論美國信息安全主導(dǎo)國家戰(zhàn)略

論美國信息安全主導(dǎo)國家戰(zhàn)略——2009中國計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會在長沙召開十一年以前，我們就開始對美國的信息\o"安全"安全保障進(jìn)行跟蹤、學(xué)習(xí)，我們對美國的信息安全保障問題很重視，用科學(xué)發(fā)展的態(tài)度不斷更新，不斷提高。下面，由中國工程院沈昌祥院士為大家介紹這方面的問題,以下為談話內(nèi)容:一、美國將\o"網(wǎng)絡(luò)"網(wǎng)絡(luò)空間安全由“政策”、“計(jì)劃”提升到國家戰(zhàn)略。美國將網(wǎng)絡(luò)安全列入國家計(jì)劃開始規(guī)劃，還認(rèn)為不夠又提升為國家戰(zhàn)略。美國在克林頓政府時(shí)期就把建設(shè)信息保護(hù)作為根本政策，同時(shí)發(fā)現(xiàn)了很多的網(wǎng)絡(luò)安全問題。1998年5月，克林頓政府發(fā)布了第63號總統(tǒng)令(PDD63)：《克林頓政府對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策》，成為直至現(xiàn)在沒有政府建設(shè)網(wǎng)絡(luò)空間安全的指導(dǎo)性文件。2000年1月，克林頓政府發(fā)布了《信息系統(tǒng)保護(hù)國家計(jì)劃V1.0》，提出了沒有政府在21世紀(jì)之初若干年的網(wǎng)絡(luò)空間安全發(fā)展規(guī)劃。2001年10月16日，布什政府意識到了911之后信息安全的嚴(yán)峻性，發(fā)布了第13231號行政令《信息時(shí)代的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》，宣布成立“總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會”，簡稱PCIPB，代表政府全面負(fù)責(zé)國家的網(wǎng)絡(luò)空間安全工作。委員會由克拉克擔(dān)任主席。委員會成立以后，系統(tǒng)地總結(jié)了美國的信息網(wǎng)絡(luò)安全問題，提出了無數(shù)個(gè)問題向國民廣泛征求意見。征求意見以后，馬上頒布了《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》，這個(gè)《戰(zhàn)略》很有意思，主要從系統(tǒng)角度加以分辨保護(hù)，提出分為五級：第一級家庭用戶與小型商業(yè);第二級：大型企業(yè);第三級：關(guān)鍵部門;第四級：國家的優(yōu)先任務(wù);第五級全球。2003年2月，在征求國民意見的基礎(chǔ)上，發(fā)布了《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》的正式版本，對原草案版本做了大篇幅的改動，重點(diǎn)突出國家政府層面上的戰(zhàn)略任務(wù)，這是一個(gè)非常大的跨越。新的《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》提出了三大戰(zhàn)略目標(biāo)：一是預(yù)防美國的關(guān)鍵基礎(chǔ)設(shè)施遭到信息網(wǎng)絡(luò)攻擊;二是減少國家對信息網(wǎng)絡(luò)攻擊的脆弱性;三是減少國家在信息網(wǎng)絡(luò)攻擊中遭受的破壞，減少恢復(fù)時(shí)間。五項(xiàng)重點(diǎn)任務(wù)：一是國家網(wǎng)絡(luò)空間安全響應(yīng)系統(tǒng);二是國家網(wǎng)絡(luò)空間威脅和脆弱性減少項(xiàng)目;三是國家網(wǎng)絡(luò)空間安全意識和培訓(xùn)項(xiàng)目;四是國家網(wǎng)絡(luò)空間安全保護(hù)政府網(wǎng)絡(luò)空間的安全;五是國家安全和國際網(wǎng)絡(luò)空間安全合作。2005年4月14日，美國政府公布了美國總統(tǒng)IT咨詢委員會2月14日向總統(tǒng)布什提交的《網(wǎng)絡(luò)空間安全：迫在眉睫的危機(jī)》的緊急報(bào)告，對美國2003年的信息安全戰(zhàn)略提出不同看法，指出過去十年中美國保護(hù)國家信息技術(shù)基礎(chǔ)建設(shè)工作是失敗的。