“信息保障”(informationassurance,IA)概念是美國國防部於20世紀90年代率先提出的,後經多次修改、完善,已得到世界範圍的廣泛認可。
基本介紹
- 中文名:信息保障
- 外文名:informationassurance,IA
概念簡介,概念內容,新發展,防禦機制,發展特點,實踐中發展,
概念簡介
就其本質來說,信息保障是一種保證信息和信息系統能夠安全運行的防護性行為,是信息安全在資訊時代的新發展。信息保障的對象是信息以及處理、管理、存儲、傳輸信息的信息系統;目的是採取技術、管理等綜合性手段,使信息和信息系統具備機密性、完整性、可用性、可認證性、不可否認性,以及在遭受攻擊後的可恢復性。
概念內容
隨著人類社會步入資訊時代,信息已成為重要的戰略資源。信息和信息系統安全已成為21世紀關乎國家安全,特別是軍事安全的關鍵因素。美軍認識到,在其軍事系統網路化、信息化程度空前提高,並產生巨大軍事效益的同時,伴隨而來的必定是風險增加、漏洞叢生等“負效應”。曾有報導,美國防部每年由於計算機網路系統本身以及構建於其上的各種信息系統遭受外來攻擊而造成的損失可達幾千萬甚至幾億美元。更嚴重的是,美國防部認為,外界對其計算機系統的攻擊行動,已使其大量重要軍事信息遭到破壞、竊取和竄改,而且其趨勢大有愈演愈烈之勢,對其軍事安全構成了巨大的威脅。為了應對這些威脅與風險,提高其信息和信息系統防禦各類攻擊和破壞的能力,上世紀90年代初,美軍提出了“信息保障”概念,開始實施“信息保障戰略”,並將信息保障確立為其軍事轉型各個領域的首要任務之一。
隨著技術的不斷發展和認識的不斷深入,美軍“信息保障”概念的內涵和外延也在實踐中不斷擴充和延伸,已經從最初的一套簡單的純技術防護措施,發展到現在由“人”、“技術”和“操作”三個範疇共同構成的一個綜合體系,包括了政策管理、組織實施、運行使用、基礎設施建設等方方面面的內容,成了指導美軍構建信息安全體系的重要戰略思想。
新發展
信息安全問題始終伴隨著信息技術的發展而發展,先後經歷了早期的“通信保密”(COMSEC)、“信息系統安全”(1NFOSEC)和目前的“信息保障”三個階段。每個階段雖然在滿足的需求、關注的目標以及發展的技術等方面各不相同,但其根本出發點都是要保護信息,確保其能為己所用。
20世紀40、50年代,信息安全以通信保密為主體,要求實現信息的機密性。這一時期的信息安全需求基本來自軍政指揮體系方面的“通信保密”要求,主要目的是要使信息即使在被截獲的情況下也無法被敵人使用,因此其技術主要體現在加解密設備上。
20世紀60、70年代,隨著小規模計算機組成的簡單網路系統的出現,網路中多點傳輸、處理以及存儲的保密性、完整性、可用性問題成為關注焦點;計算機之間的信息互動,要求人們必須採取措施在信息存儲、處理、傳輸過程中,保護信息和信息系統不被非法訪問或修改,同時不能拒絕合法用戶的服務請求,其技術發展主要體現在訪問控制上。這時,人們開始將“通信安全”與“計算機安全”合併考慮,“信息系統安全”(INFOSEC)成為研究熱點。
進入20世紀90年代,隨著網路技術的進一步發展,超大型網路迫使人們必須從整體安全的角度去考慮信息安全問題。網路的開放性、廣域性等特徵把人們對信息安全的需求,延展到可用性、完整性、真實性、機密性和不可否認性等更全面的範疇。同時,隨著網路黑客、病毒等技術層出不窮、變化多端,人們發現任何信息安全技術和手段都存在弱點,傳統的“防火牆+補丁”這樣的純技術方案無法完全抵禦來自各方的威脅,必須尋找一種可持續的保護機制,對信息和信息系統進行全方位的、動態的保護。1989年美國卡內基·梅隆大學計算機應急小組開始研究如何從靜態信息安全防護向動態防護轉變。之後,美國防部在其信息安全及網路戰防禦理論探索中吸收了這一思想,並於1995年提出了“信息保障”概念。
