信息安全保障体系信息安全论文计算机论文

关键词： 用户

信息安全保障体系信息安全论文计算机论文（精选8篇）

篇1：信息安全保障体系信息安全论文计算机论文

信息安全保障体系-信息安全论文-计算机论文 ——文章均为 WORD 文档，下载后可直接编辑使用亦可打印——

【摘要】随着社会的现代化发展，促进了信息技术的提高。在 管理中，传统的 管理模式存在着较多的问题，受各种安全隐患的影响，给 信息资料的保存带来了一定的安全威胁。

具有凭证的价值，是信息传递的重要途径，影响着我国的可持续发展。在疾控中心，的管理具有一定的特殊性，具有专业性、机密性、政策性等特点。本文叙述了疾控中心 信息安全保障体系建设的重要性，还阐述了构建 信息安全保障体系的措施。

【关键词】疾控中心； 信息；安全保障体系

1.疾控中心 信息安全保障体系建设的重要性

在我国，疾控预防控制中心的发展历史悠久，而疾控中心的前身是防疫站，在防疫站时期，我国的信息化建设还未得到良好的发展，那个时期主要以纸质 为主，从而增加了 管理的难度。随着国家信息化建设的推进，近年来，我国疾控中心的工作量不断的加大，管理难度越来越大，国家对公共卫生事业十分的重视，对疾控中心的 安全管理工作提出了明确的要求。在这种艰难的环境下，疾控中心若想实现信息化的稳步发展，需要结合时代的特点，加强 管理的信息化建设，并着力构建 信息安全保障体系，以确保疾控中心的可持续发展。上文提到，疾控中心的 管理具有机密性的特点，信息一旦被泄露，不仅是疾控中心的损失，还会对国家造成危害，其影响极其恶劣，因此，在疾控中心建设中，加强 信息安全保障体系的构建是十分重要的。

2.影响疾控中心 信息安全的因素

在疾控中心内，信息的内容十分复杂，其中包含了：疫情信息、科研、传染病 资料、突发性流行病资料、公共卫生信息、艾滋病信息等方面，所涉及的信息内容具有特殊性和机密性。在国家的现代化建设中，保障 信息的安全是疾控中心的重要工作内容。在疾控中心 信息安全管理中，信息的安全仍然会受到多个方面因素的影响，例如：网络安全，随着我国的信息化，促进了 管理的信息化发展，电子 成为了 信息的重要组成部分，受网络安全问题的影响，电子 可能会受到病毒、黑客等不良因素攻击，造成 丢失或外泄，引发 管理安全问题；系统软件安全，在管理电子 的过程中，若发生硬件故障等问题，则可能造成信息的丢失；人员安全问题，工作人员责任意识和安全意识不高，在管理中存在监守自盗的行为，引发信息安全问题。

3.构建 信息安全保障体系的措施

为了确保疾控中心 信息的安全，加强安全保障体系的建设是重要的安全保障措施，建设安全保障体系的措施主要有以下几点：

3.1 完善安全管理制度保障体系

完善的制度管理是规范工作人员行为的重要措施，工作人员是 信息管理中重要的组成部分，承担着重要的安全责任。在安全保障体系的建设中，完善安全管理制度，可以提高工作人员的责任意识和安全意识，有利于工作人员将 信息的安全管理工作落到实处，从而降低安全问题的发生率，提升我国疾控中心 信息管理的安全性。结合我国对 信息管理的相关要求和规范，例如：《 信息系统安全等级保护定级工作指南》，根据疾控中心的实际情况，制定出合理的、科学的安全管理制度。在建设之前，工作人员需要对 信息进行合理的统筹规划，加强 信息的数字化建设，结合各个工作环节的要求和功能，制定完善的安全管理制度。

3.2 重视工作人员的安全教育

在疾控中心内，管理人员承担着重要的责任，是 信息安全管理的中心，是实际的运行者和操作者，亦是安全保障体系建设的核心。疾控中心应该加强管理人员安全意识培训，可以在中心内，定期开展有关安全知识讲解的培训会，鼓励并组织管理人员积极的参与培训，并加强对管理人员的考核，以提高管理人员对安全知识学习的重视程度。另外，给予管理人员更多有关专业技能和素养的培训机会，提高管理人员的整体素质，提升管理人员的业务能力，有利于提高管理人员 信息安全管理的水平。

3.3 完善安全技术保障体系

提高安全技术是维护疾控中心 信息安全管理的重要途径，随着我国 信息管理的信息化发展，信息系统的安全管理需要安全技术的大力支持，以降低发生安全问题的概率。结合疾控中心的实际发展情况，加强系统安全技术、技术创新、数据安全技术、物理安全技术等方面的研究，以强化 信息的数据备份和恢复、数据库防火墙、数据加密、信息的安全储存、云数据的安全处理等方面，从而降低文件信息被篡改或泄露、病毒攻击、硬件故障等方面的发生率，保障 信息管理的安全。

结语

综上所述，在新时代的背景下，我国 信息管理正面临着巨大的挑战，在信息化建设中，信息管理不仅需要加强 信息化建设，还需要重视 信息的安全管理，重视安全保障体系的构建。通过完善安全管理制度保障体系、重视工作人员的安全教育、完善安全技术保障体系等方面，提高疾控中心 信息安全管理的水平，降低安全问题的发生率，有利于促进疾控中心 管理的可持续发展。

参考文献：

[1]骆念.疾控中心 信息化建设与管理初探[J].职业卫生与病伤.2016.31(2):127-128

——文章均为 WORD 文档，下载后可直接编辑使用亦可打印——

篇2：信息安全保障体系信息安全论文计算机论文

组织体系

组织体系 1 范围 本标准规定了公司内部安全保障体系组织架构的要求，包括人员组成，责任和要求。

本标准适用于公司，各厂应依据本标准制订适用的标准。规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注版本（日期）的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注版本（日期）的引用文件，其最新版本适用于本标准。术语和定义 无。职责 4.1 信息中心负责公司整体信息安全保障体系组织建设。

4.2 各厂负责在授权范围内开展安全组织建设，负责本单位信息安全日常管理、监督。信息安全管理组织架构 在组织架构方面，应依托企业现有的组织体系，赋予各层面的组织和个人以安全职责，使原有的组织架构具有信息安全的管理职能，同时应对企业安全管理的三层组织结构：决策层、管理层和执行层的机构建立、安全目标、岗位设置、安全职责进行确定，组织架构的建立和充分发挥职能是整个系统安全的前提和基础。

决策层管理层业务安全决策安全战略规划安全绩效考核信息安全领导小组信息安全管理部门安全管理系统安全工程安全绩效管理信息安全执行部门实施与运作运行管理安全审计实施执行层

图 1 信息安全管理组织架构层次图 组织架构

企业本部

企业下属各厂

决策层

公司信息化建设主管领导 各厂信息化建设主管领导 管理层

公司信息、办公室、财务、营销、人事、技术等各部门负责人 各厂信息、财务、生产、人事等业务部门负责人 执行层

公司具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职（或兼职）信息安全员 各厂具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职（或兼职）信息安全员

图 2 信息安全管理组织架构细化表信息安全组织架构各层职责说明 6.1 决策机构 信息安全决策机构处于安全组织机构的第一个层次，是企业公司信息安全工作的最高管理机构，按照国家和国家局的方针、政策和要求，对企业公司信息安全进行统一领导和管理。

其主要职责包括：

1)领导和督促全企业公司范围的信息安全工作； 2)制定企业公司信息安全战略、方针和政策，确定企业公司信息安全发展方向和目标； 3)为信息安全提供所需的资源； 4)批准整个组织内信息安全特定角色和职责的分配； 5)建立企业公司的总体安全规划方案； 6)制定企业公司统一的安全策略体系； 7)审批企业公司重大的信息安全活动； 8)重大技术事项或突发紧急问题的协调处理和事后调查仲裁等； 9)审批信息安全项目及安全产品的采购申请； 10)审阅下级的重要工作汇报和意见，并及时反馈批复意见； 11)监督管理层信息安全工作的管理和执行情况，协调管理队伍之间的关系； 12)负责组织企业公司范围的信息安全事件的调查，并听取相关汇报； 13)定期组织会议，了解企业公司信息系统的整体安全现状，讨论提高安全水平的整改措施。

14)启动计划和程序来保持信息安全意识； 15)信息安全领导小组应定期组织信息安全巡检和评审工作。

6.2 管理机构 信息安全管理机构处于安全组织机构的第二个层次，在决策机构的领导下，负责组织制订信息安全保障体系建设规划，以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。

其主要职责包括：

1)根据决策层总体安全规划制定系统安全建设的详细安全计划并组织实施； 2)根据决策层统一的安全策略制定并落实信息安全管理制度； 3)监督和指导执行层信息安全工作的贯彻和实施； 4)组织技术人员和普通员工的安全技术交流与培训； 5)参与信息系统相关的新工程建设和新业务开展的方案论证，并提出安全方面的相应

