“9·11”事件已经过去整整一年了,一年前突发的恐怖事件使正处于衰退时期的美国经济雪上加霜。作为美国新经济支柱的IT产业,也受到了不小的影响。
美国社会和经济的快速发展依赖于一个错综复杂的信息网络。为此,美国政府对国家信息系统和关键信息基础设施的安全一直以来都予以了特别的关注。“9·11”事件后,美国政府对网络安全更加重视,陆续出台了一些新的举措。本期国际报道将介绍美国加强网络安全保护的新举措,敬请关注。
调整网络安全计划
2001年10月,美国管理与预算办公室(OMB) 颁布了新的政府部门网络安全自我评估导则,新导则要求各部门就安全费用、具体实施方案和优先行动计划等问题做出详细汇报。该办公室还根据2000年颁布的“政府信息安全改革法案”(GISRA ) ,要求政府各部门对自身的安全情况进行评估。管理与预算办公室对这些评估结果进行分析后指出,目前在政府机构中普遍存在着安全隐患,并有针对性地提出了六项改进意见:
(1)提高高层管理人员对安全问题的重视程度;
(2)制定安全评估指标,量化各部门安全官员的工作成效;
(3)加强安全教育,提高安全意识;
(4)将解决安全问题列入政府预算;
(5)确保商务运作环境的安全;
(6)提高探测、报告和共享安全隐患信息的能力。
根据这些改进意见,各网络安全组织和政府部门纷纷调整自己的安全战略和行动计划,以提高网络防御能力,如:联邦计算机事故反应中心(FedCIRC) “9·11”事件后,联邦计算机事故反应中心(Fed CIRC ) 的工作重点已转移到建立自动的网络安全问题报告和反应系统上。该中心确定的2002年核心工作主要包括开发补救方法发布系统、提高数据分析能力、建立网络安全合作系统,以及制定事故报告指南等。
美国国务院“9·11”事件后,美国国务院在贝尔茨维尔建立了一个网络监视中心。该中心负责对连接到美国驻外使、领馆的“Junkyard dog ”网进行入侵探测测试和弱点评估。该中心建立了各种传感器系统,拥有75个中央报告台,能显示500多个网络入侵探测设备的信息,不仅能够对探测到的攻击自动作出响应,而且还可以对本系统的弱点进行分析,并加以改进。
美国国防部美国国防部在自我评估中发现,其面临的最大安全隐患是“国防部信息技术安全认证和鉴定计划”(DIT SCAP ) 过于复杂,实施起来难度很大。为此,国防部决定简化该项目的实施过程,以确保尽快实现该项目确立的各项目标。此外,国防部还将出台新的信息安全指南和说明,用以替代现行的安全指南。
美国能源部为提高本部门的网络安全性,能源部也对自身的网络安全计划进行了调整,主要措施包括对本部门人员进行有关网络安全的培训,提高其安全意识,使每个人都了解自己的安全职责;为那些向公众开放的信息系统开发和设计安全认证和鉴定程序;对关键的信息系统进行独立鉴定;将网络安全费用计算到信息系统的运作成本中。
2002年3月刚刚通过的“联邦信息安全管理法案”(FISMA)(“政府信息安全改革法案”已于2001年11月29日废止),对政府机构的安全问题作出了更为详细的规定,它不仅要求各部门提供更加详细的安全情况报告,还提出了诸如要求政府部门遵循国家标准技术研究院(N IS T ) 制定的安全标准,并使用他们开发的安全工具(如安全评估问卷)的新要求。
增加财政预算投入
美国政府2003年财政预算中,设有专项经费,用来研发和实施与本土安全有关的信息技术(这项经费的总金额高达7.22亿美元)。其中,用于维护网络安全的费用为2.98亿美元(比2002年度的0.62亿美元提高了381%),其具体分配方案
联邦调查局:获得1.25亿美元,作为国家基础设施保护中心(NIPC) 实施对抗针对政府和私人信息技术设施的电子攻击行动费用。
国防部:共获得0.9亿美元。其中0.6亿美元用于“无线网络优先接入”(Priority Wireless Access)项目,以确保授权用户(如警察和消防员)在紧急情况发生时可以优先使用无线通信网络;另外0.3亿美元,用于资助国防部建立“计算机空间预警情报网”(CWIN),以便于国防部能够联合政府部门和私人企业共同对网络攻击作出反应和反击。
