時間:2023-10-12 09:33:53
引言:易發(fā)表網憑借豐富的文秘實踐,為您精心挑選了九篇國家信息安全的重要性范例。如需獲取更多原創(chuàng)內容,可隨時聯系我們的客服老師。
世界信息技術和信息產業(yè)不斷發(fā)展,使國家信息安全問題處于跨國界的流動狀態(tài)之中。由此產生的新型網絡犯罪波及全球造成巨大的破壞,因而加強國家信息安全立法,規(guī)范信息安全體系,保護國家間的信息安全,打擊信息安全犯罪,維護公平健康的世界信息安全新秩序是法律所必須要做的,這片空白亟待填補。
一、國家信息安全的涵義
國家信息安全是指維持國家政治、經濟、科技、軍事、文化,社會生活等系統(tǒng)不受到內外威脅、干擾、破壞而正常運行的狀態(tài)。
信息安全的概念包括廣義與狹義之分。廣義的國家信息安全包括保護國家、公民、法人的機密性質的信息,保護衛(wèi)星電纜、通訊臺基站等基礎設施,防止信息人才外流,防止別國的間諜偵查滲透,防止境外黑客以及病毒對信息系統(tǒng)的破壞等方面。狹義的維護國家信息安全是保護以網絡信號、衛(wèi)星傳播、無線電波等電子媒介加以維持國家中重要信息的安全。本文所指的亦為狹義的信息安全。
二、國家信息安全立法現狀
各國對于國內的信息安全保護大多有法律規(guī)范,體系完整內容翔實的法律以歐盟的《歐盟網絡戰(zhàn)略》,美國的《2010美國安全法案》為典型代表。但在國際法層面,只存在國際電子商務和計算機軟件知識產權相關法律,針對遠程攻擊、黑客入侵、植入病毒、竊取財物、進行分裂國家行為等犯罪行為無法可依,新的法律體系亟待建立。
目前存在國際信息安全技術統(tǒng)一標準,如標準管理體系BS7799,可信系統(tǒng)標準TPM標準等,但是技術規(guī)則相較于法律強制性弱,同時“技術先于理論”的現實使技術標準出現了滯后性。此外由于國際間技術水平差距較大,信息安全標準的核心內容無法得到有效的規(guī)范,很多標準使用率低。
三、國家信息安全的立法進程中存在的問題
立法過程涉及大量法律制度的協(xié)調。國家信息安全的立法涉及國際刑法、國際經濟法、反不正當競爭法、武裝沖突法、國際知識產權法、集體安全制度等多種法律制度,并且在創(chuàng)制過程中需要開創(chuàng)競爭情報、公共管理、衛(wèi)星通訊、網絡信息傳輸、國際網絡反恐等全新領域的法律規(guī)范,這種首創(chuàng)難度極大。
信息安全立法在國際社會中承認度較低。各國基于各自的國家利益考慮,雖然意識到信息安全的重要性紛紛進行國內立法,但是對于進行國際立法沒有主動的參與意愿。信息安全是柄雙刃劍,雖然本國的信息安全可能受到威脅,但是對于窺探打擊敵手卻是絕佳的武器,因此雖然各國都在信息安全問題上受到很大的損失,但是至今仍沒有大國主導來主動組織確立國際性的規(guī)范。以美國為例,美國的谷歌公司超過一切傳媒商,在2013年以33%的市場份額成為第一大廣告商,美國的Skepe、Facebook社交通訊類軟件成為了強大的通訊服務供應商,蘋果公司是通訊電子設備的“老大”,英特爾在半導體行業(yè)遙遙領先,美國的大企業(yè)的信息技術與應用程序的結合設定了一個全球化的互聯網生活模式,美國官方可以很容易地運用優(yōu)勢企業(yè)資源“了解”全球的信息動向,棱鏡計劃的泄密直接體現了這點。在此巨大利益下,期待大國“兼濟天下”“普惠共贏”是十分困難的。
技術難。技術難題是無法避免的一個障礙,電子設備的核心生產技術,信息基站的結構,對于境外信息的監(jiān)控和掌握都是非常困難的。在信息量巨大的信息爆炸的當下,怎樣解決監(jiān)察,攔截,保護、追蹤這些前提性的技術難題,然后進行立法是很困難的。
此外,與信息安全相關的犯罪通常具有隱蔽性。犯罪分子通常會選擇僵尸網絡賬號、難于確定身份的公共場所的IP實施犯罪。法律通常能控制公開的、外顯的、能觀察到的行為,這樣具有隱秘性的行為通常不易監(jiān)督,在罪名設立、保護客體等問題上也易導致立法評價體系的混亂。
四、國家信息安全立法的建議
(一)立法主體的選擇
在國際社會中,具有影響力的法律部門包括國際法院、聯合國法律委員會、國際仲裁組織等。目前聯合國主持大部分國際法的編纂工作,關于國際信息安全的立法目前沒有組織在進行,由聯合國擔任領導進行組織是較為可行的。
聯合國國際法委員會(ILC)是一個較為權威的立法部門,聯合國第六委員會(法律委員會)是聯合國大會處理法律問題的主要論壇,此外在聯合國技術性強的國際公約以及國際規(guī)則由主管的聯合國專門機構負責修訂。聯合國法律委員會組織信息專家,法律專家,社會學專業(yè)進行世界范圍的立法,建立保護國際信息安全、維護網絡知識產權、打擊信息安全犯罪、懲治竊聽偷窺等不法行為的立法具有現實性的方案。
(二)立法過程中應堅持的原則
平等原則。國際法對于國際社會具有重要意義,信息安全法治化進程中更是需要國際法的創(chuàng)制實施等環(huán)節(jié)堅持平等原則。在發(fā)達地區(qū)與欠發(fā)達地區(qū)分化嚴重,南北半球發(fā)展差距愈加變大的今天,在信息安全法制領域保障各個國際法主體享有同等的權利和義務,堅持平等原則是至關重要的。
公平原則。目前聯合國的獨立性仍然有限,在大國成為各個領域主導的當今世界,國際法需要堅持公平原則。在國家信息安全保護的過程中,在打擊信息安全犯罪的進程中,要嚴格根據國際法律法規(guī)落實公平原則。
防衛(wèi)與保護相結合的原則。在國家信息安全法治化進程中雖然要保護各國正當的信息安全,但是同時應該注意國際知識產權的保護。在信息傳輸工具中,很多產品很多設備具有很強的創(chuàng)新性技術性,因此要求在合理限度內利用該類技術,同時注意保護科技產品的知識產權,促進人類文明發(fā)展。
堅持推動法律的技術化和信息化的原則。信息安全問題的特殊性在于該領域技術型極強,要求法律工作者經過系統(tǒng)的訓練,具有深厚的技術實踐能力和較高的法學素養(yǎng)。信息技術與法律并不是博弈的關系,而是相輔相成的,在國家信息安全法治化進程中,一定要堅持法律技術化和信息化的原則,不能走向片面發(fā)展的偏路。
結論: 國家信息安全問題存在很多國際性沖突,伴隨著國家間兩極分化加劇,技術快速更新,網絡犯罪的國際化規(guī)模化的新形勢,國際社會缺少管理而讓國家間各自為營地進行處理是行不通的。為了避免造成世界性的大規(guī)模信息戰(zhàn)沖突,亟待推進國家信息安全立法。
0引言
隨著光纖寬帶、移動電話、移動互聯網的普及,通信服務在我們的日常生活中發(fā)揮了越來越重要的作用。伴隨社會的信息化推進,通信技術也得到了快速發(fā)展。通信得到了社會的廣泛認可。近年來,伴隨著互聯網技術在全球迅猛發(fā)展,信息化給人們提供了極大的便利,然而,同時我們也正受到日益嚴重的來自網絡的安全威脅,比如黑客攻擊、重要信息被盜等,網絡安全事件頻發(fā),給人們的財產和精神帶來很大損失。但是,在世界范圍內,黑客活動越來越猖狂,黑客攻擊者無孔不入,對信息系統(tǒng)的安全造成了很大的威脅,對社會造成了嚴重的危害。除此之外,互聯網上黑客網站還在不斷增加,這就給黑客更多的學習攻擊的信息,在黑客網站上,學習黑客技術、獲得黑客攻擊工具變得輕而易舉,更是加大了對互聯網的威脅。如何才能保障信息系統(tǒng)的信息安全,怎樣才能確保網絡信息的安全性,尤其是網絡上重要的數據的安全性。
在通信領域,信息安全尤為重要,它是通信安全的重要環(huán)節(jié)。在通信組織運作時,信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面,小到人與人之間聯系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現實意義。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知,未來的社會是信息化的社會,網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網絡被毀、指揮系統(tǒng)癱瘓、制信息權喪失的嚴重后果。因此,信息安全防護不僅是未來戰(zhàn)爭勝利的重要保障,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭的全過程。一旦信息安全出現問題,可能導致整個國家的經濟癱瘓,戰(zhàn)爭和軍事領域是這樣,政治、經濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡,關系到世界的安定和平。比如,美國加利弗尼亞州銀行協(xié)會的曾經發(fā)出一份報告,稱如果該銀行的數據庫系統(tǒng)遭到網絡“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經濟,5天就能波及全美經濟,7天會使全世界經濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調:執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》,第一次把信息安全擺在戰(zhàn)略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關的研究層出不窮,為我國信息安全的發(fā)展奠定了基礎。