信息安全保障体系在渐进中成熟(精选2篇)
信息安全保障体系在渐进中成熟 篇1
信息安全保障体系在渐进中成熟
--------本刊专访陈晓桦博士
转载时间:2011-06-10
从2003年中央颁发的第27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》开始算起,至今已逾七载。俗语常说“7年之痒”,7年的时间往 往意味着曾经的一腔热血在经历了瓶颈之后,渐渐忘记初衷,变得麻木。那么中国信息安全这7年在经历了翻天覆地的变化之后,是否依然坚定当初的决心和发展信 念呢?最初设定的那些目标和任务,完成情况如何?下一步工作如何开展?当前我国信息安全形势又是怎样?
2011年新年伊始,带着对中国信息安全领域这一路走来的种种困惑,记者采访到了中国信息安全认证中心副主任陈晓桦博士。他不仅是我国信息安全保障体系 逐步形成的见证人,更是一直奋战其中的建设者。在采访中,陈博士既谈到了国家信息安全保障工作取得的成绩,也谈到了对工作中有关问题的反思。他对我国信息 安全形势发展的思考,有更多源自产业现实的感悟,虽然这次采访内容覆盖面有限,但正是从他所探究的这些细节上,业内人士可以见微知著,得到启发。
用他本人的话来讲,信息安全工作涉及面非常广,从政策法规建设到政府指引、从战略规划到实施方案,从产业规模到技术专利、从标准制定到人才培养,方方面面都需要加以总结,汲取经验和教训,作为我国十二五甚至更长远工作规划的出发点。
认证工作成绩斐然
陈晓桦博士告诉记者,建立并完善信息安全认证认可制度,是建设我国信息安全保障体系工作当中的一项重要任务。几年来,在国家相关部门的坚强领导和大力支 持下,这项制度的建立取得了突破性进展。信息安全产品认证制度的建设虽然遇到了重重阻力,但信息安全认证中心还是克服了重重困难,积极配合相关领导部门,应对国外的种种质疑与不合理要求,为制度的实施做了大量的技术性支撑工作。2009年4月底,根据国内外形势的发展,国家对该项制度的实施范围作了调整,即调整到了在政府采购法所规定的范围,首先对13类信息安全产品强制要求认证,并把实施的时间推迟了一年。2010年5月前,财政部、工信部、质检总局和 认监委联合发布了财库48号文件《关于信息安全产品实施政府采购的通知》,这标志着国家信息安全产品认证制度终于在经历曲折和反复后顺利实施和运行。
记者了解到,截止到2010年11月30日,信息安全认证中心共颁发国家信息安全产品认证证书158张,国家强制性产品(无线局域网产品)认证证书105张,信息安全产品认证的覆盖面有了长足提高,信息安全产品认证的把关作用得到了体现。
多角度延伸认证服务
不仅如此,陈晓桦博士透露,前些年,国内的信息安全管理体系认证几乎被外资机构垄断,其潜在安全风险不可低估。而信息安全认证中心积极服务于 国家重要信息系统的安全保障,在强化认证质量和服务的基础上,积极开展ISMS认证,得到了众多关系到国计民生重要行业客户的普遍认同。另外,继2008 年为服务奥运安保工作推出应急处理服务资质认证后,信息安全认证中心还开展了信息安全风险评估服务资质认证,国家信息中心等18家从事风险评估的企事业单 位在2010年6月获得了首批认证证书。“风险评估服务资质认证业务的推出,顺应了社会的需求,得到了企事业单位的积极响应和好评。”陈晓桦博士总结道。
在培训业务方面,信息安全认证中心不仅开展了工厂检查员、体系审核员、体系咨询师与服务资质评审员的培训工作,还根据市场需求启动了信息安全保障从业人员认证,培训覆盖面进一步拓宽,影响力逐步显现。信息安全认证中心积极参与并承担了多项国家和部委的科研和专项工作,并取得了一批成果。其承担的863项目和国家科技支撑计划项目分别通过了验收和中期检 查;国家发改委信息安全专项、电子产业发展基金重点项目顺利通过了中期检查;“国家信息安全产品认证专项”项目已完成基础环境建设和检测工具开发工作;参 与制定的一批行业标准已经发布实施,若干国家标准制定项目已完成征求意见工作,或已经进入报批阶段。“从事这项制度的建立工作,我们深感任务艰巨,责任重大,使命光荣。我们清醒地认识到,在机构和队伍
