我國開展電子政務(wù)起步相對較晚,與國外先進國家相比���,無論是在網(wǎng)絡(luò)安全意識還是在網(wǎng)絡(luò)安全防護技術(shù)等諸多方面都還存在不小的差距�����。就目前情況而言,我國各級政府部門在信息網(wǎng)絡(luò)安全方面還處在一個相當(dāng)薄弱的環(huán)節(jié)����,因此重點保障網(wǎng)絡(luò)安全已經(jīng)成為開展電子政務(wù)的當(dāng)務(wù)之急。因此,由中國電子信息產(chǎn)業(yè)發(fā)展研究院(CCID)參與承辦的第十七次全國計算機安全學(xué)術(shù)交流會將主題定位在“電子政務(wù)安全研討”上��,中國工程院院士�、國家信息化專家咨詢委員會委員沈昌祥發(fā)表了主題演講。本文即節(jié)選于沈院士的同名演講����,著重強調(diào)了信息保障體系在國外的建設(shè)進展以及我國建設(shè)信息安全保障體系的迫切性�。
信息是社會發(fā)展的重要戰(zhàn)略資源。國際上圍繞信息的獲取��、使用和控制的斗爭愈演愈烈,信息安全成為維護國家安全和社會穩(wěn)定的一個焦點����。信息安全系統(tǒng)�,可以說是信息系統(tǒng)的免疫系統(tǒng):如果免疫系統(tǒng)不健全�,整個系統(tǒng)將是無能的,甚至有害的。網(wǎng)絡(luò)信息安全已成為急待解決����、影響國家大局和長遠利益的重大關(guān)鍵問題�����。如果信息安全問題解決不好,將全方位地危及我國的政治��、軍事���、經(jīng)濟����、文化�、社會生活的各個方面,使國家處于信息戰(zhàn)、信息恐怖和高度經(jīng)濟金融風(fēng)險的威脅之中�。
信息保障在國外
世界各國信息安全領(lǐng)域的研究,已經(jīng)從早期的通信保密到信息安全發(fā)展到目前的信息保障�。
美國:1998年5月22日,美國政府頒發(fā)了《保護美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令(PDD-63)���。圍繞“信息保障”成立了多個組織�����,其中包括全國信息保障委員會���、全國信息保障同盟�����、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會、聯(lián)邦計算機事件響應(yīng)能動組等10多個全國性機構(gòu)���。
1998年美國國家安全局(NSA)制定了《信息保障技術(shù)框架》(IATF)�,提出了“深度防御策略”���,確定了包括網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御、區(qū)域邊界防御�����、計算環(huán)境防御和支撐性基礎(chǔ)設(shè)施的深度防御目標(biāo)�。2000年1月,美國發(fā)布了《保衛(wèi)美國的計算機空間——保護信息系統(tǒng)的國家計劃》����。該計劃分析了美國關(guān)鍵基礎(chǔ)設(shè)施所面臨的威脅��,確定了計劃的目標(biāo)和范圍��,制定出聯(lián)邦政府關(guān)鍵基礎(chǔ)設(shè)施保護計劃(其中包括民用機構(gòu)的基礎(chǔ)設(shè)施保護方案和國防部基礎(chǔ)設(shè)施保護計劃)以及私營部門、州和地方政府的關(guān)鍵基礎(chǔ)設(shè)施保障框架��。
俄羅斯:1995年頒布了《聯(lián)邦信息、信息化和信息保護法》��,為提供高效益���、高質(zhì)量的信息保障創(chuàng)造條件���,明確界定了信息資源開放和保密的范疇���,提出了保護信息的法律責(zé)任�。
1997年�����,俄羅斯出臺的《俄羅斯國家安全構(gòu)想》明確提出:“保障國家安全應(yīng)把保障經(jīng)濟安全放在第一位”���,而“信息安全又是經(jīng)濟安全的重中之重”。
2000年�����,普京總統(tǒng)批準(zhǔn)了《國家信息安全學(xué)說》��,明確了聯(lián)邦信息安全建設(shè)的目的�����、任務(wù)、原則和主要內(nèi)容����。第一次明確指出了俄羅斯在信息領(lǐng)域的利益是什么、受到的威脅是什么以及為確保信息安全首先要采取的措施等。
日本:已經(jīng)制定了國家信息通信技術(shù)發(fā)展戰(zhàn)略�����,強調(diào)“信息安全保障是日本綜合安全保障體系的核心”����,出臺了《21世紀(jì)信息通信構(gòu)想》和《信息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略》
我國的迫切性
黨的十五屆五中全會提出了大力推進國民經(jīng)濟和社會信息化的戰(zhàn)略舉措——“以信息化帶動工業(yè)化�,發(fā)揮后發(fā)優(yōu)勢,實現(xiàn)社會生產(chǎn)力的跨越式發(fā)展”����。同時,要求強化信息網(wǎng)絡(luò)安全保障體系���。
目前我國信息與網(wǎng)絡(luò)安全的防護能力處于發(fā)展的初級階段����,許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。國防科技大學(xué)的一項研究表明�����,目前我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵入�,其中銀行��、金融和證券機構(gòu)是攻擊重點�����。
當(dāng)前的信息與網(wǎng)絡(luò)安全研究�����,處于忙于封堵現(xiàn)有信息系統(tǒng)的安全漏洞階段。要徹底解決這些迫在眉睫的問題�,歸根結(jié)底取決于信息安全保障體系的建設(shè)���。目前���,我們迫切需要根據(jù)國情,從安全體系整體著手���,在建立全方位的防護體系的同時���,完善法律體系并加強管理體系���。只有這樣,才能保證國家信息化的健康發(fā)展��,確保國家安全和社會穩(wěn)定�����。
如何強化保障體系
信息系統(tǒng)的信息保障技術(shù)層面可以分為應(yīng)用環(huán)境�、應(yīng)用區(qū)域邊界、網(wǎng)絡(luò)和電信傳輸�����、安全管理中心以及密碼管理中心�����。
在技術(shù)保障體系下���,首先要建立國家信息安全保障基礎(chǔ)設(shè)施�,其中包括:建立國家重要的信息安全管理中心和密碼管理中心;建立國家安全事件應(yīng)急響應(yīng)中心;建立數(shù)據(jù)備份和災(zāi)難恢復(fù)設(shè)施;在國家執(zhí)法部門建立高技術(shù)刑事偵察隊伍����,提高對高技術(shù)犯罪的預(yù)防和偵破能力;建立國家信息安全認證認可機構(gòu)���。
此外,要加快信息安全立法���,建立信息安全法制體系����,這樣才能做到有法可依�、有法必依��。要建立國家信息安全組織管理體系�����,加強國家信息安全機構(gòu)及職能,建立高效能的�、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系,建立信息安全標(biāo)準(zhǔn)和評估體系�����。要建立國家信息安全技術(shù)保障體系���,使用科學(xué)技術(shù)��,實施安全的防護保障��。
