信息安全的定義
黨的十六屆四中全會,把信息安全和政治安全、經濟安全、文化安全、國防安全並列為國家安全的五大範疇,信息安全的重要性被提升到一個空前的戰略高度。信息安全已成為國家安全的基石。
狹義的信息安全一般是指信息自身的安全問題,指信息狀態安全措施和信息狀態轉移安全,主要包括信息的機密性、完整性、可用性、可控性及可靠性五個方麵,實質是保證信息係統及信息網絡中的信息資源不因自然或人為的因素而遭到破壞、更改、泄露和非法占用。
廣義的信息安全一般主要是指信息係統不受外來的威脅與侵害,以維持國家政治、經濟、科技、軍事、文化、社會生活等係統不受內外環境威脅、幹擾、破壞而正常運行的狀態。廣義的概念涵蓋了國家安全中的各個要素,包括經濟、政治、科技、軍事、思想文化、社會穩定、生態環境等各個領域,是一個複雜全麵的綜合性係統。
影響因素
一、網絡攻擊
近幾年來,計算機病毒、網絡黑客、垃圾郵件等的攻擊日趨頻繁和激烈,對中國信息安全的威脅日益嚴重,影響了經濟效益和社會效益。其中,計算機病毒每年攻擊次數年均遞增20%以上,產生新病毒數年均增加2倍以上;網絡黑客攻擊次數年均遞增10%以上,接近西方發達國家的水平;接受垃圾郵件件數年均遞增50%以上,造成了嚴重的經濟損失。
二、軟件漏洞
由於軟件程序的複雜性和編程的多樣性,在網絡信息係統的軟件中很容易有意或無意地留下一些不易被發現的安全漏洞。軟件漏洞主要包括:陷門、操作係統安全漏洞、數據庫的安全漏洞、TCP/IP協議的安全漏洞、網絡軟件與網絡服務的漏洞和口令設置的漏洞。
三、人為因素與自然災害
隨著計算機技術、信息通訊技術和製造技術的迅猛發展,社會經濟生活發生了顯著的變化,信息已經從過去普通的知識形態轉變成關係產業升級的重要戰略資源,信息技術及其產業一躍成為當今世界經濟與社會發展的主要驅動力。在目前以及以後較長一段時期,對中國信息安全構成威脅的因素很多,除了網絡攻擊和軟件漏洞,人為因素和自然災害也是不容忽視的威脅因素。這些因素包括:人為過失、知識產權的損害、服務問題、研發和管理落後、自然災害等。
存在問題
一、基礎信息技術嚴重依賴國外,並引發係列危機
中國信息安全的根本問題或最大隱患就在於缺乏大量的核心技術。目前構成中國信息基礎設施的網絡、硬件、軟件等產品幾乎完全建立在外國的核心信息技術之上,這勢必使我國IT產業的關鍵部分受製於外人。
二、信息安全意識淡薄,信息安全的防護能力較弱
出於信息化水平的差異和宣傳力度的不夠,有不少國人對我國信息安全認識模糊,處在居危思安的狀態中。我國在信息網絡安全問題上普遍存在著模糊認識,“重發展、輕管理”的思想比較嚴重,保護信息安全意識的缺乏也引發了對信息安全的研究開發、產業發展、人才培養、隊伍建設等重視不夠。
三、網絡安全形勢日益嚴峻
蠕蟲、木馬、間諜軟件等惡意代碼在網上的傳播和活動仍然頻繁,僵屍網絡嚴重威脅著網絡安全,其破壞行為往往比傳統的方式危害更大、更難防範。
四、信息產業化和規模化水平、技術含量有待進一步提高
在信息安全產業規模和產品研發均取得長足進步的同時,綜觀國內信息安全市場,仍看到不少問題。此外,信息安全產業政策、信息安全產品相關采購與裝備政策的支持不夠,因經濟基礎相對薄弱而對信息核心和關鍵技術及安全產品的開發生產上缺乏必要的資金投入等。
五、信息安全管理體製不夠健全,配套法律法規和政策製度不完善
由於國家在信息安全問題上缺乏一個具有最高權威的統一機構,缺乏一個與國家信息化進程相一致的國家級信息安全工程規劃,缺乏一個有效的通報渠道,相關管理機構間缺少充分的溝通和協調,致使我國的信息安全特別是在經濟領域的安全管理出現條塊分割、相互隔離、各行其是、協作鬆散的局麵,極大地妨礙了國家有關法規的貫徹執行,進而也難以防範境外情報機構和黑客的攻擊。
信息安全風險評估
信息安全的風險評估主要是針對信息以及信息處理係統,從內因(資產、脆弱性、已有控製)和外因(威脅、安全)兩方麵綜合判斷其麵臨的風險。信息安全風險評估的總體目標是認清信息安全環境、信息安全狀況,有助於達成共識,明確責任,采取或完善安全保障措施,使其更加經濟有效,並使信息安全策略保持一致性和持續性。
一、風險評估標準
信息安全風險評估離不開評估標準,目前,國際和國內流行標準有:CC、GB/T 18336、BS 7799、SSE-CMM、ISO/IEC TR 13335、GAO/AMD-99-139、N IST SP800-30 IT係統風險管理指南、OCTAVE方法、《信息安全風險評估指南》等。
二、風險評估方法與工具
為了進行信息安全風險評估,多種信息安全評估方法和工具被開發出來並在實踐中應用,選擇好的風險評估方法和工具,可起到事半功倍的效果。
第一,風險評估方法。在風險評估過程中,可以采用多種操作方法,包括基於知識(Knowledge-based)的分析方法、基於模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,無論何種方法,共同的目標都是找出組織信息資產麵臨的風險及其影響,以及目前安全水平與組織安全需求之間的差距。