建设、核心业务拓展、基础设施建设等方面还 有待进一步加强,我们的服务能力和水平,还有待进一步提高。我们目前的建设进度和成效,离国家对我们的要求和业界的期望还有很大的距离。”陈晓桦博士对记 者表示,“我们在2010年底已初步完成了中心发展的十二五战略规划的制定和论证工作,希望能够指导今后5年相关工作的开展,大力推进各项建设工作,充分 发挥信息安全认证在国家信息安全保障体系中的基础性作用,努力开创信息安全认证工作新局面。”
启示一:信息安全需要从国家层面制定整体发展战略
陈晓桦观点:信息安全不是一支“独舞”,需要各个部门相互配合开展工作。但是由于缺乏国家层面的战略指导,很多情况下,信息安全工作还只能依赖领导批示和安全事件来驱动。把握当前国内外形势和发展趋势,制定国家信息安全总体发展战略已经迫在眉睫。
采访中,记者得知,以前相关部门开展信息安全工作,职责分工不够清晰,可谓纵横交织,既有必要的互补,也有太多的重复,缺乏有效的沟通协调机制,工作比较被动,经常依靠领导批示和安全事件的驱动。
陈晓桦博士认为,虽然以前这种工作方式也解决了许多信息安全问题,但从法律法规和制度的完善度来看,还远远不够。而且,即使到了现阶段,信息安全 与保密工作在相当大的程度上还带有应急处理的特点。“当然,这和信息安全工作的性质有关,即使制定了一些法律法规和管理制度,采取了一些技术手段,也不能 完全遏制和避免安全和失泄密事件的发生。”陈晓桦坦言,由于还缺乏来自国家层面的战略规划和设计,没有健全的法律法规整体的指导,更没有先进、强大的科技 手段,这就导致信息安全工作在推动时面临不少困难,很多时候仍然依靠事件驱动,或者依靠首长批示开展工作,工作方式也不是一种制度化、常态化的方式。缺乏 整体规划带来的另一个后果,就是协调制度不完善,虽然相关部门也各司其职,但是容易出现各行其是的局面。由于信息化建设的高速发展,新技术新应用层出不 穷,信息安全的总体规划迫切需要全新的思路和设计。陈晓桦幽默地说,“救火还是需要的,但不要总是在救火。应急机制是必要的,但更重要的是建立信息安全工 作的长效机制。”他告诉记者,其实早在2004年,我国就成立了国家网络与信息安全协调小组,这是我国信息安全工作的最高领导机构,其办公室设在原国信办,成立的初衷是领 导我国信息安全相关部门开展工作,并协调各个部门之间工作。由于2008年机构改革,原国信办的职责并入了工业和信息化部。2009年底国务院又重新批准 成立国家网络与信息安全协调小组,制定国家信息安全总体发展战略的工作,已经提上日程。“十二五国家信息安全保障工作的指导思想、战略目标、主要任务和重 点工作是什么?有哪些保障措施?这可能是国家信息安全战略亟待明确的内容。”
启示二:健全法律法规需集思广益;落实相关政策需科技支撑
陈晓桦观点:过去有些部门规章的要求,都是一刀切,但在实际工作中并没有解决用户的切实问题。国家信息安全立法工作开展多年,已经取得了很多经验和教训,需要加以认真总结,并需要与时俱进,用科学的手段保障政策法规的严格执行。
据公开报道,关于国内信息安全立法工作,相关部门认为当前规范信息安全的法律法规有宪法、刑法、国家安全法、保守国家秘密法、治安管理处罚法、电子签名 法、《全国人民代表大会常务委员会关于维护互联网安全的决定》以及数十部部门规章。这些法律法规或规章对加强信息安全发挥了积极作用,但也存在内容分散、相互交叉甚至抵触的现象,影响了立法效力和执法严肃性,对信息安全监督管理造成了不利影响。需要对现有的信息安全的法律法规加以评估,包括清理和制修订。2010年11月,工信部已完成了《信息安全条例》报送稿。国家今后将以该条例为基础,提出综合性的立法方案,解决当前缺乏互联网法律规范的问题。
“适当的时候,可以扩大征集意见范围,听取更多国内各界人士的意见或建议。有了《信息安全条例》,我国的信息安全工作就可以更加有序地依法开展,有利于排 除外界干扰,有利于界定各方责任,厘清关系。”陈博士如是说。当然,信息安全问题,不仅仅是互联网安全问题,从立法程序来看,《信息安全条例》正式出台,可能还需要假以时日。