建议； 6)在信息系统相关的工程验收时，对信息安全方面的验收测试方案进行审查并参与验收； 7)组织相关安全员定期进行信息安全巡检； 8)负责组织范围内的信息安全事件调查，并听取相关汇报； 9)审阅执行层的重要工作汇报和意见，并及时反馈批复意见； 10)定期组织会议，了解管辖系统的整体安全现状，讨论提高安全水平的整改措施； 6.3 执行机构 信息安全执行机构处于信息安全组织机构的第三个层次，在管理层的领导下，负责保证信息安全技术体系的有效运行及日常维护，通过具体技术手段落实安全策略，消除安全风险，以及发生安全事件后的具体响应和处理。

主要职责包括：

1)学习和执行企业公司制定的各项信息安全管理策略、制度、规范和指南； 2)企业公司信息安全规划、管理制度的落实和执行工作； 3)直接负责管理范围内各业务系统的安全管理和维护工作； 4)参与检查与国家信息安全相关的法律、法规、规章、标准等的符合性，参与企业公司安全方案的规划、设计； 5)具体安全项目的实施与支持； 6)根据管理层安全规划制定系统安全建设的详细安全计划并组织实施； 7)监督和指导管理范围内信息安全工作的贯彻和实施； 8)组织内部的安全技术交流与培训； 9)参与管理范围内工程建设和业务开展的方案论证，并提出相应的安全方面的建议； 10)提出的网络安全整改意见，提交管理层审批； 11)向管理层定期汇报系统当前安全现状以及安全事件的处理情况；安全职责的分配 为明确安全责任，划分（界定）安全管理与具体执行之间的工作职责，公司必须建立安全责任制度。

安全责任分配的基本原则是“谁主管，谁负责”。公司拥有的每项网络与信息资产，必须根据资产归属确定“责任人”。“责任人”对资产安全保护负有完全责任。“责任人”可以是个人或部门，但“责任人”是部门时，应由该部门领导实际负责。

“责任人”可以将具体的执行工作委派给“维护人”，但“责任人”仍然必须承担资产安全的最终责任。因此“责任人”应明确规定“维护人”的工作职责，并定期检查“维护人”是否正确履行了安全职责。“维护人”可以是个人或部门，也可以是外包服务提供商。当“维护人”是部门时，应由该部门领导实际负责。

安全工作人员的职责是指导、监督、管理、考核“责任人”的安全工作，不能替代“责任人”对具体网络与信息资产进行安全保护。

在资产的安全保护工作中，应重点关注以下内容：

a)应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。

b)“责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程，并对该职责的详细内容记录在案。

c)所有授权的内容和权限应当被明确规定，并记录在案。职责分散与隔离 职责分隔（Segregation of Duties）是一种减少偶然或故意行为造成安全风险的方法。公司应分散某些任务的管理、执行及职责范围，以减少误用或滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。

在无法实现职责充分分散的情况下，应采取其他补偿控制措施并记录在案。例如：活动监控、检查审计跟踪记录以及管理监督等。

为避免串通勾结等欺诈活动，公司应尽量隔离相应职责，并增加执行和监督人员，以降低串通的可能性。安全信息的获取和发布 信息技术的发展日新月异，安全工作愈发复杂和困难。公司必须建立有效可靠的渠道，获取安全信息，不断推进安全工作。例如：

a)从内部挑选经验丰富的安全管理和技术人员，组成内部专家组，制定安全解决方案，参与安全事件处理，解决实际安全问题，提供预防性建议等。为使内部专家组的工作更具成效，应允许他们直接接触公司的管理层。

b)与设备提供商、安全服务商等外部安全专家保持紧密联系，听取他们的安全建议。

c)从一些公开的信息渠道获取安全信息，例如专业出版物、定期公告等。

企业权威的安全信息发布机构为公司信息中心。公司负责收集和整理并向各厂信息部门发布安全信息；各厂负责厂内发布和信息上报。加强与外部组织之间的协作 公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系，并建立协作流程，以便在出现安全事件时，尽快获取信息、采取措施。

公司在加入安全组织或与其他组织进行交流时，应对信息交换予以严格限制，以确保公司信息的保密性。安全审计的独立性 安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况，发现安全隐患的过程。

安全审计的独立性是指审计方与被审计方应保持相对独立，即不能自己审计自己的工作，以确保审计结果的公正可靠。

篇3：信息安全保障体系信息安全论文计算机论文

1 信息化建设中的信息安全

数字化网络的特点使这些信息系统的运作方式有别于传统模式, 系统均与保密信息或敏感信息有关。但是, 无论是在计算机上的存储、处理和应用, 还是在通信网络上的传输, 信息都有可能被非法授权访问导致泄密、被篡改破坏导致不完整、被冒充替换导致否认, 也可能被阻塞拦截而导致无法存取, 因此, 信息系统的安全问题直接影响到社会经济、政治、军事、个人生活的各个领域, 甚至影响到国家安全。不解决信息安全问题, 不加强信息系统的安全保障, 信息化不可能得到持续健康的发展。网络信息系统的安全问题究其根源, 主要是由于操作系统本身的脆弱性;计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性;数据库管理系统等应用系统设计中存在安全性缺陷, 缺乏有效的安全管理。

2 信息安全的特征

信息安全的特征可以包括以下几个方面:

(1) 保密性。保密性是指隐藏信息或资源, 不将信息泄露给非授权的用户, 只提供给授权用户使用。保密性包括信息内容的加密和隐藏数据的存在性。常用的保密技术有防侦收、防辐射、信息加密、物理保密等。

(2) 完整性。完整性是指数据和资源未被改变, 真实可信。完整性机制分为预防机制和检测机制。常用的保障信息完整性方法有协议、纠错编码方法、密码校验、数字签名、公证等。

(3) 可用性。可用性指网络信息或资源可以被访问和使用的特性。网络信息系统最基本的功能是向用户提供服务, 用户可以存取所需的信息。可用性是网络安全服务的重要方面, 破坏系统的可用性被称为拒绝服务攻击。

(4) 可控性。可控性指对信息的传播及内容具有控制能力的特性。

(5) 不可否认性。不可否认性指在网络信息交互过程中, 用户不能否认曾经完成的动作。用户不能否认已经发出的信息, 也不能否认曾经接到对方的信息。建立有效的责任机制, 防止用户否认其行为, 这一点在电子商务中是极其重要的。

(6) 可保护性。可保护性是指保护网络的软、硬件资源不被非法占有, 保护服务、资源和信息的正常传输, 保护节点和用户的安全性。

3 信息安全评价体系

对于信息安全风险发生影响的量化, 第一步.需要选取评价指标集合, 选取的依据应当是根据风险事件发生后对系统的影响, 从几个不同的方面反映风险事件的影响程度。所以一般来说, 评价指标应当从财务、能力、外界影响等几个宏观层面来选取, 这样能够全面地衡量风险事件对于信息系统的影响。第二步对于根据不同系统特点所选取的评价指标, 用AHP同样采用1~9等级方法, 建立判断举证, 计算m相应的评价指标的权重关系, 然后选取一定的量纲作为评估指标的总值, 按照评价指标的权重关系, 分配总值, 得出每一个评估指标的风险评估值。第三步, 建立相应的评估指标风险等级判断表格, 将每一个评估指标按不同的影响程度分级, 一般来说可以分为5级, 级别越低影响程度越低。对每一个级别进行详细的描述, 并且赋值。根据风险事件过去发生的经验, 选取每一个评价指标所属于的风险等级, 为了减小评估的主观性, 可扩大评估人数, 选取人数最多的等级, 作为评价指标的风险等级, 然后用相应的等级量化数与评估指标的风险值相乘, 得出风险影响值。最后利用公式, 将风险发生可能性与风险发生影响相结合, 求解出风险评估结果。

4 结语

我国是国际标准化组织的成员国, 信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始, 自主制定和采用了一批相应的信息安全标准。但是, 应该承认, 标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距, 使我国的信息安全标准化工作与国际已有的工作相比, 覆盖的范围还不够大, 宏观和微观的指导作用也有待进一步提高。

摘要：随着信息技术的迅速发展和我国信息化进程的不断推进, 各种信息化系统已经成为国家关键基础设施, 它们应用于网络通信、电子商务、电子政务、电子金融、网络教育、网络计算以及公安、医疗、社保等各个方面。

