长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,管理已成为信息安全保障能力的重要基础。
一、我国信息安全管理的现状
(1)初步建成了国家信息安全组织保障体系
国务院信息办专门成立了网络与信息安全领导小组,成员有信息产业部、公安部、国家保密局、国家密码管理会员会、国家安全部等强力部门,各省、市、自治州也设立了相应的管理机构。2003年7月,国务院信息化领导小组第三次会议上专题讨论并通过了《关于加强信息安全保障工作的意见》, 同年9月,中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(2003[27]号文件)。27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针。
2003年7月成立了国家计算机网络应急技术处理协调中心(简称CNCERT/CC),专门负责收集、汇总、核实、发布权威性的应急处理信息、为国家重要部门提供应急处理服务、协调全国的CERT组织共同处理大规模网络安全事件、对全国范围内计算机应急处理有关的数据进行统计、根据当前情况提出相应的对策、与其他国家和地区的CERT进行交流。目前已经在全国各地建立了31个分中心,并授权公共互联网应急处理国家级服务试点单位10家、公共互联网应急处理省级服务试点单位20家,还有国内的10家骨干互联网运营企业成立自己的应急处理中心(CERT),这10家互联网运营企业与中国数千家的ISP、个人用户和企业用户,成为了CNCERT/CC的主要联系成员,由此形成了一个立体交错的应急体系,形成了信息上下畅通传递的通报制度。
2001年5月成立了中国信息安全产品测评认证中心(简称CNITSEC),代表国家开展信息安全测评认证工作的职能机构,依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系。负责对国内外信息安全产品和信息技术进行测评和认证、 对国内信息系统和工程进行安全性评估和认证、 对提供信息安全服务的组织和单位进行评估和认证、 对信息安全专业人员的资质进行评估和认证。目前建有上海、东北、西南、华中、华北五个授权评认证中心机构和两个系统安全与测评技术实验室 。
(2) 制定和引进了一批重要的信息安全管理标准
为了更好地推进我国信息安全管理工作,公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》,并引进了国际上著名的《ISO 17799:2000:信息安全管理实施准则》、《BS 7799-2:2002:信息安全管理体系实施规范》、《ISO/IEC 15408:1999(GB/T 18336:2001)-信息技术安全性评估准则 》、《SSE-CMM:系统安全工程能力成熟度模型》等信息安全管理标准。信息安全标准化委会设置了10个工作组,其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。
(3) 制定了一系列必须的信息安全管理的法律法规
从上世纪九十年代初起,为配合信息安全管理的需要,国家、相关部门、行业和地方政府相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《软件产品管理办法》、《电信网间互联管理暂行规定》、《电子签名法》等有关信息安全管理的法律法规文件。
(4) 信息安全风险评估工作已经得到重视和开展
风险评估是信息安全管理的核心工作之一。2003年7月,国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作,国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风险评估试点工作,国家其它关键行业或系统(如电力、电信、银行等)也将陆续开展这方面的工作。
二、 我国信息安全管理目前存在的一些问题
1、信息安全管理现状仍还比较混乱,缺乏一个国家层面上的整体策略。实际管理力度不够, 政策的执行和监督力度不够。部分规定过分强调部门的自身特点,而忽略了在国际政治经济的大环境下体现中国的特色。 部分规定没有准确地区分技术、管理和法制之间的关系,以管代法,用行政管技术的做法仍较普遍,造成制度的可操作性较差。
2、具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序以及相关资源等要素的信息安全管理体系还未建立起来。
3、具有我国特点的信息安全风险评估标准体系还有待完善,信息安全的需求难以确定,要保护的对象和边界难以确定,缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。
4、信息安全意识缺乏,普遍存在重产品、轻服务,重技术、轻管理的思想。
