第一篇：美國信息安全政策法規研究（寫寫幫推薦）

摘 要

本篇論文是從美國的信息安全初期的產生過程和幾任總統所做出的戰略策劃,從頭來研究這些戰略的成長過程，從法規和組織機構及人才培養的方面進行討論,還介紹了國家信息的保障體系,從對美國信息安全的認識和了解,并對他的戰略意圖進行更深的認識來促進和改善我們國家的體系和戰略。

關鍵字:信息安全 信息安全戰略

體系結構 組織機構

Abstract

This paper is the beginning of information security from the United States the production process and the president made several strategic planning from the beginning to study the growth process of these strategies, from the regulatory agencies and personnel training and organizational aspects of the discussion, also introduced National information security system, from the United States, awareness and understanding of information security, and his deeper understanding of the strategic intent to promote and improve our country's systems and strategies.Keywords: Information Security，Information security legislation Architecture Organizations

目 錄

第一章 美國信息安全戰略計劃 ························ 1 1.1 信息安全的認識 ·························· 1 1.1.1信息安全的屬性 ····························· 1 1.1.2信息的作用 ······························· 1 1.2 美國信息安全開始階段 ······················· 2 1.3 歷任總統的信息安全戰略 ······················ 2 第二章 美國加強信息安全政策法規建設的主要做法 ··············· 4 2.1 建立組織機構 ··························· 4 2.1.1 審計局 ································ 4 2.1.2 行政管理和預算局 ··························· 4 2.1.3 國家標準局 ······························ 4 2.1.4 國防部 ································ 4 2.1.5 國土安全局 ······························ 5 2.2 加強保障體系建設 ························· 5 2.2.1 組織管理體系 ····························· 5 2.2.2 技術防范體系 ····························· 5 2.2.3 應急響應體系 ····························· 6 2.2.4 服務體系 ······························· 6 2.2.5 人才培養體系 ····························· 6 2.2.6 國際合作保障體系 ··························· 6 2.3 完善具體措施 ··························· 6 2.3.1 規范及權威性的重視 ·························· 6 2.3.2 戰略性的重視 ····························· 7 2.3.3 法律措施的重視 ···························· 7 2.3.4 執法行為的重視 ···························· 7 2.3.5 遵守法律觀念的重視 ·························· 7 2.4 主要政策法規介紹 ························· 8 2.4.1 63號總統令 ······························ 8 2.4.2 信息保障技術框架 ··························· 8 2.4.3 網絡空間安全國家戰略計劃 ······················· 8 第三章 美國信息安全戰略對我們的啟示 ··················· 10

I

第四章 小結 ······························· 11 參考文獻 ································· 12 鳴 謝 ································· 13

II

第一章 美國信息安全戰略計劃

美國是一個信息大國,他們對信息安全的重視程度相當的高,是全世界第一個制定并且開始實行信息安全戰略的國家,隨著時代和社會形勢的變化它也跟著逐步完善和提高,對于美國信息安全的部署屬性可以看作是“擴張型”。針對這一屬性,美國政府及研發人員專門制定了相對完善和穩定的政策法規體系,建立了由國家到部委到機關三個層面的管理機制,對每個部門都要求積極配合,分工到位,各管其政的工作態度,并在國家防衛部門進行完整全面的信息安全評判,對各方面的數據進行準備評判并在發現問題的同時積極的去修改完善。

1.1 信息安全的認識

所謂信息安全就是使在信息網絡中的硬、軟件和數據得到一定的保護,而防止其受到非正常或刻意原因的破壞使信息遭到利用,讓其可以得到一個舒適的運行環境。

1.1.1信息安全的屬性

首先它是一門涉及面非常廣的由多種學科組成的綜合性學科,作為一種特別的資源具有一定的普遍性和多效性等,給我們帶來了一種想象不到的驚喜。

信息安全顧名思義就是指保護信息資料的安全,讓它不會受到來自外界的干擾和破壞,在國際上統一給它下了個定義就是:讓信息擁有一定的完整、可用及保密性質。它必定將成為全世界所有國家去很在乎的一個關鍵性的國家安全戰略。

1.1.2信息的作用

通常人們對于一個陌生事物或者一種社會現象的了解都是通過書本或者文獻資料，當計算機在二十世紀中期被搬上舞臺的時候，人們所需要了解那些事情也變得容易多了，不論是在什么場合，人們正依托計算機來完成事情的處理，并通過計算機信息來傳輸一些大小事務例如：

1、通過計算機來核對銀行的信息。

2、將罪犯的紀錄輸入電腦以便了解等。但是所有的這些都是處在一種沒有防范的況下去處理問題的。

局域網、互聯網、衛星、郵件等都是屬于傳輸的方式，由于他們都處在一種相對公開的環境下，沒有很好的保護措施，所以很容易的被竊取或破壞。在這樣的一種簡單的保護中是很難確保信息的安全性，這時便需要一種多層次的保護手段通過技術和管理及法律的手段達到信息安全的目的。

1.2 美國信息安全開始階段

1946年是美國信息安全最重要的一年,其“原子能法”和“國家安全法”這兩部具有重要意義的法案的出爐標志著美國國家信息安全開始的初期階段,表示美國政府把信息安全和國家安全之間存在的信息流動關系的重要性看得很重,這是對信息進行保護的意識開始加強。此外在1966年頒發的“信息自由法”,是被認為美國國內最重要的一部憲法,是其它有關信息安全法律的基礎,其同意個人或者相關機構能夠在任何條件下獲取被列入共享的文件資料,以此作為美國信息中受保護和不受保護的劃分,從而對信息安全進行了劃分。

1.3 歷任總統的信息安全戰略

老布什總統時期，美國信息安全戰略的重點是：保護信息的安全和隱密這兩個性質上。里根總統時期，聯邦政府組建了“國家保密通信及信息系統安全組委會”簡稱：NSTISCC。其組織成立的目的是為了在以往的安全戰略中，通過法律法規的制定和規章制度的制定，去對信息的安全進行有效合理的保護。

克林頓總統時期，其在任期間將信息安全正式列入國家安全戰略計劃中，并在維護信息的保密、完整及可用性等方面進行重點維護。1998年出臺了“關鍵基礎設施建設”的第63號總統令，這一號令是第一次很好很全面地說明了國家信息安全戰略的概念、意義及其目標，也闡明了之前提出的“信息保障”，在穩定現有信息安全水平的基礎上對下一步的工作提出了重要指示。為了將網絡及一些基礎設施、區域、環境等的深層次維護和防御，國家安全局出臺了“信息保障技術框架”簡稱“IATF”。2000年頒布了國家安全戰略報告，在這份報告中將信息安全也列入了其中，這也標志著信息安全正式成為國家安全戰略和框架，擁有了自己獨立的位置。在總統在任期間還成立了幾個對信息安全做出貢獻的組織，例如：

1、信息保障委員會。

2、信息保障同盟。

3、聯邦計算機事件響應機動組等。

布什總統時期，在其上任的期間經歷了一次重大悲劇事件——9.11，這次事件的發生使得國家不能不將信息安全的戰略地位看得更重，在2011年發布的13231號行政令“信息時代的關鍵基礎設施保護”這一命令的頒布，將原來的“保護委員”會變為更具實質性的“保護辦公室”，成為了聯邦部門的最高設施保護機構。隨著2003年“網絡空間的國家戰略”進一步將基礎設施的保護作為重點。在此期間，布什政府還重整了之前的一些相關機構并設立了由總統直接管理的國家安全顧問這一重要職位，還設立了包括國土、保密局、系統安全中心等重要機構，這對信息安全保障的工作做出了進一步的保障。其目的是為了將由9.11導致的信息安全保障的不力因素進行有效的改善，并根據現實情況制定一套全新的國家信息安全戰略。其主要強調了網絡安全的重要性，更夸張地認為網絡的威脅和核

武器的威脅是一樣具有很強破壞力的。2009年公布了一項有總統親自參與的“美國網絡安全評估”報告，此報告評估了現有的網絡安全戰略、策略和標準，并提出了他們中存在的問題，制定了下一步的任務計劃，政府表示將網絡安全的保障作為國家安全的重要戰略，由于網絡安全已經逐漸成為了對美國國家安全的首要威脅，將任命一名由總統親點的網絡安全總管，其職責就是專門對網絡安全戰略在政府的要求下完成制定。并成立由戰略司令部領導的相關部門，對數字戰爭進行有效的反擊和防御。

第二章

美國加強信息安全政策法規建設的主要做法

這一系列的體系不光包含有信息安全的技術，還含有政策方針、法律法規及組織機構等有關內容。

2.1 建立組織機構

在為了很好的貫徹落實信息安全的政策，美國國內很多政府部門被新加上了許多職責，比如：監督、管理等。這些機構包括：1.審計局、2.行政管理及預算局、3.國家標準局、國土安全部、商務及財政部等，行成了相當完整完善的機構體系。

2.1.1 審計局

直屬與國會，是一個相當獨立的部門，主要對國家財務和項目的核實工作，它與其他與信息安全有關的公共基金的情況：幫政府作出分析和選擇最終讓國會能有效的進行監督。部分政府資金的使用情況。都歸它管。同時也向國會提交了許多報告。

2.1.2 行政管理和預算局

管理和預算辦公室為發展和有關信息安全政策，原則，標準和準則的政府部門負責監管。在監察政府的資訊保安政策，并為下列服務的實際負責執行：進行信息安全政策及規則的制定等，并監督其實行；對機構實施與信息安全保障措施進行相應的風險等級的劃分：跟有關部門進行有效的合作，以便于讓美國國家標準局（NIST）的設立標準，準則和國家信息安全規定相配合。政府機構的相關信息安全項目進行每年的年度考核，是為了對信息安全方案的認可或者有不同的意見;聯邦信息安全事件監控中心的運作，信息安全相關的問題，每年向國會報告。

2.1.3 國家標準局

附屬于商務部門，它存在的作用是為了輔助政府和企業之間的有效配合，比如：安全、應急等計劃及一些安全技術的開發宣傳。它還負責了對安全技術和產品的標準的制定。

2.1.4 國防部

由美國國防部中的國家安全局和國家計算機安全中心來負責對國家信息安全事務進

行有效的保護。國家安全局的責任是做好保密信息系統和信息安全的工作。國家安全系統的保密信息包括：1.相關情報活動。2.與國家安全有關系的并且是隱蔽的活動。3.跟軍隊有關系的活動等。計算機安全中的責任是做好國家安全局應該負責的所有信息安全相關的工作，包括：1.解決政府中出現有關信息安全的問題。2.對各部門系統中存在的問題進行評估，對拿出解決的辦法加以行動。

2.1.5 國土安全局

這個部門的成立是由于9.11后美國對國內信息安全的不穩定而設立的。這個機構包括：1.基礎設施保障中心。2.通信系統局。3.計算機安全分局等，有關信息安全的部門。他們的責任是對關鍵的基礎設施進行保障和保護、信息管理標準的制定等。以往對自己國內信息安全的自信在9.11爆發后，奧巴馬政府認為還是存在很多的問題的比如：1.管理的制度和權力過于分散。2.缺乏一個系統的部門進行有效管理。3.沒有部門對危險的等級和受損范圍進行評估等。正因為這個組織的成立才緩解了國內的信息安全壓力，加強了信息安全的保障。

2.2 加強保障體系建設

2.2.1 組織管理體系

在網絡安全所出現的種種問題中,由管理不當所造成的占主要因素,3成技術、7成管理,這一理念就很能說明管理的重要性,不論在什么樣的情況下,沒有一套很好的管理體系將會造成工作的混亂狀況,出現資源嚴重浪費的情況,這樣一來對管理體系的建立、完善及落實是做好信息安全工作的關鍵.在管理體系建設方面有幾個因素需要注意:

1、制定一套完整的管理策略。

2、制定一系列人員管理制度。

3、制定完全的設備管理制度。

4、制定對突發及應急時間響應制度。

2.2.2 技術防范體系

伴隨著信息系統和政務的各方面要素的提升,使得安全防范的難度提高,針對這一情況,應該做出一種提前考慮把零散的信息產品集中起來構成一種整體的防范體系,達到更理想的效果.2.2.3 應急響應體系

當有人為或自然原因等的危險和問題出現在信息系統的運行過程中,所造成的可能是讓系統的整體運行受到一定程度上的影響及停止,此外該系統還很容易的被一些黑客等不法分子進行利用及破壞,造成信息系統的中端和泄漏,嚴重影響了企業和政府.達不到徹底的清除,解決的辦法是馬上建立一套高效能的應急響應系統,通過對系統的加強和完善來降低由破壞造成的嚴重后果.2.2.4 服務體系

隨著技術的發展和提高,安全也會隨之得到相應的提高,他們是一種共進退的關系,在外國的一些發達的信息產業上這一言論得到了很好的論證,對此不論在什么地方和情況下都要靠信息監管技術,達到一種專業和規范的信息服務及技術,這樣才能將信息安全推向一個新的高度.2.2.5 人才培養體系

這個體系是對信息安全保障長遠發展的一個重要體系，他跟美國政府對人才的重視息息相關，并為了培養出優秀的才人出臺了一系列項目：1.計算機服務項目，它是一項基礎項目，綜合性強，培訓的項目總的來說是圍繞著信息安全這一理念。2.服務獎學金項目，這個項目的特點是學生的一切學習環境和所需資金都是來自于政府但是學完后必須為政府辦事。3.中小學培訓項目，這是為了以后而坐準備的一個項目，長此以往信息安全方面的人才將不會缺少。體現了政府一種長遠的眼光。等一系列人才的培養項目。

