現在位置：范文先生網>商務管理論文>電子商務論文>美國如何打造網絡安全盾牌

美國如何打造網絡安全盾牌

時間：2023-02-20 08:34:41 電子商務論文我要投稿

相關推薦

美國如何打造網絡安全盾牌

　　編者按：美國社會和經濟的快速發展依賴于一個錯綜復雜的信息網絡。為此，美國政府對國家信息系統和關鍵信息基礎設施的安全一直以來都予以了特別的關注。“9·11”事件后，美國政府對網絡安全更加重視，陸續出臺了一些新的舉措，敬請關注。

　　“9·11”事件已經過去整整一年了，一年前突發的恐怖事件使正處于衰退時期的美國經濟雪上加霜。作為美國新經濟支柱的IT產業，也受到了不小的影響。

　　美國社會和經濟的快速發展依賴于一個錯綜復雜的信息網絡。為此，美國政府對國家信息系統和關鍵信息基礎設施的安全一直以來都予以了特別的關注。“9·11”事件后，美國政府對網絡安全更加重視，陸續出臺了一些新的舉措。本期國際報道將介紹美國加強網絡安全保護的新舉措，敬請關注。

　　調整網絡安全計劃

　　2001年10月，美國管理與預算辦公室(OMB) 頒布了新的政府部門網絡安全自我評估導則，新導則要求各部門就安全費用、具體實施方案和優先行動計劃等問題做出詳細匯報。該辦公室還根據2000年頒布的“政府信息安全改革法案”(GISRA ) ，要求政府各部門對自身的安全情況進行評估。管理與預算辦公室對這些評估結果進行分析后指出，目前在政府機構中普遍存在著安全隱患，并有針對性地提出了六項改進意見：

　　(1)提高高層管理人員對安全問題的重視程度；

　　(2)制定安全評估指標，量化各部門安全官員的工作成效；

　　(3)加強安全教育，提高安全意識；

　　(4)將解決安全問題列入政府預算；

　　(5)確保商務運作環境的安全；

　　(6)提高探測、報告和共享安全隱患信息的能力。

　　根據這些改進意見，各網絡安全組織和政府部門紛紛調整自己的安全戰略和行動計劃，以提高網絡防御能力，如：聯邦計算機事故反應中心(FedCIRC) “9·11”事件后，聯邦計算機事故反應中心(Fed CIRC ) 的工作重點已轉移到建立自動的網絡安全問題報告和反應系統上。該中心確定的2002年核心工作主要包括開發補救方法發布系統、提高數據分析能力、建立網絡安全合作系統，以及制定事故報告指南等。

　　美國國務院“9·11”事件后，美國國務院在貝爾茨維爾建立了一個網絡監視中心。該中心負責對連接到美國駐外使、領館的“Junkyard dog ”網進行入侵探測測試和弱點評估。該中心建立了各種傳感器系統，擁有75個中央報告臺，能顯示500多個網絡入侵探測設備的信息，不僅能夠對探測到的攻擊自動作出響應，而且還可以對本系統的弱點進行分析，并加以改進。

　　美國國防部美國國防部在自我評估中發現，其面臨的最大安全隱患是“國防部信息技術安全認證和鑒定計劃”(DIT SCAP ) 過于復雜，實施起來難度很大。為此，國防部決定簡化該項目的實施過程，以確保盡快實現該項目確立的各項目標。此外，國防部還將出臺新的信息安全指南和說明，用以替代現行的安全指南。

　　美國能源部為提高本部門的網絡安全性，能源部也對自身的網絡安全計劃進行了調整，主要措施包括對本部門人員進行有關網絡安全的培訓，提高其安全意識，使每個人都了解自己的安全職責；為那些向公眾開放的信息系統開發和設計安全認證和鑒定程序；對關鍵的信息系統進行獨立鑒定；將網絡安全費用計算到信息系統的運作成本中。

　　2002年3月剛剛通過的“聯邦信息安全管理法案”(FISMA)(“政府信息安全改革法案”已于2001年11月29日廢止)，對政府機構的安全問題作出了更為詳細的規定，它不僅要求各部門提供更加詳細的安全情況報告，還提出了諸如要求政府部門遵循國家標準技術研究院(N IS T ) 制定的安全標準，并使用他們開發的安全工具(如安全評估問卷)的新要求。

　　增加財政預算投入

　　美國政府2003年財政預算中，設有專項經費，用來研發和實施與本土安全有關的信息技術(這項經費的總金額高達7.22億美元)。其中，用于維護網絡安全的費用為2.98億美元(比2002年度的0.62億美元提高了381%)，其具體分配方案如下：

