２００８年國外信息安全建設(shè)發(fā)展綜述

周保太

2008年，世界各國在信息安全建設(shè)方面繼續(xù)保持強勁的發(fā)展勢頭。信息安全管理力度進(jìn)一步加大，量子密碼技術(shù)研究出現(xiàn)了新的突破，密碼裝備升級換代步伐加快網(wǎng)絡(luò)安全技術(shù)開發(fā)也取得了新進(jìn)展。

信息安全管理力度進(jìn)一步加大

2008年，國外在信息安全管理方面采取了許多重要措施。

美國總統(tǒng)發(fā)布網(wǎng)絡(luò)安全命令

為保護(hù)政府計算機(jī)系統(tǒng)免遭國外敵手和其他入侵者的攻擊，美國前總統(tǒng)布什2008年1月8日簽署第54號國家安全總統(tǒng)令。按照總統(tǒng)令的要求，五角大樓將制定網(wǎng)絡(luò)入侵防御戰(zhàn)略；國家安全局將對美國政府的所有計算機(jī)網(wǎng)絡(luò)實施監(jiān)控，并依據(jù)命令對攻擊美國關(guān)鍵信息系統(tǒng)的外國特定服務(wù)器進(jìn)行監(jiān)控。

美國防部發(fā)布通信安全指令

美國防部2008年4月22日發(fā)布8523號“通信安全”指令，對通信安全政策、職責(zé)和實施程序進(jìn)行重新規(guī)定以適應(yīng)當(dāng)前軍事信息安全保密的需要。指令要求國防部的通信安全活動應(yīng)與現(xiàn)有的和規(guī)劃的國防部信息系統(tǒng)兼容，要符合通用性，互通性、兼容性、標(biāo)準(zhǔn)化和抗毀性的目標(biāo)要求，國防部各部門應(yīng)；①使用國家安全局批準(zhǔn)的通信安全產(chǎn)品和服務(wù)保護(hù)機(jī)密信息的安全；②嚴(yán)格按規(guī)定開發(fā)、獲取、使用、保存和處理通信安全物資，以保持國防部機(jī)密信息在傳輸期間的機(jī)密性、完整性和可用性；③制定并保持一個能夠確保通信安全設(shè)備在危機(jī)時刻和突發(fā)事件期間有效操作的計劃；④通信安全設(shè)備應(yīng)與國防部批準(zhǔn)的密鑰管理系統(tǒng)兼容。

美國防部發(fā)布信息安全指令

美國防部2008年10月9日發(fā)布第5200.01號指令——“國防部信息安全計劃和對敏感隔離信息的保護(hù)”指令。指令重新修訂了對所有密級信息、特別訪問程序、敏感隔離信息和受控非保密信息的保護(hù)、使用和分發(fā)政策，明確了國防部各部門在信息安全方面的職責(zé)。指令要求國防部各部門首腦應(yīng)保護(hù)保密和受控非保密信息免遭非授權(quán)泄露；指定一名部門高級官員負(fù)責(zé)指導(dǎo)、管理和監(jiān)督本部門的信息安全計劃；確保能協(xié)調(diào)一致地執(zhí)行國防部的信息安全計劃；為信息劃分秘密等級、解密、保護(hù)、審查、安全教育和培訓(xùn)提供足夠的資金和資源；制定并保持一個持之以恒的自我檢查計劃、定期審查和評估計劃。

英國防部加強信息安全管理

為加強信息安全管理，英國國防大臣布朗2008年1月21日提出了一整套保護(hù)國防部信息安全的措施。這些措施包括①任命負(fù)責(zé)信息保護(hù)的高級官員，確保國防部的業(yè)務(wù)和程序盡可能處于最高的安全標(biāo)準(zhǔn)：②確定國防部負(fù)責(zé)安全的領(lǐng)導(dǎo)為對信息系統(tǒng)進(jìn)行安全認(rèn)可的唯一權(quán)威人士，③要求國防部安全專家對國防部和陸海空三軍使用的所有信息系統(tǒng)進(jìn)行內(nèi)部審查，確保這些系統(tǒng)不存在風(fēng)險。

