时间:2023-10-12 09:33:53
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇国家信息安全的重要性范例。如需获取更多原创内容,可随时联系我们的客服老师。
世界信息技术和信息产业不断发展,使国家信息安全问题处于跨国界的流动状态之中。由此产生的新型网络犯罪波及全球造成巨大的破坏,因而加强国家信息安全立法,规范信息安全体系,保护国家间的信息安全,打击信息安全犯罪,维护公平健康的世界信息安全新秩序是法律所必须要做的,这片空白亟待填补。
一、国家信息安全的涵义
国家信息安全是指维持国家政治、经济、科技、军事、文化,社会生活等系统不受到内外威胁、干扰、破坏而正常运行的状态。
信息安全的概念包括广义与狭义之分。广义的国家信息安全包括保护国家、公民、法人的机密性质的信息,保护卫星电缆、通讯台基站等基础设施,防止信息人才外流,防止别国的间谍侦查渗透,防止境外黑客以及病毒对信息系统的破坏等方面。狭义的维护国家信息安全是保护以网络信号、卫星传播、无线电波等电子媒介加以维持国家中重要信息的安全。本文所指的亦为狭义的信息安全。
二、国家信息安全立法现状
各国对于国内的信息安全保护大多有法律规范,体系完整内容翔实的法律以欧盟的《欧盟网络战略》,美国的《2010美国安全法案》为典型代表。但在国际法层面,只存在国际电子商务和计算机软件知识产权相关法律,针对远程攻击、黑客入侵、植入病毒、窃取财物、进行分裂国家行为等犯罪行为无法可依,新的法律体系亟待建立。
目前存在国际信息安全技术统一标准,如标准管理体系BS7799,可信系统标准TPM标准等,但是技术规则相较于法律强制性弱,同时“技术先于理论”的现实使技术标准出现了滞后性。此外由于国际间技术水平差距较大,信息安全标准的核心内容无法得到有效的规范,很多标准使用率低。
三、国家信息安全的立法进程中存在的问题
立法过程涉及大量法律制度的协调。国家信息安全的立法涉及国际刑法、国际经济法、反不正当竞争法、武装冲突法、国际知识产权法、集体安全制度等多种法律制度,并且在创制过程中需要开创竞争情报、公共管理、卫星通讯、网络信息传输、国际网络反恐等全新领域的法律规范,这种首创难度极大。
信息安全立法在国际社会中承认度较低。各国基于各自的国家利益考虑,虽然意识到信息安全的重要性纷纷进行国内立法,但是对于进行国际立法没有主动的参与意愿。信息安全是柄双刃剑,虽然本国的信息安全可能受到威胁,但是对于窥探打击敌手却是绝佳的武器,因此虽然各国都在信息安全问题上受到很大的损失,但是至今仍没有大国主导来主动组织确立国际性的规范。以美国为例,美国的谷歌公司超过一切传媒商,在2013年以33%的市场份额成为第一大广告商,美国的Skepe、Facebook社交通讯类软件成为了强大的通讯服务供应商,苹果公司是通讯电子设备的“老大”,英特尔在半导体行业遥遥领先,美国的大企业的信息技术与应用程序的结合设定了一个全球化的互联网生活模式,美国官方可以很容易地运用优势企业资源“了解”全球的信息动向,棱镜计划的泄密直接体现了这点。在此巨大利益下,期待大国“兼济天下”“普惠共赢”是十分困难的。
技术难。技术难题是无法避免的一个障碍,电子设备的核心生产技术,信息基站的结构,对于境外信息的监控和掌握都是非常困难的。在信息量巨大的信息爆炸的当下,怎样解决监察,拦截,保护、追踪这些前提性的技术难题,然后进行立法是很困难的。
此外,与信息安全相关的犯罪通常具有隐蔽性。犯罪分子通常会选择僵尸网络账号、难于确定身份的公共场所的IP实施犯罪。法律通常能控制公开的、外显的、能观察到的行为,这样具有隐秘性的行为通常不易监督,在罪名设立、保护客体等问题上也易导致立法评价体系的混乱。
四、国家信息安全立法的建议
(一)立法主体的选择
在国际社会中,具有影响力的法律部门包括国际法院、联合国法律委员会、国际仲裁组织等。目前联合国主持大部分国际法的编纂工作,关于国际信息安全的立法目前没有组织在进行,由联合国担任领导进行组织是较为可行的。
联合国国际法委员会(ILC)是一个较为权威的立法部门,联合国第六委员会(法律委员会)是联合国大会处理法律问题的主要论坛,此外在联合国技术性强的国际公约以及国际规则由主管的联合国专门机构负责修订。联合国法律委员会组织信息专家,法律专家,社会学专业进行世界范围的立法,建立保护国际信息安全、维护网络知识产权、打击信息安全犯罪、惩治窃听偷窥等不法行为的立法具有现实性的方案。
(二)立法过程中应坚持的原则
平等原则。国际法对于国际社会具有重要意义,信息安全法治化进程中更是需要国际法的创制实施等环节坚持平等原则。在发达地区与欠发达地区分化严重,南北半球发展差距愈加变大的今天,在信息安全法制领域保障各个国际法主体享有同等的权利和义务,坚持平等原则是至关重要的。
公平原则。目前联合国的独立性仍然有限,在大国成为各个领域主导的当今世界,国际法需要坚持公平原则。在国家信息安全保护的过程中,在打击信息安全犯罪的进程中,要严格根据国际法律法规落实公平原则。
防卫与保护相结合的原则。在国家信息安全法治化进程中虽然要保护各国正当的信息安全,但是同时应该注意国际知识产权的保护。在信息传输工具中,很多产品很多设备具有很强的创新性技术性,因此要求在合理限度内利用该类技术,同时注意保护科技产品的知识产权,促进人类文明发展。
坚持推动法律的技术化和信息化的原则。信息安全问题的特殊性在于该领域技术型极强,要求法律工作者经过系统的训练,具有深厚的技术实践能力和较高的法学素养。信息技术与法律并不是博弈的关系,而是相辅相成的,在国家信息安全法治化进程中,一定要坚持法律技术化和信息化的原则,不能走向片面发展的偏路。
结论: 国家信息安全问题存在很多国际性冲突,伴随着国家间两极分化加剧,技术快速更新,网络犯罪的国际化规模化的新形势,国际社会缺少管理而让国家间各自为营地进行处理是行不通的。为了避免造成世界性的大规模信息战冲突,亟待推进国家信息安全立法。
0引言