短期彌補(bǔ)修復(fù)不解決根本問題。GIG耗資一千億美元，而安全問題沒有解決，仍是漏洞百出。(他們認(rèn)為是不能用的)當(dāng)時(shí)，提出了四個(gè)問題和建議：1、政府對民間網(wǎng)絡(luò)空間安全研究的資助不夠，建議每年撥NSF九千萬美金;2、網(wǎng)絡(luò)空間安全基礎(chǔ)性研究團(tuán)體規(guī)模小，七年時(shí)間團(tuán)體規(guī)模擴(kuò)大一倍;3、安全研究成果的成功轉(zhuǎn)化不夠，政府加強(qiáng)在技術(shù)轉(zhuǎn)讓方面與企業(yè)的合作;4、缺乏政府部門間協(xié)作與監(jiān)管是安全對策無重點(diǎn)和無效率的根源;5、建議成立“重要信息基礎(chǔ)設(shè)施保護(hù)跨部門工作組”。2006年4月，信息安全研究委員會發(fā)布的《聯(lián)邦網(wǎng)絡(luò)空間安全及信息保護(hù)研究與發(fā)展計(jì)劃(CSIA)》確定了14個(gè)技術(shù)優(yōu)先研究領(lǐng)域，13個(gè)重要投入領(lǐng)域。為改變無窮無盡打補(bǔ)丁的封堵防御策略，從體系整體上解決問題，提出了十個(gè)優(yōu)先研究項(xiàng)目，包括：認(rèn)證、協(xié)議、安全\o"軟件"軟件、整體系統(tǒng)、監(jiān)控檢測、恢復(fù)、網(wǎng)絡(luò)執(zhí)法、模型和測試、評價(jià)標(biāo)準(zhǔn)、非技術(shù)原因。美國國防部2007年2月4日公布的《四年一度防務(wù)評審》報(bào)告非常關(guān)注網(wǎng)絡(luò)空間安全，提出加強(qiáng)網(wǎng)絡(luò)空間安全研究作為未來重點(diǎn)發(fā)展的作戰(zhàn)力量之一。報(bào)告指出，網(wǎng)絡(luò)不僅是一種企業(yè)資產(chǎn)，還應(yīng)作為一種武裝系統(tǒng)加以保護(hù)，如同國家其他的關(guān)鍵基礎(chǔ)設(shè)施那樣受到保護(hù)。針對當(dāng)前和未來可能的網(wǎng)絡(luò)攻擊，報(bào)告重點(diǎn)提出了“設(shè)計(jì)、運(yùn)行和保護(hù)網(wǎng)絡(luò)”，確保聯(lián)合作戰(zhàn)的需求。美國總統(tǒng)簽署命令，擴(kuò)大網(wǎng)絡(luò)監(jiān)控范圍。美國總統(tǒng)2008年1月8日簽署一項(xiàng)擴(kuò)大情報(bào)機(jī)構(gòu)監(jiān)控因特網(wǎng)\o"通信"通信范圍的聯(lián)合保密指令，以防御對聯(lián)邦政府計(jì)算機(jī)系統(tǒng)日益增多的攻擊，這項(xiàng)指令授權(quán)以國家安全局為首的情報(bào)部門監(jiān)控整個(gè)聯(lián)邦機(jī)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)。指令的具體內(nèi)容保密。這項(xiàng)行動將花費(fèi)數(shù)十億美金，資金將列入2009年財(cái)政預(yù)算中。國土安全局將收集和監(jiān)控入侵的數(shù)據(jù)，配置防御攻擊和加密數(shù)據(jù)的技術(shù)。另外國土安全局還將致力于把政府因特網(wǎng)端口從2000個(gè)減少至50個(gè)。同時(shí)，為了進(jìn)一步加強(qiáng)政府核心部分的防范，發(fā)布了總統(tǒng)54號令，這個(gè)令是保密的。我們了解到主要是“設(shè)立了綜合性國家網(wǎng)絡(luò)安全計(jì)劃”，主要對政府系統(tǒng)加以進(jìn)一步地防范。還拓展了國家安全局對政府信息系統(tǒng)安全的主管權(quán)力。二、美國\o"網(wǎng)絡(luò)"網(wǎng)絡(luò)空間\o"安全"安全當(dāng)前的戰(zhàn)略(一)美國網(wǎng)絡(luò)空間安全戰(zhàn)略網(wǎng)絡(luò)空間指全球互聯(lián)的數(shù)字信息，也是對\o"通信"通信技術(shù)設(shè)施的總稱，稱為四大空間以外的第五空間。布什總統(tǒng)在信息安全上弄得焦頭爛額，他的任期快到了，也解決不了問題，他希望下一屆總統(tǒng)解決這個(gè)問題。