本节书摘来自华章出版社《信息安全保障》一书中的第2章,第2.2节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看
2.2 我国信息安全保障工作主要内容
为构建信息安全保障体系,我国已经在信息安全标准化、应急处理与信息通报、等级保护、风险评估和人才队伍建设等方面展开工作,并取得了一些成果。
2.2.1 信息安全标准化
信息安全标准为信息安全保障各项工作提供规范,为保障工作的各参与方提供交流和评判的基准,因此,信息安全标准化是国家构建信息安全保障体系的重要基础环节。
1.?意义
信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行宏观管理的重要依据,同时也是保护国家利益、促进产业发展的重要手段之一。虽然国际上有很多标准化组织研究制定了多个信息安全标准,但是由于信息安全标准事关国家安全利益,因此不能过分依赖于国际标准,而是要在充分借鉴国际标准的前提下,通过本国组织和专家制定出符合本国国情并可以信任的信息安全技术和管理等领域的标准,切实有效地保护国家利益和安全。
信息安全标准是解决信息安全产品和系统在设计、研发、生产、建设、使用和测评中的一致性、可靠性、可控性、先进性和符合性的技术规范与依据。信息安全保障体系的建设是一个极其庞大的复杂系统,没有配套的安全标准,就不能构造出一个可用、实用的信息安全保障体系。信息安全标准化建设作为我国信息安全保障体系的重要组成部分,具有极其重要的意义。
信息安全标准化工作是解决信息安全问题的重要技术支撑,其作用突出地体现在能够确保有关产品、设施的技术先进性、可靠性和一致性。在按国际规则实行IT产品市场准入时能够为相关产品的安全性合格评定提供依据,以强化和保证我国信息化的安全产品、工程、服务的技术自主可控。
2.?实践历程
目前,国务院授权在国家质量监督检验检疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设有529个专业技术委员会。中国标准化工作实行统一管理与分工负责相结合的管理体制,由88个国务院有关行政主管部门和国务院授权的有关行业协会分工管理本部门、本行业的标准化工作,由31个省、自治区、直辖市政府有关行政主管部门分工管理本行政区域内本部门、本行业的标准化工作。
1984年7月,在我国的全国计算机与信息处理标准化技术委员会下,建立了相应的数据加密分技术委员会,在国家技术监督局和原电子工业部的领导下,归口管理国内外的信息技术数据加密的标准化工作。1997年8月,随着信息技术的发展和工作范围的扩大,在原数据加密分委员会的基础上,改组成立了信息技术安全分技术委员会(与国际ISO/IEC JTC1/SC27信息技术的安全技术分委会对应)。它是一个具有广泛代表性、权威性和军民结合的信息安全标准化组织,其工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化,归口国内外对应的标准化工作。2002年4月,经国家标准化管理委员会批准,全国信息安全标准化技术委员会(简称“信安标委”,委员会编号为TC260)正式成立。
信安标委成立后,逐步形成“基础性研究——标准预研——标准制定”3个阶段波浪式的标准研制新模式,以工作组为主体开展信息安全标准的研究制定工作。工作组由国内信息安全技术领域的有关部门、研究机构、企事业单位及高等院校等代表组成,是标准研制的技术力量。目前正式成立了信息安全标准体系与协调工作组(WG1)、涉密信息系统安全保密工作组(WG2)、密码工作组(WG3)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)、通信安全工作组(WG6)和信息安全管理工作组(WG7)7个工作组。
信安标委制定形成了我国信息安全标准体系框架,并以该标准体系框架作为指导我国信息安全标准制订工作的指导性技术文件,围绕信息安全保障体系建设,积极开展了配套标准的研究制定工作。
除全国信息安全标准化委员会、公安部信息系统安全标准化技术委员会、中国通信标准化协会网络与信息安全技术工作委员会3个专业性信息安全标准化组织外,我国其他有关主管部门和地方政府也发布了部分信息安全行业标准或地方标准。
2.2.2 信息安全应急处理与信息通报
