“作為國家信息安全保障體系來講,其包括積極防御���、綜合防范等多個方面的多個原則�。因此,要建立和完善信息安全等級保護制度就要加強和建設多個層面��?��!敝袊こ淘涸菏糠綖I興指出����,當前國家信息安全的保障體系需要圍繞以下細節(jié)全面建設,具體為:要加強密碼技術的開發(fā)與應用��、建設網(wǎng)絡信息安全體系���、加強網(wǎng)絡信息安全風險評估工作���、建設和完善信息安全監(jiān)控體系、高度重視信息安全應急處置工作���、重視災難備份建設。
當然了����,要增強國家信息安全保障能力�,還必須要掌握核心安全技術��。此外還包括能力�����,如信息安全的法律保障能力、基礎支撐能力等等����。
簡而言之�,方院士稱:“我們國家的信息安全保障體系可以從五個層面解讀�����,又可以稱之為‘一二三四五國家信息安全保障體系’”。
方院士的解讀具體如下:
一���,即一個機制,就是要維護國家信息安全的長效機制��。
二����,是指兩個原則:第一個原則是積極預防、綜合防范;第二個原則是立足國情���,優(yōu)化配置�。
三���,是指三個要素:人���、管理、技術���。
四�����,是指四種能力:核心技術能力�、法律保障能力、基礎支撐能力�、輿情宣傳和駕馭能力、國際信息安全的影響力����。顯然,在國際的信息安全斗爭或對抗中�����,只有這幾方面的能力具備了才能占有優(yōu)勢地位����,當然這背后實際上需要做很多的工作。
五�,是指五項主要的技術工作:風險評估與等級保護、監(jiān)控系統(tǒng)���、密碼技術與網(wǎng)絡信任體系�����、應急機制�、災備�����。
一��、一個機制
所謂的一個機制�����,是說機制一定是一個完善長效的機制���,一方面是在組織協(xié)調性上��,另一方面是在支撐力度上�����。這需要宏觀層面����,包括主管部門予以支持��。
二����、兩個原則
第一個原則是積極防御����、綜合防范�。不難理解,綜合是表現(xiàn)在整個產(chǎn)業(yè)的協(xié)調發(fā)展�,也就是說網(wǎng)絡信息安全與信息化的關系。在這個里面���,積極當然有多種含義��,雖然我們并不提倡主動攻擊�����,但是掌握攻擊技術是信息對抗所需要的����。但是值得注意的是����,真正的積極是指一旦出現(xiàn)一個新的技術,我們就立即要想到研究這個新技術會帶來什么安全性問題����,以及這樣的安全性問題該怎么辦?比如說Web 2.0概念出現(xiàn)后�����,甚至包括病毒等等這些問題就比較容易擴散,再比如說Ipv6出來之后�����,入侵檢測就沒有意義了�����,因為協(xié)議都看不懂還檢測什么……所以說這些信息化新技術的出現(xiàn)同時也都呼喚新的安全技術�。
另外技術解決不了的還得靠管理,比如說等級保護��,當然等級保護主要是面向政府部門的��。那么反過來管理做不了的也得靠技術��,你說有病毒�,光嘴上說不行,還得有技術防范�����。再有就是強調了核心保障。
第二個原則是立足國情�����,這里面主要是強調綜合平衡安全成本與風險��,如果風險不大就沒有必要花太大的安全成本來做�����。在這里面需要強調一點就是確保重點的����,如等級保護就是根據(jù)信息系統(tǒng)的重要性來定級,從而施加適當強度的保護����。此外,當你在發(fā)展的時候必須要考慮到涉及到安全問題的時候該怎么辦�����,但你做安全也是為了促進發(fā)展,而不是說限制發(fā)展���,所以盡管我們現(xiàn)在覺得需要物理隔離的方式���,但同時也在研究一系列的技術來替代這么一個簡單的方式,這個就是國情的需要�。
三、三個要素
三個要素包括人�、管理、技術�。
從人才角度來說強調了兩個方面���,一個方面是培養(yǎng)�����,培養(yǎng)你的人�����、才����、水平,那么包括學歷教育��、研究�����、以及學科層面�,無論是培養(yǎng)研究生還是其他研究人才,都和社會服務人才不一樣���。再有就是培訓和網(wǎng)絡教育�。還有加強信息安全宣傳工作和網(wǎng)絡文明建設����,也都需要相關的支持,基本上跟信息相關的底下都有這個���。此外�����,就是論壇����、媒體的努力。當然���,吸引和用好高素質的信息安全管理和技術人才的機制也很有有用��。
