更新时间:2024-09-21 15:19
“信息保障”(informationassurance,IA)概念是美国国防部于20世纪90年代率先提出的,后经多次修改、完善,已得到世界范围的广泛认可。
就其本质来说,信息保障是一种保证信息和信息系统能够安全运行的防护性行为,是信息安全在信息时代的新发展。信息保障的对象是信息以及处理、管理、存储、传输信息的信息系统;目的是采取技术、管理等综合性手段,使信息和信息系统具备机密性、完整性、可用性、可认证性、不可否认性,以及在遭受攻击后的可恢复性。
随着人类社会步入信息时代,信息已成为重要的战略资源。信息和信息系统安全已成为21世纪关乎国家安全,特别是军事安全的关键因素。美军认识到,在其军事系统网络化、信息化程度空前提高,并产生巨大军事效益的同时,伴随而来的必定是风险增加、漏洞丛生等“负效应”。曾有报道,美国防部每年由于计算机网络系统本身以及构建于其上的各种信息系统遭受外来攻击而造成的损失可达几千万甚至几亿美元。更严重的是,美国防部认为,外界对其计算机系统的攻击行动,已使其大量重要军事信息遭到破坏、窃取和窜改,而且其趋势大有愈演愈烈之势,对其军事安全构成了巨大的威胁。为了应对这些威胁与风险,提高其信息和信息系统防御各类攻击和破坏的能力,上世纪90年代初,美军提出了“信息保障”概念,开始实施“信息保障战略”,并将信息保障确立为其军事转型各个领域的首要任务之一。
随着技术的不断发展和认识的不断深入,美军“信息保障”概念的内涵和外延也在实践中不断扩充和延伸,已经从最初的一套简单的纯技术防护措施,发展到现在由“人”、“技术”和“操作”三个范畴共同构成的一个综合体系,包括了政策管理、组织实施、运行使用、基础设施建设等方方面面的内容,成了指导美军构建信息安全体系的重要战略思想。
信息安全问题始终伴随着信息技术的发展而发展,先后经历了早期的“通信保密”(COMSEC)、“信息系统安全”(1NFOSEC)和目前的“信息保障”三个阶段。每个阶段虽然在满足的需求、关注的目标以及发展的技术等方面各不相同,但其根本出发点都是要保护信息,确保其能为己所用。
20世纪40、50年代,信息安全以通信保密为主体,要求实现信息的机密性。这一时期的信息安全需求基本来自军政指挥体系方面的“通信保密”要求,主要目的是要使信息即使在被截获的情况下也无法被敌人使用,因此其技术主要体现在加解密设备上。
20世纪60、70年代,随着小规模计算机组成的简单网络系统的出现,网络中多点传输、处理以及存储的保密性、完整性、可用性问题成为关注焦点;计算机之间的信息交互,要求人们必须采取措施在信息存储、处理、传输过程中,保护信息和信息系统不被非法访问或修改,同时不能拒绝合法用户的服务请求,其技术发展主要体现在访问控制上。这时,人们开始将“通信安全”与“计算机安全”合并考虑,“信息系统安全”(INFOSEC)成为研究热点。
进入20世纪90年代,随着网络技术的进一步发展,超大型网络迫使人们必须从整体安全的角度去考虑信息安全问题。网络的开放性、广域性等特征把人们对信息安全的需求,延展到可用性、完整性、真实性、机密性和不可否认性等更全面的范畴。同时,随着网络黑客、病毒等技术层出不穷、变化多端,人们发现任何信息安全技术和手段都存在弱点,传统的“防火墙+补丁”这样的纯技术方案无法完全抵御来自各方的威胁,必须寻找一种可持续的保护机制,对信息和信息系统进行全方位的、动态的保护。1989年卡耐基·梅隆大学计算机应急小组开始研究如何从静态信息安全防护向动态防护转变。之后,美国防部在其信息安全及网络战防御理论探索中吸收了这一思想,并于1995年提出了“信息保障”概念。
总的来说,与以前的信息安全概念相比,信息保障概念的范围更加宽泛。从理念上看,以前信息安全强调的是“规避风险”,即防止发生并提供保护,破坏发生时无法挽回;而信息保障强调的是“风险管理”,即综合运用保护,探测、反应和恢复等多种措施,使得信息在攻击突破某层防御后,仍能确保一定级别的可用性、完整性、真实性、机密性和不可否认性,并能及时对破坏进行修复。再者,以前的信息安全通常是单一或多种技术手段的简单累加,而信息保障则是对加密,访问控制、防火墙、安全路由等技术的综合运用,更注重入侵探测和灾难恢复技术。
信息保障是防御范畴的信息作战
信息作战是信息时代联合作战必不可少的作战样式。美军信息作战的主要目的是保护美军的信息和信息系统,干扰和破坏敌方的信息和信息系统,从而获取并保持信息优势,并有效地将其转换为决策优势,最终为联合部队提供竞争优势。在美军2006年版的《联合信息作战条令》中,信息作战包括5大“核心能力”(包括电子战,计算机网络攻击、心理战、军事欺骗和作战保密)以及“支援能力”(包括信息保障、物理安全、物理攻击、反情报等)和“相关能力”(包括公共事务、军民关系和外交支持等)。信息作战就是综合运用这些能力,影响、破坏、扰乱和剥夺敌方决策能力,同时保护己方信息和信息系统的一种作战行动。