发生信息安全事件可能造成严重损失和恶劣社会影响,我国非常重视信息安全事件管理。应急处理与信息通报是信息安全事件管理的重要内容。加强信息安全应急处理与信息通报是信息安全保障实践活动的重要内容,能够提高安全事件的整体应对能力。
1.?意义
国家信息基础设施安全应急保障工作是国家信息安全保障体系建设的重要组成部分。建立健全应急处理与信息通报机制依赖于建设和完善信息安全监控体系,提高网络安全事件应对和防范能力,防止有害信息传播。因此,高度重视信息安全应急处置工作,健全信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案,具有十分重要的意义。
1)信息安全应急处理与信息通报工作是国家信息安全保障工作的基本制度和重要措施。
建立国家网络与信息安全通报机制,有利于各部门、各领域实现信息交流与共享,综合分析安全威胁和安全状况,做好信息安全预警和防范工作,提升对信息安全事件的快速反应和整体应对能力,保证应对措施的及时性和有效性;有利于国家调动和整合各领域的有利资源,迅速、全面掌握整体情况,及时做出决策部署;有利于全社会增强安全防范意识,共同参与信息安全保障工作。因此,建立国家网络与信息安全通报制度,是国家信息安全保障工作的基本制度和重要举措。
2)信息安全应急处理与信息通报工作有利于提高基础信息网络与重要信息系统的信息安全防范、保障能力。
建立国家网络与信息安全信息通报制度,能够及时、全面地收集、汇总各方面的网络与信息安全信息,经过综合研判分析,提出对策、建议并及时通报基础信息网络和重要信息系统,为事件发生单位提供对策和技术支持,为其他单位提供预警信息,从而协助基础信息网络和重要信息系统全面掌握国内、外网络与信息安全政策和技术动态,有针对性地制定和实施安全防范措施,增强网络与信息安全防范、保障能力,确保涉及国计民生的基础信息网络和重要信息系统的安全。
3)信息安全应急处理与信息通报工作有助于加强国家网络与信息安全应急处置工作。
建立国家网络与信息安全通报制度,能够在发生重大网络与信息安全事件时,在国家网络与信息安全协调小组和成员单位之间以及各成员单位之间,建立畅通的信息交流渠道,全面收集事件的相关情况,及时上报协调小组,同时将协调小组的预警命令和决策部署下达到成员单位,做好预警和防范工作,建立健全国家信息安全应急处置协调机制和指挥调度机制,提高对网络与信息安全事件的快速反应和整体应对能力,保证应急处置措施的及时性和有效性,确保国家基础信息网络和重要信息系统的安全。
2.?实践历程
信息安全应急保障体系包括组织机构、标准法规、支撑系统和运行能力4个方面。组织机构是负责国家信息基础设施安全应急处理与通报工作的主体;标准法规是实施国家信息基础设施安全应急处理与通报工作的行为准则和技术标准;支撑系统是支持国家信息基础设施安全应急处理与通报工作实施的技术手段;运行能力是组织机构按照标准法规、利用支撑系统处置国家信息基础设施安全应急事件的能力。
(1)信息安全应急处理机制的建立
2000年,我国成立了国家计算机网络应急技术处理协调中心(National Computer network Emergency Response technical Team Coordination Center of China,CNCERT/CC)、国家计算机病毒应急处理中心和国家计算机网络入侵防范中心,建立了最早的技术合作雏形。后来根据在2001年应对一系列大规模网络安全事件中得到的经验教训,这个合作体系又扩大到各骨干互联网运营单位。扩展后的合作体系使我国对大规模网络安全事件的应急响应效率和能力有了极大的提高。自2003年起,各部门都开始制定与互联网相关的应急预案,开始重视应急协调预案和不同部门间的协调。根据新的网络安全威胁特点,这个体系在2004年又进行了进一步的扩展和调整,形成了我国公共互联网络应急处理体系,以便发挥政府、产业界、专业组织、研究机构和安全企业等方面的作用,在中央和地方组成的核心框架下,形成有机整体,使网络安全事件的预防、应对能力均得到更全面、更有效的加强。