2.2.6 國際合作保障體系

這項體系是為了跟世界接軌，效仿經濟上的相互依賴，達成對信息安全的世界性的共識。大家一起應對來自于信息安全方面的危險。美國主動參加了信息安全國際標準的制定。還減少了與信息安全相關的技術和產品的出口限制，目的是為了拉近距離促進發展，保持美國信息安全的領先地位。

2.3 完善具體措施

2.3.1 規范及權威性的重視

在立法的前提下,需先解決一些在法規的層次、部門的規章及民眾的參與等問題,法制的建設需要將深化信息安全作為國家的體系之一的理念深入,從而不斷的去完善制度和措施,對可用、保密、完整等信息的性質和安全的概念進行重點強化,讓它成為一種必不可少 的觀點.對信息網絡安全的保護及防范不光是要靠對立法的改善,防范體系的完整,而是要在對責任人進行責任的詳細告知,通過很好的溝通和配合來提高意識和技術水平.2.3.2 戰略性的重視

在對缺乏戰略的規劃及有法律保護的信息安全和立法的速度已經遠遠落后于發展的速度這些信息建設時所出現的問題的解決上，首先是要端正態度，把信息的安全看作是國家的安全，將信息安全放在國家安全的優先位置上。接著是組織的成立上，應當馬上組成一個成熟的系統安全組織，從而去對保障安全的能力進行提升，堅持對不法行為和敵對分子進行嚴懲和打擊最重達到國家信息安全的穩定。最后是審時度勢，隨著時代變化和社會的進步，根據需要的不同去改變和完善信息安全的保障體系。

2.3.3 法律措施的重視

現存的法律缺乏一定的效能和不具備很好的針對性概括性太大，這是需要重視的問題。由于上訴問題導致了各種法律之間缺乏配合，讓不法分子有很多空子鉆，從這些問題的出現反映了法律機制還需要進一步的去完善，才能構成一套完整的體系結構，從而去支持那些缺少法律保護的企業，不讓他們有法不依。讓那些復雜的網絡不法行為比如：

1、故意散播不良信息，虛假信息。

2、做出對國家安全有威脅的信息行為等。得到有效的控制。趨于對預警及響應系統的需求和依托、管理制度、特定機構的需求，必須馬上建立起一套完善體系。對信息的安全進行等級劃分，嚴格的按照劃分的等級進行防范，提高對問題的解決能力。

2.3.4 執法行為的重視

信息安全的防范出現了由于行政上的過分干涉導致了防范能力降低的問題需要解決，存在這樣的問題主要是因為：

1、現存的法律對網絡的權利和公民權利保護事情上的不重視。

2、對政治和經濟的保護力度不夠。

3、對建立一個健康穩定的網絡環境力度不夠。

3、執法能力需要大大提高等。面對著這些問題，相關部門也著力從：

1、網絡是名制。

2、審查力度的加大。

3、對合法與不合法的信息進行過濾。

4、將被列入網絡“黑名單”的人和機構進行監視和查辦等。方法去提高執法能力。爭取做到責任到人，執法到人。

2.3.5 遵守法律觀念的重視

因為對網絡行為長期缺少用法律來規范，導致了大家網絡法律意識低下，自律和公德意識低下，才使得很多網民存在僥幸心理，發生很多網絡的不良事件，更為嚴重的是直接

將網絡看成是自己的天地為所欲為，肆無忌憚。才給國家帶來了極大的危害。面對這些問題，必須從法律意識的普及和加強來對網民進行教育，對犯法的網民進行強制教育。改善共同的網絡環境。

2.4 主要政策法規介紹

美國政府相繼出臺了許多政策政令全是為了組建國家信息安全平臺，其中包含了總統的行政命令、指令及信息安全計劃和戰略等。美國在80年代初出臺了許多關于信息安全的法律法規，其中幾部重要的有：1.“信息自由法”。2.“計算機安全法”。3.“反黑客法”等，在各項法律中，于98年出臺的：1.美國第63號總統令關于“保護關鍵基礎設施”。2.“信息保障技術框架”（簡稱IATF)。3.03年發布的“網絡空間安全國家戰略計劃”等都是重要的法律法規。

2.4.1 63號總統令

這個總統令指明：1.最遲在2000年美國國內需要具備初步的信息保護能力。2.美國將在號令發布后的5年建立并且維護完善的基礎設施保障實力，為了防止以下幾種行為：1.聯邦政府確保公眾健康及安全。2.州及地方在提交基本的公務前提下，讓其能有規律的運行。3.私企在保證其能源、經濟及運輸能維持服務，如果遇到破壞要在短時間內不論從頻率或地址上進行隔絕，盡量減少國家的損壞。

2.4.2 信息保障技術框架

這項保障框架是20世紀美國國內信息保障技術中最為系統和最具有意義的研究，IATFI.0版在98年出版，2.0在99年出版，3.0在2000年出版。這項技術的出現對于美國國內的基礎設施保障來說是很有意義的，他對政府和工業領域都提供了非常有用的技術指導，對系統提出了更高的要求，并提出了以基礎設施防御和區域防御及環境防御的深層次的防御目標。畫出了新的防御戰略。它所能處理的問題有：1.將信息需要的保護和出現問題的解決方案進行了很好的定義。2.在技術方面尋求信息保護的優良技術。3.在資源方面起到搜尋機構中所擁有的各種資源。4.將方法和技術的使用放在了最合適的地方。

2.4.3 網絡空間安全國家戰略計劃

這一戰略計劃的出臺是有一定意義的，它是第一份為了信息安全為專門出的安全戰略方案，它確立了信息安全的獨立，有標志性價值。還確立了安全政策的3個要素，都是最基本的：1.利益。2.保障。3.方法。他們之前被列入不同的文檔中，在這個方案計劃中得到了有機的在一起完整的結合起來。它很

好的說出了美國網絡世界所出現的危機和易攻擊的危險，詳細的指明了下一步對信息安全保護計劃方案的制定，規定并強化了有關部門的職責，為政府、公民、私企打出了通道

第三章 美國信息安全戰略對我們的啟示

通過對美國信息安全及戰略的了解，我能從中認識到美國作為一個世界強國的厲害之處，他們對信息安全的保障和法律法規的建設方面都相當的完善，對于一個發展中國家的我們從中學到了4點啟示需要像美國多學習：

1、信息安全體系建設需要集中統一領導。信息系統安全關系國家的最高利益，只有統一的強有力的國家級信息安全領導機構，才能統一領導政府、軍隊和民間的信息安全工作。

2、信息安全體系建設需要理順管理體制。信息安全體系建設涉及黨、政、軍、民各界，只有從國家、國防安全的高度，理順信息安全管理體制，才有可能建成“確保絕對安全，確保絕對暢通”的信息安全體系。

3、信息安全體系建設需要統籌規劃部署。國防信息安全體系建設是規模宏大、技術復雜的系統工程，需要按照大系統、大工程、大科學、大國防的思路，來統籌規劃、部署、建設、使用和管理。

4、信息安全體系建設需要加強技術基礎。信息安全體系建設，高新技術密集，難度很大，投人很多，需要發揮國家的整體優勢，加強理論、技術和工業基礎。

5、信息安全體系建設需要加強政策研究。美國政府在信息安全體系建設方面的成功，得益于它的信息安全政策。實踐證明，一個正確的決策政策的形成，決不會一蹴而就，而是根據變化的情況不斷進行調整。

第四章

小結

本文通過論述美國信息安全政策的萌芽，以及疆根、老布什政府，克林頓、小布什和奧巴馬政府的信息安全戰略，回顧了美國信息安全戰略的演變過程，通過探討美國信息安全的政策法規、組織機構、人才培養和圍際合作，介紹了美國信息安全保障體系。希望通過對美國信息安全戰略的初步探討，加深對美國信息安全戰略的理解，促進我國信息安全戰略和保障體系的建立和完善。

參考文獻

[1]盧新德構建信息安全保障新體系——全球信息戰的新形勢與我國的信息安全戰略．北京：中國經濟

出版社，2007。

[2]沈逸．開放、控制與合作：美國國家信息安全政策分析l．復旦大學博士學位論文。2005． [3]杜友文，王建冬．美國國家信息安全政策綜述叭．晉圖學刊，2008。[4]杜友文，王建冬．美國國家信息安全政策綜述．晉圖學刊，2008 [5]美國保障政府信息安全法律及立法機構通過的其他法律

[6]杜友文，王建冬．美國國家信息安全政策綜述Ⅱ1晉圖學刊，2008． [7]雷猛．美國信息安全戰略簡析.信息網絡安全，2005(2)． [8]奧巴馬要求全面評估美國網絡安全2009—7

鳴

謝

大學三年學習時光已經接近尾聲，在此我想對我的母校，我的父母、親人們，我的老師和同學們表達我由衷的謝意。

感謝我的家人對我大學四年學習默默的支持；感謝我的母校信大電院給了我大學深造的機會，讓我能繼續學習和提高；感謝學校教員、隊長、政委和同學們四年來的關心和鼓勵。教員們課堂上的激情洋溢，課堂下的諄諄教誨；同學們在學習中的認真熱情，生活上的熱心主動，所有這些都讓我的四年充滿感動。這次畢業論文設計我得到了很多教員和同學的幫助，其中我的論文指導老師李智誠教員對我的關心和支持尤為重要。每次遇到難題，我最先找的就是李教員尋求幫助，而李教員每次不管忙閑，都會抽空來幫我解答。

我做畢業設計的每個階段，從選題上的查閱資料、論文的提綱確定，中期論文的修改，后期格式的調整等各個環節中，李教員偶讀給予了我悉心的指導，在此謹向李教員致以誠摯的謝意和崇高的敬意！

同時，這篇畢業論文的寫作業得到了郭禎、溫得巍、衛巖等同學的熱情幫助。感謝在整個畢業設計期間和我密切合作的同學，和曾經在各個方面給予我幫助的伙伴們。在此，我再一次真誠的向幫助過我的教員和同學們表示感謝！

第二篇：美國信息安全政策

美國信息安全政策概述

美國社會和經濟的快速發展依賴于一個錯綜復雜的信息網絡?？肆诸D政府在其63號總統令中指出：”我們的經濟越來越依靠那些互依賴的、由計算機和網絡支持的基礎設施，對我們的基礎設施和信息系統的非常規攻擊有可能使我們的軍事和經濟力量遭到巨大傷害”。為維護國家安全和經濟增長，美國政府陸續頒布了一系列的法律、法規和指南來提高對其關鍵信息系統的安全保障能力。“911”事件后，美國政府對信息安全更加重視，陸續出臺了一些新的舉措。

一、重點保護國家關鍵基礎設施鑒于社會和經濟的快速發展對信息網絡的嚴重依賴性，美國政府對國家信息系統和關鍵信息基礎設施的安全一直以來都予以了特別的關注。

1998年5月克林頓總統簽署第63號總統令－《克林頓政府對關鍵基礎設施保護的政策》（PDD63），提出“最遲不晚于2000年，美國應當實現初步的信息保障能力?！盤DD63令要求從總統令發布之日起，五年后美國將已經獲得并保持對國家的關鍵基礎設施進行保護的能力，以防止可能會嚴重危害到下述職能的有預謀的行為：聯邦政府履行其重要的國家安全責任并確保公眾健康和安全；州和地方政府維持有序運轉，提供最起碼的重要公共服務；私營部門確保經濟有序運行以及重要電信、能源、金融和運輸服務的正常提供。這些關鍵功能遭到的任何破壞或操縱必須控制在歷時短、頻率小、可控、地域上可隔離以及對美國的利益損害最小這樣一個規模上。

2001 年10 月，布什總統簽署第13231號行政令－《信息時代的關鍵基礎設施保護》，授權成立一項旨在通過不斷努力來保護關鍵基礎設施中的信息系統的保護項目，包括對應急戰備通信設施及其相關的物理設施進行保護。2003年2月發布的《保護網絡空間的國家戰略》（以下簡稱戰略）則進一步指出：“美國的政策是通過保護關鍵基礎設施，防止信息系統的運行遭到破壞，從而保護美國的人民、美國的經濟及國家的安全”。其中，國家的基礎設施包括農業、食品、供水、公共健康、應急服務、政府、國防工業基地、信息與通信、能源、運輸、銀行與金融、化學品和危險物品、郵政和船運部門的公共和私營部門。

二、信息安全與信息保密信息安全不等同于信息保密，信息保密僅僅是信息安全的一個方面。在2002年3月通過的《聯邦信息安全管理法案》(FISMA)中，信息安全被定義為”保 護信息和信息系統以避免未授權的訪問、使用、泄漏、破壞、修改或者銷毀，以確保信息的 完整性、保密性和可用性”。其中完整性是指防止不恰當的信息修改和破壞，也包括確保信 息的不可否認性和可認證性；保密性是指對信息訪問和公開的授權限制，包括對個人隱私和 私有信息的保護；可用性是指對信息的及時和可靠的訪問。

三、分工負責，各司其職信息安全的工作涉及方方面面，不可能只依靠一個機構來執行法律和政策，但也不應該分工不明確，以致于“政出多門”，造成“政策撞車”，反而形成“誰都抓，誰都無法落實”的局面。因此在實施基礎設施保護時，美國政府特別注意明確規定各機構的職責范圍，在各個層次上都力求做到分工負責，各司其職。

