版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
分析:网络空间安全战略思考与启示
一、美国网络空间安全战略启示(一)美国将网络空间安全由“政策”、“计划”提升为国家战略美国在网络空间战略是一个认识发展的过程。首先是1998年发布的第63号总统令(PDD63)《克林顿政府对关键基础设施保护的政策》,紧接着2000年发布了《信息系统保护国家计划v1.0》。布什政府在2001年911事件后马上发布的第13231号行政令《信息时代的关键基础设施保护》,并宣布成立“总统关键基础设施保护委员会”,由其代表政府全面负责国家的网络空间安全工作。并研究起草国家战略,于2003年2月正式发布《保护网络空间的国家战略》,又于2008年发布机密级的第54号国家安全总统令,设立“综合性国家网络安全计划”,该计划以“曼哈顿”(二战研制原子弹)命名,具体内容以“爱因斯坦”一、二、三组成,目的是全面建设联邦政府和主要信息系统的防护工程,建立全国统一的安全态势信息共享和指挥系统。(二)美国网络空间安全战略进一步完善2008年4月,布什总统发布了《提交第44届总统的保护网络空间安全的报告》,建议美国下一届政府如何加强网络空间安全。2009年2月,奥巴马政府经过全面论证后,公布了《网络空间政策评估——保障可信和强健的信息和通信基础设施》报告,将网络空间安全威胁定位为“举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“数字基础设施将被视为国家战略资产,保护这一基础设施将成为国家安全的优先事项”,全面规划了保卫网络空间的战略措施。2009年6月,美国国防部长罗伯特.盖茨正式发布命令建立美国“网络空间司令部”以统一协调保障美军网络安全和开展网络战等军事行动。该司令部隶属于美国战略司令部,编制近千人,2010年5月,美国网络司令部正式启动工作。(三)网络空间国际和战争战略2011年5月,美国白宫网络安全协调员施密特发布了美国《网络空间国际战略》,其战略意图明显,即确立霸主,制定规则,谋求优势,控制世界;同年7月,美国国防部发布《网络空间行动战略》,提出5大战略措施,用于捍卫美国在网络空间的利益,使得美国及其盟国和国际合作伙伴可以继续从信息时代的创新中获益。2012年10月,奥巴马签署《美国网络行动政策》(PDD21),在法律上赋予美军具有进行非传统作战权力,明确从网络中心战扩展到网络空间作战行动等。2013年2月,奥巴马发布第13636号行政命令《增强关键基础设施网络安全》,明确指出该政策作用为提升国家关键基础设施并维护环境安全与恢复能力。2013年4月,奥巴马向国会提交《2014财年国防预算优先项和选择》提出至2016年整编成133支网络部队,其中国家任务部队68支,作战任务部队25支,网络防御部队40支。2014年2月,美国国家标准与技术研究所针对《增强关键基础设施网络安全》提出《美国增强关键基础设施网络安全框架》(V1.0),强调利用业务驱动指导网络安全行动,并为四个等级,组织风险管理进程。按网络安全风险程度不同分2015年4月23日,美国五角大楼发布新版网络安全战略概要,首次公开要把网络战作为今后军事冲突的战术选项之一,明确提出要提高美军在网络空间的威慑和进攻能力。不仅美国紧锣密鼓执行网络空间国际和战争战略,最近颁布的北约网络空间安全框架表明,目前世界上有一百多个国家具备一定的网络战能力,公开发表网络安全战略的国家达56家之多。由此可见,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进,这对我国网络安全提出了严峻的挑战,我们应积极应对,加快建设我国网络安全保障体系,捍卫我国网络安全国家主权。二、构建主动防御的技术保障体系(一)可信免疫的计算体系结构现在使用的计算机体系结构在设计时只追求计算速度并没有考虑安全因素,如系统任务难以隔离、内存无越界保护等,这直接导致了网络化环境下的计算服务存在大量安全问题,如源配置可被篡改、恶意程序被植入执行、利用缓冲区(栈)溢出攻击、非法接管系统管理员权限等。可信计算是信息科学发展的结果,是一种新的可信免疫计算模式。可信计算采用运算和防御并行的双体系架构,在计算运算的同时进行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰。对比当前大部分网络安全系统,其主要是由防火墙、入侵监测和病毒防范等组成,称为“老三样”。形象的说,这些消极被动的封堵查杀是治标不治本,而可信计算实现了计算机体系结构的主动免疫,与人体免疫一样,能及时识别“自己”和“非己”成份,从而破坏与排斥进入机体的有害物质,使有缺陷和漏洞不被攻击者利用。。云计算、大数据、物联网、工业系统移动互联网、虚拟动态异构计算环境等新型信息技术应用都需要可信免疫体系作为其基础支撑。构建可信安全管理中心支持下的三重防护框架能够保障体系结构,确保操作行为、资源配置、数据存储盒策略管理的可信,达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成和攻击行为赖不掉的防护效果,如果有可信机制,“震网”、“火焰”、“心脏滴血”等恶意代码可不杀自灭。(二)中国可信计算技术创新中国可信计算于1992年正式立项研究并规模应用,早于国际可信计算组织(TCG,2000年成立)。