【IT168 资讯】2003年,国信办第三次领导小组会议针对信息安全专门发布了中办发27号文件,即《国家信息化领导小组关于加强信息安全保障工作的意见》,文件中特别强调一定要发动各界的积极性,用五年时间基本建成国家信息安全保障体系。
今年初通过的《2006-2020年国家信息化发展战略》再一次提到要构建国家信息安全保障体系,为我国信息化的发展护航。参与本次发展战略起草工作的国信办专家委员会委员曲成义老师指出:“信息安全保障体系的构建在《2006-2020年国家信息化发展战略》中又一次提到,就是要求我们在信息化发展的同时,一定要两手抓,一手抓发展,一手抓安全,安全和发展一定要同步进行。构建信息安全保障体系是信息安全方面一个很重要的战略行动。没有安全体系的保障,信息化的发展是脆弱的,随时都可能大面积瘫痪,造成重大社会影响。”
保障信息安全的六个要素要协同推进
“27号文件提到构建国家信息安全保障体系,并且在五年内基本建成,是一个很繁重的任务。”曲成义指出,“这项任务目前的进展如何?我们国家的信息安全保障体系建设究竟处在什么水平?这都需要一套标准去衡量。目前国信办正在组织关于信息安全保障的评价体系的研究,就是要通过评价指标去衡量我们国家信息安全处于什么样的阶段。”
曲成义认为,国家信息安全保障指标体系应该从六个方面来看:第一个要素是信息安全的组织管理,国家在信息化领导小组下面专门设立了网络与信息安全协调小组,显示了顶层对于信息安全工作的重视。接下来像人民银行、北京市等一些部委和地区也建立了相应的信息安全协调小组,这些组织体系的完善极大地保障了信息安全工作的有效开展。
第二个要素就是政策法规,“一定要通过国家的高度建立各种法律法规,更强有力地推动国家信息安全体系的建设。”曲成义强调,“比如目前正在起草的《国家信息安全法》,是信息安全领域的大法,这个法必将对我国信息安全的发展产生重大影响。”
保障信息安全的第三个要素就是标准规范的建设,要让信息安全有一套完整的规范和标准可遵循,这样,厂商可以遵照标准去开发产品,用户可以根据安全标准配置自己的系统。“有了标准大家才能兼容,有了标准才能强化信息安全的强度。”曲成义说,“国家专门成立了信息安全标准化委员会,下设11个信息安全的标准小组。目前共有100多项国家信息安全标准正在制定中,仅今年就有10多项信息安全方面的国家标准将推出。”
我国信息化的高速发展,一定要搭建在自己的具有自主知识产权的信息安全产业平台上。因此,信息技术和产业成为了构建信息安全保障体系的第四个重要要素。“信息安全非常敏感,信息安全产品的选用直接关系到整个安全体系的稳固。我国的信息化和信息安全保障体系的建设一定要有自主知识产权的产业来支撑,一定要搭建在具有自主知识产权的平台上。”曲成义颇有感触地说。
信息安全产业得到了国家的大力扶持,国内安全企业已经达到1000多家,开始初具规模。曲成义同时分析指出,目前信息安全产业中存在问题还很多,首先,国内安全企业的规模还比较小,具有国际规模的大型骨干企业还没有形成。第二,自主创新的信息安全产品量还比较小,我国的信息安全产业链还没有真正建设起来,比如目前做硬件产品的不少,但是信息安全服务业还比较弱,“实际上,信息安全服务业是非常重要的,服务业本身也具有自己的产业链,从信息安全的咨询服务,到信息安全产品的体系和配置,信息安全产品购置后的运行和维护,紧急情况发生后的支援,都需要服务业的支撑。所以在信息安全技术和服务方面,国内企业还是大有可为的。”曲成义说。
安全保障体系建设的第五个要素就是信息安全方面的技术人才培养。信息安全是一种高技术对抗,黑客、病毒和恶意代码的制造者等在暗处,他们利用高技术手段攻击信息系统,因此要想有效对抗、反击和防护,也必须有高技术人才的参与。“如何造就和培育我们国家的信息安全队伍特别是高智商的信息安全人才成了当务之急。”曲成义说。
目前,从国家教育部和高校来看,信息安全人才的培养这几年发展很快,很多大学都设有信息安全的人才基地、博士后流动站等,为人才队伍建设奠定了基础。此外,除了学科教育之外,在职教育也非常重要。曲成义强调说:“要提高各个领域各个单位在职人员的信息安全意识,提高各个单位的风险评估和自评估能力。这些都需要有一支队伍,在攻击和危险发生的时候,能够自己去发现、去阻断、去恢复。”
信息安全保障的第六个要素就是要尽快构建国家部委和省市的信息安全基础设施。与道路、水、电等其它基础设施一样,比如需要用电的单位不一定都要建电厂,信息安全基础设施的建设也是如此,要使用证书不一定需要自己建立CA中心,还比如应急支援,应急支援需要高智商的队伍和技术手段,每个单位自己都建一个应急队伍是不可能的,这就需要国家建立一个应急中心,部委和省市也相应建立统一的应急中心,这些都属于国家的基础设施,一旦有问题发生,自己解决不了不要紧,可以有应急中心支援。其它的比如灾难恢复、风险评估等等都可以作为公共基础设施,这样既能做到专业又能节约成本。
“通过组织管理、政策法规、标准规范、产业与技术、人才培养和基础设施这六个要素可以全面衡量国家或者省市的信息安全达到什么程度。”曲成义说,“这六要素缺一不可,没有这六个要素的协同推进,信息安全保障体系就是不完整的。信息安全本身就是一个木桶原理,如果把这六个要素作为木桶的六块板子,要想木桶装满水,哪块板都不能短。”
