信息安全的理解和全局对策<转>

信息安全的理解和全局对策

 

面对信息化的高速发展，信息安全面临着极其严峻的形势。为此咱们ZDNet安全频道采访了国家信息化专家咨询委员会曲成义老师，曲成义老师对信息安全的认识和应采起的对策做了精辟的概述，下面就让咱们来分享一下他的看法：　　

(一) 要重视“信息安全”的四大特征和难点

一、 被“信息安全”保护的对象(网络信息系统)是一个“复杂巨系统”，它包括了大量的软件和硬件的IT产品;一个跨部门和跨地域的网络通讯系统;一套组织管理和标准规范的机制;一个机房、电力和安保的物理环境;一批运维、管理和应用的人群;大量珍贵和敏感的信息资源。这些都与部门业务紧密耦合，运做协调机制复杂。要保护这个“复杂巨系统”的安全，使其保证部门业务的可持续性，就带来了巨大的艰巨性。

二、 社会正在对“网络信息系统”造成强烈的依赖，信息安全使命艰巨。随着信息化的快速发展，信息化已快速融入到政治、经济、文化、军事、社会的各个领域，如电子政务、电子商务、数字企业、数字社区、远程教育、网络银行等，使整个社会对网络信息系统造成了强烈的依赖，若是因为信息安全缘由，使系统瘫痪不能提供服务，给社会形成的影响将是严重的，一些重要领域想恢复原手工操做模式已成为不可能，这种严重后果必需要有清醒的认识。

三、 信息安全是一种高技术的对抗。

信息安全的威胁方(***、病毒、间谍软件……)正在利用高技术手段，对网络信息系统实施侵入、干扰、窃取和破坏，而其使用的的高技术手段不断花样翻新和突飞猛进，如“病毒”利用系统的漏洞侵入和泛滥，十年前从寻找漏洞到病毒***系统和泛滥，须要几个月或一年的时间，而如今可能只须要一天，即称为“零日***”。“间谍软件”潜入系统窃密途径，DDOS拒决服务***方式等都在快速的利用高技术手段，所以防御者也必须要采用高技术手段，要高于它才能奏效，对于这场高技术对抗的艰巨性必需要有充份的认识。

四、 信息安全的攻守双方严重的不对称，易攻难守。

网络信息系统是在为全社会各领域提供信息及其服务，其大部分资源和服务是暴露在明处，而***者是在暗处，它较易捕捉你的弱点，乘机侵入、潜伏、窃取和破坏，使信息安全保护者处于被动地位。

(二)、认真落实信息安全的重要使命

信息安全要建立“四种能力”：

一、构建完善的信息安全基础设施，为信息安全提供公共的支撑能力。如创建由数字认证、安全测评、网络监控、事件通报、应急支援、灾难恢复、舆情治理等信息安全基础支撑平台和支撑体系。

二、提高信息安全的防御与对抗能力。信息安全的攻与防是一个过程，要从预警、监测、防御、恢复、反击等过程当中各个环节都要采起有效的对抗手段，才能奏效。

三、创建应对网络突发灾难事件的应急和容灾能力。当网络忽然灾难事件来临时，要启动应急预警，采起灾难恢复机制，即便在全系统毁灭的状况下，也能在异地即时恢复信息系统的使命，保持业务的可持续性。

四、强化信息安全管理可控能力。鉴于信息系统的复杂性和使用行为的多样性，可靠技术手段是不能彻底奏效的，必需要动用管理可控手段，左右开弓，因此信息安全的对策是技术与管理手段并用。

信息安全要保障信息及其服务具备“6性”：

信息的“保密性”、信息的“完整性”、系统及服务的“可用性”、信息内容及立体行为的“可核查性”、主客体身份的“真实性”，主体行为和信息内容的“可控性”。

(三) 、果断推动，信息安全的全局对策

一、 落实信息安全的等级保护制度

认真落实国家的相关信息安全的等级保护制度文件，根据网络信息系统使命的重要性，信息系统资产价值和对社会的影响程度，肯定信息系统相应的安全等级，其目的是在信息安全投入(资金、人力、资产……)与系统所能承受最小风险之间找一个科学的平衡点，保护国家、社会和业主的最大利益。

二、 构建网络信息系统的“信息安全保障体系”

根据信息系统的安全等级，依据国家已发布的相关标准和规范，构建或者调整网络信息系统的信息安全保障体系，在信息安全保障体系建设或调整中，在做好信息系统安全需求分析的基础上，要重点抓好：①、网络纵深防护体系的设计，安全域的科学划分和安全边界的有效隔离。②、网络动态防御机制设计，安全机制能在安全对抗的全生命周期过程当中有效协同和对抗。③、建设好基于密码技术的网络信任体系，包括身份认证，受权管理和责任认定。④、强化内部审计，从网络级、数据库级、系统级、主机级和介质级的全局审计入手，并逐渐使审计点前移。⑤、建设好信息系统的“信息安全管理体系”(ISMS)，听从PDCA模型，不断优化ISMS。

三、 抓好信息安全测评的风险评估工做

鉴于网络信息系统是一个“复杂巨系统”，其信息安全检测与风险评估就是一项“系统工程”，在重视培育自评估能力的同时，要重点经过专业的第三方(行政检查评估或服务委托评估)，即时发现隐患，采起对策，调整系统，提高强度，与所肯定的安全等级相匹配。

四、 重视应急预案创建与灾难恢复系统建设

国家已发布了网络信息系统应急与预案的相关文件，以健全在网络突发事件中网络信息系统的应急对策，提高系统的应急能力。做力应急恢复的最后一道防线，要对“灾难恢复”即早做好准备，有备无患。国家已出台了有关灾难恢复的相关文件和标准规范，在认真做好需求分析的基础上制定好应急预案，建设好灾难恢复系统，以保障系统业务的可持续能力。

总 结

曲老师站在全局的高度，深入的剖析了信息安全的特征和难点，点出了信息安全的重要使命，并从信息安全的顶层设计出发，总结出四项全局对策，值得咱们认真品味和思索。曲老师认为：信息安全的最终目标，就是要使信息化更安全的融入到社会各行业和各领域中去，以保障国家信息化更健康快速的发展，推动国家的兴旺与强大。