彭設(shè)強(qiáng)

（中國人民解放軍國防信息學(xué)院，湖北武漢430010）

隨著信息技術(shù)的不斷發(fā)展， 國內(nèi)外信息安全形勢愈加嚴(yán)峻，2011年12 月， 繼CSDN、 天涯社區(qū)用戶數(shù)據(jù)泄露之后， 支付寶1500 萬～2500 萬用戶賬號（沒有密碼）信息泄露，被用于網(wǎng)絡(luò)營銷；2012 年2月， 美國一系列政府網(wǎng)站均遭到了Anonymous 組織的攻擊， 而其中CIA 官網(wǎng)被黑長達(dá)9 小時，這一組織之前曾攔截了倫敦警察與FBI 之間的一次機(jī)密電話會談，并隨后上傳于網(wǎng)絡(luò)，使得互聯(lián)網(wǎng)應(yīng)用人心惶惶，如何加強(qiáng)信息安全，作為其核心的信息安全策略已得到了高度重視。

1 信息安全策略的內(nèi)涵

隨著信息安全理論與技術(shù)的不斷發(fā)展，人們已經(jīng)從對安全產(chǎn)品的關(guān)注轉(zhuǎn)移到對安全策略的關(guān)注，因?yàn)橥瑯拥陌踩a(chǎn)品，如果采用不同的安全策略，其結(jié)果可能大不相同，合理的安全策略可以起到安全倍增器的作用，反之，錯誤的安全策略可能會嚴(yán)重削弱系統(tǒng)的安全性。

策略作為一個漢語詞匯，“策”本意是指竹制的馬鞭；“略”是指封疆土地。辭海中對策略的解釋為：為實(shí)現(xiàn)戰(zhàn)略任務(wù)而采取的手段，是指一系列政策、措施，是局部性的，在戰(zhàn)略原則許可的范圍內(nèi)具有較大靈活性。

在信息安全領(lǐng)域中，“策略”一詞來自于“policy”的翻譯。 Policy 源自希臘語polis，是指“一條行動路線、指導(dǎo)原則或程序，被認(rèn)為是權(quán)宜的、謹(jǐn)慎的或是有利的。 ”按這個原意，安全策略應(yīng)該是指在安全保障方面的行動路線、指導(dǎo)原則或程序。也就是說，安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則。 或者說，安全策略是指在一個系統(tǒng)（網(wǎng)絡(luò)）中關(guān)于安全問題采取的原則，對安全使用的要求，以及如何保護(hù)信息的安全。

信息防護(hù)不是一個靜態(tài)過程， 而是一個包括5 個主要環(huán)節(jié)的動態(tài)過程，即Policy（安全策略）、Protection（保護(hù)）、 Detection（檢測）、Response（響應(yīng)）和Recovery（恢復(fù)），即PPDRR 模型。 在安全策略的指導(dǎo)下，保護(hù)、檢測、響應(yīng)和恢復(fù)組成了一個完整的、動態(tài)的循環(huán)來保證信息的安全。因此，在實(shí)施信息安全過程中，首先應(yīng)進(jìn)行系統(tǒng)安全需求和安全風(fēng)險分析，確定系統(tǒng)的安全目標(biāo)，然后制定相應(yīng)的安全策略，再根據(jù)PPDRR 模型，進(jìn)行動態(tài)防護(hù)，其中，安全策略是整個系統(tǒng)安全的依據(jù)，策略一旦制定，應(yīng)當(dāng)作為整個系統(tǒng)安全行為的準(zhǔn)則。

2 美國信息安全策略的現(xiàn)狀

美國最高當(dāng)局歷來把信息安全視為國家安全的重要組成部分，從20 世紀(jì)80 年代末到90 年代，美國政府把信息安全提高到了“國家安全”的戰(zhàn)略高度，尤其重視信息系統(tǒng)的保護(hù)。 美國政府以政府通告、總統(tǒng)訓(xùn)令等形式不斷推出信息安全政策方針和各類規(guī)章制度，逐步形成了一整套信息安全防范體系，并規(guī)定每隔數(shù)年必須重新審定。

