第1章信息安全保障与信息安全工程

1 1信息安全工程与管理2 2第1章信息安全工程1.1信息安全的概念信息安全的概念1.2信息安全保障体系信息安全保障体系1.3信息安全保障与信息安全工程信息安全保障与信息安全工程本章小结本章小结3 31948年，美国贝尔实验室数学研究员、信息论的奠基人克劳德香农(Claude Elwood Shannon，19162001)，在题为通信的数学理论的一篇论文中，给出了信息的数学定义，认为“信息是能够用来消除随机不确定性的东西”。同年，美国著名数学家、控制论的创始人诺伯特维纳(Norbert Wiener，18941964)在控制论一书中指出，“信息就是信息，既非物质，也非能量”。1.1信息安全的概念信息安全的概念4 4信息的实质是通过信号、指令等实现对物质和能量的信息的实质是通过信号、指令等实现对物质和能量的调节与控制。调节与控制。在当今社会，信息已成为与物质、能源同样重要的国家主要财富和重要战略资源，对信息优势的夺取，是衡量一个国家综合实力的重要参数，对信息的开发、利用和控制也已经成为国家利益争夺的重要目标。而对信息优势的夺取，直接表现为信息安全与对抗直接表现为信息安全与对抗。能否有效地保护好已有的信息资源并争夺更优势的信息资源，保证信息化进程健康、有序、可持续发展，直接关乎国家安危、民族兴亡。因此，信息安全已成为国家安全、社会安全和人民生活安全的重要组成部分。5 51.1.1信息安全的基本范畴信息安全的基本范畴信息安全的基本范畴，包括信息资源、信息价值、信信息安全的基本范畴，包括信息资源、信息价值、信息作用、信息损失、信息载体、信息环境等。息作用、信息损失、信息载体、信息环境等。信息资源信息资源，即信息的资源化或资源化的信息，是经过主观处理或加工，能够传输或传播，可对社会生活发挥作用的信息总和。按照该作用的促进方向，信息资源可分为有价值信息和中性信息。信息价值信息价值，是信息资源优势的反映，可分为积极价值和消极价值。信息安全的基本范畴是建立在信息资源优势改变或信息价值损失的基础上的，即信息作用以对信息价值的影响来衡量，信息损失以信息价值的损失为量度。6 6信息作用信息作用，是指信息资源在实现信息价值过程中，所发生的对周围环境或自身的影响或改变。这些影响或改变，与人的主观意愿无关，但可以为人的主观意愿服务，可以被敌我双方利用，实现积极作用或消极作用。信息损失信息损失，是指信息价值的损失，是在消极信息作用影响下的信息资源的价值降低的量度。信息损失是信息安全范畴里的重要负面计算指标，以定量、定性或概率的方式来评估主体活动与信息安全的影响与程度。7 7信息载体信息载体，是指信息在传输或传播中携带信息的媒介，即用于记录、传输和保存信息的软、硬件实体，包括以能源和介质为特征，运用声、光、电等传递信息的无形载体和以实物形态记录为特征，运用纸张、胶片、磁带或磁盘等传递和贮存信息的有形载体。信息环境信息环境，是与信息活动有关的外部环境的集合，包括机房、电力、温度、湿度、防火、防水、防震、防辐射等硬环境，也包括国家法律法规、部门规章、政治经济、社会文化、教育培训、人员素质、监督管理等软环境。8 81.1.2信息安全工程的概念信息安全工程的概念信息安全工程研究如何建立能够面对错误、攻击和灾信息安全工程研究如何建立能够面对错误、攻击和灾难的可靠信息系统。难的可靠信息系统。许多信息系统都有严格的安全保障要求，否则，一旦发生安全问题和处理不当，会产生严重的甚至灾难性的后果。例如，核安全控制系统失败，会危及人类生存和环境；航空安全系统失败，会严重影响机组安全；ATM银行系统失败，会破坏经济生活秩序；股票交易系统失败，会损害用户权利；网上支付系统失败，会阻碍网络经济的发展；财务报账系统失败，会扰乱经费管理体系。9 9一般认为，软件工程是要保证某些事情能够发生软件工程是要保证某些事情能够发生(如“能提供pdf格式文档的报表输出功能”)，而安全工程是安全工程是要确保某些事情不能发生要确保某些事情不能发生(如“要提供pdf格式文档的防拷贝功能”)。不同的系统工程建设与不同的设计目标和要求设计目标和要求有关，而其中安全工程的建设尤其复杂。对于信息安全工信息安全工程，需要考虑到特定信息系统的安全保护需求、可能存在程，需要考虑到特定信息系统的安全保护需求、可能存在的安全隐患以及相应的解决方法等。的安全隐患以及相应的解决方法等。为了更好地理解信息系统安全工程的需求、隐患、方法，及其工程化概念，首先来了解以下三个领域的信息系统实例：银行、机场、家庭。10 10例一：银行因为业务的需要，银行需要运行大量的对安全要求很苛刻的计算机系统。银行信息系统包括银行综合业务系统、银行渠道系统、网上银行系统、跨行支持系统、中国银联支持系统等。在中国，通过中国国家金融通信网络(CNFN，China National Financial Network)将中央银行、各商业银行和其他金融机构连接在一起，构成全国性的金融专用网络系统。11 11(1)银行业务的核心核心是记账系统。它保存客户的主账目信息和记录每日业务的分类账目。由于该系统一般由银行员工进行操作，要求遵守相应的法律、规章制度和操作程序等，因此，对该系统的威胁主要来自银行内部员工利用职务便利和系统漏洞进行的违法犯罪行为。例如，冒用客户身份的信用卡诈骗、伪造并使用伪造的银行票据等；当然也包括银行员工无意的操作失误、违反规定的越权操作行为，如每次借贷记录的正负数字不匹配、大额转账的私自认可等。12 12所以，对于银行记账系统，要求有账户及操作权限控制策略、异常交易监控及报警系统、严格的银行内部网络访问控制规章制度等。(2)银行ATM机是安全与方便的安全与方便的“博弈博弈”。不管是在行式，还是离行式，ATM机都大大方便了客户自行进行账户资金的处理，但同时也经常出现漏洞和异常，例如，账户信息被偷窃、异常吞卡或吐钞、网络故障造成的服务异常中断、网络通信中的信息泄露等。因此，这就要求有高强度的ATM与银行的通讯信息加密系统、客户身份认证系统、服务异常的应急响应系统、客户行为记录与取证系统等的安全支持。