北約建立互聯(lián)網(wǎng)安全中心

北約國防部長目前正在考慮制定互聯(lián)網(wǎng)安全總體戰(zhàn)略。作為實施這項戰(zhàn)略的第一步，北約計劃2008年在愛沙尼亞建立一個互聯(lián)網(wǎng)安全中心。該中心將由愛沙尼亞、立陶宛等6個國家出資設(shè)立，2009年正式開始運行。

量子密碼技術(shù)研究出現(xiàn)新突破

2008年，國外在量子密碼技術(shù)研究方面取得了新的突破。

意大利和奧地利科學(xué)家在太空量子密碼通信實驗中取得重大突破

由意大利和奧地利科學(xué)家組成的量子密碼研究小組2008年宣布實現(xiàn)了全球量子密碼信息傳輸?shù)闹卮笸黄啤Ｋ麄兝靡獯罄喜縈atera天文臺的1.5米望遠(yuǎn)鏡，向地球上空大約1500千米處的日本Ajisai衛(wèi)星發(fā)射一束激光，從衛(wèi)星上反彈回的單光子成功地到達(dá)天文臺。實驗表明，可以利用這種方法在太空和地球之間構(gòu)建量子密碼通信網(wǎng)絡(luò)，進(jìn)行全球保密通信。研究小組下一步計劃開展從專用衛(wèi)星上發(fā)送量子密鑰的實驗。

美國研制出使用一個探測器的量子密鑰分發(fā)系統(tǒng)

單光子探測器是目前量子密碼通信試驗中費用最高的設(shè)備。美國家標(biāo)準(zhǔn)與技術(shù)局的研究人員2008年5月表示，他們尋找到了更加簡單且成本更低的量子密鑰分發(fā)(QKD)方法，可以把分發(fā)量子密鑰所需要的單光子探測器數(shù)量減至最少。雖然減少探測器的數(shù)目會使密鑰的傳輸速率降低一半，但是采用這種方法的量子密碼系統(tǒng)仍能以寬帶傳輸速度工作，并成功實現(xiàn)了對網(wǎng)絡(luò)視頻信號的實時加密和解密傳輸。

歐盟在商業(yè)網(wǎng)絡(luò)上實現(xiàn)量子密碼通信實驗

歐盟科學(xué)家10月8日首次在商業(yè)電信網(wǎng)絡(luò)上進(jìn)行了量子密碼通信實驗。他們在奧地利維也納用一條標(biāo)準(zhǔn)光纖通信環(huán)路構(gòu)建密碼網(wǎng)絡(luò)，成功進(jìn)行了密鑰產(chǎn)生和分發(fā)、入侵檢測及其他網(wǎng)絡(luò)功能的演示。該量子密碼網(wǎng)絡(luò)的6個節(jié)點和8個鏈路分別相距5千米和82千米。這是12個歐洲國家41個合作伙伴花費4年時間，耗資1140萬歐元所取得的成果。這種新系統(tǒng)預(yù)計3年內(nèi)實現(xiàn)商業(yè)化。

日本把量子密鑰傳輸速度提高百倍

日本東芝公司的研究人員2008年在量子密碼通信研究中，通過改良光通信接收裝置中“雪崩光電二極管”的一些設(shè)置和結(jié)構(gòu)，降低了噪聲信號干擾，成功地使其驅(qū)動頻率比原先提高百倍以上；在20千米和100千米的實驗場合，量子密鑰的傳輸速度比原先世界最快速度提高100倍，分別達(dá)到1.02兆比特／秒和10.1千比特比特／秒。

密碼設(shè)備升級換代步伐加快

在軍事信息安全問題日益突出的情況下，加密無疑是實現(xiàn)信息保密性、完整性最有效的方法。2008年，加快密碼設(shè)備的升級換代成為世界各國信息安全建設(shè)的一大亮點。

法國Datacryptor密碼機(jī)完成高速互通實驗

2008年2月，法國泰利斯公司開發(fā)的SONET/SDH吉比特Datac ryptor密碼機(jī)和阿爾卡特-朗訊公司的1850傳輸業(yè)務(wù)交換(TSS)成功實現(xiàn)了互通試驗。Datacryptor密碼機(jī)對1850 TSS包信號的加密測試結(jié)果表明，這種數(shù)據(jù)鏈路層加密技術(shù)比網(wǎng)絡(luò)層加密技術(shù)能提供更大的吞吐量和更短的等待時間j傳輸速度高達(dá)10吉比特，秒的SONET／SDH和以太網(wǎng)幾乎能近實時地安全傳輸語音，視頻和數(shù)據(jù)信息。

