面對(duì)信息化的高速發(fā)展,信息安全面臨著極其嚴(yán)峻的形勢(shì)。國(guó)家信息化專家咨詢委員會(huì)曲成義站在全局的高度,深刻剖析了信息安全的四大特征和難點(diǎn),指出了信息安全需創(chuàng)建的四種能力和“六性”,并從信息安全的頂層設(shè)計(jì)出發(fā),總結(jié)出四項(xiàng)全局對(duì)策。

  一、信息安全要?jiǎng)?chuàng)建“四種能力”

  1.構(gòu)建完善的信息安全基礎(chǔ)設(shè)施,為信息安全提供公共的支撐能力:如建立由數(shù)字認(rèn)證、安全測(cè)評(píng)、網(wǎng)絡(luò)監(jiān)控、事件通報(bào)、應(yīng)急支援、災(zāi)難恢復(fù)、輿情治理等信息安全基礎(chǔ)支撐平臺(tái)和支撐體系。

  2.提升信息安全的防護(hù)與對(duì)抗能力:信息安全的攻與防是一個(gè)過程,要在預(yù)警、監(jiān)測(cè)、防護(hù)、恢復(fù)、反擊等過程的各個(gè)環(huán)節(jié)都采取有效的對(duì)抗手段,才能奏效。

  3.建立應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)災(zāi)難事件的應(yīng)急和容災(zāi)能力:當(dāng)網(wǎng)絡(luò)突然災(zāi)難事件來臨時(shí),要啟動(dòng)應(yīng)急預(yù)警,采取災(zāi)難恢復(fù)機(jī)制,即使全系統(tǒng)毀滅,也能在異地即時(shí)恢復(fù)信息系統(tǒng)的使用,保持業(yè)務(wù)的可持續(xù)性。

  4.強(qiáng)化信息安全管理可控能力:鑒于信息系統(tǒng)的復(fù)雜性和使用行為的多樣性,單靠技術(shù)手段是不能完全奏效的,必須動(dòng)用管理可控手段,雙管齊下,所以信息安全的對(duì)策是技術(shù)與管理手段并用。

  二、信息安全要保障信息及其服務(wù)具有“六性”

  這“六性”包括:信息的“保密性”、信息的“完整性”、系統(tǒng)及服務(wù)的“可用性”、信息內(nèi)容及主體行為的“可核查性”、主客體身份的“真實(shí)性”,主體行為和信息內(nèi)容的“可控性”。

  三、果斷推進(jìn)信息安全的全局對(duì)策

  1.落實(shí)信息安全的等級(jí)保護(hù)制度

  在信息安全投入(資金、人力、資產(chǎn)等)與系統(tǒng)所能承受的最小風(fēng)險(xiǎn)之間找到科學(xué)的平衡點(diǎn),保護(hù)國(guó)家、社會(huì)的最大利益。

  2.構(gòu)建網(wǎng)絡(luò)信息系統(tǒng)的“信息安全保障體系”

  根據(jù)信息系統(tǒng)的安全等級(jí),依據(jù)國(guó)家已發(fā)布的相關(guān)標(biāo)準(zhǔn)和規(guī)范,在作好信息系統(tǒng)安全需求分析的基礎(chǔ)上,構(gòu)建或者調(diào)整網(wǎng)絡(luò)信息系統(tǒng)的信息安全保障體系,重點(diǎn)抓好:①網(wǎng)絡(luò)縱深防御體系的設(shè)計(jì)、安全域的科學(xué)劃分和安全邊界的有效隔離;②網(wǎng)絡(luò)動(dòng)態(tài)防護(hù)機(jī)制設(shè)計(jì),安全機(jī)制能在安全對(duì)抗的全生命周期過程中有效協(xié)同和對(duì)抗;③建設(shè)好基于密碼技術(shù)的網(wǎng)絡(luò)信任體系,包括身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定。④強(qiáng)化內(nèi)部審計(jì),從網(wǎng)絡(luò)級(jí)、數(shù)據(jù)庫級(jí)、系統(tǒng)級(jí)、主機(jī)級(jí)和介質(zhì)級(jí)的全局審計(jì)入手,并逐漸使審計(jì)點(diǎn)前移;⑤建設(shè)好信息系統(tǒng)的“信息安全管理體系”(ISMS),遵從PDCA模型,不斷優(yōu)化ISMS。

  3.抓好信息安全測(cè)評(píng)的風(fēng)險(xiǎn)評(píng)估工作

  鑒于網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)“復(fù)雜巨系統(tǒng)”,其信息安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估是一項(xiàng)“系統(tǒng)工程”,在重視培育自評(píng)估能力的同時(shí),要重點(diǎn)通過專業(yè)的第三方(行政檢查評(píng)估或服務(wù)委托評(píng)估),即時(shí)發(fā)現(xiàn)隱患,采取對(duì)策,調(diào)整系統(tǒng),提升強(qiáng)度,與所確定的安全等級(jí)相匹配。

責(zé)任編輯:admin