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現在軍事信息安全上,同時也涉及到政治、經濟、文化等各方面。當今社會,由于國家活動對信息和信息網絡的依賴性越來越大,所以一旦信息系統(tǒng)遭到破壞,就可能導致整個國家能源供應的中斷、經濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設想。由于我國信息化起步較晚,目前信息化系統(tǒng)大多數還處在“不設防’,的狀態(tài)下,國防信息安全的形勢十分嚴峻。具體體現在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視,許多應用系統(tǒng)處在不設防狀態(tài),具有極大的風險性和危險性。其次,我國的信息化系統(tǒng)還嚴重依賴大量的信息技術及設備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統(tǒng)的國產率還較低,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領域,通過網絡泄密的事故屢有發(fā)生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構缺乏權威,協(xié)調不夠,對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規(guī)劃,妨礙了信息安全管理的方針、原則和國家有關法規(guī)的貫徹執(zhí)行。
二、通信中存在的信息安全問題
2.1信息網絡安全意識有待加強
我國的信息在傳輸的過程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網絡運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網絡安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護。
2.2信息網絡安全核心技術貧乏
目前,我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統(tǒng)和數據庫等系統(tǒng)軟件大部分依賴國外產品。有些設備更是拿來就用,忽略了一定的安全隱患。技術上的落后,使得設備受制于人。因此,我們要加大對信息網絡安全關鍵技術的研發(fā),避免出現信息泄露的“后門”。
2.3信息網絡安全防護體系不完善
防護體系是系統(tǒng)頂層設計的一個重要組成部分,是保證各系統(tǒng)之間可集成、可互操作的關鍵。以前信息網絡安全防護主要是進行一對一的攻防,技術單一。現代化的信息網絡安全防護體系已經成為一個規(guī)模龐大、技術復雜、獨具特色的重要信息子系統(tǒng),并擔負著網絡攻防對抗的重任。因此,現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。
2.4信息網絡安全管理人才缺乏
高級系統(tǒng)管理人才缺乏,已成為影響我軍信息網絡安全防護的因素之一。信息網絡安全管理人才不僅要精通計算機網絡技術,還要熟悉安全技術。既要具有豐富的網絡工程建設經驗,又要具備管理知識。顯然,加大信息安全人才的培養(yǎng)任重而道遠。
三、通信組織運用中的網絡安全防護
網絡安全是通信系統(tǒng)安全的重要環(huán)節(jié)。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注,如何防范病毒入侵、保護信息安全是人們關心的問題,筆者總結了幾點常用的防范措施,遵循這些措施可以降低風險發(fā)生的概率,進而降低通信組織中信息安全事故發(fā)生的概率。
3.1數據備份
對重要信息資料要及時備份,或預存影像資料,保證資料的安全和完整。設置口令,定期更換,以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術,在磁盤子系統(tǒng)中有兩個系統(tǒng)進行同樣的工作,當其中一個系統(tǒng)故障時,另一個系統(tǒng)仍然能正常工作。加密對網絡通信加密,以防止網絡被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。
3.2防治病毒
保障信息系統(tǒng)安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應及時更新版本。一旦發(fā)現正在流行的病毒,要及時采取相應的措施,保障信息資料的安全。
3.3提高物理安全
物理安全是保障網絡和信息系統(tǒng)安全的基本保障,機房的安全尤為重要,要嚴格監(jiān)管機房人員的出入,堅決執(zhí)行出入管理制度,對機房工作人員要嚴格審查,做到專人專職、專職專責。另外,可以在機房安裝許多裝置以確保計算機和計算機設備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統(tǒng)存在安全漏洞,將會迅速傳播,若不及時修正,可能導致無法預料的結果。為了保障系統(tǒng)的安全運行,可以及時關注一些大公司的網站上的系統(tǒng)安全漏洞說明,根據其附有的解決方法,及時安裝補丁軟件。用戶可以經常訪問這些站點以獲取有用的信息。
3.5構筑防火墻
構筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業(yè)技術人員設置的,能阻止一般性病毒入侵系統(tǒng)。防火墻的不足之處是很難防止來自內部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。
四、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰(zhàn),我們有必要從以下幾個方面著手,加強國防信息安全建設。
4.1要加強宣傳教育,切實增強全民的國防信息安全意識
在全社會范圍內普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環(huán)境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環(huán)節(jié),采取各種措施,把這項工作做好;另一方面要結合工作實際,進行以安全防護知識、理論、技術以及有關法規(guī)為內容的自我學習和教育。
4.2要建立完備的信息安全法律法規(guī)
信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯網保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產品分類原則》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī),但從整體上看,我國信息安全法規(guī)建設尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應當加快信息安全有關法律法規(guī)的研究,及早建立我國信息安全法律法規(guī)體系。
4.3要加強信息管理
要成立國家信息安全機構,研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎上,成立地方各部門的信息安全管理機構,建立相應的信息安全管理制度,對其所屬地區(qū)和部門內的信息安全實行統(tǒng)一管理。
4.4要加強信息安全技術開發(fā),提高信息安全防護技術水平
沒有先進、有效的信息安全技術,國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術,自主進行信息安全關鍵技術的研發(fā)和運用。大力發(fā)展防火墻技術,開發(fā)出高度安全性、高度透明性和高度網絡化的國產自主知識產權的防火墻。積極發(fā)展計算機網絡病毒防治技術,加強計算機網絡安全管理,為保護國家信息安全打卜一個良好的基礎。
4.5加強計算機系統(tǒng)網絡風險的防范加強網絡安全防范是風險防范的重要環(huán)節(jié)
首先,可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識,加大網絡安全教育的投入。其次,重要數據和信息要及時備份,也可采用影像技術提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術,密碼設置應包含數字、字母和其他字符。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六,嚴格執(zhí)行權限控制,做好信息安全管理工作。“三分技術,七分管理”,可見信息安全管理在預防風險時的重要性,只有加強監(jiān)管和管理,才能使信息安全更上一個臺階。