13 13(3)大部分银行都有保险箱的金融保障服务，但也存在一些突出的安全问题，如在硬件老化、设备配置不足、软硬件功能存在缺陷的情况下，可能诱发内部员工作案的动机或使外部盗窃有机可乘，导致客户财物失窃、毁损，同时银行还可能面临商业信誉下降、客户提出巨额赔偿等。因此，应该整体规划，优化保险箱系统，加强报警系统安全防护能力，加密监控信息防伪造功能，增加系统稽核功能和预警功能，提高安保人员素质，增加异地监控等。14 14(4)由于技术发展和扩展业务的需要，目前“网上银网上银行行”发展迅速，客户足不出户就能够便捷地管理存款、支票、信用卡及进行个人投资等非现金交易。网上银行使银行内部网络向互联网敞开了大门。网上银行系统的安全关系到银行内部整个金融网络的安全，应当防止黑客攻击网络修改记账系统，要求设立防火墙来隔离相关网络，采用高安全级的Web应用服务器，24小时实时安全监控，进行有身份识别的CA认证，实施网络通讯的安全加密，进行用户证书的安全管理和网络银行个人认证介质的管理等。15 15例二：机场当地时间2011年1月24日16时32分，俄罗斯莫斯科多莫杰多沃机场抵达大厅内发生自杀式炸弹爆炸，造成35人死亡，130余人受伤。而据美国合众国际社报道，美国政府2011年7月13日发布的两篇报告中显示，过去10年间，美国机场共出现超过25000个安全漏洞。(1)安检与旅客隐私的冲突安检与旅客隐私的冲突。很多安全漏洞是安检时没有执行系统扫描或扫描错误等造成的。16 16采用“全身扫描安检技术”，如果使用得当，可以提高机场的安检水平，但同时该技术会显露旅客的身体轮廓，过于侵犯个人隐私。因此，人们都在期待第二代“人体扫描仪”，该信息检测系统平时只显示黑屏，只在发现可疑物品时才发出警报并显示可疑部位，另外，扩大安全半径，例如以色列在通往特拉维夫本-古里安国际机场的主要道路上就开始设置安检站，使安检系统真正发挥作用，而不成为摆设，从制度和技术上建立一套“综合检查机制”。(2)航空指挥系统是保证航空安全的重要技术手段航空指挥系统是保证航空安全的重要技术手段。17 17航空运输时间紧、任务急、航线多、部门多、层次多，需要建立各级指挥职能系统，同时，在指挥调度室内按指挥区域可分为航行指挥、客机坪现场指挥，以及各有关业务部门的调度室或值机组，这些不同层次和级别的指挥系统间的信息传输与执行，要求信息的准确性、保密性和实时性，这涉及到信息系统的通信协议安全技术、数字加密技术、数字签名与认证技术、数据优化技术等。18 18(3)航班信息管理与显示系统航班信息管理与显示系统是机场保障旅客正常流程的重要环节，是机场直接面向旅客提供公众服务的重要手段，同时又是机场与旅客进行沟通的窗口，主要以多种显示设备为载体，显示面向公众发布的航班信息、公告信息、服务信息等，为旅客、楼内工作人员和航空公司地面代理提供及时、准确、友好的信息服务。因此，对航班数据的准确性提出了较高的要求，要求有实时动态数据的防篡改功能，同时对众多显示设备运行状况要进行严格监控，要有设备监测与故障诊断能力，保证系统的高效、稳定和安全运行。19 19例三：家庭现在，越来越多的普通家庭都应用了广泛的分布式信息系统服务。(1)家庭可以通过电子商务电子商务系统进行网上购物，通过网上银行进行水、电、气、电话等费用的在线支付。另外，很多家庭使用了汽车GPS系统、汽车遥控防盗系统、通过手机的汽车控制信息系统、卫星及数字电视接收系统等。只要使用了这些系统，安全问题就会随之而来，诸如网上诈骗、支付失败、遥控信息被劫持、系统链接数据异常等都能带来损失或伤害。2020因此，需要采用严格的网络信息存储、传送、加密、认证等方法，同时要求用户进行正确的操作，并完善相应的法律法规，来规避或约束这些威胁风险。(2)许多家庭开始使用家庭理财管理信息系统家庭理财管理信息系统，统计家庭的房产、家居、电器等实物财产，统计家庭每月的薪资、租金等现金或银行存款收入，以及统计家庭的还贷、保险、教育、疾病、水、电、气、电话、手机、交通、汽油、食用油、米、菜、盐、牛奶、水果等支出，由此来培养珍惜自己劳动的好习惯，享受积累财富的乐趣。21 21家庭理财管理信息系统甚至可以与网上消费系统进行无缝链接，因此，在使用家庭理财管理信息系统时，除了自身的家庭信息安全之外，还要考虑这些信息暴露在互联网上时的数据保密性、完整性和可控性等要求。(3)智能家居控制系统智能家居控制系统可担当家庭的信息家电控制中心的角色，把诸如电视机、空调、热水器、室内监控器、VCD(DVD、录像机)、功放等多种家用电器的控制功能分门别类地储存起来，2222在需要的时候随时调用，实现了多种家电在相同或不同时间段的自动运行，极大地提升了生活质量。这种数字化家庭信息系统是一个智能家庭综合监、控、管平台，对整合的各个相关设备的信息处理要求有较高的保密性、准确性和可控性等。在数据统一协调过程中容易受到攻击是系统的弱点，要避免设备运行或联动时产生失败、紊乱、被劫持等后果。从以上实例可以看出，各领域的信息系统安全与安全需求、安全隐患、解决方法紧密相关。解决信息安全问题，不能简单地依靠纯粹的技术，也不是安全产品的堆砌，而是要依赖于复杂的信息安全系统工程。2323在工程上，信息安全是与风险信息安全是与风险相联系的概念，通过风险管理与控制来实现。信息安全风险是信息价值、系统脆信息安全风险是信息价值、系统脆弱性和系统威胁等三个变量的函数弱性和系统威胁等三个变量的函数，如图1-1所示。2424图1-1信息安全风险2525系统脆弱性是指可以被用来获取、利用、损坏、颠覆信息资源的方式。系统威胁是指利用系统脆弱性，可能造成某个有害结果的事件或对系统造成危害的潜在事实。而安全风险就是某种威胁利用系统脆弱性对组织或机构的信息价值造成损失的潜在的可能性。信息安全风险管理与控制是一个信息风险的测量、识别、控制及其最小化的过程，即在给定的信息损失约束下，协调信息价值、系统脆弱性和系统威胁之间关系的过程。