長期以來,人們對保障信息安全的手段偏重於依靠技術, 從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、 入侵檢測、身份認證等等。 廠商在安全技術和產品的研發上不遺余力, 新的技術和產品不斷湧現;消費者也更加相信安全產品, 把僅有的預算也都投入到安全產品的采購上。 但事實上僅僅依靠技術和產品保障信息安全的願望卻往往難盡人意, 許多復雜、多變的安全威脅和隱患靠產品是無法消除的。“ 三分技術,七分管理”這個在其他領域總結出來的實踐經驗和原則, 在信息安全領域也同樣適用。據有關部門統計, 在所有的計算機安全事件中,約有52%是人為因素造成的,25% 由火災、水災等自然災害引起,技術錯誤占10%, 組織內部人員作案占10%,僅有3% 左右是由外部不法人員的攻擊造成。簡單歸類, 屬於管理方面的原因比重高達70%以上, 而這些安全問題中的95%是可以通過科學的信息安全管理來避免。 因此,管理已成為信息安全保障能力的重要基礎。 壹、我國信息安全管理的現狀 (1)初步建成了國家信息安全組織保障體系 國務院信息辦專門成立了網絡與信息安全領導小組, 成員有信息產業部、公安部、國家保密局、國家密碼管理會員會、 國家安全部等強力部門,各省、市、 自治州也設立了相應的管理機構。2003年7月, 國務院信息化領導小組第三次會議上專題討論並通過了《 關於加強信息安全保障工作的意見》, 同年9月,中央辦公廳、國務院辦公廳轉發了《 國家信息化領導小組關於加強信息安全保障工作的意見》( 2003[27]號文件)。 27號文件第壹次把信息安全提到了促進經濟發展、維護社會穩定、 保障國家安全、加強精神文明建設的高度,並提出了“積極防禦、 綜合防範”的信息安全管理方針。 2003年7月成立了國家計算機網絡應急技術處理協調中心( 簡稱CNCERT/CC),專門負責收集、匯總、核實、 發布權威性的應急處理信息、為國家重要部門提供應急處理服務、 協調全國的CERT組織***同處理大規模網絡安全事件、 對全國範圍內計算機應急處理有關的數據進行統計、 根據當前情況提出相應的對策、 與其他國家和地區的CERT進行交流。 目前已經在全國各地建立了31個分中心, 並授權公***互聯網應急處理國家級服務試點單位10家、 公***互聯網應急處理省級服務試點單位20家, 還有國內的10家骨幹互聯網運營企業成立自己的應急處理中心( CERT),這10家互聯網運營企業與中國數千家的ISP、 個人用戶和企業用戶,成為了CNCERT/CC的主要聯系成員, 由此形成了壹個立體交錯的應急體系, 形成了信息上下暢通傳遞的通報制度。 2001年5月成立了中國信息安全產品測評認證中心( 簡稱CNITSEC), 代表國家開展信息安全測評認證工作的職能機構, 依據國家有關產品質量認證和信息安全管理的法律法規管理和運行國 家信息安全測評認證體系。 負責對國內外信息安全產品和信息技術進行測評和認證、 對國內信息系統和工程進行安全性評估和認證、 對提供信息安全服務的組織和單位進行評估和認證、 對信息安全專業人員的資質進行評估和認證。目前建有上海、東北、 西南、華中、 華北五個授權評認證中心機構和兩個系統安全與測評技術實驗室 。 (2) 制定和引進了壹批重要的信息安全管理標準 為了更好地推進我國信息安全管理工作,公安部主持制定、 國家質量技術監督局發布的中華人民***和國國家標準GB17895 -1999《計算機信息系統安全保護等級劃分準則》, 並引進了國際上著名的《ISO 17799:2000:信息安全管理實施準則》、《BS 7799-2:2002:信息安全管理體系實施規範》、《 ISO/IEC 15408:1999(GB/T 18336:2001)-信息技術安全性評估準則 》、《SSE-CMM:系統安全工程能力成熟度模型》 等信息安全管理標準。