一、 背景
  信息技术的飞速发展,新的信息技术和产品的大量涌现,全面推动了信息网络的发展。在信息网络已经成为国家的重要基础设施情况下,如何保证信息产品的安全性越来越受到世界各国的高度重视。
  由于信息产品的安全性直接涉及国安全和利益,美国政府早在20世纪70年代就开展了信息产品安全性评估的研究,并于1985年正式公布了“可信计算机系统评估准则(TCSEC)”,也被称为“桔皮书”,随后又颁布了一系列的解释性文件。为了IT市场的发展, 1993年6月,六国七方(加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA)联合将各自独立的准则集合成统一的IT安全标准。
  二、美国政府关于信息安全产品的策略
  美国政府始终坚持把保证信息产品的安全性和可信度作为国家信息基础建设的重要组成部分。1998年5月22日,美国政府颁发了《保护美国关键基础设施》总统令(PDD63)。围绕“信息保障”成立了多个组织,其中就包括专门针对信息产品安全评估而成立的组织。随后又出台了一系列政策法规来加强对信息产品的管理和规范,这些政策法规体现了政府关于信息安全产品的管理策略,主要包括以下几个方面:
  1. 设置专门机构加强对信息产品的安全性评估。
  根据美国有关法律规定,信息安全工作是由美国商务部下属的国家信息与技术研究所 (NIST)与国防部下属的国家安全局(NSA)分工负责。NIST主要负责非保密信息(即敏感信息)的信息安全工作;主持制定和推广计算机安全标准和指导方针,帮助联邦政府各部委解决各种信息安全问题,而NSA主要负责保密信息的信息安全工作;帮助政府其它机构解决与“国家安全系统”有关的信息安全问题,出版“信息系统安全产品和服务名录”,其中包括已通过NSA评估的安全产品的名单。
  为适应信息技术快速发展需要,进一步加强对信息产品的监管力度,NIST与NSA合作成立了一个专门从事信息产品安全评估的机构-国家信息保障同盟(NIAP)。该机构的主要成员由NIST和NSA的专业技术和管理人员组成,其目标就是代表国家指导和监督信息产品的安全评估工作。该组织通过建立规范的产品评估计划,坚持独立公正的测试与评估,从而保证评估结果的真实性。
  2. 对信息产品进行分类管理,分级评定,以满足不同级别系统的安全需求。
  根据信息产品特性分为信息安全产品、信息安全相关产品和密码产品,对于不同产品采用不同的评估标准,不同的标准又划分了不同的安全等级。
  信息安全产品(IA product):是指以提供安全服务(如数据的保密性、完整性、身份鉴别、访问控制和抗抵赖等)为目的的信息产品;能够提供分层的保护,防范对信息系统或网络的非法访问和恶意攻击等行为,能够弥补已知的安全漏洞。该类产品主要包括:防火墙、ids、防病毒、PKI/PMI、VPN等产品。政府对于这类产品采用CCEVS管理模式,即,以通用标准CC为依据对产品进行安全测试与评估,评估其对安全目标和要求的满足程度,CC标准对信息产品的保证(Assurance)分为七个安全级别(从EAL1到EAL7),级别越高,安全性越好。所有产品的测试都是在评估实验室(CCEL)中独立进行,NIAP严格控制对评估实验室资格的评定与授权,授权过程遵照实验室授权程序(NVLAP)进行。
  信息安全相关产品(IA product-enabled):指的是产品或技术的主要功能不是提供安全服务,但是能够提供一些安全特性,如:安全浏览器、筛选路由器,操作系统、数据库等产品。这类产品同样也属于评估范围之内,同信息安全产品一样,采用CCEVS管理模式对其安全性进行评估。
  密码产品(cryptographic modules):指含有密码模块的安全产品,也属于信息安全产品的一种,但是由于涉及密码技术因而有其特殊性。对于密码产品的评估采用CMVP管理模式,即,采用FIPS 140-2作为安全评估标准,该标准从11个方面对产品进行安全评估,共分为4个安全等级。所有产品的测试都是在评估实验室(CCEL)中独立进行,NIAP负责依据NVLAP程序对评估实验室进行评定与授权。
  3. 严格控制政府信息系统中的产品的准入关
  美国对政府机构的信息产品采购要求非常严格,应用于政府信息系统中的产品分为政府专用产品(GOTS)和商业现货产品(COTS)。
  政府专用产品:指由政府参与和出资开发的信息产品,他通常具有一般商业产品所不具备的安全特性和保证,产品在国内和国外的使用是受限制的。即使是这类产品也必须经过NSA的授权后才能应用到政府机构中。
  商业现货产品:指一般的以商业应用为目的而开发的信息产品,典型的特点是没有或很少由政府出资或参与开发的信息产品。由于信息技术的发展,深刻的改变了美国政府对信息系统保护的方法和策略,商业现货产品(COTS)已经成为以往国家政府机构专用安全产品(GOTS)的重要的补充。2000年1月,国家电信与信息系统安全委员会(NSTISSC,后更名为国家安全系统委员会CNSS)发布(NSTISSP)11号文件(2003年7月,对文件进行了修订)。规定了采办商业现货产品时,要依照政府开发的PP(Protection Profiles,政府开发的PP分为高、中、低三个等级),从NIAP的授权产品清单(Validated Products List)中选取能够满足PP要求的产品;如果清单中没有能够满足政府PP的授权产品,或者是目前还没有相关的政府PP,则从清单中选取已经满足该项技术安全目标的授权产品;如果授权产品清单中还没有该项技术的相应产品,则从正处于评估阶段的产品和PP中选取。
  采办政府机构中的信息产品时,还必须结合产品实际应用环境做出一个完整的安全方案,并对安全方案进行综合评估。为便于实施,NSA还提供了一个有关如何合理使用商业现货和政府现货信息产品的指南。
  美国政府关于国家关键基础设施中的信息产品的安全策略,与政府机构的安全策略相同。
  4. 限制部分信息安全技术及产品的出口政策。
  1997年2月,美国政府颁布了“关于信息安全技术及产品对外国政府开放的管理规定”(CNSS Policy No.8仅供官方使用)。同时,美国还专门颁布法律限制强密码技术和产品出口国外,目的是保持其在信息技术领域的优势地位,维护其国家安全和利益。
  5. 政府部门与研究机构合作,加强信息安全技术和产品的研究与开发。
  目前,NIST下设的计算机安全事业部(CSD)主要负责信息产品脆弱性研究与信息安全技术开发,包括制定有关信息技术标准、测试与评估方法及实施方案,同时也为用户制定实施指南,帮助用户更好地设计、建设、管理和维护自己的信息系统。
  三、美国关于产品的安全策略对于我们的借鉴意义
  美国关于信息产品的安全策略的重点是坚持信息安全技术和产品的发展要始终处于政府的监督、引导和控制之下,尤其是对于信息安全的关键技术,如密码技术,更是直接控制在政府的手中。对于应用在政府机构或国家基础设施环境中可能涉及机密信息的信息产品,采取强有力的控制措施,保证国家的信息安全。
  从这个角度来看,我国的信息安全技

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。