2626信息安全工程是采用系统工程的概念、原理、技术和方法，来研究、设计、开发、实施、管理、维护和评估信息系统安全的过程，是将经过时间考验证明是正确的工程实践流程、管理技术和当前能够得到的最好的技术方法相结合的过程。目前信息安全工程存在于广泛的信息系统的应用中。对于任何一个应用，考虑和确定安全需求、找出安全隐患或系统脆弱性、制定并执行面对系统威胁的安全策略、评估其所承受的安全风险等，都是很有必要的。2727信息安全工程正在变成一个日益重要的学科，它不仅用于信息系统和应用程序的设计、开发、集成、操作、管理、维护和评估，也适用于企业和商业信息产品的开发、发布和评估。因此，信息安全工程可应用于一个信息系统、一个信息产品或者一种信息服务中。28281.2.1信息保障是信息安全的新发展信息保障是信息安全的新发展信息安全问题始终伴随着信息技术的发展而发展，先后经历了“通信保密通信保密”(COMSEC)、“信息系统安信息系统安全全”(INFOSEC)和目前的和目前的“信息保障信息保障”(IA)三个阶段。每个阶段虽然在满足的需求、关注的目标以及发展的技术等方面各不相同，但其根本出发点都是要保护信息，确保其能为己所用。1.2信息安全保障体系信息安全保障体系292920世纪世纪4070年代，信息安全以通信保密为主体，要年代，信息安全以通信保密为主体，要求实现信息的保密性求实现信息的保密性，其时代标志有1949年香农发表的保密系统的信息理论、1976年由Diffie与Hellman在“New Directions in Cryptography”一文中提出的公钥密码体制、1977年美国国家标准局(NBS，National Bureau of Standards，NIST的前身)公布的数据加密标准(DES)。这一时期的信息安全所面临的主要威胁是搭线窃听和密码学分信息安全所面临的主要威胁是搭线窃听和密码学分析析，信息安全需求基本来自军政指挥体系信息安全需求基本来自军政指挥体系方面的“通信保密”要求，主要目的主要目的是使信息即使在被截获的情况下也无法被敌人使用，因此其技术主要体现在加密和解密设备上。303020世纪7080年代，随着小规模计算机组成的简单网小规模计算机组成的简单网络系统络系统的出现，网络中多点传输、处理以及存储的保密性、完整性、可用性问题成为关注的焦点，其时代标志是1985年美国国防部(DOD，United States Department of Defense)公布的可信计算机系统评估准则可信计算机系统评估准则(TCSEC，Trusted Computer System Evaluation Criteria)将操作系统的安全级别分为4类类7个级别个级别。这一时期的主要安全威胁扩展到非主要安全威胁扩展到非法访问、恶意代码、脆弱口令等方面法访问、恶意代码、脆弱口令等方面，31 31计算机之间的信息交互，要求人们必须在信息存储、处理、信息存储、处理、传输过程中采取措施传输过程中采取措施，保护信息和信息系统不被非法访问或修改，同时不能拒绝合法用户的服务请求，其技术发展技术发展主要体现在访问控制上主要体现在访问控制上。这时，人们开始将“通信安全”与“计算机安全”合并考虑，“信息系统安全信息系统安全”成为研究成为研究热点热点。进入20世纪90年代，随着网络技术的进一步发展，超大型网络迫使人们必须从整体安全的角度去考虑信息安全问题。网络的开放性、广域性等特征把人们对信息安全的网络的开放性、广域性等特征把人们对信息安全的需求，需求，3232延展到可用性、完整性、真实性、保密性和不可否认性延展到可用性、完整性、真实性、保密性和不可否认性等更全面的范畴。同时，随着网络黑客、病毒等技术层出不穷、变化多端，人们发现任何信息安全技术和手段都存在弱点，传统的“防火墙+补丁”这样的纯技术方案已无法完全抵御来自各方的威胁，必须寻找一种可持续的保护机制，对信息和信息系统进行全方位的、动态的保护。1995年，美国国防部发现其计算机网络系统遭受了725万余次的外来袭击。当时国防部认为，3333其计算机系统防御能力相当低下，对袭击的发现概率仅为12，能做出反应的还不到1，这种紧迫形势引起了美军方的高度重视。1996年11月，美国国防部国防科学委员会(DSB，Defense Science Board)的一份关于信息战防御能力的评估报告再次指出，国防部网络、信息系统存在很多漏洞和薄弱环节，而且未来还会面临更加严峻的挑战，要求国防部必须采取特别行动来提高国防部应对现有和不断出现的威胁的能力。为此，1996年在美国国防部令S-3600.1中首次给出了“信息安全保障信息安全保障”的概念，即“保护保护和防御信息及信息系统，和防御信息及信息系统，3434确保其可用性、完整性、保密性、可追究性、抗否认性等确保其可用性、完整性、保密性、可追究性、抗否认性等特性特性。这包括在信息系统中融入保护、检测、响应功能，信息系统中融入保护、检测、响应功能，并提供信息系统的恢复功能并提供信息系统的恢复功能”，并在联合设想2010中，正式把“信息保障”确定为信息优势能力的重要组成，在此指导之下，提出了“信息保障战略计划”，旨在构建一种动态、可持续、全方位的信息保障机制。从1998年开始，美国国家安全局(NSA，National Security Agency)在信息信息保障技术框架保障技术框架(IATF)中不断完善其“深度防御”(Defense-in-Depth)的核心战略，并在2002年9月将IATF更新为3.1版本。35351.2.2信息保障的构成及其空间特性信息保障的构成及其空间特性信息保障强调信息安全的保护能力，同时重视提高系信息保障强调信息安全的保护能力，同时重视提高系统的入侵检测能力、事件响应能力和快速恢复能力，它关统的入侵检测能力、事件响应能力和快速恢复能力，它关注的是信息系统整个生命周期的保护、检测、响应和恢复注的是信息系统整个生命周期的保护、检测、响应和恢复等安全机制，等安全机制，即PDRR(Protection/Detection/Response/Recovery)安全模型安全模型，其构成如图1-2所示。