我国的应急响应机构包括CNCERT/CC、中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team,CCERT)及其他专业性的组织。CNCERT/CC由工业和信息化部(以下简称“工信部”)互联网应急处理协调办公室直接领导,负责协调我国各计算机网络安全事件应急组(Computer Emergency Response Team,CERT),共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急和防范等安全服务和技术支持,及时收集、核实、汇总和发布有关互联网安全的权威性信息,组织国内计算机网络安全应急组织进行国际合作和交流。CCERT是中国教育和科研计算机网CERNET专家委员会领导之下的一个公益性的服务和研究组织,从事网络安全技术的研究和非营利性质的网络安全服务。目前,CCERT的应急响应体系已经包括CERNET内部各级网络中心的安全事件响应组织或安全管理相关部门,是一个由30多个单位组成、覆盖全国的应急响应组织。其他专业性的应急组织还包括国家计算机病毒应急处理中心、国家计算机网络入侵防范中心、国家863计划反计算机入侵和防病毒研究中心。
(2)信息安全通报机制的建立
网络信息的安全保障和应急处置涉及多个部门、多个层次,需要建立和规范对影响网络与信息安全的事件的发现、分析、通报、预警以及处置的工作机制,以便统一发布危害警报,统一协调行动。协同加强安全防范,确保一旦发生大规模病毒感染、网络攻击及其他网络信息安全事件时,能够及时有效处置,减少危害损失和影响范围。
根据“谁主管、谁负责;谁经营,谁负责”的原则,强化各个部门的信息汇总和研判工作,在国家网络与信息安全协调小组的领导下,形成跨部门的网络与信息安全有关信息的共享机制。坚持政府主导,充分发挥社会中介的作用。采用分类、分级的处理方式,规范网络与信息安全的预警和通报工作,及时有效地化解安全风险。
“分类、分级”的预警与通报机制由公安部负责协调小组成员单位和各重要信息系统主管部门的网络与信息安全信息汇总和反馈工作。发生网络信息安全事件后,协调小组成员单位和各重要信息系统主管部门除按正常渠道上报外,必须及时通知公安机关,公安部在综合分析后,及时将研判结果通报各有关单位。公安部公共信息网络安全监察部门,面向全国接受网络与信息安全方面的报警,组织对计算机安全犯罪行为的调查和打击,研究并提出相应的应对措施,分析研判信息安全问题的性质、危害程度和可能的影响范围,必要时向政府机关、科研单位和网络营运管理部门发布安全预警信息。发生网络安全事件后,各部门、各单位、各网络运营单位和社会公众有义务及时向各级公安机关报告。
工信部负责基础电信网络和互联网的网络与信息安全事件通报,通过CERT的协作机制,接受网络与信息安全事件报告,分析研判信息安全事件的性质和危害程度,研究提出相应的对应措施,组织技术应急,面向基础电信网络和互联网发布预警信息。
国家网络与信息安全协调小组办公室将定期对国家网络与信息安全的总体形势进行综合研究和会商,研究提出相应的管理和技术政策建议,并向国务院报告。出现可能影响社会稳定和国民经济正常运行的网络与信息安全威胁时,随时组织会商,及时报告。
2.2.3 信息安全等级保护
实施信息安全等级保护能够针对不同系统有效实现恰当保护,提供所需级别的保护能力,是我国在相应法规、政策和标准的基础上推行的一项重要信息安全保障工作。
1.?意义
近年来,党中央、国务院高度重视,各有关部门协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施不到位,监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济发展和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定是当前信息化发展中迫切需要解决的重大问题。
实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统实施分等级保护,重点保障基础信息网络和关系国家安全、经济命脉和社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适合社会主义市场经济发展的信息安全模式。
