美国如何打造网络安全盾牌

作者：信息产业部电子科学技术情报研究所研究部黄鹏由鲜举等）

本文选自：中国电子报-赛迪网

　　编者按：美国社会和经济的快速发展依赖于一个错综复杂的信息网络。为此，美国政府对国家信息系统和关键信息基础设施的安全一直以来都予以了特别的关注。“9·11”事件后，美国政府对网络安全更加重视，陆续出台了一些新的举措，敬请关注。

　　“9·11”事件已经过去整整一年了，一年前突发的恐怖事件使正处于衰退时期的美国经济雪上加霜。作为美国新经济支柱的IT产业，也受到了不小的影响。

　　美国社会和经济的快速发展依赖于一个错综复杂的信息网络。为此，美国政府对国家信息系统和关键信息基础设施的安全一直以来都予以了特别的关注。“9·11”事件后，美国政府对网络安全更加重视，陆续出台了一些新的举措。本期国际报道将介绍美国加强网络安全保护的新举措，敬请关注。


调整网络安全计划


　　2001年10月，美国管理与预算办公室(O MB ) 颁布了新的政府部门网络安全自我评估导则，新导则要求各部门就安全费用、具体实施方案和优先行动计划等问题做出详细汇报。该办公室还根据2000年颁布的“政府信息安全改革法案”(G IS RA ) ，要求政府各部门对自身的安全情况进行评估。管理与预算办公室对这些评估结果进行分析后指出，目前在政府机构中普遍存在着安全隐患，并有针对性地提出了六项改进意见：

　　(1)提高高层管理人员对安全问题的重视程度；

　　(2)制定安全评估指标，量化各部门安全官员的工作成效；

　　(3)加强安全教育，提高安全意识；

　　(4)将解决安全问题列入政府预算；

　　(5)确保商务运作环境的安全；

　　(6)提高探测、报告和共享安全隐患信息的能力。

　　根据这些改进意见，各网络安全组织和政府部门纷纷调整自己的安全战略和行动计划，以提高网络防御能力，如：联邦计算机事故反应中心(FedCIRC) “9·11”事件后，联邦计算机事故反应中心(F ed CIR C ) 的工作重点已转移到建立自动的网络安全问题报告和反应系统上。该中心确定的2002年核心工作主要包括开发补救方法发布系统、提高数据分析能力、建立网络安全合作系统，以及制定事故报告指南等。

　　美国国务院“9·11”事件后，美国国务院在贝尔茨维尔建立了一个网络监视中心。该中心负责对连接到美国驻外使、领馆的“J unkyard dog ”网进行入侵探测测试和弱点评估。该中心建立了各种传感器系统，拥有75个中央报告台，能显示500多个网络入侵探测设备的信息，不仅能够对探测到的攻击自动作出响应，而且还可以对本系统的弱点进行分析，并加以改进。

　　美国国防部美国国防部在自我评估中发现，其面临的最大安全隐患是“国防部信息技术安全认证和鉴定计划”(D IT SCAP ) 过于复杂，实施起来难度很大。为此，国防部决定简化该项目的实施过程，以确保尽快实现该项目确立的各项目标。此外，国防部还将出台新的信息安全指南和说明，用以替代现行的安全指南。

　　美国能源部为提高本部门的网络安全性，能源部也对自身的网络安全计划进行了调整，主要措施包括对本部门人员进行有关网络安全的培训，提高其安全意识，使每个人都了解自己的安全职责；为那些向公众开放的信息系统开发和设计安全认证和鉴定程序；对关键的信息系统进行独立鉴定；将网络安全费用计算到信息系统的运作成本中。

　　2002年3月刚刚通过的“联邦信息安全管理法案”(FISMA)(“政府信息安全改革法案”已于2001年11月29日废止)，对政府机构的安全问题作出了更为详细的规定，它不仅要求各部门提供更加详细的安全情况报告，还提出了诸如要求政府部门遵循国家标准技术研究院(N IS T ) 制定的安全标准，并使用他们开发的安全工具(如安全评估问卷)的新要求。


增加财政预算投入


　　美国政府2003年财政预算中，设有专项经费，用来研发和实施与本土安全有关的信息技术(这项经费的总金额高达7.22亿美元)。其中，用于维护网络安全的费用为2.98亿美元(比2002年度的0.62亿美元提高了381%)，其具体分配方案如下：