3636图1-2信息保障的构成3737就本质而言，信息保障是一种确保信息和信息系统能信息保障是一种确保信息和信息系统能够安全运行的防护性行为，是信息安全在当前信息时代的够安全运行的防护性行为，是信息安全在当前信息时代的新发展新发展。信息保障的对象是信息以及处理、管理、存储、传输信息的信息系统，目的是采取技术、管理等综合性手段，使信息和信息系统具备保密性、完整性、可用性、可认证性、不可否认性，以及在遭受攻击后的可恢复性。与以前的信息安全概念相比，信息保障概念的范围更加广泛。从理念上看，以前信息安全强调的是以前信息安全强调的是“规避风险规避风险”，即防止发生破坏并提供保护，但破坏发生时无法挽回；3838而信息保障强调的是信息保障强调的是“风险管理风险管理”，即综合运用保护，检测、响应和恢复等多种措施，使得信息在攻击突破某层防御后，仍能确保一定级别的可用性、完整性、真实性、保可用性、完整性、真实性、保密性和不可否认性密性和不可否认性，并能及时对破坏进行修复。再者，以前的信息安全通常是单一或多种技术手段的简单累加，而信息保障则是对加密、访问控制、防火墙、安全路由等技术的综合运用综合运用，更注重入侵检测和灾难恢复等技术入侵检测和灾难恢复等技术。信息安全保障“深度防御深度防御”的基本思想就是要对攻击对攻击者和目标之间者和目标之间的信息环境进行分层信息环境进行分层，3939然后在每一层都“搭建”由技术手段和管理策略等综合措施构成的一道道“屏障”，形成连续的、层次化的多重防御机制，保障用户信息及信息系统的安全，消除给攻击网络的企图提供的“缺口”。深度防御的空间特性如图1-3所示。4040图图1-3深度防御的信息保障战略深度防御的信息保障战略41 41深度防御的信息保障战略强调人、技术和操作三个核人、技术和操作三个核心心的原则，对技术和信息基础设施的管理也离不开这三个要素。(1)人人(People)：人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，是第一位的要素，同时也是最脆弱的要素。正因为如此，关于人的安全管理在安全保障体系中非常重要，可以说，信息安全保障体系，实质上就是一个安全管理的体系，其中包括意识培训、组织管理、技术管理和操作管理等多个方面。技术是安全的基础，管理是安全的灵魂，所以应当在重视安全技术应用的同时，必须加强安全管理。4242(2)技术技术(Technology)：技术是实现信息保障的重要手段，信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然，这里所说的技术，已经不单是以防护为主的静态技术体系，而是关于防护、检测、响应和恢复并重的动态技术体系。(3)操作操作(Operation)：或者叫运行：或者叫运行，它构成了安全保障的主动防御体系，如果说技术的构成是被动的，那么操作及其流程就是将各方面技术紧密结合在一起的主动的过程，其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。4343“深度防御深度防御”的信息保障战略将安全空间划分为的信息保障战略将安全空间划分为4个个纵深防御焦点域：保护网络和基础设施、保护飞地边界、纵深防御焦点域：保护网络和基础设施、保护飞地边界、保护计算环境以及支撑性基础设施。保护计算环境以及支撑性基础设施。基于“深度防御”的信息保障战略的空间特性来建设信息安全保障体系，需要解决支撑性基础设施、内部网络、网络边界、网络通信基础设施和主机计算等环境的安全防御问题，其技术准则的分析模型如图1-4所示。4444(1)网络及其基础设施是各种信息系统的中枢网络及其基础设施是各种信息系统的中枢，为用户信息存储与获取提供了一个传输机制，它的安全是整个信息系统安全的基础。网络和基础设施的防御包括维护信息服务、防止拒绝服务攻击(DoS)、保护数据流分析和在整个广域网上交换的公共的、私人的或保密的信息，并避免这些信息在无意中泄漏给未授权访问者或发生更改、延时、发送失败等。(2)根据业务的重要性及管理等级和安全等级根据业务的重要性及管理等级和安全等级的不同，一个信息系统通常可以划分为多个飞地信息系统通常可以划分为多个飞地，4545每个飞地是在单一安全机制控制下的物理区域环境每个飞地是在单一安全机制控制下的物理区域环境，具有具有逻辑和物理的安全措施。逻辑和物理的安全措施。这些飞地大多具有和其他区域或网络相连接的外部连接。飞地边界防御飞地边界防御关注的是如何对进出飞地边界的数据流进行有效的控制与监视，例如在飞地边界安装防火墙、隔离器等基础设施来实施保护。4646图1-4信息保障空间技术准则分析模型4747(3)在计算环境中的安全防护对象包括用户应用环境计算环境中的安全防护对象包括用户应用环境中的服务器、客户机以及所安装的操作系统和应用系统中的服务器、客户机以及所安装的操作系统和应用系统，这些应用能够提供包括信息访问、存储、传输、录入等服务。计算环境防御就是要利用识别与认证(I&A)、访问控制、VPN等技术确保进出内部系统数据的保密性、完整性和不可否认性。这些是信息系统安全保护的最后一道防线。(4)支撑性基础设施是一套相关联的活动与能够提供支撑性基础设施是一套相关联的活动与能够提供安全服务的基础设施相结合的综合体安全服务的基础设施相结合的综合体。4848目前深度防御策略定义了两种支撑性基础设施两种支撑性基础设施：密钥管理密钥管理基础设施基础设施(KMI)/公钥基础设施公钥基础设施(PKI)、检测与响应基础设、检测与响应基础设施。施。KMI/PKI涉及网络环境的各个环节，是密码服务的基础，其中本地KMI/PKI提供本地授权，广域网KMI/PKI提供证书、目录以及密钥产生和发布功能。检测与响应基础设施则提供用户预警、检测、识别可能的网络攻击、做出有效响应以及对攻击行为进行调查分析等功能。