随着国家信息化工作的推进,对信息安全保密工作越来越重视。新修订的《保守国家秘密法》于2010年10月1日实施,总结了多年来保密工作和立法工作的经 验,为适应信息化时代的需要,提出了许多具体而且可操作性强的要求。陈博士认为需要提醒大家的是,今后,即便是违规把涉密设备或涉密计算机接入互联网,也 要依法给予处分;如果再发生互联网泄密事件,就要当作泄露国家秘密罪论处,要依法追究刑事责任,而不再仅仅
是给予通报批评、降级等行政处分。“新保密法提 出的这些新要求,非常及时、非常必要。近些年,国内侦破的互联网窃密和失泄密案件时有发生,造成的危害极大,影响极为恶劣。必须加大法律的威慑和惩处作 用,尽量杜绝此类案件继续发生。”
保障信息安全,管理和技术并重。除了法律法规和相关管理制度,还需要科技手段的支持。陈博士说,现在有的部委信息化程度很高,已经建成了3个甚至4个相互 独立的网络,比如,与互联网相连接的办公网,可以上网浏览、检索互联网信息、收发邮件等;物理上相互隔离的政务外网、政务内网;有的机构还有自己特殊的业 务网络。“对涉密网提出的物理隔离的强制要求,在我国目前的技术条件下是非常必要的。国家急需加紧研究开发自主可控、安全可靠的新一代信息隔离和交换技术 与产品,满足不同网络之间信息交换的现实合法需求,用先进的技术手段来保障信息安全,进一步发挥信息系统的作用,降低信息化建设的成本。”
启示三:信息安全解决方案要开“药方”而不是开“药房”
陈晓桦观点:某些信息安全企业的产品解决方案缺乏针对性,往往是以不变应万变,显然行不通。我们要开妙手回春的药方,而不是开一应俱全的药房,最好的“药引子”就是安全企业主动提升创新水平。
我国现有的信息安全技术、产品和服务,或许已经基本上满足我国信息安全的需求,但在骨干、高端、高性能方面,还缺乏自主创新性的产品。“有的企业由于紧跟 用户需求,在产品设计中有了几项小小的创新,最终成功中标某个项目,这恰恰说明用户需求的重要性。”陈晓桦博士认为,目前国内信息安全产品大多数都不是基 于国内原创的安全理念,一些企业提供的行业安全解决方案也缺乏针对性,似乎放之四海而皆准,不是开“药方”,更像是在开“药房”!
当然,陈晓桦博士也认为,在信息安全应用领域,用新产品新技术去引导市场,完全实现“技术引领、技术驱动”还是很困难的,经常有厂商面向市场推广产品时会 遇到不了解用户需求的现象。“这和国家整体发展现状有关,例如金融系统大量使用国外的服务器、路由和交换设备、数据库管理系统、中间件,甚至包括安全防护 产品都不是国内自主开发的。本土企业的产品在进入现有系统时,可能会出现自主产品与国外产品不兼容等现象,影响国内信息安全解决方案的推广。有些外国公司 的产品中,大量使用非标准或私有协议,对其他企业的产品接入造成事实上的不公平竞争。”陈晓桦博士坚持认为,虽然面临种种困难,但针对用户需求、突破国外 产品的技术壁垒,用创新技术积极参与竞争,仍然是我国产业发展、人才发展的长远目标,未来各关键基础设施和重要信息系统的信息安全技术都应该逐步做到自主 或可控。
在国内安全企业自主创新的道路上,往往也会出现另外一个误区。陈晓桦博士介绍道,现在有一个现象,很多厂商都在推出第几代升级产品,更新换代十分频繁,甚 至刚成立几年的公司,都已经开发出了第四代第五代产品,其实这大多只是该公司产品型号的变化,并没有真正实现技术的换代。让人担忧的是,这样的行为说明这 些企业对国内外的技术发展水平缺乏清醒的认识。信息安全企业的研发人员应该踏踏实实静下心来做研究,把一些基本原理和技术搞清楚,真正研发出能满足用户需 求的,自主创新的好产品。“在企业发展到了一定规模时,企业拥有多少人才、多少自主知识产权、多少专利和多少自有品牌,这些才是衡量企业综合实力的必要因 素,需要企业高度重视。”他进一步强调,“靠贴牌生产的信息安全企业,是注定做不大的。”
可喜的是,现在国内有不少本土信息安全企业越来越重视自主创新,虽然年销售额和盈利还不算高,但拥有的专利和创新技术不少,这说明企业有发展眼光、有发展后劲。
启示四:需要绷紧的那根弦不是安全知识而是安全意识