　　聯邦調查局：獲得1.25億美元，作為國家基礎設施保護中心(NIPC) 實施對抗針對政府和私人信息技術設施的電子攻擊行動費用。

　　國防部：共獲得0.9億美元。其中0.6億美元用于“無線網絡優先接入”(Priority Wireless Access)項目，以確保授權用戶(如警察和消防員)在緊急情況發生時可以優先使用無線通信網絡；另外0.3億美元，用于資助國防部建立“計算機空間預警情報網”(CWIN)，以便于國防部能夠聯合政府部門和私人企業共同對網絡攻擊作出反應和反擊。

　　能源部：獲得0.2億美元，作為國家基礎設施模擬和分析中心了解和研究國家信息基礎設施間相互關系的經費。

　　國家標準技術研究院：獲得0.15億美元，用作計算機安全部門開展網絡安全的技術指導和技術支持費用。

　　國家科學基金會(NSF) ：獲得0.11億美元，用以資助實施“網絡空間人才”(Cybercorps ) 計劃，鼓勵高等院校開設計算機安全專業、開展專項課題研究，并為志愿從事計算機安全工作相關專業的大學生提供獎學金。

　　總務管理局：共獲得0.16億美元。其中的0.11億美元，作為聯邦計算機事故反應中心(FedCIRC ) 的活動經費；另外的0.05億美元用于研究如何建立借助防火墻技術和攻擊探測技術與因特網隔離的“政府網”(Gov Net) 項目。

　　商務部：獲得0.07億美元，劃歸關鍵基礎設施保護辦公室(CIAO) 使用。

　　其余的0.14億美元用于其它項目和計劃。

　　加大研究應用力度

　　“9·11”事件后，美國加大了網絡安全技術的研發力度，并積極采取措施，在網絡防御實踐中使用新的安全防護技術。

　　研究信息安全技術模型由美國國家標準技術研究院負責有關信息安全技術模型的專題研究，該院于2001年12月公布了題為“信息安全技術模型”的研究報告。該報告從可用性、完整性、保密性、可靠性和安全性五個角度，全面、系統地分析了網絡安全服務模型，并詳細描述了分布式安全模式的操作流程，為政府部門和私人企業及時預防、探測和追蹤網絡攻擊，提供了理論依據和技術指導。

　　增加“IT與國家安全”專項基金

　　2002年，美國科學基金新增加了“IT與國家安全”專項基金，并規定金額不超過50萬美元的項目，可根據國家需要隨時申請(通常申請美國科學基金的截止日期為每年的2月份)，組織立項。“IT與國家安全”專項基金主要用于開展以下三個領域的研究：

　　電子計算機安全和臨界架構保護領域，包括網絡安全技術、攻擊防衛技術、服務器攻擊隔離技術和信息確認技術等領域的研究。

　　知識檢索和傳遞領域，包括進行分布式數據庫、大型數據庫或雜亂數據庫的采集技術，多語種、多模式數據庫的知識表達技術，在交互環境下共享知識技術等相關領域的研究。

　　生物防衛技術領域，包括生物信息技術，生物傳感技術等研究。

　　開發和使用國防網絡安全技術

　　美國國防高級研究計劃局(DARPA)在2002年先期概念技術演示計劃中，增加了聯合信息安全通用圖像的計劃，該計劃的實施將能夠實時地向總指揮官提供所有與關鍵任務系統安全狀態相關的詳細信息。另外，演示計劃還計劃開發安全性很高的因特網，以便對各種威脅進行跟蹤和評估，并恢復受到破壞的系統。

　　為了有效地鑒別網絡用戶的身份和控制訪問權限，美國海軍用通用的智能卡代替原來的綠色認證卡。新的通用智能卡存儲了用戶的指紋、虹膜等生物特征信息，并附有使用者的照片、條碼和磁條。作為海軍公共密鑰基礎設施(PKI)的訪問標識，用戶只有通過它才能登陸海軍內部網，并在網上收、發密件，訪問保密站點等。目前，在美國海軍內部網的每臺計算機的鍵盤上都裝有這種智能卡的閱讀器。該智能卡與升級的實時自動用戶認證系統(RAPPIDS) 工作站配套使用。國防部智能卡辦公室計劃在未來12-15 個月內，再升級1600個 RAPPIDS 工作站。

　　此外，OMB在聯邦機構的“數據利用和加密指南”中指出，將采用加密能力更強的“先進加密標準”(AES) ，替代原來的“數據加密標準”(DES) ，以確保政府機關保密信息的安全。