49491.2.3信息安全保障模型信息安全保障模型信息安全保障模型如图1-5所示。为了实现信息安全保障，首先要在信息域对网络空间进行数据获取、收集、保护、协同处理等，同时基于该过程取得相对于攻击者的信息有利地位，建立具有信息优势的能力，并为认知域所感知。其次，作为同步与响应，要在认知域进行推理和决策，在相关法律法规及标准指导下，建立产生和共享高质量的风险管理与控制、态势感知、理解、评估、预测等能力，并且基于风险和态势实现防御过程的实时自我调整过程。5050信息安全保障体系主要是通过改善防御空间的同步效信息安全保障体系主要是通过改善防御空间的同步效果、提高感知能力、加快响应速度、增强防御能力和生存果、提高感知能力、加快响应速度、增强防御能力和生存能力等，从而提升系统整体的信息保障效能能力等，从而提升系统整体的信息保障效能。51 51图1-5信息安全保障模型52521.2.4信息安全保障体系的架构信息安全保障体系的架构信息安全保障体系是实施信息安全保障的法律法规、组织管理、安全技术和安全设施建设等方面有机结合的整体，是信息社会国家安全的基本组成部分，是保证国家信息化顺利进行的基础。信息安全保障体系由管理控制、运信息安全保障体系由管理控制、运行控制和技术控制组合而成，包括三种基本要素：组织要行控制和技术控制组合而成，包括三种基本要素：组织要素、内容要素和技术要素。素、内容要素和技术要素。组织要素组织要素包括信息安全保障思想理论基础、信息安全保障主/客体、信息安全保障法律基础和信息安全保障体系的管理协调机构。5353内容要素内容要素包括所有与信息域相关的现实支撑和潜在风险，以及对应的具体安全形态。技术要素技术要素是在信息安全体系中保障信息安全，实现风险描述、管理与控制的所有技术手段及其影响因素的总和。信息安全保障体系是一个复杂的社会信息系统，基于其组成要素，完整的信息安全保障体系的架构如图1-6所示。5454图1-6信息安全保障体系架构5555(1)法律法规是组织从事各种政务、商务活动所处社会环境的重要组成部分，它能为信息安全提供制度保障。没有法律法规的保障，商务、政务活动将无章可循，信息安全的技术和管理人员将失去约束。在我国，现行的信息安全法律法规主要包括相关的法律(如中华人民共和国保守国家秘密法、全国人大常务委员会关于维护互联网安全的决定等)、行政法规(如中华人民共和国计算机信息系统安全保护条例、5656商用密码管理条例等)、司法解释(如关于审理扰乱电信市场秩序案件具体应用法律若干问题的解释等)、规章(如计算机病毒防治管理办法、计算机信息系统保密管理暂行规定等)等。目前世界各国、国际组织等纷纷推出相关的信息安全标准，5757用以指导信息安全风险管理的实践，如国际标准化组织(ISO)制定了ISO/IEC 13335、ISO/IEC 17799、ISO/IEC 27001等、英国标准协会(BSI，British Standards Institution)制定了BS 7799-1、BS 7799-2等、美国国家标准技术局(NIST，The National Institute of Standards and Technology)制定了SP 800系列标准、FIPS 199联邦信息和信息系统的安全分类标准等，我国也制定了如GB/T 20274.12006信息安全技术信息系统安全保障评估框架、GB/T 209842007信息安全技术信息安全风险评估规范等标准。5858(2)信息安全组织是实施信息安全工程与管理的动力源泉，有效的信息安全组织管理要明确信息安全相关工作的组织方式、机构设置、职权划分、信息安全工作如何开展等。根据我国有关法律法规的规定，我国有权参与信息安全管理相关工作的行政部门包括：公安部、安全部、保密部门与工业和信息化部等机构及其下属机构。此外，工商管理部门、文化管理部门、海关等国家机关对各自职权范围内的信息安全相关工作也有不同程度和不同方面的职权。5959对于独立的组织而言，其组织结构管理效能与参与信息安全的人员管理，是有效落实信息安全相关工作的基础。(3)信息安全技术保障主要是采用先进技术手段，通过实施保护、检测、响应和恢复等安全机制，确保信息系统安全。(4)信息安全平台保障是建立信息共享与分析、风险管理与控制两个中心，以及防护、管理、监控和应急四个体系，基于这两个中心和四个体系，来确保信息安全技术的顺利实施。6060(5)信息安全基础设施是指为确保信息安全工程与管理正常工作而必需的信息安全相关设施，包括基础性、支撑性、服务性和公益性的设施，如基于数字证书的信任体系(PKI/CA)、密钥管理基础设施(KMI)、信息安全测评与认证体系(CC/TCSEC/IATF)等。信息安全基础设施是国家层面保障信息安全工作权威性、可实施性的基础。(6)人是信息安全中最活跃的因素，信息安全工作需要有相当水平的信息安全专业技术人才来承担，同时，这项工作也需要专门的信息安全经费来支持。61 61通过实施广泛的信息安全人才教育体系和科研等经费计划，共同完成信息保障体系的建设。截止2010年底，我国在已有70余所高校建立的信息安全及相关类本科专业基础上，在25余所高校和研究中心设立了信息安全二级学科硕士点、博士点，以及国家级和省部级的信息安全重点实验室、工程中心等，各种职业教育、培训班更是热火朝天，不少信息安全研究单位和企业也与高校开展了多种层次的合作，直接或间接地提供了经费支持和参与到信息安全工程科技人才培养中来。6262另外，我国863、973、国家自然科学基金、国防科技计划等也有相当比例的经费用于支持信息安全理论与技术的研究与开发，信息安全得到了相当程度的重视。63631.2.5信息安全保障体系的建设信息安全保障体系的建设以下略以下略在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。就目前而言，实施信息安全保障是世界各国谋求的战略性制高点。由于信息安全保障体系建设的艰巨性和复杂性，近几年人们对其规律性也未充分把握，所以信息安全保障建设现状依然十分严峻。