信息安全要创建“四种能力” 落实等级保护制度

  面对信息化的高速发展,信息安全面临着极其严峻的形势。为此我们ZDNet安全频道采访了国家信息化专家咨询委员会曲成义老师,曲成义老师对信息安全的认识和应采取的对策作了精辟的概述,下面就让我们来分享一下他的见解:  

  (一)要重视“信息安全”的四大特征和难点

  1、被“信息安全”保护的对象(网络信息系统)是一个“复杂巨系统”,它包括了大量的软件和硬件的IT产品;一个跨部门和跨地域的网络通信系统;一套组织管理和标准规范的机制;一个机房、电力和安保的物理环境;一批运维、管理和应用的人群;大量珍贵和敏感的信息资源。这些都与部门业务紧密耦合,运作协调机制复杂。要保护这个“复杂巨系统”的安全,使其保证部门业务的可持续性,就带来了巨大的艰巨性。

  2、社会正在对“网络信息系统”形成强烈的依赖,信息安全使命艰巨。随着信息化的快速发展,信息化已快速融入到政治、经济、文化、军事、社会的各个领域,如电子政务、电子商务、数字企业、数字社区、远程教育、网络银行等,使整个社会对网络信息系统形成了强烈的依赖,如果由于信息安全原因,使系统瘫痪不能提供服务,给社会造成的影响将是严重的,一些重要领域想恢复原手工操作模式已成为不可能,这种严重后果必须要有清醒的认识。

  3、信息安全是一种高技术的对抗。

  信息安全的威胁方(黑客、病毒、间谍软件……)正在利用高技术手段,对网络信息系统实施侵入、干扰、窃取和破坏,而其使用的的高技术手段不断花样翻新和日新月异,如“病毒”利用系统的漏洞侵入和泛滥,十年前从寻找漏洞到病毒入侵系统和泛滥,需要几个月或一年的时间,而现在可能只需要一天,即称为“零日攻击”。“间谍软件”潜入系统窃密途径,DDOS拒决服务攻击方式等都在快速的利用高技术手段,因此防护者也必需要采用高技术手段,要高于它才能奏效,对于这场高技术对抗的艰巨性必须要有充份的认识。

  4、信息安全的攻守双方严重的不对称,易攻难守。

  网络信息系统是在为全社会各领域提供信息及其服务,其大部分资源和服务是暴露在明处,而攻击者是在暗处,它较易捕捉你的弱点,伺机侵入、潜伏、窃取和破坏,使信息安全保护者处于被动地位。

  (二)、认真落实信息安全的重要使命

  信息安全要创建“四种能力”:

  1、构建完善的信息安全基础设施,为信息安全提供公共的支撑能力。如建立由数字认证、安全测评、网络监控、事件通报、应急支援、灾难恢复、舆情治理等信息安全基础支撑平台和支撑体系。

  2、提升信息安全的防护与对抗能力。信息安全的攻与防是一个过程,要从预警、监测、防护、恢复、反击等过程中各个环节都要采取有效的对抗手段,才能奏效。

  3、建立应对网络突发灾难事件的应急和容灾能力。当网络突然灾难事件来临时,要启动应急预警,采取灾难恢复机制,即使在全系统毁灭的情况下,也能在异地即时恢复信息系统的使命,保持业务的可持续性。

  4、强化信息安全管理可控能力。鉴于信息系统的复杂性和使用行为的多样性,可靠技术手段是不能完全奏效的,必须要动用管理可控手段,双管齐下,所以信息安全的对策是技术与管理手段并用。

  信息安全要保障信息及其服务具有“6性”:

  信息的“保密性”、信息的“完整性”、系统及服务的“可用性”、信息内容及立体行为的“可核查性”、主客体身份的“真实性”,主体行为和信息内容的“可控性”。

  (三)、果断推进,信息安全的全局对策

  1、落实信息安全的等级保护制度

  认真落实国家的相关信息安全的等级保护制度文件,根据网络信息系统使命的重要性,信息系统资产价值和对社会的影响程度,确定信息系统相应的安全等级,其目的是在信息安全投入(资金、人力、资产……)与系统所能承受最小风险之间找一个科学的平衡点,保护国家、社会和业主的最大利益。