因此，就成立了《第44屆總統(tǒng)網(wǎng)絡(luò)空間安全委員會》，經(jīng)過一年半的工作，形成了《提交第44屆總統(tǒng)的保護(hù)網(wǎng)絡(luò)空間安全的報(bào)告》。報(bào)告引言：暗戰(zhàn)，以二戰(zhàn)時(shí)期“阿爾發(fā)和英格瑪”事件為警示，提出：網(wǎng)絡(luò)安全是美國在一個(gè)競爭更加激烈的新國際環(huán)境中面臨的最大安全挑戰(zhàn)之一，美國處于英格瑪被破境地。報(bào)告認(rèn)為，過去20年來，美國一直在努力設(shè)計(jì)一種戰(zhàn)略來應(yīng)對這些新型威脅和保護(hù)自身利益，但始終都不算成功。無效的網(wǎng)絡(luò)安全以及信息基礎(chǔ)設(shè)施在激烈競爭中受到攻擊，削弱了美國力量，使國家處于風(fēng)險(xiǎn)之中。報(bào)告提出了十二項(xiàng)、25條建議，分別從制定戰(zhàn)略、設(shè)立部門、制定法律法規(guī)、身份管理、技術(shù)研發(fā)等方面進(jìn)行了闡述。尤其是第一條，建議設(shè)定一條基本原則，即網(wǎng)絡(luò)空間是國家一項(xiàng)關(guān)鍵資產(chǎn)，美國將動用國家力量的所有工具對其施以保護(hù)，以確保國家和公眾安全、經(jīng)濟(jì)繁榮以及關(guān)鍵服務(wù)對美國公眾的順暢提供。報(bào)告認(rèn)為：僅僅靠自愿采取行動是遠(yuǎn)遠(yuǎn)不夠的。美國必須評估風(fēng)險(xiǎn)并按重要性對各種風(fēng)險(xiǎn)進(jìn)行等級劃分，在此基礎(chǔ)上制定出保護(hù)網(wǎng)絡(luò)空間的最低標(biāo)準(zhǔn)，以確保網(wǎng)絡(luò)空間的關(guān)鍵服務(wù)即便在美國遭受攻擊的情況下也能不間斷地工作。提出12項(xiàng)建議：1、制定一項(xiàng)全面的網(wǎng)絡(luò)空間國家安全戰(zhàn)略2、構(gòu)建網(wǎng)絡(luò)空間安全機(jī)構(gòu)3、與私營部門的合作伙伴關(guān)系4、網(wǎng)絡(luò)安全法規(guī)5、保護(hù)工業(yè)控制系統(tǒng)和SCADA(監(jiān)督、控制和數(shù)據(jù)采集系統(tǒng))的安全6、通過采購規(guī)則提高安全性7、身份管理8、法律法規(guī)現(xiàn)代化9、修訂聯(lián)邦網(wǎng)絡(luò)空間安全管理法案10、消除民用系統(tǒng)與國家安全系統(tǒng)的區(qū)別11、網(wǎng)絡(luò)教育和勞動力發(fā)展培訓(xùn)12、網(wǎng)絡(luò)空間安全研發(fā)(二)奧巴馬政府的戰(zhàn)略舉措2008年12月，為了加深奧巴馬政府對信息安全現(xiàn)狀的認(rèn)識，美國開展了為期2天的“模擬網(wǎng)絡(luò)戰(zhàn)”，總計(jì)有230名來自軍方、政府和企業(yè)的代表參與了這次演習(xí)活動。演習(xí)結(jié)果認(rèn)為，美國在網(wǎng)絡(luò)攻擊前抵抗能力很差，這為奧巴馬政府敲響了警鐘。2009年5月26日，發(fā)布《總統(tǒng)關(guān)于白宮國土安全和反恐組織的聲明》，宣布一種將增強(qiáng)國家安全和國家保障的新方法。主要決定重點(diǎn)解決機(jī)構(gòu)問題對白宮官員進(jìn)行全面整合，以支持國家和國土安全。成立“國家安全參謀部”，由國家安全協(xié)調(diào)官領(lǐng)導(dǎo)，統(tǒng)一支持國土安全委員會和國家安全委員會。在國家安全參謀部中新增人員和職務(wù)，用以處理21世紀(jì)所面臨的新挑戰(zhàn)，包括網(wǎng)絡(luò)安全、大規(guī)模殺傷性武器、恐怖主義，跨國界安全，信息共享和彈性政策，這些人員和職務(wù)具有對事件進(jìn)行預(yù)防和響應(yīng)的職能。2009年2月9日，奧巴馬指示美國國家安全委員會和國土安全委員會負(fù)責(zé)網(wǎng)絡(luò)空間事務(wù)的代理主管梅利薩?哈撒韋主持組織對美國的網(wǎng)絡(luò)安全狀況展開為期60天的全面評估。