2006年版的《联合信息作战条令》是这样解释“信息保障”的综合利用各种保护和防护措施,包括检测、响应、恢复等,确保信息和信息系统的可用性、完整性、真实性、机密性和不可否认性。也就是说,信息保障的最终目的是要确保信息能为己方所用,即使其受到攻击或破坏,也能被及时有效的恢复。其中,可用性,是指信息要能按照授权被访问和使用。破坏信息可用性的基本方法是利用某种方式阻断信息(如破坏网络和有关系统)。完整性,是指信息不被窜改、破坏和丢失,保证信息的完整性是信息安全的基本要求,破坏信息的完整性是进行信息攻击的主要目的之一。可控性,是指要保证信息系统能以人们可接受的质量水平持续运行,并提供有效的信息服务。机密性,是指不能让信息泄露给非授权用户和实体,即使被截获也无法使用。不可否认性,是指要能保证对收发信息的双方的身份和事实进行确认,任何一方在以后都不能抵赖曾处理过特定数据这一事实。
由此可见,信息作战是信息环境下,以信息和信息系统为作战对象的多种军事行动的集合,它既包括防御保护也包括进攻打击,而信息保障重在防御,即保护信息环境中可为己方使用的信息和信息系统。
近20年来,以信息技术为核心的高新技术以惊人的速度发展,在军事领域引发了一系列深刻的变革,战争形态从机械化向信息化转变,军队的作战方式和作战手段也呈现出崭新的面貌。1997年5月,美军首次在官方文件中正式确立了“转型”这一中国人民解放军建军纪念日思想,提出要“为未来而转型美国部队”,开始了打造一支“灵活的、以网络为中心的、基于知识”的军队的历程。信息保障作为这种转型的一个主要支柱,在发挥其效力的同时体现出了以下3个显著特点。
采用了“深度防御”策略
1995年,美国防部发现其计算机网络系统遭受725万余次的外来袭击。当时国防部认为,其计算机系统防御能力相当低下,对袭击的发现概率仅为12%,能做出反应的还不到1%,这种紧迫形势引起了美军方高度重视。1996年11月,美国防科学委员会的一份关于信息战防御能力的评估报告再次指出,国防部网络、信息系统存在很多漏洞和薄弱环节,而且未来还会面临更加严峻挑战,要求“国防部必须采取特别行动来提高国防部应对现有和不断出现的威胁的能力”。为此,1996年,美军在《联合设想2010》中,正式把“信息保障”确定为信息优势能力的重要组成。在此指导之下,美国防部提出“信息保障战略计划”,旨在构建一种动态、可持续、全方位的信息保障机制。之后,美国防部在综合考虑技术可行性、成本效益和组织机制等各方面问题的基础上,提出了“深度防御”(DefenseinDeplh)策略。“深度防御”的基本思想就是要对攻击者和目标之间的信息环境进行分层,然后在每一层都“搭建”由技术手段和管理等综合措施构成的一道道“屏障”,形成连续的、层次化的多重防御机制,保障用户信息及信息系统的安全,消除给攻击网络的企图提供的“缺口”。
“深度防御”策略包括3个范畴,即人、技术和操作。其中,人指管理人员、操作人员和用户,美国防部要求对他们进行培训教育,培养信息保障意识,并确保对其进行有效的管理:技术是指技术框架以及具体的技术手段和标准,还包括对技术的认证与评估;操作是指对信息和信息系统的监督、评估、探测、警告和恢复等行为。在“深度防御”策略中,网络基础设施、计算环境、飞地边界、支撑性设施是美军确定的4个重点防护层面。其中,飞地(encalve)指采用单一安全机制控制下的物理环境,包括用户设备、服务器、路由器等以及由其构成的局域网,边界是通过局域网相互连接、采用单一安全策略并且不考虑物理位置的局域计算设备。
美军的信息保障能力建设曾一度处于无序状态,各军种、各部门独立实施,无法集成,效率低下。早在1992年,美国防部就曾在“21世纪构想——国防信息系统安全计划”中,对从国防部层面加强信息安全建设的问题进行过探讨。随着信息安全形势日趋严峻,1997年11月,负责C31的助理国防部长在“国防部信息保障项目的管理流程”分析报告中指出,鉴于国防部网络体系复杂性不断增加,信息管理的难度越来越大,当前的信息保障工作只有很少一部分是有效的,必须尽快确定信息保障的优先发展方案,以解决国防部信息系统和网络面临的安全威胁。至此,美国防部开始在整个国防领域统一规划信息保障能力建设。1998年1月30日,当时的C31助理国防部长正式签发了“国防领域信息保障项目计划”(DIAP),并于1999年2月制定了具体的实施计划,确定了重点建设任务。随着美军转型的不断推进,美军关于信息保障的法规体系也逐步建立健全。2002年10月发布“信息保障”指令(8500.1)、2003年2月发布“信息保障”指示c8500.2)后,美国防部便把信息保障相关指令全部归并为8500系列指令,作为指导信息保障能力建设的顶层文件。至此,美军的信息保障开始朝着更规范和更一致的方向发展。
高度重视,层层落实
在实施军事转型的过程中,美军高度重视以信息保障为主体的信息安全体系建设。2003年4月,美国防部公布《转型计划指南》,把确保信息和信息系统安全确定为六大关键作战目标之一。2004年,美《国防部信息保障战略规划》中也明确指出,美军信息保障建设的战略任务,是要“全面、深入、动态地保护国防部的信息和信息系统,使其能够持续、可靠地支持国防部的转型……”。陆海空三军也在其转型路线图中把信息保障确定为发展转型能力的重要因素,并在其转型的各个领域加以实施,用以支撑其顺利达成预期目标。2006年,美国防部颁布新版《四年一度防务评审》,再次明确强调:要把旨在提高信息和网络安全防御能力的“信息保障”与转型能力建设紧密结合起来。