信息安全的定義
黨的十六屆四中全會,把信息安全和政治安全�、經(jīng)濟(jì)安全�、文化安全�、國防安全并列為國家安全的五大范疇�����,信息安全的重要性被提升到一個空前的戰(zhàn)略高度����。信息安全已成為國家安全的基石��。
狹義的信息安全一般是指信息自身的安全問題���,指信息狀態(tài)安全措施和信息狀態(tài)轉(zhuǎn)移安全���,主要包括信息的機(jī)密性���、完整性���、可用性�����、可控性及可靠性五個方面,實(shí)質(zhì)是保證信息系統(tǒng)及信息網(wǎng)絡(luò)中的信息資源不因自然或人為的因素而遭到破壞��、更改����、泄露和非法占用�。
廣義的信息安全一般主要是指信息系統(tǒng)不受外來的威脅與侵害,以維持國家政治�����、經(jīng)濟(jì)���、科技���、軍事����、文化、社會生活等系統(tǒng)不受內(nèi)外環(huán)境威脅�����、干擾、破壞而正常運(yùn)行的狀態(tài)�。廣義的概念涵蓋了國家安全中的各個要素�,包括經(jīng)濟(jì)�、政治、科技��、軍事���、思想文化�����、社會穩(wěn)定�����、生態(tài)環(huán)境等各個領(lǐng)域��,是一個復(fù)雜全面的綜合性系統(tǒng)��。
影響因素
一、網(wǎng)絡(luò)攻擊
近幾年來���,計(jì)算機(jī)病毒、網(wǎng)絡(luò)黑客�����、垃圾郵件等的攻擊日趨頻繁和激烈�,對中國信息安全的威脅日益嚴(yán)重,影響了經(jīng)濟(jì)效益和社會效益���。其中,計(jì)算機(jī)病毒每年攻擊次數(shù)年均遞增20%以上����,產(chǎn)生新病毒數(shù)年均增加2倍以上�����;網(wǎng)絡(luò)黑客攻擊次數(shù)年均遞增10%以上,接近西方發(fā)達(dá)國家的水平��;接受垃圾郵件件數(shù)年均遞增50%以上����,造成了嚴(yán)重的經(jīng)濟(jì)損失。
二�����、軟件漏洞
由于軟件程序的復(fù)雜性和編程的多樣性���,在網(wǎng)絡(luò)信息系統(tǒng)的軟件中很容易有意或無意地留下一些不易被發(fā)現(xiàn)的安全漏洞����。軟件漏洞主要包括:陷門����、操作系統(tǒng)安全漏洞、數(shù)據(jù)庫的安全漏洞、TCP/IP協(xié)議的安全漏洞、網(wǎng)絡(luò)軟件與網(wǎng)絡(luò)服務(wù)的漏洞和口令設(shè)置的漏洞���。
三、人為因素與自然災(zāi)害
隨著計(jì)算機(jī)技術(shù)、信息通訊技術(shù)和制造技術(shù)的迅猛發(fā)展�,社會經(jīng)濟(jì)生活發(fā)生了顯著的變化�����,信息已經(jīng)從過去普通的知識形態(tài)轉(zhuǎn)變成關(guān)系產(chǎn)業(yè)升級的重要戰(zhàn)略資源,信息技術(shù)及其產(chǎn)業(yè)一躍成為當(dāng)今世界經(jīng)濟(jì)與社會發(fā)展的主要驅(qū)動力。在目前以及以后較長一段時(shí)期�����,對中國信息安全構(gòu)成威脅的因素很多���,除了網(wǎng)絡(luò)攻擊和軟件漏洞�,人為因素和自然災(zāi)害也是不容忽視的威脅因素。這些因素包括:人為過失��、知識產(chǎn)權(quán)的損害����、服務(wù)問題�����、研發(fā)和管理落后、自然災(zāi)害等��。
存在問題
一�、基礎(chǔ)信息技術(shù)嚴(yán)重依賴國外�����,并引發(fā)系列危機(jī)
中國信息安全的根本問題或最大隱患就在于缺乏大量的核心技術(shù)����。目前構(gòu)成中國信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)�、硬件、軟件等產(chǎn)品幾乎完全建立在外國的核心信息技術(shù)之上,這勢必使我國IT產(chǎn)業(yè)的關(guān)鍵部分受制于外人�。
二��、信息安全意識淡薄,信息安全的防護(hù)能力較弱
出于信息化水平的差異和宣傳力度的不夠,有不少國人對我國信息安全認(rèn)識模糊,處在居危思安的狀態(tài)中。我國在信息網(wǎng)絡(luò)安全問題上普遍存在著模糊認(rèn)識�����,“重發(fā)展��、輕管理”的思想比較嚴(yán)重�,保護(hù)信息安全意識的缺乏也引發(fā)了對信息安全的研究開發(fā)���、產(chǎn)業(yè)發(fā)展�����、人才培養(yǎng)���、隊(duì)伍建設(shè)等重視不夠���。