陈晓桦观点:虽然信息安全和保密的重要性被广泛认识,但从很多行业、部门甚至业界专家的行为中不难发现,他们并不缺乏安全知识,而是缺乏安全意识。
很多安全技术名词被大家天天挂在嘴边,但具有讽刺意义的是,安全意识却没有得到足够的重视。陈晓桦惋惜地指出,很多信息安全厂家的高层或者市场人员,在名 片上留的邮件地址都是Hotmail、Gmail这样的邮箱;甚至在申报国家项目中,很多单位汇总到专家办公室的项目申请书、验收材料,都通过 Hotmail、Gmail发送;很多学校、科研院所的领导、骨干,为了与国外通信方便,都习惯使用境外服务器的邮件地址。
“这可能和早期使用免费邮箱的习惯有关。但即便如此,由于邮件服务器在境外,我国重点单位或企业院校的专家和领导用这些邮箱来传输一些敏感材料和信息,也 是非常不合适的。因为发送的邮件往往涉及到安全项目的科研成果,所以这只能说明使用者缺乏安全意识!”陈晓桦强调,“关键部门、重要岗位该用什么样的通信 服
务,尤其是政府部门的官员和工作人员,都需要在头脑里时刻有根弦。”他语重心长地告诉记者,“在没有采取特殊安全保密技术手段的情况下,大家在互联网上 通过邮件传递信息,通过手机打电话和发送短信,其实就是信息的‘裸奔’!有些甚至还‘奔’出了国门。”
对某些看似普通的信息,其安全管理也需要加强。“由于社会分工日益专业化,很多日常工作都很容易涉及到国家或行业的敏感信息,很多人还没有从国家安全的高 度认识到,对这些信息的安全管理是多么重要。”陈晓桦博士举例告诉记者,银行资金流向也是一个很敏感的事情,这不仅牵扯到银行自身,还涉及到国家重点单位 的敏感信息。如果银行对这类信息的安全管理没有足够重视,就很容易造成敏感信息泄露。例如,某个野战部队在地方银行当中的资金信息一旦泄露,通过分析工资 结构就可以了解到这个部队的人员结构,通过分析其维护费用就可以了解武器装备的规模,甚至其作战能力。
记者了解到,一些在境外上市的公司提交材料时,会不经意间就把涉及到国家、行业和重点企业的敏感材料提交出去。“很多失泄密事件的后果首先体现在国家经 济利益的巨大损失方面,比如谈判时我方的铁矿石进口底价。很多网络安全事件和失泄密事件给国家带来了影响就业、经济发展不平衡、社会不稳定等一系列问题。根据《保守国家秘密法》,国家的重要经济信息、核心科技信息其实和军事、外交信息一样,都属于国家秘密,这是需要我们理解并严格保密的。”陈博士归纳道。
启示五:加强科研项目和专项主管部委的协调和交流,避免重复建设和浪费
陈晓桦观点:每年国家都会投入巨额资金支持信息安全技术的研发和产业化。由于专项基金的不同管理部门之间缺乏有效的沟通机制,存在重复资助的现象。在关键技术研究、产品设计与制造、产业化等环节,甚至出现支持的时间点错位的现象,所谓“先生儿子,后生爸爸”。
众所周知,这些年发改委、工信部、科技部每年在信息安全技术研发和产业化方面投入了大量的资金,对我国信息安全技术研究、产业发展发挥了巨大的作用,可 谓成绩辉煌,功不可没。陈晓桦博士认为,一方面国家应该继续鼓励和加大资金的投入,支持技术研究、开发重点产品、实现产业化目标。另一方面,国家应该大力 促进科研成果更加有效地转换成产品和技术。他告诉记者,一些花费了国家资金,花费了专家和科研人员大量时间研究出的科研成果,在验收完以后就束之高阁,过 了很长的时间这些成果还没有转化为技术和产品。由于对这些成果的利用效果缺乏考评机制,因此,也无从判断在国家投资的科研项目当中,3年、5年或10年后 最终有多少转化成满足市场需求的主流产品,有的技术在几年内没有投入到市场,就会被新技术所淘汰。
“在科研院所形成的创新技术、专利,如何转化成为产品和生产力方面,还很难形成一套高效完善的制度,因为这牵扯到很多现行管理制度。但国家不能只鼓励科研 院所只做基础前端的研究,还应该改革现行制度,出台鼓励科技成果转化的新政策和配套的制度,把科技成果转化的效果也作为考核评价指标。”陈晓桦不无担忧地 说,无论是现在,还是5年甚至10年以后,如果我国信息安全建设当中大量采用的安全技术和产品,大都不是国家专项经费支持的结果,那今后该怎么评价国家的 专项和基金的成就?
