框架 (5)2.1 信息安全保障体系概述 (5)2.1.1 信息安全保障体系概念 (5)2.1.2 信息安全保障体系目标 (5)2.1.3 信息安全保障体系构成要素 (5)2.2 国内外信息安全保障体系发展现状 (5)2.2.1 国外信息安全保障体系发展现状 (6)2.2.2 国内信息安全保障体系发展现状 (6)2.3 信息安全保障体系构建原则 (6)2.3.1 统一领导、分级负责 (6)2.3.2 整体规划、分步实施 (6)2.3.3 政策引导、技术创新 (6)2.3.4 管理与技术相结合 (6)2.3.5 国际合作、共同发展 (6)第3章信息安全保障体系构建目标与策略 (6)3.1 构建目标 (6)3.1.1 完整性:保障网络系统中数据的完整性,防止数据被非法篡改、删除或泄露。
63.1.2 可用性:保证网络系统在遭受攻击时仍能正常运行,为用户提供持续、可靠的服务。
(6)3.1.3 保密性:保证敏感信息不被未授权用户访问,防止信息泄露。
(6)3.1.4 可控性:对网络系统中的信息资源进行有效控制,保证信息传播的可控性。
(7)3.1.5 抗抵赖性:保证网络行为的可追溯性,防止用户抵赖其行为。
(7)3.1.6 可恢复性:在遭受攻击或故障后,网络系统能够快速恢复正常运行。
(7)3.2 构建策略 (7)3.2.1 法律法规建设:加强网络安全法律法规建设,制定完善的网络安全政策和标准,为信息安全保障体系提供法律依据。
(7)3.2.2 组织架构:建立健全网络安全组织架构,明确各部门职责,形成协同防护机制。
(7)3.2.3 技术防护:采用先进的信息安全技术,包括但不限于防火墙、入侵检测、数据加密等,提高网络系统的安全防护能力。
(7)3.2.4 安全管理:制定严格的安全管理制度,加强对网络系统的安全审计、风险评估和监控,保证网络系统安全运行。
信息保障体系研究综述
信息保障体系研究综述摘要:主要从信息保障概述和信息保障体系建设两方面对信息保障体系的建设进行了归纳总结。
关键词:信息保障信息保障体系1引言信息保障是夺取信息优势的基础,是实现人流、物流和信息流最佳结合的关键。
美军进行的近几场实战表明信息资源已成为作战双方致力争夺的重点,信息保障成为一方获胜重要一环。
此后,国内外对于信息保障的研究如雨后春笋般发展。
为进一步的深入研究,就国内外关于信息保障的主要观点进行以下罗列和梳理。
2信息保障概述最早对“信息保障”这一概念定义的是1996年美国国防部的定义。
美国国防部给信息保障下的定义:“在信息行动中,通过确保信息和信息系统的可用性、完整性、可靠性、可信性和非拒止性,来保护这些信息和信息系统。
”此定义仅指信息、信息系统及相关设施的安全[1]。
随后,俄军的定义:信息战的主要行动之一就是信息保障,主要包括信息侦察、信息搜集、信息联络的组织与实施和司令部信息工作,要求获取的信息应及时、可靠、准确和完整[2]。
这种理解贯穿了信息流程的所有环节的活动,是从信息流的角度来理解的。
这样就涵盖了平时和战时的信息保障。
我国的定义:信息保障就是在战争中为作战指挥、兵力行动和武器使用提供信息服务,保障作战顺利实施的保障性信息行动,包括信息获取、信息传递、信息处理、信息管理和使用等。
此理解限定在作战环境中的信息保障[3]。
信息保障可区分为平时信息保障和战时信息保障。
此定义相对片面了些。
总的来说,所有定义的相同点在于:信息保障就是保护自己的信息和信息系统免受破坏。
3信息保障体系建设根据检索到的文献资料来看,探讨信息保障体系(包括信息安全、信息安全保障)的文献数量众多,其角度各不相同,主要有以下几个方面:3.1信息保障体系建设的理论从宏观框架或模型的角度探讨信息保障体系建设的文章有:①美国:美军作为世界上研究信息保障最早的国家和拥有最强信息作战能力的国家,开发了信息保障技术框架(简称IATF)。
美国信息安全战略的基本要素与实施原则探析
政府在保护机密 信息 安全和其 他敏感 的国家信息 机安全事件 当前和潜在 影响 ,把安 全事件划 分为
