1.2 信息安全保障

在本节中，我们首先将介绍信息安全问题产生的原因，包括内在和外在因素。接着我们将重点对信息安全保障进行全方位的介绍，对其中信息安全保障模型，我们将从保障要素、生命周期和安全特征3个方面进行说明；对IATF框架，我们将对它的整体框架以及信息保障技术进行叙述。最后，我们将对国内外的信息安全保障体系建设进行详细介绍。

1.2.1 信息安全问题的产生

从20世纪90年代开始，随着互联网技术飞速发展至今，人类已经步入了大数据时代。大数据在健康医疗、金融商务、物流快递、城市管理、社会治理、生产制造等领域都具有无穷的潜力，其带来的革命性进步令人神往。

大数据应用的场景越来越多、越来越深入。例如，根据关键基础设施的数据、特定行业的基础数据以及生产数据，能够分析出一个国家的重要战略情报，直接关系到国家安全。可以说，数据越来越值钱。因此也成为违法犯罪分子的重点关注目标。全球各式各样的数据安全事件层出不穷，包括直接盗取数据进行倒卖、用数据构建精准诈骗活动，甚至对用户数据进行加密，然后勒索赎金。数据安全正在成为全世界的热点安全问题，从当今人类社会发展来看，如果数据安全问题失控，必然会影响全社会对数字经济的信心，阻碍人类社会的进步。

从信息安全的角度来看，信息安全问题产生的根源主要分为内在因素和外在因素。

内在因素主要是信息系统的复杂性，其复杂性又可以分为过程复杂和结构复杂。对过程复杂性而言，从理论上来看，在程序和数据上存在“不确定性”，不论是从软件还是硬件上都可能导致未知的错误；从设计的角度看，在设计时所考虑的优先级中，相对于易用性、代码大小、执行程度等因素，安全性往往被放在次要位置；在实现上来说，软件本身总存在Bug；而在系统的使用上，由于人的操作失误造成的相关信息的丢失或修改同样会导致安全问题；最后在系统维护的过程中，由于安全设计和实现的不完整或者管理的不完善也会给不法分子提供攻击的机会。结构复杂性主要指系统涉及各方面的协调运行，比如网络中的其他系统和资源，开放的网络端口，远程的用户使用，公共信息服务等。

外在因素主要指人为威胁和自然威胁。人为威胁有情报威胁，比如间谍搜集国家的政治、军事、经济信息，针对国家进行非法活动；恐怖分子破坏公共秩序，散布恐怖信息，制造混乱，发动政变；犯罪团伙实施报复，实现经济目的，破坏社会制度；商业间谍进行非法窃取；黑客进行网上盗窃、恐吓、诈骗等。而自然威胁则指的是恶劣的自然环境所导致的系统瘫痪，信息无法传递、丢失等，这些恶劣环境包括雷雨天、冰雪天、洪水、台风等自然灾害。

1.2.2 信息安全保障模型

信息安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。图1-1描述了信息系统安全保障模型。

信息系统安全保障模型包括保障要素、生命周期和安全特征这3个方面。

1. 保障要素

保障要素强调信息安全技术体系、信息安全工程过程、信息安全管理体系和高素质的人员队伍。

（1）信息安全技术体系

完善的信息安全技术体系是实现信息保障的重要手段，信息安全保障中各种安全服务就是通过各种防御技术来体现的，如图1-2所示。该图展现了部分保障信息安全的核心技术。在使用路由器时更改默认的系统口令；使用防火墙的安全策略实现严格的访问控制，以允许必要的流量通过防火墙，阻止到Internet的未授权的访问，保证网络资源不被非法使用和非法访问；通过入侵检测技术实时监控网络传输，自动检测可疑行为，分析来自网络外部入侵信号和系统内部的非法活动，在系统受到危害前发出警告，对攻击做出实时的响应，并提供补救措施，最大程度地保障系统安全；在系统内部使用反病毒产品防止计算机病毒对系统的传染和破坏，利用计算机CPU内嵌的防病毒技术来防范大部分针对缓冲区溢出漏洞的攻击；通过漏洞扫描等手段对本地计算机系统的安全脆弱性进行检测，发现可能被利用的漏洞，同时通过补丁管理对相关的漏洞进行修复；对系统中重要的数据文件进行加密以防止信息被窃取；使用审计系统对一个信息系统的运行状况进行检查与评价，以判断信息系统是否能够保证资产的安全、数据的完整并有效利用组织的资源。