能源部:获得0.2亿美元,作为国家基础设施模拟和分析中心了解和研究国家信息基础设施间相互关系的经费。
国家标准技术研究院:获得0.15亿美元,用作计算机安全部门开展网络安全的技术指导和技术支持费用。
国家科学基金会(NSF) :获得0.11亿美元,用以资助实施“网络空间人才”(Cybercorps ) 计划,鼓励高等院校开设计算机安全专业、开展专项课题研究,并为志愿从事计算机安全工作相关专业的大学生提供奖学金。
总务管理局:共获得0.16亿美元。其中的0.11亿美元,作为联邦计算机事故反应中心(FedCIRC ) 的活动经费;另外的0.05亿美元用于研究如何建立借助防火墙技术和攻击探测技术与因特网隔离的“政府网”(Gov Net) 项目。
商务部:获得0.07亿美元,划归关键基础设施保护办公室(CIAO) 使用。
其余的0.14亿美元用于其它项目和计划。
加大研究应用力度
“9·11”事件后,美国加大了网络安全技术的研发力度,并积极采取措施,在网络防御实践中使用新的安全防护技术。
研究信息安全技术模型由美国国家标准技术研究院负责有关信息安全技术模型的专题研究,该院于2001年12月公布了题为“信息安全技术模型”的研究报告。该报告从可用性、完整性、保密性、可靠性和安全性五个角度,全面、系统地分析了网络安全服务模型,并详细描述了分布式安全模式的操作流程,为政府部门和私人企业及时预防、探测和追踪网络攻击,提供了理论依据和技术指导。 |||
增加“IT与国家安全”专项基金
2002年,美国科学基金新增加了“IT与国家安全”专项基金,并规定金额不超过50万美元的项目,可根据国家需要随时申请(通常申请美国科学基金的截止日期为每年的2月份),组织立项。“IT与国家安全”专项基金主要用于开展以下三个领域的研究:
电子计算机安全和临界架构保护领域,包括网络安全技术、攻击防卫技术、服务器攻击隔离技术和信息确认技术等领域的研究。
知识检索和传递领域,包括进行分布式数据库、大型数据库或杂乱数据库的采集技术,多语种、多模式数据库的知识表达技术,在交互环境下共享知识技术等相关领域的研究。
生物防卫技术领域,包括生物信息技术,生物传感技术等研究。
开发和使用国防网络安全技术
美国国防高级研究计划局(DARPA)在2002年先期概念技术演示计划中,增加了联合信息安全通用图像的计划,该计划的实施将能够实时地向总指挥官提供所有与关键任务系统安全状态相关的详细信息。另外,演示计划还计划开发安全性很高的因特网,以便对各种威胁进行跟踪和评估,并恢复受到破坏的系统。
为了有效地鉴别网络用户的身份和控制访问权限,美国海军用通用的智能卡代替原来的绿色认证卡。新的通用智能卡存储了用户的指纹、虹膜等生物特征信息,并附有使用者的照片、条码和磁条。作为海军公共密钥基础设施(PKI)的访问标识,用户只有通过它才能登陆海军内部网,并在网上收、发密件,访问保密站点等。目前,在美国海军内部网的每台计算机的键盘上都装有这种智能卡的阅读器。该智能卡与升级的实时自动用户认证系统(RAPPIDS) 工作站配套使用。国防部智能卡办公室计划在未来12-15 个月内,再升级1600个 RAPPIDS 工作站。
此外,OMB在联邦机构的“数据利用和加密指南”中指出,将采用加密能力更强的“先进加密标准”(AES) ,替代原来的“数据加密标准”(DES) ,以确保政府机关保密信息的安全。
加快网络安全人才培养
为了加强对网络安全的研究,美国政府制定了“网络空间人才”(Cybercorps)计划,该计划的实施,为美国培养了部分急需的网络人才。