　　加快網絡安全人才培養

　　為了加強對網絡安全的研究，美國政府制定了“網絡空間人才”(Cybercorps)計劃，該計劃的實施，為美國培養了部分急需的網絡人才。

　　但眾議院科學委員會主席舍伍德·布赫特認為，目前美國政府在網絡安全方面存在著諸如缺乏長遠和基礎性研究，政府部門、學術團體和私人企業之間缺乏足夠的交流與合作等嚴峻的問題。為此，他于2001年12月提出了“關于‘網絡安全研究與開發法案’的議案”，該議案于2002年2月7日獲得通過。

　　“網絡安全研究與開發法案”確立了美國培養網絡安全技術人才的原則，并明確規定國家有義務資助他們開展研究工作。該法案要求美國政府在未來5年內投資8.78億美元，用于計算機和網絡安全人才的培養，重點資助網絡安全專業的博士生和博士后進行項目研究。這部分預算將分別撥給國家科學基金會(該機構將獲得5.68億美元，用來為計算機和網絡安全專業學生提供獎學金，并在高等院校設立網絡安全專業學士和碩士學位等)和國家標準技術研究院(該部門將獲得約3.1億美元，用以資助高等院校與企業開展合作研究，提供網絡安全專業博士后研究獎學金等并對網絡安全方面的資深專家實施獎勵等)。

　　提供高可靠產品和服務

　　“9·11”事件雖然對美國的產業界造成了不可估量的損失，但客觀上也促進了一些行業的發展。如存儲公司(也叫數據公司)，由于能夠向客戶提供重要商業信息的備份、保管、管理和檢索服務，在“9·11”事件后，備受金融、保險和咨詢業的青睞，其經營狀況出現明顯改觀。一家名為Amtrivauit的數據安全存儲公司，在“9·11”事件后的一個月內就增加了17名客戶。不僅如此，由于擔心受到恐怖襲擊，客觀上刺激了防火墻、防病毒軟件等信息安全產品的市場需求。鑒于保障信息安全和進行反攻擊與企業界有著密不可分的聯系，美國政府號召IT企業也要積極參與到加強國家網絡安全保護的行動中來。

　　2001年12月，美國總統網絡安全特別顧問克拉克在對商業軟件聯盟(BSA)成員(包括Adobe系統公司、IBM公司、微軟公司、網絡聯盟公司等)發表的講話中指出，政府正在實施的交互網絡模擬中心(該中心用來支持電話、網絡、鐵路和電力等關鍵基礎設施的工作)等項目都需要企業大力的協助，政府希望“聽到企業關于建設‘政府網’(Gov Net ) 的意見和建議”等。

　　不僅如此，美國政府還號召IT企業要加強合作，向政府和社會提供安全性能高的產品和服務，如軟件經銷商必須為安全性能不佳的軟件配置補救程序，并有責任督促用戶使用這些補救程序；因特網服務提供商應幫助用戶掃除病毒，并防止用戶的IP地址被盜用，還應為使用調制解調器和數字用戶線路(DSL ) 上網的用戶安裝個人防火墻。此外，IT企業還應與因特網工程任務組(IETF ) 就安全性域名服務器(DNS ) 和安全性邊界網關協議(BGP ) 等問題進行高層次的合作與交流。

　　成立專門機構：“本土安全辦公室”和“本土安全委員會”

　　“9·11”事件發生后，美國總統布什于2001年10月8日簽署了第13228號總統令，依據該總統令成立了“本土安全辦公室”。該辦公室由本土安全事務總統助理湯姆·里奇(Tom Ridge)領導，主要負責制定和調整保護美國免遭恐怖分子威脅和襲擊的國家總體戰略，并對戰略的實施情況進行監督和管理。

　　與此同時，美國還成立了專門的“本土安全委員會”，該委員會負責就本土安全問題向總統提出建議，制定相關的本土安全政策，并負責政府各部門安全政策的落實工作。

　　“關鍵基礎設施保護委員會”

　　2001年10月18日，布什簽署了“關于信息時代關鍵基礎設施的保護”的第13231號總統令，并成立“關鍵基礎設施保護委員會”。該委員會負責制定并調整有關保護關鍵信息基礎設施(包括緊急情況下的備用通信系統)的政策和計劃，加強政府各部門間的合作與交流，并對計劃的實施進展情況進行監督。該委員會主席由總統網絡安全特別顧問理查德·克拉克(Richard Clarke)兼任(其需要向本土安全辦公室主任湯姆·里奇和國家安全顧問賴斯匯報工作)，其他成員來自政府各部門。

　　此外，美國還計劃在信息協調中心(ICC) 的基礎上成立網絡安全協調中心。該中心將聯合克拉克辦公室、關鍵基礎設施保護辦公室(CIAO)，以及國家基礎設施保護中心(NIPC) 的分析與預警部門開展工作。