实行信息安全等级保护,本质上就是要明确重点、确保重点。首先是要明确重点,在国家层面,这个重点就是那些关系国家安全、经济命脉、社会稳定的基础网络和重要信息系统。对于部门、地方和企业而言,也应根据实际确定自己的保护重点。其次,在系统定级的基础上,还要综合平衡信息安全风险和建设成本,进一步确定重点部位,将有限的资源用到最急需、最核心的地方,根据安全等级进行建设和管理,确保核心系统安全。最后,实行等级保护要坚持从实际出发。我国的信息化发展不平衡,东中西部差异较大,不同部门、不同地区信息化所处的发展阶段不同,面临的信息安全风险和信息安全需求也不一样。因此,在信息安全保障中必须从实际安全需求出发,不能片面追求“绝对安全”,搞不计成本的安全,也不能搞一刀切、上下一般粗、全国一个模式。必须区分轻重缓急,根据不同等级、不同类别、不同阶段,突出重点,将有限的资源用到最急需保障的地方。这也是实事求是思想路线在信息安全保障工作中的具体体现。
信息安全等级保护是国家信息安全保障的基本制度和方法,开展信息安全等级保护工作是促进信息化发展,保障国家信息安全的重要举措,也是我国多年来信息安全工作的经验总结。开展信息安全等级保护,就是要解决我国信息安全面临的威胁和存在的主要问题,有效体现“适度安全、保护重点”的目的,将有限的财力、物力和人力投入重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效提高我国信息和信息系统安全建设的整体水平。
2.?实践历程
1994年2月18日,《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)发布,以国务院行政法规的形式正式确定对我国境内的计算机信息系统实行安全等级保护制度,明确公安部作为主管单位,对具体工作从法律上做了明确规定,由公安机关负责国家信息安全等级保护工作的监督、检查和指导,公安部会同有关部门制定安全等级划分标准和保护的具体办法,公安部根据本条例制定实施办法。
(1)研究制定等级保护的准则、规范和标准
1999年,GB 17859—1999《计算机信息系统安全保护等级划分准则》(以下简称《划分准则》)发布。这是一部强制性国家标准,它既是一部技术法规,也是等级保护的重要基础标准,它从功能上把信息系统的安全等级划分为5个级别的安全保护能力。随后,国家先后颁布了多部信息安全等级保护相关标准,逐步形成等级保护标准体系。
(2)强化等级保护
为了进一步贯彻落实27号文件精神,推动等级保护工作,2004年9月15日,公安部会同国家保密局和国信办共同研究制定《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称《实施意见》),把等级保护确认为国家信息安全的基本制度和根本方法,明确了信息安全等级保护的建设原则、工作要求、实施计划,对信息等级保护工作做了更加具体的明确,把等级保护提到一个新的高度。2005年《实施意见》下发,等级保护工作全面启动。
2005年9月15日,国信办正式发布《电子政务信息安全等级保护实施指南(试行)》(国信办[2005]25号)(以下简称《实施指南(试行)》),着重阐述了电子政务信息安全等级保护的基本概念、工作方法和实施过程,供各级党政机关在新建和已建电子政务系统中开展信息安全等级保护工作参考。
(3)开展等级保护基础调研
2005年底,公安部和国信办联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号),就此拉开2006年信息安全等级保护工作的序幕。2006年1月17日,根据《实施意见》,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室(以下简称“国信办”)联合发布《关于印发〈信息安全等级保护管理办法(试行)〉的通知》(公通字[2006]7号),于2006年3月1日起实施。
2006年5月20日,信息安全等级保护基础调查工作初步完成,共调研了涉及各级财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业、公用通信和广播电视传媒等4897个信息系统。
(4)开展等级保护试点工作
2006年5月19日,由公安部副部长任组长,公安部、国家保密局、国家密码管理局和国信办有关领导为成员的国家等级保护工作协调小组召开了第一次会议。信息产业部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、国家电网公司、证监会和保监会等国家基础信息网络和重要信息系统主管部门的有关领导参加了本次会议。2006年6月6日,公安部、国家保密局、国家密码管理局和国信办联合正式下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号),确定从2006年7~10月组织开展信息安全等级保护试点工作。