防禦機制
總的來說,與以前的信息安全概念相比,信息保障概念的範圍更加寬泛。從理念上看,以前信息安全強調的是“規避風險”,即防止發生並提供保護,破壞發生時無法挽回;而信息保障強調的是“風險管理”,即綜合運用保護,探測、反應和恢復等多種措施,使得信息在攻擊突破某層防禦後,仍能確保一定級別的可用性、完整性、真實性、機密性和不可否認性,並能及時對破壞進行修復。再者,以前的信息安全通常是單一或多種技術手段的簡單累加,而信息保障則是對加密,訪問控制、防火牆、安全路由等技術的綜合運用,更注重入侵探測和災難恢復技術。
信息保障是防禦範疇的信息作戰
信息作戰是資訊時代聯合作戰必不可少的作戰樣式。美軍信息作戰的主要目的是保護美軍的信息和信息系統,干擾和破壞敵方的信息和信息系統,從而獲取並保持信息優勢,並有效地將其轉換為決策優勢,最終為聯合部隊提供競爭優勢。在美軍2006年版的《聯合信息作戰條令》中,信息作戰包括5大“核心能力”(包括電子戰,計算機網路攻擊、心理戰、軍事欺騙和作戰保密)以及“支援能力”(包括信息保障、物理安全、物理攻擊、反情報等)和“相關能力”(包括公共事務、軍民關係和外交支持等)。信息作戰就是綜合運用這些能力,影響、破壞、擾亂和剝奪敵方決策能力,同時保護己方信息和信息系統的一種作戰行動。
2006年版的《聯合信息作戰條令》是這樣解釋“信息保障”的綜合利用各種保護和防護措施,包括檢測、回響、恢復等,確保信息和信息系統的可用性、完整性、真實性、機密性和不可否認性。也就是說,信息保障的最終目的是要確保信息能為己方所用,即使其受到攻擊或破壞,也能被及時有效的恢復。其中,可用性,是指信息要能按照授權被訪問和使用。破壞信息可用性的基本方法是利用某種方式阻斷信息(如破壞網路和有關係統)。完整性,是指信息不被竄改、破壞和丟失,保證信息的完整性是信息安全的基本要求,破壞信息的完整性是進行信息攻擊的主要目的之一。可控性,是指要保證信息系統能以人們可接受的質量水平持續運行,並提供有效的信息服務。機密性,是指不能讓信息泄露給非授權用戶和實體,即使被截獲也無法使用。不可否認性,是指要能保證對收發信息的雙方的身份和事實進行確認,任何一方在以後都不能抵賴曾處理過特定數據這一事實。
由此可見,信息作戰是信息環境下,以信息和信息系統為作戰對象的多種軍事行動的集合,它既包括防禦保護也包括進攻打擊,而信息保障重在防禦,即保護信息環境中可為己方使用的信息和信息系統。
發展特點
近20年來,以信息技術為核心的高新技術以驚人的速度發展,在軍事領域引發了一系列深刻的變革,戰爭形態從機械化向信息化轉變,軍隊的作戰方式和作戰手段也呈現出嶄新的面貌。1997年5月,美軍首次在官方檔案中正式確立了“轉型”這一建軍思想,提出要“為未來而轉型美國部隊”,開始了打造一支“靈活的、以網路為中心的、基於知識”的軍隊的歷程。信息保障作為這種轉型的一個主要支柱,在發揮其效力的同時體現出了以下3個顯著特點。
採用了“深度防禦”策略
