“9·11”事件已經(jīng)過去整整一年了�����,一年前突發(fā)的恐怖事件使正處于衰退時(shí)期的美國(guó)經(jīng)濟(jì)雪上加霜�����。作為美國(guó)新經(jīng)濟(jì)支柱的IT產(chǎn)業(yè)����,也受到了不小的影響。
美國(guó)社會(huì)和經(jīng)濟(jì)的快速發(fā)展依賴于一個(gè)錯(cuò)綜復(fù)雜的信息網(wǎng)絡(luò)����。為此��,美國(guó)政府對(duì)國(guó)家信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的安全一直以來都予以了特別的關(guān)注����。“9·11”事件后,美國(guó)政府對(duì)網(wǎng)絡(luò)安全更加重視�����,陸續(xù)出臺(tái)了一些新的舉措。本期國(guó)際報(bào)道將介紹美國(guó)加強(qiáng)網(wǎng)絡(luò)安全保護(hù)的新舉措���,敬請(qǐng)關(guān)注。
調(diào)整網(wǎng)絡(luò)安全計(jì)劃
2001年10月����,美國(guó)管理與預(yù)算辦公室(OMB) 頒布了新的政府部門網(wǎng)絡(luò)安全自我評(píng)估導(dǎo)則,新導(dǎo)則要求各部門就安全費(fèi)用�、具體實(shí)施方案和優(yōu)先行動(dòng)計(jì)劃等問題做出詳細(xì)匯報(bào)���。該辦公室還根據(jù)2000年頒布的“政府信息安全改革法案”(GISRA ) ����,要求政府各部門對(duì)自身的安全情況進(jìn)行評(píng)估�����。管理與預(yù)算辦公室對(duì)這些評(píng)估結(jié)果進(jìn)行分析后指出��,目前在政府機(jī)構(gòu)中普遍存在著安全隱患��,并有針對(duì)性地提出了六項(xiàng)改進(jìn)意見:
(1)提高高層管理人員對(duì)安全問題的重視程度;
(2)制定安全評(píng)估指標(biāo)����,量化各部門安全官員的工作成效;
(3)加強(qiáng)安全教育�,提高安全意識(shí)����;
(4)將解決安全問題列入政府預(yù)算;
(5)確保商務(wù)運(yùn)作環(huán)境的安全;
(6)提高探測(cè)�、報(bào)告和共享安全隱患信息的能力��。
根據(jù)這些改進(jìn)意見��,各網(wǎng)絡(luò)安全組織和政府部門紛紛調(diào)整自己的安全戰(zhàn)略和行動(dòng)計(jì)劃��,以提高網(wǎng)絡(luò)防御能力�����,如:聯(lián)邦計(jì)算機(jī)事故反應(yīng)中心(FedCIRC) “9·11”事件后����,聯(lián)邦計(jì)算機(jī)事故反應(yīng)中心(Fed CIRC ) 的工作重點(diǎn)已轉(zhuǎn)移到建立自動(dòng)的網(wǎng)絡(luò)安全問題報(bào)告和反應(yīng)系統(tǒng)上。該中心確定的2002年核心工作主要包括開發(fā)補(bǔ)救方法發(fā)布系統(tǒng)、提高數(shù)據(jù)分析能力、建立網(wǎng)絡(luò)安全合作系統(tǒng),以及制定事故報(bào)告指南等。
美國(guó)國(guó)務(wù)院“9·11”事件后��,美國(guó)國(guó)務(wù)院在貝爾茨維爾建立了一個(gè)網(wǎng)絡(luò)監(jiān)視中心。該中心負(fù)責(zé)對(duì)連接到美國(guó)駐外使�、領(lǐng)館的“Junkyard dog ”網(wǎng)進(jìn)行入侵探測(cè)測(cè)試和弱點(diǎn)評(píng)估���。該中心建立了各種傳感器系統(tǒng)�����,擁有75個(gè)中央報(bào)告臺(tái)�,能顯示500多個(gè)網(wǎng)絡(luò)入侵探測(cè)設(shè)備的信息�����,不僅能夠?qū)μ綔y(cè)到的攻擊自動(dòng)作出響應(yīng)�����,而且還可以對(duì)本系統(tǒng)的弱點(diǎn)進(jìn)行分析�����,并加以改進(jìn)�。
