加快健全国家信息安全保障体系

时间: 2006-09-21 12:55:21    来自:人民邮电报
 

  近年来,我国信息化进程不断加快,信息已经成为社会发展的重要战略资源。随着网络与信息系统的基础性、全局性作用逐渐增强,信息安全对经济发展、国家安全和社会稳定的影响也日渐突出。目前,我国的信息安全防护能力总体上还处于发展的初级阶段,网络与信息系统不设防的情况依然存在,网络失泄密事件时有发生。党中央和国务院已经清醒地认识到,电子政务、电子商务以及整个社会信息化的快速发展,对信息安全保障工作提出了迫切的需求。如果信息安全问题解决不好,不仅会拖信息化的后腿,也将全方位地危及我国的政治、军事、经济、文化和社会生活的各个方面。因此,如何健全国家信息安全保障体系已成为当前我国在信息化发展过程中亟须优先解决的一个问题。

  信息安全是一个动态的概念

  就信息安全的定义而言,国际上目前尚没有统一的定论。事实上,人们对信息安全的认识是一个动态的过程。在20世纪的大部分时间里,人们认为信息安全就是通信保密。但到了20世纪90年代前后,随着信息技术的发展和互联网的兴起,信息安全的概念逐步扩大到信息的保密性、完整性和可用性。此后,从90年代后期开始,信息安全在原有基础上又增加了信息的可控性、信息行为的不可否认性等要求。同时,人们也开始认识到信息安全的概念已不再局限于对信息的保护,而是对信息以及信息系统的保护和防御。

  如今,信息安全已经进入了一个全新的时期,国外有人将这个时期称为网络化社会的集体安全时期。在此阶段,信息安全的概念常常被信息保障一词所取代。

  目前,我国法律将信息安全定义为保障计算机及其相关的、配套的设备和设施(网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,维护计算机信息系统的安全运行。从这一法律定义来看,信息安全主要指计算机信息系统的安全,具体反映在以下三个层面:

  (1)实体安全(又称物理安全),即:防止计算机及其网络的硬件设备遭到自然或人为破坏,确保计算机信息系统硬件的稳定运行。

  (2)数据安全(即狭义的信息安全),是指防止信息在收集、处理、存储、检索、传输和交换等过程中被非法泄漏、篡改、窃取、仿冒或抵赖,确保信息的保密性、完整性、可用性、可控性和抗抵赖性。

  (3)运行安全(又称系统安全),即:确保计算机及其网络系统的软件稳定运行。

  但是,随着垃圾邮件和各种有害信息的出现,信息安全又被赋予了一个新的含义——内容的安全,即:如何防止有害信息利用计算机网络所提供的自由流动的环境肆意扩散。

  综上所述,信息安全目前涉及到了计算机信息系统四个层面上的安全:一、实体安全;二、数据安全;三、运行安全;四、内容安全,即对有害信息的流动进行限制,如对指定的数据进行选择性阻断、修改和转发等。

  总之,信息安全不是一个孤立静止的概念,而是一个多层面、多因素、动态的概念,其内涵将随着人类信息技术的发展而不断更新。

  我国信息安全保障体系已初步成型信息安全是信息化推进过程中出现的一个新问题,信息安全保障工作也因而涉及到信息化建设的每个环节,包括法律、管理、技术、人才、意识等各个方面,与各部门、各地方甚至普通百姓都密切相关,是一个复杂的系统工程。

  在与信息安全相关的法制建设方面,我国从上世纪90年代初起相继出台了一系列法律法规,为信息安全保障工作提供了一定的法律支撑。目前,我国与信息安全相关的法规可大致概括为四类:第一类,由全国人民代表大会制定的国家法律,如《中华人民共和国保守国家秘密法》、《中华人民共和国电子签名法》等;第二类,由国务院颁布的行政法规,如《中华人民共和国计算机信息系统安全保护条例》、《商用密码管理条例》等;第三类,由最高人民法院、公安部、信息产业部、国资委、教育部、国家广电总局、新闻出版署、国家保密局、国家证监会等中央部、委、局等颁布的部门规章,如《计算机病毒防治管理办法》、《关于加强信息安全等级保护的意见》等;第四类,由地方人民政府发布的地方性行政规章。

  据不完全统计,我国与信息安全有关的立法已经接近百部,涉及的内容包括:设施安全、专用产品安全、国际联网安全、病毒防治安全、信息内容安全、行业安全等;涉及的法律措施包括:对破坏信息安全责任人追究刑事、行政、民事责任,对潜在的破坏人进行威慑等等。