但众议院科学委员会主席舍伍德·布赫特认为,目前美国政府在网络安全方面存在着诸如缺乏长远和基础性研究,政府部门、学术团体和私人企业之间缺乏足够的交流与合作等严峻的问题。为此,他于2001年12月提出了“关于‘网络安全研究与开发法案’的议案”,该议案于2002年2月7日获得通过。
“网络安全研究与开发法案”确立了美国培养网络安全技术人才的原则,并明确规定国家有义务资助他们开展研究工作。该法案要求美国政府在未来5年内投资8.78亿美元,用于计算机和网络安全人才的培养,重点资助网络安全专业的博士生和博士后进行项目研究。这部分预算将分别拨给国家科学基金会(该机构将获得5.68亿美元,用来为计算机和网络安全专业学生提供奖学金,并在高等院校设立网络安全专业学士和硕士学位等)和国家标准技术研究院(该部门将获得约3.1亿美元,用以资助高等院校与企业开展合作研究,提供网络安全专业博士后研究奖学金等并对网络安全方面的资深专家实施奖励等)。
提供高可靠产品和服务
“9·11”事件虽然对美国的产业界造成了不可估量的损失,但客观上也促进了一些行业的发展。如存储公司(也叫数据公司),由于能够向客户提供重要商业信息的备份、保管、管理和检索服务,在“9·11”事件后,备受金融、保险和咨询业的青睐,其经营状况出现明显改观。一家名为Amtrivauit的数据安全存储公司,在“9·11”事件后的一个月内就增加了17名客户。不仅如此,由于担心受到恐怖袭击,客观上刺激了防火墙、防病毒软件等信息安全产品的市场需求。鉴于保障信息安全和进行反攻击与企业界有着密不可分的联系,美国政府号召IT企业也要积极参与到加强国家网络安全保护的行动中来。
2001年12月,美国总统网络安全特别顾问克拉克在对商业软件联盟(BSA)成员(包括Adobe系统公司、IBM公司、微软公司、网络联盟公司等)发表的讲话中指出,政府正在实施的交互网络模拟中心(该中心用来支持电话、网络、铁路和电力等关键基础设施的工作)等项目都需要企业大力的协助,政府希望“听到企业关于建设‘政府网’(Gov Net ) 的意见和建议”等。
不仅如此,美国政府还号召IT企业要加强合作,向政府和社会提供安全性能高的产品和服务,如软件经销商必须为安全性能不佳的软件配置补救程序,并有责任督促用户使用这些补救程序;因特网服务提供商应帮助用户扫除病毒,并防止用户的IP地址被盗用,还应为使用调制解调器和数字用户线路(DSL ) 上网的用户安装个人防火墙。此外,IT企业还应与因特网工程任务组(IETF ) 就安全性域名服务器(DNS ) 和安全性边界网关协议(BGP ) 等问题进行高层次的合作与交流。
成立专门机构 :“本土安全办公室”和“本土安全委员会”
“9·11”事件发生后,美国总统布什于2001年10月8日签署了第13228号总统令,依据该总统令成立了“本土安全办公室”。该办公室由本土安全事务总统助理汤姆·里奇(Tom Ridge)领导,主要负责制定和调整保护美国免遭恐怖分子威胁和袭击的国家总体战略,并对战略的实施情况进行监督和管理。
与此同时,美国还成立了专门的“本土安全委员会”,该委员会负责就本土安全问题向总统提出建议,制定相关的本土安全政策,并负责政府各部门安全政策的落实工作。
“关键基础设施保护委员会”
2001年10月18日,布什签署了“关于信息时代关键基础设施的保护”的第13231号总统令,并成立“关键基础设施保护委员会”。该委员会负责制定并调整有关保护关键信息基础设施(包括紧急情况下的备用通信系统)的政策和计划,加强政府各部门间的合作与交流,并对计划的实施进展情况进行监督。该委员会主席由总统网络安全特别顾问理查德·克拉克(Richard Clarke)兼任(其需要向本土安全办公室主任汤姆·里奇和国家安全顾问赖斯汇报工作),其他成员来自政府各部门。
此外,美国还计划在信息协调中心(ICC) 的基础上成立网络安全协调中心。该中心将联合克拉克办公室、关键基础设施保护办公室(CIAO),以及国家基础设施保护中心(NIPC) 的分析与预警部门开展工作。