美國研制出多款新型密碼機(jī)

美國家安全局2008年4月為Janus密碼機(jī)頒發(fā)了1類保密證書，批準(zhǔn)其可用于保護(hù)高達(dá)絕密級的軍事信息安全。Janus是一種符合美軍密碼現(xiàn)代化要求的可編程密碼設(shè)備。它功率小、重量輕，具有完善的用戶可編程能力和裝載多種密碼算法的能力；通過其多級獨立安全體系結(jié)構(gòu)能同時處理從非密到絕密的全頻譜信息。美國家安全局6月還批準(zhǔn)KG－75A密碼機(jī)成為第一種可以在SONET/SDH和ATM兩種網(wǎng)絡(luò)上保護(hù)高達(dá)絕密級信息的網(wǎng)絡(luò)密碼機(jī)。KG-75A是美國軍事網(wǎng)絡(luò)通信的骨干密碼設(shè)備，支持點對點和點對多點通信，使用通用動態(tài)密鑰分配管理器對密鑰材料進(jìn)行分配、重置和管理；密鑰存貯量的增加可使該密碼機(jī)持續(xù)作業(yè)而無需連續(xù)注入密鑰。KG-75A的自身再同步能力，使得數(shù)據(jù)

在無操作員介入、甚至在噪聲環(huán)境下也能安全通過，軟件升級可在現(xiàn)場完成。同時，美國安全網(wǎng)絡(luò)(SafeNet)公司10月13日宣布，其開發(fā)的KG-340 SONET/SDH密碼機(jī)可用于保護(hù)國防高速網(wǎng)絡(luò)上傳輸?shù)臋C(jī)密信息。KG-340根據(jù)國家安全局的商業(yè)通信保密認(rèn)可計劃(CCEP)開發(fā)，使用MEDLEY和AES加密算法，可加密絕密／敏感隔離信息，支持增強型螢火蟲(EFF)密鑰管理協(xié)議和DS-101密鑰注入?yún)f(xié)議，支持HAIPE 3.0版對密鑰升級，變更的要求，支持各種速率的SONET路徑加密，能透明且方便地集成到SONET/SDH網(wǎng)絡(luò)體系結(jié)構(gòu)，支持下一代國防信息系統(tǒng)網(wǎng)和情報網(wǎng)升級計劃；是在新興的全球信息柵格(GIG)上保護(hù)高速(最高達(dá)10吉比特/秒)數(shù)據(jù)和時間敏感語音與視頻的理想設(shè)備，也是美軍密碼現(xiàn)代化計劃中高速密碼機(jī)開發(fā)的關(guān)鍵設(shè)備。

埃及采購軍用高速數(shù)據(jù)加密機(jī)

埃及政府2008年4月采購一批DSD72A-SP高速數(shù)據(jù)加密機(jī)。按照合同要求，這些加密機(jī)將在2009年10月開始交貨，2010年4月18日前全部裝備完畢。DSD72A-SP是一種強健的軍用總體高速數(shù)據(jù)加密機(jī)。它利用SNARK密鑰發(fā)生器和自動密鑰管理系統(tǒng)為同步數(shù)據(jù)網(wǎng)絡(luò)提供高級密碼安全保護(hù)，使用多種可選擇的密碼算法來確保密碼安全；全雙工數(shù)據(jù)傳輸速率高達(dá)34兆比特/秒；密碼操作方式為密碼反饋方式和自同步長周期方式；密鑰變量為120比特本機(jī)密鑰、8比特網(wǎng)絡(luò)密鑰和可選擇的128比特主密鑰加密密鑰；支持多種接口，便于集成到未來和現(xiàn)有的網(wǎng)絡(luò)中。

英國研制高速網(wǎng)絡(luò)密碼機(jī)