  在信息安全标准建设方面,我国近年来制定和引进了数十项重要的信息安全管理标准,如《计算机信息系统安全保护等级划分准则》、《ISO177992000:信息安全管理实施准则》、《BS7799-22002:信息安全管理体系实施规范》、《ISO/IEC15408:1999(GB/T18336:2001)信息技术安全性评估准则》等。

  在信息安全管理方面,国务院信息办2003年成立了国家网络与信息安全协调小组,进一步加强对国家信息化建设和信息安全工作的领导,各省、市、自治区也设立了相应的管理机构。此外,我国近年来还设立了一批信息安全专业机构,如信息技术安全分技术委员会全国信息安全标准化技术委员会国家计算机网络应急技术处理协调中心中国信息安全产品测评认证中心公安部计算机信息系统安全产品质量监督检验中心等等,信息安全的组织保障体系已经初步形成。

  在信息安全技术研究方面,我国早在九五末期就紧急启动了“863计划信息安全应急计划十五期间科技部又在“973计划“863计划国家科技攻关计划国家科技创新基金计划中对信息安全的技术研究和开发进行了全面部署。国家自然科学基金委员会也在十五期间组织实施了《网络与信息安全重大研究计划》,其科学目标定位在互联网、宽带物理承载网络、网络应用与管理、信息与网络安全四个大项中的基本科学和技术问题的研究。

  在信息安全人才体系建设方面,我国迄今已有数十所高校开设了信息安全本科专业,北京邮电大学等高校还拥有了密码学专业和信息安全专业的博士点和硕士点。目前,我国信息安全专业教育已基本形成了从专科、本科、硕士、博士到博士后的正规高等教育人才培养体系。

  我国信息安全保障体系当前仍存在诸多问题

  与国外先进水平相比,我国目前在信息安全的法律、标准、技术和人才体系等建设方面仍存在诸多不足之处。

  (一)缺乏专门的信息安全基本大法

  近年来,我国在信息安全立法方面做了大量的工作,出台了一系列的法律法规,但法阶不高,真正的法律少,部门规章多,尚未形成有效的法律保障体系;部门规章之间的协调性和相通性不够,并且操作性差,缺乏系统性和权威性;缺乏民事方面的立法,如互联网隐私法等;法规制定周期太长,时间上滞后,往往造成无法可依的局面。目前,我国亟须进一步完善和加强信息安全领域内的法制建设,尤其是要出台一部专门的信息安全基本大法,从而建立起一套门类齐全、结构严谨、层次分明、内在和谐、功能合理的信息安全法律体系,为信息安全保障工作提供更有力的支撑。

  (二)信息安全标准制定工作依然落后

  信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要手段。但是,我国的信息安全标准组织成立时间较晚,并且信息安全标准由多个部门根据自己的需要制定,标准项目重复、混乱、不成体系。目前,国外的信息安全标准已经达到几百项,而我国自己制定的信息安全标准不过几十项,大多沿用国际标准。并且,我国自己制定的一些信息安全标准也是参考国际或其他国家的标准,真正自己独立制定、并得到国际上承认的还很少。另外,在标准的实施过程中,由于缺乏必要的国家监督管理机制和法律保护,造成即使有标准,企业或用户也可以不执行的局面,执行过程中出现的问题也得不到及时、妥善的解决。

  (三)信息安全关键技术和产品受制于人

  当前,我国的国防、金融、电力、交通、海关、通信、能源等重要行业的信息系统大多使用国外的软硬件设备,存在严重的安全隐患。在信息安全关键技术的研发方面,我国也面临着自主可控能力不强及关键技术和产品受制于人的窘境。虽然这几年我国的863 计划、自然科学基金、973计划等相继启动了信息安全技术的研究项目,取得了许多重要的成果,为我国开发具有自主知识产权的信息安全体系奠定了良好的基础,但离完全实现自主知识产权还有相当大的差距。

  (四)信息安全意识和普及教育薄弱

  目前,我国全社会还没有形成对信息安全高度重视的局面。有关调查表明,当前信息安全管理工作存在的一个主要问题是用户安全意识薄弱,对面临的信息安全威胁和存在的隐患缺乏足够的重视,安全措施不落实,导致安全事件频发。

  健全国家信息安全保障体系的几点建议

  (一)正确处理信息安全与信息化发展的关系,积极推进三网融合

  信息安全是信息化发展过程中出现的新问题,只能在发展的过程中加以解决。因此,在建立健全信息安全保障体系的过程中,必须正确处理安全与发展的关系,用发展的办法,改革的思路解决好信息安全问题。