安 全基 础上 , 当地 将 有 关信 息 与 私 人 部 门共 享 。 四个等级 ,并要 求联邦机 构根据所发生 的安全事 适 同时 也 特 别 强 调 私 人 部 门建 立 的信 息 共 享 与 分 析 件 的不 同等 级 , 采取 不 同 的 响 应 策 略 。
人才建设 。
定为 美 国 的政策 方针 。 B F 还专 门设 立 了 国 家基 础
这 瓮 全 民参 与 原 则 是 由于 网络 空 间 的广 泛分 布 所 信 息 设 施 的保 护 中心 , 是一 个 跨 机 构 的 “ 中捉 其 决 定 的 。 国 当局 认 识 到 , 成 功地 提 高 分 析 、指 鳖 ”式机 构 , 使 用 来 自多 种 资 源 的信 息 一 一 包 括 美 要
美 国 当前 的 国 家信 息 网络 安 全 领 域 存 在 的 以 因为 国 家基 础 信 息 设 施 本 身 的 重 要性 。基 础 信 息 下 两 个 现 实 问题 。一 方 面 , 信 息 网 络市 场 上 ,由 设 施 安 全 是 网 络安 全和 信 息 安 全 的 保 障 。 没 有 安 在
示和告警 能力 ,需要在政府和私人部 门之间实现 开 放 资 源 、 营 部 门 、 法 和 美 国情 报 共 同体 一一 私 执 自发信息共享 。随着经济全球化深入与敌对势力 来 提 供 攻 击 的早 期 警 报 , 并通 过 收 集 确 定 攻 击方 对 国民心理攻击样式的 “ 睐” 私人部门拥有 的 所 必 要 的信 息 ,对 其做 出有 效 响 应 。 青 , 网络越来越可能成为攻击 的 目标 ,它们就很有可 除 了对基础信息设施 的重点保 护以外 ,对于 能成 为 国家信息设施潜 在攻 击源 的最 早发 现者 。 各 行 各 业 的互 联 网 , 突 出 重 点 、 严 密 保 护 原 则 要
网络和信息安全体系建设和完善
网络和信息安全体系建设和完善1 前言中国移动通信网络是国家基础信息网络和重要信息系统的组成部分,更是中国移动赖以生存和发展的基本条件,随着网络IP化进程、终端智能化以及业务、服务多样化趋势的加快,移动通信网络面临的威胁和攻击也越来越多,网络与信息安全工作日趋重要。
为了确保网络安全,现在很多企业采用了防火墙、防病毒、入侵检测、漏洞扫描等一系列安全产品,提高了本企业的网络安全水平,但是这些改善仍没有达到理想的目标,病毒、黑客和计算机犯罪依然猖獗,这给信息安全的理论界、厂商和用户提出了一系列问题,促使人们开始对安全体系进行思考和研究。
在网络安全建设时,不单单是考虑某一项安全技术或者某一种安全产品,而是从管理制度、流程、技术手段和措施、应急响应、风险评估等多方面构建一个良好的网络和信息安全体系,全面营造一个良好的网络安全运行环境。
2 网络与信息安全体系概述一个完整的信息安全体系应该是安全管理和安全技术实施的结合,两者缺一不可。
为了实现对信息系统的多层保护,真正达到信息安全保障的目标,国外安全保障理论也在不断的发展之中,美国国家安全局从1998年以来开展了信息安全保障技术框架(IATF)的研究工作,并在2000年10月发布了IATF 3.1版本,在IATF中提出信息安全保障的深度防御战略模型,将防御体系分为策略、组织、技术和操作4个要素,强调在安全体系中进行多层保护。
安全机制的实现应具有以下相对固定的模式,即“组织(或人)在安全策略下借助于一定的安全技术手段进行持续的运作”。
图1 信息安全保障体系在建设中国移动通信集团西藏有限公司(以下简称为西藏移动)网络安全体系时,从横向主要包含安全管理和安全技术两个方面的要素,在采用各种安全技术控制措施的同时,制定层次化的安全策略,完善安全管理组织机构和安全管理人员配备,提高系统管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和安全管理实现对网络和系统的多层保护,减小其受到攻击的可能性,防范安全事件的发生,提高对安全事件的应急响应能力,在发生安全事件时尽量减少因事件造成的损失。
IATF 信息保障技术框架
IATF,《信息保障技术框架》(IATF:Information Assurance[ə'ʃuərəns] Technical Framework)是美国国家安全局(NSA)National Security Agency制定的,描述其信息保障的指导性文件。