随着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。伴随社会的信息化推进,通信技术也得到了快速发展。通信得到了社会的广泛认可。近年来,伴随着互联网技术在全球迅猛发展,信息化给人们提供了极大的便利,然而,同时我们也正受到日益严重的来自网络的安全威胁,比如黑客攻击、重要信息被盗等,网络安全事件频发,给人们的财产和精神带来很大损失。但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。
在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。
一、通信运用中加强信息安全和防护的必要性
1.1搞好信息安全防护是确保国家安全的重要前提
众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。
1.2我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
二、通信中存在的信息安全问题
2.1信息网络安全意识有待加强
我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。
2.2信息网络安全核心技术贫乏
目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。
2.3信息网络安全防护体系不完善
防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。
2.4信息网络安全管理人才缺乏
高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。
三、通信组织运用中的网络安全防护
网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。
3.1数据备份
对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。
3.2防治病毒
保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。
3.3提高物理安全
物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。
3.4安装补丁软件
为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。
3.5构筑防火墙
构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。
四、加强通信运用中的信息安全与防护的几点建议
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
4.1要加强宣传教育,切实增强全民的国防信息安全意识
在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
4.2要建立完备的信息安全法律法规
信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
4.3要加强信息管理
要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。
4.4要加强信息安全技术开发,提高信息安全防护技术水平
没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。
4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节
首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。
4.6建立和完善计算机系统风险防范的管理制度
建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。
其次,应当设立信息安全管理的专门机构,并配备专业技术人才,选拔防范风险的技术骨干,开展对信息安全技术的研究,对系统弱点进行风险评估,及时采取补救措施。完善信息安全措施,并落实到信息安全管理中去。
五、结论
通信在生活中有着广泛的应用,涉及到人们生活的方方面面。它构建安全的通信系统是进行通信组织运用中信息安全防护的前提。通信系统网络安全防护体系应以一个良好的安全策略为起点,建立在安全的网络中,保障通信系统的安全,维护信息安全。
工业和信息化部信息安全协调司司长赵泽良在大会致辞中,对中国信息安全大会及CSO俱乐部活动的作用给予了肯定,“这一大会在宣传信息安全方针政策、促进信息安全技术的交流合作,以及提升全社会的信息安全意识等方面都发挥了积极作用。”
信息安全已经成为国家安全一部分
赵泽良司长表示,在信息技术发展日新月异的今天,我们不仅要在信息安全的风险评估、产品认证等方面坚持遵循《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)的规定,同时“更要强调对关键信息基础设施的保护、对重要信息系统的保护、对政府信息系统的保护,以及对个人信息、企业信息,乃至信息资源的保护。”
“‘27号文件’和‘23号文件(《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》,国发[2012]23号)’共同构成了我国信息安全的总政策框架。”赵泽良司长说,“二者都是指导我们今后一个时期信息安全工作,乃至信息化工作的重要文件。同时,文件中所提到的内容也是我们信息安全工作的一个重要任务。”
工业和信息化部电子科技情报所所长洪京一表示:“‘十二五’时期是我国全面推进经济和社会信息化的关键时期,迫切需要加快发展信息安全产业,为国民经济和社会信息化提供安全可控的信息安全技术、产品和服务。”