关键词：信息化建设,信息安全保障,信息安全,评价指标体系

参考文献

[1]陈驰, 冯登国, 徐震等.信息安全产品安全保证量化评估方法研究[J].电子学报, 2007, 35 (10) :1886-1891

[2]张焕国, 王丽娜, 杜瑞颖等.信息安全学科体系结构研究[J].武汉大学学报 (理学版) , 2010, 56 (5) :614-620

篇4：信息安全保障体系探讨

关键词：信息安全；安全技术；网络

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 (2012) 06-0085-01

一、信息安全的定义

20世纪70年代以前，信息安全的主要研究内容是计算机系统中的数据泄漏控制和通信系统中的数据保密问题。然而，今天计算机网络的发展使得这个当时非常自然的定义显得非常不恰当。首先，随着黑客、特洛伊木马及病毒的攻击不断升温，人们发现除了数据的机密性保护外，数据的完整性保护以及信息系统对数据的可用性支持都非常重要。其次，不断增长的网络应用中所包含的内容远远不能用“数据”一词来概括。综上分析，信息安全是研究在特定的应用环境下，依据特定的安全策略对信息及其系统实施防护检测和恢复的科学。

二、信息安全面临的威胁

由于信息系统的复杂性、开放性以及系统软件硬件和网络协议的缺陷，导致了信息系统的安全威胁是多方面的：网络协议的弱点、网络操作系统的漏洞、应用系统设计的漏洞、网络系统设计的缺陷、恶意攻击、病毒、黑客的攻击、合法用户的攻击、物理攻击安全、管理安全等。

其次，非技术的社会工程攻击也是信息安全面临的威胁，通常把基于非计算机的欺骗技术成为社会工程。社会工程中，攻击者设法伪装自己的身份让人相信就是某个人，从而去获得密码和其他敏感的信息。目前社会工程攻击主要包括的方式为打电话请求密码和伪造E-mail。

三、信息安全相关的防护理念及其技术

计算机信息安全技术是针对信息在应用环境下的安全保护而提出的。是信息安全基础理论的具体应用。安全技术是对信息系统进行安检和防护的技术，其包括：防火墙技术、路由器技术、入侵检测技术、扫面技术等。

（一）防火墙技术

防火墙是指设置在不同网络（如可信任的企业内部和不可信任的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据个人的安全政策（允许、拒绝、检测）出入网络的信息流，且本身具有较强的抗攻击能力。一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。通过防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证和审计等）配置在防火墙上。

（二）路由器技术

随着网络各种领域应用的日益普及，网络信息安全问题趋于复杂化和多样话。针对网络存在各种安全隐患，安全路由器必须具有如下的安全特性：

（1）可靠性与线路安全（2）身份认证（3）访问控制（4）信息隐藏

（5）数据加密（6）攻击探测和防范（7）安全管理

（三）物理隔离器技术

隔离卡技术是将一台计算机划分成两个独立的虚拟计算机，分别连接公共网络和涉密网络。通过隔离卡，用户的硬盘被划分为公共区和安全区，装有独立的操作系统和应用软件。当用户在公共区启动时，计算机连接公共网络；当用户在安全区启动时，计算连接涉密网。

（四）防病毒技术

1.虚拟机技术

虚拟机技术是国际反病毒领域的前沿技术。这种技术更接近于人工分析，智能化极高，查毒的准确性也极高。虚拟技术的主要执行过程如下：

在查杀病毒时，在计算机内存中模拟出一个“指令执行虚拟计算机”，在虚拟环境中虚拟执行可疑带毒文件在执行过程中，从虚拟机环境内截获文件数据如果含有可疑病毒代码，则说明发现了病毒。殺毒过程是在虚拟环境下摘除可疑代码然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除

2.监控病毒源文件

密切关注、侦测和监控网络系统外部病毒的动向，将所有病毒源堵截在网络入口处，是当前网络防病毒技术的一个重点。趋势科技针对网络防病毒所提出的可以远程中央空管的趋势病毒监控系统不仅可完成跨网域的操作而且在传输过程中还能保障文件的安全。

3.无缝隙连接技术

无缝隙连接技术也叫嵌入式杀毒技术。通过该技术，我们可以对病毒经常攻击的应用程序和信息提供重点保护。它利用操作系统或应用程序提供的内部接口来实现对使用频度高、范围广的主要应用软件提供被动式的保护

4.检查压缩文件技术

检查压缩文件中的病毒有两种思路。第一种思路：首先必须搞清压缩文件的压缩算法，然后根据压缩管理算法将病毒码压缩成病毒压缩码，最后根据病毒压缩码在压缩文件中查找以判断该文件是否有病毒。另一种检查压缩文件中病毒的思路：在搞清压缩文件的压缩算法和解压算法的基础上，首先解压待检查的压缩文件。随后在解压后的文件中检查病毒码来判断该文件是否有病毒，以此来说明原压缩文件是否有病毒。最后将文件还原成原来的压缩格式。

四、建立网络安全体系的必要性和发展信息安全体系的重要性

国际上信息安全研究起步较早，力度大，积累多，应用广，在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”的基础上，指定了“可信计算机系统安全评估准则”（TCSEC），其后又制定了关于网络系统数据库方面和系列安全解释，形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，其形式化方法分析始于80年代初，目前有基于状态机、模态逻辑和代数工具的三种分析方法，但仍有局限性和漏洞，处于发展的提高阶段。

完整的信息安全保障体系建设是信息安全走向成熟的标记，也受到了国家和众多企事业单位的重视。信息安全保障体系的建设，必须进行科学的规划，以用户身份认证为基础，信息安全保密为核心，网络边界防护和信息安全管理为辅助，建立全面有机的安全整体，从而建立真正有效的、能够为信息化建设提供安全保障的平台。

参考文献：

[1]徐茂智，雏维.信息安全概论.人民邮电出版社,2007

[2]张同光.信息安全技术实用教程.电子出版社,2008

篇5：信息安全保障体系信息安全论文计算机论文

编制说明

1.工作简况 1.1.任务来源

根据国家标准化管理委员会2017年下达的国家标准制修订计划，国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团（电信科学技术研究院）主办。

关键信息基础设正常运转，关系国家安全、经济发展、社会稳定，随着关键信息基础设施逐渐向网络化、泛在化、智能化发展，网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视，陆续出台了相关战略、规划、立法以及实施方案等，加大对关键信息基础设施的保护力度。近年来，随着我国网络强国战略的深化和实施，国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出，构建国家关键信息基础设施安全保障体系已迫在眉睫，是当前一项全局性、战略性任务。

2016年4月19日，总书记在网络安全和信息化工作座谈会上指出，“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。” 2016年8月12日，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》（中网办发文〔2016〕5号），要求“按照深化标准化工作改革方案要求，整合精简强制性标准，在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日，全国人民代表大会常务委员会发布《中华人民共和国网络安全法》，明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序”。2016年12月15日，国务院印发《“十三五”国家信息化规划》（国发〔2016〕73号），明确提出要构建关键信息基础设施安全保障体系。2016年12月27日，国家互联网信息办公室发布《国家网络空间安全战略》，要求“建立实施关键信息基础设施保护制度，从管理、技术、人才、资金等方面加大投入，依法综合施策，切实加强关键信息基础设施安全防护。”2017年7月10日，国家互联网信息办公室就《关键信息基础设施安全保护条例（征求意见稿）》公开征集意见。

目前国外主要国家对关键信息基础设施的保护起步较早，已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措，大力加强关键信息基础设施安全建设，不断提升网络安全保障能力。对于我国而言，一方面，我国在引进外国先进技术、加快产业更新换代的同时，部分关键核心技术和设备受制于他国，存在系统受控、信息泄露发 1

现滞后等隐患，也给关键信息基础设施各领域带来许多安全隐患问题。另一方面，我国关键信息基础设施保护工作起步较晚、发展较慢，缺乏针对性、指导性的标准体系，无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持，为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。1.2.编制目的

本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于：评价我国关键信息基础设施安全保障的现状，包括建设情况、运行情况以及所面临的威胁等；为政府管理层的关键信息基础设施态势判断和宏观决策提供支持；为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。1.3.主要工作过程 1、2014年，项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究：研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料，总结网络安全保障评价的相关方法、指标、规定和标准；研究新形势、新技术条件下我国网络安全保障工作面临的挑战，分析我国网络安全保障工作的新需求，对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结；在理论研究和实践调研的基础上，研究提出我国网络安全保障评价指标体系和评价方法。2、2014年12月-2015年6月，项目组赶赴电力、民航、电信、中国银行等相关行业（企业）进行调研。3、2015年1月-2015年7月，项目组根据项目要求开展了研讨会，针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。4、2015年1月-2015年9月，项目组与关键信息设施保护等进行工作对接。5、2015年1月-2015年7月，项目组进行了广泛研讨，并咨询了专家意见：2015年1月，对研究提出的网络安全保障评价指标体系的初步框架，召开专家咨询会，听取了崔书昆、李守鹏等专家的意见；2015年6月，召开专家会，听取了中国电信基于大数据的网络安全态势评价工作的介绍；2015年7月，召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状，与会专家对网络安全保障评价指标体系课题提出意见建议。6、2015年8月-2015年9月，与2015年网络安全检查工作、关键信息基础保护工作进行对接。7、2016年1月-2016年2月，与网络安全检查工作进行对接，采用指标体系对相关检查结果进行了统计测算，并撰写评价报告。8、2016年4月-2016年8月，针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结，进一步更新了指标体系。9、2016年9月-2017年2月，与关键信息设施检查办进行对接，对指标体系的实际应