除了资金投入产出效果的考量外,就国家各个部委牵头的多个专项和基金计划而言,虽然在定位上有不同的分工,但也有重复,更由于相互之间缺乏有效的沟通和协 调机制,时常会发生重复投资的现象。陈晓桦解释道,国家的各专项申请和审批都有严格的程序,公开竞争,专家论证,领导决定。打一个比方,某单位同期既申请 863高技术项目,又向地方科委申请经费支持,又向国家发改委申请产业化支持,还同时向电子产业发展基金申请,可能还申请了中小企业创新基金、联合其他单 位申请了“核高基”等等。但是,实际上其核心技术是相同的,如果同期支持,就会产生重复。另外,还存在另一种时间错位现象,比如:去年国家支持某单位的产 业化项目,今年国家又支持其重点产品招标项目,明年国家才支持其研发关键技术的现象,即所谓“先生儿子,后生爸爸”现象。“这种现象还不仅仅存在于国家的 信息安全专项领域,其他领域情况可能还要更严重一些。”启示六:对涉及国计民生的基础设施而言,其信息系统的安全运行与设施本身同等重要
陈晓桦观点:随着我国信息化高速发展,信息系统的支撑性、全局性作用也与日俱增,信息系统与基础设施建设已交织为一体,需要充分重视。目前大多数基础设 施都是比较脆弱的,哪怕是一些细小环节出现问题,都会导致整个基础设施的瘫痪。正所谓“千里之堤,溃于蚁穴”,很多时候,我们需要未雨绸缪。
信息系统的安全保障管理工作也极为重要,现在很多影响国计民生的基础设施都离不开信息化。一旦其信息系统受到破坏或出现故障,社会基础设施也就无法正常运 行。陈晓桦举例道,如果银行清算系统出现故障,最
直接的影响就是银行无法及时进行资金结算,消费者无法刷卡支付;民航登录系统被破坏,乘客必然无法准时登 机;通信系统被地震破坏后,所有的座机、手机打不通,最急迫的信息就无法传递„„这一切现象都表明,国民经济的基础设施都越来越离不开信息化系统。“不难 得出结论,其信息系统的安全可靠与基础设施的正常运行密不可分,二者几乎同等重要。但事实上,我们对支撑这些基础设施的信息技术系统的安全重视程度还远远 不够。”他强调,互联网作为新兴媒体,网上一旦发生安全事件、热点事件就非常吸引眼球,但基础设施的信息安全也同样需要关注,甚至应该得到更高程度的重 视。
事实上,仅仅是重视还不够,我们不得不承认一个现实存在的问题,那就是我们还没有掌握许多核心技术,这种状况可能还要持续很多年,我们对关键基础设施和重 要信息系统的安全也未能做到心中有数。陈晓桦博士认为,“毕竟我国自主设计开发的系统还不够,很多基础设施可控的程度自然也不够。这就需要安全管理工作要 提前部署,防患于未然。”
对安全管理的重视还有很关键的一个环节,那就是对供应链的管理。一条完整的供应链涉及到很多环节,包括产品元器件生产和采购、产品设计与开发、产品制造、部署和安装、使用与运行、服务、升级和维修等,要做到安全可控管理,就必须对整个供应链进行全程控制。“这个观点主要是针对重要的用户、国家核心单位、关 键基础设施。虽然我国研发的信息安全系统难免也存在缺陷,但仍然需要对供应链上若干过程加以安全管理,充分了解。毕竟蚁穴虽小可溃千里长堤。”他举了一个 例子,有个数据统计机构,其信息技术设备都很先进,当发现某存储设备故障后就将其直接送到外面维修,这个举动表明该单位对供应链安全管理显然缺乏足够的认 识。由于时间和篇幅所限,记者的采访暂时告一段落。陈晓桦博士针对我国信息安全工作成绩的介绍和反思,观点鲜明,语言生动,见解独特,发人深醒。正如他所言,我国信息安全保障工作并不能一蹴而就,需要有一个长期建设和不断优化的过程,所谓“总结是为了进步”,记者希望通过这次在2011年最初的采访,让越来越 多的人了解我国的信息安全保障工作,让越来越多的人为国家信息安全保障体系建设添砖加瓦。
