中国工程院院士方滨兴
“作为国家信息安全保障体系来讲,其包括积极防御、综合防范等多个方面的多个原则。因此,要建立和完善信息安全等级保护制度就要加强和建设多个层面。”中国工程院院士方滨兴指出,当前国家信息安全的保障体系需要围绕以下细节全面建设,具体为:要加强密码技术的开发与应用、建设网络信息安全体系、加强网络信息安全风险评估工作、建设和完善信息安全监控体系、高度重视信息安全应急处置工作、重视灾难备份建设。
当然了,要增强国家信息安全保障能力,还必须要掌握核心安全技术。此外还包括能力,如信息安全的法律保障能力、基础支撑能力等等。
简而言之,方院士称:“我们国家的信息安全保障体系可以从五个层面解读,又可以称之为‘一二三四五国家信息安全保障体系’”。
方院士的解读具体如下:
一,即一个机制,就是要维护国家信息安全的长效机制。
二,是指两个原则:第一个原则是积极预防、综合防范;第二个原则是立足国情,优化配置。
三,是指三个要素:人、管理、技术。
四,是指四种能力:核心技术能力、法律保障能力、基础支撑能力、舆情宣传和驾驭能力、国际信息安全的影响力。显然,在国际的信息安全斗争或对抗中,只有这几方面的能力具备了才能占有优势地位,当然这背后实际上需要做很多的工作。
五,是指五项主要的技术工作:风险评估与等级保护、监控系统、密码技术与网络信任体系、应急机制、灾备。
一、一个机制
所谓的一个机制,是说机制一定是一个完善长效的机制,一方面是在组织协调性上,另一方面是在支撑力度上。这需要宏观层面,包括主管部门予以支持。
二、两个原则
第一个原则是积极防御、综合防范。不难理解,综合是表现在整个产业的协调发展,也就是说网络信息安全与信息化的关系。在这个里面,积极当然有多种含义,虽然我们并不提倡主动攻击,但是掌握攻击技术是信息对抗所需要的。但是值得注意的是,真正的积极是指一旦出现一个新的技术,我们就立即要想到研究这个新技术会带来什么安全性问题,以及这样的安全性问题该怎么办?比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较容易扩散,再比如说Ipv6出来之后,入侵检测就没有意义了,因为协议都看不懂还检测什么……所以说这些信息化新技术的出现同时也都呼唤新的安全技术。
另外技术解决不了的还得靠管理,比如说等级保护,当然等级保护主要是面向政府部门的。那么反过来管理做不了的也得靠技术,你说有病毒,光嘴上说不行,还得有技术防范。再有就是强调了核心保障。
第二个原则是立足国情,这里面主要是强调综合平衡安全成本与风险,如果风险不大就没有必要花太大的安全成本来做。在这里面需要强调一点就是确保重点的,如等级保护就是根据信息系统的重要性来定级,从而施加适当强度的保护。此外,当你在发展的时候必须要考虑到涉及到安全问题的时候该怎么办,但你做安全也是为了促进发展,而不是说限制发展,所以尽管我们现在觉得需要物理隔离的方式,但同时也在研究一系列的技术来替代这么一个简单的方式,这个就是国情的需要。
三、三个要素
三个要素包括人、管理、技术。
从人才角度来说强调了两个方面,一个方面是培养,培养你的人、才、水平,那么包括学历教育、研究、以及学科层面,无论是培养研究生还是其他研究人才,都和社会服务人才不一样。再有就是培训和网络教育。还有加强信息安全宣传工作和网络文明建设,也都需要相关的支持,基本上跟信息相关的底下都有这个。此外,就是论坛、媒体的努力。当然,吸引和用好高素质的信息安全管理和技术人才的机制也很有有用。