信息安全的定义
党的十六届四中全会,把信息安全和政治安全、经济安全、文化安全、国防安全并列为国家安全的五大范畴,信息安全的重要性被提升到一个空前的战略高度。信息安全已成为国家安全的基石。
狭义的信息安全一般是指信息自身的安全问题,指信息状态安全措施和信息状态转移安全,主要包括信息的机密性、完整性、可用性、可控性及可靠性五个方面,实质是保证信息系统及信息网络中的信息资源不因自然或人为的因素而遭到破坏、更改、泄露和非法占用。
广义的信息安全一般主要是指信息系统不受外来的威胁与侵害,以维持国家政治、经济、科技、军事、文化、社会生活等系统不受内外环境威胁、干扰、破坏而正常运行的状态。广义的概念涵盖了国家安全中的各个要素,包括经济、政治、科技、军事、思想文化、社会稳定、生态环境等各个领域,是一个复杂全面的综合性系统。
影响因素
一、网络攻击
近几年来,计算机病毒、网络黑客、垃圾邮件等的攻击日趋频繁和激烈,对中国信息安全的威胁日益严重,影响了经济效益和社会效益。其中,计算机病毒每年攻击次数年均递增20%以上,产生新病毒数年均增加2倍以上;网络黑客攻击次数年均递增10%以上,接近西方发达国家的水平;接受垃圾邮件件数年均递增50%以上,造成了严重的经济损失。
二、软件漏洞
由于软件程序的复杂性和编程的多样性,在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。软件漏洞主要包括:陷门、操作系统安全漏洞、数据库的安全漏洞、TCP/IP协议的安全漏洞、网络软件与网络服务的漏洞和口令设置的漏洞。
三、人为因素与自然灾害
随着计算机技术、信息通讯技术和制造技术的迅猛发展,社会经济生活发生了显著的变化,信息已经从过去普通的知识形态转变成关系产业升级的重要战略资源,信息技术及其产业一跃成为当今世界经济与社会发展的主要驱动力。在目前以及以后较长一段时期,对中国信息安全构成威胁的因素很多,除了网络攻击和软件漏洞,人为因素和自然灾害也是不容忽视的威胁因素。这些因素包括:人为过失、知识产权的损害、服务问题、研发和管理落后、自然灾害等。
存在问题
一、基础信息技术严重依赖国外,并引发系列危机
中国信息安全的根本问题或最大隐患就在于缺乏大量的核心技术。目前构成中国信息基础设施的网络、硬件、软件等产品几乎完全建立在外国的核心信息技术之上,这势必使我国IT产业的关键部分受制于外人。
二、信息安全意识淡薄,信息安全的防护能力较弱
出于信息化水平的差异和宣传力度的不够,有不少国人对我国信息安全认识模糊,处在居危思安的状态中。我国在信息网络安全问题上普遍存在着模糊认识,“重发展、轻管理”的思想比较严重,保护信息安全意识的缺乏也引发了对信息安全的研究开发、产业发展、人才培养、队伍建设等重视不够。
三、网络安全形势日益严峻
蠕虫、木马、间谍软件等恶意代码在网上的传播和活动仍然频繁,僵尸网络严重威胁着网络安全,其破坏行为往往比传统的方式危害更大、更难防范。
四、信息产业化和规模化水平、技术含量有待进一步提高
在信息安全产业规模和产品研发均取得长足进步的同时,综观国内信息安全市场,仍看到不少问题。此外,信息安全产业政策、信息安全产品相关采购与装备政策的支持不够,因经济基础相对薄弱而对信息核心和关键技术及安全产品的开发生产上缺乏必要的资金投入等。
五、信息安全管理体制不够健全,配套法律法规和政策制度不完善
由于国家在信息安全问题上缺乏一个具有最高权威的统一机构,缺乏一个与国家信息化进程相一致的国家级信息安全工程规划,缺乏一个有效的通报渠道,相关管理机构间缺少充分的沟通和协调,致使我国的信息安全特别是在经济领域的安全管理出现条块分割、相互隔离、各行其是、协作松散的局面,极大地妨碍了国家有关法规的贯彻执行,进而也难以防范境外情报机构和黑客的攻击。
信息安全风险评估
信息安全的风险评估主要是针对信息以及信息处理系统,从内因(资产、脆弱性、已有控制)和外因(威胁、安全)两方面综合判断其面临的风险。信息安全风险评估的总体目标是认清信息安全环境、信息安全状况,有助于达成共识,明确责任,采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。
一、风险评估标准
信息安全风险评估离不开评估标准,目前,国际和国内流行标准有:CC、GB/T 18336、BS 7799、SSE-CMM、ISO/IEC TR 13335、GAO/AMD-99-139、N IST SP800-30 IT系统风险管理指南、OCTAVE方法、《信息安全风险评估指南》等。
二、风险评估方法与工具
为了进行信息安全风险评估,多种信息安全评估方法和工具被开发出来并在实践中应用,选择好的风险评估方法和工具,可起到事半功倍的效果。
第一,风险评估方法。在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
第二,风险评估工具。风险评估工具包括辅助性工具(调查问卷、检查列表、人员访谈、漏洞扫描器、渗透测试等),自动化风险评估工具等(COBRA、CRAMM、ASSET、CORA)。