信息安全標準化委會設置了10個工作組, 其中信息安全管理工作組負責對信息安全的行政、技術、 人員等管理提出規範要求及指導指南,它包括信息安全管理指南、 信息安全管理實施規範、人員培訓教育及錄用要求、 信息安全社會化服務管理規範、 信息安全保險業務規範框架和安全策略要求與指南。 (3) 制定了壹系列必須的信息安全管理的法律法規 從上世紀九十年代初起,為配合信息安全管理的需要,國家、 相關部門、行業和地方政府相繼制定了《 中華人民***和國計算機信息網絡國際聯網管理暫行規定》、《 商用密碼管理條例》、《互聯網信息服務管理辦法》、《 計算機信息網絡國際聯網安全保護管理辦法》、《 計算機病毒防治管理辦法》、《互聯網電子公告服務管理規定》、《 軟件產品管理辦法》、《電信網間互聯管理暫行規定》、《 電子簽名法》等有關信息安全管理的法律法規文件。 (4) 信息安全風險評估工作已經得到重視和開展 風險評估是信息安全管理的核心工作之壹。2003年7月, 國信辦信息安全風險評估課題組就啟動了信息安全風險評估相關標準 的編制工作, 國家鐵路系統和北京移動通信公司作為先行者已完成了的信息安全風 險評估試點工作,國家其它關鍵行業或系統(如電力、電信、 銀行等)也將陸續開展這方面的工作。 二、 我國信息安全管理目前存在的壹些問題 1、信息安全管理現狀仍還比較混亂, 缺乏壹個國家層面上的整體策略。實際管理力度不夠, 政策的執行和監督力度不夠。部分規定過分強調部門的自身特點, 而忽略了在國際政治經濟的大環境下體現中國的特色。 部分規定沒有準確地區分技術、管理和法制之間的關系,以管代法, 用行政管技術的做法仍較普遍,造成制度的可操作性較差。 2、具有我國特點的、動態的和涵蓋組織機構、文件、控制措施、 操作過程和程序以及相關資源等要素的信息安全管理體系還未建立起 來。 3、具有我國特點的信息安全風險評估標準體系還有待完善, 信息安全的需求難以確定,要保護的對象和邊界難以確定, 缺乏系統、全面的信息安全風險評估和評價體系以及全面、 完善的信息安全保障體系。 4、信息安全意識缺乏,普遍存在重產品、輕服務,重技術、 輕管理的思想。 5、專項經費投入不足,管理人才極度缺乏, 基礎理論研究和關鍵技術薄弱,嚴重依賴國外, 對引進的信息技術和設備缺乏保護信息安全所必不可少的有效管理和 技術改造。 6、技術創新不夠,信息安全管理產品水平和質量不高, 尤其是以集中配置、集中管理、 狀態報告和策略互動為主要任務的安全管理平臺產品的研究與開發還 很落後。 7、缺乏權威、統壹、專門的組織、規劃、 管理和實施協調的立法管理機構, 致使我國現有的壹些信息安全管理方面的法律法規,法階層次不高, 真正的法律少,行政規章多,結構不合理,不成體系; 執法主體不明確,多頭管理,政出多門、各行其是,規則沖突, 缺乏可操作性,執行難度較大,有法難依;數量上不夠, 內容上不完善,制定周期太長,時間上滯後,往往無法可依; 監督力度不夠,有法不依、執法不嚴; 缺乏專門的信息安全基本大法,如信息安全法和電子商務法等; 缺乏民事法方面的立法,如互聯網隱私法、互聯網名譽權、 網絡版權保護法等;公民的法律意識較差,執法隊伍薄弱, 人才匱乏。 8、我國自己制定的信息安全管理標準太少,大多沿用國際標準。 在標準的實施過程中,缺乏必要的國家監督管理機制和法律保護, 致使有標準企業或用戶可以不執行, 而執行過程中出現的問題得不到及時、妥善解決。 