三��、網(wǎng)絡(luò)安全形勢日益嚴(yán)峻
蠕蟲、木馬、間諜軟件等惡意代碼在網(wǎng)上的傳播和活動仍然頻繁�,僵尸網(wǎng)絡(luò)嚴(yán)重威脅著網(wǎng)絡(luò)安全,其破壞行為往往比傳統(tǒng)的方式危害更大����、更難防范����。
四�、信息產(chǎn)業(yè)化和規(guī)模化水平�����、技術(shù)含量有待進(jìn)一步提高
在信息安全產(chǎn)業(yè)規(guī)模和產(chǎn)品研發(fā)均取得長足進(jìn)步的同時(shí)��,綜觀國內(nèi)信息安全市場�,仍看到不少問題��。此外����,信息安全產(chǎn)業(yè)政策��、信息安全產(chǎn)品相關(guān)采購與裝備政策的支持不夠���,因經(jīng)濟(jì)基礎(chǔ)相對薄弱而對信息核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏必要的資金投入等�����。
五、信息安全管理體制不夠健全�����,配套法律法規(guī)和政策制度不完善
由于國家在信息安全問題上缺乏一個具有最高權(quán)威的統(tǒng)一機(jī)構(gòu),缺乏一個與國家信息化進(jìn)程相一致的國家級信息安全工程規(guī)劃�,缺乏一個有效的通報(bào)渠道,相關(guān)管理機(jī)構(gòu)間缺少充分的溝通和協(xié)調(diào)�,致使我國的信息安全特別是在經(jīng)濟(jì)領(lǐng)域的安全管理出現(xiàn)條塊分割��、相互隔離、各行其是�����、協(xié)作松散的局面����,極大地妨礙了國家有關(guān)法規(guī)的貫徹執(zhí)行,進(jìn)而也難以防范境外情報(bào)機(jī)構(gòu)和黑客的攻擊����。
信息安全風(fēng)險(xiǎn)評估
信息安全的風(fēng)險(xiǎn)評估主要是針對信息以及信息處理系統(tǒng)�����,從內(nèi)因(資產(chǎn)、脆弱性���、已有控制)和外因(威脅、安全)兩方面綜合判斷其面臨的風(fēng)險(xiǎn)���。信息安全風(fēng)險(xiǎn)評估的總體目標(biāo)是認(rèn)清信息安全環(huán)境、信息安全狀況��,有助于達(dá)成共識���,明確責(zé)任�,采取或完善安全保障措施,使其更加經(jīng)濟(jì)有效�,并使信息安全策略保持一致性和持續(xù)性���。
一�、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)
信息安全風(fēng)險(xiǎn)評估離不開評估標(biāo)準(zhǔn)��,目前,國際和國內(nèi)流行標(biāo)準(zhǔn)有:CC、GB/T 18336�、BS 7799��、SSE-CMM、ISO/IEC TR 13335、GAO/AMD-99-139��、N IST SP800-30 IT系統(tǒng)風(fēng)險(xiǎn)管理指南����、OCTAVE方法、《信息安全風(fēng)險(xiǎn)評估指南》等。
二����、風(fēng)險(xiǎn)評估方法與工具
為了進(jìn)行信息安全風(fēng)險(xiǎn)評估����,多種信息安全評估方法和工具被開發(fā)出來并在實(shí)踐中應(yīng)用��,選擇好的風(fēng)險(xiǎn)評估方法和工具�,可起到事半功倍的效果����。
第一,風(fēng)險(xiǎn)評估方法。在風(fēng)險(xiǎn)評估過程中����,可以采用多種操作方法���,包括基于知識(Knowledge-based)的分析方法�、基于模型(Model-based)的分析方法���、定性(Qualitative)分析和定量(Quantitative)分析�����,無論何種方法,共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響����,以及目前安全水平與組織安全需求之間的差距��。
第二����,風(fēng)險(xiǎn)評估工具���。風(fēng)險(xiǎn)評估工具包括輔助性工具(調(diào)查問卷�、檢查列表、人員訪談、漏洞掃描器�����、滲透測試等)�����,自動化風(fēng)險(xiǎn)評估工具等(COBRA��、CRAMM、ASSET、CORA)�����。