(5)开展等级保护定级工作,等级保护获得快速推进
2007年6月22日,公安部、保密局、密码管理局和国信办四部委联合正式下发《关于印发〈信息安全等级保护管理办法〉的通知》(公通字[2007]43号),标志着信息安全等级保护工作的正式实行。该管理办法正式确定了信息安全等级保护制度的基本内容及各项工作要求,进一步明确了国家、公民、法人和其他组织在等级保护工作中的责任和义务,各职能部门在信息安全等级保护工作中的职责分工,以及信息系统运营使用单位、行业主管部门的安全保障法律责任。
公安部、国家保密局、国家密码管理局和国信办于2007年7月26日联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),部署各省、自治区、直辖市公安、保密、密码管理、信息化领导小组办公室以及中央和国家机关各部委相关部门组织开展重要信息系统安全等级保护定级工作。
2.2.4 信息安全风险评估
重视信息安全风险评估是信息化发达国家的重要经验,作为风险评估先驱者的信息化发达国家越来越重视信息系统风险评估工作。早在20世纪70年代初期,美国政府就提出了风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露和未授权访问等造成损失的大小,制订、实施和维持信息安全计划,以保证信息和信息系统的适度安全。2002年颁布的《2002联邦信息安全管理法》对信息安全风险评估提出了更加具体的要求,指定联邦管理和预算办公室(Office of Management and Budget,OMB)督促这项工作,要求各联邦机构周期性地评估各自信息和信息系统的未授权访问、信息泄露、服务中断和系统破坏所造成的风险和危害,周期性地测试信息安全措施和技术的有效性。
2006年6月,美国国土安全部正式发布了《国家基础设施保护计划》(National Infrastructure Protection Plan,NIPP)。NIPP是美国国土安全框架的一个关键要素,它是建立于一系列国家战略之上,包括2002年7月发布的《国土安全战略》,2003年2月发布的《关键基础设施和重要资产物理保护的国家战略》,2003年2月发布的《保护网际空间国家战略》,以及2003年12月发布的第7号国土安全总统令。从NIPP和这一系列美国国家战略中可以看出,以风险管理框架为基础开展风险评估工作,已经成为美国等西方发达国家保障关键基础设施和重要资源,从而保护国土安全的一个核心要素和重要手段。
1.?意义
信息安全风险评估是信息安全保障体系建立过程中一种重要的评价方法和决策机制,在信息安全保障体系建设中具有不可替代的地位和重要作用。信息安全风险评估是信息安全保障的基础性工作,它既是明确安全需求、确定安全保障重点的科学方法和手段,又是信息安全建设和管理的重要保证。没有准确及时的风险评估,各个机构无法对其信息安全的状况做出准确的判断。
风险评估工作的目的是为国家信息化发展服务,促进信息安全保障体系的建设,提高信息系统的安全保护能力。目前,国家关键基础设施对信息系统的依赖性越来越强,因此,许多重要信息网络和重要信息系统单位开展信息安全风险评估的需求越来越迫切,一些大型应用行业在考虑信息系统建设的布局时,已经在信息安全评估、咨询和规划方面投入了实质性的资金支持。现阶段,风险评估工作的主要任务是要认清信息安全环境和状况,采取和完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。
风险评估工作的意义和作用,具体体现在以下几个方面。
(1)信息安全风险评估是信息安全建设的起点和基础
信息安全风险评估是科学分析信息和信息系统在保密性、完整性和可用性等方面所面临的风险,揭示一个组织机构的风险状况,并提出改进风险状况的建议的工作。只有在正确、全面认识风险后,才能在控制风险、减少风险、转移风险和接受风险之间做出正确的判断,才能决定调动多少资源,采取何种应对措施去化解、降低风险。所有信息安全建设和管理都应该是基于信息安全风险评估的结果,只有这样,信息安全建设才能做到从实际出发,坚持需求主导、突出重点,以最小的代价去最大程度地保障安全。