在我们的生活中,从衣食住行到产业经济,再到国防军工,信息技术的“烙印”无处不在。正是因为这样,信息安全已经成为保证社会发展、保障国家安全的重要支柱。美国、俄罗斯、日本等国家都在信息安全方面投入了大量的人力、物力,将信息安全上升到了国家安全的角度去考虑。比如,美国已经先后制定了一系列的相关文件,并对部门进行整合以对信息安全进行统一管理。
国家信息化专家咨询委员会委员、国家信息中心专家委员会副主任宁家骏认为,我国网络信息安全工作正在面临着新的复杂形势。一方面信息化的大势不可逆转,信息安全问题更加错综复杂。所以,对信息安全保障体系的建设需求更加紧迫;另一方面,社会管理面临着新的形势,也使我们的信息安全面临新的挑战。同时,公民的公平意识、民主意识、权利意识、法制意识以及监督意识不断增强,公民意识的多元化也给我们如何管好互联网提出严峻的挑战。
“威胁在不断地演变,这对我们发展重要性系统的保障工作提出了更加紧迫的需求。”宁家骏表示,“有些人觉得我的电脑中没有存储什么可被窃取的内容,这种想法是非常不恰当的。很多攻击就是利用这些疏于防范的平台作为网络攻击的第一个跳板,进而以此为突破口非法访问重要内容。”
他表示,我们已经从以计算机为中心的PC时代,过渡到了网络时代,而如今又进入到以服务为中心的云计算和物联网的时代。在这样的背景下,信息化建设本身对信息共享、资源共享和网络共享提出了十分紧迫的需求。
从物联网到电子政务安全
物联网、电子政务、云计算,这些如今已经为我们耳熟能详的词汇放在几年前会让人感到非常陌生。而随着对这些概念的理解程度加深,我们所关注的话题也已经从早期的如何实现、如何落地,发展到了如今的如何运维、如何保护。在这些领域,信息安全已经有了自己的用武之地。
公安部检测中心主任助理兼信息安全技术部主任范红在信息安全领域拥有多年的实践经验,在本次大会上,她重点介绍了当前在物联网感知层通用安全技术体系方面的一些研究成果。
物联网感知层通用安全体系研究的目标,是为不同类型的物联网应用提供通用的感知层安全技术参考依据,为各类物联网应用的感知层安全设计、实施和检测工作提供技术支持和指导,以及指导制订各类物联网应用的感知层安全技术。在公安行业,目前物联网有了很多实际应用,这其中包括特定人员识别、危险物品监控、异常行为报警以及车辆GPS定位感知等,涉及RFID、人像识别、手机定位感知以及传声器阵列等多种技术。
范红介绍说,在物联网感知层安全技术体系中,数据处理是数据获取后的一个重要操作。其中面临的安全问题包括RFID标签本身的安全威胁、通过电磁辐射分析技术的非法通信、传输过程中的安全威胁,以及个人隐私的安全威胁等。
针对这些威胁,范红表示,一方面RFID标签自身要具备更安全的轻量级密码算法以加密数据,另外也要采用传输安全防护、抗干扰以及密钥管理等措施,使得系统可用。除此之外,在物联网应用中,用户还要注意保证数据的完整性,并加强访问控制和安全审计机制。
在谈到信息安全发展时,范红深有感触地表示:“我们进行物联网感知层技术研究的时候,发现一个现象:信息化应用能走得远些,信息安全就能走得更远。信息安全领域有着一个非常广阔的展现舞台。”
伴随社会的信息化推进,通信技术也得到了快速发展。通信得到了社会的广泛认可。随着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。近年来,伴随着互联网技术在全球迅猛发展,信息化给人们提供了极大的便利,然而,同时我们也正受到日益严重的来自网络的安全威胁,比如黑客攻击、重要信息被盗等,网络安全事件频发,给人们的财产和精神带来很大损失。
但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。
在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。
一、通信运用中加强信息安全和防护的必要性
1.1搞好信息安全防护是确保国家安全的重要前提
众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。
1.2我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
二、通信中存在的信息安全问题
2.1信息网络安全意识有待加强
我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。
2.2信息网络安全核心技术贫乏
目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。
2.3信息网络安全防护体系不完善
防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。
2.4信息网络安全管理人才缺乏
高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。
三、通信组织运用中的网络安全防护
网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。
3.1数据备份
对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。
3.2防治病毒
保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。
3.3提高物理安全
物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。
3.4安装补丁软件
为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。
3.5构筑防火墙
构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。
四、加强通信运用中的信息安全与防护的几点建议