专家信息链接:陈晓桦简介
1979年考入国防科技大学计算机系,1993年获国防科技大学博士学位。曾在电子科技大学博士后流动站工作两年。1997年起,参加原中国信息安全产品 测评认证中心筹建工作,曾任总工程师、副主任、常务副主任、研究员。2006年10月,参加中国信息安全认证中心筹建工作,2007年2月任中国信息安全 认证中心副主任、党委委员。
入选1999“百千万人才工程”,获2000政府特殊津贴,获2008国家科学技术进步一等奖;任全国信息安全标准化技术委员会副秘书长、委 员;《信息安全与通信保密》、《计算机安全》编委;电子科技大学、北方交大兼职教授;上海交通大学博士生导师;国家自然科学基金、国家发改委信息安全专 项、电子信息产业发展基金重点招标项目、国家科学技术进步奖评审专家;曾任国家“十五”863计划第二届信息技术领域信息安全技术主题专家组副组长,国家 互联网应急中心242专项第一届专家组组长。目前主要从事与信息安全检测、评估与认证相关理论、技术、方法、标准、工具的研究和开发工作。
热点评议
记者:前段时候闹得沸沸扬扬的腾讯与奇虎360事件终于在公开道歉中落下帷幕,您认为这对信息安全市场中的企业有何警示作用?
陈晓桦:从世界范围来看,企业之间适度竞争是非常正常的。但3Q事件是国内企业之间不公平竞争、恶性竞争现象的一次爆发,牵扯了上亿用户的权益。我希望这 件事情除了国家行业管理部门以外,地方政府部门不要再被企业牵扯进去。企业经过相关部门的协调,应该根据国家法律法规,按照公平竞争的原则,把为用户服好 务作为目标,自我约束不正当的市场竞争行为。我建议企业之间的竞争不要通过不兼容和封杀对方这类手段来损害用户的权益。如果仅仅是做到暂时互相不封杀,但 仍然在继续较劲,并期望获得地方政府和相关机构的支持在地方政策或行政许可等方面去打压对方,这只能说明两家企业将越走越远,并没有真正汲取教训。从长远 看,这对行业和企业发展并没有好处。希望其他信息安全企业引以为鉴。
记者:2010年信息安全产业很多技术概念被持续热炒,像云计算等等,众人纷纷持观望热捧等态度,您认为该如何对待不断推陈出新的技术理念?
陈晓桦:云计算、三网融合、物联网都是这两年被不断热炒的技术和经营理念。我认为当新技术、新理念出
现的时候,应当保持3种态度。第一个态度是不要惊慌,不要轻易高喊“狼来了”。几年前,可信计算推广时,一些专家认定一旦可信计算的模式在全世界推广后,我国的信息安全产业将受到打压和排挤,产业将重新洗 牌。实际上这么多年过来了,我们也应对过来了,那些现象也没有发生,产业的技术标准体系和产业升级不是轻易就能发生跨越式改变的。第二个态度是要敢于质问 这是不是“皇帝的新装”。面对新技术新应用的出现,要保持冷静,要思考这是不是产品和技术的升级换代,是否真正是创新的技术、革命性的技术,不要人云亦 云。第三个态度是去研究是不是“新瓶装旧酒”。要敢于质疑,不能盲目跟风炒作。对云计算的态度应该要谨慎,保持冷静,先多下功夫认真研究云计算的经营模式 和关键技术。现在似乎与云计算有关的项目就是好的投资项目,上市企业声称与云计算相关就股票飞涨。在工程建设方面,不要为了政绩或形象工程就一哄而上,不 妨先期安排几个行业或地方试点或者示范,等积累了一些成功经验,再规模化实施。我认为也许三五年以后云计算会显现出优越性,现阶段还只是一个梦想,只有极 个别的案例。关于云计算安全问题,应该提前研究,但如果现阶段就安排试点、示范就过早了。“皮之不存,毛将焉附?”