1994 年4 月美國總統(tǒng)克林頓遵循先例，發(fā)布了第29 號總統(tǒng)決策令，要求修改信息安全政策，強(qiáng)化信息安全保密機(jī)構(gòu)。美國近幾屆國防部長也都十分關(guān)注信息安全防護(hù)問題，并直接領(lǐng)導(dǎo)了有關(guān)工作。 美國參謀長聯(lián)席會議和三軍首腦也是信息戰(zhàn)及信息安全防護(hù)的積極推動者。

美國防部1996 年投資10 億美元為所有數(shù)據(jù)加密，以保護(hù)信息系統(tǒng)安全。 1996 年2 月28 日，五角大樓的戰(zhàn)略情報(bào)專家正式提出了一份名為《互聯(lián)網(wǎng)絡(luò)評估》的報(bào)告，主張美軍方要對因特網(wǎng)實(shí)行監(jiān)控。 美陸軍1996 年數(shù)字化總計(jì)劃特別強(qiáng)調(diào)了信息和信息系統(tǒng)的安全問題，計(jì)劃要對信息系統(tǒng)的脆弱性進(jìn)行分析和評估，并提出了保護(hù)戰(zhàn)場信息流的策略。

“9.11”事件之后，布什政府為了體現(xiàn)其對國家信息安全的重視，不僅宣布了新的網(wǎng)絡(luò)空間安全國家計(jì)劃， 而且采取各種有效措施，全面加強(qiáng)網(wǎng)絡(luò)與信息安全的防范工作，其中包括大規(guī)模增加反恐開支和用于信息安全的經(jīng)費(fèi)。

2009 年5 月29 日，奧巴馬政府公布了《美國網(wǎng)絡(luò)安全評估》報(bào)告，報(bào)告評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問題，提出行動計(jì)劃。奧巴馬也于報(bào)告發(fā)布當(dāng)天明確要求，要將保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為維護(hù)美國國家安全的第一要務(wù)。 2010 年6 月，美國國防部正式組建由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部，主要進(jìn)行數(shù)字戰(zhàn)爭，防護(hù)針對美軍計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅，該司令部于同年10 月開始運(yùn)作。

3 美國信息安全策略特點(diǎn)

美國信息安全策略的特點(diǎn)主要體現(xiàn)在兩個方面。 一是，實(shí)現(xiàn)網(wǎng)絡(luò)威懾戰(zhàn)略。美國具備了網(wǎng)絡(luò)威懾的條件：Intel 的CPU 占據(jù)全球計(jì)算機(jī)90%的市場份額；微軟的操作系統(tǒng)已經(jīng)占據(jù)了世界個人電腦操作系統(tǒng)的85%以上；思科核心交換機(jī)遍布全球網(wǎng)絡(luò)節(jié)點(diǎn)；在互聯(lián)網(wǎng)應(yīng)用方面技術(shù)積累時間長、應(yīng)用最為廣泛。美軍還具備網(wǎng)絡(luò)攻擊的經(jīng)驗(yàn)，在科索沃戰(zhàn)爭、伊拉克戰(zhàn)爭中，美軍曾經(jīng)通過網(wǎng)絡(luò)攻擊，挫毀對手的信息系統(tǒng)，達(dá)到癱瘓對手的目的。 二是，全面發(fā)展“先發(fā)制人”的網(wǎng)絡(luò)攻擊能力。 美國是世界上第一個引入網(wǎng)絡(luò)戰(zhàn)概念的國家，也是第一個將其應(yīng)用于戰(zhàn)爭的國家。 2008 年初，布什賦予國防部更大的網(wǎng)絡(luò)戰(zhàn)反制權(quán)，允許美軍主動發(fā)起網(wǎng)絡(luò)攻擊。要求美軍具備進(jìn)入任何遠(yuǎn)距離公開或封閉的計(jì)算機(jī)網(wǎng)絡(luò)的能力，然后潛伏在那里，保持“完全隱蔽”并“悄悄竊取信息”，最終欺騙、拒絕、瓦解對方系統(tǒng)，兵不血刃地破壞敵方的指揮控制、情報(bào)信息和防控設(shè)施等軍用網(wǎng)絡(luò)系統(tǒng)，甚至可以悄無聲息地破壞、控制敵方的商務(wù)、政務(wù)等民用網(wǎng)絡(luò)系統(tǒng)。