(一)國家層面

PDD63令中規定：”總統指派一個由大型基礎設施提供商和州及地方官員組成的小組組成總統基礎設施保障委員會”。總統基礎設施保障委員會將定期集會，以加強關鍵基礎設施保護中公共和私營部門間的合作關系，并在必要的時候向總統提交報告。第13231號行政令則將部委間的協調機構“總統關鍵基礎設施保護委員會”改為行政實體“總統關鍵基礎設施保護辦公室”，作為聯邦基礎設施安全保護的最高管理協調機構。

(二)部委層面

針對每一個有可能成為信息或物理攻擊目標的基礎設施部門，第PDD63號行政令為其指定了一個唯一的聯邦部局作為聯絡時的領導機構。對于某些關鍵基礎設施保護職能必須主要由聯邦政府執行，如國防、外事、情報、執法。其中的每一項特殊職能，都應有一個領導機構負責協調美國政府在該領域內的活動。針對”9.11”以后的安全形勢，美國專門成立了國土安全部，并對部門間的職責作出了調整?！稇鹇浴分兄赋觯簢涟踩控撠熜畔⑴c通信、運輸（航空、公共運輸、水運、天然氣管道、高速公路）、郵政和海運、應急服務以及政府持續性；財政部負責銀行與金融；健康與公共服務部負責公共健康（包括預防、監視、化驗室和個人健康服務）、食品（不包括肉類和禽類食品）；能源部供水化學工業和危險物品管理；農業部負責農業和食品（肉類和禽類食品）；國防部負責國防工業基地。另外，科技政策辦公室（OSTP）負責協調關鍵基礎設施保護方面的科研工作；管理和預算辦公室（OMB）負責監督聯邦政府的計算機安全項目中的政策、原則、標準和方針在整個政府部門的實施情況；美國國務院負責協調網絡安全方面的國際協作事務。中央情報局負責評估其他國家對美國的網絡和信息系統的威脅。司法部和聯邦調查局負責對網絡犯罪的調查和起訴工作。

(三)機構層面

各個聯邦機構自己負責機構內的信息系統的安全保障工作。FISMA規定，聯邦機構的首腦根據風險情況和對信息（由機構收集或者維護）和信息系統（機構使用或者運行）的損害程度提供安全保護。

四、信息安全保護職責

(一)信息安全保護機構主管應確保對信息（由機構收集或者維護）和信息系統（機構使用或者運行）提供安全保護；遵守相關法律、政策、程序、標準和指南的要求；將安全管理融入到機構戰略和運營規劃中；定期向機構主管、眾議院的政府改革和科學委員會、參議院的政府事務與商業、科學和運輸委員會、國會授權的對口委員會以及審計總署提交報告，匯報機構信息安全策略以及實踐的有效性。

(二)獨立評估每個機構每年必須對其信息安全程序和實踐進行獨立評估以確認其有效性（FISMA）。獨立評估包括：

1． 對安全策略、過程和典型子系統的安全實踐的有效性測試；

2． 基于相關法律、政策、程序、標準和指南的評估；

3． 獨立陳述（涉及國家安全時）在獨立評估的基礎上，聯邦管理與預算局應國會上報評估匯總結果，而聯邦審計總署應周期性評估并向國會匯報各機構信息安全策略和實踐的適度與有效性以及相關要求的執行情況。

我國目前正在全面推進國民經濟和社會信息化，加速開展電子政務、電子商務和企業信息化建設，整個社會對信息網絡的依賴與日俱增。信息網絡在極大地促進我國經濟、文化、科技發展和社會進步的同時，也給國家安全和社會穩定帶來了嚴峻挑戰。我們應充分借鑒國外的先進經驗，探索并制定符合中國國情的信息安全戰略、方針和政策，進一步提高信息安全的保障能力和防護水平，逐步探索出一條適應社會主義市場經濟發展的信息安全模式。

五、參考文獻：

(一)Federal Information Security Management Act，USA，2002聯邦信息安全管理法案，美國，2002(二)Critical Infrastructure Protection in the Information Age，Executive Order 13231，USA，2001。信息時代的關鍵基礎設施保護，第13231號行政令，美國，2001(三)Security of Federal Automated Information Resources，Appendix III to OMB Circular No.A-130，office of Management and Budget,2000。聯邦自動信息資源的安全，聯邦管理與預算局A-130通告附錄三，美國,2000(四)The Clinton Administration’s Policy on Critical Infrastructure Protection，Presidential Decision Directive 63，1998?？肆诸D政府對關鍵基礎設施保護的政策，第63號總統令，1998(五)The National Strategy to Secure Cyberspace，USA，2003。保護網絡空間安全的國家戰略，美國，2003(六)Http://www.dhs.gov

第三篇：德國、美國信息安全啟示

德國是歐洲頭號經濟大國，也是僅次于美國、日本的世界第三經濟強國。2004年德國國內生產總值21770億歐元，人均國內生產總值26000歐元。德國為出口型經濟，2004年外貿出口7309億歐元，連續兩年成為世界第一出口國。為了增強綜合國力和國際競爭力，德國非常重視信息化建設，1999年制定的“21世紀信息社會的創新與工作機遇”綱要是德國第一個走向信息社會的戰略計劃。進入新世紀后，德國又制定了“2006年德國信息社會行動綱領”，這是德國走向信息社會的主體計劃，對信息化建設的主要方面提出了明確的目標，強調要通過政府創造環境，實行政府與產業界及社會各界的合作，形成向信息社會轉移的體制和機制。目前，德國正在制定第三套信息化行動計劃（2006年至2010年），這個計劃與歐盟的信息社會計劃是一致的，估計在明年發布。通過制定和實施信息化發展戰略，德國信息化獲得了較快的發展。德國在制定和實施信息化戰略中有以下幾個突出特點。

第一，在電子政務建設中重視信息系統的整合。德國把推行電子政務作為實施信息化戰略的重要組成部分。2000年聯邦政府制定了“2005年聯邦政府在線計劃”，旨在通過推行電子政務提高行政效率，開拓新的工作領域，促進政府服務現代化。德國電子政務既有從聯邦到州的垂直計劃，也有13000個縣市之間的水平計劃。為了使垂直方向和水平方向的電子政務發揮更大的功能，2003年6月，德國總理施羅德和政府各部部長批準了整合電子政務的共同戰略——“德國在線”計劃。通過這個計劃，電子政務的整體功能得到提高，聯邦政府、州政府和地方政府能夠共同提供在線服務。目前，聯邦政府在線提供440項服務，州政府在線提供300項服務，全國30%的人享受在線服務，幾乎百分之百的企業都能利用電子政務與政府打交道。德國是世界上第一個建立電子政務標準的國家。德國還向歐盟各國和俄羅斯推廣本國制定的標準。德國整合全國政務信息系統更多的是通過推廣標準進行的。聯邦政府通過代理機構發布電子政務應用的標準文件，而且每年修改，由聯邦內務部在各地的代理機構實施，確保電子政務的互操作性。這些文件雖然是建議性的，不是強制性的，但因為有統一的機構去推動，作用十分明顯。

第二，開放軟件源代碼。德國在制定和實施信息化戰略時認為，聯邦整個信息化戰略是由好多軟件支撐的，很多網絡攻擊也是由軟件引起的。只有開放軟件源代碼，才能增強信息平臺的獨立性，提高信息系統的可操作性和互操作性，促進網絡安全。為了保證使用應用軟件的安全性，德國聯邦內政部在聯邦政府內部、聯邦政府與各州政府之間積極推進使用開放源代碼軟件，并為此制定了國家戰略。目前，德國雖然在開放軟件源代碼方面信息還不充分，不少最終用戶也不愿意開放軟件源代碼，但政府正在推進這項工作，已有60多個機構從事這項工作。

第三，高度重視信息安全。德國在信息安全方面是歐洲的典范，主要做法包括三方面。一是有明確的責任部門。德國聯邦經濟和勞工部下屬的聯邦電信和郵政總局主要負責聯邦電信基礎設施的安全維護工作；內政部和其下屬聯邦信息安全署主要負責信息技術應用方面的安全問題，如互聯網安全管理、防病毒入侵和應急處理計算機問題等。聯邦安全署還負責對互聯網進行內容監管，對需要跨部門協調的工作制定統一的方案。聯邦內政部下屬的聯邦信息安全署設有計算機緊急反應小組，提供每天24小時的“應急服務”，解決互聯網的安全問題，防止計算機病毒和網絡攻擊。聯邦政府專門成立聯邦信息安全辦公室，負責處理信息安全方面的技術問題。二是重視運用法律手段。德國聯邦經濟和勞工部下屬的聯邦電信和郵政總局在為德國聯邦其他部門提供基礎電信服務的同時，還負責起草和制定《電信法》和《數字簽名法》等法律，并協調聯邦政府各部門有效使用數字簽名來保障信息安全。聯邦政府制定了具體的計劃和措施加強互聯網上的安全，包括頒布了《電子簽名法》和《電子商務法》。三是綜合運用相關技術措施。德國聯邦政府為加強信息安全采取了一系列的措施，包括重大基礎設施的保護，增強社會各界的信息安全意識，通過設立安全門戶網站為企業和個人提供相關信息和安全工具，增強互聯網上的信息安全，開展信息安全認證，推廣新的安全技術，與IT企業合作開展安全技術趨勢研究，大力研發和使用密碼技術、安全可靠的構件和生物識別技術等。

第四，重視信息技術創新及信息產業發展。當今世界，信息技術發展日新月異，對經濟、社會發展的作用越來越明顯。加快信息技術創新，保持和擴大本國信息技術在世界上的優勢，是發達國家的普遍做法。德國政府把信息技術發展看成是其他領域創新的基石，在信息技術創新方面的任務是幫助本國企業走進全球市場，幫助企業保持和擴大競爭優勢。德國政府還從創造就業機會出發，對信息技術研究資助的重點是有利于創造就業機會和對德國經濟產生真正積極影響的項目，保證當前和未來的信息技術領先，支持在全球市場中居“領導者”地位的德國公司。德國政府還利用強大的研究能力和雄厚的資金，對一些關鍵領域的信息技術創新進行支持。2004年，西門子公司在通信領域獲得2013項專利，較大程度上得益于政府的大力支持。德國政府還吸引和支持外國公司到德國投資建廠，發展信息技術。1999年以來，美國AMD公司在德國共計投資50億美元，除了AMD公司自有資金和15%的銀行貸款外，在資金支持、土地使用、配套設施建設，特別是專業知識人才隊伍等方面都得到德國政府的資助。

信息技術創新和應用對德國經濟發展發揮了巨大作用。互聯網已成為推動經濟發展的重要因素。2003年，德國電子商務業務量首次突破1000億歐元，成為歐洲最重要的電子商務市場。目前，德國50%以上的工業生產和80%以上的出口依靠著最先進的信息與通信系統。制造業中，大約50%的增加值和新增就業機會及50%以上的出口業務都是與ICT技術創新聯系在一起的。不久的將來，汽車生產成本中電子產品的比例將超過30%。信息技術創新有效地促進了德國信息產業的增長。近年來，德國信息產業增長速度比整個經濟增長速度快五倍。受全球信息產業大環境的影響，2002年德國信息產業出現了微小的負增長，之后便走出低谷，出現恢復性增長。2004年，德國信息產業國內銷售額超過1300億歐元，就業人員約75萬人，是德國的第三大產業。

雖然我國與德國的國情不同，但德國推進信息化的一些做法值得我們借鑒。

第一，制定好我國信息化發展戰略和專項規劃。信息化是當今世界經濟社會發展的重要趨勢，是提高綜合國力和國際競爭力的重大舉措。為了實現信息化健康發展，發揮信息化對經濟、社會發展的重要作用，德國高度重視制定和實施信息化發展戰略，而且根據國內外形勢變化不斷地對信息化戰略進行調整和更新，效果十分明顯。我國信息化建設起步晚、基礎差，為了減少損失、少走彎路，使信息化更好地服從和服務于全面建設小康社會的宏偉事業，應當借鑒國外經驗，抓緊制定和實施信息化發展戰略，認真貫徹落實黨的十六大提出的“以信息化帶動工業化，以工業化促進信息化”的方針，當前要制定好“十一五”信息化發展規劃，提出信息化發展的目標、重點和政策措施，促進我國信息化建設更快更好地發展。

第二，在電子政務建設中要充分利用互聯網，并重視利用法律和標準解決系統間的互聯互通問題。互聯網作為集信息采集、存貯、處理、傳遞和共享為一體的信息網絡，是推行電子政務的重要平臺。利用互聯網推行電子政務，不僅能夠節約大量的投資，而且有利于信息共享和公眾獲取信息服務。德國絕大多數的電子政務系統都是建立在互聯網上，只有特殊需要的涉密信息系統才建專網。在解決信息系統間的互聯互通問題時，他們更多的是通過法律手段，明確各部門的職責，并采取標準等技術手段。我國資金短缺，社會主義制度決定了我們的電子政務對公服務的任務更多更重，因此我國的電子政務建設要重新認識互聯網，充分利用互聯網，盡可能地減少建設專網。鑒于目前我國已經形成了許多難以互聯互通和信息共享的專網，應加快立法進程，規范各部門的職責和義務，建立健全相關技術標準，促進各個信息系統間的信息共享、互聯互通和協同操作。