4.6建立和完善計算機系統(tǒng)風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準。首先,要高度重視安全問題。隨著信息技術的發(fā)展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時,可以借鑒國外相關研究,尤其是一些發(fā)達國家,他們信息技術起步早,風險評估研究也很成熟,我們可以借鑒他們的管理措施,結合我們的實際,應用到風險防范中,形成風險管理制度,嚴格執(zhí)行。
其次,應當設立信息安全管理的專門機構,并配備專業(yè)技術人才,選拔防范風險的技術骨干,開展對信息安全技術的研究,對系統(tǒng)弱點進行風險評估,及時采取補救措施。完善信息安全措施,并落實到信息安全管理中去。
五、結論
通信在生活中有著廣泛的應用,涉及到人們生活的方方面面。它構建安全的通信系統(tǒng)是進行通信組織運用中信息安全防護的前提。通信系統(tǒng)網絡安全防護體系應以一個良好的安全策略為起點,建立在安全的網絡中,保障通信系統(tǒng)的安全,維護信息安全。
工業(yè)和信息化部信息安全協(xié)調司司長趙澤良在大會致辭中,對中國信息安全大會及CSO俱樂部活動的作用給予了肯定,“這一大會在宣傳信息安全方針政策、促進信息安全技術的交流合作,以及提升全社會的信息安全意識等方面都發(fā)揮了積極作用。”
信息安全已經成為國家安全一部分
趙澤良司長表示,在信息技術發(fā)展日新月異的今天,我們不僅要在信息安全的風險評估、產品認證等方面堅持遵循《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號,以下簡稱“27號文件”)的規(guī)定,同時“更要強調對關鍵信息基礎設施的保護、對重要信息系統(tǒng)的保護、對政府信息系統(tǒng)的保護,以及對個人信息、企業(yè)信息,乃至信息資源的保護。”
“‘27號文件’和‘23號文件(《國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》,國發(fā)[2012]23號)’共同構成了我國信息安全的總政策框架。”趙澤良司長說,“二者都是指導我們今后一個時期信息安全工作,乃至信息化工作的重要文件。同時,文件中所提到的內容也是我們信息安全工作的一個重要任務。”
工業(yè)和信息化部電子科技情報所所長洪京一表示:“‘十二五’時期是我國全面推進經濟和社會信息化的關鍵時期,迫切需要加快發(fā)展信息安全產業(yè),為國民經濟和社會信息化提供安全可控的信息安全技術、產品和服務。”
在我們的生活中,從衣食住行到產業(yè)經濟,再到國防軍工,信息技術的“烙印”無處不在。正是因為這樣,信息安全已經成為保證社會發(fā)展、保障國家安全的重要支柱。美國、俄羅斯、日本等國家都在信息安全方面投入了大量的人力、物力,將信息安全上升到了國家安全的角度去考慮。比如,美國已經先后制定了一系列的相關文件,并對部門進行整合以對信息安全進行統(tǒng)一管理。
國家信息化專家咨詢委員會委員、國家信息中心專家委員會副主任寧家駿認為,我國網絡信息安全工作正在面臨著新的復雜形勢。一方面信息化的大勢不可逆轉,信息安全問題更加錯綜復雜。所以,對信息安全保障體系的建設需求更加緊迫;另一方面,社會管理面臨著新的形勢,也使我們的信息安全面臨新的挑戰(zhàn)。同時,公民的公平意識、民主意識、權利意識、法制意識以及監(jiān)督意識不斷增強,公民意識的多元化也給我們如何管好互聯網提出嚴峻的挑戰(zhàn)。
“威脅在不斷地演變,這對我們發(fā)展重要性系統(tǒng)的保障工作提出了更加緊迫的需求。”寧家駿表示,“有些人覺得我的電腦中沒有存儲什么可被竊取的內容,這種想法是非常不恰當的。很多攻擊就是利用這些疏于防范的平臺作為網絡攻擊的第一個跳板,進而以此為突破口非法訪問重要內容。”
他表示,我們已經從以計算機為中心的PC時代,過渡到了網絡時代,而如今又進入到以服務為中心的云計算和物聯網的時代。在這樣的背景下,信息化建設本身對信息共享、資源共享和網絡共享提出了十分緊迫的需求。
從物聯網到電子政務安全
物聯網、電子政務、云計算,這些如今已經為我們耳熟能詳的詞匯放在幾年前會讓人感到非常陌生。而隨著對這些概念的理解程度加深,我們所關注的話題也已經從早期的如何實現、如何落地,發(fā)展到了如今的如何運維、如何保護。在這些領域,信息安全已經有了自己的用武之地。
公安部檢測中心主任助理兼信息安全技術部主任范紅在信息安全領域擁有多年的實踐經驗,在本次大會上,她重點介紹了當前在物聯網感知層通用安全技術體系方面的一些研究成果。
物聯網感知層通用安全體系研究的目標,是為不同類型的物聯網應用提供通用的感知層安全技術參考依據,為各類物聯網應用的感知層安全設計、實施和檢測工作提供技術支持和指導,以及指導制訂各類物聯網應用的感知層安全技術。在公安行業(yè),目前物聯網有了很多實際應用,這其中包括特定人員識別、危險物品監(jiān)控、異常行為報警以及車輛GPS定位感知等,涉及RFID、人像識別、手機定位感知以及傳聲器陣列等多種技術。
范紅介紹說,在物聯網感知層安全技術體系中,數據處理是數據獲取后的一個重要操作。其中面臨的安全問題包括RFID標簽本身的安全威脅、通過電磁輻射分析技術的非法通信、傳輸過程中的安全威脅,以及個人隱私的安全威脅等。
針對這些威脅,范紅表示,一方面RFID標簽自身要具備更安全的輕量級密碼算法以加密數據,另外也要采用傳輸安全防護、抗干擾以及密鑰管理等措施,使得系統(tǒng)可用。除此之外,在物聯網應用中,用戶還要注意保證數據的完整性,并加強訪問控制和安全審計機制。
在談到信息安全發(fā)展時,范紅深有感觸地表示:“我們進行物聯網感知層技術研究的時候,發(fā)現一個現象:信息化應用能走得遠些,信息安全就能走得更遠。信息安全領域有著一個非常廣闊的展現舞臺。”
伴隨社會的信息化推進,通信技術也得到了快速發(fā)展。通信得到了社會的廣泛認可。隨著光纖寬帶、移動電話、移動互聯網的普及,通信服務在我們的日常生活中發(fā)揮了越來越重要的作用。近年來,伴隨著互聯網技術在全球迅猛發(fā)展,信息化給人們提供了極大的便利,然而,同時我們也正受到日益嚴重的來自網絡的安全威脅,比如黑客攻擊、重要信息被盜等,網絡安全事件頻發(fā),給人們的財產和精神帶來很大損失。
但是,在世界范圍內,黑客活動越來越猖狂,黑客攻擊者無孔不入,對信息系統(tǒng)的安全造成了很大的威脅,對社會造成了嚴重的危害。除此之外,互聯網上黑客網站還在不斷增加,這就給黑客更多的學習攻擊的信息,在黑客網站上,學習黑客技術、獲得黑客攻擊工具變得輕而易舉,更是加大了對互聯網的威脅。如何才能保障信息系統(tǒng)的信息安全,怎樣才能確保網絡信息的安全性,尤其是網絡上重要的數據的安全性。
在通信領域,信息安全尤為重要,它是通信安全的重要環(huán)節(jié)。在通信組織運作時,信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面,小到人與人之間聯系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現實意義。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知,未來的社會是信息化的社會,網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網絡被毀、指揮系統(tǒng)癱瘓、制信息權喪失的嚴重后果。因此,信息安全防護不僅是未來戰(zhàn)爭勝利的重要保障,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭的全過程。一旦信息安全出現問題,可能導致整個國家的經濟癱瘓,戰(zhàn)爭和軍事領域是這樣,政治、經濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡,關系到世界的安定和平。比如,美國加利弗尼亞州銀行協(xié)會的曾經發(fā)出一份報告,稱如果該銀行的數據庫系統(tǒng)遭到網絡“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經濟,5天就能波及全美經濟,7天會使全世界經濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調:執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》,第一次把信息安全擺在戰(zhàn)略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關的研究層出不窮,為我國信息安全的發(fā)展奠定了基礎。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現在軍事信息安全上,同時也涉及到政治、經濟、文化等各方面。當今社會,由于國家活動對信息和信息網絡的依賴性越來越大,所以一旦信息系統(tǒng)遭到破壞,就可能導致整個國家能源供應的中斷、經濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設想。由于我國信息化起步較晚,目前信息化系統(tǒng)大多數還處在“不設防’,的狀態(tài)下,國防信息安全的形勢十分嚴峻。具體體現在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視,許多應用系統(tǒng)處在不設防狀態(tài),具有極大的風險性和危險性。其次,我國的信息化系統(tǒng)還嚴重依賴大量的信息技術及設備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統(tǒng)的國產率還較低,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領域,通過網絡泄密的事故屢有發(fā)生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構缺乏權威,協(xié)調不夠,對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規(guī)劃,妨礙了信息安全管理的方針、原則和國家有關法規(guī)的貫徹執(zhí)行。
