面对信息化的高速发展,信息安全面临着极其严峻的形势。国家信息化专家咨询委员会曲成义站在全局的高度,深刻剖析了信息安全的四大特征和难点,指出了信息安全需创建的四种能力和“六性”,并从信息安全的顶层设计出发,总结出四项全局对策。
一、信息安全要创建“四种能力”
1.构建完善的信息安全基础设施,为信息安全提供公共的支撑能力:如建立由数字认证、安全测评、网络监控、事件通报、应急支援、灾难恢复、舆情治理等信息安全基础支撑平台和支撑体系。
2.提升信息安全的防护与对抗能力:信息安全的攻与防是一个过程,要在预警、监测、防护、恢复、反击等过程的各个环节都采取有效的对抗手段,才能奏效。
3.建立应对网络突发灾难事件的应急和容灾能力:当网络突然灾难事件来临时,要启动应急预警,采取灾难恢复机制,即使全系统毁灭,也能在异地即时恢复信息系统的使用,保持业务的可持续性。
4.强化信息安全管理可控能力:鉴于信息系统的复杂性和使用行为的多样性,单靠技术手段是不能完全奏效的,必须动用管理可控手段,双管齐下,所以信息安全的对策是技术与管理手段并用。
二、信息安全要保障信息及其服务具有“六性”
这“六性”包括:信息的“保密性”、信息的“完整性”、系统及服务的“可用性”、信息内容及主体行为的“可核查性”、主客体身份的“真实性”,主体行为和信息内容的“可控性”。
三、果断推进信息安全的全局对策
1.落实信息安全的等级保护制度
在信息安全投入(资金、人力、资产等)与系统所能承受的最小风险之间找到科学的平衡点,保护国家、社会的最大利益。
2.构建网络信息系统的“信息安全保障体系”
根据信息系统的安全等级,依据国家已发布的相关标准和规范,在作好信息系统安全需求分析的基础上,构建或者调整网络信息系统的信息安全保障体系,重点抓好:①网络纵深防御体系的设计、安全域的科学划分和安全边界的有效隔离;②网络动态防护机制设计,安全机制能在安全对抗的全生命周期过程中有效协同和对抗;③建设好基于密码技术的网络信任体系,包括身份认证、授权管理和责任认定。④强化内部审计,从网络级、数据库级、系统级、主机级和介质级的全局审计入手,并逐渐使审计点前移;⑤建设好信息系统的“信息安全管理体系”(ISMS),遵从PDCA模型,不断优化ISMS。
3.抓好信息安全测评的风险评估工作
鉴于网络信息系统是一个“复杂巨系统”,其信息安全检测与风险评估是一项“系统工程”,在重视培育自评估能力的同时,要重点通过专业的第三方(行政检查评估或服务委托评估),即时发现隐患,采取对策,调整系统,提升强度,与所确定的安全等级相匹配。