就管理這一點而言�,其實互聯(lián)網(wǎng)上的管理主要是靠四句話:法律保障���、行政監(jiān)管��、行業(yè)自律�����、技術支撐。我們還可以把管理分為三級措施����,那么從宏觀的角度來說出現(xiàn)的是什么?方針,國家說積極預防���、綜合防范���,這是一種方針,還有就是政策引導,我們現(xiàn)在制訂這方面的政策等��,再有就是具體的法規(guī)��,就是要嚴格規(guī)章制度���。此外還有標準��,標準是從技術角度���、管理角度引導你,你不會做按照這個做就行了����。也就是說標準解決怎么做,法規(guī)解決做什么的問題����。到微觀方面就是說各個管理機構,要做好規(guī)章�、制度、策略���、措施��。
需要說明的是���,機制就是怎么管���,我們現(xiàn)在是通過一些認證測評、市場準入來對安全做管理�����,這里面對產(chǎn)品服務做認真測評����,包括政府采購也是受一定的限制。而措施則是����,你到底管哪些事情,如等級保護這個是要管的�,這個是沒有問題的;再比如系統(tǒng)安全�����、產(chǎn)品的采購包括測評���、密碼技術等都在管理范疇�。
第三個層面是信息安全技術,信息安全技術在這里面特別強調的是對引進的產(chǎn)品的安全問題����,如它的安全可控必須要有人管。同時我們還要研究新技術�、新業(yè)務,包括網(wǎng)絡安全�、內(nèi)容安全、密碼���、安全隔離手續(xù)等����。當然這其中也少不了需要政策導向和市場機制���,當然最終的目標就是信息安全還應該以自主知識產(chǎn)權為主���。
四、四個核心能力
四個核心能力����,主要是信息安全的法律保障能力�����,信息安全的基礎支撐能力�����,網(wǎng)絡輿情宣傳和駕馭的能力��。再有一個就是國際信息安全的影響力�����,
就法律保障能力而言��,業(yè)內(nèi)一致認為要以信息安全為綱����,你一定要有一個信息安全法�����,有了這個核心法你才能做一系列的工作��,包括制訂相應的制度���。
第二個能力叫做基礎支撐能力����,就是說國家要有一系列的相應的基礎支撐����,比如說數(shù)字證書、計算機網(wǎng)絡應急響應體系����、災難恢復體系等等,再比如說密鑰管理�����、授權管理等等�����,這些都是做得很成功的��,而網(wǎng)絡輿情掌控的體系�����,一些部門也都有,你它的運行效果還有很多需要改進的余地����。
第三個能力是輿情駕馭能力,我們在網(wǎng)上可以看到這句話��,要關注三個如何�,如何引導網(wǎng)絡輿論,如何對網(wǎng)上的熱點話題做訪問���,如何提高處置網(wǎng)絡的能力�。這些實際上都是我們輿情駕馭能力的標志�。輿情駕馭的具體目標是首先要能夠發(fā)現(xiàn)和獲取,然后要有分析和引導的能力��,之后要有預警和處理的能力�����。
第四個是國際影響力��。只有在信息安全較量中才能體現(xiàn)出一個國家的信息安全影響力�。所以,這就需要發(fā)揮信息安全整體資源的優(yōu)勢,這其中包括對有害信息的應對能力�、技術手段。用逆向思維的話�����,就是說假如出現(xiàn)最壞的情況網(wǎng)絡被惡意中斷�����,那么至少能保持一個封閉體系還能繼續(xù)運轉�,這可能必須要有域名的解析���,當然這個國內(nèi)現(xiàn)在已經(jīng)做到了��。
五�、五項工作
五項工作包括:加強風險評估工作�,建立和完善等級保護制度;加強密碼技術的開發(fā)利用,建設網(wǎng)絡信任體系;建設和完善信息安全監(jiān)控體系;高度重視信息安全應急處置工作;災難備份等�。
第一,風險評估和等級保護�����,兩者相輔相成需要一體化考慮。因為風險評估是出發(fā)點��,等級劃分是判斷點���,安全控制是落腳點���,所以風險評估和等級保護這兩件事兒是不可分的,只有知道了系統(tǒng)的脆弱性有多大����,等級保護才能跟上去。
第二����,網(wǎng)絡信任體系主要是靠密碼技術,還要強調密鑰體系�����。
第三���,網(wǎng)絡監(jiān)控系統(tǒng)�����,強調國家對各個運營單位都要求有相應的信息監(jiān)控系統(tǒng)��,要有處理信息的能力����,這樣起碼對一些網(wǎng)絡攻擊,防范失泄密可以提供支持��。
第四���,應急響應體系,國家在2003年SARS之后就開始建立應急響應體系�����,2008年的1月份出現(xiàn)了凝凍災害天氣���,充分考驗了這個體系����。所以信息安全也有國家級的預案���,或許將來會做更多的宣貫���。
第四���,災難備份,這個里面最重要的目標是力?�;謴?�,其次是及時發(fā)現(xiàn)����,接下來才是快速響應 三依中文網(wǎng) www.3eeezw.com 三依。