英國泰利斯公司2008年7月研制出一種更加緊湊的Datacryptor AP高速網(wǎng)絡(luò)密碼機(jī)。Datacryptor AP專門用于移動或空間受限環(huán)境中的用戶，能為情報部門和特種部隊提供最高等級的lP網(wǎng)絡(luò)加密標(biāo)準(zhǔn)：可向戰(zhàn)場軍事人員提供安全訪問保密信息的能力。它的體積差不多是英國保密部門目前使用的標(biāo)準(zhǔn)產(chǎn)品的一半；能方便地與便攜式電腦和衛(wèi)星通信終端結(jié)合在一起，能用專用密碼算法進(jìn)行編程；能用多種方式配置安全策略和安全聯(lián)接。英國通信電子安全組(CESG)2008年12月為新開發(fā)的BID-2370可編程加密設(shè)備頒發(fā)證書，確認(rèn)這種現(xiàn)代化密碼設(shè)備符合英國絕密級信息安全要求，能對語音和數(shù)據(jù)提供最高級安全保護(hù)。BlD-2370是一種可重構(gòu)和可重新編程的終端密碼設(shè)備，內(nèi)置嵌入式核心密碼模塊(CCM)，能為某一特定用途設(shè)計一套專用密碼算法；未來無需改變硬件就能增加新的密碼算法/功能；既支持傳統(tǒng)串行網(wǎng)絡(luò)，也支持基于信息包的現(xiàn)代化系統(tǒng)。擁有CESG證書后，英國陸海空三軍就可以裝備這種加密產(chǎn)品。

德國推出SINA L2密碼機(jī)

德國secunetSecurityNetworks AG公司和ATMedia GmbH公司2008年聯(lián)合推出SlNA L2密碼機(jī)。SIN AL2的加密速率高達(dá)10吉比特/秒，能實現(xiàn)近實時密碼數(shù)據(jù)的傳輸。它為專用網(wǎng)絡(luò)的點對點加密應(yīng)用而設(shè)計；無需任何改變就能與現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施連接；可滿足用戶對數(shù)據(jù)鏈路層加密和IP加密日益增長的需求。

網(wǎng)絡(luò)安全技術(shù)取得新進(jìn)展

為了確保軍事網(wǎng)絡(luò)安全可靠，2008年世界各國積極開發(fā)各種網(wǎng)絡(luò)安全技術(shù)，不斷提高網(wǎng)絡(luò)預(yù)警和防護(hù)能力。

美國

陸軍研發(fā)入侵檢測系統(tǒng)和網(wǎng)絡(luò)監(jiān)控軟件

為加強戰(zhàn)場移動自組織無線網(wǎng)絡(luò)的安全，及時發(fā)現(xiàn)并清除敵方發(fā)動的路由攻擊，陸軍通信電子研發(fā)中心2008年開始開發(fā)一種模仿人類免疫系統(tǒng)的入侵檢測系統(tǒng)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)受到攻擊，該系統(tǒng)就能立即對攻擊節(jié)點發(fā)出精確打擊并中斷與該節(jié)點的通信聯(lián)系。除此之外，該系統(tǒng)還把作戰(zhàn)人員從不間斷的網(wǎng)絡(luò)監(jiān)視中解脫出來，只要用戶完成程序安裝和初始化，系統(tǒng)就可以自主運行。

2008年1～8月，陸軍信息管理支持中心開發(fā)出了一種名為Triumfant Resolution Manager的監(jiān)控軟件，并將其裝配到五角大樓的11000部臺式計算機(jī)上，借以對非授權(quán)應(yīng)用程序進(jìn)行監(jiān)控。只要發(fā)現(xiàn)非授權(quán)程序，軟件就會向陸軍網(wǎng)絡(luò)監(jiān)控小組報警；如果沒有正當(dāng)?shù)氖褂美碛?，就能自動遙控刪除它。

空軍升級保密網(wǎng)絡(luò)，開發(fā)安全數(shù)據(jù)分發(fā)系統(tǒng)

空軍2008年3月與AT&T;公司簽訂一項為期四年、價值1650萬美元的合同，為空軍服務(wù)局提供一種保密數(shù)據(jù)網(wǎng)絡(luò)。按照合同要求，AT&T;公司將部署一個采用多協(xié)議標(biāo)簽交換技術(shù)的保密IP虛擬專用網(wǎng)，把空軍服務(wù)局107個節(jié)點(包括美國本土以外的22個節(jié)點)的業(yè)務(wù)集成到具有一致性標(biāo)準(zhǔn)和能力的單一現(xiàn)代化IP保密通信平臺上。