第三,风险评估流程。信息安全风险评估的主要流程主要分为风险评估准备、资产识别、信息资产分类、信息资产评估、按照重要性列出资产、威胁识别、弱点识别和风险分析八个阶段。
化解信息安全风险的办法
一、制度建构
保障信息安全的关键在于有一套完善适应的管理制度。当前我国信息安全管理制度建设重点就是要抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法,同时按照等级保护的要求建设安全信息系统。
第一,理顺信息安全领导机制
首先,克服我国当前信息安全领导管理存在的突出问题,如体制不适、规章不一、法不完善、队伍不稳、教育脱节等;其次,加快建立健全信息安全领导和管理体制;最后,在战略层面上,确定中国国家信息安全保障的战略目标、指导方针、基本原则和基本制度。
第二,完善信息安全管理标准
信息安全等级保护制度是采用分等级保护的方法实现对信息系统的安全保护,即实现国家信息安全的目标。
在等级保护制度下,信息安全的各项工作主要包括:建立等级保护相关法律法规和政策体系;健全等级保护相关技术标准和管理标准;严格等级保护相关技术标准和管理标准;加快等级保护相关安全技术和产品的研究和开发;规范等级保护相关安全产品的测试和管理;按等级保护要求建设安全信息系统;按等级保护要求对安全信息系统进行测试;按等级保护要求对安全信息系统的运行进行控制;按等级保护要求对安全信息系统进行监督管理。
第三,建立信息安全应急体系
要完善网络信息安全应急机制的理论基础;建立网络信息安全应急机制的安全、经济、发展价值目标;建立信息安全应急体系框架;发挥应急组织的作用。
二、法制保障
我国在构建信息安全法律网络的过程中,立法理念也在不断地完善和发展,从借鉴国外的信息安全立法经验开始,在实践中探索,形成了具有我国特色的信息安全立法理念。
第一,中国信息安全法制建设的特点
首先,信息安全法律法规体系初步形成,目前我国现行法律法规及规章中,与信息安全直接相关的有六十多部;其次,与信息安全相关的司法和行政管理体系迅速完善;再次,目前法律规定中法律少而规章偏多,缺乏信息安全的基本法;最后,与信息安全相关的其他法律有待完善。
第二,中国信息安全法制建设的对策
一是及时更新信息立法观念,加快信息化立法步伐。二是加强信息立法的理论研究,促进信息化立法工作。三是借鉴发达国家信息立法成果,结合国情积极移植国外信息法规。四是建立健全信息法制建设的反馈机制,保证国家信息法规的动态平衡。五是尽快制定中国信息化基本法,逐步构建完善信息化法律体系。六是确立我国信息化法律建设的重点。
三、技术支持
在信息化已经与国家生活融为一体的今天,作为信息技术的子项,信息安全技术在保证国家主权、政治和经济安全、社会稳定中,发挥着关键的作用。加强自主创新,发展自主可控的信息安全核心技术,一直是国家关注和重视的焦点。
第一,信息安全常用技术发展状况
在信息基础设施和信息应用发达的国家,信息安全保障一般是按政府和军方两条路线进行,政府侧重于在国家信息基础设施的安全保障上,军方则侧重于在信息战的防御与进攻上,二者既有分工又有合作,相辅相成。美国、欧洲、日本、加拿大、澳大利亚等发达国家和地区采用的信息安全技术主要包括:防火墙技术、信息加密技术、身份认证技术、入侵检测系统(IDS)、网络防病毒技术、系统容灾技术等。
第二,中国信息安全技术发展状况
中国信息安全技术研究经历了通信保密、计算机数据保护两个阶段,正在进入网络信息安全技术的研究发展阶段。国家高度重视信息安全技术的研究和发展,国家863计划实施以来,中国在信息安全领域取得了一定的成就。如Linux安全增强技术、虚拟专网安全技术研究、网络安全物理隔离技术、其他信息安全技术等。
第三,信息安全技术发展前瞻
目前,信息安全技术的发展呈现出以下趋势:信息安全技术由单一安全产品向安全管理平台转变;信息安全技术发展从静态、被动向动态、主动方向转变;信息安全防护从基于特征向基于行为转变;内部网信息安全极速得到重视和发展;信息安全机制构造趋向组件化;信息安全管理由粗放型向量化型转变;软件安全日趋重要,其安全工程方法及相关产品将会快速发展;面向SOA的安全相关技术和产品将会快速发展。
四、国际借鉴
信息安全问题是一个必须通过开展长期、广泛和深入的国际合作,包括各国政府、国际组织、民间团体、私营企业和个人之间的充分合作,才有可能解决国际安全问题。对我国来说,要在维护信息安全方面进行国际合作,就必须了解其他国家信息安全的有关做法,并积极借鉴其先进成果,一方面迅速提高我国的信息安全管理水平,另一方面为做好国际合作打下坚实的基础。
国外信息安全法制建设的经验包括:通过专门法律,消除现行法律适用的技术障碍;通过专门法律,解决网络时代出现的新问题;确保电子合同的效力,促进电子商务的发展;规范网上信息发布、传播和传输行为,确保信息安全;制定专门法律,防止有害信息对于国民、特别是未成年人的侵害;通过法律政策,保障信息安全法的有效制定和实施等。
整理/ 实习记者 姜燕 据《中国信息安全报告》一书