用进行了深入讨论。10、2017年3月，项目组在草案初稿的基础上，召开行业专家会，形成草案修正稿。11、2017年4月，在全国信息安全标准化技术委员会2017年第一次工作组会议周上，项目组申请国家标准制定项目立项。12、2017年6月，“信息安全技术 关键信息基础设施安全保障指标体系”标准制定项目正式立项。13、2017年7月，项目组召开专家咨询会，听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、2017年7月，在全国信息安全标准化技术委员会WG7第二次全体会议上，项目组广泛听取专家意见，形成征求意见稿。1.4.承担单位

起草单位：大唐电信科技产业集团（电信科学技术研究院）

协作单位：国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。

本部分主要起草人：韩晓露 吕欣 李阳 毕钰 郭晓萧等。2.编制原则和主要内容 2.1.编制原则

为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础，在评价指标体系的设计及指标的选取过程中，主要遵循以下原则：

1、综合性原则

关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势，形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此，标准设计的首要原则是综合性。

2、科学适用性原则

关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则，把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性，即指标概念必须具有明确完整的科学内涵。

适用性原则，就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面，满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异，尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于，最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。

3、导向性原则

评价的目的不是单纯评出名次及优劣的程度，更重要的是引导和鼓励被评价对象向正确 的方向和目标发展，要引导我国关键信息基础设施安全的健康发展。

4、可操作性强原则

可操作性强直接关系到指标体系的落实与实施，包括数据的易获取性（具有一定的现实统计基础，所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的）、可靠性（通过规范数据的来源、标准等保证数据的可靠与可信）、易处理性（数据便于统计分析处理）以及结果的可用性（便于实际操作，能够服务于我国涉密信息系统安全评价的）等方面。

5、定性定量结合原则

在众多指标中，有些因素是反映最终效果的定性指标，有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言，指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性，必须在选取定性指标时，舍弃部分与实施效果关系不大的非关键因素，并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上，定量分析反映在指标数据上。

6、可比性原则

可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准，是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。2.2.主要内容

本标准概述了本标准各部分通用的基础性概念，给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于：评价我国关键信息基础设施安全保障的现状，包括建设情况、运行情况以及所面临的威胁等；为政府管理层的关键信息基础设施态势判断和宏观决策提供支持；为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下：

前言 引言 1 范围 规范性引用文件 3 术语和定义 4 指标体系 5 指标释义

附录A（规范性附录）指标测量过程 参考文献

本标准主要贡献如下：

1、明确了标准的目标读者及其可能感兴趣的内容

指出标准主要由三个相互关联的部分组成：第1部分包括1-3节，描述了本标准的范围和所使用的术语与定义，对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释；第2部分为第4节，详细描述了关键信息基础设施安全保障指标体系的体系框架和指标；第3部分包括第5节和附录A，给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法，为体系的可操作性提供了保证。

2、给出了关键信息基础设施的概念

关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。

《中华人民共和国网络安全法》规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

《国家网络空间安全战略》规定：国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。

3、指出关键信息基础设施安全保障评价围绕三个维度进行

关键信息基础设施安全保障评价围绕三个维度进行，即建设情况、运行能力和安全态势，并依据关键信息基础设施安全保障对象和内容进行分析和分解，一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。

4、给出了指标测量的一般过程

关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度，应用相应的测量方法得出测量值，并通过分析模型将测量值折算成指标值，最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。3.其他事项说明

a.在关键信息基础设施安全保障指标指标的体系建设和测量过程方面，试图使所提出的指标体系与测量过程具有一定的通用性，以便于指标体系的推广和扩展；

b.考虑到指标设计方面应用的可扩展性，在体系建设和测量过程之中，指标体系可以根据实际评价对象的特性做出相应的指标调整，以完善指标体系并得出合理公正的评价。

《信息安全技术 关键信息基础设施安全保障指标体系》标准编写组

篇6：信息安全保障体系信息安全论文计算机论文

【摘要】电子 是伴随互联网信息技术数字化建设的发展而产生的，近年来随着电子 在企业管理中的应用，提高了 工作的效率。但是由于虚拟网络世界的开放性等特点，为电子 建设提出了新的难题。电子 信息关乎人民的切身利益，是 工作的重点。本文深入研究电子 信息建设面临的困难，并提出解决策略，希望为我国电子 信息建设提供理论帮助。

【关键词】电子 ；信息安全；风险和挑战；解决策略

一、电子 的概念

从 20 世纪 90 年 始，随着计算机技术的发展和普及，电子 逐渐走入人们的生活，并与人们变得密不可分。电子 是指电子图像文件的集合，它通过计算机等设备进行存储，与个人或单位的纸质 互相联通、呼应、区分。一份完整的电子 应该包含多媒体数据、板式数据、数据库等形式。电子 存储在电子设备上，不需要人工对信息加以识别，且存储数据庞大，远非纸质信息可比。同时由于电子 依附于计算机和网络技术，一旦网络平台消失，电子 就不能发挥其作用。

二、电子 信息存在的风险

（一）管理人员缺乏安全管理意识

电子 信息技术的应用和普及时间较短，相关管理人员对信息管理的认识还不充足，对信息管理缺乏应有的重视。电子 信息本身存在着很大的风险，极易丢失、损坏，再加上管理人员安全管理意识薄弱，对信息安全建设造成了不良影响。

（二）信息具有依赖性

由于电子 的存储、处理等程序都依靠互联网和计算机技术，如果没有互联网和计算机技术提供信息平台，电子 就不可能产生和存在。计算机和网络技术是电子 信息建立的基础，因此，电子 信息的安全性很大程度上由计算机和网络技术的安全性和稳定性来决定。但是，由于计算机和网络系统是一个虚拟系统，带有很强的开放性、容纳性，其本身存在的黑客攻击、木马病毒等安全隐患对电子 信息保护造成了非常大的困难。电子 在存储、传输过程中的不稳定性，易使信息发生泄漏和损害，从而影响电子 信息的完整性和机密性。

（三）信息更改过于灵活

电子 存储在计算机和网络上，更改灵活且便利，而且更改过程中不会留下任何变动痕迹。电子 信息的灵活更改性为信息管理提供了方便，但正是由于这种更改上的灵活性使电子 的真实性往往会发生改变甚至遭受质疑。由于电子 信息在传输过程中很容易受到网络病毒或木马程序感染和破坏，一旦信息丢失或产生破损，其原有价值和真实性就会丧失。另外，由于电子 信息与计算机载体相分离，电子 可以通过不同载体在网络世界中传递，这就导致网络用户很难分辨原始文件，为电子 的管理带来一定的威胁。

三、解决电子 存在的风险的策略

电子 信息安全建设对我国 工作意义重大，因此，对于电子 信息安全中存在的问题和风险，我们必须及时提出解决策略。

（一）建立健全相关法律法规

我国的电子 信息建设在很多方面还存在着漏洞和空白，缺乏相关的法律体制。我国应构建一个完备的法律体系，对电子信息的公开、信息隐私保护等应制定专门的法律条款，填补相关法律空白。同时应加大对违反网络安全条例、威胁电子信息安全的犯罪违法行为的打击力度，以强硬态度坚决抵制各种违法活动。

（二）加强管理人员安全意识培训

随着电子 信息进入千家万户，在 建设中发挥的作用越来越大，电子 的数量呈逐年增长、增长速度极快的态势。传统的信息管理模式及知识已不能适应互联网和计算机时代的发展要求，因此，管理工作人员应紧跟时代脚步，深入理解、掌握电子 信息管理专业知识，加强同行业人员的交流合作，积极学习先进管理经验。同时 管理部门应制定详细、全面的知识培训计划，加强管理人员的专业知识技能培训。

（三）培养信息备份工作习惯

由于电子 在存储、传输过程中存在很大的风险，极易丢失、破损，为了保障信息安全，管理人员应主动养成信息备份的工作习惯，保证信息管理的规范性。在备份过程中要注意标明备份人员身份和备份时间，并定期对备份 进行整理和检查，防止出现意外和漏洞。

部门应安排专门负责备份信息检查的工作人员，确保电子安全无误。

（四）加强电子 安全防护工作

社会的发展要求我们必须提高对电子 安全防护工作的重视。一是严格按照规定使用高质量的电子 来存储资料，对存储材料的质量一定要严格把关，确保电子 信息存储载体有较长的使用寿命，提高电

子 的保存时间以及重复使用率。二是提高对极端及网络系统实体安全问题的重视，采用专业的高素质人员对计算机网络系统实体进行专门管理，做好环境和设备安全防护工作，为电子 创造一个良好、适宜的室内环境，减少温度浮动等其他外界因素给电子 存储带来的安全隐患。最后，要严防电子 数据信息被篡改、被泄密。电子 管理部门要建立健全内部控制管理机制，严格实行权限分级管理制度，各司其职，各担其责，提高电子 信息系统安全系数。