　　联邦调查局：获得1.25亿美元，作为国家基础设施保护中心(NIPC) 实施对抗针对政府和私人信息技术设施的电子攻击行动费用。

　　国防部：共获得0.9亿美元。其中0.6亿美元用于“无线网络优先接入”(Priority Wireless Access)项目，以确保授权用户(如警察和消防员)在紧急情况发生时可以优先使用无线通信网络；另外0.3亿美元，用于资助国防部建立“计算机空间预警情报网”(CWIN)，以便于国防部能够联合政府部门和私人企业共同对网络攻击作出反应和反击。

　　能源部：获得0.2亿美元，作为国家基础设施模拟和分析中心了解和研究国家信息基础设施间相互关系的经费。

　　国家标准技术研究院：获得0.15亿美元，用作计算机安全部门开展网络安全的技术指导和技术支持费用。

　　国家科学基金会(NSF) ：获得0.11亿美元，用以资助实施“网络空间人才”(Cybercorps ) 计划，鼓励高等院校开设计算机安全专业、开展专项课题研究，并为志愿从事计算机安全工作相关专业的大学生提供奖学金。

　　总务管理局：共获得0.16亿美元。其中的0.11亿美元，作为联邦计算机事故反应中心(FedCIRC ) 的活动经费；另外的0.05亿美元用于研究如何建立借助防火墙技术和攻击探测技术与因特网隔离的“政府网”(Gov Net) 项目。

　　商务部：获得0.07亿美元，划归关键基础设施保护办公室(CIAO) 使用。

　　其余的0.14亿美元用于其它项目和计划。


加大研究应用力度


　　“9·11”事件后，美国加大了网络安全技术的研发力度，并积极采取措施，在网络防御实践中使用新的安全防护技术。

　　研究信息安全技术模型由美国国家标准技术研究院负责有关信息安全技术模型的专题研究，该院于2001年12月公布了题为“信息安全技术模型”的研究报告。该报告从可用性、完整性、保密性、可靠性和安全性五个角度，全面、系统地分析了网络安全服务模型，并详细描述了分布式安全模式的操作流程，为政府部门和私人企业及时预防、探测和追踪网络攻击，提供了理论依据和技术指导。

　　增加“IT与国家安全”专项基金

　　2002年，美国科学基金新增加了“IT与国家安全”专项基金，并规定金额不超过50万美元的项目，可根据国家需要随时申请(通常申请美国科学基金的截止日期为每年的2月份)，组织立项。“IT与国家安全”专项基金主要用于开展以下三个领域的研究：

　　电子计算机安全和临界架构保护领域，包括网络安全技术、攻击防卫技术、服务器攻击隔离技术和信息确认技术等领域的研究。

　　知识检索和传递领域，包括进行分布式数据库、大型数据库或杂乱数据库的采集技术，多语种、多模式数据库的知识表达技术，在交互环境下共享知识技术等相关领域的研究。

　　生物防卫技术领域，包括生物信息技术，生物传感技术等研究。

　　开发和使用国防网络安全技术

　　美国国防高级研究计划局(DARPA)在2002年先期概念技术演示计划中，增加了联合信息安全通用图像的计划，该计划的实施将能够实时地向总指挥官提供所有与关键任务系统安全状态相关的详细信息。另外，演示计划还计划开发安全性很高的因特网，以便对各种威胁进行跟踪和评估，并恢复受到破坏的系统。

　　为了有效地鉴别网络用户的身份和控制访问权限，美国海军用通用的智能卡代替原来的绿色认证卡。新的通用智能卡存储了用户的指纹、虹膜等生物特征信息，并附有使用者的照片、条码和磁条。作为海军公共密钥基础设施(PKI)的访问标识，用户只有通过它才能登陆海军内部网，并在网上收、发密件，访问保密站点等。目前，在美国海军内部网的每台计算机的键盘上都装有这种智能卡的阅读器。该智能卡与升级的实时自动用户认证系统(RAPPIDS) 工作站配套使用。国防部智能卡办公室计划在未来12-15 个月内，再升级1600个 RAPPIDS 工作站。

　　此外，OMB在联邦机构的“数据利用和加密指南”中指出，将采用加密能力更强的“先进加密标准”(AES) ，替代原来的“数据加密标准”(DES) ，以确保政府机关保密信息的安全。