研究TCG可信计算方案发现其体系存在的问题有:(1)密码体制的局限性:TCG公钥密码算法只采用了RSA,杂凑算法只支持SHA1系列,回避了对称密码,由此导致密钥管理、密钥迁移和授权协议的设计复杂化,也直接威胁着密码的安全;(2)体系结构不合理:TCG的TPM外挂调用是一种被动体系结构,无法执行动态主动度量。中国可信计算经过长期攻关,不仅解决了TCG的上述问题,还形成了自主创新的体系,其创新点包括:(1)可信计算平台密码方案创新采用国家自主设计的算法,提出了可信计算密码模块(TCM),以对称密码与非对称密码相结合体制,提高了安全性和效率;采用双证书结构,简化证书管理,提高了可用性和可管性。(2)可信平台控制模块创新提出了可信平台控制模块(TPCM),TPCM作为自主可控的可信节点植入可信源根,在TCM基础上加以信任根控制功能,实现了以密码为基础的主动控制和度量;TPCM先于CPU启动并对BIOS进行验证,由此改变了TPM作为被动设备的传统思路,实现了TPCM对整个平台的主动控制。(3)可信主板创新在可信平台主板中增加可信度量节点(TPCM+TCM),构成了宿主加可信的双节点,实现到操作系统的信任传递,为上层提供可信硬件环境平台;对外设资源实行总线级的硬件可信控制,在CPU上电前TPCM主动对BootROM进行度量,使得信任链在“加电第一时刻”开始建立;并利用多度量代理建立信任链,为动态和虚拟度量提供支撑。(4)可信基础支撑软件创新采用宿主软件系统+可信软件基的双系统体系结构,,可信软件基是可信计算平台中实现可信功能的可信软件元件的全体,对宿主软件系统提供主动可信度量、存储、报告等保障。(5)可信网络连接创新采用基于三层三元对等的可信连接架构,进行访问请求者、访问控制者和策略仲裁者之间的三重控制和鉴别;对三元集中控管,提高架构的安全性和可管理性;并对访问请求者和访问控制者实现统一的策略管理,提高系统整体的可信性。(三)解决核心技术受制于人问题(1)中国可信计算产业化条件具备。《国家中长期科学技术发展(2006-2020年)》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”,“十二五”规划有关工程项目都把可信计算列为发展重点,可信计算标准系列逐步制定,研究制定单位达40多家,参加人员达400多,标准的创新点都作了技术验证,申报专利达40多项。不少单位和部门已按有关标准研制了芯片、整机、软件和网络连接等可信部件和设备,并在国家电网调度等重要系统中得到了有效的应用。2014年4月16日,成立了中关村可信计算产业联盟,大力推进产业化、市场化。(2)为全面替代国外产品打基础。2014年4月微软公司停止对WindowsXP的服务支持,全国约2亿台运行XP操作系统的终端将面临无人服务的局面;而Windows8和Vista(2006年政府明确不采购)是同类架构,升级为Windows8不仅耗费巨资,还会失去安全控制权和二次开发权。利用自主创新的可信计算加固XP系统可以方便的把现有设备升级为可信计算机系统,以可信服务替代打补丁服务,应用系统不用改动,便于推广应用。基于开源技术发展自主操作系统是现实选择。经过20多年的攻关,我们在操作系统关键技术上有相当的积累和储备,这些技术积累主要是在开源操作系统基础上取得的突破。从继承的角度,我们需要选择开源作为技术路线;从发展的角度,目前也来不及重新编码形成一套完全新的操作系统,要共享人类知识财富,开源依然是现实选择。自主创新不是封闭起来搞安全,而是要充分继承和发展。要做到“五可”“一有”:可知:对开源系统完全掌握其细节,不能有不可知代码的困惑;可编:要基于对开源代码的理解,完全自主编写代码;可重构:面向具体的应用场景和安全需求,对基于开源技术的代码进行重构,形成定制化的新的体系结构;可信:通过可信计算技术增强自主操作系统免疫性,防范自主系统中的漏洞影响系统安全性;可用:做好应用程序与操作系统的适配工作,确保自主操作系统能够替代国外产品。有自主知识产权:要对最终的自主操作系统拥有自主知识产权,并处理好所使用的开
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 《医学伦理学》课程教学大纲 2
- 辽宁省鞍山市重点高中2024-2025学年高一上学期10月月考化学试题含答案
- 2024年仿古摆摊车转让合同范本
- 2024年出售井盖合同范本大全
- 2024年出口导弹合同范本大全
- 剖宫产术前术后的护理常规
- 四川省德阳市中江县2024-2025学年七年级上学期11月期中历史试题(含答案)
- 乳癌的护理查房
- 商业综合体消防岗位培训
- 低血糖护理业务学习
- 《ST欧浦大股东掏空行为案例研究》
- 医院改扩建工程可行性研究报告(论证后)
- 【初中生物】第三章微生物检测试题 2024-2025学年人教版生物七年级上册
- 六年级数学上册 (基础版)第4章《比》单元培优拔高测评试题(学生版)(人教版)
- 《中华人民共和国药品管理法》
- 医科大学2024年12月肿瘤护理学作业考核试题答卷
- 2024年大型风力发电项目EPC总承包合同
- 2025届浙江省宁波市海曙区效实中学物理高二第一学期期末考试试题含解析
- 2025届高考语文一轮复习:二元思辨类作文思辨关系高阶思维
- 《中国慢性阻塞性肺疾病基层诊疗与管理指南(2024年)》解读
- HSK标准教程5下-课件-L7
评论
0/150
提交评论