四、结语

电子 作为伴随着数字化信息出现的新型管理手段，为我国的 建设工作作出了巨大贡献。由于电子 开始时间较晚、其技术仍不太成熟，存在的安全风险也不可避免。如何规避电子 信息安全漏洞，使其在 建设中发挥应有的作用，是我们应该重视和探究的问题。通过完善相关法律法规，加强管理人员的安全意识，养成良好的工作习惯，在一定程度上保障了电子 信息安全

【参考文献】

篇7：信息安全保障体系在渐进中成熟

--------本刊专访陈晓桦博士

转载时间：2011-06-10

从2003年中央颁发的第27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》开始算起，至今已逾七载。俗语常说“7年之痒”，7年的时间往 往意味着曾经的一腔热血在经历了瓶颈之后，渐渐忘记初衷，变得麻木。那么中国信息安全这7年在经历了翻天覆地的变化之后，是否依然坚定当初的决心和发展信 念呢？最初设定的那些目标和任务，完成情况如何？下一步工作如何开展？当前我国信息安全形势又是怎样？

2011年新年伊始，带着对中国信息安全领域这一路走来的种种困惑，记者采访到了中国信息安全认证中心副主任陈晓桦博士。他不仅是我国信息安全保障体系 逐步形成的见证人，更是一直奋战其中的建设者。在采访中，陈博士既谈到了国家信息安全保障工作取得的成绩，也谈到了对工作中有关问题的反思。他对我国信息 安全形势发展的思考，有更多源自产业现实的感悟，虽然这次采访内容覆盖面有限，但正是从他所探究的这些细节上，业内人士可以见微知著，得到启发。

用他本人的话来讲，信息安全工作涉及面非常广，从政策法规建设到政府指引、从战略规划到实施方案，从产业规模到技术专利、从标准制定到人才培养，方方面面都需要加以总结，汲取经验和教训，作为我国十二五甚至更长远工作规划的出发点。

认证工作成绩斐然

陈晓桦博士告诉记者，建立并完善信息安全认证认可制度，是建设我国信息安全保障体系工作当中的一项重要任务。几年来，在国家相关部门的坚强领导和大力支 持下，这项制度的建立取得了突破性进展。信息安全产品认证制度的建设虽然遇到了重重阻力，但信息安全认证中心还是克服了重重困难，积极配合相关领导部门，应对国外的种种质疑与不合理要求，为制度的实施做了大量的技术性支撑工作。2009年4月底，根据国内外形势的发展，国家对该项制度的实施范围作了调整，即调整到了在政府采购法所规定的范围，首先对13类信息安全产品强制要求认证，并把实施的时间推迟了一年。2010年5月前，财政部、工信部、质检总局和 认监委联合发布了财库48号文件《关于信息安全产品实施政府采购的通知》，这标志着国家信息安全产品认证制度终于在经历曲折和反复后顺利实施和运行。

记者了解到，截止到2010年11月30日，信息安全认证中心共颁发国家信息安全产品认证证书158张，国家强制性产品(无线局域网产品)认证证书105张，信息安全产品认证的覆盖面有了长足提高，信息安全产品认证的把关作用得到了体现。

多角度延伸认证服务

不仅如此，陈晓桦博士透露，前些年，国内的信息安全管理体系认证几乎被外资机构垄断，其潜在安全风险不可低估。而信息安全认证中心积极服务于 国家重要信息系统的安全保障，在强化认证质量和服务的基础上，积极开展ISMS认证，得到了众多关系到国计民生重要行业客户的普遍认同。另外，继2008 年为服务奥运安保工作推出应急处理服务资质认证后，信息安全认证中心还开展了信息安全风险评估服务资质认证，国家信息中心等18家从事风险评估的企事业单 位在2010年6月获得了首批认证证书。“风险评估服务资质认证业务的推出，顺应了社会的需求，得到了企事业单位的积极响应和好评。”陈晓桦博士总结道。

在培训业务方面，信息安全认证中心不仅开展了工厂检查员、体系审核员、体系咨询师与服务资质评审员的培训工作，还根据市场需求启动了信息安全保障从业人员认证，培训覆盖面进一步拓宽，影响力逐步显现。信息安全认证中心积极参与并承担了多项国家和部委的科研和专项工作，并取得了一批成果。其承担的863项目和国家科技支撑计划项目分别通过了验收和中期检 查；国家发改委信息安全专项、电子产业发展基金重点项目顺利通过了中期检查；“国家信息安全产品认证专项”项目已完成基础环境建设和检测工具开发工作；参 与制定的一批行业标准已经发布实施，若干国家标准制定项目已完成征求意见工作，或已经进入报批阶段。“从事这项制度的建立工作，我们深感任务艰巨，责任重大，使命光荣。我们清醒地认识到，在机构和队伍

建设、核心业务拓展、基础设施建设等方面还 有待进一步加强，我们的服务能力和水平，还有待进一步提高。我们目前的建设进度和成效，离国家对我们的要求和业界的期望还有很大的距离。”陈晓桦博士对记 者表示，“我们在2010年底已初步完成了中心发展的十二五战略规划的制定和论证工作，希望能够指导今后5年相关工作的开展，大力推进各项建设工作，充分 发挥信息安全认证在国家信息安全保障体系中的基础性作用，努力开创信息安全认证工作新局面。”

启示一：信息安全需要从国家层面制定整体发展战略

陈晓桦观点：信息安全不是一支“独舞”，需要各个部门相互配合开展工作。但是由于缺乏国家层面的战略指导，很多情况下，信息安全工作还只能依赖领导批示和安全事件来驱动。把握当前国内外形势和发展趋势，制定国家信息安全总体发展战略已经迫在眉睫。

采访中，记者得知，以前相关部门开展信息安全工作，职责分工不够清晰，可谓纵横交织，既有必要的互补，也有太多的重复，缺乏有效的沟通协调机制，工作比较被动，经常依靠领导批示和安全事件的驱动。

陈晓桦博士认为，虽然以前这种工作方式也解决了许多信息安全问题，但从法律法规和制度的完善度来看，还远远不够。而且，即使到了现阶段，信息安全 与保密工作在相当大的程度上还带有应急处理的特点。“当然，这和信息安全工作的性质有关，即使制定了一些法律法规和管理制度，采取了一些技术手段，也不能 完全遏制和避免安全和失泄密事件的发生。”陈晓桦坦言，由于还缺乏来自国家层面的战略规划和设计，没有健全的法律法规整体的指导，更没有先进、强大的科技 手段，这就导致信息安全工作在推动时面临不少困难，很多时候仍然依靠事件驱动，或者依靠首长批示开展工作，工作方式也不是一种制度化、常态化的方式。缺乏 整体规划带来的另一个后果，就是协调制度不完善，虽然相关部门也各司其职，但是容易出现各行其是的局面。由于信息化建设的高速发展，新技术新应用层出不 穷，信息安全的总体规划迫切需要全新的思路和设计。陈晓桦幽默地说，“救火还是需要的，但不要总是在救火。应急机制是必要的，但更重要的是建立信息安全工 作的长效机制。”他告诉记者，其实早在2004年，我国就成立了国家网络与信息安全协调小组，这是我国信息安全工作的最高领导机构，其办公室设在原国信办，成立的初衷是领 导我国信息安全相关部门开展工作，并协调各个部门之间工作。由于2008年机构改革，原国信办的职责并入了工业和信息化部。2009年底国务院又重新批准 成立国家网络与信息安全协调小组，制定国家信息安全总体发展战略的工作，已经提上日程。“十二五国家信息安全保障工作的指导思想、战略目标、主要任务和重 点工作是什么？有哪些保障措施？这可能是国家信息安全战略亟待明确的内容。”

启示二：健全法律法规需集思广益；落实相关政策需科技支撑

陈晓桦观点：过去有些部门规章的要求，都是一刀切，但在实际工作中并没有解决用户的切实问题。国家信息安全立法工作开展多年，已经取得了很多经验和教训，需要加以认真总结，并需要与时俱进，用科学的手段保障政策法规的严格执行。

据公开报道，关于国内信息安全立法工作，相关部门认为当前规范信息安全的法律法规有宪法、刑法、国家安全法、保守国家秘密法、治安管理处罚法、电子签名 法、《全国人民代表大会常务委员会关于维护互联网安全的决定》以及数十部部门规章。这些法律法规或规章对加强信息安全发挥了积极作用，但也存在内容分散、相互交叉甚至抵触的现象，影响了立法效力和执法严肃性，对信息安全监督管理造成了不利影响。需要对现有的信息安全的法律法规加以评估，包括清理和制修订。2010年11月，工信部已完成了《信息安全条例》报送稿。国家今后将以该条例为基础，提出综合性的立法方案，解决当前缺乏互联网法律规范的问题。