（2）信息安全工程过程

信息安全是一个复杂的系统工程，因此解决安全问题应该从工程学、方法论的角度来考虑，通过一系列的工程过程来实现信息安全保障。比如通过风险评估来对采用的安全策略和规章制度进行评审，发现不符合项；采用模拟攻击的形式对目标可能存在的安全漏洞进行检查，从而确定存在的安全隐患和风险级别；通过安全需求分析来发掘出系统的安全需求，时刻根据系统的变化进行同步发展；根据实际情况来进行安全体系设计来确保安全体系的可靠性、可行性、完备性和可扩展性；制定相应的安全策略来调动、协调和指挥各方面的力量，共同维护信息系统的安全等。

（3）信息安全管理体系

随着组织机构的使命越来越依赖于信息系统，信息系统也越来越成为组织机构生存和发展的关键因素。信息系统的安全也成为了组织风险的一部分，为了保障组织机构能够完成其使命，必须为组织机构制定相应的管理体系来防范各种安全风险，如图1-3所示。国家、机构和相关业务所制定的策略、规范和标准，组织机构本身的使命要求以及相应的安全风险都推动着组织管理体系的建设。在管理体系的建设过程中，形成相应的策略体系，比如风险管理、业务持续性管理、应急响应管理、意识培训和教育等。通过相关的管理和培训对系统形成风险评估，最后将风险评估融入到整个安全管理的生命周期当中。

（4）高素质的人员队伍

信息安全对抗归根结底是人与人的对抗，因此建立高素质的人员队伍对于信息安全尤为重要。保障信息安全不仅需要专业的信息技术人员，还需要提高信息系统普通使用者的安全意识，加强个人防范，如图1-4所示。

① 信息安全专业人员，比如注册信息安全专业人员（CISP），他们对信息安全相关的岗位和职责要十分清楚。由于从开始的计划组织到最后的废弃，整个过程他们都要进行相关的安全工作，因此他们需要通过培训学习信息安全的生命周期过程。

② 信息安全从业人员，比如注册信息安全员（CISM），要通过培训学习相关的安全的基础知识和安全文化以便进行相关工作。

③ 所有的普通员工，必须具备相关的安全意识来应对一些特殊情况，比如网络诈骗等。

2. 生命周期

在信息系统安全保障模型中，整个系统的生命周期层面和保障要素层面并不是相互孤立的，而是密不可分的，如图1-5所示。

在信息系统安全保障模型中，整个生命周期被抽象成计划组织、开发采购、实施交付、运行维护和废弃这5个阶段以及在运行维护阶段由于系统变更所产生的反馈，形成信息系统生命周期完整的闭环结构。在整个信息系统的生命周期中，任何阶段都要结合安全保障的4个要素对信息系统进行安全保障。

（1）计划组织阶段：组织机构的使命要求和业务要求决定了信息系统安全保障建设的需求。在此阶段，信息系统的风险和策略应加入到信息系统建设当中，从建设的开始阶段就需要综合考虑系统的安全保障要求，信息系统的建设和安全保障的建设应同步进行。

（2）开发采购阶段：此阶段是计划组织的细化、深入的具体体现。在此阶段中，应进行系统的需求分析、进行系统体系的设计以及相关预算申请和项目准备等管理活动。此外，还应基于系统需求和风险、策略等将信息系统安全保障作为一个整体，进行系统体系的设计和建设，从而形成信息安全系统保障的整体规划。组织机构可以根据具体的需求，对系统整体的技术、安全保障的设计进行评估，以此保证整体规划满足组织机构的建设要求和相关行业以及国家的其他要求。

（3）实施交付阶段：此阶段中，组织机构可以通过承建方进行安全服务资格要求和信息安全专业人员资格要求以确保施工组织的服务能力；组织机构还可以通过信息系统安全保障的工程保障对施工过程进行监督和评估，最终确保系统的安全性。