4 美國信息安全策略的幾點(diǎn)啟示

深入分析美國網(wǎng)絡(luò)安全策略，不難得出以下三方面的啟示。一是，深化安全防護(hù)技術(shù)的研究，加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)能力。 無論是克林頓的政令還是奧巴馬的網(wǎng)絡(luò)安全評估報(bào)告，都突出了利用安全防護(hù)技術(shù)加強(qiáng)對關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)。美軍打造一支以網(wǎng)絡(luò)中心戰(zhàn)為核心的隊(duì)伍，目的是實(shí)現(xiàn)可靠的、可信的、信息可以高度共享的、可互聯(lián)互通互操作的動態(tài)基礎(chǔ)設(shè)施，以滿足網(wǎng)絡(luò)中心戰(zhàn)的需求。目前，雖然我軍的信息安全水平有了明顯提高，安全防護(hù)體系已經(jīng)初步建立，但隨著信息技術(shù)的不斷發(fā)展和國際上攻擊技術(shù)的進(jìn)步，我們應(yīng)該進(jìn)一步深化安全防護(hù)技術(shù)的研究，加強(qiáng)對基礎(chǔ)設(shè)施的保護(hù)。二是，深入開展網(wǎng)絡(luò)安全模擬仿真技術(shù)研究，加強(qiáng)模擬真實(shí)環(huán)境檢驗(yàn)網(wǎng)絡(luò)安全水平的能力。 美軍通過多次網(wǎng)絡(luò)風(fēng)暴演習(xí)， 充分檢驗(yàn)了基礎(chǔ)設(shè)施之間的協(xié)調(diào)能力、國家機(jī)構(gòu)的應(yīng)急響應(yīng)能力等。美軍網(wǎng)絡(luò)風(fēng)暴演習(xí)都是通過安全模擬仿真技術(shù)進(jìn)行特制，模擬真實(shí)環(huán)境中發(fā)生過的情況。 我國也應(yīng)深入開展安全模擬仿真技術(shù)的研究，具備在線組織實(shí)施演練、評估等能力，實(shí)現(xiàn)“以訓(xùn)代戰(zhàn)”的目的，通過模擬多樣的攻擊方式、針對攻擊檢驗(yàn)安全防護(hù)策略、以及對安全事件進(jìn)行的響應(yīng)，從而促進(jìn)網(wǎng)絡(luò)攻擊對抗能力的提高和應(yīng)急響應(yīng)機(jī)制的完善。 三是，建立和強(qiáng)化防范機(jī)制。 這些機(jī)制包括加強(qiáng)網(wǎng)絡(luò)安全防范意識教育，徹底消除僥幸心理，形成主動防范、積極應(yīng)對的全民意識；提高安全監(jiān)測、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力；加快出臺相關(guān)法律法規(guī)，改變目前相關(guān)法律法規(guī)太籠統(tǒng)、缺乏可操作性的現(xiàn)狀，對各種信息主體的權(quán)利、義務(wù)和法律責(zé)任做出明晰的法律約束；加強(qiáng)網(wǎng)絡(luò)運(yùn)行管理機(jī)制，強(qiáng)化安全措施和解決方案；加快制定信息安全國家標(biāo)準(zhǔn)。

［1］曠野，閆曉麗.美國網(wǎng)絡(luò)空間可信身份戰(zhàn)略的真實(shí)意圖[J].信息安全與技術(shù)，2012（11）.

［2］彭設(shè)強(qiáng)，鄭皓，彭曙光.高等院校教師年度考核績效管理系統(tǒng)的安全設(shè)計(jì)與實(shí)現(xiàn)[J].科技信息，2010（17）.