面對信息化的高速發展,信息安全面臨著極其嚴峻的形勢。國家信息化專家咨詢委員會曲成義站在全局的高度,深刻剖析了信息安全的四大特征和難點,指出了信息安全需創建的四種能力和“六性”,并從信息安全的頂層設計出發,總結出四項全局對策。

  一、信息安全要創建“四種能力”

  1.構建完善的信息安全基礎設施,為信息安全提供公共的支撐能力:如建立由數字認證、安全測評、網絡監控、事件通報、應急支援、災難恢復、輿情治理等信息安全基礎支撐平臺和支撐體系。

  2.提升信息安全的防護與對抗能力:信息安全的攻與防是一個過程,要在預警、監測、防護、恢復、反擊等過程的各個環節都采取有效的對抗手段,才能奏效。

  3.建立應對網絡突發災難事件的應急和容災能力:當網絡突然災難事件來臨時,要啟動應急預警,采取災難恢復機制,即使全系統毀滅,也能在異地即時恢復信息系統的使用,保持業務的可持續性。

  4.強化信息安全管理可控能力:鑒于信息系統的復雜性和使用行為的多樣性,單靠技術手段是不能完全奏效的,必須動用管理可控手段,雙管齊下,所以信息安全的對策是技術與管理手段并用。

  二、信息安全要保障信息及其服務具有“六性”

  這“六性”包括:信息的“保密性”、信息的“完整性”、系統及服務的“可用性”、信息內容及主體行為的“可核查性”、主客體身份的“真實性”,主體行為和信息內容的“可控性”。

  三、果斷推進信息安全的全局對策

  1.落實信息安全的等級保護制度

  在信息安全投入(資金、人力、資產等)與系統所能承受的最小風險之間找到科學的平衡點,保護國家、社會的最大利益。

  2.構建網絡信息系統的“信息安全保障體系”

  根據信息系統的安全等級,依據國家已發布的相關標準和規范,在作好信息系統安全需求分析的基礎上,構建或者調整網絡信息系統的信息安全保障體系,重點抓好:①網絡縱深防御體系的設計、安全域的科學劃分和安全邊界的有效隔離;②網絡動態防護機制設計,安全機制能在安全對抗的全生命周期過程中有效協同和對抗;③建設好基于密碼技術的網絡信任體系,包括身份認證、授權管理和責任認定。④強化內部審計,從網絡級、數據庫級、系統級、主機級和介質級的全局審計入手,并逐漸使審計點前移;⑤建設好信息系統的“信息安全管理體系”(ISMS),遵從PDCA模型,不斷優化ISMS。

  3.抓好信息安全測評的風險評估工作

  鑒于網絡信息系統是一個“復雜巨系統”,其信息安全檢測與風險評估是一項“系統工程”,在重視培育自評估能力的同時,要重點通過專業的第三方(行政檢查評估或服務委托評估),即時發現隱患,采取對策,調整系統,提升強度,與所確定的安全等級相匹配。

責任編輯:admin