“适当的时候，可以扩大征集意见范围，听取更多国内各界人士的意见或建议。有了《信息安全条例》，我国的信息安全工作就可以更加有序地依法开展，有利于排 除外界干扰，有利于界定各方责任，厘清关系。”陈博士如是说。当然，信息安全问题，不仅仅是互联网安全问题，从立法程序来看，《信息安全条例》正式出台，可能还需要假以时日。

随着国家信息化工作的推进，对信息安全保密工作越来越重视。新修订的《保守国家秘密法》于2010年10月1日实施，总结了多年来保密工作和立法工作的经 验，为适应信息化时代的需要，提出了许多具体而且可操作性强的要求。陈博士认为需要提醒大家的是，今后，即便是违规把涉密设备或涉密计算机接入互联网，也 要依法给予处分；如果再发生互联网泄密事件，就要当作泄露国家秘密罪论处，要依法追究刑事责任，而不再仅仅

是给予通报批评、降级等行政处分。“新保密法提 出的这些新要求，非常及时、非常必要。近些年，国内侦破的互联网窃密和失泄密案件时有发生，造成的危害极大，影响极为恶劣。必须加大法律的威慑和惩处作 用，尽量杜绝此类案件继续发生。”

保障信息安全，管理和技术并重。除了法律法规和相关管理制度，还需要科技手段的支持。陈博士说，现在有的部委信息化程度很高，已经建成了3个甚至4个相互 独立的网络，比如，与互联网相连接的办公网，可以上网浏览、检索互联网信息、收发邮件等；物理上相互隔离的政务外网、政务内网；有的机构还有自己特殊的业 务网络。“对涉密网提出的物理隔离的强制要求，在我国目前的技术条件下是非常必要的。国家急需加紧研究开发自主可控、安全可靠的新一代信息隔离和交换技术 与产品，满足不同网络之间信息交换的现实合法需求，用先进的技术手段来保障信息安全，进一步发挥信息系统的作用，降低信息化建设的成本。”

启示三：信息安全解决方案要开“药方”而不是开“药房”

陈晓桦观点：某些信息安全企业的产品解决方案缺乏针对性，往往是以不变应万变，显然行不通。我们要开妙手回春的药方，而不是开一应俱全的药房，最好的“药引子”就是安全企业主动提升创新水平。

我国现有的信息安全技术、产品和服务，或许已经基本上满足我国信息安全的需求，但在骨干、高端、高性能方面，还缺乏自主创新性的产品。“有的企业由于紧跟 用户需求，在产品设计中有了几项小小的创新，最终成功中标某个项目，这恰恰说明用户需求的重要性。”陈晓桦博士认为，目前国内信息安全产品大多数都不是基 于国内原创的安全理念，一些企业提供的行业安全解决方案也缺乏针对性，似乎放之四海而皆准，不是开“药方”，更像是在开“药房”！

当然，陈晓桦博士也认为，在信息安全应用领域，用新产品新技术去引导市场，完全实现“技术引领、技术驱动”还是很困难的，经常有厂商面向市场推广产品时会 遇到不了解用户需求的现象。“这和国家整体发展现状有关，例如金融系统大量使用国外的服务器、路由和交换设备、数据库管理系统、中间件，甚至包括安全防护 产品都不是国内自主开发的。本土企业的产品在进入现有系统时，可能会出现自主产品与国外产品不兼容等现象，影响国内信息安全解决方案的推广。有些外国公司 的产品中，大量使用非标准或私有协议，对其他企业的产品接入造成事实上的不公平竞争。”陈晓桦博士坚持认为，虽然面临种种困难，但针对用户需求、突破国外 产品的技术壁垒，用创新技术积极参与竞争，仍然是我国产业发展、人才发展的长远目标，未来各关键基础设施和重要信息系统的信息安全技术都应该逐步做到自主 或可控。

在国内安全企业自主创新的道路上，往往也会出现另外一个误区。陈晓桦博士介绍道，现在有一个现象，很多厂商都在推出第几代升级产品，更新换代十分频繁，甚 至刚成立几年的公司，都已经开发出了第四代第五代产品，其实这大多只是该公司产品型号的变化，并没有真正实现技术的换代。让人担忧的是，这样的行为说明这 些企业对国内外的技术发展水平缺乏清醒的认识。信息安全企业的研发人员应该踏踏实实静下心来做研究，把一些基本原理和技术搞清楚，真正研发出能满足用户需 求的，自主创新的好产品。“在企业发展到了一定规模时，企业拥有多少人才、多少自主知识产权、多少专利和多少自有品牌，这些才是衡量企业综合实力的必要因 素，需要企业高度重视。”他进一步强调，“靠贴牌生产的信息安全企业，是注定做不大的。”

可喜的是，现在国内有不少本土信息安全企业越来越重视自主创新，虽然年销售额和盈利还不算高，但拥有的专利和创新技术不少，这说明企业有发展眼光、有发展后劲。

启示四：需要绷紧的那根弦不是安全知识而是安全意识

陈晓桦观点：虽然信息安全和保密的重要性被广泛认识，但从很多行业、部门甚至业界专家的行为中不难发现，他们并不缺乏安全知识，而是缺乏安全意识。

很多安全技术名词被大家天天挂在嘴边，但具有讽刺意义的是，安全意识却没有得到足够的重视。陈晓桦惋惜地指出，很多信息安全厂家的高层或者市场人员，在名 片上留的邮件地址都是Hotmail、Gmail这样的邮箱；甚至在申报国家项目中，很多单位汇总到专家办公室的项目申请书、验收材料，都通过 Hotmail、Gmail发送；很多学校、科研院所的领导、骨干，为了与国外通信方便，都习惯使用境外服务器的邮件地址。

“这可能和早期使用免费邮箱的习惯有关。但即便如此，由于邮件服务器在境外，我国重点单位或企业院校的专家和领导用这些邮箱来传输一些敏感材料和信息，也 是非常不合适的。因为发送的邮件往往涉及到安全项目的科研成果，所以这只能说明使用者缺乏安全意识！”陈晓桦强调，“关键部门、重要岗位该用什么样的通信 服

务，尤其是政府部门的官员和工作人员，都需要在头脑里时刻有根弦。”他语重心长地告诉记者，“在没有采取特殊安全保密技术手段的情况下，大家在互联网上 通过邮件传递信息，通过手机打电话和发送短信，其实就是信息的‘裸奔’！有些甚至还‘奔’出了国门。”

对某些看似普通的信息，其安全管理也需要加强。“由于社会分工日益专业化，很多日常工作都很容易涉及到国家或行业的敏感信息，很多人还没有从国家安全的高 度认识到，对这些信息的安全管理是多么重要。”陈晓桦博士举例告诉记者，银行资金流向也是一个很敏感的事情，这不仅牵扯到银行自身，还涉及到国家重点单位 的敏感信息。如果银行对这类信息的安全管理没有足够重视，就很容易造成敏感信息泄露。例如，某个野战部队在地方银行当中的资金信息一旦泄露，通过分析工资 结构就可以了解到这个部队的人员结构，通过分析其维护费用就可以了解武器装备的规模，甚至其作战能力。

记者了解到，一些在境外上市的公司提交材料时，会不经意间就把涉及到国家、行业和重点企业的敏感材料提交出去。“很多失泄密事件的后果首先体现在国家经 济利益的巨大损失方面，比如谈判时我方的铁矿石进口底价。很多网络安全事件和失泄密事件给国家带来了影响就业、经济发展不平衡、社会不稳定等一系列问题。根据《保守国家秘密法》，国家的重要经济信息、核心科技信息其实和军事、外交信息一样，都属于国家秘密，这是需要我们理解并严格保密的。”陈博士归纳道。

启示五：加强科研项目和专项主管部委的协调和交流，避免重复建设和浪费

陈晓桦观点：每年国家都会投入巨额资金支持信息安全技术的研发和产业化。由于专项基金的不同管理部门之间缺乏有效的沟通机制，存在重复资助的现象。在关键技术研究、产品设计与制造、产业化等环节，甚至出现支持的时间点错位的现象，所谓“先生儿子，后生爸爸”。

众所周知，这些年发改委、工信部、科技部每年在信息安全技术研发和产业化方面投入了大量的资金，对我国信息安全技术研究、产业发展发挥了巨大的作用，可 谓成绩辉煌，功不可没。陈晓桦博士认为，一方面国家应该继续鼓励和加大资金的投入，支持技术研究、开发重点产品、实现产业化目标。另一方面，国家应该大力 促进科研成果更加有效地转换成产品和技术。他告诉记者，一些花费了国家资金，花费了专家和科研人员大量时间研究出的科研成果，在验收完以后就束之高阁，过 了很长的时间这些成果还没有转化为技术和产品。由于对这些成果的利用效果缺乏考评机制，因此，也无从判断在国家投资的科研项目当中，3年、5年或10年后 最终有多少转化成满足市场需求的主流产品，有的技术在几年内没有投入到市场，就会被新技术所淘汰。