（4）运行维护阶段：信息系统进入运行维护阶段后，对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障，是信息系统得以安全正常运行的根本保证。

（5）变更和反馈：信息系统投入运行后并不是一成不变的，它随着业务和需求的改变、外界环境的改变产生新的需求或增强原有的需求，接着重新进入信息系统的计划阶段。

（6）废弃阶段：当信息系统的保障不能满足现有的要求时，信息系统进入废弃阶段。

这样，通过在信息系统生命周期的所有阶段融入信息系统安全保障概念确保了信息系统持续动态的安全保障。

1.2.3 信息保障技术框架

信息保障技术框架（IATF）是由美国国家安全局（NSA）指定的描述信息保障的指导性文件。我国在2002年将IATF 3.0版引进国内后，IATF对我国信息安全工作的发展和信息安全保证体系的建设起到重要的参考和指导作用。IATF的信息保障的核心思想是纵深防御战略。所谓纵深防御战略，就是采用多层次的、纵深的安全措施来保障用户信息及信息系统的安全，如图1-6所示。

在纵深防御战略中，人员、技术和操作是核心因素。要保障信息及信息系统的安全，三者缺一不可。

（1）人员（People）：人员是信息保障体系的核心，拥有、管理和使用着整个信息系统，是第一位的要素，同时也是最脆弱的。基于以上的几个特点，与人相关的安全管理在安全保障体系中越来越重要，必须对相关人员进行组织、技术和操作管理以及意识等多方面的培训。技术是安全的基础，管理是安全的灵魂。因此，应当在重视安全技术应用的同时加强安全管理。

（2）技术（Technology）：完善的信息安全技术体系是实现信息保障的重要手段，信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然，这里所说的技术，已经不单单是以防护为主的静态技术体系，而是防护、检测、响应、恢复并重的动态的技术体系。

（3）操作（Operation）：或者叫运行，它构成了安全保障的主动防御体系。如果说技术的构成是被动的，那么操作和流程就是将各方面技术紧密结合在一起的主动的过程，其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。

在这个战略的3个主要层面中，IATF强调技术并提供一个框架以进行多层保护，以此来防范面向信息系统的威胁。该方法使得能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。

IATF将信息系统的信息保障技术层面划分成了4个技术框架焦点域：本地计算环境、区域边界、网络及基础设施、支撑性基础设施。在每个焦点域范围内，IATF都描绘了其特有的安全需求和相应的可供选择的技术措施，如图1-7所示。

（1）保护本地计算环境：用户需要保护内部系统应用和服务器，这包括在系统高端环境中的多种现有和新出现的应用，充分利用识别认证访问控制、机密性、数据完整性和不可否认性等安全服务。为了达到上述目标，可以使用如下方法：确保对客户机、服务器和应用实施充分的保护，以防止拒绝服务、数据未授权泄露和数据更改；防止未授权使用客户机、服务器或应用的情况；保障客户机和服务器遵守安全配置指南并正确安装了所有补丁；对所有的客户机与服务器的配置管理进行维护，跟踪补丁和系统配置更改信息；对内部和外部的受信任人员对系统从事违规和攻击活动具有足够的防范能力等。

（2）保护区域边界：“域”是指由单一授权通过专用或物理安全措施所控制的环境，包括物理环境和逻辑环境。区域的网络设备与其他网络设备的接入点被称为“区域边界”。为了从专业或公共网络上获得信息和服务，许多组织通过其信息基础设施与这些网络连接。因此，这些组织必须对进出某区域（物理区域或逻辑区域）的数据流进行有效的控制与监视，从而保护其本地计算机环境不受入侵。为了达到上述目标，可以使用如下方法：针对变化性的威胁采用动态抑制服务；为区域内由于技术或配置问题无法自行实施保护的系统提供边界保护；针对用户向区域之外发送或接受区域之外的信息提供强认证以及经认证的访问控制等。

