信息安全的理解和全局對策
面對信息化的高速發展,信息安全面臨着極其嚴峻的形勢。爲此我們ZDNet安全頻道採訪了國家信息化專家諮詢委員會曲成義老師,曲成義老師對信息安全的認識和應採取的對策作了精闢的概述,下面就讓我們來分享一下他的見解:
(一) 要重視“信息安全”的四大特徵和難點
1、 被“信息安全”保護的對象(網絡信息系統)是一個“複雜巨系統”,它包括了大量的軟件和硬件的IT產品;一個跨部門和跨地域的網絡通信系統;一套組織管理和標準規範的機制;一個機房、電力和安保的物理環境;一批運維、管理和應用的人羣;大量珍貴和敏感的信息資源。這些都與部門業務緊密耦合,運作協調機制複雜。要保護這個“複雜巨系統”的安全,使其保證部門業務的可持續性,就帶來了巨大的艱鉅性。
2、 社會正在對“網絡信息系統”形成強烈的依賴,信息安全使命艱鉅。隨着信息化的快速發展,信息化已快速融入到政治、經濟、文化、軍事、社會的各個領域,如電子政務、電子商務、數字企業、數字社區、遠程教育、網絡銀行等,使整個社會對網絡信息系統形成了強烈的依賴,如果由於信息安全原因,使系統癱瘓不能提供服務,給社會造成的影響將是嚴重的,一些重要領域想恢復原手工操作模式已成爲不可能,這種嚴重後果必須要有清醒的認識。
3、 信息安全是一種高技術的對抗。
信息安全的威脅方(***、病毒、間諜軟件……)正在利用高技術手段,對網絡信息系統實施侵入、干擾、竊取和破壞,而其使用的的高技術手段不斷花樣翻新和日新月異,如“病毒”利用系統的漏洞侵入和氾濫,十年前從尋找漏洞到病毒***系統和氾濫,需要幾個月或一年的時間,而現在可能只需要一天,即稱爲“零日***”。“間諜軟件”潛入系統竊密途徑,DDOS拒決服務***方式等都在快速的利用高技術手段,因此防護者也必需要採用高技術手段,要高於它才能奏效,對於這場高技術對抗的艱鉅性必須要有充份的認識。
4、 信息安全的攻守雙方嚴重的不對稱,易攻難守。
網絡信息系統是在爲全社會各領域提供信息及其服務,其大部分資源和服務是暴露在明處,而***者是在暗處,它較易捕捉你的弱點,伺機侵入、潛伏、竊取和破壞,使信息安全保護者處於被動地位。
(二)、認真落實信息安全的重要使命
信息安全要創建“四種能力”:
1、構建完善的信息安全基礎設施,爲信息安全提供公共的支撐能力。如建立由數字認證、安全測評、網絡監控、事件通報、應急支援、災難恢復、輿情治理等信息安全基礎支撐平臺和支撐體系。
2、提升信息安全的防護與對抗能力。信息安全的攻與防是一個過程,要從預警、監測、防護、恢復、反擊等過程中各個環節都要採取有效的對抗手段,才能奏效。
3、建立應對網絡突發災難事件的應急和容災能力。當網絡突然災難事件來臨時,要啓動應急預警,採取災難恢復機制,即使在全系統毀滅的情況下,也能在異地即時恢復信息系統的使命,保持業務的可持續性。
4、強化信息安全管理可控能力。鑑於信息系統的複雜性和使用行爲的多樣性,可靠技術手段是不能完全奏效的,必須要動用管理可控手段,雙管齊下,所以信息安全的對策是技術與管理手段並用。
信息安全要保障信息及其服務具有“6性”:
信息的“保密性”、信息的“完整性”、系統及服務的“可用性”、信息內容及立體行爲的“可覈查性”、主客體身份的“真實性”,主體行爲和信息內容的“可控性”。
(三) 、果斷推進,信息安全的全局對策
1、 落實信息安全的等級保護制度
認真落實國家的相關信息安全的等級保護制度文件,根據網絡信息系統使命的重要性,信息系統資產價值和對社會的影響程度,確定信息系統相應的安全等級,其目的是在信息安全投入(資金、人力、資產……)與系統所能承受最小風險之間找一個科學的平衡點,保護國家、社會和業主的最大利益。
2、 構建網絡信息系統的“信息安全保障體系”
根據信息系統的安全等級,依據國家已發佈的相關標準和規範,構建或者調整網絡信息系統的信息安全保障體系,在信息安全保障體系建設或調整中,在作好信息系統安全需求分析的基礎上,要重點抓好:①、網絡縱深防禦體系的設計,安全域的科學劃分和安全邊界的有效隔離。②、網絡動態防護機制設計,安全機制能在安全對抗的全生命週期過程中有效協同和對抗。③、建設好基於密碼技術的網絡信任體系,包括身份認證,授權管理和責任認定。④、強化內部審計,從網絡級、數據庫級、系統級、主機級和介質級的全局審計入手,並逐漸使審計點前移。⑤、建設好信息系統的“信息安全管理體系”(ISMS),遵從PDCA模型,不斷優化ISMS。
3、 抓好信息安全測評的風險評估工作
鑑於網絡信息系統是一個“複雜巨系統”,其信息安全檢測與風險評估就是一項“系統工程”,在重視培育自評估能力的同時,要重點通過專業的第三方(行政檢查評估或服務委託評估),即時發現隱患,採取對策,調整系統,提升強度,與所確定的安全等級相匹配。
4、 重視應急預案建立與災難恢復系統建設
國家已發佈了網絡信息系統應急與預案的相關文件,以健全在網絡突發事件中網絡信息系統的應急對策,提升系統的應急能力。作力應急恢復的最後一道防線,要對“災難恢復”即早作好準備,有備無患。國家已出臺了有關災難恢復的相關文件和標準規範,在認真作好需求分析的基礎上制定好應急預案,建設好災難恢復系統,以保障系統業務的可持續能力。
總 結
曲老師站在全局的高度,深刻的剖析了信息安全的特徵和難點,點出了信息安全的重要使命,並從信息安全的頂層設計出發,總結出四項全局對策,值得我們認真品味和思索。曲老師認爲:信息安全的最終目標,就是要使信息化更安全的融入到社會各行業和各領域中去,以保障國家信息化更健康快速的發展,推進國家的興旺與強大。