信息安全保障体系是实施信息安全保障的法制、组织管理和技术等层面有机结合的整体,是信息社会国家安全的基本组成部分,是保证国家信息化顺利进行的基础。 2011年3月,工业和信息化部组织“信息安全保障体系建设高级培训班”赴澳大利亚进行了为期20天的培训和考察。培训班由工业和信息化部、部直属单位、 部分省市工业和信息化主管部门以及国家发改委、中国人民银行、国家税务总局、中国保监会等部门负责信息安全的人员组成。通过课堂授课和现场交流访谈,我们 对澳大利亚网络与信息安全的法律法规、政策标准、组织管理等情况有了全面的了解。
制定国家信息安全战略
信息安全关系到国家安全,必须得到强有力的国家保障。
2009年11月23日,澳大利亚政府发布了《信息安全战略》。此份战略报告详细描述了澳大利亚政府将如何保护经济组织、关键基础设施、政府机构、企业 和家庭用户免受网络威胁。《信息安全战略》明确提出信息安全政策的目的是维护安全、恢复能力强和可信的电子运营环境,从而促进澳大利亚的国家安全并从数字 经济中最大限度地获取收益。
《信息安全战略》的指导原则包括以下几个方面:网络安全的复杂性要求强有力的国家保障;所有的用户应该采 取合理的步骤以确保其个人系统的安全,并且有义务尊重其他用户的信息和系统;在澳大利亚各级政府、私营部门和更广泛的澳大利亚社区间形成一种合作伙伴关系 是至关重要的;鉴于互联网的跨国界特点,澳大利亚必须在网络安全国际参与方面采取一种积极的、多层次的方式;所有接入互联网的系统都受到潜在的攻击威胁, 而且这种网络攻击难以侦查,因此必须采取基于风险的方法评估网络安全;澳大利亚必须推行网络安全政策,从而在保证澳大利亚人的隐私权及其他基本价值观和自 由不受侵犯的同时,加强个人及集体安全。
澳大利亚政府的信息安全战略目标主要是:让澳大利亚所有公民都意识到网络风险,确保其计算机 安全,并采取行动确保其身份信息、隐私和网上金融的安全。让澳大利亚企业能利用安全、灵活的信息和通信技术,确保自身操作和客户身份信息与隐私的完整性。 让澳大利亚政府能确保其信息与通信技术是安全的且对风险有抵抗力。
澳大利亚政府的信息安全战略保障重点包括:增强针对网络威胁的探 测、分析及应对,重点关注政府、关键基础设施和其他国家系统的利益。对澳大利亚公民提供相关教育,并提供相应的信息、信心和工具以确保其网络安全。与商业 伙伴合作,以促进基础设施、网络、产品和服务的安全与灵活性。保持政府ICT系统的最佳运行状态,包括与政府进行网上交易的系统。促进全球电子运作环境的 安全性、灵活性与可信度,以支持澳大利亚的国家利益。维护法律框架和执行力的有效性,从而确定并起诉网络犯罪。培养具有网络安全技能的人才,使之具备研发 能力以开发出创新的解决方案。
建设信息安全保障体系
法律法规、管理体制、技术手段等是保障信息安全的关键因素。
在澳大利亚信息化快速发展的同时,信息安全问题也不断出现,澳大利亚政府把信息安全问题放在重要位置,从法律法规、管理体制、技术手段等方面采取了很多切实有效的措施。
(一)健全法制,完善信息安全有关法规标准
澳大利亚政府及各部门制定了一系列与信息安全有关的法律、标准和指南,包括《电信传输法》、《反垃圾邮件法》、《数字保护法》、《信息安全手册》等。 2000年,澳政府发布信息安全风险管理指南,2001年,发布“保护国家信息基础设施政策”,即政府信息安全行动计划,对澳大利亚关键基础设施进行保 护。此外,澳大利亚标准局还制定和采纳了一系列信息安全标准,主要包括信息安全管理体系标准、澳大利亚和新西兰信息安全管理标准、澳大利亚联邦政府IT安 全手册、IT安全管理的信息技术指南等。政府部门都被要求遵循这些标准,执行情况由国家审计署进行审查。
(二)理顺体制,政府部门协调配合各有侧重
司法部负责政府信息安全保护的政策制定,国防部负责政府信息通信安全技术层面上的指导,政府各部门负责人负责本部门信息安全的保护,国家审计署负责各部 门信息安全保护的监督和审计。在各司其职的同时,澳大利亚还成立一些跨部门的委员会进行工作协调。在关键基础设施保护方面,由司法部下设的关键基础设施咨 询委员会负责协调通信、银行、金融、税收、交通、能源、卫生、食品、供水及应急设施等基础设施的信息安全防护;在防范网络恐怖袭击方面,澳大利亚成立了由 联邦警察局、安全情报局、国防部信号局和澳大利亚安全和投资委员会组成的国家反恐委员会,负责协调处理。
(三)突出重点,重视政府关键基础信息保护
澳大利亚在信息安全工作中贯彻重点防护的原则,即通过政策标准和政府支持,做好政府部门和国家关键基础设施的信息安全保障。澳大利亚安全情报局确定了通 信、银行、金融、税收、交通、能源、卫生、食品、供水及应急设施等为国家关键基础设施。澳大利亚的国家关键基础设施均是私营的,关键基础设施的安全由运营 公司负责,澳大利亚在政府信息安全行动计划中提出依靠私营部门来保护国家关键基础设施的策略。
(四)加强教育,增强全民信息安全保护意识
澳政府重视全民信息安全意识的建立,将提高中小企业和家庭用户信息安全防护能力列入政府信息安全行动计划,并在宣传、培训方面予以经费支持。如通过培训提高安全意识,安装反病毒软件并进行更新,安装防火墙防止非法入侵,提醒企业和市民不要打开有害邮件等。
(五)培养人才,建立安全专门人才认证体系
近年来,澳大利亚信息安全人才的需求不断上升,但供给短缺。针对该问题,澳政府在IT教育学科中增加信息安全教育课程,协助建立信息安全专业人员认证体 系。目前,在澳大利亚普遍采用的主要有6种商业认证项目,分别是信息系统安全专业人员认证、系统安全专业认证、全球信息保证认证、信息安全认证审计师、信 息安全工程师和安全工程师。
(六)重视测评,完善信息产品测评认证体系
澳大利亚坚持预防为主的原则,认为外国的 软件、硬件中可能留有“后门缺陷”,要求在购买IT产品和安全系统时进行严格审查。1994年,引入信息产品测评认证制度。1995年前,信息产品的有关 测评工作均由国防部信号局完成,1995年以后,该项工作委托给信息安全测评实验室(独立第三方),国防部对测评机构和测评人员进行严格管理。