另外在2008年2月，空軍研究實驗室委托實時創(chuàng)新公司開發(fā)一種稱作“搶先確定網(wǎng)絡(luò)節(jié)點弱點”的系統(tǒng)。該系統(tǒng)將集成數(shù)據(jù)分發(fā)、入侵檢測、網(wǎng)絡(luò)監(jiān)控、數(shù)據(jù)連續(xù)性、安全管理和復(fù)雜事件處理等技術(shù)。在入侵事件發(fā)生前和發(fā)生時，它能自動搜索網(wǎng)絡(luò)節(jié)點的安全漏洞，分析這些弱點對網(wǎng)絡(luò)產(chǎn)生的影響，并將結(jié)果發(fā)送給其他節(jié)點和相關(guān)用戶。

海軍開發(fā)內(nèi)聯(lián)網(wǎng)入侵防御系統(tǒng)

為加強海軍陸戰(zhàn)隊內(nèi)聯(lián)網(wǎng)的安全，海軍2008年9月與EDS公司簽訂1825萬美元的合同；要求EDS公司開發(fā)一種在內(nèi)聯(lián)網(wǎng)運行的入侵防護(hù)系統(tǒng)，并為系統(tǒng)管理員提供開放式登錄能力；管理員使用稱作令牌的專用密鑰或手持指令就可以訪問或保護(hù)低風(fēng)險、低保密級設(shè)施。合同還要求為內(nèi)聯(lián)網(wǎng)的保密IP路由網(wǎng)(SIPRNET)開發(fā)一套入侵防護(hù)系統(tǒng)和信息安全管理方案。這項工作將于2009年10月31日前全部完成。

美國防高級研究計劃局開發(fā)網(wǎng)絡(luò)安全監(jiān)控技術(shù)

美國防高級研究計劃局目前正在對新開發(fā)的一種網(wǎng)絡(luò)監(jiān)控技術(shù)進(jìn)行評估。該技術(shù)主要是為了防御系統(tǒng)操作人員的潛在攻擊。它可以探測和鎖定因操作人員疏忽或惡意操作而對國家防御系統(tǒng)可能造成的影響；能通過操作員的任務(wù)和目前系統(tǒng)狀態(tài)，解釋操作人員的行為，確定某種行為是否會危害系統(tǒng)或損害信息，并能鎖定潛在、有危害的操作行為。

國防信息系統(tǒng)局開發(fā)網(wǎng)絡(luò)安全態(tài)勢評估軟件

國防信息系統(tǒng)局2008年10月1日宣布，將開發(fā)一種評估國防部網(wǎng)絡(luò)安全態(tài)勢的最新軟件。這種軟件要確保防務(wù)網(wǎng)絡(luò)符合國防部的各種標(biāo)準(zhǔn)和最佳策略；應(yīng)能使用開放式脆弱性評估語言對軟件、硬件和系統(tǒng)配置中的脆弱性進(jìn)行掃描，并按標(biāo)準(zhǔn)格式提供報告。

其他國家

法國國防部2008年選擇Thales公司和EADS公司為國防部開發(fā)INTRACED保密內(nèi)聯(lián)網(wǎng)。INTRACED將被用于法國“機(jī)密防務(wù)”保密級應(yīng)用領(lǐng)域，同時提供與標(biāo)準(zhǔn)內(nèi)聯(lián)網(wǎng)相同的服務(wù)，以改善法國軍隊保密信息的傳輸效率，滿足法國防部重要部門和陸?？杖?000多用戶的需求。INTRACED在明年集成和配置完畢后，將使陸海空三軍能與部署在遠(yuǎn)方戰(zhàn)區(qū)的其他系統(tǒng)互連；或者作為聯(lián)合軍事行動的一部分與北約(NATO)互連。

英國情報部門2008年建立了一條與政府其他部門和海外基地互通的信息保密網(wǎng)絡(luò)。建立起這種保密鏈接后，情報部門處理保密信息請求的時間將從12小時降低到15分鐘，并能直接與國防部和政府其他部門進(jìn)行高機(jī)密信息通信。

北約也于2008年開始建立網(wǎng)絡(luò)安全系統(tǒng)，以防范對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。該系統(tǒng)還能協(xié)調(diào)北約的軍事訓(xùn)練演習(xí)，包括網(wǎng)絡(luò)襲擊模式下的軍事預(yù)演。