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
4.1要加强宣传教育,切实增强全民的国防信息安全意识
在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
4.2要建立完备的信息安全法律法规
信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
4.3要加强信息管理
要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。
4.4要加强信息安全技术开发,提高信息安全防护技术水平
没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。
4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节
首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。
4.6建立和完善计算机系统风险防范的管理制度
建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。
其次,应当设立信息安全管理的专门机构,并配备专业技术人才,选拔防范风险的技术骨干,开展对信息安全技术的研究,对系统弱点进行风险评估,及时采取补救措施。完善信息安全措施,并落实到信息安全管理中去。
目前,我国的信息安全事件和事故的频繁发生,这和老百姓最为直接的就是个人网络账号被盗。据赛门铁克诺顿公司9月11日的诺顿安全报告显示,从2011年7月至2012年7月,网络犯罪致使全球个人用户蒙受的直接损失高达1100亿美元。同期,中国估计有超过2.57亿人成为网络犯罪受害者,直接经济损失达人民币2890亿元。
针对日趋严重的网络安全问题。工信部通信保障局网络安全处副处长付景广对记者说,工信部建立了通讯行业和网络安全防护、应急演练等等,以保障网络运行的稳定和安全。“针对网络钓鱼、垃圾信息等危险用户的切实利益问题,我们与中国互联网协会、中国网络互联网信息中心等建立了相关的机制,以净化网络环境。”
信息安全风险管理需常态化
国家信息化专家咨询委员会委员、国家信息化中国专家委员会副主任宁家骏认为,当前,信息安全形势变化总体来说是国家信息安全形势的一种表现。2010年前后可以看到美国进一步调整它的国家信息安全战略,俄罗斯、纽约也在调整,日本更明确把国家的安全防范对象转向我们国家。“9·11恐怖事件”发生后,美国的多部门独立管理,多种模式逐渐感到没有办法适应信息时代国家安全战略调整需求。所以,它先后整合了一些部门通管他们信息安全技术,另外也任命了公安局的局长出任网络司令部的司令整合军内的信息战略领域。
在当前我们必须看到我们国家的网络信息安全工作面临新的复杂的形势。进入新世纪以来,经济、社会发展对我们信息网络和信息化的依赖程度越来越高,现在我们可以说金融、交通、电力、水务等都离不开信息网络。
宁家骏指出,信息网络的发展已经成为推动社会和经济发展的重要力量,也是各国竞争的制高点。一方面我们看到信息化的大势不可逆转,但是同时我们要必须看到,随着我们中国的迅速崛起,也引起了国际社会的广泛关注。在这种背景下,在全球网络空间国际竞争日趋激烈的背景下,我们的信息安全问题更加错综复杂。所以,对信息安全保障体系的建设需求更加紧迫,面对国内和国际形势,必须进一步提高对我们重要性系统的信息安全保障体系建设的高度重视和对风险的应对能力。
特别是在当前互联网这种特性——规模庞大、带宽持续增长和应用逻辑日益复杂的情况下,如果继续在不同的安全领域中间各自为战将不能适应信息安全新的发展要求。如何处理这种信息访问的瓶颈?如何应对这种开放协议的安全事件?如何来解决我们应用软件中安全漏洞难以避免的现实?宁家骏认为,这些问题要求我们必须解决在信息安全保障中全局协同的问题,同时要提高我们的效能,提高我们对事件处置能力和事前应急预警的能力。
在世界竞争日趋复杂的环境中,已经发生的一些重大信息安全事件对我国的发展产生不同的损失,对我国信息安全的重要性提出了更加紧迫的要求。特别是我们看到威胁在不断的演变,有些部门的人觉得自己的电脑没有什么可以保密的文件,疏忽管理。其实恰恰不然,很多的隐蔽性的网络攻击就是把这些看似没有价值的电脑作为网络攻击的第一个跳板。特别是当前移动互联网的发展,智能终端的广泛应用已经成为当前在网络攻击中的一个最好的获利的平台。
所以,国外每年银行卡信息被盗损失的金额非常巨大,特别是在当前我们这种移动终端,包括山寨手机内置的一些软件,包括我们恶意捆绑那些流氓的软件,使得我们的手机不仅仅是被吸取话费,而且把病毒传播开来。宁家骏说:“未来一方面是信息化安全技术,一方面是面临这种复杂的环境,使我们应对危机的难度在增加。所以,我们必须看到我们存在明显的不足,清醒的认识到这种日益增加的战略层面的巨大的威胁,包括我们很多的技术手段。同时,我们必须要解决这种各自为战的,要克服这种谁主管、谁负责的局限性。”
“我们又必须看到风险管理的滞后和非常态化。当前,我们重视了风险评估工作,但是往往我们对风险的理解常常是限定在技术层面,而没有考虑到相关方的核心力。”宁家骏说,“我们的风险评估常常基于静态,没有真正的开展常态化的、动态的持续的监管。特别是我们个人信息的保护严重的滞后,所以在这里既有我们用户和企业的意识淡薄,更有我们法律的欠缺,也有我们相应的服务和管理上的约束的不足。”
手机信息安全不容忽视
黑客的入侵手法日益更新,传统的网络安全问题正逐渐向移动互联网等领域延伸。付景广介绍,手机终端与PC终端面临的问题没有本质的区别,都面临木马病毒等问题。但是,手机的缴费和扣费功能更容易受到黑客的关注。调查发现有些木马病毒可以操控手机,定制收费业务,造成用户的经济损失,有的还可以远程窃取手机的位置信息和通话记录等,导致用户隐私泄露。