第三，電信監管和信息化管理體制改革要主動適應新技術變化。信息化是一項嶄新的事業，在發展過程中需要對原有的管理體制和相關部門做出適當調整。為適應電信技術發展的要求，德國1997年撤銷郵政部，將相關職能并入聯邦經濟與勞工部。在制定電信監管政策時德國有關部門認為，VoIP（互聯網語音電話）與下一代互聯網一樣，是一項很好的新技術，很有發展潛力，運營商也很感興趣，不能對其加以太多的管制。德國對VoIP和對普通電話是一樣的，雖然目前還不能確定利用VoIP打電話人的所在位置，但長期來看是可以解決的。德國不僅在電信領域主動適應VoIP和寬帶接入等新技術，還積極推動廣電、電信和互聯網融合，已將三網的監管職能劃歸聯邦經濟與勞工部下屬的電信與郵政司。我國正處于完善社會主義市場經濟體制的關鍵時期，又處在信息化快速發展的重要時期，應當根據我國的具體情況，借鑒國外的經驗和做法，深化對信息化發展管理體制改革的研究，努力建立健全具有中國特色的信息化管理體制。

第四，在信息安全方面加強交流與合作。在信息安全工作方面，德國與我們的認識基本一致，做法有許多相同之處。所不同的是，德國信息安全管理體制相當集中，并在不斷調整之中，即使分屬不同的部門，部門之間也在做到了職責清晰、分工明確、協調有度，形成了信息安全監管的合力。為了提高信息安全水平，德國鼓勵網絡融合，在廣電、電信和計算機網絡的基礎上建立統一的平臺。另外，德國鼓勵使用開放源代碼軟件，并把推進源代碼軟件的使用作為信息安全的重點工作來抓。德國在信息安全方面擁有較多的經驗，我國應該加強和德國就信息安全方面的交流，特別是對于開放源代碼軟件的使用情況進行交流，吸取他們的有益經驗，提高我國的信息安全工作水平。

第五，為企業成為信息技術創新主體創造良好的環境。企業既是國家經濟實力的基礎和支柱，也是技術創新的主體。德國之所以能夠在信息技術的一些領域保持領先地位，根本原因之一是發揮了企業作為信息技術創新主體的作用，并擁有像西門子這樣一些勇于創新的公司。我國要加快信息技術創新，縮小與發達國家的差距，也必須發揮企業的主體作用。目前，我國企業在資金和科技實力上還不能與德國、日本、美國的企業相比，特別需要國家的積極扶持。要實施激勵企業技術創新的財稅金融政策，完善和調整國家產業技術政策，支持企業對引進技術的消化、吸收和再創新，利用政府采購促進企業自主創新。

美國社會和經濟的快速發展依賴于一個錯綜復雜的信息網絡?？肆诸D政府在其63號總統令中指出：“我們的經濟越來越依靠那些互依賴的、由計算機和網絡支持的基礎設施，對我們的基礎設施和信息系統的非常規攻擊有可能使我們的軍事和經濟力量遭到巨大傷害”。為維護國家安全和經濟增長，美國政府陸續頒布了一系列的法律、法規和指南來提高對其關鍵信息系統的安全保障能力?！?11”事件后，美國政府對信息安全更加重視，陸續出臺了一些新的舉措。

一、鑒于社會和經濟的快速發展對信息網絡的嚴重依賴性，重點保護國家關鍵基礎設施。

美國政府對國家信息系統和關鍵信息基礎設施的安全一直以來都予以了特別的關注。1998年5月克林頓總統簽署第63號總統令－《克林頓政府對關鍵基礎設施保護的政策》（PDD63），提出“最遲不晚于2000 年，美國應當實現初步的信息保障能力。”PDD63令要求從總統令發布之日起，五年后美國將已經獲得并保持對國家的關鍵基礎設施進行保護的能力，以防止可能會嚴重危害到下述職能的有預謀的行為：聯邦政府履行其重要的國家安全責任并確保公眾健康和安全；州和地方政府維持有序運轉，提供最起碼的重要公共服務；私營部門確保經濟有序運行以及重要電信、能源、金融和運輸服務的正常提供。這些關鍵功能遭到的任何破壞或操縱必須控制在歷時短、頻率小、可控、地域上可隔離以及對美國的利益損害最小這樣一個規模上。2001年10月，布什總統簽署第13231號行政令－《信息時代的關鍵基礎設施保護》，授權成立一項旨在通過不斷努力來保護關鍵基礎設施中的信息系統的保護項目，包括對應急戰備通信設施及其相關的物理設施進行保護。2003年2月發布的《保護網絡空間的國家戰略》（以下簡稱戰略）則進一步指出：“美國的政策是通過保護關鍵基礎設施，防止信息系統的運行遭到破壞，從而保護美國的人民、美國的經濟及國家的安全”。其中，國家的基礎設施包括農業、食品、供水、公共健康、應急服務、政府、國防工業基地、信息與通信、能源、運輸、銀行與金融、化學品和危險物品、郵政和船運部門的公共和私營部門。

二、信息安全與信息保密信息安全不等同于信息保密，信息保密僅僅是信息安全的一個方面。

在2002年3月通過的《聯邦信息安全管理法案》(FISMA)中，信息安全被定義為“保護信息和信息系統以避免未授權的訪問、使用、泄漏、破壞、修改或者銷毀，以確保信息的完整性、保密性和可用性”。其中完整性是指防止不恰當的信息修改和破壞，也包括確保信息的不可否認性和可認證性；保密性是指對信息訪問和公開的授權限制，包括對個人隱私和私有信息的保護；可用性是指對信息的及時和可靠的訪問。

三、分工負責，各司其職

信息安全的工作涉及方方面面，不可能只依靠一個機構來執行法律和政策，但也不應該分工不明確，以致于“政出多門”，造成“政策撞車”，反而形成“誰都抓，誰都無法落實”的局面。因此在實施基礎設施保護時，美國政府特別注意明確規定各機構的職責范圍，在各個層次上都力求做到分工負責，各司其職。

(一)國家層面 PDD63令中規定：“總統指派一個由大型基礎設施提供商和州及地方官員組成的小組組成總統基礎設施保障委員會”?？偨y基礎設施保障委員會將定期集會，以加強關鍵基礎設施保護中公共和私營部門間的合作關系，并在必要的時候向總統提交報告。第13231號行政令則將部委間的協調機構“總統關鍵基礎設施保護委員會”改為行政實體“總統關鍵基礎設施保護辦公室”，作為聯邦基礎設施安全保護的最高管理協調機構。

(二)部委層面針對每一個有可能成為信息或物理攻擊目標的基礎設施部門，第PDD63號行政令為其指定了一個唯一的聯邦部局作為聯絡時的領導機構。對于某些關鍵基礎設施保護職能必須主要由聯邦政府執行，如國防、外事、情報、執法。其中的每一項特殊職能，都應有一個領導機構負責協調美國政府在該領域內的活動。針對“9.11”以后的安全形勢，美國專門成立了國土安全部，并對部門間的職責作出了調整。

《戰略》中指出：國土安全部負責信息與通信、運輸（航空、公共運輸、水運、天然氣管道、高速公路）、郵政和海運、應急服務以及政府持續性；財政部負責銀行與金融；健康與公共服務部負責公共健康（包括預防、監視、化驗室和個人健康服務）、食品（不包括肉類和禽類食品）；能源部供水化學工業和危險物品管理；農業部負責農業和食品（肉類和禽類食品）；國防部負責國防工業基地。另外，科技政策辦公室（OSTP）負責協調關鍵基礎設施保護方面的科研工作；管理和預算辦公室（OMB）負責監督聯邦政府的計算機安全項目中的政策、原則、標準和方針在整個政府部門的實施情況；美國國務院負責協調網絡安全方面的國際協作事務。中央情報局負責評估其他國家對美國的網絡和信息系統的威脅。司法部和聯邦調查局負責對網絡犯罪的調查和起訴工作。

(三)機構層面各個聯邦機構自己負責機構內的信息系統的安全保障工作。FISMA規定，聯邦機構的首腦根據風險情況和對信息（由機構收集或者維護）和信息系統（機構使用或者運行）的損害程度提供安全保護。

四、信息安全保護職責

(一)信息安全保護機構主管應確保對信息（由機構收集或者維護）和信息系統（機構使用或者運行）提供安全保護；遵守相關法律、政策、程序、標準和指南的要求；將安全管理融入到機構戰略和運營規劃中；定期向機構主管、眾議院的政府改革和科學委員會、參議院的政府事務與商業、科學和運輸委員會、國會授權的對口委員會以及審計總署提交報告，匯報機構信息安全策略以及實踐的有效性。

(二)獨立評估每個機構每年必須對其信息安全程序和實踐進行獨立評估以確認其有效性（FISMA）。

獨立評估包括：

1．對安全策略、過程和典型子系統的安全實踐的有效性測試；

2．基于相關法律、政策、程序、標準和指南的評估；

3．獨立陳述（涉及國家安全時）在獨立評估的基礎上，聯邦管理與預算局應國會上報評估匯總結果，而聯邦審計總署應周期性評估并向國會匯報各機構信息安全策略和實踐的適度與有效性以及相關要求的執行情況。我國目前正在全面推進國民經濟和社會信息化，加速開展電子政務、電子商務和企業信息化建設，整個社會對信息網絡的依賴與日俱增。信息網絡在極大地促進我國經濟、文化、科技發展和社會進步的同時，也給國家安全和社會穩定帶來了嚴峻挑戰。我們應充分借鑒國外的先進經驗，探索并制定符合中國國情的信息安全戰略、方針和政策，進一步提高信息安全的保障能力和防護水平，逐步探索出一條適應社會主義市場經濟發展的信息安全模式。

五、參考文獻：

(一)Federal Information Security Management Act，USA，2002(二)Critical Infrastructure Protection in the Information Age，Executive Order 13231，USA，2001。

(三)Security of Federal Automated Information Resources，Appendix III to OMB Circular No.A-130，office of Management and Budget,2000。

(四)The Clinton Administration’s Policy on Critical Infrastructure Protection，Presidential Decision Directive 63，1998。

(五)The National Strategy to Secure Cyberspace，USA，2003。

(六)Http://www.dhs.gov

第四篇：Land報告《美國和歐盟信息安全：威脅研究和應對策略》

Land報告《美國和歐盟信息安全：威脅研究和應對策略》

前言

這是2015年由大名鼎鼎的智庫Land出品，全文是主要針對歐盟的信息安全研究，中間有與美國信息安全的機構的對比，我關心的是美國的信息安全機構，所以只看美國的部分，選擇了第二章威脅定義模式和第四章美國的信息安全能力來看，雖然報告是15年的，不能反應最新的組織機構了，但可以看看Land的分析思路，也學習學習別人的分析報告的框架。

（一）執行摘要1.1 美國的信息安全能力美國的網絡能力是全面的映射的挑戰。層層舉措和機構的傾向導致了不同組成部分的困難。為了與歐盟網絡能力進行高級別的比較，本研究重點關注主要機構參與者及其在三個戰略重點領域的作用：網絡安全、網絡犯罪和網絡防范。在網絡安全方面（cyberresilience）：國土安全部（DHS）是正式的領導者。DHS負責確保聯邦民事政府網絡，保護關鍵基礎設施和應對網絡威脅。在網絡犯罪領域（cybercrime）：美國尚未指定任何首席調查機構。相反，許多聯邦執法機構以自己的身份打擊網絡犯罪。這些包括美國特勤局（USSS）、美國移民和海關執法（ICE）網絡犯罪中心，這兩個機構都是DHS內的機構。聯邦調查局（FBI）的網絡分析也涉及到。在網絡防御中（cyberdefence）：國防部（DoD）發揮主導作用。從國防部的多篇出版物中可以看出，美國已經對其能力更加公開，并愿意對其對手進行命名。國防部在隨著時間的推移對網絡威脅的反應越來越多，投資于防御性和進攻性網絡能力，如其在2015年4月發布的網絡防御戰略中所詳述的。評論者指出，威懾（deterrence）是美國網絡防御戰略的一個關鍵特征。

（二）全球網絡安全威脅映射：模式和挑戰

本章主要結論：（1）公開可用于評估威脅的實踐基礎往往不清楚，需要更好的框架和證據基礎加以改善；（2）由于定義、度量標準、方法、重疊，威脅評估比較困難；（3）對6個威脅評價報告分析后顯示，各種威脅方中，國家和罪犯被認為是風險最高的；（4）通過對各種威脅評估，網絡犯罪已職業化、進入門檻很低；（5）惡意軟件幾乎成為所有安全事件的一部分，而且繼續擴散；（6）在可用文獻中，網絡安全威脅是多變的，特別是考慮互聯網規模變化后。網絡空間的安全水平實際比往常所描述的要好。2.1 介紹

為了了解需要什么類型的網絡安全能力，組織（公共和私營部門）進行網絡安全威脅評估。歐盟網絡安全戰略承認并強調了網絡安全領域的威脅的重要性。本章有兩個目標。第一個是闡述與系統比較現有威脅評估相關的挑戰，因為對構成威脅的構成方面的差異以及評估數據收集的基本方法。第二個目標是根據六項選定的威脅評估的審查情況，確定威脅方、威脅工具和威脅，并反思威脅形勢如何演變的。2.2 威脅是什么本研究給出了國際標準化組織（ISO）、美國國家標準和技術研究所（NIST）對威脅的定義，ISO的定義：A potential event.When a threat turns into an actual event, it may cause an unwanted incident.It is unwanted because the incident may harm an organisation or system.指潛在的事件。當威脅轉變成實際發生的事件，會帶來不希望的后果。NIST的定義：Any circumstance or event with the potential to adversely impact organisational operations(including mission, functions, image, or reputation), organisational assets, or individuals through an information system via unauthorised access, destruction, disclosure, modification of information, and/or denial of service.威脅是對組織的運作（包括任務、職能、形象或聲譽）、資產產生不利影響，或導致個人非授權訪問、破壞信息系統，信息泄露、修改，以及拒絕服務。本研究使用ISO給出的威脅的概念。2.3 現有威脅評估的挑戰現有威脅評估面臨的挑戰主要有：（1）網絡安全的定義不統一，導致后續的威脅評估分類和內涵存在變數；（2）一些報告側重于所有潛在的網絡安全威脅，另一些側重于部分的網絡威脅；（3）全球范圍內的報告有公共的、私人的，也有國家的、部門的；（4）現有報告使用的方法論不同，而且缺乏透明性；（5）對威脅評價的樣本有限和重復。以上導致不同結果間很難進行比較，同時影響數據的質量。