  2、构建网络信息系统的“信息安全保障体系”

  根据信息系统的安全等级,依据国家已发布的相关标准和规范,构建或者调整网络信息系统的信息安全保障体系,在信息安全保障体系建设或调整中,在作好信息系统安全需求分析的基础上,要重点抓好:①、网络纵深防御体系的设计,安全域的科学划分和安全边界的有效隔离。②、网络动态防护机制设计,安全机制能在安全对抗的全生命周期过程中有效协同和对抗。③、建设好基于密码技术的网络信任体系,包括身份认证,授权管理和责任认定。④、强化内部审计,从网络级、数据库级、系统级、主机级和介质级的全局审计入手,并逐渐使审计点前移。⑤、建设好信息系统的“信息安全管理体系”(ISMS),遵从PDCA模型,不断优化ISMS。

  3、抓好信息安全测评的风险评估工作

  鉴于网络信息系统是一个“复杂巨系统”,其信息安全检测与风险评估就是一项“系统工程”,在重视培育自评估能力的同时,要重点通过专业的第三方(行政检查评估或服务委托评估),即时发现隐患,采取对策,调整系统,提升强度,与所确定的安全等级相匹配。

  4、重视应急预案建立与灾难恢复系统建设

  国家已发布了网络信息系统应急与预案的相关文件,以健全在网络突发事件中网络信息系统的应急对策,提升系统的应急能力。作力应急恢复的最后一道防线,要对“灾难恢复”即早作好准备,有备无患。国家已出台了有关灾难恢复的相关文件和标准规范,在认真作好需求分析的基础上制定好应急预案,建设好灾难恢复系统,以保障系统业务的可持续能力。

  总结

  曲老师站在全局的高度,深刻的剖析了信息安全的特征和难点,点出了信息安全的重要使命,并从信息安全的顶层设计出发,总结出四项全局对策,值得我们认真品味和思索。曲老师认为:信息安全的最终目标,就是要使信息化更安全的融入到社会各行业和各领域中去,以保障国家信息化更健康快速的发展,推进国家的兴旺与强大。

时间: 2024-10-22 09:19:02

信息安全要创建“四种能力” 落实等级保护制度的相关文章

关键信息基础设施保护必须以等级保护制度为基础

近年来,有关网络安全的话题从未停歇.随着"棱镜门"事件的曝光,国家间的信息安全对抗日益公开化,网际空间的安全威胁正呈国际化.复杂化.组织化趋势发展. 如今,以云计算.大数据.物联网.工业互联网为代表的新技术得以迅速应用,更多的传统能源.电力.交通基础设施联入网络,成为关键信息基础设施有机组成部分. "关键信息基础设施"一词看似抽象,却是网络安全的重中之重.在最近的一年里,中国互联网络信息中心(CNNIC)安全管理部副主任张新跃一直在做网络安全基础设施的标准制定工作.

一个SEOer应该O必备的四种能力

一名合格的SEO必须具备从网站方案建立及网站建设,将流量引导至转化而获得用户的成交的一个整个过程才属于是一个合格的SEO人员.一名合格的SEO人 员除了要具备有专业的SEO技术水平外,还需要对数据的监控和分析能力及平和的心态,以及对所从事的行业非常了解,才能做好SEO.以下为一个SEO必备的能力. 1.网站的分析策划.网站在建站之前必须对行业需求进行分析,根据用户需求来合理地制定SEO方案.一旦我们的SEO方案确定,后期就不要轻易地去改动,否则会影响我们SEO的进度和排名.而且一般网站的降权有百