二、通信中存在的信息安全問題
2.1信息網絡安全意識有待加強
我國的信息在傳輸的過程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網絡運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網絡安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護。
2.2信息網絡安全核心技術貧乏
目前,我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統(tǒng)和數據庫等系統(tǒng)軟件大部分依賴國外產品。有些設備更是拿來就用,忽略了一定的安全隱患。技術上的落后,使得設備受制于人。因此,我們要加大對信息網絡安全關鍵技術的研發(fā),避免出現信息泄露的“后門”。
2.3信息網絡安全防護體系不完善
防護體系是系統(tǒng)頂層設計的一個重要組成部分,是保證各系統(tǒng)之間可集成、可互操作的關鍵。以前信息網絡安全防護主要是進行一對一的攻防,技術單一。現代化的信息網絡安全防護體系已經成為一個規(guī)模龐大、技術復雜、獨具特色的重要信息子系統(tǒng),并擔負著網絡攻防對抗的重任。因此,現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。
2.4信息網絡安全管理人才缺乏
高級系統(tǒng)管理人才缺乏,已成為影響我軍信息網絡安全防護的因素之一。信息網絡安全管理人才不僅要精通計算機網絡技術,還要熟悉安全技術。既要具有豐富的網絡工程建設經驗,又要具備管理知識。顯然,加大信息安全人才的培養(yǎng)任重而道遠。
三、通信組織運用中的網絡安全防護
網絡安全是通信系統(tǒng)安全的重要環(huán)節(jié)。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注,如何防范病毒入侵、保護信息安全是人們關心的問題,筆者總結了幾點常用的防范措施,遵循這些措施可以降低風險發(fā)生的概率,進而降低通信組織中信息安全事故發(fā)生的概率。
3.1數據備份
對重要信息資料要及時備份,或預存影像資料,保證資料的安全和完整。設置口令,定期更換,以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術,在磁盤子系統(tǒng)中有兩個系統(tǒng)進行同樣的工作,當其中一個系統(tǒng)故障時,另一個系統(tǒng)仍然能正常工作。加密對網絡通信加密,以防止網絡被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。
3.2防治病毒
保障信息系統(tǒng)安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應及時更新版本。一旦發(fā)現正在流行的病毒,要及時采取相應的措施,保障信息資料的安全。
3.3提高物理安全
物理安全是保障網絡和信息系統(tǒng)安全的基本保障,機房的安全尤為重要,要嚴格監(jiān)管機房人員的出入,堅決執(zhí)行出入管理制度,對機房工作人員要嚴格審查,做到專人專職、專職專責。另外,可以在機房安裝許多裝置以確保計算機和計算機設備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統(tǒng)存在安全漏洞,將會迅速傳播,若不及時修正,可能導致無法預料的結果。為了保障系統(tǒng)的安全運行,可以及時關注一些大公司的網站上的系統(tǒng)安全漏洞說明,根據其附有的解決方法,及時安裝補丁軟件。用戶可以經常訪問這些站點以獲取有用的信息。
3.5構筑防火墻
構筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業(yè)技術人員設置的,能阻止一般性病毒入侵系統(tǒng)。防火墻的不足之處是很難防止來自內部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。
四、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰(zhàn),我們有必要從以下幾個方面著手,加強國防信息安全建設。
4.1要加強宣傳教育,切實增強全民的國防信息安全意識
在全社會范圍內普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環(huán)境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環(huán)節(jié),采取各種措施,把這項工作做好;另一方面要結合工作實際,進行以安全防護知識、理論、技術以及有關法規(guī)為內容的自我學習和教育。
4.2要建立完備的信息安全法律法規(guī)
信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯網保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產品分類原則》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī),但從整體上看,我國信息安全法規(guī)建設尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應當加快信息安全有關法律法規(guī)的研究,及早建立我國信息安全法律法規(guī)體系。
4.3要加強信息管理
要成立國家信息安全機構,研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎上,成立地方各部門的信息安全管理機構,建立相應的信息安全管理制度,對其所屬地區(qū)和部門內的信息安全實行統(tǒng)一管理。
4.4要加強信息安全技術開發(fā),提高信息安全防護技術水平
沒有先進、有效的信息安全技術,國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術,自主進行信息安全關鍵技術的研發(fā)和運用。大力發(fā)展防火墻技術,開發(fā)出高度安全性、高度透明性和高度網絡化的國產自主知識產權的防火墻。積極發(fā)展計算機網絡病毒防治技術,加強計算機網絡安全管理,為保護國家信息安全打卜一個良好的基礎。
4.5加強計算機系統(tǒng)網絡風險的防范加強網絡安全防范是風險防范的重要環(huán)節(jié)
首先,可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識,加大網絡安全教育的投入。其次,重要數據和信息要及時備份,也可采用影像技術提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術,密碼設置應包含數字、字母和其他字符。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六,嚴格執(zhí)行權限控制,做好信息安全管理工作。“三分技術,七分管理”,可見信息安全管理在預防風險時的重要性,只有加強監(jiān)管和管理,才能使信息安全更上一個臺階。
4.6建立和完善計算機系統(tǒng)風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準。首先,要高度重視安全問題。隨著信息技術的發(fā)展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時,可以借鑒國外相關研究,尤其是一些發(fā)達國家,他們信息技術起步早,風險評估研究也很成熟,我們可以借鑒他們的管理措施,結合我們的實際,應用到風險防范中,形成風險管理制度,嚴格執(zhí)行。
其次,應當設立信息安全管理的專門機構,并配備專業(yè)技術人才,選拔防范風險的技術骨干,開展對信息安全技術的研究,對系統(tǒng)弱點進行風險評估,及時采取補救措施。完善信息安全措施,并落實到信息安全管理中去。