2.4 網絡威脅全景網絡威脅研究使用的報告選擇依據是：（1）有授權機構；（2）發布時間是2014年及以后的；（3）地理分布上，既有歐盟范圍內，也有歐盟之外的。最終選擇的報告如表2。2.5 威脅目標威脅目標主要有4種，詳見圖1。目標分類和易受到威脅的內容分別是：

（1）個人--隱私、言論自由、服務的接入和物理安全；

（2）組織--產品和服務、生產手段（包括錢、專利）、信譽和信任；

（3）供應鏈--對居民和用戶信息的責任，設施和系統的控制，組織間的相互依賴；

（4）社會--可用的必要服務，合法秩序和國家安全的保護，互聯網基礎設施，服務的自由和數字安全。2.6 威脅方分類威脅發起者也稱威脅代理，指發起或試圖發起網絡攻擊的個人或組織。為了評估威脅發起者的關注度，研究團隊對6個威脅評價報告進行了關鍵詞搜索，得到了表3的結果。2.6.1 國家

對各種目標有潛在的威脅，從國家到居民個體。國家可能的目標是針對其他國家的地緣政治原因。他們還可以通過例如監視公民，以獲得公民所持有的信息或者交換的私人通信。從荷蘭的非公務員合作委員會的角度來看，對政府和商界的最大威脅來自于國家行為者以及利潤驅動的網絡犯罪分子（見第2.6.2節）.更具體地說，數字間諜活動的威脅，通過國家行為者在案件數量，復雜性和影響力方面都有所增加。

2.6.2受利益驅動的網絡罪犯

主要動機是獲利，因此，他們的主要目標是金融服務和零售業。網絡犯罪已經成為一種服務，罪犯即使沒有任何技能也能參與網絡犯罪，這使得地下市場繁榮。傳統犯罪組織開始轉向網絡犯罪領域，這類犯罪具有迅速、交易性和缺乏結構組織模式特點，如果被組織起來，形勢將更加嚴峻。2.6.3 黑客和極端主義者

他們與其他攻擊方的區別就是，他們的動機明確，期望被注意到，黑客使用數字手段表達他們的意識形態或政治企圖。他們達成目標的主要方法有3個：發起拒絕服務攻擊（DDoS）、泄露或涂改信息。2.7 威脅工具 威脅工具包括：惡意軟件、木馬病毒、勒索、PoS惡意軟件、僵尸網絡和使用等相關的軟件。對6個威脅評價報告有關威脅工具的關鍵詞搜索，得到了表4的結果。2.8 威脅分類威脅類型與信息安全概念的核心原則相關，這主要包括：機密、完整和可用性，詳細如圖2。非授權訪問與保密、完整和可用性相關；破壞與可用性相關；泄露與保密性有關；信息修改與完整有關；拒絕服務與可用性有關。

確定威脅的類型，可建立信息安全、威脅定義和威脅類型間的清晰聯系。

2.8.1 非授權訪問

是一種超級威脅，因為它與其它威脅均相關，因此，防止非授權訪問是防止其它類型威脅的主要手段，如圖3。非授權訪問經常與不同威脅者相連，特別是利益驅動的網絡罪犯和國家。最常見的方式是數據泄露，特別是金融和零售行業，常用方法是網絡釣魚欺騙。

2.8.2 破壞

它影響信息和信息系統，對數據的破壞會導致致命的結果。破壞也可發生在勒索情況下。如果個人或組織拒絕支付贖金，可能會破壞數據。

2.8.3 泄露

公共信息泄露是由占優勢地位的黑客帶來的一種網絡威脅，更常規的信息泄露是利益驅使下罪犯采取的信息披露，特別是向地下論壇出售個人信息或其它關鍵的數據。

2.8.4 信息修改

信息修改在網絡威脅中不起主導作用，因為它很少單獨使用，可能配合其它威脅手段使用，比如：數字中斷、數字蓄意破壞和非授權接入。具體的方式有兩種，一是對應用的二進制編碼進行修改；二是黑客或極端主義者通過損毀網站實現。

2.8.5 分布式拒絕服務攻擊

最常被稱為DDoS攻擊，是一種最直接的威脅類型。近年來，DDoS攻擊的數量呈增長的趨勢。這種威脅對供應鏈的影響至關重要，對其它過程也產生負面的影響，危害是潛在的、嚴重的。

利益驅使下的網絡罪犯使用DDoS敲詐金融服務提供者，要求他們支付贖金才停止攻擊，這種威脅具有全球性特點。DDoS攻擊還可被其它威脅者使用，比如：黑客。2.9 威脅：從威脅方+工具到攻擊目標如圖4，威脅發起者使用網絡工具如何對目標進行威脅。2.10 網絡威脅的嚴重性問題上一節中的映射練習確定了與網絡威脅相關的關鍵威脅演員和工具。然而，它并沒有試圖評估每個行為者，工具或威脅的相對重要性，這對任何政策決定至關重要。它也沒有提出這樣的威脅組件是否隨著時間的推移變得或多或少相關。由于定義，指標和方法的不兼容性，在現有威脅評估的基礎上衡量威脅的嚴重性是不可行的（見第2.3節）。

2.10.1 使用的方法可導致威脅被夸大

有些專家認為，網絡空間的安全性比多數人想像得要好。也就是說，如果與互聯網發展的規模相比，絕對數的比較夸大了威脅。例如：2008-2014年，新網絡漏洞絕對數增長了17.75%，但如果考慮同期互聯網用戶數的增長，新網絡漏洞相對數其實是下降了37.13%。2.10.2 詞語濫用夸大了威脅

不同的研究方法可能導致網絡威脅嚴重性的結論迥異。詞語的使用也至關重要，如'網絡珍珠港'、'網絡戰爭'、'網絡9/11'詞語濫用，可能導致威脅被夸大。

2.10.3 媒體報道可能導致威脅被夸大

某些事件從發生到上媒體，可能嚴重性會被夸大，因此，實際的事故發生時要采取更嚴格的監控。

評估威脅可提供對未來和潛在威脅的預測，更準確的說是威脅發展方向。未來，威脅發展有兩個方向：一是物聯網的攻擊將從概念驗證轉向常規風險；二是數據驅動的移動裝置致使數據泄露。2.11 結論挑戰是網絡安全威脅的定義不同，應有一個清晰、普遍可接受的定義，能全面描述威脅，至少能保證網絡安全中威脅評估應包含的內容和不應包含什么內容，或至少能分清包含哪些組件。易于操作、清晰的定義有助區分威脅和其它相關概念。

網絡安全本身有不同的含義，取決于各利益方的利益，這也使得'威脅'有主觀色彩。因此，對威脅的討論不是固定的、絕對的。

就威脅的內容分類，目標是確定存在的變量，探索如何確保針對特殊目標的威脅，并將這些變量結合起來。由于依賴現有的威脅分析和不同機構的使用存在根本差異，很難對威脅進行全面審議。

為描述網絡威脅，把其劃分為威脅發起者、工具和目標，基于對6個威脅評估報告的審議，包括關鍵詞使用的頻次和特性，得出以下結論：（1）網絡威脅者主要包括國家、利益驅使下的網絡罪犯、黑客和極端主義者；（2）威脅工具包括惡意軟件及木馬病毒、勒索、PoS惡意軟件、僵尸網絡和漏洞等相關的軟件；（3）有5類威脅，分別是非授權訪問、信息破壞、泄露、篡改，以及分布式拒絕服務攻擊。

（三）美國的網絡空間能力本章主要結論。（1）美國與網絡安全相關的文件、舉措和機構非常復雜，潛在削弱了美國對網絡安全的響應能力；（2）國土安全部優先考慮的是建立網絡領域的快速恢復能力，特別是聯邦政府網的安全、保護重要的基礎設施、對網絡威脅的響應；（3）美國沒有一家聯邦機構負責與網絡犯罪的斗爭，而是由各種執法機構完成相關工作；（4）新的網絡防衛戰略的標志是：側重進攻能力，美國對對手命名的意愿；（5）盡管許多議案和修改推動了信息共享的改善，但法律進程因技術、法律和利益各方缺乏共識而困難重重。美國（US）的網絡安全政策歷史悠久。近二十年來，聯邦政府已經出臺了與網絡安全政策領域有關的各種戰略和其他舉措，包括指令。擬議的戰略和政策旨在解決基礎設施、軟件和人交互問題。1998年，美國政府開始努力解決網絡空間相關的風險，特別是關鍵基礎設施，并通過總統決定指令（PDD）63在白宮內建立協調結構。PPD 63規定了維護的雄心勃勃的目標 在5年內保護關鍵基礎設施免受網絡安全威脅的能力。網絡安全戰略在2003年通過《the National Strategy to Secure Cyberspace》進一步發展，該戰略要求制定國家政策和指導原則，特別是圍繞減少脆弱性，安全響應和安全意識培訓。

3.1 網絡安全執行效率的爭論美國總統辦公室撰寫的2009年“網絡空間政策審查”（“審查”）提出了有效性問題。評論的序言指出，美國聯邦政府不能有效應對不斷增長的網絡安全問題。這一觀察的主要原因是責任被分散到多個聯邦部門和機構。這種分隔導致責任重疊、沒有一個部門有足夠的決策能力。;根據評論，為了得出一個整體的觀點，美國政府需要整合各方利益，制訂統一的國家網絡安全規劃。美國總統奧巴馬接受了審查中提出的建議，并選出了網絡安全協調員（Executive Branch Cybersecurity Coordinator），向總統負責。2013年，美國政府問責辦公室（GAO)重新審議并提出，現有的文件無法提供一個完整計劃，涵蓋網絡安全領域的優先事項、責任和進程表，各重要機構缺乏清晰的角色和責任劃分。

2015年, 美國喬治· 梅森大學莫卡特斯中心Eli Dourado & Andrea Castillo的研究明確了總共有62個聯邦機構對網絡安全負相關的責任。許多機構任務相同或類似，運作沒有明確的區別，這對美國的網絡安全是一種挑戰。

這種挑戰也存在于州層面，由于治理模式不同，以及對網絡安全響應的授權責任差異，導致需要各州間的不協調。

本研究側重于核心機構和組織，而不是所有的機構的研究。3.2 美國聯邦政府的結構美國政府有三大部門，分別是立法（legislative,）、行政（executive）和司法（judiciary），政府結構如圖5。本章主要側重于對14個行政部門的研究，主要包括國土安全部(DHS)、司法部(DoJ)、國防部(DoD)、商務部、國務院。在總統行政辦公室內部，于2009年成立的管理和預算辦公室(OMB)以協調員的身份參與網絡安全。這個圖挺有意思的，總統下面的第一排分別是：

1、CIA，美國中央情報局，基本工作是涉外的，總部在蘭利、2、ODNI,美國國家情報辦公室

3、CTIIC，網絡威脅情報整合中心，2015年成立的，屬于ODNI之下的，定位是國家的網絡威脅情報中樞。它的主任是個美女喲，幾個領導都有FBI/NSA/CIA工作經歷。

藍色那排是部委，其中：

1、NCCIC隸屬于DHS2、一個很牛而神秘的組織NSA（國家安全局）隸屬于國防部DoD的，它的頭必須是軍官，負責監聽、情報收集和技術分析，神秘的情報機構。

3、FBI隸屬于司法部DOI，主要處理案件。3.3 打造網絡快速恢復能力建立網絡快速恢復能力是美國在網絡安全方面的主要戰略之一，國土安全部（DHS)是領導機構，它負責聯邦政府網絡的安全、重要基礎設施的保護和對網絡威脅進行響應。其他還包括打擊網絡犯罪、促進合作和創新、人才保障等。美國政府在911事件（2001年）的恐怖襲擊事件之后建立了DHS。DHS的原始和主要任務重點是防止恐怖主義襲擊，減小國家的脆弱性，盡量減少攻擊造成的損害和增加美國的國家復原力。最初，網絡安全是一個“次要關注和責任”。從官方來說，DHS是領導機構，在美國的網絡安全方面發揮著關鍵作用。非官方的，許多人仍然將像國家安全局NSA和US Cybercommand這樣的實體作為真正管理機構和網絡安全領導機構。2010年，DHS和國防部DoD簽署了一份協議備忘錄，讓DHS負責網絡安全美國，NSA提供支持和專業知識。DHS在網絡安全領域有廣泛的部門和部門。根據Jane Holl Lute的說法，DHS負責以下方面：維護民用的聯邦政府網絡安全保護關鍵基礎設施應對網絡威脅打擊網絡犯罪建設伙伴關系促進創新促進和加強網絡力量3.3.1 民用的聯邦政府網的安全