美國(guó)國(guó)防部美國(guó)國(guó)防部在自我評(píng)估中發(fā)現(xiàn)����,其面臨的最大安全隱患是“國(guó)防部信息技術(shù)安全認(rèn)證和鑒定計(jì)劃”(DIT SCAP ) 過于復(fù)雜�����,實(shí)施起來難度很大。為此,國(guó)防部決定簡(jiǎn)化該項(xiàng)目的實(shí)施過程,以確保盡快實(shí)現(xiàn)該項(xiàng)目確立的各項(xiàng)目標(biāo)����。此外,國(guó)防部還將出臺(tái)新的信息安全指南和說明,用以替代現(xiàn)行的安全指南����。
美國(guó)能源部為提高本部門的網(wǎng)絡(luò)安全性�����,能源部也對(duì)自身的網(wǎng)絡(luò)安全計(jì)劃進(jìn)行了調(diào)整�����,主要措施包括對(duì)本部門人員進(jìn)行有關(guān)網(wǎng)絡(luò)安全的培訓(xùn),提高其安全意識(shí)����,使每個(gè)人都了解自己的安全職責(zé)�����;為那些向公眾開放的信息系統(tǒng)開發(fā)和設(shè)計(jì)安全認(rèn)證和鑒定程序;對(duì)關(guān)鍵的信息系統(tǒng)進(jìn)行獨(dú)立鑒定�����;將網(wǎng)絡(luò)安全費(fèi)用計(jì)算到信息系統(tǒng)的運(yùn)作成本中。
2002年3月剛剛通過的“聯(lián)邦信息安全管理法案”(FISMA)(“政府信息安全改革法案”已于2001年11月29日廢止),對(duì)政府機(jī)構(gòu)的安全問題作出了更為詳細(xì)的規(guī)定����,它不僅要求各部門提供更加詳細(xì)的安全情況報(bào)告,還提出了諸如要求政府部門遵循國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(N IS T ) 制定的安全標(biāo)準(zhǔn)�����,并使用他們開發(fā)的安全工具(如安全評(píng)估問卷)的新要求。
增加財(cái)政預(yù)算投入
美國(guó)政府2003年財(cái)政預(yù)算中,設(shè)有專項(xiàng)經(jīng)費(fèi)�����,用來研發(fā)和實(shí)施與本土安全有關(guān)的信息技術(shù)(這項(xiàng)經(jīng)費(fèi)的總金額高達(dá)7.22億美元)��。其中�����,用于維護(hù)網(wǎng)絡(luò)安全的費(fèi)用為2.98億美元(比2002年度的0.62億美元提高了381%)�����,其具體分配方案
聯(lián)邦調(diào)查局:獲得1.25億美元�����,作為國(guó)家基礎(chǔ)設(shè)施保護(hù)中心(NIPC) 實(shí)施對(duì)抗針對(duì)政府和私人信息技術(shù)設(shè)施的電子攻擊行動(dòng)費(fèi)用���。
國(guó)防部:共獲得0.9億美元�����。其中0.6億美元用于“無線網(wǎng)絡(luò)優(yōu)先接入”(Priority Wireless Access)項(xiàng)目�����,以確保授權(quán)用戶(如警察和消防員)在緊急情況發(fā)生時(shí)可以優(yōu)先使用無線通信網(wǎng)絡(luò)�;另外0.3億美元���,用于資助國(guó)防部建立“計(jì)算機(jī)空間預(yù)警情報(bào)網(wǎng)”(CWIN),以便于國(guó)防部能夠聯(lián)合政府部門和私人企業(yè)共同對(duì)網(wǎng)絡(luò)攻擊作出反應(yīng)和反擊�。
能源部:獲得0.2億美元��,作為國(guó)家基礎(chǔ)設(shè)施模擬和分析中心了解和研究國(guó)家信息基礎(chǔ)設(shè)施間相互關(guān)系的經(jīng)費(fèi)��。
國(guó)家標(biāo)準(zhǔn)技術(shù)研究院:獲得0.15億美元��,用作計(jì)算機(jī)安全部門開展網(wǎng)絡(luò)安全的技術(shù)指導(dǎo)和技術(shù)支持費(fèi)用�。
國(guó)家科學(xué)基金會(huì)(NSF) :獲得0.11億美元,用以資助實(shí)施“網(wǎng)絡(luò)空間人才”(Cybercorps ) 計(jì)劃�,鼓勵(lì)高等院校開設(shè)計(jì)算機(jī)安全專業(yè)�����、開展專項(xiàng)課題研究�����,并為志愿從事計(jì)算機(jī)安全工作相關(guān)專業(yè)的大學(xué)生提供獎(jiǎng)學(xué)金����。