记者:在2010年底颇受关注的十二五规划即将正式落地,您对此持何态度?
陈晓桦:2010年11月,中央发布了制定第十二个五年规划的建议。国家的信息安全战略规划,应该承上启下,既能够与“十一五”规划的工作衔接,又能指导 今后5年的工作,还需要提前考虑更长远的发展。自2003年中办27号文件颁布以来,我国的信息安全保障工作取得了显著成就,但我们也应该看到,还有很多 老问题没有得到有效解决。国家信息安全保障体系是多层面、多方位的,它的建设工作应该有轻重缓急之分,应当有总体规划,应当有全局意识。在新时期、新形势 下,新技术、新应用层出不穷,新问题、新挑战不断涌现,各方面的信息安全保障工作,亟待做出战略部署,需要加强协调,形成整体,形成合力。2011年是我 国第十二个五年规划的开局之年,希望国家早日出台国家信息战略规划,颁布新的指导性文件,从“十二五”开始,使我国的网络与信息安全协调机制切实发挥更大 的作用。
转自:《信息安全与通信保密》网站
信息安全保障体系在渐进中成熟 篇2
编制说明
1.工作简况 1.1.任务来源
根据国家标准化管理委员会2017年下达的国家标准制修订计划,国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团(电信科学技术研究院)主办。
关键信息基础设正常运转,关系国家安全、经济发展、社会稳定,随着关键信息基础设施逐渐向网络化、泛在化、智能化发展,网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视,陆续出台了相关战略、规划、立法以及实施方案等,加大对关键信息基础设施的保护力度。近年来,随着我国网络强国战略的深化和实施,国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出,构建国家关键信息基础设施安全保障体系已迫在眉睫,是当前一项全局性、战略性任务。
2016年4月19日,总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。” 2016年8月12日,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号),要求“按照深化标准化工作改革方案要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日,全国人民代表大会常务委员会发布《中华人民共和国网络安全法》,明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。2016年12月15日,国务院印发《“十三五”国家信息化规划》(国发〔2016〕73号),明确提出要构建关键信息基础设施安全保障体系。2016年12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,要求“建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。”2017年7月10日,国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》公开征集意见。
目前国外主要国家对关键信息基础设施的保护起步较早,已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措,大力加强关键信息基础设施安全建设,不断提升网络安全保障能力。对于我国而言,一方面,我国在引进外国先进技术、加快产业更新换代的同时,部分关键核心技术和设备受制于他国,存在系统受控、信息泄露发 1
现滞后等隐患,也给关键信息基础设施各领域带来许多安全隐患问题。另一方面,我国关键信息基础设施保护工作起步较晚、发展较慢,缺乏针对性、指导性的标准体系,无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。1.2.编制目的
本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。1.3.主要工作过程 1、2014年,项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究:研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料,总结网络安全保障评价的相关方法、指标、规定和标准;研究新形势、新技术条件下我国网络安全保障工作面临的挑战,分析我国网络安全保障工作的新需求,对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结;在理论研究和实践调研的基础上,研究提出我国网络安全保障评价指标体系和评价方法。2、2014年12月-2015年6月,项目组赶赴电力、民航、电信、中国银行等相关行业(企业)进行调研。3、2015年1月-2015年7月,项目组根据项目要求开展了研讨会,针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。4、2015年1月-2015年9月,项目组与关键信息设施保护等进行工作对接。5、2015年1月-2015年7月,项目组进行了广泛研讨,并咨询了专家意见:2015年1月,对研究提出的网络安全保障评价指标体系的初步框架,召开专家咨询会,听取了崔书昆、李守鹏等专家的意见;2015年6月,召开专家会,听取了中国电信基于大数据的网络安全态势评价工作的介绍;2015年7月,召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状,与会专家对网络安全保障评价指标体系课题提出意见建议。6、2015年8月-2015年9月,与2015年网络安全检查工作、关键信息基础保护工作进行对接。7、2016年1月-2016年2月,与网络安全检查工作进行对接,采用指标体系对相关检查结果进行了统计测算,并撰写评价报告。8、2016年4月-2016年8月,针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结,进一步更新了指标体系。9、2016年9月-2017年2月,与关键信息设施检查办进行对接,对指标体系的实际应