在我国，信息安全保障工作更是需要花费时间和实践来积累经验，当然，国外的一些先进经验是值得我们借鉴的。64641.国外信息安全保障的建设国外信息安全保障的建设早在1998年5月，美国的克林顿政府就发布了第63号总统令(PDD63)克林顿政府对关键基础设施保护的政策，这是政府建设网络空间的指导性文件，拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门，其中包括中央情报局、商务部、国防部、能源部、司法部、联邦调查局、交通部、财政部、联邦紧急事务处理局、国家安全局等，它们已经在1998年11月完成了保护其关键信息系统的计划。65652001年1月7日，克林顿政府发布了信息系统保护国家计划V1.0，提出了政府在21世纪初若干年网络空间安全的发展规划，明确指出了两项总目标：首先要使美国政府成为信息安全的模范，其次是建立公私合作伙伴关系，保卫关键基础设施。具体内容包括加强联邦政府信息技术和信息安全的竞争能力以及相关的培训和发证工作；建立IT优秀人才中心，对联邦政府的IT工作人员的业务水平加以评定，并提高政府信息安全的技术水平；6666设立服务奖学金计划，招聘和培养新一代的联邦政府IT管理人才，获得奖学金的学生必须承诺为联邦政府工作一段时间，该计划也适用于信息安全专业的师资培训；设立高中生人才招聘和培训计划，吸收有培养前途的高中生参加暑期打工，目标是使他们能达到联邦政府IT工作人员的标准和满足未来的就业需求；制订和实施联邦政府信息安全宣传计划，使全体联邦政府工作人员都有计算机安全意识等五项主要内容。67672001年10月16日，布什政府意识到“911”之后信息安全的严峻性，发布了第13231号行政令信息时代的关键基础设施保护，宣布成立“总统关键基础设施保护委员会(PCIPB，Presidents Critical Infrastructure Protection Board)”，代表政府全面负责国家的网络空间安全工作。2003年2月14日，PCIPB在广泛征求国民意见的基础上，发布了确保网络空间的国家战略正式版，这是布什政府对美国国土安全的国家战略(2002年7月公布)的补充，重点突出了国家政府层面上的战略任务，该战略进一步明确了信息安全保障的三项总体战略目标，6868即阻止针对美国至关重要的基础设施的网络攻击；降低美国对网络攻击的脆弱性；以及在确实发生网络攻击时，使损害程度最小化且恢复时间最短。报告同时给出了五项重点优先建设任务：建立国家网络空间安全响应系统；建立减少网络空间威胁和脆弱性的国家项目；建立网络空间安全意识和培训的国家项目；确保国家及政府网络空间安全；国家安全和国际网络空间安全合作。确保网络空间的国家战略明确规定，国土安全部(DHS，Department of Homeland Security)将成为联邦政府确保网络安全的核心部门，6969并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织，即公共部门、私营部门和研究机构之间的指挥中枢。国土安全部将制定一项确保美国关键资源和至关重要的基础设施安全的全面的国家计划，以便向私营部门和其他政府机构提供危机管理、预警信息和建议、技术援助、资金支持等5项责任。该报告把关键基础设施定义为“那些维持经济和政府最低限度的运作所需要的物理和网络系统，包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续运作的领导机构”。7070该报告强调，确保美国网络安全的关键在于美国公共与私营部门的共同参与，以便有效地完成网络预警、培训、技术改进、脆弱性补救等工作。2005年4月14日，美国政府公布了美国总统信息技术顾问委员会(PITAC，Presidents Information Technology Advisory Committee)2月14日向总统布什提交的网络空间安全：迫在眉睫的危机的紧急报告，对美国2003年的信息安全战略提出不同看法，指出在过去十年里美国保护国家信息技术基础建设工作是失败的，短期弥补修复解决不了根本问题，并提出了四个问题和建议：政府对民间网络空间安全研究的资助不够，71 71建议每年拨给国家科学基金(NSF)9000万美金；网络空间安全基础性研究团体规模小，七年时间团体规模扩大一倍；安全研究成果的成功转化不够，政府应加强在技术转让方面与企业的合作；缺乏政府部门间协作与监管是安全对策无重点和无效率的根源；建议成立“重要信息基础设施保护跨部门工作组”。2006年2月6日至10日，美国国土安全部下属的国家网络安全局举行了美国历史上最大规模的网络战演习“网络风暴”(Cyber Storm)，用来检验各部门应对全球激进主义者、黑客等发起的破坏性网络攻击的能力。7272英美等4个国家参与了该演习，其中美国有国家安全委员会、国防部、国务院、司法部、财政部、国家安全局以及联邦调查局、中央情报局等机构参与。2006年4月，美国信息安全研究委员会发布的联邦网络空间安全及信息保护研究与发展计划(CSIA)制定了全面、协调并面向新一代技术的研发框架，确定了14个技术优先研究领域，13个重要投入领域。为改变无穷无尽打补丁的封堵防御策略，从体系整体上解决问题，提出了10个优先研究项目，包括认证、协议、安全软件、整体系统、监控检测、恢复、网络执法、模型和测试、评价标准和非技术原因等方面。73732007年2月4日，美国国防部公布的四年一度防务评审报告非常关注网络空间安全，提出加强网络空间安全研究作为未来重点发展的作战力量之一。报告指出，网络不仅是一种企业资产，还应作为一种武装系统加以保护，像国家其他的关键基础设施那样受到保护。针对当前和未来可能的网络攻击，报告重点提出了“设计、运行和保护网络”，确保联合作战的需求。同年，布什政府成立了第44届总统网络空间安全委员会，专门研究美国怎么做好网络空间的安全。