我国电子政务的内控机制还很薄弱
“电子政务这几年发展非常快,特别是27号文对于电子政务的发展具有很大的指导作用。电子政务已经在政府的办公、决策、公共服务和社会监管等方面发挥了重要作用。”曲成义说,“但是电子政务本身,第一可能涉及到国家涉密内容,第二要面向社会为公众提供服务,第三要形成自己的办公和决策能力,我想这三个环节上如果安全不做好,都会直接影响到应用效果。”电子政务不能由于信息安全问题造成泄密,影响国家安全,为公众服务的网站如果受到攻击造成瘫痪,面向公众的服务就不能实现,一旦数据被篡改,还会影响决策的科学性和准确性。因此,对于电子政务来说,信息安全保障工作显得更为重要。
曲成义指出,当前电子政务建设中各个部门对于信息安全大都比较重视,但是离做好还有一定差距,电子政务的信息安全中存在着很多薄弱环节和新的需求,需要去重视。首先,电子政务的内控机制目前还比较薄弱。一直以来,谈到电子政务的信息安全,大部分单位都比较重视防御外部的威胁。“可是从电子政务这些年的实际情况来看,不管是国内还是国外,内部违规、违法和误操作等造成的安全事件占到了所有安全事件的百分之七十到八十。”曲成义说,防范外部威胁的机制对防御内部危胁效果不大,因为内部人员的违规、违法,特点是合法身份,甚至拥有某种授权。因此,对于防止内部人员的违规违法操作就需要一套专门的手段,即安全的内控机制。“从现在来看,电子政务中各个单位内控的安全机制都比较脆弱,这也引起了很多部委的重视,他们已经开始强化内部安全。”曲成义补充说。
电子政务信息安全中第二个突出的问题就是纵深防御中信息安全域的科学划分和有效控制,这个问题在很多单位处理得也不是很好。“电子政务建设中如果把涉密域扩大化,就会造成公众服务的不方便,但是如果把涉密域划得太小,又不利于国家信息安全中涉密信息的保护。所以说在纵深防御中安全域的有效和科学划分上,有些地区和部门还存在着问题,划得不科学很可能就会造成严重后果。”曲成义说,“目前,国家正在搞等级保护,公安部和保密局也出台了相应的等级保护标准,都有很多规定。比如公安部把信息安全分为五个级别,保密局又把涉密的内容划为三级,如何把这些国家规定落实到具体的部门,还需要认真去做。”
此外,曲成义提到,电子政务的信息安全还有其它一些问题也特别需要注意,比如数据备份和灾难恢复的问题,“目前我国有很多重要的电子政务系统,这些系统中存有的大量数据很多都没有进行数据备份和灾难恢复,如果一把火把这些数据全部烧完,这个部门就很难开展工作。”曲成义特别指出,“我们调查发现,很多单位的容灾意识还很弱,往往认为几十年也遇不上一把火,没有灾难恢复的意识。即使灾难不可能真的发生,但是思想准备一定要有,虽然概率很小,但是灾难一旦出现,比如火灾、水灾、地震甚至恐怖袭击等等,都有可能把数据全部摧毁,造成几十年积累的数据由于无法恢复而丢失,严重制约电子政务的开展。”
曲成义还补充提到,过去我们很多政府部门建立了各种信息系统,但是这些系统究竟安全不安全?怎么去评价系统的安全性?这就需要进行风险评估。国信办已经看到这是当前电子政务信息安全工作的薄弱环节之一,针对有些政府部门缺少风险评估意识的问题,去年国信办选取三个部委、四个省市作为试点进行了电子政务的信息安全风险评估试点,今年国信办准备在26个省市大面积推广风险评估试点,为今后信息安全风险评估工作的开展和风险评估规范的制定积累经验。
中小型企业信息安全保障和供给的社会化服务能力是当前企业信息化中比较紧迫的问题。
在政府和企业的积极推进下,企业信息化在我国取得了很大成绩。曲成义指出:“大部分大企业的信息化发展比较快,资金、人力、物力也比较充足,信息化建设中信息安全建设整体情况还可以。但是大批的中小企业,本来就资金不足,人才缺乏,再加上信息系统正处在不断建设中,对于安全的投入更加有限,所以如何加强中小企业在信息化建设中的信息安全保障工作,对于企业信息化来说是一个很重要的问题。”
据悉,国家目前也在提倡建设社会化的面向中小企业信息化的支撑体系,对中小企业信息化的这种支撑,也包括了信息安全。
安全产业要加强自主创新
谈到我国信息安全的现状,曲成义指出,我国信息安全这么多年的发展还是很快的,保障信息安全的意识在不断提高,信息安全基础设施和产业情况也在逐步跟进。特别是信息安全产业,这几年发展的势头很好,企业也比较活跃,已经在国内特别是电子政务建设领域发挥了重要作用,但是也有脆弱的一面,大部分企业的自主创新能力还不够,自主知识产权的产品不多,我们的信息安全产业链还没有很好地形成,我们的骨干龙头企业还基本没有形成,我们的信息安全服务业还很不完善,因此如何把信息安全产业从小做大,从大做强,还有一段艰巨的路程要走。
曲成义特别指出:“国内的安全企业一方面要特别注重在自主创新上下功夫,同时也要提高信息安全服务的能力;再就是国家的政策、法规和标准要适时出台,加强人才培养,这样才有可能保证我们国家的信息安全在一个健康的轨道上发展。”
来源:《信息系统工程》