目前,我國的信息安全事件和事故的頻繁發(fā)生,這和老百姓最為直接的就是個人網絡賬號被盜。據賽門鐵克諾頓公司9月11日的諾頓安全報告顯示,從2011年7月至2012年7月,網絡犯罪致使全球個人用戶蒙受的直接損失高達1100億美元。同期,中國估計有超過2.57億人成為網絡犯罪受害者,直接經濟損失達人民幣2890億元。
針對日趨嚴重的網絡安全問題。工信部通信保障局網絡安全處副處長付景廣對記者說,工信部建立了通訊行業(yè)和網絡安全防護、應急演練等等,以保障網絡運行的穩(wěn)定和安全。“針對網絡釣魚、垃圾信息等危險用戶的切實利益問題,我們與中國互聯網協(xié)會、中國網絡互聯網信息中心等建立了相關的機制,以凈化網絡環(huán)境。”
信息安全風險管理需常態(tài)化
國家信息化專家咨詢委員會委員、國家信息化中國專家委員會副主任寧家駿認為,當前,信息安全形勢變化總體來說是國家信息安全形勢的一種表現。2010年前后可以看到美國進一步調整它的國家信息安全戰(zhàn)略,俄羅斯、紐約也在調整,日本更明確把國家的安全防范對象轉向我們國家。“9·11恐怖事件”發(fā)生后,美國的多部門獨立管理,多種模式逐漸感到沒有辦法適應信息時代國家安全戰(zhàn)略調整需求。所以,它先后整合了一些部門通管他們信息安全技術,另外也任命了公安局的局長出任網絡司令部的司令整合軍內的信息戰(zhàn)略領域。
在當前我們必須看到我們國家的網絡信息安全工作面臨新的復雜的形勢。進入新世紀以來,經濟、社會發(fā)展對我們信息網絡和信息化的依賴程度越來越高,現在我們可以說金融、交通、電力、水務等都離不開信息網絡。
寧家駿指出,信息網絡的發(fā)展已經成為推動社會和經濟發(fā)展的重要力量,也是各國競爭的制高點。一方面我們看到信息化的大勢不可逆轉,但是同時我們要必須看到,隨著我們中國的迅速崛起,也引起了國際社會的廣泛關注。在這種背景下,在全球網絡空間國際競爭日趨激烈的背景下,我們的信息安全問題更加錯綜復雜。所以,對信息安全保障體系的建設需求更加緊迫,面對國內和國際形勢,必須進一步提高對我們重要性系統(tǒng)的信息安全保障體系建設的高度重視和對風險的應對能力。
特別是在當前互聯網這種特性——規(guī)模龐大、帶寬持續(xù)增長和應用邏輯日益復雜的情況下,如果繼續(xù)在不同的安全領域中間各自為戰(zhàn)將不能適應信息安全新的發(fā)展要求。如何處理這種信息訪問的瓶頸?如何應對這種開放協(xié)議的安全事件?如何來解決我們應用軟件中安全漏洞難以避免的現實?寧家駿認為,這些問題要求我們必須解決在信息安全保障中全局協(xié)同的問題,同時要提高我們的效能,提高我們對事件處置能力和事前應急預警的能力。
在世界競爭日趨復雜的環(huán)境中,已經發(fā)生的一些重大信息安全事件對我國的發(fā)展產生不同的損失,對我國信息安全的重要性提出了更加緊迫的要求。特別是我們看到威脅在不斷的演變,有些部門的人覺得自己的電腦沒有什么可以保密的文件,疏忽管理。其實恰恰不然,很多的隱蔽性的網絡攻擊就是把這些看似沒有價值的電腦作為網絡攻擊的第一個跳板。特別是當前移動互聯網的發(fā)展,智能終端的廣泛應用已經成為當前在網絡攻擊中的一個最好的獲利的平臺。
所以,國外每年銀行卡信息被盜損失的金額非常巨大,特別是在當前我們這種移動終端,包括山寨手機內置的一些軟件,包括我們惡意捆綁那些流氓的軟件,使得我們的手機不僅僅是被吸取話費,而且把病毒傳播開來。寧家駿說:“未來一方面是信息化安全技術,一方面是面臨這種復雜的環(huán)境,使我們應對危機的難度在增加。所以,我們必須看到我們存在明顯的不足,清醒的認識到這種日益增加的戰(zhàn)略層面的巨大的威脅,包括我們很多的技術手段。同時,我們必須要解決這種各自為戰(zhàn)的,要克服這種誰主管、誰負責的局限性。”
“我們又必須看到風險管理的滯后和非常態(tài)化。當前,我們重視了風險評估工作,但是往往我們對風險的理解常常是限定在技術層面,而沒有考慮到相關方的核心力。”寧家駿說,“我們的風險評估常常基于靜態(tài),沒有真正的開展常態(tài)化的、動態(tài)的持續(xù)的監(jiān)管。特別是我們個人信息的保護嚴重的滯后,所以在這里既有我們用戶和企業(yè)的意識淡薄,更有我們法律的欠缺,也有我們相應的服務和管理上的約束的不足。”
手機信息安全不容忽視
黑客的入侵手法日益更新,傳統(tǒng)的網絡安全問題正逐漸向移動互聯網等領域延伸。付景廣介紹,手機終端與PC終端面臨的問題沒有本質的區(qū)別,都面臨木馬病毒等問題。但是,手機的繳費和扣費功能更容易受到黑客的關注。調查發(fā)現有些木馬病毒可以操控手機,定制收費業(yè)務,造成用戶的經濟損失,有的還可以遠程竊取手機的位置信息和通話記錄等,導致用戶隱私泄露。
今年以來,社會上有一些企業(yè)搜集用戶的個人信息引起人們關注。付景廣說:“我們需要增強安全意識,這與現實生活中的偷盜詐騙等相比,手機的安全問題和虛擬性、空間地域性,使網絡的安全問題變得更加隱蔽和復雜。”他認為,人們只有樹立起正確的防范意識,才會自覺地養(yǎng)成良好的防范舉措。但是,還有很多在信息產業(yè)中的從業(yè)人員對信息安全的防范也是一知半解。
最近,工信部發(fā)文明確要求:
第一,手機制造企業(yè)和行業(yè)協(xié)會要承擔起指導用戶安全使用手機的責任,加強風險提示等。
第二,加強應用商店安全管理,控制手機惡意程序的渠道。對捆綁惡意功能的程序必須加大力度處理;另一方面開辦應用商店的基礎企業(yè),移動互聯網企業(yè)和手機制造企業(yè)要切實履行好各自的責任和安全的審核機制。
“一項調查顯示,70%的用戶對于云計算、移動應用的安全性心存疑慮。”亞信安全公司安全中心副總經理軒曉荷在主題為《云與大數據時代的信息安全挑戰(zhàn)與對策》的演講中提到,“惡意軟件的大量增加與行業(yè)安全標準、監(jiān)管措施的缺失,使得企業(yè)在安全方面面臨更嚴峻的挑戰(zhàn)。在國外,越來越多的用戶習慣于購買安全運維服務,而中國90%的用戶還在采購安全產品。這就是差距所在。”
那么,如何才能縮小差距,不斷增強中國企業(yè)在云計算、大數據、移動應用方面的安全性呢?軒曉荷提出了四大策略:第一,準確識別云計算和大數據環(huán)境中的安全威脅,做到知己知彼;第二,有效平衡開放技術和安全防護的需求;第三,循序漸進提升企業(yè)的安全能力,從產品到服務逐步完善;第四,建立企業(yè)整體的安全體系,不斷完善安全機制。
由被動防御到主動防御
在新型安全攻擊層出不窮的時代,云中的大數據成了網絡犯罪集中攻擊的目標。今年8月,國務院常務會議通過《關于促進大數據發(fā)展的行動綱要》,其中明確指出了推動政府大數據開放、共享,并保證其安全的重要性。各地方政府也在逐步落實數據公開和數據資產化。保證大數據的安全已刻不容緩。
國家信息中心網絡安全部副主任李新友表示,保證大數據的安全需要做好以下幾方面工作:第一,政府部門要加強相關的立法工作,制定數據公開和交易的原則;第二,個人要增強隱私和信息保護意識;第三,廠商要在大數據安全產品和解決方案的創(chuàng)新方面下更多功夫。
隨著云計算應用、移動智能終端的普及,企業(yè)需要在原有的網絡環(huán)境中增加對移動設備的安全管理,同時還要小心應對數據中心逐步向虛擬化環(huán)境、云中遷移時帶來的安全管理挑戰(zhàn)。在這種情況下,企業(yè)必須建立立體化的防護體系,對企業(yè)基礎架構與云計算、大數據、移動應用實行一體化的防護,采用統(tǒng)一的標準化的安全模式。以前,企業(yè)針對不同的應用可以采用單一功能的安全產品進行保護。現在,隨著應用和數據的集中,企業(yè)必須采用統(tǒng)一的身份認證和防護解決方案,以滿足合規(guī)的要求。
“企業(yè)需要防護的范圍在逐步擴大,除了物理設備、數據庫需要保護以外,就連虛擬資源池也要進行保護。”軒曉荷補充說,“企業(yè)需要保護的內容越來越豐富,有必要時還要針對大數據提供特別的安全解決方案,此外還要考慮安全威脅治理等。”
最讓互聯網企業(yè)和云服務商感到頭痛的是防不勝防的DDoS攻擊。在一些競爭比較激烈的行業(yè)或領域,企業(yè)非常擔心自己的IT系統(tǒng)受到來自不明方的攻擊。雖然很多廠商可以提供防DDoS攻擊的設備,但是隨著云計算、大數據的出現,單純依靠一個設備或單一的解決方案已經不能有效抵御DDoS攻擊。”一些互聯網公司的作法是,在DDoS攻擊比較猛烈時,系統(tǒng)可以動態(tài)地快速增加服務帶寬,比如將過去服務100個客戶所需的帶寬瞬間提升至可以支持5萬甚至10萬客戶的帶寬水平,這樣一來,DDoS攻擊就會立刻失效。”亞信安全業(yè)務發(fā)展總監(jiān)童寧舉例說,“但是現在又出現了一種新型的更廉價的攻擊方法――CS攻擊,基于內容安全的漏洞來實施攻擊。這種攻擊更具針對性,主要是消耗服務器的CPU資源。企業(yè)更應小心應對。”
以前,企業(yè)通常采用的是被動防御的策略,亡羊補牢。所以給人一種印象,企業(yè)和安全廠商總是被黑客牽著鼻子走。“其實,這是一種假象。安全廠商的許多技術創(chuàng)新工作都走在了黑客前面。在今年全球發(fā)生的16個零日攻擊中,趨勢科技預先發(fā)現了其中的8個。”童寧介紹說,“我們現在要變被動防御為主動防御,并將被動防御與主動防御的技術相結合,這樣才能讓黑客無處遁形。”
企業(yè)轉型的堅強后盾