在我国国家973“信息与网络安全体系研究”课题组在2002年将IATF3.0版引进国内后,IATF开始对我国信息安全工作的发展和信息安全保障体系的建设起重要的参考和指导作用。
Assurance n.保证,确信,肯定,自信,(人寿)保险一、IATF概述1.IATF形成背景建立IATF主要是美国军方需求的推动。
上世纪四五十年代,计算机开始在军事中应用,六七十年代网络化开始发展,这些发展都对信息安全保障提出了要求。
从1995年开始,美国国防高级研究计划局和信息技术办公室(DARPA/ITO)就开始了对长期研发投资战略的探索,以开展信息系统生存力技术的研究。
1998年1月,国防部(DoD)副部长批准成立了DIA P(国防范畴内信息保障项目),从而得以为DoD的信息保障活动和资源利用制定计划并进行协调、整合和监督。
DIAP形成了国防部IA项目的核心部分。
除了军事机构外,随着社会的发展,各种信息系统已经成为支持整个社会运行的关键基础设施,而且信息化涉及的资产也越来越多,由此产生的各种风险和漏洞也随之增多,而且现有的技术无法完全根除。
面对这些威胁,人们越来越深刻地认识到信息安全保障的必要性。
在这个背景下,从1998年开始,美国国家安全局历经数年完成了《信息保障技术框架》这部对信息保障系统的建设有重要指导意义的重要文献。
2.IATF发展历程IATF的前身是《网络安全框架》(NSF),NSF的最早版本(0.1和0.2版)对崭新的网络安全挑战提供了初始的观察和指南。
1998年5月,出版了NSF1.0版,对NSF文档添加了安全服务、安全强健性和安全互操作性方面的内容。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息工程大学毕业设计(论文)题目:美国信息安全保障体系建设研究学员姓名学号所在单位指导教师技术职务完成日期摘要本文通过介绍美国国家信息安全保障体系,美国信息安全保障体系的发展和美国电子政务信息安全体系对我国的启示,通过对信息安全体系做了一个总结。
随着网络和信息技术的普及,电子政务成为时代发展的必然。
电子政务的安全运行是维护国家利益和安全的必然要求。
网络和信息安全则是确保电子政务的安全运行的关键。
我国应采取各种措施,加大信息技术开发力度,推动网络安全建设与管理,以保障电子政务的健康安全运行。
分析了美国信息安全法律体系考察对及其对我国的启示。
关键词:信息安全保障体系美国目录第一章信息安全的简介 (1)1.1信息安全概念的演变 (1)1.2“信息保障”的概念 (2)第二章美国加强信息安全保障体系建设的基本做法 (4)2.1信息安全已成为美国安全战略的重要组成部分 (4)2.2建立各级信息安全主管机构 (5)2.3重视发展信息战能力,实行“积极防御” (7)2.3.1国防系统信息安全是美政府保护的重点对象 (7)2.3.2国防部将信息安全对策提高到信息战的高度,加强信息攻击能力 .. 7 2.4以信息安全法律法规提供有力保障 (8)2.5强化国家信息保障政策和措施 (8)2.6不断开发和完善信息安全技术 (10)2.6.1制定计算机安全评价标准,积极参与开发国际通用安全准则 (10)2.6.2重视信息安全技术的发展和更新 (11)第三章加强我国信息安全保障体系建设的建议 (13)3.1建立统一的安全平台 (13)3.2进一步完善我国信息安全保障的法律体系 (14)3.2.1确立科学的信息安全法律保护理念 (14)3.2.2构建完备的信息安全法律体系 (14)3.2.3强化信息安全法律效率 (14)3.3改善电子政务的应用安全 (14)第五章总结与展望 (15)参考文献 (16)致谢 (17)第一章信息安全保障体系简介1.1信息安全概念的演变信息安全问题伴随着通信、网络及信息系统的发展,经历了由通信保密到信息安全,再到信息安全保障的发展历程。
通信保密阶段:19世纪中叶以后,随着电报、电话、无线电的发明,通信领域发生了根本性的变革,有线和无线通信随之出现并逐步应用。
由于电信号很容易被搭线窃听或被无线电侦收,所以人们开始广泛采用密码技术手段保护秘密信息,密码安全也成为关系战略全局和长远利益的重大问题。