风险评估既是实施信息系统安全等级保护的前提,又是信息系统安全建设和安全管理的基础工作。通过风险评估,能及早发现和解决问题,防患于未然。当前,尤其迫切需要对我国基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估,随时掌握其安全状态,及时采取有针对性的应对措施,为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况,明确信息化建设中各级的责任,采取或完善更加经济有效的安全保障措施,保证信息安全策略的一致性和持续性,进而服务于国家信息化的发展,促进信息安全保障体系的建设,全面提高信息安全保障能力。
(2)信息安全风险评估是信息安全建设和管理的科学方法
信息系统的安全性取决于系统的资产、脆弱性和威胁等多种安全要素,这些要素之间的关系以及与系统环境的关系。资产包括设备、软件、数据以及人员等,脆弱性包括系统自身在结构上、管理上和技术上的弱点和不足,威胁有自然威胁与人为威胁、内部威胁与外部威胁等,包括病毒传播、黑客攻击、网络窃密等。风险评估提供了这样一种科学的方法,它将系统的风险理论应用于某一组织的具体生产运营环境,使组织的管理层和决策层能了解组织信息安全的客观状况,基于对现状的了解,才能做出后续信息安全相关建设的正确决策。
(3)风险评估实际上是在倡导一种适度安全
从理论上讲,不存在绝对的安全,风险总是客观存在的。风险评估并不追求零风险,不计成本的绝对安全,或者试图完全消灭风险。信息安全风险评估要求在认清风险的基础上,决定哪些风险是必须要避免的,哪些风险是可以容忍的。也就是说,信息安全风险评估要求组织的管理者在风险与成本之间寻求一个最佳平衡点,这体现了适度安全的原则。
2.?实践历程
在我国,实施信息安全风险评估已有十余年。国家政策性文件《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)对信息安全风险评估工作的重视,促使我国的信息安全风险评估工作开始进入快车道。为贯彻国家政策对风险评估工作的要求,2003年,国信办成立课题组,启动了信息安全风险评估工作。课题组通过调研、标准编写和试点3个阶段的工作,先后对北京、广州、深圳和上海4个地区十几个行业的50多家单位进行了深入细致的调查与研究。在调查研究的基础上,课题组撰写了《信息安全风险评估调查报告》和《信息安全风险评估研究报告》,全面介绍信息安全风险评估的基本概念、基本理论和基本方法,阐述了信息安全风险评估的意义以及在我国推动信息安全风险评估工作的具体建议。
2004年1月9日,全国信息安全保障工作会议在北京召开,该会对风险评估工作提出了明确要求,要“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根据风险评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查。”2004年3~9月,国家信息中心组织国内二十多家单位,编制完成了《信息安全风险评估指南》、《信息安全风险管理指南》等标准规范草案。
2005年2~8月,国务院信息办在北京市、上海市、黑龙江省、云南省、人民银行、税务总局、国家电网公司、国家信息中心等地方、部门和单位组织开展了国家基础信息网络和重要信息系统信息安全风险评估试点工作,进一步完善两个标准草案并验证两个标准草案的可用性,为全面推广信息安全风险评估工作,出台信息安全风险评估相关政策文件进行了实践探索。开展风险评估试点工作显著提高了试点单位信息安全防护和管理水平,探索了风险评估工作的基本规律和方法,检验并完善了有关标准,培养和锻炼了人才队伍。
2005年12月16日,国家网络与信息安全协调小组正式通过了《关于开展信息安全风险评估的意见》,于2006年1月正式发布,标志着我国将开始在全国范围内,尤其是基础信息网络和重要信息系统,推进信息安全风险评估工作,使信息安全风险评估工作在实践中更加深入。该意见明确关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估技术服务由国家专控队伍承担。中国信息安全测评中心和国家信息技术安全研究中心是国家信息安全风险评估专控队伍。自2006年起,每年国信办都组织风险评估专控队伍对全国基础信息网络和重要信息系统进行检查。2006年3月7日,国信办分别在北京、云南组织召开了全面推进信息安全风险评估工作的宣贯会,由此拉开我国分步全面推广信息安全风险评估工作的序幕。