（3）保护网络及基础设施：为维护信息服务，并对公共的、私人的或保密的信息进行保护，避免无意中泄露或更改这些信息，防止受到拒绝服务的攻击，防止受到保护的信息在发送过程中的时延、误传或未发送，机构必须保护其网络和基础设施。为了达到上述目标，可以使用如下方法：提高骨干网可用性；使用安全的无线网络框架；提高系统的高度互联性以及使用虚拟专网等。

（4）支撑性基础设施建设：支撑性基础设施是实现纵深防御的另一技术层面。它可为纵深防御策略提供密钥管理、检测和响应功能，所要求的能够进行检测和响应的支撑性基础设施组件包括入侵检测系统和审计配置系统。为了达到上述目标，可以使用如下方法：提供支持密钥、优先权与证书管理的密码基础设施；对入侵和其他违规事件进行快速检测和响应；执行计划并报告连续性与重建方面的要求；对入侵行为进行的调查、信息收集和分析等。

1.2.4 信息安全保障体系建设

信息安全产业是国家信息安全保障体系建设的宏大战略目标的核心基础要素之一，它不仅肩负着为国家信息化基础设施和信息系统安全保障提供信息安全产品及服务的技术支撑作用，它本身的发展也受到国家信息安全保障体系建设宏观环境的影响。

伴随着信息科技产业的快速发展，云计算、移动互联网等新兴技术的应用日趋深入，信息安全面临着越来越严峻的挑战。随着一系列严重的信息安全事件的发生，世界各国都开始高度重视国家信息安全建设，推出相关的信息安全政策加强国家信息安全建设的保障。

1. 国外信息安全保障建设

美国是世界上信息技术、网络技术起步最早的国家之一，也是信息安全法律法规较为系统的国家，研究美国的信息安全战略是一个非常好的切入点。

美国的信息安全体系主要包括4个层次：安全技术层、安全管理层、政策法规层和人才培养层。在4个层次的构架中，政策法规层保护安全管理层和安全技术层，安全管理层保护安全技术层，人才的培养是为了培养各个层面的高端人才以便更好地实现战略目标。

在安全技术层，美国通过制定计算机安全评价标准，积极参与开发国际通用安全准则；着重推进安全技术的发展和更新；重视发展信息战的能力，开发反侦探技术，施行“积极防御”。

在安全管理层上，信息和信息系统安全由总统亲自领导；美国在执行《网络空间安全国家战略》过程中，成立整合了有关22个联邦机构安全力量的国土安全部。

政策法规层主要包括制定各项安全政策和策略、制定安全法规和条例、打击国内外的犯罪分子，依法保障通信网络和信息安全等。

近年来，美国一直将网络威胁视为最严峻的经济和国家安全挑战之一，并采取多种措施加强网络能力建设，强化网络防御体系，主要体现在以下几个方面。

（1）颁布多项战略政策，推动信息安全建设，启动《网络安全框架》，巩固关键基础设施安全防范。美国政府制定政策，积极推进政府之间、政府与企业之间的信息共享。2013年2月奥巴马发布行政命令，提出政府将与私营机构共享针对美国境内特定目标的网络威胁信息；美国国防部也正在试点，尝试建立有效机制实现与国防工业企业共享威胁信息。2013年，美国国家标准与技术研究院（NIST）完成了《关键基础设施网络安全框架（V1.0）》初稿；2014年2月12日，奥巴马宣布启动美国《网络安全框架》，加快网络安全立法，强化网络监管。2014年美国批准“网络安全信息共享法案”，进一步加强美国抵御网络攻击的能力。同年9月，美国发布《国家情报战略》，提升网络情报的重要性，积极防御网络空间威胁，强化网络空间作战能力。

（2）加强技术研发和对外渗透，美国的信息技术公司主导着全球网络和安全技术的发展。美国拥有网络空间的核心技术，英特尔公司垄断芯片制造，苹果公司称霸手机与平板电脑等网络终端，IBM公司在计算机与网络服务上处于领先地位，甲骨文公司主导商业软件，微软公司控制视窗操作系统，谷歌公司则拥有世界上最强大的搜索引擎。美国采取各种措施，进一步发展攻防兼备的技术。美国国会出台的2014全年预算法案中，将用于改善网络安全的预算提高到670亿美元；2014年6月，美国国防高级研究计划局（DARPA）启动网络自主防御系统的开发工作；2014年8月，美国特种作战司令部开建开源数据挖掘项目，同时，在“智慧地球”“数字城市”等信息化口号下，近些年一些美国公司已全面渗透到一些发展中国家的电信、金融、石油、物流等关键网络基础设施，掌控着这些国家的经济神经中枢，对其经济安全构成威胁。