5、专项经费投入不足,管理人才极度缺乏,基础理论研究和关键技术薄弱,严重依赖国外,对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。
6、技术创新不够,信息安全管理产品水平和质量不高,尤其是以集中配置、集中管理、状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还很落后。
7、缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构,致使我国现有的一些信息安全管理方面的法律法规,法阶层次不高,真正的法律少,行政规章多,结构不合理,不成体系;执法主体不明确,多头管理,政出多门、各行其是,规则冲突,缺乏可操作性,执行难度较大,有法难依;数量上不够,内容上不完善,制定周期太长,时间上滞后,往往无法可依;监督力度不够,有法不依、执法不严;缺乏专门的信息安全基本大法,如信息安全法和电子商务法等;缺乏民事法方面的立法,如互联网隐私法、互联网名誉权、网络版权保护法等;公民的法律意识较差,执法队伍薄弱,人才匮乏。
8、我国自己制定的信息安全管理标准太少,大多沿用国际标准。在标准的实施过程中,缺乏必要的国家监督管理机制和法律保护,致使有标准企业或用户可以不执行,而执行过程中出现的问题得不到及时、妥善解决。
三、对我国信息安全管理的一些对策
(1)在领导体系方面,建议建立 “国家信息安全委员会”,作为国家机构和地方政府以及私营部门之间合作的主要联络人和推动者,负责对跨部门保护工作做全面协调,尽快建立具有信息安全防护能力、隐患发现能力、网络应急反应能力和信息对抗能力的国家信息安全保障体系。
(2)以开放、发展、积极防御的方式取代过去的以封堵、隔离、被动防御为主的方式,狠抓内网的用户管理、行为管理、内容控制和应用管理以及存储管理,坚持“多层保护,主动防护”的方针。加强信息安全策略的研究、制定和执行工作。国家信息安全主管部门和标准委员会应该为组织制定信息安全策略提供标准支持,保证组织能够以很低的费用制定出专业化的信息安全策略,提高我国的整体信息安全管理水平。
(3)进一步完善国家互联网应急响应管理体系的建设,实现全国范围内的统一指挥和分工协作,全面提高预案制定水平和处理能力。在建立象SARS一样的信息分级汇报制度的同时,在现有公安系统中建立一支象现在的“110”和“119”一样的“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。对关键设施或系统制定好应急预案,并定期更新和测试信息安全应急预案。
(4)加快信息安全立法和实施监督工作,建议成立一个统一、权威、专门的信息安全立法组织与管理机构,对我国信息法律体系进行全面规划、设计与实施监督与协调,加快具有我国特点的信息安全法律体系的建设,并按信息安全的要求修补已颁布的各项法律法规。尽快制定出信息安全基本法和针对青少年的网上保护法以及政府信息公开条例等政策法规。尤其是为配合《电子签名法》的实施和落实《国务院办公厅关于加快电子商务发展的若干意见》,应抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,尽快提出制定相关法律法规;推动网络仲裁、网络公证等法律服务与保障体系的建设。
(5)加快信息安全标准化的制定和实施工作,尽早制定出基于ISO/IEC 17799国际标准的、并适合我国的信息安全管理标准体系,尤其是建立与完善信息安全风险评估规范标准和管理机制,对国家一些关键基础设施和重要信息系统,如经济、科技、统计、银行、铁路、民航、海关等,要依法按国家标准实行定期的自评估和强制性检查评估。
(6)坚持“防内为主,内外兼防”的方针,通过各种会议、网站、广播 电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强组织或企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。在国家关键部门和企事业单位中,明确地指定信息安全工作的责职,建议由党政一把手作为本单位信息安全工作责任人,在条件允许的企业里增设CSO(首席安全官)职位,形成纵向到底、横向到边的领导管理体制。
(7)建议政府制定优惠政策,设立信息安全管理专项基金,鼓励风险投资,提高信息安全综合管理平台、管理工具、网络取证、事故恢复等关键技术的自主研究能力与产品开发水平。
(8)重视和加强信息安全等级保护工作,对重要信息安全产品实行强制性认证,特定领域用户必须明确采购通过认证的信息安全产品。
(9)加强信息安全管理人才与执法队伍的建设工作,特别是加大既懂技术又懂管理的复合型人才的培养力度。
(10) 加大国际合作力度,尤其在标准、技术和取证以及应急响应等方面的国际交流、协作与配合。