彭設強

（中國人民解放軍國防信息學院，湖北武漢430010）

隨著信息技術的不斷發(fā)展， 國內外信息安全形勢愈加嚴峻，2011年12 月， 繼CSDN、 天涯社區(qū)用戶數(shù)據泄露之后， 支付寶1500 萬～2500 萬用戶賬號（沒有密碼）信息泄露，被用于網絡營銷；2012 年2月， 美國一系列政府網站均遭到了Anonymous 組織的攻擊， 而其中CIA 官網被黑長達9 小時，這一組織之前曾攔截了倫敦警察與FBI 之間的一次機密電話會談，并隨后上傳于網絡，使得互聯(lián)網應用人心惶惶，如何加強信息安全，作為其核心的信息安全策略已得到了高度重視。

1 信息安全策略的內涵

隨著信息安全理論與技術的不斷發(fā)展，人們已經從對安全產品的關注轉移到對安全策略的關注，因為同樣的安全產品，如果采用不同的安全策略，其結果可能大不相同，合理的安全策略可以起到安全倍增器的作用，反之，錯誤的安全策略可能會嚴重削弱系統(tǒng)的安全性。

策略作為一個漢語詞匯，“策”本意是指竹制的馬鞭；“略”是指封疆土地。辭海中對策略的解釋為：為實現(xiàn)戰(zhàn)略任務而采取的手段，是指一系列政策、措施，是局部性的，在戰(zhàn)略原則許可的范圍內具有較大靈活性。

在信息安全領域中，“策略”一詞來自于“policy”的翻譯。 Policy 源自希臘語polis，是指“一條行動路線、指導原則或程序，被認為是權宜的、謹慎的或是有利的。 ”按這個原意，安全策略應該是指在安全保障方面的行動路線、指導原則或程序。也就是說，安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。 或者說，安全策略是指在一個系統(tǒng)（網絡）中關于安全問題采取的原則，對安全使用的要求，以及如何保護信息的安全。

信息防護不是一個靜態(tài)過程， 而是一個包括5 個主要環(huán)節(jié)的動態(tài)過程，即Policy（安全策略）、Protection（保護）、 Detection（檢測）、Response（響應）和Recovery（恢復），即PPDRR 模型。 在安全策略的指導下，保護、檢測、響應和恢復組成了一個完整的、動態(tài)的循環(huán)來保證信息的安全。因此，在實施信息安全過程中，首先應進行系統(tǒng)安全需求和安全風險分析，確定系統(tǒng)的安全目標，然后制定相應的安全策略，再根據PPDRR 模型，進行動態(tài)防護，其中，安全策略是整個系統(tǒng)安全的依據，策略一旦制定，應當作為整個系統(tǒng)安全行為的準則。

2 美國信息安全策略的現(xiàn)狀

美國最高當局歷來把信息安全視為國家安全的重要組成部分，從20 世紀80 年代末到90 年代，美國政府把信息安全提高到了“國家安全”的戰(zhàn)略高度，尤其重視信息系統(tǒng)的保護。 美國政府以政府通告、總統(tǒng)訓令等形式不斷推出信息安全政策方針和各類規(guī)章制度，逐步形成了一整套信息安全防范體系，并規(guī)定每隔數(shù)年必須重新審定。

1994 年4 月美國總統(tǒng)克林頓遵循先例，發(fā)布了第29 號總統(tǒng)決策令，要求修改信息安全政策，強化信息安全保密機構。美國近幾屆國防部長也都十分關注信息安全防護問題，并直接領導了有關工作。 美國參謀長聯(lián)席會議和三軍首腦也是信息戰(zhàn)及信息安全防護的積極推動者。

美國防部1996 年投資10 億美元為所有數(shù)據加密，以保護信息系統(tǒng)安全。 1996 年2 月28 日，五角大樓的戰(zhàn)略情報專家正式提出了一份名為《互聯(lián)網絡評估》的報告，主張美軍方要對因特網實行監(jiān)控。 美陸軍1996 年數(shù)字化總計劃特別強調了信息和信息系統(tǒng)的安全問題，計劃要對信息系統(tǒng)的脆弱性進行分析和評估，并提出了保護戰(zhàn)場信息流的策略。

“9.11”事件之后，布什政府為了體現(xiàn)其對國家信息安全的重視，不僅宣布了新的網絡空間安全國家計劃， 而且采取各種有效措施，全面加強網絡與信息安全的防范工作，其中包括大規(guī)模增加反恐開支和用于信息安全的經費。