總務(wù)管理局:共獲得0.16億美元。其中的0.11億美元�����,作為聯(lián)邦計(jì)算機(jī)事故反應(yīng)中心(FedCIRC ) 的活動(dòng)經(jīng)費(fèi);另外的0.05億美元用于研究如何建立借助防火墻技術(shù)和攻擊探測(cè)技術(shù)與因特網(wǎng)隔離的“政府網(wǎng)”(Gov Net) 項(xiàng)目��。
商務(wù)部:獲得0.07億美元����,劃歸關(guān)鍵基礎(chǔ)設(shè)施保護(hù)辦公室(CIAO) 使用。
其余的0.14億美元用于其它項(xiàng)目和計(jì)劃����。
加大研究應(yīng)用力度
“9·11”事件后,美國(guó)加大了網(wǎng)絡(luò)安全技術(shù)的研發(fā)力度����,并積極采取措施,在網(wǎng)絡(luò)防御實(shí)踐中使用新的安全防護(hù)技術(shù)�。
研究信息安全技術(shù)模型由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院負(fù)責(zé)有關(guān)信息安全技術(shù)模型的專題研究,該院于2001年12月公布了題為“信息安全技術(shù)模型”的研究報(bào)告�。該報(bào)告從可用性、完整性�����、保密性�����、可靠性和安全性五個(gè)角度,全面��、系統(tǒng)地分析了網(wǎng)絡(luò)安全服務(wù)模型�,并詳細(xì)描述了分布式安全模式的操作流程,為政府部門和私人企業(yè)及時(shí)預(yù)防�����、探測(cè)和追蹤網(wǎng)絡(luò)攻擊����,提供了理論依據(jù)和技術(shù)指導(dǎo)。 |||
增加“IT與國(guó)家安全”專項(xiàng)基金
2002年�����,美國(guó)科學(xué)基金新增加了“IT與國(guó)家安全”專項(xiàng)基金���,并規(guī)定金額不超過50萬美元的項(xiàng)目,可根據(jù)國(guó)家需要隨時(shí)申請(qǐng)(通常申請(qǐng)美國(guó)科學(xué)基金的截止日期為每年的2月份)��,組織立項(xiàng)�����!癐T與國(guó)家安全”專項(xiàng)基金主要用于開展以下三個(gè)領(lǐng)域的研究:
電子計(jì)算機(jī)安全和臨界架構(gòu)保護(hù)領(lǐng)域����,包括網(wǎng)絡(luò)安全技術(shù)、攻擊防衛(wèi)技術(shù)�����、服務(wù)器攻擊隔離技術(shù)和信息確認(rèn)技術(shù)等領(lǐng)域的研究��。
知識(shí)檢索和傳遞領(lǐng)域����,包括進(jìn)行分布式數(shù)據(jù)庫、大型數(shù)據(jù)庫或雜亂數(shù)據(jù)庫的采集技術(shù)���,多語種���、多模式數(shù)據(jù)庫的知識(shí)表達(dá)技術(shù),在交互環(huán)境下共享知識(shí)技術(shù)等相關(guān)領(lǐng)域的研究����。
生物防衛(wèi)技術(shù)領(lǐng)域��,包括生物信息技術(shù)���,生物傳感技術(shù)等研究。
開發(fā)和使用國(guó)防網(wǎng)絡(luò)安全技術(shù)
美國(guó)國(guó)防高級(jí)研究計(jì)劃局(DARPA)在2002年先期概念技術(shù)演示計(jì)劃中�,增加了聯(lián)合信息安全通用圖像的計(jì)劃,該計(jì)劃的實(shí)施將能夠?qū)崟r(shí)地向總指揮官提供所有與關(guān)鍵任務(wù)系統(tǒng)安全狀態(tài)相關(guān)的詳細(xì)信息�。另外,演示計(jì)劃還計(jì)劃開發(fā)安全性很高的因特網(wǎng)���,以便對(duì)各種威脅進(jìn)行跟蹤和評(píng)估����,并恢復(fù)受到破壞的系統(tǒng)����。
為了有效地鑒別網(wǎng)絡(luò)用戶的身份和控制訪問權(quán)限,美國(guó)海軍用通用的智能卡代替原來的綠色認(rèn)證卡���。新的通用智能卡存儲(chǔ)了用戶的指紋、虹膜等生物特征信息�,并附有使用者的照片、條碼和磁條�����。作為海軍公共密鑰基礎(chǔ)設(shè)施(PKI)的訪問標(biāo)識(shí),用戶只有通過它才能登陸海軍內(nèi)部網(wǎng)��,并在網(wǎng)上收�、發(fā)密件,訪問保密站點(diǎn)等���。目前�,在美國(guó)海軍內(nèi)部網(wǎng)的每臺(tái)計(jì)算機(jī)的鍵盤上都裝有這種智能卡的閱讀器�。該智能卡與升級(jí)的實(shí)時(shí)自動(dòng)用戶認(rèn)證系統(tǒng)(RAPPIDS) 工作站配套使用。國(guó)防部智能卡辦公室計(jì)劃在未來12-15 個(gè)月內(nèi)��,再升級(jí)1600個(gè) RAPPIDS 工作站�。