第三��,風(fēng)險(xiǎn)評估流程��。信息安全風(fēng)險(xiǎn)評估的主要流程主要分為風(fēng)險(xiǎn)評估準(zhǔn)備、資產(chǎn)識別��、信息資產(chǎn)分類�����、信息資產(chǎn)評估、按照重要性列出資產(chǎn)�、威脅識別����、弱點(diǎn)識別和風(fēng)險(xiǎn)分析八個階段�。
化解信息安全風(fēng)險(xiǎn)的辦法
一、制度建構(gòu)
保障信息安全的關(guān)鍵在于有一套完善適應(yīng)的管理制度����。當(dāng)前我國信息安全管理制度建設(shè)重點(diǎn)就是要抓緊建立信息安全等級保護(hù)制度���,制定信息安全等級保護(hù)的管理辦法��,同時(shí)按照等級保護(hù)的要求建設(shè)安全信息系統(tǒng)。
第一����,理順信息安全領(lǐng)導(dǎo)機(jī)制
首先�����,克服我國當(dāng)前信息安全領(lǐng)導(dǎo)管理存在的突出問題,如體制不適����、規(guī)章不一��、法不完善、隊(duì)伍不穩(wěn)���、教育脫節(jié)等;其次�����,加快建立健全信息安全領(lǐng)導(dǎo)和管理體制�����;最后,在戰(zhàn)略層面上,確定中國國家信息安全保障的戰(zhàn)略目標(biāo)��、指導(dǎo)方針��、基本原則和基本制度��。
第二����,完善信息安全管理標(biāo)準(zhǔn)
信息安全等級保護(hù)制度是采用分等級保護(hù)的方法實(shí)現(xiàn)對信息系統(tǒng)的安全保護(hù)�����,即實(shí)現(xiàn)國家信息安全的目標(biāo)����。
在等級保護(hù)制度下�,信息安全的各項(xiàng)工作主要包括:建立等級保護(hù)相關(guān)法律法規(guī)和政策體系;健全等級保護(hù)相關(guān)技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)�;嚴(yán)格等級保護(hù)相關(guān)技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)�;加快等級保護(hù)相關(guān)安全技術(shù)和產(chǎn)品的研究和開發(fā)�����;規(guī)范等級保護(hù)相關(guān)安全產(chǎn)品的測試和管理��;按等級保護(hù)要求建設(shè)安全信息系統(tǒng);按等級保護(hù)要求對安全信息系統(tǒng)進(jìn)行測試;按等級保護(hù)要求對安全信息系統(tǒng)的運(yùn)行進(jìn)行控制;按等級保護(hù)要求對安全信息系統(tǒng)進(jìn)行監(jiān)督管理����。
第三,建立信息安全應(yīng)急體系
要完善網(wǎng)絡(luò)信息安全應(yīng)急機(jī)制的理論基礎(chǔ)�����;建立網(wǎng)絡(luò)信息安全應(yīng)急機(jī)制的安全��、經(jīng)濟(jì)�����、發(fā)展價(jià)值目標(biāo);建立信息安全應(yīng)急體系框架;發(fā)揮應(yīng)急組織的作用���。
二、法制保障
我國在構(gòu)建信息安全法律網(wǎng)絡(luò)的過程中,立法理念也在不斷地完善和發(fā)展�����,從借鑒國外的信息安全立法經(jīng)驗(yàn)開始�,在實(shí)踐中探索,形成了具有我國特色的信息安全立法理念。
第一��,中國信息安全法制建設(shè)的特點(diǎn)
首先����,信息安全法律法規(guī)體系初步形成,目前我國現(xiàn)行法律法規(guī)及規(guī)章中�,與信息安全直接相關(guān)的有六十多部����;其次����,與信息安全相關(guān)的司法和行政管理體系迅速完善;再次��,目前法律規(guī)定中法律少而規(guī)章偏多�,缺乏信息安全的基本法����;最后,與信息安全相關(guān)的其他法律有待完善�����。
第二����,中國信息安全法制建設(shè)的對策