加快网络安全人才培养


　　为了加强对网络安全的研究，美国政府制定了“网络空间人才”(Cybercorps)计划，该计划的实施，为美国培养了部分急需的网络人才。

　　但众议院科学委员会主席舍伍德·布赫特认为，目前美国政府在网络安全方面存在着诸如缺乏长远和基础性研究，政府部门、学术团体和私人企业之间缺乏足够的交流与合作等严峻的问题。为此，他于2001年12月提出了“关于‘网络安全研究与开发法案’的议案”，该议案于2002年2月7日获得通过。

　　“网络安全研究与开发法案”确立了美国培养网络安全技术人才的原则，并明确规定国家有义务资助他们开展研究工作。该法案要求美国政府在未来5年内投资8.78亿美元，用于计算机和网络安全人才的培养，重点资助网络安全专业的博士生和博士后进行项目研究。这部分预算将分别拨给国家科学基金会(该机构将获得5.68亿美元，用来为计算机和网络安全专业学生提供奖学金，并在高等院校设立网络安全专业学士和硕士学位等)和国家标准技术研究院(该部门将获得约3.1亿美元，用以资助高等院校与企业开展合作研究，提供网络安全专业博士后研究奖学金等并对网络安全方面的资深专家实施奖励等)。


提供高可靠产品和服务


　　“9·11”事件虽然对美国的产业界造成了不可估量的损失，但客观上也促进了一些行业的发展。如存储公司(也叫数据公司)，由于能够向客户提供重要商业信息的备份、保管、管理和检索服务，在“9·11”事件后，备受金融、保险和咨询业的青睐，其经营状况出现明显改观。一家名为Amtrivauit的数据安全存储公司，在“9·11”事件后的一个月内就增加了17名客户。不仅如此，由于担心受到恐怖袭击，客观上刺激了防火墙、防病毒软件等信息安全产品的市场需求。鉴于保障信息安全和进行反攻击与企业界有着密不可分的联系，美国政府号召IT企业也要积极参与到加强国家网络安全保护的行动中来。

　　2001年12月，美国总统网络安全特别顾问克拉克在对商业软件联盟(BSA)成员(包括Adobe系统公司、IBM公司、微软公司、网络联盟公司等)发表的讲话中指出，政府正在实施的交互网络模拟中心(该中心用来支持电话、网络、铁路和电力等关键基础设施的工作)等项目都需要企业大力的协助，政府希望“听到企业关于建设‘政府网’(Gov Net ) 的意见和建议”等。

　　不仅如此，美国政府还号召IT企业要加强合作，向政府和社会提供安全性能高的产品和服务，如软件经销商必须为安全性能不佳的软件配置补救程序，并有责任督促用户使用这些补救程序；因特网服务提供商应帮助用户扫除病毒，并防止用户的IP地址被盗用，还应为使用调制解调器和数字用户线路(DSL ) 上网的用户安装个人防火墙。此外，IT企业还应与因特网工程任务组(IETF ) 就安全性域名服务器(DNS ) 和安全性边界网关协议(BGP ) 等问题进行高层次的合作与交流。


成立专门机构


　　“本土安全办公室”和“本土安全委员会”

　　“9·11”事件发生后，美国总统布什于2001年10月8日签署了第13228号总统令，依据该总统令成立了“本土安全办公室”。该办公室由本土安全事务总统助理汤姆·里奇(Tom Ridge)领导，主要负责制定和调整保护美国免遭恐怖分子威胁和袭击的国家总体战略，并对战略的实施情况进行监督和管理。

　　与此同时，美国还成立了专门的“本土安全委员会”，该委员会负责就本土安全问题向总统提出建议，制定相关的本土安全政策，并负责政府各部门安全政策的落实工作。

　　“关键基础设施保护委员会”

　　2001年10月18日，布什签署了“关于信息时代关键基础设施的保护”的第13231号总统令，并成立“关键基础设施保护委员会”。该委员会负责制定并调整有关保护关键信息基础设施(包括紧急情况下的备用通信系统)的政策和计划，加强政府各部门间的合作与交流，并对计划的实施进展情况进行监督。该委员会主席由总统网络安全特别顾问理查德·克拉克(Richard Clarke)兼任(其需要向本土安全办公室主任汤姆·里奇和国家安全顾问赖斯汇报工作)，其他成员来自政府各部门。

　　此外，美国还计划在信息协调中心(ICC) 的基础上成立网络安全协调中心。该中心将联合克拉克办公室、关键基础设施保护办公室(CIAO)，以及国家基础设施保护中心(NIPC) 的分析与预警部门开展工作。