74742008年1月8日，美国总统签署一项扩大情报机构监控因特网通信范围的联合保密指令，以防御对联邦政府计算机系统日益增多的攻击，这项指令授权以国家安全局为首的情报部门监控整个联邦机构计算机网络。国家安全局将收集和监控入侵的数据，配置防御攻击和加密数据的技术，另外，还将致力于把政府因特网端口从2000个减少至50个。同时，为了进一步加强政府核心部分的防范，发布了总统54号令，设立综合性国家网络安全计划，主要对政府系统进一步加以防范，还拓展了国家安全局对政府信息系统安全的主管权力。75752008年3月10日至14日，美国国土安全部举行代号“网络风暴”(Cyber Storm)的网络战争演习，耗资超过600万美元，内容涉及政府机构和信息技术、通信、化学、交通运输等重要行业的网络系统遭受模拟联合攻击导致如能源、运输和医疗系统瘫痪、网络银行和销售系统出错、软件公司发售光盘染毒等危险的应对能力。国土安全部官员罗伯特贾米森提及，举行这次演习的原因是美国计算机和通信网络正面临“真正的、不断加剧的威胁”，连“总统最近也对此予以更多关注”。7676这是美国继2006年“网络风暴”后又一次全面检验国家网络安全和应急能力的演习，共有18个联邦机构、9个州、40家公司(陶氏化学公司、ABB公司、思科系统公司、美联银行、微软等)及5个国家(美国、英国、澳大利亚、加拿大和新西兰)参与，规模堪称史无前例。国土安全部负责网络安全与通信事务的官员格雷格加西亚说：“确保网络空间安全对维护美国的战略利益、公共安全和经济繁荣意义重大。像网络风暴这样的演习能帮助政府和企业做好准备，有效应对针对我们重要系统和网络的袭击”。7777奥巴马总统一上任，马上公布了提交第44届总统的保护网络空间安全的报告。报告认为，过去20年来，美国一直致力于设计一种战略以应对这些新型威胁和保护自身利益，但始终都不算成功。无效的网络安全以及信息基础设施在激烈竞争中受到攻击，削弱了美国的力量，使国家处于风险之中。报告分别从制定战略、设立部门、制定法律法规、身份管理、技术研发等方面进行了阐述，建议设定一条基本原则，即网络空间是国家一项关键资产，7878美国将动用国家力量的所有工具对其施以保护，以确保国家和公众安全、经济繁荣以及关键服务对美国公众的顺畅提供。他们认为仅仅靠自愿采取行动是远远不够的，美国必须评估风险并按重要性对各种风险进行等级划分，在此基础上制定出保护网络空间的最低标准，以确保网络空间的关键服务即便在美国遭受攻击的情况下也能不间断地工作。2008年12月，为了加深奥巴马政府对信息安全现状的认识，美国开展了为期两天的“模拟网络战”，总计有230名来自军方、政府和企业的代表参与了这次演习活动。演习结果认为，美国在网络攻击前抵抗能力很差，7979这为奥巴马政府敲响了警钟。2009年5月26日，发布总统关于白宫国土安全和反恐组织的声明，宣布一种将增强国家安全和国家保障的新方法，重点解决机构两大问题：对白宫官员进行全面整合，以支持国家和国土安全，成立“国家安全参谋部”(NSS，National Security Staff)，由国家安全协调官领导，统一支持国家安全委员会(NSC，National Security Council)和国土安全委员会(Homeland Security Council)；在国家安全参谋部中新增人员和职务，这些人员和职务具有对事件进行预防和响应的职能，用以处理21世纪所面临的新挑战，包括网络安全、大规模杀伤性武器、恐怖主义、跨国界安全、信息共享和弹性政策。80802009年2月9日，奥巴马指示美国国家安全委员会和国土安全委员会负责网络空间事务的代理主管梅利萨哈撒韦主持组织对美国的网络安全状况展开为期60天的全面评估，以检查联邦政府部门保护机密信息和数据的措施。2009年5月29日，经过几个月的工作，奥巴马在白宫东厅公布了名为网络空间政策评估保障可信和强健的信息和通信基础设施的报告，并发表重要讲话，强调美国21世纪的经济繁荣将依赖于网络空间安全，他将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”，81 81并宣布“从现在起，我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项”。该报告全长76页，除前言、内容提要、简介外，正文包括6个章节：(1)加强顶层领导。通过以下事项来加强对网络空间安全的领导：设立一个总统的网络空间安全政策官员和支持机构；审查法律和政策；加强联邦对网络空间安全的领导力，强化对联邦的问责制；提升州、地方政府的领导力。8282(2)建立数字国家的能力。提升公众的网络安全意识，加强网络安全教育，扩大联邦信息技术队伍，使网络安全成为各级政府领导人的一种责任。(3)共担网络安全责任。改进私营部门和政府的合作关系，评估公私合作中存在的潜在障碍，与国际社会有效合作。(4)建立有效的信息共享和应急响应机制。建立事件响应框架，加强事件响应方面的信息共享，提高所有基础设施的安全性。8383(5)鼓励创新。通过创新来解决网络空间安全问题，制定全面、协调并面向新一代技术的研发框架，建立国家的身份管理战略，将全球化政策与供应链安全综合考虑，保持国家安全、应急战备能力。(6)行动计划。提出了10项近期行动计划和14项中期行动计划。2009年10月30日，美国国土安全部下属的“国家网络空间安全和通信集成中心”(NCCIC，National Cybersecurity and Communications Integration Center)在佛吉尼亚州阿灵顿开张成立。8484该中心总投资约900万美元，24小时全天候监控涉及基础网络架构和美国国家安全的网络威胁。NCCIC的主要职责是联络美国国家通讯协调中心(NCC，National Coordinating Center)和美国计算机紧急情况反应小组(USCERT，United States Computer Emergency Readiness Team)，帮助他们实现协同工作。