第二,風險評估工具。風險評估工具包括輔助性工具(調查問卷、檢查列表、人員訪談、漏洞掃描器、滲透測試等),自動化風險評估工具等(COBRA、CRAMM、ASSET、CORA)。
第三,風險評估流程。信息安全風險評估的主要流程主要分為風險評估準備、資產識別、信息資產分類、信息資產評估、按照重要性列出資產、威脅識別、弱點識別和風險分析八個階段。
化解信息安全風險的辦法
一、製度建構
保障信息安全的關鍵在於有一套完善適應的管理製度。當前我國信息安全管理製度建設重點就是要抓緊建立信息安全等級保護製度,製定信息安全等級保護的管理辦法,同時按照等級保護的要求建設安全信息係統。
第一,理順信息安全領導機製
首先,克服我國當前信息安全領導管理存在的突出問題,如體製不適、規章不一、法不完善、隊伍不穩、教育脫節等;其次,加快建立健全信息安全領導和管理體製;最後,在戰略層麵上,確定中國國家信息安全保障的戰略目標、指導方針、基本原則和基本製度。
第二,完善信息安全管理標準
信息安全等級保護製度是采用分等級保護的方法實現對信息係統的安全保護,即實現國家信息安全的目標。
在等級保護製度下,信息安全的各項工作主要包括:建立等級保護相關法律法規和政策體係;健全等級保護相關技術標準和管理標準;嚴格等級保護相關技術標準和管理標準;加快等級保護相關安全技術和產品的研究和開發;規範等級保護相關安全產品的測試和管理;按等級保護要求建設安全信息係統;按等級保護要求對安全信息係統進行測試;按等級保護要求對安全信息係統的運行進行控製;按等級保護要求對安全信息係統進行監督管理。
第三,建立信息安全應急體係
要完善網絡信息安全應急機製的理論基礎;建立網絡信息安全應急機製的安全、經濟、發展價值目標;建立信息安全應急體係框架;發揮應急組織的作用。
二、法製保障
我國在構建信息安全法律網絡的過程中,立法理念也在不斷地完善和發展,從借鑒國外的信息安全立法經驗開始,在實踐中探索,形成了具有我國特色的信息安全立法理念。
第一,中國信息安全法製建設的特點
首先,信息安全法律法規體係初步形成,目前我國現行法律法規及規章中,與信息安全直接相關的有六十多部;其次,與信息安全相關的司法和行政管理體係迅速完善;再次,目前法律規定中法律少而規章偏多,缺乏信息安全的基本法;最後,與信息安全相關的其他法律有待完善。
第二,中國信息安全法製建設的對策
一是及時更新信息立法觀念,加快信息化立法步伐。二是加強信息立法的理論研究,促進信息化立法工作。三是借鑒發達國家信息立法成果,結合國情積極移植國外信息法規。四是建立健全信息法製建設的反饋機製,保證國家信息法規的動態平衡。五是盡快製定中國信息化基本法,逐步構建完善信息化法律體係。六是確立我國信息化法律建設的重點。
三、技術支持
在信息化已經與國家生活融為一體的今天,作為信息技術的子項,信息安全技術在保證國家主權、政治和經濟安全、社會穩定中,發揮著關鍵的作用。加強自主創新,發展自主可控的信息安全核心技術,一直是國家關注和重視的焦點。
第一,信息安全常用技術發展狀況
在信息基礎設施和信息應用發達的國家,信息安全保障一般是按政府和軍方兩條路線進行,政府側重於在國家信息基礎設施的安全保障上,軍方則側重於在信息戰的防禦與進攻上,二者既有分工又有合作,相輔相成。美國、歐洲、日本、加拿大、澳大利亞等發達國家和地區采用的信息安全技術主要包括:防火牆技術、信息加密技術、身份認證技術、入侵檢測係統(IDS)、網絡防病毒技術、係統容災技術等。
第二,中國信息安全技術發展狀況
中國信息安全技術研究經曆了通信保密、計算機數據保護兩個階段,正在進入網絡信息安全技術的研究發展階段。國家高度重視信息安全技術的研究和發展,國家863計劃實施以來,中國在信息安全領域取得了一定的成就。如Linux安全增強技術、虛擬專網安全技術研究、網絡安全物理隔離技術、其他信息安全技術等。
第三,信息安全技術發展前瞻
目前,信息安全技術的發展呈現出以下趨勢:信息安全技術由單一安全產品向安全管理平台轉變;信息安全技術發展從靜態、被動向動態、主動方向轉變;信息安全防護從基於特征向基於行為轉變;內部網信息安全極速得到重視和發展;信息安全機製構造趨向組件化;信息安全管理由粗放型向量化型轉變;軟件安全日趨重要,其安全工程方法及相關產品將會快速發展;麵向SOA的安全相關技術和產品將會快速發展。
四、國際借鑒
信息安全問題是一個必須通過開展長期、廣泛和深入的國際合作,包括各國政府、國際組織、民間團體、私營企業和個人之間的充分合作,才有可能解決國際安全問題。對我國來說,要在維護信息安全方麵進行國際合作,就必須了解其他國家信息安全的有關做法,並積極借鑒其先進成果,一方麵迅速提高我國的信息安全管理水平,另一方麵為做好國際合作打下堅實的基礎。
國外信息安全法製建設的經驗包括:通過專門法律,消除現行法律適用的技術障礙;通過專門法律,解決網絡時代出現的新問題;確保電子合同的效力,促進電子商務的發展;規範網上信息發布、傳播和傳輸行為,確保信息安全;製定專門法律,防止有害信息對於國民、特別是未成年人的侵害;通過法律政策,保障信息安全法的有效製定和實施等。
整理/ 實習記者 薑燕 據《中國信息安全報告》一書
