信息安全的理解和全局對策<轉>

信息安全的理解和全局對策

 

面對信息化的高速發展，信息安全面臨着極其嚴峻的形勢。爲此咱們ZDNet安全頻道採訪了國家信息化專家諮詢委員會曲成義老師，曲成義老師對信息安全的認識和應採起的對策做了精闢的概述，下面就讓咱們來分享一下他的看法：　　

(一) 要重視「信息安全」的四大特徵和難點

一、 被「信息安全」保護的對象(網絡信息系統)是一個「複雜巨系統」，它包括了大量的軟件和硬件的IT產品;一個跨部門和跨地域的網絡通訊系統;一套組織管理和標準規範的機制;一個機房、電力和安保的物理環境;一批運維、管理和應用的人羣;大量珍貴和敏感的信息資源。這些都與部門業務緊密耦合，運做協調機制複雜。要保護這個「複雜巨系統」的安全，使其保證部門業務的可持續性，就帶來了巨大的艱鉅性。

二、 社會正在對「網絡信息系統」造成強烈的依賴，信息安全使命艱鉅。隨着信息化的快速發展，信息化已快速融入到政治、經濟、文化、軍事、社會的各個領域，如電子政務、電子商務、數字企業、數字社區、遠程教育、網絡銀行等，使整個社會對網絡信息系統造成了強烈的依賴，若是因爲信息安全緣由，使系統癱瘓不能提供服務，給社會形成的影響將是嚴重的，一些重要領域想恢復原手工操做模式已成爲不可能，這種嚴重後果必需要有清醒的認識。

三、 信息安全是一種高技術的對抗。

信息安全的威脅方(***、病毒、間諜軟件……)正在利用高技術手段，對網絡信息系統實施侵入、干擾、竊取和破壞，而其使用的的高技術手段不斷花樣翻新和突飛猛進，如「病毒」利用系統的漏洞侵入和氾濫，十年前從尋找漏洞到病毒***系統和氾濫，須要幾個月或一年的時間，而如今可能只須要一天，即稱爲「零日***」。「間諜軟件」潛入系統竊密途徑，DDOS拒決服務***方式等都在快速的利用高技術手段，所以防禦者也必須要採用高技術手段，要高於它才能奏效，對於這場高技術對抗的艱鉅性必需要有充份的認識。

四、 信息安全的攻守雙方嚴重的不對稱，易攻難守。

網絡信息系統是在爲全社會各領域提供信息及其服務，其大部分資源和服務是暴露在明處，而***者是在暗處，它較易捕捉你的弱點，乘機侵入、潛伏、竊取和破壞，使信息安全保護者處於被動地位。

(二)、認真落實信息安全的重要使命

信息安全要建立「四種能力」：

一、構建完善的信息安全基礎設施，爲信息安全提供公共的支撐能力。如創建由數字認證、安全測評、網絡監控、事件通報、應急支援、災難恢復、輿情治理等信息安全基礎支撐平臺和支撐體系。

二、提高信息安全的防禦與對抗能力。信息安全的攻與防是一個過程，要從預警、監測、防禦、恢復、反擊等過程當中各個環節都要採起有效的對抗手段，才能奏效。

三、創建應對網絡突發災難事件的應急和容災能力。當網絡忽然災難事件來臨時，要啓動應急預警，採起災難恢復機制，即便在全系統毀滅的狀況下，也能在異地即時恢復信息系統的使命，保持業務的可持續性。

四、強化信息安全管理可控能力。鑑於信息系統的複雜性和使用行爲的多樣性，可靠技術手段是不能徹底奏效的，必需要動用管理可控手段，左右開弓，因此信息安全的對策是技術與管理手段並用。

信息安全要保障信息及其服務具備「6性」：

信息的「保密性」、信息的「完整性」、系統及服務的「可用性」、信息內容及立體行爲的「可覈查性」、主客體身份的「真實性」，主體行爲和信息內容的「可控性」。

(三) 、果斷推動，信息安全的全局對策

一、 落實信息安全的等級保護制度

認真落實國家的相關信息安全的等級保護制度文件，根據網絡信息系統使命的重要性，信息系統資產價值和對社會的影響程度，肯定信息系統相應的安全等級，其目的是在信息安全投入(資金、人力、資產……)與系統所能承受最小風險之間找一個科學的平衡點，保護國家、社會和業主的最大利益。

二、 構建網絡信息系統的「信息安全保障體系」

根據信息系統的安全等級，依據國家已發佈的相關標準和規範，構建或者調整網絡信息系統的信息安全保障體系，在信息安全保障體系建設或調整中，在做好信息系統安全需求分析的基礎上，要重點抓好：①、網絡縱深防護體系的設計，安全域的科學劃分和安全邊界的有效隔離。②、網絡動態防禦機制設計，安全機制能在安全對抗的全生命週期過程當中有效協同和對抗。③、建設好基於密碼技術的網絡信任體系，包括身份認證，受權管理和責任認定。④、強化內部審計，從網絡級、數據庫級、系統級、主機級和介質級的全局審計入手，並逐漸使審計點前移。⑤、建設好信息系統的「信息安全管理體系」(ISMS)，聽從PDCA模型，不斷優化ISMS。

三、 抓好信息安全測評的風險評估工做

鑑於網絡信息系統是一個「複雜巨系統」，其信息安全檢測與風險評估就是一項「系統工程」，在重視培育自評估能力的同時，要重點經過專業的第三方(行政檢查評估或服務委託評估)，即時發現隱患，採起對策，調整系統，提高強度，與所肯定的安全等級相匹配。

四、 重視應急預案創建與災難恢復系統建設

國家已發佈了網絡信息系統應急與預案的相關文件，以健全在網絡突發事件中網絡信息系統的應急對策，提高系統的應急能力。做力應急恢復的最後一道防線，要對「災難恢復」即早做好準備，有備無患。國家已出臺了有關災難恢復的相關文件和標準規範，在認真做好需求分析的基礎上制定好應急預案，建設好災難恢復系統，以保障系統業務的可持續能力。

總 結

曲老師站在全局的高度，深入的剖析了信息安全的特徵和難點，點出了信息安全的重要使命，並從信息安全的頂層設計出發，總結出四項全局對策，值得咱們認真品味和思索。曲老師認爲：信息安全的最終目標，就是要使信息化更安全的融入到社會各行業和各領域中去，以保障國家信息化更健康快速的發展，推動國家的興旺與強大。