当前位置 :  > 内容

关于加强信息安全保障体系的思考

来源:互联网 责编:大嘴 作者:沈昌祥院士 时间:2007-09-13

我国开展电子政务起步相对较晚,与国外先进国家相比,无论是在网络安全意识还是在网络安全防护技术等诸多方面都还存在不小的差距。就目前情况而言,我国各级政府部门在信息网络安全方面还处在一个相当薄弱的环节,因此重点保障网络安全已经成为开展电子政务的当务之急。本文即节选于沈昌祥院士演讲,着重强调了信息保障体系在国外的建设进展以及我国建设信息安全保障体系的迫切性。

  信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点。信息安全系统,可以说是信息系统的免疫系统:如果免疫系统不健全,整个系统将是无能的,甚至有害的。网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题。如果信息安全问题解决不好,将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战、信息恐怖和高度经济金融风险的威胁之中。

信息保障在国外

  世界各国信息安全领域的研究,已经从早期的通信保密到信息安全发展到目前的信息保障。

  美国:1998年5月22日,美国政府颁发了《保护美国关键基础设施》总统令(PDD-63)。围绕“信息保障”成立了多个组织,其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。

  1998年美国国家安全局(NSA)制定了《信息保障技术框架》(IATF),提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。

  2000年1月,美国发布了《保卫美国的计算机空间——保护信息系统的国家计划》。该计划分析了美国关键基础设施所面临的威胁,确定了计划的目标和范围,制定出联邦政府关键基础设施保护计划(其中包括民用机构的基础设施保护方案和国防部基础设施保护计划)以及私营部门、州和地方政府的关键基础设施保障框架。

  俄罗斯:1995年颁布了《联邦信息、信息化和信息保护法》,为提供高效益、高质量的信息保障创造条件,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。

  1997年,俄罗斯出台的《俄罗斯国家安全构想》明确提出:“保障国家安全应把保障经济安全放在第一位”,而“信息安全又是经济安全的重中之重”。

  2000年,普京总统批准了《国家信息安全学说》,明确了联邦信息安全建设的目的、任务、原则和主要内容。第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全首先要采取的措施等。

  日本:已经制定了国家信息通信技术发展战略,强调“信息安全保障是日本综合安全保障体系的核心”,出台了《21世纪信息通信构想》和《信息通信产业技术战略》

我国的迫切性

  党的十五届五中全会提出了大力推进国民经济和社会信息化的战略举措——“以信息化带动工业化,发挥后发优势,实现社会生产力的跨越式发展”。同时,要求强化信息网络安全保障体系。

  目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态。国防科技大学的一项研究表明,目前我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。

  当前的信息与网络安全研究,处于忙于封堵现有信息系统的安全漏洞阶段。要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。

  (整体安全策略的重要性从某市政府遭遇RedCode病毒事件可见一斑。这个事件,折射了国家很多地方的网络现状:一些机器缺乏安全意识,会导致整个系统被攻陷。2001年8月,RedCode病毒肆虐该市内部网。内部网几千台机器的操作系统、杀毒软件错综复杂,中毒机器数以千计,却没有一个统一的信息安全处理策略,导致内部网被中毒机器“疯狂”发送的数据包堵塞。不得以,该政府关闭了绝大多数子网,一个机器一个机器地治理,导致很多部门将近一周无法上网。)

如何加强信息保障体系

  信息系统的信息保障技术层面可以分为应用环境、应用区域边界、网络和电信传输、安全管理中心以及密码管理中心。

  在技术保障体系下,首先要建立国家信息安全保障基础设施,其中包括:建立国家重要的信息安全管理中心和密码管理中心;建立国家安全事件应急响应中心;建立数据备份和灾难恢复设施;在国家执法部门建立高技术刑事侦察队伍,提高对高技术犯罪的预防和侦破能力;建立国家信息安全认证认可机构。

  此外,要加快信息安全立法,建立信息安全法制体系,这样才能做到有法可依、有法必依。要建立国家信息安全组织管理体系,加强国家信息安全机构及职能,建立高效能的、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评估体系。要建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。

  沈昌祥院士:1965年毕业于浙江大学数学力学系应用数学专业。海军计算技术研究所高工,曾任该所副所长兼总工。在信息工程与计算机安全网络领域中,研制成功海陆兼容的信息处理系统,并主持研究计算机安全操作系统,取得了突破性的进展。主要著作有《实时系统软件设计初步》。1995年当选为中国工程院院士,现任中国工程院信息学部常委、国家信息化专家咨询委员会委员,在北京大学、中国科学院研究生院、海军工程大学等国内多所著名大学和研究单位担任博士生导师。