經(jīng)過幾個(gè)月的工作，2009年5月29日，奧巴馬在白宮東廳公布了名為《網(wǎng)絡(luò)空間政策評估——保障可信和強(qiáng)健的信息和通信基礎(chǔ)設(shè)施》的報(bào)告，并發(fā)表重要講話。奧巴馬在演講詞中強(qiáng)調(diào)，美國21世紀(jì)的經(jīng)濟(jì)繁榮將依賴于網(wǎng)絡(luò)空間安全。他將網(wǎng)絡(luò)空間安全威脅定位為“我們舉國面臨的最嚴(yán)重的國家經(jīng)濟(jì)和國家安全挑戰(zhàn)之一”，并宣布“從現(xiàn)在起，我們的數(shù)字基礎(chǔ)設(shè)施將被視為國家戰(zhàn)略資產(chǎn)。保護(hù)這一基礎(chǔ)設(shè)施將成為國家安全的優(yōu)先事項(xiàng)?！眻?bào)告全長76頁，除前言、內(nèi)容提要、簡介外，正文包括6個(gè)章節(jié)，分別是：1、加強(qiáng)頂層領(lǐng)導(dǎo)。通過以下事項(xiàng)來加強(qiáng)對網(wǎng)絡(luò)空間安全的領(lǐng)導(dǎo)：設(shè)立一個(gè)總統(tǒng)的網(wǎng)絡(luò)空間安全政策官員和支持機(jī)構(gòu);審查法律和政策;加強(qiáng)聯(lián)邦對網(wǎng)絡(luò)空間安全的領(lǐng)導(dǎo)力，強(qiáng)化對聯(lián)邦的問責(zé)制;提升州、地方和部落政府的領(lǐng)導(dǎo)力。2、建立數(shù)字國家的能力。提升公眾的網(wǎng)絡(luò)安全意識，加強(qiáng)網(wǎng)絡(luò)安全教育，擴(kuò)大聯(lián)邦信息技術(shù)隊(duì)伍，使網(wǎng)絡(luò)安全成為各級政府領(lǐng)導(dǎo)人的一種責(zé)任。3、共擔(dān)網(wǎng)絡(luò)安全責(zé)任。改進(jìn)私營部門和政府的合作關(guān)系，評估公私合作中存在的潛在障礙，與國際社會有效合作。4、建立有效的信息共享和應(yīng)急響應(yīng)機(jī)制。建立事件響應(yīng)框架，加強(qiáng)事件響應(yīng)方面的信息共享，提高所有基礎(chǔ)設(shè)施的安全性。5、鼓勵(lì)創(chuàng)新。通過創(chuàng)新來解決網(wǎng)絡(luò)空間安全問題，制定全面、協(xié)調(diào)并面向新一代技術(shù)的研發(fā)框架，建立國家的身份管理戰(zhàn)略，將全球化政策與供應(yīng)鏈安全綜合考慮，保持國家安全/應(yīng)急戰(zhàn)備能力。6、行動計(jì)劃。提出了近期行動計(jì)劃10項(xiàng)和中期行動計(jì)劃14項(xiàng)。此外，美國政府發(fā)布的這份報(bào)告還在附錄回顧了現(xiàn)代通信技術(shù)在美國的發(fā)展情況以及信息安全相關(guān)法律和法規(guī)框架的制定情況。報(bào)告強(qiáng)調(diào)：1、國家現(xiàn)在處于一個(gè)十字路口;2、現(xiàn)狀已不能再接受;3、必須從今天開始全國性的網(wǎng)絡(luò)空間安全對話;4、如果孤立地工作美國不可能成功地確保網(wǎng)絡(luò)空間的安全;5、聯(lián)邦政府不能完全委托或取消其保護(hù)國家免受網(wǎng)絡(luò)事件或事故影響的角色;6、與私營部門合作，必須定義下一代基礎(chǔ)設(shè)施的性能和安全目標(biāo);7、白宮必須領(lǐng)導(dǎo)前進(jìn)的道路。三、思考與啟示1、充分認(rèn)識信息\o"安全"安全國家戰(zhàn)略地位，全面落實(shí)27號文件各項(xiàng)工作，加快信息安全保障體系建設(shè)。應(yīng)總結(jié)評估27號文件貫徹落實(shí)情況，提出新的戰(zhàn)略對策。2、加強(qiáng)國家信息安全統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)，既要各職能部門做好本職工作，更要相互配合。國家必須統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)。國家應(yīng)恢復(fù)國家\o"網(wǎng)絡(luò)"網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組和辦公室。3、加快推進(jìn)信息安全等級保護(hù)，從整體提