DHS負責民用聯邦政府網('.com' 和 '.gov' 域名)系統的安全運行，同時直接支持相關民事部門和機構的能力開發，改善網絡安全。2015年，引入了聯邦信息安全法（FISMA）改革法案，目標是使DHS在保護政府網承擔的角色正式化。由于DHS缺乏實施能力，無法保證聯邦機構和部門實現必須的安全措施和加強網絡快速恢復能力。

OMB負責每年向國會提交FISMA報告，作為網絡安全的協調人，負責協調與三個責任（聯邦政府網絡的安全、重要基礎設施的保護、對網絡威脅的響應）相關的所有政策問題。白宮和相關執行機構出臺了幾百條建議，強調網絡挑戰，解決存在的缺陷，完成有效的安全項目和隱私實踐，應對欺詐風險、濫用和破壞。2015年2月，GAO在一份報告中寫道：在白宮和行政部門機構執行我們和其他監督機構建議的有感網絡挑戰的數百項建議之前，廣泛的聯邦資產和業務可能仍然面臨欺詐、濫用和中斷的風險，美國最重要的聯邦和私營部門基礎設施系統將繼續面臨來自對手的更大風險。

3.3.2 重要基礎設施的保護

國土安全第7號總統令，將協調所有關鍵基礎設施保護的國家舉措的責任指派給DHS，使保護關鍵基礎設施成為美國網絡安全的重點。2013年，總統簽署了法律執行令（EO 13636），改善關鍵基礎設施的網絡安全，同時還發布了總統政策令（PPD-21），關注關鍵基礎設施安全和快速恢復內容，目標是增強美國關鍵基礎設施的總體快速恢復能力。

NIST負責開發網絡安全框架，幫助關鍵基礎設施擁有者和提供者降低網絡風險、加強網絡管理。此外，還涉及信息共享、風險評價和管理，包括網絡威脅分類信息在關鍵基礎設施企業和安全業務提供商間的共享。DHS推出了關鍵基礎設施社區項目，為各利益方采用框架提供進一步的指導，目的是支持行業加強快速恢復能力，增加使用框架的意識，鼓勵各組織將管理網絡安全納入企業風險管理之中。

3.3.3 對網絡威脅的響應

對網絡威脅的響應也屬于DHS的職責范圍，DHS設有網絡安全和通信辦公室(CS&C)，主要負責加強國家網絡和通信基礎設施的安全性、快速恢復能力和可靠性。國家網絡安全和通信綜合中心（NCCIC)輔助CS&C完成不同政府機構間的協調和合作。NCCIC被視為政府民用網絡和信息共享的神經中樞，其組織架構如圖6。除日常運營外，NCCIC還負責與13個部門和16個私有機構的聯絡，進行信息的共享。The Office of the Inspector General(OIG)指出DHS是如何改善聯邦各中心間共享協調與網絡安全相關活動的信息，尤其是在NCCIC和聯邦中心都沒有必要的技術和資源，而導致網絡安全面臨風險的情況。OIG還指出，聯邦中心尚未建立事件報告制度標準。

3.3.4 EINSTEIN--網絡快速恢復工具

DHS提升快速恢復能力的工具之一是EINSTEIN 系統，這一系統是對聯邦民用網入侵的早期預警、探查和防護系統，目標是近乎實時地識別和自動摧毀惡意活動。EINSTEIN是2004年開發的，收集和分析計算機網絡的安全信息，現在已發展到第三版，根據計劃，它將于2018年完成在政府部門和機構的部署，如今將提前至2016年完成。3.4 減少網絡犯罪

在打擊網絡犯罪領域，美國沒有專門的牽頭調查機構，是由各聯邦執法機構的積極參與，多數屬于DHS，因為它成立時組建了22個新的部門。這些執法機構包括：美國保密服務機構（USSS)、美國移民和海關執行機構（ICE)和網絡犯罪中心、聯邦調查局的網絡部門。

3.4.1 美國保密服務機構---大圖中屬于DHS的第三個

美國保密服務機構（USSS)是美國執法機構之一，是依據30年前《防止計算機欺詐和濫用法》建立的，國會授權USSS調查與訪問計算機和欺詐使用相關的犯罪違法行為。為了適應網絡犯罪的跨國特性，USSS與國內、國際利益攸關方保持合作。USSS最有可能率先發現公司數據泄密，但它在網絡犯罪領域的執行力往往被忽略。

3.4.2 移民和海關執法機構--網絡犯罪中心---大圖中屬于DHS的第二個的下面

移民和海關執法機構(ICE)Cyber Crimes Center--網絡犯罪中心，又稱C3，提供計算機和網絡技術服務，以支撐國土安全調查局(HSI)的工作，包括調查地下在線市場、非法藥物銷售、武器和其它走私、兒童色情和知識產權竊取等。

3.4.3 聯邦調查局

除了USSS 和 ICE C3，聯邦調查局（FBI）在網絡犯罪斗爭中發揮主要作用。在計算機侵入保護系統相關的違反計算計欺詐和濫用法方面，FBI和USSS在司法調查上實現共享。FBI在網絡犯罪方面有雙重角色，一是防止國家安全受威脅的國家情報機構；二是聯邦法律賦予的主要執法機構。2002年，FBI建立了專門的網絡分支機構，完成國家安全和網絡調查任務。FBI犯罪、網絡響應和服務分支執行助理主任，負責全球犯罪和網絡調查，國際運作、重要的事故響應和受害援助。FBI還負責互聯網投訴中心（Internet Complaint Center(IC3)），為網絡犯罪受害者提供方便和易于使用的報告機制。

3.4.4 司法部--計算機犯罪和知識產權部

除了FBI，司法部設有計算機犯罪和知識產權部（CCIPS)，它主要與其它政府機構、私人部門、學術機構和外國合作伙伴合作，防止、調查和起訴計算機犯罪，CCIPS還負責知識產權犯罪。

3.4.5 國家網絡調查聯合任務組

國家網絡調查聯合任務組（NCIJTF)受FBI領導，由總統指令擔任協調網絡威力調查的國家協調中心。來自美國情報社（IC）成員機構的293名代表、聯邦執法機構在工作組中，并協調確定，減輕和破壞網絡安全威脅。Quinn表示，19個美國機構和Five eyes（FVEY）合作伙伴能夠在NCIJTF以前所未有的水平協調網絡威力調查。除了FBI作為其領導者，NCIJTF還包含國家安全局，DHS，CIA，USSS和美國網絡司令部。在2013年和2014年期間，FVEY295的合作伙伴通過聯絡員加入了現有的官員組。通過建立這些伙伴關系，NCIJTF正在努力成為同步和最大化網絡對手調查的國際領導者。3.5 加強網絡防衛國防部（DoD)處在美國改善網絡防衛的第一線，它的主要任務有三個：（1）保衛DoD網絡、系統和信息；（2）保衛美國國土和國家利益不受網絡攻擊；（3）為軍隊的運行和應急計劃提供支持。美國國防部長指揮美國戰略司令司令部于2009年6月建立了統一指揮部，美國網絡指揮部（USCYBERCOM）（大圖中隸屬于DOD的第二個），2010年10月實現了全面的業務能力.2011年，DoD首次發布了網絡空間的國防戰略。作為國家防務授權法(NDAA)的一部分，2014年，國會要求DoD任命首席網絡顧問官（Principal Cyber Advisor），對軍隊的網絡空間活動、網絡力量進行審議，對網絡的攻守行為和任務進行審議；匯聚網絡專家和關鍵組織，建立跨部門的團隊，確保對DoD內部相關的網絡問題得到有效治理。

2015年，DoD公布了新的網絡安全戰略，主要驅動來自：（1）網絡對美國利益的損害日益嚴重和復雜；（2）總統要求DoD在美國受到網絡攻擊時能夠組織和規劃有效反擊；（3）為美國軍隊建立的網絡特種部隊(CMF)提供清晰的指南。網絡特種部隊要保護美國應對戰略攻擊、運行和保護DoD的信息網、提供戰斗命令支持。3.6 信息共享信息共享是美國網絡安全政策最明顯的進步，是提高網絡安全的重要一步。聯邦政府采取了各種辦法促進信息共享，特別是私人與公共部門間的信息共享。建立了信息共享分析中心（ISAC），金融、能源和航空部門都參與其中。

信息共享也面臨挑戰，包括：程序上的、技術上的和法律上的，以及政府如何發揮在信息共享機制中的作用。

3.6.1 立法和計劃建議

到2015年，美國出臺了5項與網絡安全和信息共享的法案，其中包括：H.R.1560, 保護網絡法案(PCNA)；H.R.1731, 國家網絡安全推進法 2015(NCPAA)；S.754, 網絡安全信息共享法案 2015(CISA)等。

·網絡安全信息共享法

網絡安全信息共享法（CISA）是一項立法提案，主要目標是通過增加網絡安全威脅方面的信息共享，改善美國的網絡安全。CISA最特別之處在于，它要求國家情報局長、國家安全總長、國防部長和大法官制定和頒布網絡威脅的加密和解密指標程序，并在聯邦政府和主要機構（私人部門、聯邦、州、部落和當地政府）間實時共享。但這一法案遭遇了消費者和隱私保護團體的反對。

·13691號行政令

2015年，總統簽署了13691號行政令（EO），促進私人部門網絡安全信息共享，包括鼓勵私有公共信息的共享和企業間協同，加強隱私和居民自由保護，比如：建立信息安全和分析組織（ISAO）、推動開發自愿統一的ISAO標準，使ISAO與 DHS部門簽署合作協議。從互惠的角度，該行政令還簡化了私人組織接入涉密網絡安全威脅的信息。

·網絡威脅情報集成中心

2015年，總統宣布建立網絡威脅情報集成中心（CTIIC)，解決了沒有一個確定機構負責網絡威脅總體協調的問題。

CTIIC確保現有網絡中心和其它政府機構間信息可實現快速共享，還可為運營商和政策制定者提供及時、最新的網絡威脅和威脅者的信息。2016年的情報授權法希望擴大CTIIC的權力和責任，賦予CTIIC情報任務管理功能。

3.6.3 圍繞信息共享的爭論

圍繞信息共享的爭論主要有：（1）應共享信息的種類，哪些障礙使網絡安全更加有效的難度增加？（2）信息共享的流程：共享信息的加工如何實現信息的結構化，以確保效率和有效性？（3）共享信息的使用，應有什么限制？（4）標準和實踐，改善和確保信息共享有效，保護信息系統、網絡和內容；（5）隱私和公民自由權在各類網絡安全共享信息中的風險是什么？如何保護這些權力？（6）責任保護。3.7 美國網絡能力概述2.8 結論

美國網絡安全歷史悠久，與網絡安全相關的聯邦機構有62個。大量的事實證明，網絡安全政策太多，導致重疊而引發挑戰，包括DHS與FBI的重疊，雖然有所改進但仍需努力。由于承擔的角度和責任不明確，使得在國家層面的協調面臨挑戰，解決這一問題需要各方的共同努力。

網絡安全的官方領導者是DHS，但NSA和DoD也是非官方認可的領導者。DHS缺乏實施能力，EINSTEIN 應在改善網絡快速恢復方面發揮應有的作用。

在減少網絡犯罪領域，美國沒有領導機構，但一系列相關的執法機構發揮著重要作用，主要有：FBI、USSS和ICE C3。網絡快速恢復方面也面臨重疊的挑戰。網絡防衛戰略方面，政策重疊度相對較小，DoD在網絡防衛舉措上是主導，2015年出臺了更新戰略，攻防能力更開放，防衛能力提升。

與網絡安全相關的信息共享依然復雜。NCCIC實現了5個聯邦網絡安全中心的信息共享，覆蓋網絡快速恢復、打擊網絡犯罪和網絡防衛三個領域，但圍繞信息共享的爭論仍在繼續。CTIIC目標是建立綜合網絡威脅評價，在政策重疊局面下，引入新的責任人是一個值得注意的發展措施。

第五篇：智能電網信息安全研究

智能電網信息安全研究

摘要：智能電網是一種高度自動化、數字化、信息化、互動化的電網。作為物聯網時代最重要的應用之一，智能電網將給人們的工作和生活方式帶來極大的變革，但是智能電網的開放性和包容性也決定了它不可避免地存在信息安全隱患。本文首先對傳統電網信息安全進行分析，給出了防范方案，接著又討論了智能電網可能面臨的信息安全問題，它包括物理安全、網絡安全、數據安全及備份恢復等方面，并提出了解決信息安全應注意的四個原則，最后從分級分域、邊界安全、網絡環境安全等幾方面提出了防護方案。

關鍵詞：智能電網 信息安全 防護方案 1 現有電網信息安全分析與防范

電力系統信息安全是電力系統安全運行和對社會可靠供電的保障，是一項涉及電網調度自動化、繼電保護及安全裝置、廠、站自動化、配電網自動化、電力負荷控制、電力市場交易、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。電力信息化的發展使電力生產、經營很多環節完全依賴電力信息網的正常運行與否，如電網調度自動化系統對無人值班變電所的運行影響，用電營銷信息系統對電費回收的影響等。1.1 電力信息網安全現狀分析

結合電力生產特點，從電力信息系統和電力運行實時控制系統兩個方面，分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系，將電力信息網絡和電力運行實時控制網絡進行隔離，網絡間設置了防火墻，購買了網絡防病毒軟件，有了數據備份設備。但電力信息網絡的安全是不平衡的，很多單位沒有網絡防火墻，沒有數據備份的觀念，更沒有對網絡安全做統一、長遠的規劃，網絡中有許多的安全隱患。1.2 電力信息網安全風險分析