密码一旦失泄密,就从根本上失去了保护秘密信息的屏障,造成全局上的被动和失利。
况且,任何国家,若侦破了对手的密码,都要作为最高机密严加保守,失密者难以察觉,其危害非常深远。
二战期间,英国破译了德军“恩尼格玛”密码后,得知德军要轰炸英国考文垂市,但英国不动声色,不惜以牺牲考文垂市的代价,保住侦破德军密码的秘密,以换取长远的战略利益。
信息安全阶段:进入20世纪80年代后,随着微型机和局域网的出现,一方面推动了信息的共享,同时也使系统面临来自外部的非法访问、操作员使用脆弱口令等的威胁。
因此,信息安全关注的对象,从数据转向信息和信息系统,继而重视信息系统的安全,主要目的是保护信息在存储、处理或传输过程中不被非法访问或篡改、破坏,确保对合法用户的服务并限制非授权用户的访问,确保信息系统的业务功能能够正常运行。
解决办法主要是预防为主,利用密码技术、访问控制技术、身份鉴别技术等技术措施,保护信息的保密性、完整性,保证计算机系统为授权用户所使用。
这一时期,信息安全理论与技术快速发展,信息安全也从萌芽逐步走向成熟。
信息安全保障阶段:20世纪90年代末以来,随着互联网的发展及广泛应用,信息基础设施固有的脆弱性凸显,信息系统受到的攻击日趋频繁,信息安全威胁日益增长,在攻与防的对抗过程中,使人们逐渐认识到安全风险的本质,认识到安全不仅涉及到技术,而且还涉及人和管理,认识到不存在绝对的安全,认识到安全是一个动态的过程,安全事件发生时的处理以及事后的处理,都应当是信息安全要考虑的内容。
1.2 “信息保障”的概念美国军方率先提出了“信息保障”的概念,为区别于“信息安全”,同时体现出继承性,国内常采用“信息安全保障”概念。
所谓信息安全保障,是指“保证信息和信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御过程。
它要求加强对信息和信息系统的保护,加强对信息安全事件和各种脆弱性的检测,提高应急反应能力和系统恢复能力”。
对信息安全保障概念与内涵的理解,我认为可归结为一、二、二、三、四、五、六、七,具体为:“一”是指一个策略。
就是指信息安全保障强调采取系统的纵深防御策略,从网络互联、边界防护到主机防护,逐层设防,确保安全。
第一个“二”是指两个对象。
是指信息安全保障的对象是信息和信息系统。
第二个“二”是指信息安全保障活动涉及的两个领域,即网络空间、电磁空间“三”是指信息安全保障应强调人、技术、管理三个方面的作用。
在这三者中,人员是核心,技术是关键,管理是保证,训练有素的人员要通过相应的管理来运用恰当的技术达到保障信息安全的目的,而且技术将落实到信息安全保障环节的各个方面,在各个环节中发挥作用。
“四”是指信息安全保障涉及的四个层面,包括计算环境、边界、网络基础设施、信息安全基础设施。
“五”是指信息生命周期中的五种状态,信息安全保障渗透于信息产生、存储、处理、传输和销毁的整个过程。
“六”是指信息安全的六种属性。
包括保密性、完整性、真实性、抗抵赖性、可用性、可控性。
“七”是指信息安全保障的七个环节,包括预警、策略、防护、检测、响应、恢复、反击,构成了信息安全保障具有动态反馈特点的七大环节。
从以上分析可以看出,信息安全保障更加强调系统工程的方法,纵深防御的策略和整体防护的技术。
信息安全保障体系是实施信息安全保障的法制、组织管理、技术、人才、运行保障等层面有机结合的整体,是国家安全体系的重要组成部分。
第二章美国加强信息安全保障体系建设的基本做法2.1信息安全已成为美国安全战略的重要组成部分美国前总统克林顿说过,“这个充满希望的时代也充斥着危险。
所有受计算机驱动的系统都容易遭到入侵和破坏。
重要经济部门或政府机构的计算机一旦受到合力攻击,就会产生灾难性的后果”。
美国拥有世界上最强大的军事和经济力量,这两种力量相互强化,相互依赖,同时也日益依赖于关键基础设施和网络信息系统。
这种依赖关系成了脆弱性的根源。
因此,计算机网络的脆弱性已给美国家安全提出了一个紧迫的问题,关键基础设施和信息系统的安全成为美面临的首要威胁之一,“电子珍珠港”事件随时可能爆发,美国必须采取措施保障关键基础设施和信息系统的安全,避免“信息灾难”。