链接 一 布什看好美国经济前景

　　美国总统布什在不久前举行的“总统经济论坛”中称，美国经济长期前景看好。
　　布什在讲话中承认，美国目前正面临如何避免经济再次衰退的挑战。但他同时强调，政府能够控制住经济局势。从长远来看，美国经济是健康的。他说，美国经济基础仍然强健，能够应付面临的挑战。
　　由于公司财务欺诈案件不断曝光，过去几个月美国金融市场急剧动荡，对投资者和消费者信心都有一定程度的打击。今年第二季度美国经济增长明显减缓，劳动生产率的增幅也大为降低，加上不断传来的公司裁员等消息，引起了各方对美国经济的忧虑。
　　在谈到解决经济问题的办法时，布什说，美国政府将把创造就业机会作为一项重要经济政策来实施，并将大力推动出口，通过出口来创造就业。布什还表示，将努力尽快恢复预算平衡。另外，他还谈到了医疗保健、购房等问题，提出要使美国人获得能够支付得起的医疗保健服务，并且要让更多的美国人拥有房屋。最后，布什再次谈到企业诚信问题，称目前是美国公司重新获得公众信任的关键时刻。

链接 二 网络安全投资持续增长

　　思科公司互联网交换和服务部门的高级副总裁迈克在一次电话会议中表示，自从去年的“9·11”恐怖袭击事件以来，人们已经开始对包括防火墙、(VPNs)虚拟个人网络以及入侵探测系统在内的网络安全方面的兴趣倍增。他还表示，今年在安全领域方面的投资总额可能会在100亿美元左右，年增长率为25%到30%。尽管他没有透露公司在安全业务方面销售收入，但他表示，思科公司安全业务部门的目标是其增长速度要高出市场的10%。
　　据迈克表示，网络安全细节可分为四部分：通过加密和VPN实现安全的连接，年增长速度高达50%；通过防火墙实现网络安全防线，年增长速度为20%-30%；入侵探测系统的年增长速度为100%，但目前的基数太小，只有5亿美元；采用综合的方法管理网络的安全。
　　网络客户也需要综合的、端到端的解决方案或产品。迈克最后表示，我们可以看到或感到的不是价格的压力，而是每当有新病毒被发现时客户要求强化功能的压力。

链接 三 安全技术更受青睐

　　“9·11”恐怖事件的发生使得美国政府和企业对于安全问题更加关注，同时也促进了高技术行业的发展，以智能卡和生物识别为代表的技术领域重新受到重视。
　　Yankee集团的主管安迪·埃弗斯塔修表示，“9·11”事件及其产生的恐怖氛围刺激了政府和企业对安全技术的需求。他说：“这种需求以前也出现过，但‘9·11’事件使得这种需求更大。”这位主管表示，智能卡技术此前在欧洲非常普及，但在美国却并不受人关注，不过“9·11”事件使得这种技术立即成为美国政府和企业的新宠。
　　埃弗斯塔修还表示，灾难重建和商业延续技术及系统也将因为“9·11”事件而受到推动。不过，包括埃弗斯塔修在内的大部分分析人士均认为，政府需求和支出与整个国家经济复苏相比对于促进安全技术的发展仅能起到较小程度的影响。这些分析人士预计，到2002年下半年，整个高技术行业将出现反弹，但只有美国经济的大环境向好的方面转变，安全技术才能迎来一个显著发展的时期。

链接 四 “9·11”影响美国IT业

　　“9·11”事件后，美国国内一直处在对恐怖活动后续行动的担忧及战争的阴影下。出于安全的考虑，大量国际资金会从美国撤出，必然会使风险投资项目减少，造成靠风险投资一手扶持的IT企业融资困难。在此之前，正是大量国际资本的流入造就了美国经济长达十年的繁荣期。由于消费者担心经济会跌入衰退的泥潭，势必会减少对信息产品和服务的需求，结果是IT企业也会削减投资项目。
　　因为“9·11”劫机者使用的攻击武器是民用客机，所以出于安全考虑，联邦航空委员会将其禁运扩展到美国的商用航空运输。而作为全球第一信息产业大国的美国，每天有价值数百万美元的高科技产品要通过航运输向世界各地，由于此禁令，IT企业只能在短期内将部分产品由空运改为海运，这将增加IT产品的销售周期，使日新月异的IT行业被迫放慢全球性发展的步伐。同时，这次事件引起的全球石油价格忽高忽低、因安全方面而延长载货飞机的运输时间及美国六大航空公司大量裁减人员削减航班，也会导致信息产品成本的增加。