今年以来,社会上有一些企业搜集用户的个人信息引起人们关注。付景广说:“我们需要增强安全意识,这与现实生活中的偷盗诈骗等相比,手机的安全问题和虚拟性、空间地域性,使网络的安全问题变得更加隐蔽和复杂。”他认为,人们只有树立起正确的防范意识,才会自觉地养成良好的防范举措。但是,还有很多在信息产业中的从业人员对信息安全的防范也是一知半解。
最近,工信部发文明确要求:
第一,手机制造企业和行业协会要承担起指导用户安全使用手机的责任,加强风险提示等。
第二,加强应用商店安全管理,控制手机恶意程序的渠道。对捆绑恶意功能的程序必须加大力度处理;另一方面开办应用商店的基础企业,移动互联网企业和手机制造企业要切实履行好各自的责任和安全的审核机制。
“一项调查显示,70%的用户对于云计算、移动应用的安全性心存疑虑。”亚信安全公司安全中心副总经理轩晓荷在主题为《云与大数据时代的信息安全挑战与对策》的演讲中提到,“恶意软件的大量增加与行业安全标准、监管措施的缺失,使得企业在安全方面面临更严峻的挑战。在国外,越来越多的用户习惯于购买安全运维服务,而中国90%的用户还在采购安全产品。这就是差距所在。”
那么,如何才能缩小差距,不断增强中国企业在云计算、大数据、移动应用方面的安全性呢?轩晓荷提出了四大策略:第一,准确识别云计算和大数据环境中的安全威胁,做到知己知彼;第二,有效平衡开放技术和安全防护的需求;第三,循序渐进提升企业的安全能力,从产品到服务逐步完善;第四,建立企业整体的安全体系,不断完善安全机制。
由被动防御到主动防御
在新型安全攻击层出不穷的时代,云中的大数据成了网络犯罪集中攻击的目标。今年8月,国务院常务会议通过《关于促进大数据发展的行动纲要》,其中明确指出了推动政府大数据开放、共享,并保证其安全的重要性。各地方政府也在逐步落实数据公开和数据资产化。保证大数据的安全已刻不容缓。
国家信息中心网络安全部副主任李新友表示,保证大数据的安全需要做好以下几方面工作:第一,政府部门要加强相关的立法工作,制定数据公开和交易的原则;第二,个人要增强隐私和信息保护意识;第三,厂商要在大数据安全产品和解决方案的创新方面下更多功夫。
随着云计算应用、移动智能终端的普及,企业需要在原有的网络环境中增加对移动设备的安全管理,同时还要小心应对数据中心逐步向虚拟化环境、云中迁移时带来的安全管理挑战。在这种情况下,企业必须建立立体化的防护体系,对企业基础架构与云计算、大数据、移动应用实行一体化的防护,采用统一的标准化的安全模式。以前,企业针对不同的应用可以采用单一功能的安全产品进行保护。现在,随着应用和数据的集中,企业必须采用统一的身份认证和防护解决方案,以满足合规的要求。
“企业需要防护的范围在逐步扩大,除了物理设备、数据库需要保护以外,就连虚拟资源池也要进行保护。”轩晓荷补充说,“企业需要保护的内容越来越丰富,有必要时还要针对大数据提供特别的安全解决方案,此外还要考虑安全威胁治理等。”
最让互联网企业和云服务商感到头痛的是防不胜防的DDoS攻击。在一些竞争比较激烈的行业或领域,企业非常担心自己的IT系统受到来自不明方的攻击。虽然很多厂商可以提供防DDoS攻击的设备,但是随着云计算、大数据的出现,单纯依靠一个设备或单一的解决方案已经不能有效抵御DDoS攻击。”一些互联网公司的作法是,在DDoS攻击比较猛烈时,系统可以动态地快速增加服务带宽,比如将过去服务100个客户所需的带宽瞬间提升至可以支持5万甚至10万客户的带宽水平,这样一来,DDoS攻击就会立刻失效。”亚信安全业务发展总监童宁举例说,“但是现在又出现了一种新型的更廉价的攻击方法――CS攻击,基于内容安全的漏洞来实施攻击。这种攻击更具针对性,主要是消耗服务器的CPU资源。企业更应小心应对。”
以前,企业通常采用的是被动防御的策略,亡羊补牢。所以给人一种印象,企业和安全厂商总是被黑客牵着鼻子走。“其实,这是一种假象。安全厂商的许多技术创新工作都走在了黑客前面。在今年全球发生的16个零日攻击中,趋势科技预先发现了其中的8个。”童宁介绍说,“我们现在要变被动防御为主动防御,并将被动防御与主动防御的技术相结合,这样才能让黑客无处遁形。”
企业转型的坚强后盾
今年9月1日,亚信科技宣布收购趋势科技在中国的全部业务,包括核心技术和知识产权100多项,同时建立独立的安全技术公司――亚信安全。此举不仅在安全领域引起了强烈震动,而且对于亚信集团的转型来说也是一个推动。2014年7月,亚信集团对原有业务进行了调整,分成了四大事业群,安全业务就是其中之一。借收购趋势科技中国业务之机,亚信安全将原有的通信安全技术与趋势科技的云安全、大数据安全技术相结合,成了网络云安全领域新的领头羊,VMware、微软Auzure和亚马逊AWS等全球领先的云服务商都是亚信安全的客户。
收购完成后,亚信安全具备了提业互联网整体安全软件的能力,也将业务进一步扩展至金融、教育、制造、医疗等更多领域。亚信安全董事长何政表示:“亚信收购趋势科技中国业务之后,拥有了国际领先的云安全关键核心技术和产品,将使中国在世界云安全产业版图中占据重要位置,同时对于保障国家网络安全与云产业安全,实施自主可控战略也具有重要和深远的意义。亚信安全作为一家中国本土公司,将充分发挥在网络安全方面的技术优势,并与国家信息中心齐力合作,进一步加强自主研发、业务创新,保障国家网络安全,共同推动国家信息安全体系的建设和发展。
亚信安全作为中国领先的云与大数据安全技术、产品、方案和服务供应商,将以“护航产业互联网”为使命,坚持“产品、服务、运营三位一体”的经营模式,助力客户构建“立体化主动防御体系”,推动企业实施自主可控的安全战略。
亚信安全在北京和南京设有独立研发中心,拥有超过2000人的专业安全团队,在网络安全、云和虚拟化安全、终端和移动安全、APT治理和安全服务等多个安全领域拥有具有自主知识产权的安全软件和解决方案。“通过与趋势科技分布在全球的15个恶意软件实验室合作,亚信安全可以响应和应对来自世界各地的威胁。”童宁介绍说。