2009 年5 月29 日，奧巴馬政府公布了《美國網絡安全評估》報告，報告評估了美國政府在網絡空間的安全戰(zhàn)略、策略和標準，指出了存在的問題，提出行動計劃。奧巴馬也于報告發(fā)布當天明確要求，要將保護網絡基礎設施作為維護美國國家安全的第一要務。 2010 年6 月，美國國防部正式組建由戰(zhàn)略司令部領導的網絡戰(zhàn)司令部，主要進行數(shù)字戰(zhàn)爭，防護針對美軍計算機網絡的安全威脅，該司令部于同年10 月開始運作。

3 美國信息安全策略特點

美國信息安全策略的特點主要體現(xiàn)在兩個方面。 一是，實現(xiàn)網絡威懾戰(zhàn)略。美國具備了網絡威懾的條件：Intel 的CPU 占據全球計算機90%的市場份額；微軟的操作系統(tǒng)已經占據了世界個人電腦操作系統(tǒng)的85%以上；思科核心交換機遍布全球網絡節(jié)點；在互聯(lián)網應用方面技術積累時間長、應用最為廣泛。美軍還具備網絡攻擊的經驗，在科索沃戰(zhàn)爭、伊拉克戰(zhàn)爭中，美軍曾經通過網絡攻擊，挫毀對手的信息系統(tǒng)，達到癱瘓對手的目的。 二是，全面發(fā)展“先發(fā)制人”的網絡攻擊能力。 美國是世界上第一個引入網絡戰(zhàn)概念的國家，也是第一個將其應用于戰(zhàn)爭的國家。 2008 年初，布什賦予國防部更大的網絡戰(zhàn)反制權，允許美軍主動發(fā)起網絡攻擊。要求美軍具備進入任何遠距離公開或封閉的計算機網絡的能力，然后潛伏在那里，保持“完全隱蔽”并“悄悄竊取信息”，最終欺騙、拒絕、瓦解對方系統(tǒng)，兵不血刃地破壞敵方的指揮控制、情報信息和防控設施等軍用網絡系統(tǒng)，甚至可以悄無聲息地破壞、控制敵方的商務、政務等民用網絡系統(tǒng)。

4 美國信息安全策略的幾點啟示

深入分析美國網絡安全策略，不難得出以下三方面的啟示。一是，深化安全防護技術的研究，加強關鍵基礎設施保護能力。 無論是克林頓的政令還是奧巴馬的網絡安全評估報告，都突出了利用安全防護技術加強對關鍵基礎設施的保護。美軍打造一支以網絡中心戰(zhàn)為核心的隊伍，目的是實現(xiàn)可靠的、可信的、信息可以高度共享的、可互聯(lián)互通互操作的動態(tài)基礎設施，以滿足網絡中心戰(zhàn)的需求。目前，雖然我軍的信息安全水平有了明顯提高，安全防護體系已經初步建立，但隨著信息技術的不斷發(fā)展和國際上攻擊技術的進步，我們應該進一步深化安全防護技術的研究，加強對基礎設施的保護。二是，深入開展網絡安全模擬仿真技術研究，加強模擬真實環(huán)境檢驗網絡安全水平的能力。 美軍通過多次網絡風暴演習， 充分檢驗了基礎設施之間的協(xié)調能力、國家機構的應急響應能力等。美軍網絡風暴演習都是通過安全模擬仿真技術進行特制，模擬真實環(huán)境中發(fā)生過的情況。 我國也應深入開展安全模擬仿真技術的研究，具備在線組織實施演練、評估等能力，實現(xiàn)“以訓代戰(zhàn)”的目的，通過模擬多樣的攻擊方式、針對攻擊檢驗安全防護策略、以及對安全事件進行的響應，從而促進網絡攻擊對抗能力的提高和應急響應機制的完善。 三是，建立和強化防范機制。 這些機制包括加強網絡安全防范意識教育，徹底消除僥幸心理，形成主動防范、積極應對的全民意識；提高安全監(jiān)測、防護、響應、恢復和抗擊能力；加快出臺相關法律法規(guī)，改變目前相關法律法規(guī)太籠統(tǒng)、缺乏可操作性的現(xiàn)狀，對各種信息主體的權利、義務和法律責任做出明晰的法律約束；加強網絡運行管理機制，強化安全措施和解決方案；加快制定信息安全國家標準。

［1］曠野，閆曉麗.美國網絡空間可信身份戰(zhàn)略的真實意圖[J].信息安全與技術，2012（11）.

［2］彭設強，鄭皓，彭曙光.高等院校教師年度考核績效管理系統(tǒng)的安全設計與實現(xiàn)[J].科技信息，2010（17）.