一是及時(shí)更新信息立法觀念,加快信息化立法步伐����。二是加強(qiáng)信息立法的理論研究�����,促進(jìn)信息化立法工作���。三是借鑒發(fā)達(dá)國家信息立法成果����,結(jié)合國情積極移植國外信息法規(guī)���。四是建立健全信息法制建設(shè)的反饋機(jī)制����,保證國家信息法規(guī)的動態(tài)平衡。五是盡快制定中國信息化基本法,逐步構(gòu)建完善信息化法律體系。六是確立我國信息化法律建設(shè)的重點(diǎn)���。
三���、技術(shù)支持
在信息化已經(jīng)與國家生活融為一體的今天��,作為信息技術(shù)的子項(xiàng)���,信息安全技術(shù)在保證國家主權(quán)�、政治和經(jīng)濟(jì)安全�����、社會穩(wěn)定中��,發(fā)揮著關(guān)鍵的作用。加強(qiáng)自主創(chuàng)新���,發(fā)展自主可控的信息安全核心技術(shù),一直是國家關(guān)注和重視的焦點(diǎn)����。
第一��,信息安全常用技術(shù)發(fā)展?fàn)顩r
在信息基礎(chǔ)設(shè)施和信息應(yīng)用發(fā)達(dá)的國家,信息安全保障一般是按政府和軍方兩條路線進(jìn)行�,政府側(cè)重于在國家信息基礎(chǔ)設(shè)施的安全保障上����,軍方則側(cè)重于在信息戰(zhàn)的防御與進(jìn)攻上���,二者既有分工又有合作�����,相輔相成。美國、歐洲��、日本�����、加拿大��、澳大利亞等發(fā)達(dá)國家和地區(qū)采用的信息安全技術(shù)主要包括:防火墻技術(shù)、信息加密技術(shù)、身份認(rèn)證技術(shù)、入侵檢測系統(tǒng)(IDS)、網(wǎng)絡(luò)防病毒技術(shù)、系統(tǒng)容災(zāi)技術(shù)等�����。
第二����,中國信息安全技術(shù)發(fā)展?fàn)顩r
中國信息安全技術(shù)研究經(jīng)歷了通信保密、計(jì)算機(jī)數(shù)據(jù)保護(hù)兩個階段,正在進(jìn)入網(wǎng)絡(luò)信息安全技術(shù)的研究發(fā)展階段���。國家高度重視信息安全技術(shù)的研究和發(fā)展,國家863計(jì)劃實(shí)施以來,中國在信息安全領(lǐng)域取得了一定的成就����。如Linux安全增強(qiáng)技術(shù)�、虛擬專網(wǎng)安全技術(shù)研究、網(wǎng)絡(luò)安全物理隔離技術(shù)、其他信息安全技術(shù)等。
第三�,信息安全技術(shù)發(fā)展前瞻
目前����,信息安全技術(shù)的發(fā)展呈現(xiàn)出以下趨勢:信息安全技術(shù)由單一安全產(chǎn)品向安全管理平臺轉(zhuǎn)變����;信息安全技術(shù)發(fā)展從靜態(tài)、被動向動態(tài)�、主動方向轉(zhuǎn)變�;信息安全防護(hù)從基于特征向基于行為轉(zhuǎn)變��;內(nèi)部網(wǎng)信息安全極速得到重視和發(fā)展;信息安全機(jī)制構(gòu)造趨向組件化;信息安全管理由粗放型向量化型轉(zhuǎn)變�����;軟件安全日趨重要��,其安全工程方法及相關(guān)產(chǎn)品將會快速發(fā)展�;面向SOA的安全相關(guān)技術(shù)和產(chǎn)品將會快速發(fā)展�����。
四��、國際借鑒
信息安全問題是一個必須通過開展長期、廣泛和深入的國際合作���,包括各國政府、國際組織�����、民間團(tuán)體����、私營企業(yè)和個人之間的充分合作,才有可能解決國際安全問題。對我國來說���,要在維護(hù)信息安全方面進(jìn)行國際合作,就必須了解其他國家信息安全的有關(guān)做法,并積極借鑒其先進(jìn)成果,一方面迅速提高我國的信息安全管理水平�����,另一方面為做好國際合作打下堅(jiān)實(shí)的基礎(chǔ)�。
國外信息安全法制建設(shè)的經(jīng)驗(yàn)包括:通過專門法律,消除現(xiàn)行法律適用的技術(shù)障礙;通過專門法律,解決網(wǎng)絡(luò)時(shí)代出現(xiàn)的新問題;確保電子合同的效力,促進(jìn)電子商務(wù)的發(fā)展;規(guī)范網(wǎng)上信息發(fā)布��、傳播和傳輸行為�����,確保信息安全;制定專門法律�,防止有害信息對于國民�����、特別是未成年人的侵害;通過法律政策�����,保障信息安全法的有效制定和實(shí)施等���。
整理/ 實(shí)習(xí)記者 姜燕 據(jù)《中國信息安全報(bào)告》一書