亚信科技原来的安全部门主要为运营商提供服务,而趋势科技中国服务的对象主要是政企客户。亚信科技收购趋势科技中国业务后,对双方的安全业务进行了重新梳理和定位:对于双方原来的优势领域,亚信安全将继续深耕细作,不断巩固既有优势;对于双方原来都不擅长的领域,亚信安全会整合现有的产品,继续拓展新的业务领域;对于一些潜在的市场,比如中小企业安全市场、针对运营商的云安全服务等,亚信安全会全力出击,以新的解决方案和服务覆盖这些市场。“针对运营商,我们仍会采用直销的手段,还会为大型客户提供定制化的产品和解决方案。对于商业市场,我们会充分借助2000家合作伙伴的力量加强渠道销售。”轩晓荷表示。
亚信集团的新定位是“领航产业互联网”。在亚信集团转型的过程中,安全业务是不可或缺的一环。亚信安全将成为产业互联网坚定的拥护者和坚强的安全后盾。
助力自主可控
没有网络安全就没有国家安全。在世界各主要大国间的网络空间安全争夺战愈演愈烈的情况下,我国已了网络空间安全战略和《网络安全法(草案)》,以便更好地推动我国网络信息安全的稳步发展。
信息安全厂商代表上台领奖
深信服向来宾介绍其AC上网行为管理设备
来自信息产业部等国家各部委的领导认真听取代表发言
2007年4月18日,由国务院信息化工作办公室网络与信息安全组、中国计算机学会计算机安全专业委员会、中国信息协会信息安全专业委员会、中国互联网协会网络与信息安全工作委员会、国家保密技术研究所和国家信息中心信息安全研究与服务中心指导,中国电子信息产业发展研究院主办,中国计算机报社承办的第八届中国信息安全大会在北京新世纪日航饭店举行。本次大会以“和谐网络&应用安全”为主题,契合了建设和谐社会的指导思想,聚焦信息社会中面临的应用安全问题。
在信息安全领域,历来人们都是强调安全技术产品的细节。现在,这一点也许需要有所改变了。人们需要从对信息安全的认识、安全的架构以及未来的主流信息安全技术等更高的层次重新思考信息安全。在前不久举行的RSA Conference上,全球信息安全巨头以及关注信息安全的专家都在主题演讲中透露出这个信息。
以前,谈到信息安全防护,首先考虑的是网络边界防护,也就是通过防火墙/VPN、网关安全技术给自己的网络安装一道防护的“闸门”,通过网络访问控制技术来实现对内部网络的保护。然而,随着互联网普及,网络和信息系统不可避免地要对外开放――开放给客户,与合作伙伴共享应用系统和数据库。在这种情况下,保护数据本身比建一堵围墙重要得多,也有效得多。
理念的变化将带来安全防护方式的巨大变化。我们不仅要对自己的信息系统的安全负责,还要对通过网络相连的客户、合作伙伴的信息系统的安全负责。因此,实现信息系统的“应用安全”应该得到提倡。
创造和谐的网络环境
众所周知,信息安全产业已经不再是一个孤立发展的产业,正如国信办网络与信息安全组副司长赵泽良所说,网络与信息安全关系到社会各个层面,广大的用户已经深切感受到安全防范的重要性,并逐步加强了防范意识,产业界同仁也在不断发现安全的隐患,对更深层的安全防御未雨绸缪。
前段时间“熊猫烧香”肆虐网络。很难说事件本身有多蹊跷,但人们对它的关注却在不经意间反映出中国信息安全产业在当前发展阶段的至深影响力。公安部公共信息网络安全监察局副局长赵林在会上表示,这类事件的出现和影响充分地说明了网络与信息安全的重要性。随着信息化及网络应用的不断深化,信息安全还将面临更多更广阔的机遇和挑战。因此,我们面对建设和谐社会的大主题,中国信息安全产业理当顺应这个大趋势,并为信息社会的和谐做出贡献。
国家信息中心首席工程师宁家骏在大会上表示,国家在信息化的战略中,已经明确提出了确保国家的经济安全、政治安全、文化安全、信息安全,来增强忧患意识和危机意识,并把信息安全问题列为四大安全问题之一。所以,信息安全产业面临重大的发展机遇,担负着重大使命。我们因此提出了“和谐网络”的倡议。
那么,应如何建设和谐的网络社会呢?信息产业部专家指出,网络安全是信息社会健康发展的基本前提,要像重视网络发展那样重视网络安全,以发展促安全,以安全保发展。一方面,要继续加大信息通信基础设施建设力度,积极推进信息技术的广泛应用和信息资源的开发利用,以满足社会日益增长的信息通信需求;另一方面,针对各种网络安全问题,采取切实有效的应对措施,不断提高防范和保障能力,创造一个放心、安全的网络应用环境,使网络能够更好地服务于人们的工作和生活。电信运营企业,包括ISP、ICP、SP等要强化社会责任意识,依法经营,文明办网,以形式多样、健康向上的业务占领网络阵地,积极参与和培育健康和谐的网络空间。
开拓网络应用安全之道
信息安全融技术、策略、管理、教育于一体。从信息安全策略来看,它分为物理网络层、操作系统层、应用系统层、规章制度层四个层次。网络操作系统的安全,主要涉及防范对物理网络平台的黑客攻击,防病毒,防系统崩溃,系统数据的备份与灾难恢复等;应用软件的安全,主要涉及防止系统侵入破坏,防邮件垃圾,防盗用密码,防窃取办公资料,防技术性盗用软件等;建立规章制度主要包括建立保证运营管理制度,涉及机密信息保护、人员内部管理、设备可用性保护等。
全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升,安全问题日益严重。面对这种现实,各国政府有关部门和企业不得不重视信息安全问题。网络安全技术和安全产品首先发展并盛行起来,目前市场上有诸如防火墙、入侵检测系统、网络安全审计系统等比较成熟的网络安全产品。虽然这些产品能够在一定程度上提高网络的安全性,但令人遗憾的是,它们对信息内容的监控、过滤、保护,以及有效合法的使用基本上无能为力。在Internet这种分布式环境下,如何对信息内容进行合理的管理和有效的保护,同时确保信息内容的分发和使用安全,即保证其整个生命周期的安全性显得日益重要。
微软(中国)有限公司解决方案专家王健的发言是从问题开始的:“全世界最受黑客、病毒、垃圾邮件干扰的企业和组织是哪个?不是微软,是美国国防部。微软是第二个。针对微软的系统,每天有超过4500次的攻击。在全球范围内,有几万名微软员工在互联网上协同工作,但是微软的企业系统、邮件系统、工作系统没有瘫痪过。这个现象值得深入探询,如何利用最新的IT技术,如何利用微软的技术保障企业的稳定运行?”不难理解,应用安全无论是对企业还是对个人,都是防范效率提升、节约安全运维成本的最佳之道。
