公共安全 >>网络安全

政企合围信息安全
来源:中国电子报 更新时间:2012-04-13

 据统计,2002年~2005年,我国有关部门接到的网络安全事件报告从1761件猛增到123473件,日均超过338件。去年,监测到的我国被篡改网站总数达到1.3万多个。更为严重的是,传统的病毒、垃圾邮件还在出没,危害更大的间谍软件、“网络钓鱼”等又不断出现,信息安全越来越难以得到保障。

面对日渐严峻的信息安全形势,政府出台了一系列的法律法规从制度层面对信息安全体系建设做出了整体性的安排,并且重点推进以电子认证为基础的网络信任体系建设和信息安全等级保护制度建设。

为了把制度落实到具体的应用之中,企业还应当根据市场实际需求做出相应调整。只有政企合力,才能把信息安全体系建设真正落到实处。

政府提供制度保障

对于处于信息安全基础设施地位的网络信任体系,国家有关机构相继出台了《中华人民共和国电子签名法》和《电子认证服务管理办法》等规章制度,旨在建立一个以电子认证为基础的网络信任体系。

信息产业部信息化推进司王宏处长指出了政府在网络信任体系建设中的主要关注点:首先是现在电子认证应用相对滞后,19家信息产业部批准的电子认证服务机构的服务能力没有被充分利用起来,需要加强对已有资源的利用,做到服务和资源共享,重点推进应用;其次是要加强对电子认证服务的管理,提高电子认证服务质量和可信度。

为了把有限的资源用在最急缺的地方,我国还积极推进信息安全等级保护制度,把不同信息系统分成不同安全级别,然后严格按照安全级别所规定的要求,建立相应的信息安全保护系统,从事信息活动,以最大限度,避免系统安全漏洞和低级庸俗内容带来的信息安全风险。

公安部公共信息网络安全监察局张俊兵处长说:“信息安全等级保护是一个全方位的工作。在等级安全保护体系建设中,需要落实管理责任,落实保护技术,让信息安全系统不仅有技术的保障,也有制度的保障。对于三级或者三级以上的涉密系统,公安部要进行监管,保持一定频率的检查。今年将加快推进信息安全等级安全保护试点工作。”

卫士通信息产业股份有限公司吴鸿钟副总工程师认为,等级安全保护政策是我国信息安全领域的一项基本政策。它的核心是将传统的定性设计逐步进化为定量的安全保障设计,对信息系统实施不同等级的安全保护,体现的是差异化的安全保障思想,节约了信息安全系统建设成本。

政府根据实际需求和安全技术发展趋势,对信息安全技术总体发展方向做出了规划。国家863计划信息安全专家组组长冯登国说:“根据国家整体信息安全规划,‘十一五’期间,要结合国际学科发展前沿,立足国家对网络基础设施和重要信息系统的安全保障需求,重点研究开发国家基础信息网络和重要信息系统中的安全保障技术,开发复杂大系统下的网络生存、主动实时防护、安全存储、网络病毒防范、恶意攻击防范、网络信任体系与新的密码技术等。”

企业推动市场应用

好的制度最后还要落实到执行,信息安全企业把国家的信息安全制度体系和市场应用衔接了起来,让纸上的制度切实变成了保障信息安全的“藩篱”。

面对电子认证应用滞后的现实,电子认证机构要从强化客户投资回报出发,让客户能见到实实在在的价值,这样才能推进电子认证服务的发展。北京数字证书认证中心总经理助理林雪焰说:“在可销售汽车无纸化网上审批的项目中,电子认证服务解决方案通过引入基于数字证书的电子签章机制,优化了网上审批流程,既保证了检测书来源的可信性及文件内容的完整性,又避免了用户繁琐手工操作,真正提高了办事效率,为审批机构和送审单位带来了投资回报。总的来说,成功电子认证服务需要随需应变的解决方案、全面的证书应用产品和可信规范的运营。”

国家的等级保护标准主要是从“单个系统”出发,但实际工作是从组织整体出发,需要整体考虑所有系统。北京天融信网络安全技术有限公司安全服务总监田野表示:“如果各系统单独保护,将引发冲突和割裂,形成信息孤岛。各安全系统单独建设,将造成安全系统的建设分散、重复和低水平。针对这些问题,需要从组织整体出发,综合考核所有系统,引入体系设计方法,准确地进行大系统的分解和描述,反映实际特性和差异性安全要求。统一规划,集中建设,避免重复和分散,降低成本,提高建设水平。”

卫士通信息产业股份有限公司副总工程师吴鸿钟认为,在等级保护工程实践中还要注意信息系统的划分,因为过大的划分不利于对信息进行有针对性的保护。信息系统的划分可以从安全区域、业务系统和保护对象三个不同角度进行。

在等级系统建设过程中还要注意建立长效机制,建立可持续运行、发展和完善的安全保障体系。同时为了减少管理难度和管理成本,需要引入高水平、自动化的安全管理工具。

为了让信息安全体系更加可靠,加强内部管理也必不可少。“信息安全系统是三分技术,七分管理。”北京飞天诚信科技有限公司研发总监于华章对信息安全系统作出了这样的评价。他这样说的依据是有超过85%的安全威胁来自内部,内部人员或者内外勾结造成的泄密损失,是黑客所造成损失的16倍,病毒所造成损失的12倍,而且还呈不断上升的趋势。

国际上对内部信息安全威胁也非常重视,萨班斯-奥克斯利法案、巴塞尔协议、ISO27000系列(7799系列)等都对内部风险控制做出了规定,我们在建设自己的信息安全系统的规划阶段应该把内部安全控制也考虑进去,防止“堡垒往往从内部攻克”的现象出现。
 



关于我们  |  广告服务  |  联系我们  |  网站声明  |  意见反馈  |  快递查询
Copyright 2007-2014 e-gov.org.cn All Rights Reserved

京ICP备 09086746号-1