2007年发布的GB/T 20984—2007《信息安全风险评估规范》和2009年发布的GB/Z 24364—2009《信息安全风险管理指南》,使我国的风险评估和风险管理工作更趋规范。
2.2.5 灾难恢复
灾难恢复能力是信息安全保障能力的重要组成部分。灾难性事件的破坏力是巨大的,然而最近几年,灾难性事件频发,由此导致很多关键业务系统中断,造成严重后果。确保灾难过后关键业务能在较短时间内恢复是信息安全保障工作的目标之一。灾难恢复规划是实现业务连续性的重要步骤,是信息安全保障实践的重要内容。
1.?意义
灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从不正常状态恢复到可接受状态而设计的活动和流程。
当前,信息系统灾难恢复工作已经引起了国家、社会和单位的高度重视。灾难恢复是单位保持业务连续运作的需要,长期可持续发展的要求。它是单位加强风险管理,提高市场竞争力的重要手段,同时也是保证国家安全、人民利益、社会稳定和经济发展的需要。国内、外一系列已经发生的信息安全事件表明,如果没有应对灾难的准备和一定的恢复能力,重要信息系统一旦发生重大事故或者遭遇突发事件,将严重影响国民经济发展和社会稳定。灾难恢复是为高风险、低概率事件所准备的。在一般情况下,灾难恢复资源处于闲置状态,但当灾难来临时,若灾难备份中心不能正常发挥作用,将对单位和社会造成巨大的损失和影响。而信息系统灾难恢复管理是信息安全保障的重要组成部分,灾难恢复建设是现有信息系统安全保护的延伸,承载灾难恢复系统建设的灾备中心是保障信息安全的重要基础设施。灾难恢复是整个信息安全应急工作的一个重要环节,是信息安全综合保障的最后一道防线。我国政府高度重视重要信息系统的灾难备份和灾难恢复工作,出台了有关政策和指南。
2.?实践历程
20世纪90年代末期,一些单位在信息化建设的同时,开始关注数据的安全保护,进行数据的备份和恢复。但当时,无论从灾难恢复理论水平、重视程度、从业人员数量和质量,还是技术水平方面都很不成熟。
2000年的“千年虫”事件和2001年的“9•11”事件引发了国内对信息系统灾难的集体性关注。随着国内信息化建设的不断完善,以及数据大集中的开展,国家对灾难恢复工作高度重视,越来越多的单位和部门认识到灾难恢复的重要性和必要性,开展灾难恢复建设的时机已基本成熟。
2002年4月,银监会颁布了《商业银行内部控制指引》,其中第八章《计算机信息系统的内部控制》第一百一十七条指出:建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全;第一百三十一条中明确规定:商业银行应当建立计算机安全应急系统,制订详细的应急方案,并定期进行修订和演练。数据备份应当做到异地存放,在条件允许时,应当建立异地计算机灾难备份中心。2002年8月,人民银行下发的《中国人民银行关于加强银行数据集中安全工作的指导意见》中明确规定:“为保障银行业务的连续性,确保银行稳健运行,实施数据集中的银行必须建立相应的灾难备份中心”。
2004年9月,国信办印发了《关于做好重要信息系统灾难备份工作的通知》(信安通[2004]11号),对做好国家重要信息系统灾难备份工作的主要目标、基本原则和近期任务提出了明确要求。文件强调了“统筹规划,资源共享,平战结合”的灾备工作原则。为进一步推动8个重点行业加快实施灾难恢复工作,国信办于2005年4月下发了《重要信息系统灾难恢复指南》(以下简称《指南》),指明了灾难恢复工作的流程,灾备中心的等级划分及灾难恢复预案的制定,使得灾难恢复建设迈上了一个新的台阶。
2006年,在《指南》工作组的基础上,成立了标准工作组,编写《信息系统灾难恢复规范》(以下简称《规范》),编制任务由全国信息安全标准化委员会下达,由中国信息安全测评中心承担。2007年6月14日《规范》正式发布,编号为GB/T 20988—2007,这是我国灾难恢复行业第一部国家标准。
除了国家政策上的支持,近年来,各行业为了提高信息系统的可靠性,也逐步展开了信息系统的灾难恢复建设。随着各单位对灾难恢复重视程度的提高,相关管理办法和规范陆续出台,2004年,中国灾难恢复市场开始初具规模。目前,深圳市已经开始建设灾备中心,北京、上海、广州和杭州等地方政府正在研究建设灾备中心。有关部委也在启动灾难恢复工作,海关总署已建成灾备中心,其他一些单位的灾备中心也在建设或规划中。