确保信息网络安全正在成为新世纪国家安全的重要基石和基本内涵。这就向我们提出了一个迫切需要解决的重大战略性问题,即:如何切实保障信息网络安全,以确保我国信息化建设快速、平稳、健康发展,避免信息网络安全问题导致社会危机的发生。
同时,它也要求我们必须结合国情,从“发展是硬道理”出发看待和把握信息安全问题,对我国信息化发展进程中面临的信息安全威胁演变趋向加以冷静分析、正确判断,制定科学、务实、有效的安全保障战略。
提升应急能力
面对全球一体化的互联网环境,国家公共互联网应急体系的建立和应急处理能力的提高,并不能仅仅依靠政府的力量,而是需要世界各国相关组织在技术、资源、经验方面的共同合作,需要政府与企业、全社会每个人的互动。
在互联网这样一个复杂的巨系统中,如何提高应急响应的处理水平确是摆在我们面前的巨大难题。目前的应急管理无法适应日益复杂的安全系统的要求。为了解决这些问题,我们在方法学上提出了“综合集成”的思路,即自上而下、自下而上的结合(如图1所示)。
要落实综合集成的方法论就要综合治理,不仅靠一个部门或一个企业制定信息安全应急预案,而且需要建立一个全球相互协作体系。在统一的标准、一致的应急处理方法下,达到体系的高度灵活性。
同时,我国也必须要建立自己的体系,并与全球的相关组织紧密合作,实现从定性到定量的协调机制。在不断变化的技术环境中,今天最好的安全措施可能在明天会过时。安全措施必须紧跟这些变化,必须作为系统开发生命周期中的一重要组成部分加以考虑,并在每一阶段明确其定位。
信息安全常被看作是一个技术问题,少有组织认为它是组织必需优先考虑的对象。 信息安全治理是我国信息安全保障体系建设的战略需求。我国信息安全治理的方针和战略是:以单项治理为主向以综合治理为主转变;从注重事后处理向以事前预警为重点转变;从与电子政务和电子商务实际应用系统的松散结合向紧密相结合转变;为经济社会协调发展提供支撑;以人为本、自主创新、协同集成、重点跨越。
避免误区
在评估和把握我国信息安全形势的走向时,要避免出现两种倾向:一是在信息安全领域中尚不存在特别重大威胁的情况下,对信息安全问题的演变趋势估计不足、重视不够,给国家信息化的持续发展留下安全隐患;二是对信息安全领域诸多属于一般性威胁问题的严重性估计过高,把技术与管理不健全而造成的安全问题视为战略问题,造成人力、财力的浪费,给国家管理和社会进步增添负担。
思路和原则
抓住我国综合实力进一步增强和加入WTO的机遇,统筹我国信息安全保障体系建设,在自力更生基础上按需引进、充分利用和借鉴国外先进技术与管理经验,在15~20年时间内,坚持与时俱进、求真务实的精神,通过统一规划、分步实施,政府引导、全民参与的方式,通过信息安全治理,建立起完整的国家信息安全保障体系。应该按照如下原则来进行安全保障体系的建设:
坚持风险管理原则完全避免风险是不现实的,要对关键领域的信息安全风险进行识别和评估,采取必要的保护措施和应急措施来降低风险,使之控制在可承受的范围内。
明确统筹兼顾原则在实施策略方面,要明确国家、企业和个人在信息安全方面的责任和义务,充分发挥各方面的积极性;要统筹城乡信息安全建设,协调区域化信息安全建设与全国信息安全建设。
重视经济实用原则切忌空谈和夸大,量力而行,突出重点。以我国信息安全领域最急需开展的工作作为突破点,扎实地做好信息安全工作。管理上要将关键信息网络安全的整改作为信息安全建设的切入点,技术上要采用综合集成思想,逐步完善关键基础设施的安全保障,切实提高信息安全防护能力。
遵循循序渐进原则信息安全战略要与国家信息化发展和社会转型相适应,采取统一规划、分步实施,以及短期和中长期目标相结合的方式进行。
治理三阶段
国家信息安全战略的总体目标是保障关系到国计民生的信息基础设施的适度安全,实现国家对信息化环境与内容的治理(如图2所示)。
第一阶段,打基础、保重点,初步建立我国信息安全防护体系。
战略重点是保障“3+7”关键基础网络安全、信息内容安全和加强网络监管。战略目标是确保国家信息化建设健康、稳步地发展。
保护关键基础网络安全指由电信网、广播电视网和互联网构成的三个基础网和由税务、电力、银行、证券、海关、铁道、民航构成的七个关键网。
保护信息内容安全指防止有害内容的产生、传播和可获得性。要建立信息网络监管体系,实现对信息内容安全监控,对有害信息内容进行过滤,减少其精神污染。加强政府对信息网络的监管力度及对网络安全运行的监控和管理。
通过立法,将监控管理从行政管理的范畴纳入到法制范畴。对电子保密信息进行合法的安全监管,增强信息犯罪取证调查能力。
第二阶段,重体系、促发展,形成较强的国家信息安全保障能力。
战略重点是确保政务网络安全高效、商务网络安全可靠、网络文化健康向上。战略目标是促进网络经济蓬勃发展,形成良好网络秩序。
政务网络安全保障重点是保证关键指令和信息的有效上传下达,政务资源的有效整合和利用。为此,要加快安全保障体系与安全支撑平台建设,这是政府在信息安全上的法律职责和义务。
第三阶段,实现对信息网络的有效治理,初步具备信息反制能力。
战略重点是有效维护信息空间领域国家利益,大幅提高全民在信息化进程中生活质量和福利。
战略目标是达到信息网络的科学治理、维护经济与社会的可持续发展。
在政策法规方面,建立完善的信息安全法律法规体系。在技术方面,依据信息安全技术战略,在关键领域取得突破性进展。在产业方面,通过政策倾斜和市场竞争,孵化出信息安全“航空母舰”型企业,信息安全主要核心技术基本实现自主化。
五大安全治理规范(供参考)
一、经济合作和发展组织,《信息系统安全指南》(1992)
《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作,促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。