基于这一认知,美国政府1984年以来共颁布近10个涉及关键基础设施和信息安全的政策、通告、总统行政命令和国家计划,其中包括“关于通信和自动化信息系统安全的国家政策”(即NSDD一145,1984年9月17日)、《联邦政府信息资源的管理通告》(即A一130通告,1985年12月)、关于反恐怖主义政策的总统令(1995年6月)、第13010号(1966年7月15日)及第13025号(1996年11月)和13064号(1997年10月)行政命令、第63号总统令(PDD一63,1998年5月)、《信息系统保护国家计划》、(2000年1月)、《信息时代保护关键基础设施的行政命令》(2001年10月16日)等。
这些通告、政策和命令各有侧重,但都强调关键基础设施即那些维持经济和政府部门最低限度运作所需的物理和网络系统,包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续工作的领导机构等的安全,关系国家存亡。
美国政府认为,对美基础设施发动网络攻击将取代外交行动和军事冲突,成为敌对方实现既定目标的首选方式。
病毒、网络蠕虫、特洛伊木马、计算机定时炸弹以及其他形式的自动攻击等网络武器已成为继核武器和大规模杀伤性武器之后对美安全的最大威胁。
在美看来,最有可能发动网络攻击的敌人包括:(1)主权国家。
其中既包括那些所谓的“无赖国家”,通过发动信息战等获取对美的不对称优势;同时也包括那些企图获取经济利益、破坏美国经济稳定和采取军事或情报行动破坏美安全的别有用心的国家。
(2)经济竞争者。
一些外国公司可能通过黑客手段窃取先进的关键技术、商业秘密、私人信息和一些研究成果。
(3)各种犯罪。
包括跨国金融犯罪、盗取信用卡等。
(4)黑客。
黑客的动机包括贪婪、政治目的、窃取信息或仅仅是恶作剧,他们给计算机系统造成的危害日益严重。
(5)恐怖主义分子。
信息战技术为他们攻击预定目标和制造威胁提供了更好的工具。
(6)内部人员。
内部人员可能是对美关键基础设施最大的威胁,他们通常最能知晓基础设施及其支持系统的运行情况。
心怀不满的员工、被收买的泄密者、受到伤害或威胁的雇员、以前雇佣的员工以及商业伙伴都会出于怨恨、经济好处和害怕而计划和进行攻击。
因此,美国应具有保护其关键基础设施免遭攻击的能力,确保“关键设施的任何中断或受到的操纵都必须是短暂的、偶发的、可控制的、互相隔绝以及对美国家利益造成的危害最小”。
2.2 建立各级信息安全主管机构为了使已颁布的政策和计划得到落实,美建起了一个庞大而有序的信息安全机构体系,在总统直属的信息安全领导机构的统一规划下展开维护全美信息安全的各项工作。
设立相关的委员会,直接为总统决策服务。
根据具体需要和有关法令,相继设立了总统信息安全政策委员会、总统关键基础设施保护委员会等。
这些委员会成员包括主要政府部门,定期举行会议并提交报告,为总统了解信息安全状况和制定政策提供建议,并协调各项保护信息系统计划的实施。
1997年,关键基础设施委员会向克林顿总统提交了“关键基础——保护美国的基础设施”的报告,主张确保基础设施的有效性和生存能力应该成为美国的国策,应采取一切措施保护基础设施。
根据这一建议,克林顿总统签署了第63号总统令。
2001年10月,小布什政府颁布了《信息时代保护关键基础设施的行政命令》,组建了新的关键基础设施委员会,其成员包括国务卿、国防部长、司法部长、商务部长、行政管理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。
根据该命令,委员会主席兼任总统有关网络安全的特别顾问。
他有权了解各部/局内属于其管辖范围的所有情况,召集和主持委员会的各种会议,制定保护关键基础设施的政策和方案,并向总统国家安全事务助理和国土安全助理汇报。
建立各级信息安全主管机构。
根据《联邦政府信息资源的管理通告》的规定,行政管理与预算局(OMB)负责制定和监督政府部门有关信息系统安全的政策、原则、标准和指导方针。
在它统一领导下,美国的信息安全工作分别由商务部下属的国家标准与技术局和国防部下属的国家安全局分工负责。