其中前者是美国政府的通讯网络管理机构，后者则是政府和网络企业间的紧急情况应对机关。向上，NCCIC还协调美国国家计算机安全中心(NCSC，National Computer Security Center)下属六大数字安全中心的工作。8585有国会议员还在听证会上提出，美国在打击计算机犯罪的问题上已经落后了，呼吁建立一个防范数字安全方面的最高机关，统筹各种事务，该机构将由直属于总统的网络安全主管负责。这一提案获得了奥巴马总统的首肯。2009年11月，由美国国防部举办、白狼安全防务公司(White Wolf Security and Defense Company)协办展开了为期两天的“网络拂晓”(Network Daybreak)电子战演习，堪称美国最大的“电子战争游戏”，演习模拟网络系统遭到一切有可能的攻击，对各种信息技术和网络手段作出检验，保障网络系统依然能够工作，为发动与应对全球网络战做准备。86862010年5月27日，奥巴马政府发布美国国家安全战略报告，其中强调了互联网对国家安全的影响，认为网络安全威胁是对美国国家安全、公共安全以及经济安全最严重的威胁之一。在应对网络安全问题上该报告提出：首先，必须高度重视人才培养及科技创新。加强政府与私营部门的合作，开发更为安全的技术，促进尖端技术的研究与运用，加大创新与探索力度，以更好地应对网络安全威胁；在全国范围内开展旨在提高网络安全意识、普及数字知识的教育运动，让网络安全及数字知识进企业、进教室、进脑袋，为培养21世纪的数字安全人才打下基础。8787其次，要加强合作。无论是政府，还是私营部门，或是个体公民，均无法单独应对网络安全挑战，因此，必须扩大合作途径，要在更广泛议题内加强和巩固国际合作关系，包括制定和完善网络行为规范，完善打击网络犯罪的法律，保障信息及数据存贮安全及个人隐私安全，扩大增强网络防务及应对网络袭击的途径，加强同所有关键参与者(各级政府、私营部门及各国政府)的合作，加强对网络入侵的调查，确保有组织地应对未来网络事件。另外，必须制定恰当合理的预案，确保有充足资源和力量应对网络安全袭击。88882010年9月27日至29日，一场多国、跨部门“网络风暴”(Cyber Storm)演习在美国展开，由美国国土安全部负责，会同商务部、国防部、能源部、司法部、交通部和财政部，联合11个州和60家私营企业，及12个伙伴国(包括澳大利亚、英国、加拿大、法国、德国、匈牙利、日本、意大利、荷兰、新西兰、瑞典及瑞士)参与，并且首次通过真实的国际互联网实施演习，目的在于当重大网络事件发生时，为政府机构、私营企业和国际伙伴提供一个框架，使他们具有有效的事件反应能力，实施有效的协调。8989这次演习也是NCCIC成立以来经历的首次重要检验。国土安全部长珍妮特纳波利塔诺在声明中说：“为保证美国网络安全，联邦、州、国际和私营部门需要紧密协同。网络风暴这样的演习能使我们利用已取得的重大进展，处理不断演变的网络威胁”。美国国土安全部国家网络安全局长鲍比斯坦普弗莱强调：从过去的演习情况来看，虽然政府机构和私人企业都具有防范网络攻击的力量，但他们之间缺乏协调与合作，在遭到攻击时十分慌乱，缺乏应急机制，令网络攻击更加难以遏止。斯坦普弗莱称：这次“网络风暴”演习就是验证美国是否对这些威胁做好准备。90902011年5月16日，美国司法部、国土安全部等6大部门在白宫发布网络空间国际战略(International Strategy for Cyberspace)。在政策重点部分，列出了7大政策，涵盖了政治、军事、经济等各方面的网络政策，其中6条与网络安全相关，即：维护网络安全，确保互联网安全、可靠及灵活；在执法领域加强网络立法和执行力度，提高全球打击网络犯罪的能力；同军方合作以帮助各联盟采取更多措施共同应对网络威胁，同时确保军队的网络安全；在互联网管理方面保障全球网络系统、包括域名系统的稳定和安全；91 91帮助其他国家制定数字基础设施和建设抵御网络威胁的能力，通过发展支持新生合作伙伴；最重要的是，在军事领域与盟友通力合作，应付21世纪网络所面对的威胁。该战略明确指出，如果网络空间遭到严重威胁，美国将动用一切可用手段，包括军事手段。这充分证明了美国在维护网络利益上的强硬态度。在俄罗斯，1995年1月25日国家杜马就审议通过了作为信息安全立法基础的俄罗斯联邦信息、信息化和信息保护法，强调国家在建立信息资源和信息化中的责任是“旨在为完成俄联邦社会和经济发展的战略、战役任务，提供高效益、高质量的信息保障创造条件”。9292法规中明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。1997年12月17日叶利钦批准的俄罗斯国家安全构想明确提出：“保障国家安全应该把保障经济安全放在第一位，而信息网络安全又是经济安全的重中之重”。2000年6月23日，普京批准了国家信息安全学说纲领性文件，把信息安全正式作为一种战略问题来考虑，并从理论与实践上加紧准备，认真探讨进行信息战的各种措施。该战略明确了联邦信息安全建设的目的、任务、原则和主要内容，第一次明确指出了俄罗斯在信息领域的利益是什么，受到的威胁是什么，以及为确保信息安全首先要采取的措施等。93932009年5月12日，俄罗斯联邦总统梅德韦杰夫签发第537号总统令，批准了俄罗斯联邦2020年前国家安全战略，安全战略除总论外，还包括现代世界与俄罗斯的发展现状与趋势，俄罗斯国家利益和国家战略重点，国家安全保障，实施国家安全战略的组织、法规及信息基础，国家安全状况的基本特点等个部分，明确了俄国家安全保障体系的目标、重要方向和发展任务。在日本，政府一直强调“信息安全保障是日本综合安全保障体系的核心”。9494在1999年就拟定了21世纪信息通信构想和信息通信产业技术战略。2000年3月，日本政府对1996年制定的21世纪信息通信技术研究开发基本计划再次修改，制定了雄心勃勃的发展计划。此外，加紧制定相关的法律、法规和政策，例如电子签