旗下网站
艺源微平台
SEO优化
当前位置: 首页 > 新闻 > 业界动态
美国国防部(DoD)中信息安全大纲的发展
时间:2014-08-20 08:51:44
文章发布:李阳
原创作者:未知
来源:中国电子技术标准化研究院

信息安全大纲(Information Security Programs)是美国联邦政府信息安全管理有关政策文件中常见到的一个术语。这一术语最早出现于美国国防部(Department of Defense,简称DoD)指令中。上世纪八十年代初,美DoD已经将信息安全大纲的编制、实施和评价作为一种信息安全管理的监督机制,管理其自身和所辖部门的实践中使用,并通过正式文件认可和推进这一监督机制。

  1. 1982年6月,DoD发布了国防部指令DoDD 5200.1《信息安全大纲》。只有6页篇幅的这份文件是DoD关于信息安全大纲的顶层文件,主要包含两部分:一是指出美国DoD关于信息安全的方针,二是规定国防部助理部长、副部长、各军部部长和各机构首脑以及国家安全局局长在推进建立和实施信息安全大纲中的责任。之后,在1986年6月,DoD发布了用于支持DoDD5200.1的且与之同名的国防部条例DoD5200.1r《信息安全大纲》。它是关于贯彻实施DoDD5200.1的较为具体的实施规则。

美国国防部(DoD)中信息安全大纲的发展-艺源视网

2. 1996年,DoD修订并重新发布了DoDD 5200.1《信息安全大纲》。在内容上,除了主要包含DoD信息安全方针和各级领导人在推进建立和实施信息安全大纲中的责任之外,做了一些补充,更加明确了相关规定。例如,该文件要求负责指挥、控制、通信和情报的助理国防部长“引导、管理和监督DoD信息安全大纲”、“批准和颁发DoD指示和其他文件,以指导、引导或帮助DoD信息安全大纲活动”、“促进各DoD部门和行业,专业社团,学术界,联邦、州和地方政府部门,以及国际组织之间的联络,以获得必要的用以改进DoD信息安全大纲的信息”;要求各军部部长和其他部门的首脑“指定一名高级官员负责指导和管理本部门的信息安全大纲”。还特别指出,该信息安全大纲要“包括对信息安全进行积极监督、分级、消密以及安全教育和培训等,以确保DoD5200.1r的有效实施”,并要求“确保以足够的经费和资源支持实施监督、安全分级、消密以及安全教育和培训”。

3. 1997年1月,依据DoDD 5200.1《信息安全大纲》和1995年4月发布的12958号总统行政令《保密的国家安全信息》,DoD修订并重新发布了DoD 5200.1r《信息安全大纲》。这份170多页的文件是一份实施规程,主要用于支持DoDD 5200.1《信息安全大纲》和12985号令的实施,详细地描述了以下10方面的内容:1)方针和大纲管理;2)信息安全性的原始分级;3)信息安全性的衍生分级;4)非保密和二次筛选;5)标志;6)防护措施;7)传输和运送;8)专访程序;9)安全教育和培训;10)保密信息的实际和潜在威胁。

此外,还在附录中从以下方面给出了具体的物理安全标准要求:

1) 房屋和安全房间结构(房屋的结构要求和房屋里的安全房间的结构要求);

2) 入侵检测系统(IDS)(保密区防护措施,系统功能,威胁、脆弱性和可接受性,传送和警报,系统要求,安装、维护和监控);

3) 访问控制(含8类23条要求)。

此文件成为美国联邦政府各部门以及地方政府和其他一些规模较大的组织机构遵循或利用信息安全大纲的重要参考文件。

4. 2008年,DoD对DoDD 5200.1进行再次修订,并且以新的文件号和标题发布,即国防部指示DoDI 5200.01《DoD信息安全大纲和敏感分隔信息的保护》。该文件较之前DoDD 5200.1文件做了很大扩充。更新了关于专访程序(SAP)、敏感分隔信息(SCI)和受控非保密信息(CUI)的方针和责任,确定了有关国防部内部SCI的保护、使用和分发的方针并指定了相关人员的责任。

除了DoDI 5200.01和DoD 5200.1r这两份国防部级别的顶层文件之外,DoD内一些大部门也制定并发布了适用于本部门的信息安全大纲文件,参谋长联席会议也在其相关文件中跟进和支持DoDI 5200.01和DoD 5200.1r。如:

1) Army Regulation 380–5《陆军信息安全大纲》(Department of the Army Information Security Program)。这是2000年9月美国陆军部发布的文件。该文件以近400页的篇幅,按DoDI 5200.01和DoD 5200.1r的规定和说明,就陆军部范畴的信息安全管理几乎是逐项给出了详细的规定和说明。

2) CJCSI 6510.01 《信息保障和计算机网络防御》(Information Assurance and Computer Network Defense)。这份近100页的参谋长联席会议主席指示给出了关于信息保障和计算机网络防御的运行方针和指导原则。文件中大量引证了DoDI 5200.01和DoD 5200.1r,如在谈及相关的方针时,该文件规定:“关于信息安全和人员安全大纲的方针按DoDI 5200.01和DoD 5200.1r的规定”;在给出关于保护和访问信息和信息系统的指导原则时,该文件要求:“确保按照DoD 5200.1r规定发布和维护安全分类指南”等。

为配合DoDI 5200.01和DoD 5200.1r的实施,美国国防部:1)编制并发布了以5200.28-STD《国防部可信计算机系统评价准则》为核心的彩虹系列标准和指南;

2)建立了供各有关单位查询的包含上千条信息安全要求的国防部信息安全要求数据库。

为了支持推进这种信息安全大纲监督机制,一些部门甚至成立了专门的机构,如美国情报局就设置了风险管理和信息安全大纲分部。

信息安全大纲文件加上评价标准、指南和信息安全要求,构成了美国国防部推进信息安全管理的一套监督机制。

标签: 信息安全管理
*版权申明:本站部分文章由艺源科技收集整理,不代表我们的观点。如果这篇转载侵犯您的版权,请及时联系我们删除!
为您推荐
最新文章