  我国建设信息安全保障体系的指导方针是积极防御,综合防范。其中,积极防御,就是强调以安全保发展、在发展中求安全,不是被动地就安全抓安全。

  在十一五规划中,党中央和国务院提出加强宽带通信网、数字电视网和下一代互联网等信息基础建设,推进三网融合,健全信息安全保障体系,其中也明确体现出了以安全保发展,在发展中求安全的思路。三网融合是我国信息化建设的一项重要内容。三网融合有利于ICT行业结构的优化和管理体制及政策法规的相应变革。但是,三网融合必须以信息安全为前提,它所带来的安全问题不容忽视。

  目前,专家普遍认为,三网融合将主要带来三个方面的安全问题:一是技术安全。互联网、通信网和数字电视网将以IP技术为框架进行融合。虽然IP技术有众多优点,但IP协议无法提供端到端的服务质量控制和安全机制,对实时性和安全性要求较高的业务非常不利。二是网络安全。在孤立的网络环境下,病毒或黑客的攻击范围相对有限。如果各种应用集成在一起,一旦被突破,受损的将是全部系统。再者,不同网络的服务方式和安全特性完全不同,融合必将导致一个网络中的安全威胁延伸到另一个网络中。鉴于目前我国网络安全体系尚不健全,三网融合势必给用户带来更大的安全隐患。三是文化安全。三网融合还将涉及到网络内容的意识形态问题和有害信息传播问题,推进三网融合必须考虑内容安全和文化安全。

  然而,在推进三网融合的过程中,我们必须辩证地看待信息安全问题,不能忽视信息安全威胁,也不能简单片面地夸大信息安全问题,更不能因为信息安全问题而错失推进三网融合的历史机遇。

  事实上,健全国家信息安全保障体系与推进三网融合是相辅相成、互相促进的。一方面,健全国家信息安全保障体系可以有效地促进三网融合。另一方面,推进三网融合是对国家信息安全保障体系的一次重大考验,也是对该体系的进一步完善作出的一次强力推动。三网融合是一个复杂而渐进的过程。我国应在大力健全国家信息安全保障体系的同时,积极出台相应的法律法规及政策,为推进三网融合的改革和发展提供相应的环境,真正实现以安全保发展,在发展中求安全

  (二)加快制定信息安全基本大法,建立一套具有中国特色的信息安全法律体系

  目前,我国现有的政策法规已难以适应网络发展的需要,信息安全法制建设亟待进一步加强。我国应从国情出发,积极探索加强信息安全法制建设的新思路,加快信息安全的立法工作,尤其是要加快信息安全基本大法的立法进程,以建立起一套既符合国际通行规则,又具有中国特色、门类齐全、层次分明、结构严谨的信息安全法律体系,为信息安全保障工作提供更有力的法律支撑。

  (三)加强信息和信息安全关键技术的研发,提高自主创新能力

  当前,我国在信息和信息安全领域总体上处于关键技术和设备受制于人的被动局面,发展信息和信息安全高端技术、提高自主创新能力已经成为我国掌握信息安全主动权的唯一出路。

  为加强信息和信息安全关键技术的研发,我国必须采取有效措施,建立健全坚强有力、运转灵活、工作高效的新体制,全方位地指导信息和信息安全关键技术的规划、研发、成果转化,同时组织和动员各方力量,密切跟踪世界先进技术的发展,逐步形成基础信息网络、重要信息系统以自主可控技术为主的新格局。

  在此过程中,务必要处理好自主研发与引进采用国外先进技术和产品的关系,绝不能简单地认为只有自己的技术才是安全的,凡是国产设备就是可控的。要积极开展国际合作,认真学习国外的先进技术,合理引进和利用信息安全产品。同时,还要加强对引进技术和产品的安全可控研究,努力做到趋利避害,为我所用。

  (四)尽快建立完善的信息安全风险评估体系,最大限度地化解重要基础设施所面临的安全威胁

  建立完善的信息安全风险评估体系是健全国家信息安全保障体系的一项重要内容。风险评估是信息安全管理的核心工作之一。早在20037月,国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作,国家铁路系统和北京移动通信公司已作为先行者完成了信息安全风险评估试点工作,国家其他关键行业或系统(如电力、电信、银行等)也在陆续开展这方面的工作。

  虽然这项工作在我国已经得到重视和开展,但系统、全面的信息安全风险评估体系目前尚未建立,信息安全风险评估标准体系也不完善,导致信息安全的需求、要保护的对象和边界都难以确定。

  目前,我国的重要信息系统和信息基础设施日趋复杂,涉及面也越来越广。由于缺乏系统、全面的信息安全风险评估体系,这些系统和设施所面临的安全风险尚难以明确。

  因此,我国需加大对风险评估相关核心技术的研究与攻关力度,尽快建立起一套完善的信息安全风险评估体系,并定期对国家重要信息系统和信息基础设施进行风险评估,以最大限度地控制和化解这些系统与设施所面临的安全威胁。

 

 

 
期期必出30码网站