(1)計算機及信息網絡安全意識有待提高 由于近十幾年計算機信息技術高速發展，計算機信息安全策略和技術也取得了非常大的進展。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大，對新出現的信息安全問題認識不足。

(2)急需建立同電力行業特點相適應的計算機信息安全體系近幾年來，計算機在整個電力系統的生產、經營、管理等方面應用越來越多。但是，在計算機安全策略、安全技術、和安全措施投入較少。所以，為保證電力系統安全、穩定、高效運行，應建立一套結合電力計算機應用特點的計算機信息安全體系。

(3)缺乏統一的信息安全管理規范

電力系統雖然對計算機安全一直非常重視，但由于各種原因，目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。

(4)廣域網面臨巨大的外部安全攻擊

電力系統較早的計算機系統一般都是內部的局域網，并沒有同外界連接。所以，早期的計算機安全只是防止意外破壞或者內部人員的安全控制就可以了，但現在就必須要面對國際互聯網上各種安全攻擊，如網絡病毒和電腦“黑客”等。

(5)數據庫數據和文件的明文存儲

電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。這些以明文形式存儲的信息存在泄漏的可能，因為拿到存儲介質的人可以讀出這些信息；黑客可以繞過操作系統、數據庫管理系統的控制獲取這些信息；系統后門使軟硬件系統制造商很容易得到這些信息。

(6)信息的明文傳輸

現代應用系統一般采用C/S（客戶/服務器）或B/S（瀏覽器/服務器）結構，都在網絡上運行，所處理的信息也必須在網絡主機間頻繁傳輸。在電力行業的計算機網絡系統中，信息傳輸基本上是明文方式。偶有采用SSL（安全套接字層）等加密傳輸的，但由于外國安全系統出口的限制，所能夠用到的SSL是低安全級別的。這些明文或只受到低安全保護的信息在網絡上傳輸，不具有信息安全所要求的保密、完整和發送方的不可抵賴性要求。

(7)弱身份認證

電力行業應用系統基本上基于商用軟硬件系統設計和開發，用戶身份認證基本上采用基于口令的鑒別模式，而這種模式很容易被攻破。有的應用系統還使用自己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高，信息敏感性不斷增強的今天不能再用了。

(8)沒有完善的數據備份措施

很多單位只是選擇一臺工作站備份一下數據就了事，沒有完善的數據備份設備，沒有數據備份策略，沒有數據備份的管理制度，沒有對數據備份的介質妥善保管。

1.3 電力信息網安全防護方案

(1)加強電力信息網安全教育

安全意識和相關技能的教育是企業安全管理中重要的內容，其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效，高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。當然，對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并容納到整個企業文化體系中才是最根本的解決辦法。

(2)構建電力信息網安全防護框架

根據電力企業的特點，信息安全按其業務性質一般可分為四種：一種為電網運行實時控制系統，第二種為電力營銷系統，電量計費系統，負荷管理系統，第三種為支持企業經營、管理、運營的管理信息系統，第四種為不直接參與電力企業過程控制、生產管理的各類經營、開發、采購、銷售等多種經營公司。針對電力信息網業務的這種的層次結構，從電力信息網安全需求上進行分析，提出不同層次與安全強度的網絡信息安全防護框架即分層、分區的安全防護方案。

第一是分層管理。根據電力信息網共分為四級網的方式，每一級為一層，層間使用網絡防火墻進行網絡隔離。

第二是分區管理。根據電力企業信息安全的特點，分析各相關業務系統的重要程度和數據流程、目前狀況和安全要求，將電力企業信息系統分為四個安全區：實時控制區、非控制生產區、生產管理區和管理信息區。區間使用網絡物理隔離設備進行網絡隔離，對實時控制區等關鍵業務實施重點防護，并采用不同強度的安全隔離設備使各安全區中的業務系統得到有效保護。1.4 加強電力信息網安全防護技術措施

(1)網絡防火墻

防火墻是企業局域網到外網的唯一出口，這里的外網包括到不同層次的電力網、其他信息網如政府網和銀行網絡、internet，所有的訪問都將通過防火墻進行，不允許任何繞過防火墻的連接。DMZ?；饏^放置了企業對外提供各項服務的服務器，即能夠保證提供正常的服務，又能夠有效地保護服務器不受攻擊。要正確設置防火墻的訪問策略，遵循“缺省全部關閉，按需求開通的原則”，拒絕除明確許可外的任何服務，也即是拒絕一切未予準許的服務。

(2)物理隔離裝置

主要用于電力信息網的不同區之間的隔離。物理隔離裝置實際上是專用的防火墻，由于其不公開性，使得更難被黑客攻擊。

(3)入侵檢測系統

入侵檢測系統是專門針對黑客攻擊行為而研制的網絡安全產品。入侵檢測系統采用攻擊防衛技術，具有高可靠性、高識別率、規則更新迅速等特點。系統具有強大的功能、方便友好的管理機制，可廣泛應用于電力行業各單位。所選擇的入侵檢測系統能夠有效地防止各種類型的攻擊，中心數據庫應放置在DMZ區，通過在網絡中不同的位置放置比如內網、DMZ區網絡引擎，可與中心數據庫進行通訊，獲得安全策略，存儲警報信息，并針對入侵啟動相應的動作。管理員可在網絡中的多個位置訪問網絡引擎，對入侵檢測系統進行監控和管理。

(4)網絡隱患掃描系統

網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP／IP協議的設備，可以從網絡中不同的位置對網絡設備進行掃描。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析，可以方便直觀地對用戶進行安全性能評估和檢查。

(5)網絡防病毒

為保護整個電力信息網絡免受病毒侵害，保證網絡系統中信息的可用性，應構建從主機到服務器的完善的防病毒體系。網絡防毒系統可以采用C/S模式，在網絡防毒服務器中安裝殺毒軟件服務器端程序，以服務器作為網絡的核心，通過派發的形式對整個網絡部署查、殺毒，服務器通過Internet利用LiveUpdate（在線升級）功能，從免疫中心實時獲取最新的病毒碼信息，及時更新病毒代碼庫。

(6)數據加密及傳輸安全

對與文件安全，通過文件加密、信息摘要和訪問控制等安全措施，來實現文件存儲和傳輸的保密和完整性要求，并實現對文件訪問的控制。對通信安全，采用數據加密、信息摘要和數字簽名等安全措施對通信過程中的信息進行保護，實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全，通過VPN技術，提高時的信息（如電子公文，MAIL等等）在傳輸過程中的保密性和安全性。

(7)數據備份

對于企業來說，最珍貴的不是計算機、服務器、交換機和路由器等硬件設備，而是存儲在存儲介質中的數據信息。因此對于一個信息管理系統來說，數據備份和容錯方案是必不可少的。因此必須建立集中和分散相結合的數據備份設施以及切合實際的數據備份策略。

(8)可靠安全審計

通過記錄審計信息來為信息安全問題的分析和處理提供線索。除了使用軟的密碼外，還可以使用象USB KEY等硬件的密碼認證，更可以采用二者相結合的方式。

(9)數據庫安全

通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性，并實現數據庫數據的訪問安全。2 智能電網發展帶來的信息安全風險

智能電網的安全問題越來越得到關注，雖然歐美已經提出了一些安全策略，但還沒有形成統一的智能電網安全標準規范體系。缺乏一套完整的安全標準規范體系，智能電網今后的安全性將無法得到保障這也是智能電網將會面臨的一個非常嚴峻的問題。智能電網的建設在為電力企業以及用戶帶來效益和實惠的同時,也帶來新的安全風險。,2.1物理安全

智能電網的物理方面的安全是指智能電網系統運營所必需的各種硬件設備的安全。主要包括防止硬件設備被物理非法進入、防止未經過授權的物理訪問和機房建設嚴格遵循國家標準等方面。這些硬件設備主要包括智能流量計、測量儀器等各類型傳感器，通信系統中的各種網絡設備、計算機以及存儲數據的各種存儲介質。物理安全的防護目標是防止有人通過破壞業務系統的外部物理特性以達到使系統停止服務的目的，或防止有人通過物理接觸方式對系統進行入侵。要做到在信息安全事件發生前和發生后能夠執行對設備物理接觸行為的審核和追查。2.2 網絡安全

網絡方面的安全主要指智能電網應具有較高的可靠性，該通信網絡必須具備比較完善的二次系統安全防護方案。隨著智能電網規模的擴大互聯大電網的形成，電力系統結構的復雜性將顯著增加電網的安全穩定性與脆弱性問題將會越顯突出。同時復雜度的增加，將導致接口數量激增、電力子系統之間的稠合度更高，因此很難在系統內部進行安全域的劃分這使得安全防護變得尤為復雜?？赡艹霈F的風險隱患如下：

（1）網絡環境更加復雜，攻擊手段智能化

智能電網的建設，信息集成度更高，網絡環境更加復雜，病毒、黑客的攻擊規模與頻繁度會越來越高此外隨著很多新的信息通信技術的采用，比如WIFI、WCDMA、3G等，它們在為智能電網的生產、管理、運行帶來支撐的同時，也會將新的信息安全風險引人到智能電網的各個環節為了提高數據的傳輸效率，智能電網可能會使用公共互聯網來傳輸重要數據，這也將會對智能電網的安全穩定運行造成潛在的威脅，甚至可能會造成電網運行的重大事故。不安全的智能網絡技術將會給黑客提供他們所附屬的不安全網絡的快速通道。這都將會給電力系統帶來嚴峻考驗。

（2）用戶的安全威脅

未來用戶和電網之間將會出現更加廣泛的聯系未來用戶和電網之間將會出現更加廣泛的聯系，實現信息和電能的雙向互動?；贏MI系統，用戶側的智能設備（比如智能電器、插拔式電動車等）都將直接連到電力系統。這不可避免地給用戶帶來安全隱患。一方面用戶與電力公司之間的信息交互涉及到公共互聯網用戶的隱私將會受到威脅；另一方面家用的智能設備充分暴露在電力系統中，易受到黑客的攻擊。因此智能電網中端到端的安全就顯得非常關鍵。

（3）智能終端的安全漏洞

隨著大量智能可編程設備的接入，已實現對電網運行狀態實時監控進行故障定位以及故障修復等，從而提高電網系統的效率和可靠性。這些智能設備一般都可以支持遠程訪問, 比如遠程斷開連接、軟件更新升級等。這將會帶來額外的安全風險，利用某些軟件漏，黑客可以人侵這些智能終端，操縱和關閉某些功能，, 暴露用戶的使用記錄,甚至可以通過人侵單點來控制局部電力系統。因此這些智能終端可能會成為智能電網內新的攻擊點。面對更加復雜的接人環境、靈活多樣 的接入方式，數量龐大的智能接人終端對信息的安全防護提出新的要求。2.3 數據安全及備份恢復

在智能電網中，數據安全的含義有兩點：其一，數據本身的安全。即采用密碼技術對數據進行保護，如數據加密、數據完整性保護、雙向強身份認證等。其二，數據防護的安全，即采用信息存儲手段對數據進行主動防護，如通過磁盤陣列、數據備份、異地容災以及云存儲等手段保證數據的安全。在智能電網中，必須確保雙向傳送的數據安全，即把數據的正確性、保密性、防復制、防篡改、防抵賴作為信息安全的關鍵指標。對整個數據安全認證證書認證系統數據庫和密鑰管理中心數據庫進行完全備份。且對數據庫的備份和恢復規定只能由系統管理員完成。對于經常變化的動態數據應每天做備份，備份為每日覆蓋。對于不常變化的靜態或準靜態數據，可每星期進行一次備份。具體備份時間根據證書認證系統機構的政策來決定。同時對數據庫中存儲的密鑰信息、用戶的加密密鑰信息、關鍵配置信息、用戶證書的相關信息等關鍵、敏感信息采用高強度的加密方式進行存儲。解決智能電網信息安全應注意的四個原則 3.1系統分級原則

智能電網的信息系統，將以實現等級保護為基本出發點進行安全防護體系建設，依據系統定級情況進行安全域劃分，并參照國家信息安全管理部門、國家電網公司和電監會的安全要求進行防護措施設計。信息系統包括電力二次系統和管理信息系統兩個大類。電力二次系統包括能量管理系統、變電站自動化系統等；管理信息系統包括企業門戶, 財務、營銷、物資管理和人力資源、安全生產等系統。根據系統的重要性可分為2級、3級、4級系統，重要性依次提升。所有2級系統可以歸為一個安全域，3級以上系統需要單獨成域。對智能電網信息系統分級，將提高電網抗擊風險的能力，有效地維護智能電網安全可靠的運行。3.2防護分域原則

劃分安全域是構建智能電網信息安全網絡的基礎，具體可劃分為網絡核心區域、核心服務器區域、桌面辦公區域、分支機構區域、互聯機構區域、測試服務器區域和安全設備區域。網絡核心區域是電網信息安全網絡的心臟，它負責全網的路由交換以及和不同區域的邊界隔離。這個區域一般包括核心路由設備、核心交換設備、核心防火墻以及主動防攻擊和流量控制設備等。3.3積極管控原則

信息安全網絡的建設并沒有隨著分區防御的建設而結束，智能電網的建設對整體信息網絡的監控和控制以及對安全網絡提出了更高的要求，這就是智能電網信息系統要求的積極管控原則。智能電網安全設備區域包括網絡管控的必要工具，具體為部署在安全設備區域中的網管平臺、日志分析系統、攻擊分析報警系統、安全審計系統等一系列系統。3.4充分災備原則