（3）强化网络军事化建设，基于信息网络提升网络作战优势在美国政治经济和军事等重要领域有着重要作用。美国近年来非常重视网络军事化建设，并不断提高其网络作战能力。开展实战演练，提升网络攻防能力。美国政府出台一系列安全政策指令，对网络安全防御、网络作战进行指导。美国军方认为网络空间的安全防护能力直接关系美军作战目标的达成，2014年积极开展网络安全防卫演练，美国防信息系统局为军用云服务配置了专用于保密信息的IP路由器网络；同年12月，美国发布国防部云计算安全要求草案，强化网军力量，占领网络空间主导权。2014年5月28日，奥巴马在西点军校发表演讲，强调美国必须永远处于领导地位。美国国防部长哈格尔则表示将继续致力于扩大网络部队规模，提升美国在网络安全领域的能力。美国国防部计划在未来几年内将网络安全人员增加三倍。美国空军第23航战队在2014年到2015年招募千余名新兵，补充人力，负责网络空间领域任务。2014年9月，美国陆军计划推出新的网络军事化分支队伍——“网络防护大队”。2014年4月，美陆军西点军校成立了陆军网络学院，8月，美空军学院宣布开设新的计算机网络安全专业，美军通过建设高校信息安全研究体系的方式培养和选拔出优秀的高级网络人才。

2015年美国在网络和信息安全方面的新政策、新举措主要包括12个方面：加大网络安全投资规模、出台网络和信息安全法规、调整组建网络安全机构、修订完善网络和信息安全标准、强化网络空间军事能力、扩充网络空间军事力量、开展网络安全多方合作、举行网络安全演练、严格网络空间治理、研发信息安全关键技术、培养网络安全人才、开展网络安全审计等，具体如表1-1所示。

2016年2月，奥巴马公布《网络安全国家行动计划》，将从提升网络基础设施水平、加强专业人才队伍建设、增进与企业的合作等5个方面入手，全面提高美国在数字空间的安全。该行动计划中的多项决策值得关注，包括：提议在国会2017财政年度预算中拿出190亿美元用于加强网络安全，第一次设立联邦首席信息安全官（CISO），下令成立国家网络安全促进委员会、联邦政府隐私委员会等。

2. 国内信息安全保障的建设

从战略角度来看信息安全，它不是简单的技术问题，必须要从法律威慑、管理规范、技术保障、产业支撑、基础设施建设等全局构建国家全局的安全保障体系。我国的一些信息安全方面的法律法规和举措如表1-2所示。

经过近年来的发展，在国家高度重视和业界的共同努力下，我国信息安全产业在安全理念、市场规模、技术标准、主流产品和人才培养等各个方面都取得了显著的进步，实现了全面的飞跃，在部分关键领域基本满足了信息化建设的需要，有力支撑了国家信息安全保障体系的建设。近年来中国信息安全产业市场一直保持高速发展，并且潜力巨大，受世界瞩目。

我国信息安全产业虽然取得了长足的发展，但我国信息安全产业的基础薄弱、起步晚，面临的挑战大、形势严峻也是必须面对的事实。我国的信息安全产业在政府引导、企业参与和用户认可的良性循环中稳步成长，产业总体规模持续扩大，企业竞争实力显著增强。但是相比发达国家而言，我国信息安全产业缺乏顶层设计和国家战略，财政投入不足，相关人才匮乏，法律机制与产业体系不健全，形势依然十分严峻。建立自主强大的信息安全产业是确保国家网络和信息安全的关键，无论是从应对复杂多变的国际形势、增强国家信息安全角度考虑，还是从我国信息产业的发展的新的增长点考虑，建立我国自主可控的信息安全产业是未来国家信息安全保障体系建设工作的重中之重。