今年9月1日,亞信科技宣布收購趨勢科技在中國的全部業(yè)務,包括核心技術和知識產權100多項,同時建立獨立的安全技術公司――亞信安全。此舉不僅在安全領域引起了強烈震動,而且對于亞信集團的轉型來說也是一個推動。2014年7月,亞信集團對原有業(yè)務進行了調整,分成了四大事業(yè)群,安全業(yè)務就是其中之一。借收購趨勢科技中國業(yè)務之機,亞信安全將原有的通信安全技術與趨勢科技的云安全、大數據安全技術相結合,成了網絡云安全領域新的領頭羊,VMware、微軟Auzure和亞馬遜AWS等全球領先的云服務商都是亞信安全的客戶。
收購完成后,亞信安全具備了提業(yè)互聯網整體安全軟件的能力,也將業(yè)務進一步擴展至金融、教育、制造、醫(yī)療等更多領域。亞信安全董事長何政表示:“亞信收購趨勢科技中國業(yè)務之后,擁有了國際領先的云安全關鍵核心技術和產品,將使中國在世界云安全產業(yè)版圖中占據重要位置,同時對于保障國家網絡安全與云產業(yè)安全,實施自主可控戰(zhàn)略也具有重要和深遠的意義。亞信安全作為一家中國本土公司,將充分發(fā)揮在網絡安全方面的技術優(yōu)勢,并與國家信息中心齊力合作,進一步加強自主研發(fā)、業(yè)務創(chuàng)新,保障國家網絡安全,共同推動國家信息安全體系的建設和發(fā)展。
亞信安全作為中國領先的云與大數據安全技術、產品、方案和服務供應商,將以“護航產業(yè)互聯網”為使命,堅持“產品、服務、運營三位一體”的經營模式,助力客戶構建“立體化主動防御體系”,推動企業(yè)實施自主可控的安全戰(zhàn)略。
亞信安全在北京和南京設有獨立研發(fā)中心,擁有超過2000人的專業(yè)安全團隊,在網絡安全、云和虛擬化安全、終端和移動安全、APT治理和安全服務等多個安全領域擁有具有自主知識產權的安全軟件和解決方案。“通過與趨勢科技分布在全球的15個惡意軟件實驗室合作,亞信安全可以響應和應對來自世界各地的威脅。”童寧介紹說。
亞信科技原來的安全部門主要為運營商提供服務,而趨勢科技中國服務的對象主要是政企客戶。亞信科技收購趨勢科技中國業(yè)務后,對雙方的安全業(yè)務進行了重新梳理和定位:對于雙方原來的優(yōu)勢領域,亞信安全將繼續(xù)深耕細作,不斷鞏固既有優(yōu)勢;對于雙方原來都不擅長的領域,亞信安全會整合現有的產品,繼續(xù)拓展新的業(yè)務領域;對于一些潛在的市場,比如中小企業(yè)安全市場、針對運營商的云安全服務等,亞信安全會全力出擊,以新的解決方案和服務覆蓋這些市場。“針對運營商,我們仍會采用直銷的手段,還會為大型客戶提供定制化的產品和解決方案。對于商業(yè)市場,我們會充分借助2000家合作伙伴的力量加強渠道銷售。”軒曉荷表示。
亞信集團的新定位是“領航產業(yè)互聯網”。在亞信集團轉型的過程中,安全業(yè)務是不可或缺的一環(huán)。亞信安全將成為產業(yè)互聯網堅定的擁護者和堅強的安全后盾。
助力自主可控
沒有網絡安全就沒有國家安全。在世界各主要大國間的網絡空間安全爭奪戰(zhàn)愈演愈烈的情況下,我國已了網絡空間安全戰(zhàn)略和《網絡安全法(草案)》,以便更好地推動我國網絡信息安全的穩(wěn)步發(fā)展。
信息安全廠商代表上臺領獎
深信服向來賓介紹其AC上網行為管理設備
來自信息產業(yè)部等國家各部委的領導認真聽取代表發(fā)言
2007年4月18日,由國務院信息化工作辦公室網絡與信息安全組、中國計算機學會計算機安全專業(yè)委員會、中國信息協(xié)會信息安全專業(yè)委員會、中國互聯網協(xié)會網絡與信息安全工作委員會、國家保密技術研究所和國家信息中心信息安全研究與服務中心指導,中國電子信息產業(yè)發(fā)展研究院主辦,中國計算機報社承辦的第八屆中國信息安全大會在北京新世紀日航飯店舉行。本次大會以“和諧網絡&應用安全”為主題,契合了建設和諧社會的指導思想,聚焦信息社會中面臨的應用安全問題。
在信息安全領域,歷來人們都是強調安全技術產品的細節(jié)。現在,這一點也許需要有所改變了。人們需要從對信息安全的認識、安全的架構以及未來的主流信息安全技術等更高的層次重新思考信息安全。在前不久舉行的RSA Conference上,全球信息安全巨頭以及關注信息安全的專家都在主題演講中透露出這個信息。
以前,談到信息安全防護,首先考慮的是網絡邊界防護,也就是通過防火墻/VPN、網關安全技術給自己的網絡安裝一道防護的“閘門”,通過網絡訪問控制技術來實現對內部網絡的保護。然而,隨著互聯網普及,網絡和信息系統(tǒng)不可避免地要對外開放――開放給客戶,與合作伙伴共享應用系統(tǒng)和數據庫。在這種情況下,保護數據本身比建一堵圍墻重要得多,也有效得多。
理念的變化將帶來安全防護方式的巨大變化。我們不僅要對自己的信息系統(tǒng)的安全負責,還要對通過網絡相連的客戶、合作伙伴的信息系統(tǒng)的安全負責。因此,實現信息系統(tǒng)的“應用安全”應該得到提倡。
創(chuàng)造和諧的網絡環(huán)境
眾所周知,信息安全產業(yè)已經不再是一個孤立發(fā)展的產業(yè),正如國信辦網絡與信息安全組副司長趙澤良所說,網絡與信息安全關系到社會各個層面,廣大的用戶已經深切感受到安全防范的重要性,并逐步加強了防范意識,產業(yè)界同仁也在不斷發(fā)現安全的隱患,對更深層的安全防御未雨綢繆。
前段時間“熊貓燒香”肆虐網絡。很難說事件本身有多蹊蹺,但人們對它的關注卻在不經意間反映出中國信息安全產業(yè)在當前發(fā)展階段的至深影響力。公安部公共信息網絡安全監(jiān)察局副局長趙林在會上表示,這類事件的出現和影響充分地說明了網絡與信息安全的重要性。隨著信息化及網絡應用的不斷深化,信息安全還將面臨更多更廣闊的機遇和挑戰(zhàn)。因此,我們面對建設和諧社會的大主題,中國信息安全產業(yè)理當順應這個大趨勢,并為信息社會的和諧做出貢獻。
國家信息中心首席工程師寧家駿在大會上表示,國家在信息化的戰(zhàn)略中,已經明確提出了確保國家的經濟安全、政治安全、文化安全、信息安全,來增強憂患意識和危機意識,并把信息安全問題列為四大安全問題之一。所以,信息安全產業(yè)面臨重大的發(fā)展機遇,擔負著重大使命。我們因此提出了“和諧網絡”的倡議。
那么,應如何建設和諧的網絡社會呢?信息產業(yè)部專家指出,網絡安全是信息社會健康發(fā)展的基本前提,要像重視網絡發(fā)展那樣重視網絡安全,以發(fā)展促安全,以安全保發(fā)展。一方面,要繼續(xù)加大信息通信基礎設施建設力度,積極推進信息技術的廣泛應用和信息資源的開發(fā)利用,以滿足社會日益增長的信息通信需求;另一方面,針對各種網絡安全問題,采取切實有效的應對措施,不斷提高防范和保障能力,創(chuàng)造一個放心、安全的網絡應用環(huán)境,使網絡能夠更好地服務于人們的工作和生活。電信運營企業(yè),包括ISP、ICP、SP等要強化社會責任意識,依法經營,文明辦網,以形式多樣、健康向上的業(yè)務占領網絡陣地,積極參與和培育健康和諧的網絡空間。
開拓網絡應用安全之道
信息安全融技術、策略、管理、教育于一體。從信息安全策略來看,它分為物理網絡層、操作系統(tǒng)層、應用系統(tǒng)層、規(guī)章制度層四個層次。網絡操作系統(tǒng)的安全,主要涉及防范對物理網絡平臺的黑客攻擊,防病毒,防系統(tǒng)崩潰,系統(tǒng)數據的備份與災難恢復等;應用軟件的安全,主要涉及防止系統(tǒng)侵入破壞,防郵件垃圾,防盜用密碼,防竊取辦公資料,防技術性盜用軟件等;建立規(guī)章制度主要包括建立保證運營管理制度,涉及機密信息保護、人員內部管理、設備可用性保護等。
全世界每年由于信息系統(tǒng)的脆弱性而導致的經濟損失逐年上升,安全問題日益嚴重。面對這種現實,各國政府有關部門和企業(yè)不得不重視信息安全問題。網絡安全技術和安全產品首先發(fā)展并盛行起來,目前市場上有諸如防火墻、入侵檢測系統(tǒng)、網絡安全審計系統(tǒng)等比較成熟的網絡安全產品。雖然這些產品能夠在一定程度上提高網絡的安全性,但令人遺憾的是,它們對信息內容的監(jiān)控、過濾、保護,以及有效合法的使用基本上無能為力。在Internet這種分布式環(huán)境下,如何對信息內容進行合理的管理和有效的保護,同時確保信息內容的分發(fā)和使用安全,即保證其整個生命周期的安全性顯得日益重要。
微軟(中國)有限公司解決方案專家王健的發(fā)言是從問題開始的:“全世界最受黑客、病毒、垃圾郵件干擾的企業(yè)和組織是哪個?不是微軟,是美國國防部。微軟是第二個。針對微軟的系統(tǒng),每天有超過4500次的攻擊。在全球范圍內,有幾萬名微軟員工在互聯網上協(xié)同工作,但是微軟的企業(yè)系統(tǒng)、郵件系統(tǒng)、工作系統(tǒng)沒有癱瘓過。這個現象值得深入探詢,如何利用最新的IT技術,如何利用微軟的技術保障企業(yè)的穩(wěn)定運行?”不難理解,應用安全無論是對企業(yè)還是對個人,都是防范效率提升、節(jié)約安全運維成本的最佳之道。
確保信息網絡安全正在成為新世紀國家安全的重要基石和基本內涵。這就向我們提出了一個迫切需要解決的重大戰(zhàn)略性問題,即:如何切實保障信息網絡安全,以確保我國信息化建設快速、平穩(wěn)、健康發(fā)展,避免信息網絡安全問題導致社會危機的發(fā)生。