在近期自然災害和黑客攻擊頻發的環境下，充分災備原則已經逐漸被電網各級管理人員所重視。隨著國家電網公司智能電網的建設和信息化工作的大力推進，信息系統的安全在公司生產、經營和管理工作中的作用日益凸顯，電網信息系統及其數據信息已成為公司的重要資源，公司各單位對建設容災中心的需求也日益強烈。智能電網的安全解決方案

根據威脅分析、安全策略中提出的基本要求和安全目標，在整體保障框架的指導下，我們就具體的安全技術措施和安全管理措施設計安全解決方案，以滿足相應等級的安全保護需求。4.1分級分域

安全域足指同一環境內有相同的安全保護需求、相互信任、并具有相同的控制策略的邏輯區域。我們對信息內外網以設置邏輯強隔離設備的物理方式進行安全隔離，并對信息內外網分別進行安全域劃分?！缎畔踩燃壉Ｗo管理辦法》及國家信息安全監管部門對三級系統安全保障強度的要求足要高于二級系統。因此，在對信息系統的安全域進行劃分時，等級保護要求較高的各二級系統劃分為獨立的安全域，以實現各二級系統間，二級系統與其它系統間的獨立安全防護，同吋也為集集團公司及外部監管機構對于二級系統的安全監管提供便利。報據“二級系統統一成域，三級系統獨立分域”分域方法劃分安全域后，信息內網安全域分為：

(1)營銷管理系統域。基于營銷管現系統的重要性及目前各單位的安全建設現狀,按等級保護二級要求進行安全防護建設。

(2)ERP系統域。由于“SG186”規劃中財務管押系統將最終以模塊的形式整合于ERP系統中,因此ERP系統按財務管理系統所屬的等級保護二級進行安全建設。

(3)一級系統域。所有一級系統統一部署于—級系統域中進行安全防護建設。(4)內網桌面終端域。4.2 邊界安全防護

邊界安全防護關注如何對進出該邊界的數據流進行有效的檢測和控制。有效的檢測機制包括基于網絡的入侵檢測(IDS)，在網絡邊界處對惡意代碼進行檢測和清除，以及對進出網絡的信息內容進行過濾。由此實現對應用層HTTP、FTP、TELNET、SMTP、P0P3等協辦議命令級的控制以及邊界的內訪問過濾，并限制網絡最大流量數及網絡連接數。有效的控制措施包括應能根據會話狀態信息為數據流提供明確的允許、據絕訪問的能力，控制力度為端口級，同時按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制力度為單個用戶。網絡訪問控制、入侵防護以及內容過濾可以使用防火墻、IPS、邊界安全網關等來實現上述功能要求。進行邊界安全防護的首要任務是明確安全邊界，各個區域的訪問控制要通過防火墻來實現。4.3網絡環境安全防護

網絡環境安全防護對象包括公司全網網絡和路由器、防火墻、交換機等基礎網絡和安全設備。對于國家電網公司各單位網絡互聯所涉及的網絡安全問題，將從網絡設備安全防護的角度進行考慮，涉及到二級與三系統間共用的網絡設備、安全設備按二級要求就高防護。網絡設備安全色括在公司內部支持基礎網絡和業務系統運行的網關設備、交換設備、安全設備等的安全防護，對于國家電網公司為各域均提供網絡支撐服務的設備，按滿足等級保護二級基本要求進行安全防護。

(1)結構安全

要保證主要網絡設備的業務處理能力具備冗余空間,滿足業務高峰期需要,保證接入網絡和核心網絡的帶寬滿足業務高峰期需要,提供關鍵網絡設備、通信線路和數據處理系統的硬件冗余,因此,公司的核心設備以及主要鏈路均要達到雙機熱備用和鏈路冗余,主要鏈路需設置雙鏈路。例如,內網的核心交換機采用雙核(CISCO 6509),內網的雙核交換機采用雙線路鏈接營銷系統域雙核交換,內網的雙核心采用雙鏈路與服務器區匯聚交換設備相連。同時,各個設備的性能也要滿足業務高峰期的要求。

(2)安全接入控制

基于網絡設備的準入控制目前主要依賴如802.1X等控制協議,因此,可依托聯軟認證系統在全網實現802.1X控制。能夠控制到非注冊主機無法正常使用網絡,同時利用北信源桌面管理系統實現移動存儲管理和非法外聯等管理。

(3)設備安全管理

《國家電網公司公SG186工程信息系統安全等級保護驗收標準(試行)》要求：網絡中所有網絡設備需要開啟SSH。對管理的數據流進行加密；其他安全設備如人融信網絡衛士防火墻管理控制臺默認使用SSL加密方式傳輸數據;啟明星辰人清入侵防御系統管珅.默認采用加密方式傳輸。DPTECHIPS、綠盟漏洞掃描、漢景上網行為管理等均利用https方式進行登陸管理。

對登錄網絡設備的用戶進行身份鑒別,對網絡設備的管理員登錄地址行限制。

口令必須具有一定強度、長度和復雜度并定期更換。長度不得小于8位字符串,要求是字母和數字或特殊字符的混合,用戶名和口令禁止相同,所有的設備口令均符合要求設定較為復雜的Community控制字段,不使用Public、Private等默認字段。

口令要及時更新,要建立定期修改制度。其中系統管理員口令修改間隔不得超過3個月,并且不得重復使用前3次以內的口令。用戶登錄事件要有記錄和審計,同時限制同一用戶連續失敗登錄次數,一般不超過3次。

(4)安全弱點掃描

網絡中部署綠盟極光漏洞掃描系統,定期對系統、網絡設備、應用及數據庫進行掃描,及時發現系統可能存在的漏洞,防止攻擊者利用。

(5)安全事件審計

設定網絡設備日志輸出至專門的內網審計設備。(6)配置文件備份

重要網絡設備及安全設備的配置均分兩份存放于網絡管理人員A、B角色個人主機上,保證在問題發生時能夠快速恢復。

(7)網絡業務信息流安全防護

信息流防護主要通過IPSEC等鏈路加密方式實現,防止網間通訊存在的數據竊取修改等問題,具體可使用防火墻中VPN功能實現。針對省市縱向網絡的業務信息流,采用基于MPLS VPN的方式進行業務數據流劃分。4.4主機與系統

應用服務器承載著公司的應用系統及業務數據,對應用服務器的安全應當從操作系統安全和數據庫安全兩個層面進行設計:(1)操作系統安全

操作系統足承載業務應用、數據庫應用的基礎載體,足業務應用安全的主要防線,一旦操作系統的安全性出現問題,將對業務系統及業務數據安全造成嚴重威脅,關于操作系統安全,主要通過如下安全措施完成：

操作系統基礎防護：服務器采用一定的安全措施,主要包括補丁管理、網絡防病毒系統部署、定期漏洞掃描和安全加固等。針對系統的安全加固,制定了相關要求,并針對Windows、Unix(AIX、Solaris、HP-UX、linux)等系統制定安全加固手冊；

身份鑒別：通過口令策略配置加強其強壯性,并且口令必須具有一定強度、長度和復雜度并定期更換,長度不得小于8位字符串,且要求是字母和數字或特殊字符的混合,禁止用戶名和口令相同。個人計算機必須設置開機口令和操作系統管理員口令,并開啟屏幕保護中的密碼保護功能；

訪問控制：啟用訪問控制功能,依據安全策略控制用戶對資源的訪問；安全審計：開啟服務器日志審計功能,將系統的日志統一發送到網康內網審計設備上。Windows服務器Event Log無法直接進行syslog輸出,需借助安全管理平臺的Windows桌面日志Agent實現；

入侵防范：在服務器上僅安裝需要的應用程序,關閉業務應用正常運行所不需要的服務和端口,在確保系統穩定運行的基礎上,保持操作系統補丁及時得到更新；

惡意代碼防范：在內外網的所有系統中均安裝防病毒軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫,在信息內網通過手動方式導入并進行分發。資源控制通過安全管押平臺部署,可實現可主機的資源監控,了解CPU、硬盤、內存、網絡等資源的使用狀況,服務水平降低到預定的最小值應可進行報警并采取措施。系統備份制定系統備份計劃,實現定期對操作系統及運行于操作系統之上的業務應用系統、數據庫系統程序進行備份;定期或在操作系統環境、數據庫、應用系統發生變更時進行備份恢復測試。

(2)數據庫安全包括：

身份鑒別：使用用戶名+靜態口令認證方式的數據庫系統。對不同操作用戶,設置不同權限,以數據庫不同用戶進行操作。

訪問控制：設置系統安全策略,分配權限嚴格控制用戶資源訪問權限。安全審計：安全審計依靠網康內網審計系統實現。網康上網行為管理是一款專業的硬件上網行為管理設備,可以提供專業的用戶管理、應用控制、網頁過濾、內容審計、流量管理和行為分析等功能。依靠這一設備的功能,可以有效增

強網絡行為的管理。入侵防范：數據庫系統要關閉不需要的服務,并保持數據庫系統補r及時得到更新。

（3）桌面管理

企業級用戶的員工每天在使用個人PC、筆記本電腦等終端設備進行辦公。由于終端設備流動性大、位置分散、數量眾多、難于管理,因此除了需要安裝防病毒軟件外,還需要進行終端級的防火墻控制、入侵檢測、補丁管理,以更好地保障桌面終端的安全。有效地保障個人辦公桌面終端的安全，也在很大程度上也降低了整個企業信息系統所面臨的安全風險。公司桌面終端分為內網桌面終端與外網桌面終端,內網桌面終端用于信息內網的業務操作及信息處理,外網桌面終端用于外網信息訪問。4.5應用系統防護

保障應用系統的安全性,需要對應用系統進行如下操作,這里重點防護—級系統域中的應用系統。（1）應用系統安全

應用系統進行安全加固：參照廠商提供的安全加固列表,對通用應用系統進行加固,如Oracle、Notes、Apache等。

應用系統鏈路應部署入侵防御設備進行定期漏洞掃描。己部署漏洞掃描產品定期對應用系統進行檢測。

（2）身份認證機制

應用系統應當提供用戶登陸身份認證功能，采用用戶名/口令進行認證時,應當對口令長度、復雜度、生存周期進行強制要求，系統應提供用戶身份標識唯一和鑒別信息復雜度檢查功能,禁止口令在系統中以明文形式存儲；系統應當提供制定用戶登錄錯誤鎖定、會話超時退出等安全策略的功能。

用戶權限及訪問控制：要對權限的賦予和變更等制定嚴格的審核、批準、操作流程,要求權限變動經審核批準后方可執行或生效，依據權限最小化原則對用戶賦予適當的權限，執行角色分離,禁止多人共用賬號，并定期進行權限復核。應用系統采用訪問控制功能,制定安全策略以管理訪問相關主體、客體及訪問類型、訪問權限。

應用系統審計：應用系統本身幵發時需要實現系統審計能力,如用戶登錄時間、地點(IP)、操作等；系統日志應輸出至日志審計平臺。

（3）數據存儲保密

提供本地數據備份與恢復功能,數據備份至少每人進行一次,備份介質應當場外存放;當在環境發生變更時或定期進行備份恢復測試,以保證所備份數據的可恢復;提供異地數據備份功能,利用通信網絡將關鍵數據定時批量傳送至備用場地;備份介質嚴格管理,防止未授權訪問業務備份數據;采用硬件雙機等冗余技術保證關鍵應用的可用性。5 結語

隨著智能電網的發展，未來的信息安全可能要面臨新的問題。智能電網從整體上可以看作是由電力網和信息網構成的相互依存復合網絡，其中信息網絡的安全及其對電力系統運行安全帶來的風險不容忽視。未來智能電網將會融合更多的先進的信息安全技術，如可信計算、云安全等。本文提出的一些建議期望對智能電網信息安全防御起到一定的參考作用。

參考文獻：

[1]何光宇，孫英云.智能電網基礎[M].北京：中國電力出版社，2010.[2]Tony F，Justin M.智能電網安全——下一代電網安全[M].北京：國防工業出版社,2013.[3]劉振亞，陳月明，鄭寶森等.智能電網技術[M].北京：中國電力出版社,2007.[4]潘可佳.智能電網的信息安全探討[J].信息通信，2013（9）：134-135.[5]馬韜韜，李

可，朱少華等.智能電網信息和通信技術關鍵問題探討 [J].電氣自動化設備，2013，30（5）：87-91.[6]陳亞平.智能電網信息安全及其防護技術 [J].科技前沿，2012（661）：177-178.[7]李雪冬，李建奕.智能電網信息安全[J].信息技術，2012（2）：28-31.[8]潘可佳.智能電網的信息安全技術探討[J].科技信息，2013（13）：291-292.[9]潘可佳.智能電網信息安全技術研究與應用[J].山東大學學報，2013（10）：184-201.Smart Grid Information Security Research

LI Peng-ru（Shenyang Institute of Engineering，Graduate School，Liaoning Shenyang 110136）Summary：Smart grid is a highly automated, digital, information technology, interactive grid.As one of the most important things era applications, smart grid will bring great changes on people's work and life, but the smart grid openness and inclusiveness also decided it inevitably information security risks.Firstly, the article analyzes traditional grid information security , giving prevention programs, and then discusses the issue of information security

that smart grid may faces, including physical security, network security, data security and backup and recovery, etc., and proposes four principles of solving the information safety should be noted.finally, proposing protection programs from grade Fenwick, border security, network security and other aspects of the environment.Keyword：Smart grid；information security；Protection program