此外,OMB在聯(lián)邦機(jī)構(gòu)的“數(shù)據(jù)利用和加密指南”中指出����,將采用加密能力更強(qiáng)的“先進(jìn)加密標(biāo)準(zhǔn)”(AES) ,替代原來的“數(shù)據(jù)加密標(biāo)準(zhǔn)”(DES) ���,以確保政府機(jī)關(guān)保密信息的安全����。
加快網(wǎng)絡(luò)安全人才培養(yǎng)
為了加強(qiáng)對(duì)網(wǎng)絡(luò)安全的研究,美國(guó)政府制定了“網(wǎng)絡(luò)空間人才”(Cybercorps)計(jì)劃�,該計(jì)劃的實(shí)施,為美國(guó)培養(yǎng)了部分急需的網(wǎng)絡(luò)人才��。
但眾議院科學(xué)委員會(huì)主席舍伍德·布赫特認(rèn)為�����,目前美國(guó)政府在網(wǎng)絡(luò)安全方面存在著諸如缺乏長(zhǎng)遠(yuǎn)和基礎(chǔ)性研究����,政府部門、學(xué)術(shù)團(tuán)體和私人企業(yè)之間缺乏足夠的交流與合作等嚴(yán)峻的問題�。為此,他于2001年12月提出了“關(guān)于‘網(wǎng)絡(luò)安全研究與開發(fā)法案’的議案”�����,該議案于2002年2月7日獲得通過�����。
“網(wǎng)絡(luò)安全研究與開發(fā)法案”確立了美國(guó)培養(yǎng)網(wǎng)絡(luò)安全技術(shù)人才的原則�����,并明確規(guī)定國(guó)家有義務(wù)資助他們開展研究工作���。該法案要求美國(guó)政府在未來5年內(nèi)投資8.78億美元����,用于計(jì)算機(jī)和網(wǎng)絡(luò)安全人才的培養(yǎng)���,重點(diǎn)資助網(wǎng)絡(luò)安全專業(yè)的博士生和博士后進(jìn)行項(xiàng)目研究��。這部分預(yù)算將分別撥給國(guó)家科學(xué)基金會(huì)(該機(jī)構(gòu)將獲得5.68億美元�����,用來為計(jì)算機(jī)和網(wǎng)絡(luò)安全專業(yè)學(xué)生提供獎(jiǎng)學(xué)金����,并在高等院校設(shè)立網(wǎng)絡(luò)安全專業(yè)學(xué)士和碩士學(xué)位等)和國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(該部門將獲得約3.1億美元�,用以資助高等院校與企業(yè)開展合作研究,提供網(wǎng)絡(luò)安全專業(yè)博士后研究獎(jiǎng)學(xué)金等并對(duì)網(wǎng)絡(luò)安全方面的資深專家實(shí)施獎(jiǎng)勵(lì)等)����。
提供高可靠產(chǎn)品和服務(wù)
“9·11”事件雖然對(duì)美國(guó)的產(chǎn)業(yè)界造成了不可估量的損失,但客觀上也促進(jìn)了一些行業(yè)的發(fā)展。如存儲(chǔ)公司(也叫數(shù)據(jù)公司)�����,由于能夠向客戶提供重要商業(yè)信息的備份��、保管����、管理和檢索服務(wù),在“9·11”事件后��,備受金融����、保險(xiǎn)和咨詢業(yè)的青睞,其經(jīng)營(yíng)狀況出現(xiàn)明顯改觀���。一家名為Amtrivauit的數(shù)據(jù)安全存儲(chǔ)公司���,在“9·11”事件后的一個(gè)月內(nèi)就增加了17名客戶。不僅如此���,由于擔(dān)心受到恐怖襲擊�,客觀上刺激了防火墻、防病毒軟件等信息安全產(chǎn)品的市場(chǎng)需求�����。鑒于保障信息安全和進(jìn)行反攻擊與企業(yè)界有著密不可分的聯(lián)系���,美國(guó)政府號(hào)召IT企業(yè)也要積極參與到加強(qiáng)國(guó)家網(wǎng)絡(luò)安全保護(hù)的行動(dòng)中來。