同時,它也要求我們必須結合國情,從“發(fā)展是硬道理”出發(fā)看待和把握信息安全問題,對我國信息化發(fā)展進程中面臨的信息安全威脅演變趨向加以冷靜分析、正確判斷,制定科學、務實、有效的安全保障戰(zhàn)略。
提升應急能力
面對全球一體化的互聯網環(huán)境,國家公共互聯網應急體系的建立和應急處理能力的提高,并不能僅僅依靠政府的力量,而是需要世界各國相關組織在技術、資源、經驗方面的共同合作,需要政府與企業(yè)、全社會每個人的互動。
在互聯網這樣一個復雜的巨系統(tǒng)中,如何提高應急響應的處理水平確是擺在我們面前的巨大難題。目前的應急管理無法適應日益復雜的安全系統(tǒng)的要求。為了解決這些問題,我們在方法學上提出了“綜合集成”的思路,即自上而下、自下而上的結合(如圖1所示)。
要落實綜合集成的方法論就要綜合治理,不僅靠一個部門或一個企業(yè)制定信息安全應急預案,而且需要建立一個全球相互協(xié)作體系。在統(tǒng)一的標準、一致的應急處理方法下,達到體系的高度靈活性。
同時,我國也必須要建立自己的體系,并與全球的相關組織緊密合作,實現從定性到定量的協(xié)調機制。在不斷變化的技術環(huán)境中,今天最好的安全措施可能在明天會過時。安全措施必須緊跟這些變化,必須作為系統(tǒng)開發(fā)生命周期中的一重要組成部分加以考慮,并在每一階段明確其定位。
信息安全常被看作是一個技術問題,少有組織認為它是組織必需優(yōu)先考慮的對象。 信息安全治理是我國信息安全保障體系建設的戰(zhàn)略需求。我國信息安全治理的方針和戰(zhàn)略是:以單項治理為主向以綜合治理為主轉變;從注重事后處理向以事前預警為重點轉變;從與電子政務和電子商務實際應用系統(tǒng)的松散結合向緊密相結合轉變;為經濟社會協(xié)調發(fā)展提供支撐;以人為本、自主創(chuàng)新、協(xié)同集成、重點跨越。
避免誤區(qū)
在評估和把握我國信息安全形勢的走向時,要避免出現兩種傾向:一是在信息安全領域中尚不存在特別重大威脅的情況下,對信息安全問題的演變趨勢估計不足、重視不夠,給國家信息化的持續(xù)發(fā)展留下安全隱患;二是對信息安全領域諸多屬于一般性威脅問題的嚴重性估計過高,把技術與管理不健全而造成的安全問題視為戰(zhàn)略問題,造成人力、財力的浪費,給國家管理和社會進步增添負擔。
思路和原則
抓住我國綜合實力進一步增強和加入WTO的機遇,統(tǒng)籌我國信息安全保障體系建設,在自力更生基礎上按需引進、充分利用和借鑒國外先進技術與管理經驗,在15~20年時間內,堅持與時俱進、求真務實的精神,通過統(tǒng)一規(guī)劃、分步實施,政府引導、全民參與的方式,通過信息安全治理,建立起完整的國家信息安全保障體系。應該按照如下原則來進行安全保障體系的建設:
堅持風險管理原則完全避免風險是不現實的,要對關鍵領域的信息安全風險進行識別和評估,采取必要的保護措施和應急措施來降低風險,使之控制在可承受的范圍內。
明確統(tǒng)籌兼顧原則在實施策略方面,要明確國家、企業(yè)和個人在信息安全方面的責任和義務,充分發(fā)揮各方面的積極性;要統(tǒng)籌城鄉(xiāng)信息安全建設,協(xié)調區(qū)域化信息安全建設與全國信息安全建設。
重視經濟實用原則切忌空談和夸大,量力而行,突出重點。以我國信息安全領域最急需開展的工作作為突破點,扎實地做好信息安全工作。管理上要將關鍵信息網絡安全的整改作為信息安全建設的切入點,技術上要采用綜合集成思想,逐步完善關鍵基礎設施的安全保障,切實提高信息安全防護能力。
遵循循序漸進原則信息安全戰(zhàn)略要與國家信息化發(fā)展和社會轉型相適應,采取統(tǒng)一規(guī)劃、分步實施,以及短期和中長期目標相結合的方式進行。
治理三階段
國家信息安全戰(zhàn)略的總體目標是保障關系到國計民生的信息基礎設施的適度安全,實現國家對信息化環(huán)境與內容的治理(如圖2所示)。
第一階段,打基礎、保重點,初步建立我國信息安全防護體系。
戰(zhàn)略重點是保障“3+7”關鍵基礎網絡安全、信息內容安全和加強網絡監(jiān)管。戰(zhàn)略目標是確保國家信息化建設健康、穩(wěn)步地發(fā)展。
保護關鍵基礎網絡安全指由電信網、廣播電視網和互聯網構成的三個基礎網和由稅務、電力、銀行、證券、海關、鐵道、民航構成的七個關鍵網。
保護信息內容安全指防止有害內容的產生、傳播和可獲得性。要建立信息網絡監(jiān)管體系,實現對信息內容安全監(jiān)控,對有害信息內容進行過濾,減少其精神污染。加強政府對信息網絡的監(jiān)管力度及對網絡安全運行的監(jiān)控和管理。
通過立法,將監(jiān)控管理從行政管理的范疇納入到法制范疇。對電子保密信息進行合法的安全監(jiān)管,增強信息犯罪取證調查能力。
第二階段,重體系、促發(fā)展,形成較強的國家信息安全保障能力。
戰(zhàn)略重點是確保政務網絡安全高效、商務網絡安全可靠、網絡文化健康向上。戰(zhàn)略目標是促進網絡經濟蓬勃發(fā)展,形成良好網絡秩序。
政務網絡安全保障重點是保證關鍵指令和信息的有效上傳下達,政務資源的有效整合和利用。為此,要加快安全保障體系與安全支撐平臺建設,這是政府在信息安全上的法律職責和義務。
第三階段,實現對信息網絡的有效治理,初步具備信息反制能力。
戰(zhàn)略重點是有效維護信息空間領域國家利益,大幅提高全民在信息化進程中生活質量和福利。
戰(zhàn)略目標是達到信息網絡的科學治理、維護經濟與社會的可持續(xù)發(fā)展。
在政策法規(guī)方面,建立完善的信息安全法律法規(guī)體系。在技術方面,依據信息安全技術戰(zhàn)略,在關鍵領域取得突破性進展。在產業(yè)方面,通過政策傾斜和市場競爭,孵化出信息安全“航空母艦”型企業(yè),信息安全主要核心技術基本實現自主化。
五大安全治理規(guī)范(供參考)
一、經濟合作和發(fā)展組織,《信息系統(tǒng)安全指南》(1992)
《信息系統(tǒng)安全指南》用于協(xié)助國家和企業(yè)構建信息系統(tǒng)安全框架。美國、OECD的其他23個成員國,以及十幾個非OECD成員國家都批準了這一指南。該指南旨在提高信息系統(tǒng)風險意識和安全措施,提供一個一般性的框架以輔助信息系統(tǒng)安全度量方法、操作流程和實踐的制定和實施,鼓勵關心信息系統(tǒng)安全的公共和私有部門間的合作,促進人們對信息系統(tǒng)的信心,促進人們應用和使用信息系統(tǒng),方便國家間和國際間信息系統(tǒng)的開發(fā)、使用和安全防護。
這個框架包括法律、行動準則、技術評估、管理和用戶實踐,及公眾教育或宣傳。該指南目的是作為政府、公眾和私有部門的標桿,通過此標桿測量進展。
二、國際會計師聯合會,《信息安全管理》(1998)
信息安全目標是“保護依靠信息、信息系統(tǒng)和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足三條準則時可認為達到信息安全目標:數據和信息只透露給有權知道該數據和信息的人(機密性);數據和信息保護不受未經授權的修改(完整性);信息系統(tǒng)在需要時可用和有用(可用性)。 機密性、完整性和可用性之間的相對優(yōu)先級和重要性根據信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境而不同。 信息安全因急速增長的事故和風險種類而日益重要。對信息系統(tǒng)的威脅既有可能來自有意或無意的行動,也可能來自內部或外部。信息安全事故的發(fā)生可能是因為技術方面的因素、自然災害、環(huán)境方面、人的因素、非法訪問或病毒。另外,業(yè)務依賴性(依靠第三方通信設施傳送信息,外包業(yè)務等等)也可能潛在地導致管理控制的失效和監(jiān)督不力。
三、國際標準化組織,《ISO 17799國際標準》(最新版是2005)
ISO 17799(根據BS 7799第一部分制定)作為確定控制范圍的單一參考點,在大多數情況下,這些控制是使用業(yè)務信息系統(tǒng)所必須的。該標準適應任何規(guī)模的組織。它把信息作為一種資產,像其他重要商業(yè)資產一樣,這種資產對組織有價值,因此需要恰當保護它。ISO 17799認為信息安全有下列特征:機密性,確保信息只被相應的授權用戶訪問;完整性,保護信息和處理信息程序的準確性和完整性;可用性,確保授權用戶在需要時能夠訪問信息和相關資產。信息安全保護信息不受廣泛威脅的損毀,確保業(yè)務連續(xù)性,將商業(yè)損失降至最小,使投資收益最大并抓住各種商業(yè)機遇。安全是通過實施一套恰當的控制措施實現的。該控制措施由策略、實踐、程序、組織結構和軟件組成。
四、信息系統(tǒng)審計和控制協(xié)會,《信息和相關技術的控制目標》(CoBIT)