用进行了深入讨论。10、2017年3月,项目组在草案初稿的基础上,召开行业专家会,形成草案修正稿。11、2017年4月,在全国信息安全标准化技术委员会2017年第一次工作组会议周上,项目组申请国家标准制定项目立项。12、2017年6月,“信息安全技术 关键信息基础设施安全保障指标体系”标准制定项目正式立项。13、2017年7月,项目组召开专家咨询会,听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、2017年7月,在全国信息安全标准化技术委员会WG7第二次全体会议上,项目组广泛听取专家意见,形成征求意见稿。1.4.承担单位
起草单位:大唐电信科技产业集团(电信科学技术研究院)
协作单位:国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。
本部分主要起草人:韩晓露 吕欣 李阳 毕钰 郭晓萧等。2.编制原则和主要内容 2.1.编制原则
为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础,在评价指标体系的设计及指标的选取过程中,主要遵循以下原则:
1、综合性原则
关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势,形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此,标准设计的首要原则是综合性。
2、科学适用性原则
关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则,把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完整的科学内涵。
适用性原则,就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面,满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异,尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于,最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。
3、导向性原则
评价的目的不是单纯评出名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确 的方向和目标发展,要引导我国关键信息基础设施安全的健康发展。
4、可操作性强原则
可操作性强直接关系到指标体系的落实与实施,包括数据的易获取性(具有一定的现实统计基础,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作,能够服务于我国涉密信息系统安全评价的)等方面。
5、定性定量结合原则
在众多指标中,有些因素是反映最终效果的定性指标,有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言,指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃部分与实施效果关系不大的非关键因素,并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上,定量分析反映在指标数据上。
6、可比性原则
可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准,是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2.主要内容
本标准概述了本标准各部分通用的基础性概念,给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于:评价我国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下:
前言 引言 1 范围 规范性引用文件 3 术语和定义 4 指标体系 5 指标释义
附录A(规范性附录)指标测量过程 参考文献
本标准主要贡献如下:
1、明确了标准的目标读者及其可能感兴趣的内容
指出标准主要由三个相互关联的部分组成:第1部分包括1-3节,描述了本标准的范围和所使用的术语与定义,对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释;第2部分为第4节,详细描述了关键信息基础设施安全保障指标体系的体系框架和指标;第3部分包括第5节和附录A,给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法,为体系的可操作性提供了保证。
2、给出了关键信息基础设施的概念
关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。
《中华人民共和国网络安全法》规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
《国家网络空间安全战略》规定:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。
3、指出关键信息基础设施安全保障评价围绕三个维度进行
关键信息基础设施安全保障评价围绕三个维度进行,即建设情况、运行能力和安全态势,并依据关键信息基础设施安全保障对象和内容进行分析和分解,一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。
4、给出了指标测量的一般过程
关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度,应用相应的测量方法得出测量值,并通过分析模型将测量值折算成指标值,最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。3.其他事项说明
a.在关键信息基础设施安全保障指标指标的体系建设和测量过程方面,试图使所提出的指标体系与测量过程具有一定的通用性,以便于指标体系的推广和扩展;
b.考虑到指标设计方面应用的可扩展性,在体系建设和测量过程之中,指标体系可以根据实际评价对象的特性做出相应的指标调整,以完善指标体系并得出合理公正的评价。
《信息安全技术 关键信息基础设施安全保障指标体系》标准编写组
【信息安全保障体系在渐进中成熟】推荐阅读:
信息安全保障体系07-11
信息系统安全保障体系08-24
企业信息安全保障08-26
网络信息安全保障策略06-01
电信网的信息安全保障06-21
信息安全技术体系05-15
构建立体信息安全体系10-19
公司信息安全体系构建06-12
信息安全管理体系08-01
构建信息安全防护体系10-30