三、對我國信息安全管理的壹些對策 (1)在領導體系方面,建議建立 “國家信息安全委員會”, 作為國家機構和地方政府以及私營部門之間合作的主要聯絡人和推動 者,負責對跨部門保護工作做全面協調, 盡快建立具有信息安全防護能力、隱患發現能力、 網絡應急反應能力和信息對抗能力的國家信息安全保障體系。 (2)以開放、發展、積極防禦的方式取代過去的以封堵、隔離、 被動防禦為主的方式,狠抓內網的用戶管理、行為管理、 內容控制和應用管理以及存儲管理,堅持“多層保護,主動防護” 的方針。加強信息安全策略的研究、制定和執行工作。 國家信息安全主管部門和標準委員會應該為組織制定信息安全策略提 供標準支持, 保證組織能夠以很低的費用制定出專業化的信息安全策略, 提高我國的整體信息安全管理水平。 (3)進壹步完善國家互聯網應急響應管理體系的建設, 實現全國範圍內的統壹指揮和分工協作, 全面提高預案制定水平和處理能力。 在建立象SARS壹樣的信息分級匯報制度的同時, 在現有公安系統中建立壹支象現在的“110”和“119” 壹樣的“信息安全部隊”,專門負責信息網絡方面安全保障、 安全監管、安全應急和安全威懾方面的工作。 對關鍵設施或系統制定好應急預案, 並定期更新和測試信息安全應急預案。 (4)加快信息安全立法和實施監督工作,建議成立壹個統壹、 權威、專門的信息安全立法組織與管理機構, 對我國信息法律體系進行全面規劃、設計與實施監督與協調, 加快具有我國特點的信息安全法律體系的建設, 並按信息安全的要求修補已頒布的各項法律法規。 盡快制定出信息安全基本法和針對青少年的網上保護法以及政府信息 公開條例等政策法規。尤其是為配合《電子簽名法》的實施和落實《 國務院辦公廳關於加快電子商務發展的若幹意見》, 應抓緊研究電子交易、信用管理、安全認證、在線支付、稅收、 市場準入、隱私權保護、信息資源管理等方面的法律法規問題, 盡快提出制定相關法律法規;推動網絡仲裁、 網絡公證等法律服務與保障體系的建設。 (5)加快信息安全標準化的制定和實施工作, 盡早制定出基於ISO/IEC 17799國際標準的、並適合我國的信息安全管理標準體系, 尤其是建立與完善信息安全風險評估規範標準和管理機制, 對國家壹些關鍵基礎設施和重要信息系統,如經濟、科技、統計、 銀行、鐵路、民航、海關等, 要依法按國家標準實行定期的自評估和強制性檢查評估。 (6)堅持“防內為主,內外兼防”的方針,通過各種會議、網站、 廣播 電視、報紙等媒體加大信息安全普法和守法宣傳力度, 提高全民信息安全意識, 尤其是加強組織或企業內部人員的信息安全知識培訓與教育, 提高員工的信息安全自律水平。在國家關鍵部門和企事業單位中, 明確地指定信息安全工作的責職, 建議由黨政壹把手作為本單位信息安全工作責任人, 在條件允許的企業裏增設CSO(首席安全官)職位, 形成縱向到底、橫向到邊的領導管理體制。 (7)建議政府制定優惠政策,設立信息安全管理專項基金, 鼓勵風險投資,提高信息安全綜合管理平臺、管理工具、網絡取證、 事故恢復等關鍵技術的自主研究能力與產品開發水平。 (8)重視和加強信息安全等級保護工作, 對重要信息安全產品實行強制性認證, 特定領域用戶必須明確采購通過認證的信息安全產品。 (9)加強信息安全管理人才與執法隊伍的建設工作, 特別是加大既懂技術又懂管理的復合型人才的培養力度。 (10) 加大國際合作力度,尤其在標準、 技術和取證以及應急響應等方面的國際交流、協作與配合。( 作者系貴州大學信息工程學院國家信息安全有關課題負責人)
上一篇:如何在大連花園口經濟區註冊?有哪些優惠政策?下一篇:去龍井山石景山羅恩寺如何坐車