中国云体系联盟举办等级保护制度推进实施研讨会

为深入贯彻落实全国网络安全和信息化会议精神,通过政产学研联动方式深化推动全国信息安全等级保护工作的开展,作为中国云体系产业创新战略联盟主办的"中国网络空间和可信云安全深度研讨会"系列活动之一,"等级保护制度在<网络安全法>背景下的推进实施"座谈会,于2017年3月21日在北京成功举办.此次会议由中关村信息安全测评联盟.紫光互联科技有限公司.微软(中国)有限公司.和世纪互联宽带数据中心有限公司联合主办.公安部网络安全保卫局重要信息系统监察处副处长祝国邦,中

等级保护制度已进入2.0时代,云等保标准颁布在即

近年来随着国内外网络安全形势发展,网际空间已经成为继海.陆.空.天之后的第五空间,成为新形势下国家安全的重要领域之一.随着"棱镜门"事件的曝光,国与国之间的信息安全对抗日益公开化,网际空间的安全威胁正逐渐呈组织化.复杂化和国际化的发展趋势.与此同时,随着云计算.大数据.移动互联网.物联网等这些新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,安全威胁呈现复杂常态化趋势. 2016年10月10日,第五届全国信息安全等级保护技术大会在云南昆明召开,公安部网络安全

亚信安全:纵深防御落实等级保护服务 自主可控让用户“安心”

在"互联网+"的发展大潮中,创新发展和信息安全保护是一体之两翼,遵循信息系统安全等级保护要求,实现关键系统与设备的自主可控对于维护国家信息主权,降低安全风险有着重要意义.目前,亚信安全通过对云安全.APT治理.移动安全等新兴安全关键技术的自主掌控,立体化的安全纵深防御解决方案,在安全等级保护市场不断拓展. 安全威胁持续精进 等级保护建设亟待推进 如今,我们进入了一个技术创新高速增长的时代,安全威胁的种类和数量不断刷新纪录.亚信安全发布的<2016年信息安全威胁预测报告>中认

DevOps的四种核心能力

DevOps 的成功取决于速度和稳定性.你可以改善哪四个核心概念来让你的DevOps更加努力地为你工作呢? 毫无疑问,DevOps 对组织是非常有价值的.根据近期发布的 State of DevOps Report,高效的 IT 组织可能会将利润率.市场份额和生产力目标提高两倍.但是,他们是如何做到的呢?又是怎么利用DevOps来提高价值并且和公司区分开的呢? 最近,我们和DORA(DevOps研究与评估)的CEO.首席科学家.DevOps状态报告的带头人Nicole Forsgren讨论了对成

郭启全:等级保护成效显著 未来任重道远

[51CTO.com 独家报道]2010年10月22日消息,作为全球顶级的应用安全组织,OWASP(Open Web Application Security Project)今日在北京举办OWASP 2010中国峰会,本次大会特意邀请政府.金融.互联网.教育.电信.能源等热门行业的CIO代表,国内外知名的应用安全专家.厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论,同时也为广大从事应用安全研究的技术人员提供一个多元化的交流平台.据了解,本届年会将围绕应用安全的相

新计算时代等级保护建设面临新挑战

近期,斯诺登爆出的"棱镜"计划,在信息安全界引起了轩然大波.随着"第二届全国信息安全等级保护技术大会"在合肥顺利召开,等级保护这个话题在"斯诺登"事件的热潮中,也得到了来自各行各业领导专家的重视.由于当前我们建设的云计算平台仍然缺乏安全标准和法律法规,造成了整个云平台安全风险不可控,而且随着安全边界消失,等级保护"分区.分级.分域"的原则无法有效应用.很多企业认为:我的业务应用已经部署在云平台上了,只要整个云平台符合等保要求,

Java线程安全的四种方式及五个等级

四种方式 sychronized关键字 sychronized method(){} sychronized (objectReference) {/*block*/} static synchronized method(){} sychronized(classname.class) 其中1和2是代表锁当前对象,即一个对象就一个锁,3和4代表锁这个类,即这个类的锁 要注意的是sychronized method()不是锁这个函数,而是锁对象,即:如果这个类中有两个方法都是sychronize