2001年12月���,美國(guó)總統(tǒng)網(wǎng)絡(luò)安全特別顧問克拉克在對(duì)商業(yè)軟件聯(lián)盟(BSA)成員(包括Adobe系統(tǒng)公司����、IBM公司��、微軟公司����、網(wǎng)絡(luò)聯(lián)盟公司等)發(fā)表的講話中指出,政府正在實(shí)施的交互網(wǎng)絡(luò)模擬中心(該中心用來支持電話�、網(wǎng)絡(luò)、鐵路和電力等關(guān)鍵基礎(chǔ)設(shè)施的工作)等項(xiàng)目都需要企業(yè)大力的協(xié)助���,政府希望“聽到企業(yè)關(guān)于建設(shè)‘政府網(wǎng)’(Gov Net ) 的意見和建議”等���。
不僅如此���,美國(guó)政府還號(hào)召IT企業(yè)要加強(qiáng)合作,向政府和社會(huì)提供安全性能高的產(chǎn)品和服務(wù)����,如軟件經(jīng)銷商必須為安全性能不佳的軟件配置補(bǔ)救程序,并有責(zé)任督促用戶使用這些補(bǔ)救程序����;因特網(wǎng)服務(wù)提供商應(yīng)幫助用戶掃除病毒,并防止用戶的IP地址被盜用�����,還應(yīng)為使用調(diào)制解調(diào)器和數(shù)字用戶線路(DSL ) 上網(wǎng)的用戶安裝個(gè)人防火墻�。此外,IT企業(yè)還應(yīng)與因特網(wǎng)工程任務(wù)組(IETF ) 就安全性域名服務(wù)器(DNS ) 和安全性邊界網(wǎng)關(guān)協(xié)議(BGP ) 等問題進(jìn)行高層次的合作與交流����。
成立專門機(jī)構(gòu) :“本土安全辦公室”和“本土安全委員會(huì)”
“9·11”事件發(fā)生后,美國(guó)總統(tǒng)布什于2001年10月8日簽署了第13228號(hào)總統(tǒng)令�����,依據(jù)該總統(tǒng)令成立了“本土安全辦公室”。該辦公室由本土安全事務(wù)總統(tǒng)助理湯姆·里奇(Tom Ridge)領(lǐng)導(dǎo)���,主要負(fù)責(zé)制定和調(diào)整保護(hù)美國(guó)免遭恐怖分子威脅和襲擊的國(guó)家總體戰(zhàn)略�,并對(duì)戰(zhàn)略的實(shí)施情況進(jìn)行監(jiān)督和管理��。
與此同時(shí)�,美國(guó)還成立了專門的“本土安全委員會(huì)”���,該委員會(huì)負(fù)責(zé)就本土安全問題向總統(tǒng)提出建議�����,制定相關(guān)的本土安全政策����,并負(fù)責(zé)政府各部門安全政策的落實(shí)工作����。
“關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)”
2001年10月18日,布什簽署了“關(guān)于信息時(shí)代關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)”的第13231號(hào)總統(tǒng)令��,并成立“關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)”���。該委員會(huì)負(fù)責(zé)制定并調(diào)整有關(guān)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施(包括緊急情況下的備用通信系統(tǒng))的政策和計(jì)劃����,加強(qiáng)政府各部門間的合作與交流,并對(duì)計(jì)劃的實(shí)施進(jìn)展情況進(jìn)行監(jiān)督�����。該委員會(huì)主席由總統(tǒng)網(wǎng)絡(luò)安全特別顧問理查德·克拉克(Richard Clarke)兼任(其需要向本土安全辦公室主任湯姆·里奇和國(guó)家安全顧問賴斯匯報(bào)工作)�����,其他成員來自政府各部門�����。
此外�����,美國(guó)還計(jì)劃在信息協(xié)調(diào)中心(ICC) 的基礎(chǔ)上成立網(wǎng)絡(luò)安全協(xié)調(diào)中心�����。該中心將聯(lián)合克拉克辦公室����、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)辦公室(CIAO)����,以及國(guó)家基礎(chǔ)設(shè)施保護(hù)中心(NIPC) 的分析與預(yù)警部門開展工作��。