“在科研院所形成的创新技术、专利，如何转化成为产品和生产力方面，还很难形成一套高效完善的制度，因为这牵扯到很多现行管理制度。但国家不能只鼓励科研 院所只做基础前端的研究，还应该改革现行制度，出台鼓励科技成果转化的新政策和配套的制度，把科技成果转化的效果也作为考核评价指标。”陈晓桦不无担忧地 说，无论是现在，还是5年甚至10年以后，如果我国信息安全建设当中大量采用的安全技术和产品，大都不是国家专项经费支持的结果，那今后该怎么评价国家的 专项和基金的成就？

除了资金投入产出效果的考量外，就国家各个部委牵头的多个专项和基金计划而言，虽然在定位上有不同的分工，但也有重复，更由于相互之间缺乏有效的沟通和协 调机制，时常会发生重复投资的现象。陈晓桦解释道，国家的各专项申请和审批都有严格的程序，公开竞争，专家论证，领导决定。打一个比方，某单位同期既申请 863高技术项目，又向地方科委申请经费支持，又向国家发改委申请产业化支持，还同时向电子产业发展基金申请，可能还申请了中小企业创新基金、联合其他单 位申请了“核高基”等等。但是，实际上其核心技术是相同的，如果同期支持，就会产生重复。另外，还存在另一种时间错位现象，比如：去年国家支持某单位的产 业化项目，今年国家又支持其重点产品招标项目，明年国家才支持其研发关键技术的现象，即所谓“先生儿子，后生爸爸”现象。“这种现象还不仅仅存在于国家的 信息安全专项领域，其他领域情况可能还要更严重一些。”启示六：对涉及国计民生的基础设施而言，其信息系统的安全运行与设施本身同等重要

陈晓桦观点：随着我国信息化高速发展，信息系统的支撑性、全局性作用也与日俱增，信息系统与基础设施建设已交织为一体，需要充分重视。目前大多数基础设 施都是比较脆弱的，哪怕是一些细小环节出现问题，都会导致整个基础设施的瘫痪。正所谓“千里之堤，溃于蚁穴”，很多时候，我们需要未雨绸缪。

信息系统的安全保障管理工作也极为重要，现在很多影响国计民生的基础设施都离不开信息化。一旦其信息系统受到破坏或出现故障，社会基础设施也就无法正常运 行。陈晓桦举例道，如果银行清算系统出现故障，最

直接的影响就是银行无法及时进行资金结算，消费者无法刷卡支付；民航登录系统被破坏，乘客必然无法准时登 机；通信系统被地震破坏后，所有的座机、手机打不通，最急迫的信息就无法传递„„这一切现象都表明，国民经济的基础设施都越来越离不开信息化系统。“不难 得出结论，其信息系统的安全可靠与基础设施的正常运行密不可分，二者几乎同等重要。但事实上，我们对支撑这些基础设施的信息技术系统的安全重视程度还远远 不够。”他强调，互联网作为新兴媒体，网上一旦发生安全事件、热点事件就非常吸引眼球，但基础设施的信息安全也同样需要关注，甚至应该得到更高程度的重 视。

事实上，仅仅是重视还不够，我们不得不承认一个现实存在的问题，那就是我们还没有掌握许多核心技术，这种状况可能还要持续很多年，我们对关键基础设施和重 要信息系统的安全也未能做到心中有数。陈晓桦博士认为，“毕竟我国自主设计开发的系统还不够，很多基础设施可控的程度自然也不够。这就需要安全管理工作要 提前部署，防患于未然。”

对安全管理的重视还有很关键的一个环节，那就是对供应链的管理。一条完整的供应链涉及到很多环节，包括产品元器件生产和采购、产品设计与开发、产品制造、部署和安装、使用与运行、服务、升级和维修等，要做到安全可控管理，就必须对整个供应链进行全程控制。“这个观点主要是针对重要的用户、国家核心单位、关 键基础设施。虽然我国研发的信息安全系统难免也存在缺陷，但仍然需要对供应链上若干过程加以安全管理，充分了解。毕竟蚁穴虽小可溃千里长堤。”他举了一个 例子，有个数据统计机构，其信息技术设备都很先进，当发现某存储设备故障后就将其直接送到外面维修，这个举动表明该单位对供应链安全管理显然缺乏足够的认 识。由于时间和篇幅所限，记者的采访暂时告一段落。陈晓桦博士针对我国信息安全工作成绩的介绍和反思，观点鲜明，语言生动，见解独特，发人深醒。正如他所言，我国信息安全保障工作并不能一蹴而就，需要有一个长期建设和不断优化的过程，所谓“总结是为了进步”，记者希望通过这次在2011年最初的采访，让越来越 多的人了解我国的信息安全保障工作，让越来越多的人为国家信息安全保障体系建设添砖加瓦。

专家信息链接：陈晓桦简介

1979年考入国防科技大学计算机系，1993年获国防科技大学博士学位。曾在电子科技大学博士后流动站工作两年。1997年起，参加原中国信息安全产品 测评认证中心筹建工作，曾任总工程师、副主任、常务副主任、研究员。2006年10月，参加中国信息安全认证中心筹建工作，2007年2月任中国信息安全 认证中心副主任、党委委员。

入选1999“百千万人才工程”，获2000政府特殊津贴，获2008国家科学技术进步一等奖；任全国信息安全标准化技术委员会副秘书长、委 员；《信息安全与通信保密》、《计算机安全》编委；电子科技大学、北方交大兼职教授；上海交通大学博士生导师；国家自然科学基金、国家发改委信息安全专 项、电子信息产业发展基金重点招标项目、国家科学技术进步奖评审专家；曾任国家“十五”863计划第二届信息技术领域信息安全技术主题专家组副组长，国家 互联网应急中心242专项第一届专家组组长。目前主要从事与信息安全检测、评估与认证相关理论、技术、方法、标准、工具的研究和开发工作。

热点评议

记者：前段时候闹得沸沸扬扬的腾讯与奇虎360事件终于在公开道歉中落下帷幕，您认为这对信息安全市场中的企业有何警示作用？

陈晓桦：从世界范围来看，企业之间适度竞争是非常正常的。但3Q事件是国内企业之间不公平竞争、恶性竞争现象的一次爆发，牵扯了上亿用户的权益。我希望这 件事情除了国家行业管理部门以外，地方政府部门不要再被企业牵扯进去。企业经过相关部门的协调，应该根据国家法律法规，按照公平竞争的原则，把为用户服好 务作为目标，自我约束不正当的市场竞争行为。我建议企业之间的竞争不要通过不兼容和封杀对方这类手段来损害用户的权益。如果仅仅是做到暂时互相不封杀，但 仍然在继续较劲，并期望获得地方政府和相关机构的支持在地方政策或行政许可等方面去打压对方，这只能说明两家企业将越走越远，并没有真正汲取教训。从长远 看，这对行业和企业发展并没有好处。希望其他信息安全企业引以为鉴。

记者：2010年信息安全产业很多技术概念被持续热炒，像云计算等等，众人纷纷持观望热捧等态度，您认为该如何对待不断推陈出新的技术理念？

陈晓桦：云计算、三网融合、物联网都是这两年被不断热炒的技术和经营理念。我认为当新技术、新理念出

现的时候，应当保持3种态度。第一个态度是不要惊慌，不要轻易高喊“狼来了”。几年前，可信计算推广时，一些专家认定一旦可信计算的模式在全世界推广后，我国的信息安全产业将受到打压和排挤，产业将重新洗 牌。实际上这么多年过来了，我们也应对过来了，那些现象也没有发生，产业的技术标准体系和产业升级不是轻易就能发生跨越式改变的。第二个态度是要敢于质问 这是不是“皇帝的新装”。面对新技术新应用的出现，要保持冷静，要思考这是不是产品和技术的升级换代，是否真正是创新的技术、革命性的技术，不要人云亦 云。第三个态度是去研究是不是“新瓶装旧酒”。要敢于质疑，不能盲目跟风炒作。对云计算的态度应该要谨慎，保持冷静，先多下功夫认真研究云计算的经营模式 和关键技术。现在似乎与云计算有关的项目就是好的投资项目，上市企业声称与云计算相关就股票飞涨。在工程建设方面，不要为了政绩或形象工程就一哄而上，不 妨先期安排几个行业或地方试点或者示范，等积累了一些成功经验，再规模化实施。我认为也许三五年以后云计算会显现出优越性，现阶段还只是一个梦想，只有极 个别的案例。关于云计算安全问题，应该提前研究，但如果现阶段就安排试点、示范就过早了。“皮之不存，毛将焉附？”

