曲成义 信息安全的理解和全局对策
来源:IT专家网 更新时间:2012-04-14

 

    信息安全的理解和全局对策   访国家信息化专家咨询委员会委员曲成义研究员

  面对信息化的高速发展,信息安全面临着极其严峻的形势。为此我们ZDNet安全频道采访了国家信息化专家咨询委员会曲成义老师,曲成义老师对信息安全的认识和应采取的对策作了精辟的概述,下面就让我们来分享一下他的见解:

  信息安全的理解和全局对策

  国家信息化专家咨询委员会 曲成义老师

  (一) 要重视“信息安全”的四大特征和难点

  1、 被“信息安全”保护的对象(网络信息系统)是一个“复杂巨系统”,它包括了大量的软件和硬件的IT产品;一个跨部门和跨地的网络通信系统;一套组织管理和标准规范的机制;一个机房、电力和安保的物理环境;一批运维、管理和应用的人群;大量珍贵和敏感的信息资源。这些都与部门业务紧密耦合,运作协调机制复杂。要保护这个“复杂巨系统”的安全,使其保证部门业务的可持续性,就带来了巨大的艰巨性。

  2、 社会正在对“网络信息系统”形成强烈的依赖,信息安全使命艰巨。随着信息化的快速发展,信息化已快速融入到政治、经济、文化、军事、社会的各个领域,如电子政务、电子商务、数字企业、数字社区、远程教育、网络银行等,使整个社会对网络信息系统形成了强烈的依赖,如果由于信息安全原因,使系统瘫痪不能提供服务,给社会造成的影响将是严重的,一些重要领域想恢复原手工操作模式已成为不可能,这种严重后果必须要有清醒的认识。

  3、 信息安全是一种高技术的对抗。

  信息安全的威胁方(黑客、病毒、间谍软件……)正在利用高技术手段,对网络信息系统实施侵入、干扰、窃取和破坏,而其使用的的高技术手段不断花样翻新和日新月异,如“病毒”利用系统的漏洞侵入和泛滥,十年前从寻找漏洞到病毒入侵系统和泛滥,需要几个月或一年的时间,而现在可能只需要一天,即称为“零日攻击”。“间谍软件”潜入系统窃密途径,DDOS拒决服务攻击方式等都在快速的利用高技术手段,因此防护者也必需要采用高技术手段,要高于它才能奏效,对于这场高技术对抗的艰巨性必须要有充份的认识。

  4、 信息安全的攻守双方严重的不对称,易攻难守。

  网络信息系统是在为全社会各领域提供信息及其服务,其大部分资源和服务是暴露在明处,而攻击者是在暗处,它较易捕捉你的弱点,伺机侵入、潜伏、窃取和破坏,使信息安全保护者处于被动地位。

  (二)、认真落实信息安全的重要使命

  信息安全要创建“四种能力”:

  1、构建完善的信息安全基础设施,为信息安全提供公共的支撑能力。如建立由数字认证、安全测评、网络监控、事件通报、应急支援、灾难恢复、舆情治理等信息安全基础支撑平台和支撑体系。

  2、提升信息安全的防护与对抗能力。信息安全的攻与防是一个过程,要从预警、监测、防护、恢复、反击等过程中各个环节都要采取有效的对抗手段,才能奏效。

  3、建立应对网络突发灾难事件的应急和容灾能力。当网络突然灾难事件来临时,要启动应急预警,采取灾难恢复机制,即使在全系统毁灭的情况下,也能在异地即时恢复信息系统的使命,保持业务的可持续性。

  4、强化信息安全管理可控能力。鉴于信息系统的复杂性和使用行为的多样性,可靠技术手段是不能完全奏效的,必须要动用管理可控手段,双管齐下,所以信息安全的对策是技术与管理手段并用。

  信息安全要保障信息及其服务具有“6性”:

  信息的“保密性”、信息的“完整性”、系统及服务的“可用性”、信息内容及立体行为的“可核查性”、主客体身份的“真实性”,主体行为和信息内容的“可控性”。

  (三) 、果断推进,信息安全的全局对策

  1、 落实信息安全的等级保护制度

  认真落实国家的相关信息安全的等级保护制度文件,根据网络信息系统使命的重要性,信息系统资产价值和对社会的影响程度,确定信息系统相应的安全等级,其目的是在信息安全投入(资金、人力、资产……)与系统所能承受最小风险之间找一个科学的平衡点,保护国家、社会和业主的最大利益。

  2、 构建网络信息系统的“信息安全保障体系”

  根据信息系统的安全等级,依据国家已发布的相关标准和规范,构建或者调整网络信息系统的信息安全保障体系,在信息安全保障体系建设或调整中,在作好信息系统安全需求分析的基础上,要重点抓好:①、网络纵深防御体系的设计,安全域的科学划分和安全边界的有效隔离。②、网络动态防护机制设计,安全机制能在安全对抗的全生命周期过程中有效协同和对抗。③、建设好基于密码技术的网络信任体系,包括身份认证,授权管理和责任认定。④、强化内部审计,从网络级、数据库级、系统级、主机级和介质级的全局审计入手,并逐渐使审计点前移。⑤、建设好信息系统的“信息安全管理体系”(ISMS),遵从PDCA模型,不断优化ISMS。

  3、 抓好信息安全测评的风险评估工作

  鉴于网络信息系统是一个“复杂巨系统”,其信息安全检测与风险评估就是一项“系统工程”,在重视培育自评估能力的同时,要重点通过专业的第三方(行政检查评估或服务委托评估),即时发现隐患,采取对策,调整系统,提升强度,与所确定的安全等级相匹配。

  4、 重视应急预案建立与灾难恢复系统建设

  国家已发布了网络信息系统应急与预案的相关文件,以健全在网络突发事件中网络信息系统的应急对策,提升系统的应急能力。作力应急恢复的最后一道防线,要对“灾难恢复”即早作好准备,有备无患。国家已出台了有关灾难恢复的相关文件和标准规范,在认真作好需求分析的基础上制定好应急预案,建设好灾难恢复系统,以保障系统业务的可持续能力。

  总 结

  曲老师站在全局的高度,深刻的剖析了信息安全的特征和难点,点出了信息安全的重要使命,并从信息安全的顶层设计出发,总结出四项全局对策,值得我们认真品味和思索。曲老师认为:信息安全的最终目标,就是要使信息化更安全的融入到社会各行业和各领域中去,以保障国家信息化更健康快速的发展,推进国家的兴旺与强大。