2005年5月和2006年7月,在国务院信息办的指导下,中国信息产业商会信息安全产业分会分别在广东南海和北京成功举办了灾难恢复行业高层论坛和研讨会,对中国灾难恢复行业有序、健康发展起到了积极推动作用。
2.2.6 人才队伍建设
构建信息安全保障体系的各项工作,都需要具有相应信息安全知识和技能的人员来推动。然而,信息安全人才短缺却是当前我国信息安全保障工作面临的主要问题之一。针对这一现状,国家已经先后在多个政策和规划当中提出加快加强信息安全人才队伍建设的要求。
1.?意义
在整个信息安全保障工作中,人是最核心、最活跃的因素,信息安全保障工作最终也是通过人来落实的。因此,加快信息安全人才培养体系建设是发展我国信息安全保障体系必备的基础和先决条件。
多年来,国家高度重视我国信息安全人才队伍的培养和建设。2003年9月,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号),针对信息安全人才建设与培养工作提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神。2010年4月6日,中央军委印发《关于加强新形势下军队信息安全保障工作的意见》,意见提出要加强信息安全人才队伍建设,抓好专业力量训练和组织运用,要充分发挥广大官兵在信息安全防护中的主体作用,采取多种形式开展信息安全教育,进一步增强信息安全意识。2012年5月,国务院常务会议发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》,明确提出加强宣传教育和人才培养,开展面向全社会的信息化应用和信息安全宣传教育培训。
我国培养信息安全人才以建成国家信息安全保障体系为目标,明确信息安全人才培养的使命,把培养信息安全高级人才与信息安全的普及教育相结合,提高公民的信息安全意识。在加强学科教育的同时,加大信息安全职业培训的规模,满足社会信息化发展的需求。
2.?实践历程
2005年,教育部发布《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》,从加强信息安全学科体系研究、信息安全硕士和博士点建设、稳定信息安全本科专业设置和建立信息安全继续教育制度等十个方面提出了指导性意见。2007年我国成立了“教育部高等学校信息安全类专业教学指导委员会”,进一步促进了高校的信息安全学科建设。
1999~2012年,我国已有80余所高校建立了信息安全本科专业,每年培养信息安全类专业本科毕业生近万人,信息安全学科建设和人才培养进入热潮阶段。从2001年武汉大学创建全国第一个信息安全本科专业,到北京大学软件与微电子学院宣布正式成立信息安全系,各高校在互联网安全监察、等级保护、风险评估、网络攻防、内容安全、数字版权保护、安全策略管理、安全系统设计与监理、计算机犯罪取证、安全标准与管理规范等多个方面形成了信息安全工程硕士的培养体系,并已经向政府立法、执法、监管和广大企、事业单位输送了大批专门人才。我国信息安全专业教育已基本形成了从专科、本科、硕士、博士到博士后的正规高等教育人才培养体系。
除正规大学教育外,我国信息安全非学历教育已基本形成了以各种认证为核心,辅以各种职业技能培训的信息安全人才培训体系。这种培训认证是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。目前,我国信息安全认证培训主要是政府相关部门的认证,如中国信息安全测评中心的“注册信息安全专业人员”(Certified Information Security Professional,CISP)资质认证;以及一些信息安全企业认证,如微软、思科等。这些都对提高信息安全专业人员的理论和技术水平,提升信息安全产业的竞争能力,强化国家信息安全管理起到了重要作用。
然而,我国现有信息安全人才培养状况尚不能满足国家政府部门、基础信息系统和网络等关系到国计民生的重要部门与行业的需求。一方面,国内每年对信息安全人才的需求量高达数十万,今后一段时间,还将持续增长,而人才供给(包括学历教育和在职教育)每年不到3万人,在未来一段时间内,信息安全从业人员的数量同社会实际需求仍然存在较大缺口。另一方面,信息安全人才综合能力要求高,知识更新快,而当前我国信息安全教育应用实践性不足,难以满足用人单位的深层次、个性化要求。