CoBIT起源于IT需要傳遞組織為達到業(yè)務目標所需的信息這個前提,至今已有三個版本。除了鼓勵以業(yè)務流程為中心,實行業(yè)務流程負責制外,CoBIT還考慮到組織對信用、質量和安全的需要,它提供了組織用于定義其對IT業(yè)務要求的幾條信息準則:效率、效果、可用性、完整性、機密性、可靠性和一致性。CoBIT進一步把IT分成4個領域(計劃和組織,獲取和實施,交付和支持,監(jiān)控),共計34個IT業(yè)務流程。CoBIT為正在尋求控制實施最佳實踐的管理者和IT實施人員提供了超過300個詳細的控制目標,以及建立在這些目標上的廣泛的行動指南。COBIT框架通過聯結業(yè)務風險、控制需要和技術手段來幫助滿足管理當局多樣化的需求。它提供了通過一個范圍和過程框架的最佳慣例,以形成一個可控和邏輯結構內的活動。
五、美國注冊會計師協(xié)會(加拿大特許會計師協(xié)會),《SysTrust TM系統(tǒng)可靠性原理和準則V20》(2001)
[關鍵詞] 信息安全保障體系; 中國石油; 企業(yè)
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054
[中圖分類號] TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2012)09- 0089- 02
1 信息安全保障體系概述
信息安全保障(Information Assurance,IA)來源于1996年美國國防部DoD指令5-3600.1(DoDD5-3600.1)。其發(fā)展經歷了通信安全、計算機安全、信息安全直至現在的信息安全保障。內容包括保護(Protection)、檢測(Detection)、響應(Response)、恢復(Recovery) 4個環(huán)節(jié),即PDRR模型。
信息安全保障體系分為人員體系、技術體系和管理體系3個層面,人員體系包括安全人員的崗位與職責、全體工作人員的安全管理兩部分。技術體系由本地計算環(huán)境、區(qū)域邊界、網絡基礎設施及支撐性基礎設施組成。管理體系包括建立完善的信息安全管理體系、構建自上而下的各級信息安全管理組織架構、制定信息安全方針與信息安全策略及完善信息安全管理制度4個板塊。通過縱深防御的多層防護,多處設置保護機制,抵御通過內部或外部從多點向信息系統(tǒng)發(fā)起的攻擊,將信息系統(tǒng)的安全風險降低到可以接受的程度。
2 國外信息安全保障體系建設
美國的信息化程度全球最高,在信息技術的主導權和網絡上的話語權等方面占據先天優(yōu)勢,他們在信息安全保障體系建設以及政策支持方面也走在全球的前列。美國政府先后了一系列政策戰(zhàn)略報告,將信息安全由“政策”、“計劃”上升到“國家戰(zhàn)略”及“國際戰(zhàn)略”的高度。美國國土安全局是美國信息安全管理的最高權力機構,其他負責信息安全管理和執(zhí)行的機構有國家安全局、聯邦調查局、國防部、商務部等,主要根據相應的方針和政策結合自己部門的情況實施信息安全保障工作。
其他國家也都非常重視信息安全保障工作。構建可信的網絡,建設有效的信息安全保障體系,實施切實可行的信息安全保障措施已經成為世界各國信息化發(fā)展的主要需求。信息化發(fā)展比較好的發(fā)達國家,如俄、德、日等國家都已經或正在制定自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計劃,確保信息安全沿著正確的方向發(fā)展,在信息安全領域不斷進行著積極有益的探索。
3 國內信息安全保障體系建設
我國信息化安全保障體系建設相對于發(fā)達國家起步較晚,2003年9月,中央提出要在5年內建設中國信息安全保障體系。2006年9月,“十一五”發(fā)展綱要提出科技“支撐發(fā)展”的重要思想,提出要提高我國信息產業(yè)核心技術自主開發(fā)能力和整體水平,初步建立有中國特色的信息安全保障體系。2007年7月20日,“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”召開,標志著信息安全等級保護工作在全國范圍內的開展與實施。2011年3月《我國國民經濟和社會發(fā)展十二五規(guī)劃綱要》明確提出加強網絡與信息安全保障工作。通過一系列的文件要求,不斷完善與提升我國的信息安全體系,強調信息安全的重要性。
我國信息安全保障體系建設主要包括:① 加快信息安全立法、建立信息安全法制體系,做到有法可依,有法必依。② 建立國家信息安全組織管理體系,加強國家職能,建立職能高效、職責分工明確的行政管理和業(yè)務組織體系,建立信息安全標準和評價體系。③ 建立國家信息安全技術保障體系,使用科學技術,實施安全的防護保障。④ 在技術保障體系下,建設國家信息安全保障基礎設施。⑤ 建立國家信息安全經費保障體系,加大信息安全投入。⑥ 高度重視人才培養(yǎng),建立信息安全人才培養(yǎng)機制。
我國通過近幾年的努力,信息安體保障體系取得了長足發(fā)展,2002年成立了全國信息安全標準化技術委員會,不斷完善信息安全標準。同時在互聯網管理、信息安全測評認證、信息安全等級保護工作等方面取得了實質性進展,但CPU芯片、操作系統(tǒng)與數據庫、網關軟件仍大多依賴進口,受制于人。
4 企業(yè)信息安全保障體系建設
中國石油集團公司信息化建設在我國大型企業(yè)中處于領先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,公司將企業(yè)信息安全保障體系建設納入信息化整體規(guī)劃中,并逐步實施。其中涉及管理類項目3個,控制類項目3個,技術類項目5個。
管理類項目包括信息安全組織完善、信息安全運行能力建設、風險評估能力建設3個項目。信息安全組織完善是指完善信息安全的決策、管理與技術服務組織,合理配置崗位并明確職責,建立完備的管理流程,為信息安全建設與運行提供組織保障。信息安全運行能力建設內容包括建立統(tǒng)一、完備的信息安全運行維護流程及組織IT運行維護人員信息安全技能培訓,較快形成基本的信息安全運行能力。風險評估能力建設是指通過建立風險評估規(guī)范及實施團隊,提高信息安全風險自評估能力和風險管理能力,強化保障體系的有效性。
信息安全控制類項目涉及信息安全制度與標準完善、基礎設施安全配置規(guī)范開發(fā)、應用系統(tǒng)安全合規(guī)性實施3個項目。信息安全制度與標準完善包括:① 初步構建了制度和標準體系,了《信息系統(tǒng)安全管理辦法》及系統(tǒng)定級實施辦法。② 建立和完善了信息系統(tǒng)安全管理員制度,開展了信息安全培訓。③ 跟蹤國家信息安全等級保護政策,開展信息系統(tǒng)安全測評方法研究等,規(guī)范了信息系統(tǒng)安全管理流程,提升安全運行能力。基礎設施安全配置規(guī)范開發(fā)目標是制定滿足安全域和等級保護要求的信息技術基礎設施安全配置規(guī)范,提高信息技術基礎設施的安全防護能力。應用系統(tǒng)安全合規(guī)性實施是提供專業(yè)的信息安全指導與服務,支持國家等級保護、中國石油內部控制等制度的實施,使信息化建設與應用滿足合規(guī)性要求。
信息安全技術類項目由身份管理與認證、網絡安全域實施、桌面安全管理、系統(tǒng)災難恢復、信息安全運行中心5個項目組成。身份管理與認證是指建成集中身份管理與統(tǒng)一認證平臺,實現關鍵和重要系統(tǒng)的用戶身份認證,提高用戶身份管理效率,保證系統(tǒng)訪問的安全性。網絡安全域包括廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3項內容。廣域網邊界防護是指將全國各地的中國石油單位的互聯網集中統(tǒng)一到16個區(qū)域網絡中心,員工受控訪問互聯網資源,并最終實現實名制上網。廣域網域間與數據中心防護項目指建立。區(qū)域間訪問與防護標準、數據中心防護標準。廣域網域內防護將分離其他網絡并制定訪問策略,完善域內安全監(jiān)控手段和技術,規(guī)范域內防護標準。桌面安全管理項目包括防病毒、補丁分發(fā)、端點準入、后臺管理、電子文檔保護和信息安全等級保護綜合管理6個子系統(tǒng)。系統(tǒng)災難恢復包括:① 對數據中心機房進行了風險評估,提出了風險防范和改進措施。② 對已上線的18個信息系統(tǒng)進行業(yè)務影響分析,確定了災難恢復關鍵指標。③ 制定整體的災備策略和災難恢復系統(tǒng)方案。信息安全運行中心旨在形成安全監(jiān)控信息匯總樞紐和信息安全事件協(xié)調處理中心,提高對信息安全事件的預警和響應能力。
5 存在問題及建議
中國石油作為國資委超大型企業(yè)和能源工業(yè)龍頭企業(yè),集團領導和各級領導,一貫重視信息安全工作,在落實等級保護制度,加強信息安全基礎設施建設,深入開展信息安全戰(zhàn)略、策略研究等方面,都取得的豐碩成果,值得其他企業(yè)借鑒。公司在信息安全保障體系建設中還存在以下問題:
(1) 信息安全組織體系不夠健全,不能較好地落實安全管理責任制。目前,部分二級單位沒有獨立的信息部門,更沒有負責安全體系建設、運行和管理的專職機構,安全的組織保障職能分散在各個部門,兼職安全管理員有責無權的現象普遍存在,制約了中國石油信息安全保障體系建設的發(fā)展。需強制建立從上至下完善的管理體系,明確直屬二級單位的信息部門建設,崗位設定、人員配備滿足對信息系統(tǒng)管理的需求。