鏈接一布什看好美國經濟前景

　　美國總統布什在不久前舉行的“總統經濟論壇”中稱，美國經濟長期前景看好。

　　布什在講話中承認，美國目前正面臨如何避免經濟再次衰退的挑戰。但他同時強調，政府能夠控制住經濟局勢。從長遠來看，美國經濟是健康的。他說，美國經濟基礎仍然強健，能夠應付面臨的挑戰。

　　由于公司財務欺詐案件不斷曝光，過去幾個月美國金融市場急劇動蕩，對投資者和消費者信心都有一定程度的打擊。今年第二季度美國經濟增長明顯減緩，勞動生產率的增幅也大為降低，加上不斷傳來的公司裁員等消息，引起了各方對美國經濟的憂慮。

　　在談到解決經濟問題的辦法時，布什說，美國政府將把創造就業機會作為一項重要經濟政策來實施，并將大力推動出口，通過出口來創造就業。布什還表示，將努力盡快恢復預算平衡。另外，他還談到了醫療保健、購房等問題，提出要使美國人獲得能夠支付得起的醫療保健服務，并且要讓更多的美國人擁有房屋。最后，布什再次談到企業誠信問題，稱目前是美國公司重新獲得公眾信任的關鍵時刻。

鏈接二網絡安全投資持續增長

　　思科公司互聯網交換和服務部門的高級副總裁邁克在一次電話會議中表示，自從去年的“9·11”恐怖襲擊事件以來，人們已經開始對包括防火墻、(VPNs)虛擬個人網絡以及入侵探測系統在內的網絡安全方面的興趣倍增。他還表示，今年在安全領域方面的投資總額可能會在100億美元左右，年增長率為25%到30%。盡管他沒有透露公司在安全業務方面銷售收入，但他表示，思科公司安全業務部門的目標是其增長速度要高出市場的10%。

　　據邁克表示，網絡安全細節可分為四部分：通過加密和VPN實現安全的連接，年增長速度高達50%；通過防火墻實現網絡安全防線，年增長速度為20%-30%；入侵探測系統的年增長速度為100%，但目前的基數太小，只有5億美元；采用綜合的方法管理網絡的安全。

　　網絡客戶也需要綜合的、端到端的解決方案或產品。邁克最后表示，我們可以看到或感到的不是價格的壓力，而是每當有新病毒被發現時客戶要求強化功能的壓力。

鏈接三安全技術更受青睞

　　“9·11”恐怖事件的發生使得美國政府和企業對于安全問題更加關注，同時也促進了高技術行業的發展，以智能卡和生物識別為代表的技術領域重新受到重視。

　　Yankee集團的主管安迪·埃弗斯塔修表示，“9·11”事件及其產生的恐怖氛圍刺激了政府和企業對安全技術的需求。他說：“這種需求以前也出現過，但‘9·11’事件使得這種需求更大。”這位主管表示，智能卡技術此前在歐洲非常普及，但在美國卻并不受人關注，不過“9·11”事件使得這種技術立即成為美國政府和企業的新寵。

　　埃弗斯塔修還表示，災難重建和商業延續技術及系統也將因為“9·11”事件而受到推動。不過，包括埃弗斯塔修在內的大部分分析人士均認為，政府需求和支出與整個國家經濟復蘇相比對于促進安全技術的發展僅能起到較小程度的影響。這些分析人士預計，到2002年下半年，整個高技術行業將出現反彈，但只有美國經濟的大環境向好的方面轉變，安全技術才能迎來一個顯著發展的時期。

鏈接四 “9·11”影響美國IT業

　　“9·11”事件后，美國國內一直處在對恐怖活動后續行動的擔憂及戰爭的陰影下。出于安全的考慮，大量國際資金會從美國撤出，必然會使風險投資項目減少，造成靠風險投資一手扶持的IT企業融資困難。在此之前，正是大量國際資本的流入造就了美國經濟長達十年的繁榮期。由于消費者擔心經濟會跌入衰退的泥潭，勢必會減少對信息產品和服務的需求，結果是IT企業也會削減投資項目。

　　因為“9·11”劫機者使用的攻擊武器是民用客機，所以出于安全考慮，聯邦航空委員會將其禁運擴展到美國的商用航空運輸。而作為全球第一信息產業大國的美國，每天有價值數百萬美元的高科技產品要通過航運輸向世界各地，由于此禁令，IT企業只能在短期內將部分產品由空運改為海運，這將增加IT產品的銷售周期，使日新月異的IT行業被迫放慢全球性發展的步伐。同時，這次事件引起的全球石油價格忽高忽低、因安全方面而延長載貨飛機的運輸時間及美國六大航空公司大量裁減人員削減航班，也會導致信息產品成本的增加。

【美國如何打造網絡安全盾牌】相關文章：