彭设强

（中国人民解放军国防信息学院，湖北武汉430010）

随着信息技术的不断发展， 国内外信息安全形势愈加严峻，2011年12 月， 继CSDN、 天涯社区用户数据泄露之后， 支付宝1500 万～2500 万用户账号（没有密码）信息泄露，被用于网络营销；2012 年2月， 美国一系列政府网站均遭到了Anonymous 组织的攻击， 而其中CIA 官网被黑长达9 小时，这一组织之前曾拦截了伦敦警察与FBI 之间的一次机密电话会谈，并随后上传于网络，使得互联网应用人心惶惶，如何加强信息安全，作为其核心的信息安全策略已得到了高度重视。

1 信息安全策略的内涵

随着信息安全理论与技术的不断发展，人们已经从对安全产品的关注转移到对安全策略的关注，因为同样的安全产品，如果采用不同的安全策略，其结果可能大不相同，合理的安全策略可以起到安全倍增器的作用，反之，错误的安全策略可能会严重削弱系统的安全性。

策略作为一个汉语词汇，“策”本意是指竹制的马鞭；“略”是指封疆土地。辞海中对策略的解释为：为实现战略任务而采取的手段，是指一系列政策、措施，是局部性的，在战略原则许可的范围内具有较大灵活性。

在信息安全领域中，“策略”一词来自于“policy”的翻译。 Policy 源自希腊语polis，是指“一条行动路线、指导原则或程序，被认为是权宜的、谨慎的或是有利的。 ”按这个原意，安全策略应该是指在安全保障方面的行动路线、指导原则或程序。也就是说，安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。 或者说，安全策略是指在一个系统（网络）中关于安全问题采取的原则，对安全使用的要求，以及如何保护信息的安全。

信息防护不是一个静态过程， 而是一个包括5 个主要环节的动态过程，即Policy（安全策略）、Protection（保护）、 Detection（检测）、Response（响应）和Recovery（恢复），即PPDRR 模型。 在安全策略的指导下，保护、检测、响应和恢复组成了一个完整的、动态的循环来保证信息的安全。因此，在实施信息安全过程中，首先应进行系统安全需求和安全风险分析，确定系统的安全目标，然后制定相应的安全策略，再根据PPDRR 模型，进行动态防护，其中，安全策略是整个系统安全的依据，策略一旦制定，应当作为整个系统安全行为的准则。

2 美国信息安全策略的现状

美国最高当局历来把信息安全视为国家安全的重要组成部分，从20 世纪80 年代末到90 年代，美国政府把信息安全提高到了“国家安全”的战略高度，尤其重视信息系统的保护。 美国政府以政府通告、总统训令等形式不断推出信息安全政策方针和各类规章制度，逐步形成了一整套信息安全防范体系，并规定每隔数年必须重新审定。

1994 年4 月美国总统克林顿遵循先例，发布了第29 号总统决策令，要求修改信息安全政策，强化信息安全保密机构。美国近几届国防部长也都十分关注信息安全防护问题，并直接领导了有关工作。 美国参谋长联席会议和三军首脑也是信息战及信息安全防护的积极推动者。

美国防部1996 年投资10 亿美元为所有数据加密，以保护信息系统安全。 1996 年2 月28 日，五角大楼的战略情报专家正式提出了一份名为《互联网络评估》的报告，主张美军方要对因特网实行监控。 美陆军1996 年数字化总计划特别强调了信息和信息系统的安全问题，计划要对信息系统的脆弱性进行分析和评估，并提出了保护战场信息流的策略。

“9.11”事件之后，布什政府为了体现其对国家信息安全的重视，不仅宣布了新的网络空间安全国家计划， 而且采取各种有效措施，全面加强网络与信息安全的防范工作，其中包括大规模增加反恐开支和用于信息安全的经费。

2009 年5 月29 日，奥巴马政府公布了《美国网络安全评估》报告，报告评估了美国政府在网络空间的安全战略、策略和标准，指出了存在的问题，提出行动计划。奥巴马也于报告发布当天明确要求，要将保护网络基础设施作为维护美国国家安全的第一要务。 2010 年6 月，美国国防部正式组建由战略司令部领导的网络战司令部，主要进行数字战争，防护针对美军计算机网络的安全威胁，该司令部于同年10 月开始运作。

3 美国信息安全策略特点

美国信息安全策略的特点主要体现在两个方面。 一是，实现网络威慑战略。美国具备了网络威慑的条件：Intel 的CPU 占据全球计算机90%的市场份额；微软的操作系统已经占据了世界个人电脑操作系统的85%以上；思科核心交换机遍布全球网络节点；在互联网应用方面技术积累时间长、应用最为广泛。美军还具备网络攻击的经验，在科索沃战争、伊拉克战争中，美军曾经通过网络攻击，挫毁对手的信息系统，达到瘫痪对手的目的。 二是，全面发展“先发制人”的网络攻击能力。 美国是世界上第一个引入网络战概念的国家，也是第一个将其应用于战争的国家。 2008 年初，布什赋予国防部更大的网络战反制权，允许美军主动发起网络攻击。要求美军具备进入任何远距离公开或封闭的计算机网络的能力，然后潜伏在那里，保持“完全隐蔽”并“悄悄窃取信息”，最终欺骗、拒绝、瓦解对方系统，兵不血刃地破坏敌方的指挥控制、情报信息和防控设施等军用网络系统，甚至可以悄无声息地破坏、控制敌方的商务、政务等民用网络系统。

4 美国信息安全策略的几点启示

深入分析美国网络安全策略，不难得出以下三方面的启示。一是，深化安全防护技术的研究，加强关键基础设施保护能力。 无论是克林顿的政令还是奥巴马的网络安全评估报告，都突出了利用安全防护技术加强对关键基础设施的保护。美军打造一支以网络中心战为核心的队伍，目的是实现可靠的、可信的、信息可以高度共享的、可互联互通互操作的动态基础设施，以满足网络中心战的需求。目前，虽然我军的信息安全水平有了明显提高，安全防护体系已经初步建立，但随着信息技术的不断发展和国际上攻击技术的进步，我们应该进一步深化安全防护技术的研究，加强对基础设施的保护。二是，深入开展网络安全模拟仿真技术研究，加强模拟真实环境检验网络安全水平的能力。 美军通过多次网络风暴演习， 充分检验了基础设施之间的协调能力、国家机构的应急响应能力等。美军网络风暴演习都是通过安全模拟仿真技术进行特制，模拟真实环境中发生过的情况。 我国也应深入开展安全模拟仿真技术的研究，具备在线组织实施演练、评估等能力，实现“以训代战”的目的，通过模拟多样的攻击方式、针对攻击检验安全防护策略、以及对安全事件进行的响应，从而促进网络攻击对抗能力的提高和应急响应机制的完善。 三是，建立和强化防范机制。 这些机制包括加强网络安全防范意识教育，彻底消除侥幸心理，形成主动防范、积极应对的全民意识；提高安全监测、防护、响应、恢复和抗击能力；加快出台相关法律法规，改变目前相关法律法规太笼统、缺乏可操作性的现状，对各种信息主体的权利、义务和法律责任做出明晰的法律约束；加强网络运行管理机制，强化安全措施和解决方案；加快制定信息安全国家标准。

［1］旷野，闫晓丽.美国网络空间可信身份战略的真实意图[J].信息安全与技术，2012（11）.

［2］彭设强，郑皓，彭曙光.高等院校教师年度考核绩效管理系统的安全设计与实现[J].科技信息，2010（17）.