五个层面解读国家信息安全保障体系

"国家信息安全保障体系是在2006年被提出来的,包括积极防御、综合防范等多个方面的多个原则,但如今面对业已取得的成果,仍有必要深刻理解该体系。"北京邮电大学校长/中国工程院院士方滨兴指出,当前国家信息安全的保障体系可以围绕"五个层面,一、二、三、四、五"来解读。

具体如下:

一,即一个机制,就是要建立、维护国家信息安全的长效机制。

二,是指两个原则:第一个原则是积极预防、综合防范;第二个原则是立足国情,适度安全。

三,是指三个要素:人才、管理、技术。

四,是指四种核心能力:法律保障能力、基础支撑能力、舆情驾驭能力和国际影响力。

五,是指五项主要的技术工作:风险评估与等级保护、监控系统、密码技术与网络信任体系、应急机制、灾备。

一、一个机制

所谓的一个机制,是说机制一定是一个完善长效的机制,一方面是在组织协调性上,另一方面是在支撑力度上。这需要宏观层面,包括主管部门予以支持。

二、两个原则

第一个原则是积极防御、综合防范。这一点比较清楚地论述了信息安全和信息化的关系。在这个里面,积极当然有多种含义,虽然我们并不提倡主动攻击,但是掌握攻击技术是防御所需要的。但是值得注意的是,真正意义上的积极防御,是指一旦出现一个新的技术,我们就立即要想到研究这个新技术会带来什么安全性问题,以及这样的安全性问题该怎么办?比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较容易扩散,再比如说Ipv6出来之后,入侵检测就没有意义了,因为协议都看不懂还检测什么……所以说这些信息化新技术的出现同时也都呼唤新的安全技术。

另外,技术解决不了的还得靠管理,比如说等级保护,当然等级保护主要是面向政府部门的。那么反过来,管理做不了的也得靠技术,你说有病毒,光嘴上说不行,还得有技术防范。再有就是强调了核心保障。

第二个原则是立足国情、适度安全。这里面主要是强调综合平衡安全成本与风险,如果系统风险不大就没有必要花太大的安全成本来做。在这里面需要强调一点就是确保重点的,如等级保护就是根据信息系统的重要性来定级,从而施加适当强度的保护。此外,当你在发展的时候必须要考虑到适度的安全问题,做安全也是为了促进发展,而不是限制发展,所以尽管我们现在觉得需要为了节约只需要物理解决的就用物理解决,但同时也在研究一系列的技术来替代,这个是国情的需要。

三、三个要素

三个要素包括人才、管理、技术。

从人才角度来说,国家信息安全保障体系强调了两个方面,一个方面是培养人才,包括学历教育、研究、以及学科层面,不仅要培养本科生、研究生,还要加强培训和网络教育、加强信息安全宣传工作和网络文明建设,也都需要相关的支持,基本上跟信息相关的底下都有这个。此外,就是论坛、媒体的努力。当然,吸引和用好高素质的信息安全管理和技术人才的机制也很有有用。

就管理这一点而言,其实互联网上的管理主要是靠四句话:法律保障、行政监管、行业自律、技术支撑。我们还可以把管理分为三级措施,最高一级是领导层,制定方针,国家说积极预防、综合防范,这是一种方针,其次是执行层,再有就是具体的法规,要严格规章制度。此外还有标准,标准是从技术角度、管理角度引导你,你不会做按照这个做就行了。也就是说标准解决怎么做,法规解决做什么的问题。到微观方面就是说各个管理机构,要做好规章、制度、策略、措施。

需要说明的是,机制就是怎么管,我们现在是通过一些认证测评、市场准入来对安全做管理,这里面对产品服务做认真测评,包括政府采购也是受一定的限制。而措施则是,你到底管哪些事情,如等级保护这个是要管的,这个是没有问题的;再比如系统安全、产品的采购包括测评、密码技术等都在管理范畴。

第三个层面是信息安全技术,信息安全技术在这里面特别强调的是对引进的产品的安全问题,如它的安全可控必须要有人管。同时我们还要研究新技术、新业务,包括网络安全、内容安全、密码、安全隔离手续等。当然这其中也少不了需要政策导向和市场机制,当然最终的目标就是信息安全还应该以自主知识产权为主。

四、四个核心能力

四个核心能力,主要是信息安全的法律保障能力,信息安全的基础支撑能力,网络舆情驾驭能力。再有一个就是信息安全的国际影响力。

就法律保障能力而言,业内一致认为要有一个信息安全法,有了这个核心法,才能做一系列的下位法和相应的制度,目前来看这个信息安全法的出台还需要些时间。

第二个能力叫做基础支撑能力,就是说国家要有一系列的相应的基础支撑,比如说数字证书、计算机网络应急响应体系、灾难恢复体系等等,再比如说密钥管理、授权管理等等,这些都是做得很成功的,而网络舆情掌控的体系,一些部门也都有,但它的运行效果还有很多需要改进的余地。

第三个能力是舆情驾驭能力,我们要关注三个如何,如何引导网络舆论,如何对网上的热点话题做访问,如何提高处置网络的能力。这些实际上都是我们舆情驾驭能力的标志。舆情驾驭的具体目标是首先要有发现和获取能力,其次要有分析和引导的能力,再后要有预警和处理的能力。

第四个是国际影响力。只有在信息安全较量中才能体现出一个国家的信息安全影响力。所以,这就需要发挥信息安全整体资源的优势,这其中包括对有害信息的应对能力、技术手段。用逆向思维的话,就是说假如出现最坏的情况网络被恶意中断,那么至少能保持一个封闭体系还能继续运转,这可能必须要有域名的解析,当然这个国内现在已经做到了。

五、五项工作

五项工作包括:加强风险评估工作,建立和完善等级保护制度;加强密码技术的开发利用,建设网络信任体系;建设和完善信息安全监控体系;高度重视信息安全应急处置工作;灾难备份等。

第一,风险评估和等级保护,两者相辅相成需要一体化考虑。因为风险评估是出发点,等级划分是判断点,安全控制是落脚点,所以风险评估和等级保护这两件事儿是不可分的,只有知道了系统的脆弱性有多大,等级保护才能跟上去。

第二,网络信任体系主要是靠密码技术,还要强调密钥体系。

第三,网络监控系统,强调国家对各个运营单位都要求有相应的信息监控系统,要有处理信息的能力,这样起码对一些网络攻击,防范失泄密可以提供支持。

第四,应急响应体系,国家在2003年SARS之后就开始建立应急响应体系,2008年的1月份出现了凝冻灾害天气,充分考验了这个体系。所以信息安全也有国家级的预案,或许将来会做更多的宣贯。

第四,灾难备份,这个里面最重要的目标是力保恢复,其次是及时发现,接下来才是快速响应。