1995年,美國防部發現其計算機網路系統遭受725萬餘次的外來襲擊。當時國防部認為,其計算機系統防禦能力相當低下,對襲擊的發現機率僅為12%,能做出反應的還不到1%,這種緊迫形勢引起了美軍方高度重視。1996年11月,美國防科學委員會的一份關於信息戰防禦能力的評估報告再次指出,國防部網路、信息系統存在很多漏洞和薄弱環節,而且未來還會面臨更加嚴峻挑戰,要求“國防部必須採取特別行動來提高國防部應對現有和不斷出現的威脅的能力”。為此,1996年,美軍在《聯合構想2010》中,正式把“信息保障”確定為信息優勢能力的重要組成。在此指導之下,美國防部提出“信息保障戰略計畫”,旨在構建一種動態、可持續、全方位的信息保障機制。之後,美國防部在綜合考慮技術可行性、成本效益和組織機制等各方面問題的基礎上,提出了“深度防禦”(DefenseinDeplh)策略。“深度防禦”的基本思想就是要對攻擊者和目標之間的信息環境進行分層,然後在每一層都“搭建”由技術手段和管理等綜合措施構成的一道道“屏障”,形成連續的、層次化的多重防禦機制,保障用戶信息及信息系統的安全,消除給攻擊網路的企圖提供的“缺口”。
“深度防禦”策略包括3個範疇,即人、技術和操作。其中,人指管理人員、操作人員和用戶,美國防部要求對他們進行培訓教育,培養信息保障意識,並確保對其進行有效的管理:技術是指技術框架以及具體的技術手段和標準,還包括對技術的認證與評估;操作是指對信息和信息系統的監督、評估、探測、警告和恢復等行為。在“深度防禦”策略中,網路基礎設施、計算環境、飛地邊界、支撐性設施是美軍確定的4個重點防護層面。其中,飛地(encalve)指採用單一安全機制控制下的物理環境,包括用戶設備、伺服器、路由器等以及由其構成的區域網路,邊界是通過區域網路相互連線、採用單一安全策略並且不考慮物理位置的局域計算設備。
實踐中發展
美軍的信息保障能力建設曾一度處於無序狀態,各軍種、各部門獨立實施,無法集成,效率低下。早在1992年,美國防部就曾在“21世紀構想——國防信息系統安全計畫”中,對從國防部層面加強信息安全建設的問題進行過探討。隨著信息安全形勢日趨嚴峻,1997年11月,負責C31的助理國防部長在“國防部信息保障項目的管理流程”分析報告中指出,鑒於國防部網路體系複雜性不斷增加,信息管理的難度越來越大,當前的信息保障工作只有很少一部分是有效的,必須儘快確定信息保障的優先發展方案,以解決國防部信息系統和網路面臨的安全威脅。至此,美國防部開始在整個國防領域統一規劃信息保障能力建設。1998年1月30日,當時的C31助理國防部長正式簽發了“國防領域信息保障項目計畫”(DIAP),並於1999年2月制定了具體的實施計畫,確定了重點建設任務。隨著美軍轉型的不斷推進,美軍關於信息保障的法規體系也逐步建立健全。2002年10月發布“信息保障”指令(8500.1)、2003年2月發布“信息保障”指示c8500.2)後,美國防部便把信息保障相關指令全部歸併為8500系列指令,作為指導信息保障能力建設的頂層檔案。至此,美軍的信息保障開始朝著更規範和更一致的方向發展。
高度重視,層層落實
在實施軍事轉型的過程中,美軍高度重視以信息保障為主體的信息安全體系建設。2003年4月,美國防部公布《轉型計畫指南》,把確保信息和信息系統安全確定為六大關鍵作戰目標之一。2004年,美《國防部信息保障戰略規劃》中也明確指出,美軍信息保障建設的戰略任務,是要“全面、深入、動態地保護國防部的信息和信息系統,使其能夠持續、可靠地支持國防部的轉型……”。陸海空三軍也在其轉型路線圖中把信息保障確定為發展轉型能力的重要因素,並在其轉型的各個領域加以實施,用以支撐其順利達成預期目標。2006年,美國防部頒布新版《四年一度防務評審》,再次明確強調:要把旨在提高信息和網路安全防禦能力的“信息保障”與轉型能力建設緊密結合起來。