这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆,通过此标杆测量进展。
二、国际会计师联合会,《信息安全管理》(1998)
信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完整性);信息系统在需要时可用和有用(可用性)。 机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外,业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。
三、国际标准化组织,《ISO 17799国际标准》(最新版是2005)
ISO 17799(根据BS 7799第一部分制定)作为确定控制范围的单一参考点,在大多数情况下,这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其他重要商业资产一样,这种资产对组织有价值,因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性,确保信息只被相应的授权用户访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。
四、信息系统审计和控制协会,《信息和相关技术的控制目标》(CoBIT)
CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提,至今已有三个版本。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全的需要,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例,以形成一个可控和逻辑结构内的活动。
五、美国注册会计师协会(加拿大特许会计师协会),《SysTrust TM系统可靠性原理和准则V20》(2001)
[关键词] 信息安全保障体系; 中国石油; 企业
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2012)09- 0089- 02
1 信息安全保障体系概述
信息安全保障(Information Assurance,IA)来源于1996年美国国防部DoD指令5-3600.1(DoDD5-3600.1)。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery) 4个环节,即PDRR模型。
信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2 国外信息安全保障体系建设
美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
其他国家也都非常重视信息安全保障工作。构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。
3 国内信息安全保障体系建设
我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。2007年7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。
我国信息安全保障体系建设主要包括:① 加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。② 建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。④ 在技术保障体系下,建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系,加大信息安全投入。⑥ 高度重视人才培养,建立信息安全人才培养机制。
我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。
4 企业信息安全保障体系建设
中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。
管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。
信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括:① 初步构建了制度和标准体系,了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度,开展了信息安全培训。③ 跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范,提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。
信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括:① 对数据中心机房进行了风险评估,提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。
5 存在问题及建议
中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题:
(1) 信息安全组织体系不够健全,不能较好地落实安全管理责任制。目前,部分二级单位没有独立的信息部门,更没有负责安全体系建设、运行和管理的专职机构,安全的组织保障职能分散在各个部门,兼职安全管理员有责无权的现象普遍存在,制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系,明确直属二级单位的信息部门建设,岗位设定、人员配备满足对信息系统管理的需求。