记者：在2010年底颇受关注的十二五规划即将正式落地，您对此持何态度？

陈晓桦：2010年11月，中央发布了制定第十二个五年规划的建议。国家的信息安全战略规划，应该承上启下，既能够与“十一五”规划的工作衔接，又能指导 今后5年的工作，还需要提前考虑更长远的发展。自2003年中办27号文件颁布以来，我国的信息安全保障工作取得了显著成就，但我们也应该看到，还有很多 老问题没有得到有效解决。国家信息安全保障体系是多层面、多方位的，它的建设工作应该有轻重缓急之分，应当有总体规划，应当有全局意识。在新时期、新形势 下，新技术、新应用层出不穷，新问题、新挑战不断涌现，各方面的信息安全保障工作，亟待做出战略部署，需要加强协调，形成整体，形成合力。2011年是我 国第十二个五年规划的开局之年，希望国家早日出台国家信息战略规划，颁布新的指导性文件，从“十二五”开始，使我国的网络与信息安全协调机制切实发挥更大 的作用。

篇8：信息安全保障体系建设研究

然而, 信息安全方面触目惊心的重大事件才刚刚揭开冰山一角, 特别是在拥有敏感信息的政府部门、军事和企业领域中的信息安全危机尤为突出。个人隐私、政府数据、商业信息、军事机密可能正处于高危状态, 它将时刻左右着个人、企业的生死存亡, 影响着社会、国家的安全稳定。央视“3·15”晚会曝光的安全事件和“棱镜门”事件的曝光, 为社会方方面面的信息安全再次敲响了警钟, 也凸显了信息安全的重要性。

一、信息安全保障体系

信息安全, 从20世纪80年代前通过加密和控制访问的通信保密时代, 到90年代信息的保密性、完整性和可用性的信息安全时代, 再到主动防御的信息保障体系时代。历经通信安全、计算机系统安全、网络时代的信息系统安全, 以及信息时代的信息安全保障, 信息安全跟随时代信息发展的步伐一路走来。从静态的被动防御到动态的积极防御, 从保障通信过程安全到保障信息自身各个方面的安全, 最终走向了今天的信息安全保障。信息安全保障的内容, 也从先前单纯的信息加密、通信保密, 变为综合交叉了数学、计算机、外语、电子、通信、物理、法律、管理等学科相关理论和技术的大杂烩。

信息安全保障体系概括地讲是在保证效率的前提下, 确保信息安全, 实现应用系统的持续平稳运行;在信息系统的运行周期和服务期限内, 综合运用人才、管理、技术和系统等因素;通过采取防护、检测、预警等手段排除风险, 运用灾备、恢复及反击等安全保障策略, 来保障信息系统的完整性、保密性、可控性和可用性;降低安全风险到可接受的程度, 保障系统运行效率和应用系统的服务质量, 实现系统组织机构的使命。通俗地讲就是实现信息系统的非服务对象进不来, 拿不走, 改不了, 看不懂, 跑不掉, 打不垮。通过建设安全保障模型, 使系统具备信息安全防护、及时发现隐患的能力, 必要时提供网络应急反应和灾难备份, 甚至能够实现信息对抗等反击策略的能力。

信息安全领域中的安全保障模型有很多, 且各自都有鲜明的特点, 为清楚它们各自的优势和不足, 下面对比介绍几个流行的信息安全保障模型。

二、信息安全保障模型

信息安全行业流行的安全保障模型有:OSI、PDDR、IATF及WPDRRC等。正确理解不同信息安全保障模型并熟悉各种保障模型的优点和缺陷, 可以为制定不同层次和类型的信息安全解决方案提供理论支持, 从而为信息安全保障体系建设提供科学指导。

(一) OSI

OSI全称是Open System Interconnection Reference Model直译为开放系统互连的基本参考模型, 它是由国标准化组织 (ISO) 提出的。学过网络技术的人对它并不陌生, OSI基本参考模型就是网络底层的支撑基础, 所谓的“应、表、会、传、网、数、物”七层模型, 是学习网络技术入门的敲门砖。最初ISO设立这七层是为了解决网络互连时的兼容性, 后来在网络安全性问题突出时, 才据此建立了相对应的OSI安全体系结构, 即应用层、表示层、会话层、传输层、网络层、数据链路层和物理层。

OSI模型首次提出了安全的四种概念, 即服务、机制、管理和层次。通过控制访问权限实现鉴别服务, 利用数据加密、数字签名、数据交换、业务流填充来检测数据完整性, 运用路由控制和公证防止抵赖行为, 使用八种技术手段保障五类服务的安全性。

OSI安全体系为信息安全问题的解决提供了一种可行的方法, 但过于抽象可操作性差, 距信息安全保障的实际需求有较大距离, 且存在只关注技术在安全保护中的作用, 忽视了人和管理等要素及各种因素的综合考虑, 在信息安全不断发展的过程中具有局限性。在实际工作中, 大多采用PDRR等动态可适应安全模型, 为信息安全保障系统建设提供实践指导。

(二) PDRR

PDRR是最常用的网络安全模型, 是Protection (防护) , Detection (检测) , Reaction (响应) 和Recovery (恢复) 的简称。它由美国国防部在分析了ISS公司的PDR安全模型———只注重技术而未考虑人和政策等在信息安全保障体系中的综合作用的基础上提出的。PDRR模型引入了保护时间、检测时间和响应时间的概念, 通过数学公式指出只要系统的检测时间加上响应时间小于系统保护时间, 就可以称系统是安全的。

建设信息安全保障体系的策略是增强系统针对威胁和攻击的防御能力, 那么做“恶人假定”进行主动进攻就是最好的防御。因此, 要在PDRR的基础上增加预警和反击不失为一个好办法。这就是中国“八六三”信息安全专家组提出的的信息系统安全保障体系建设模型, 它更适合中国国情, 特别是在实现网上报税系统时, 能够对业务数据等受保护对象提供多层次保护。

改进于PDR的模型还有PPDR、PPDRM等。除了PDRR安全保障体系, 另外一个很受人们关注的体系就非IATF莫属了。

(三) IATF

IATF全称为Information Assurance Technical Framework, 即信息保障技术框架, 它的建立主要是因美国军方需求推动的, 后由美国国家安全局制定。它第一个提出了通过综合运用人、技术和操作三个主要核心要素, 来保障信息和信息系统安全的纵深防御的战略思想。除此之外, IATF还提出了网络边界、基础设施、计算环境等多个位置的保护, 以及分层防御和安全健壮性等信息安全原则。

与PPDRM相似, IATF综合运用人、技术和操作的因素来实现积极动态防御。不同于WPDRRC从安全防护层次提出安全防护模型的架构, IATF从信息系统的构成出发提出了安全保障架构, 这也使其与PPDRM一起成为被广泛使用的流行前沿。

三、国内外信息安全保障体系建设现状

伴随着全球化和信息化的浪潮, 信息安全也从单纯的技术问题, 变成了全社会关注的问题, 成为事关国家安全的全球性问题。信息安全历来都是各国关注的焦点, 国家无论大小, 对信息安全保障的建设都非常重视, 且投入很大。特别是西方国家, 一直以来都从战略、军事、科技、外交等多个方面加强信息安全保障建设。通过发布网络安全战略、引进和培训网络战精英人才、加快军事网络和通信系统的升级改造、寻求突破性发展路线推动技术创新, 以及在外交层面寻求达成信息安全的协同攻防机制。

虽然, 中国在信息安全发展的大环境已日臻完善, 但是与美、俄、欧、日等信息安全保障大国还存在明显差距, 特别是在网络安全意识、网络安全防护技术、信息安全基础设施建设、法律建设和依法管理等层面, 说的多做的少, 雷声大雨点小。许多应用系统处于不设防状态, 信息安全总体防护能力不强。

中国在信息系统安全保障建设的实践中, 还有很多路要走, 必须转变观念迎头赶上。要统筹信息安全体系建设的全局性, 加强信息和安全的一体化建设, 防止先建信息系统, 再建安全保障系统的补救式建设现象的出现。协调建设的阶段性与整体性的关系, 注重建设的战略性和长期性, 适时实现信息安全体系建设的跨越式发展。

信息安全保障体系建设要注意以下两点:一方面, 信息系统安全要从总体上通盘考虑, 防止系统的某个领域成为木桶效应中的短板, 出现千里之堤毁于蚁穴的事件;另一方面, 在建设实践中还要符合国情、民情、实情, 不追求最安全, 不建设最复杂。即实现建设因地制宜, 不大不小, 适合自身, 避免造成过度防御的浪费。

四、信息安全保障体系建设的“鞋理论”

(一) “鞋理论”的总原则

“鞋理论”的总原则就是安全程度的合适和适度原则, 通俗的讲就是“鞋子合不合脚自己穿着才知道”。

所谓适度安全原则, 即安全水平、费用以及安全措施、具体办法和工作程序应当与网络的价值和可靠程度以及可能造成的损害的严重程度和发生概率成合适的比例。在信息安全保障建设中要强调适合和适度原则, 从现阶段中国在信息安全体系发展所处的现实国情出发, 循序渐进, 脚踏实地, 不可盲目冒进, 忽视中国实际, 不切实际的追求大而空的最新最前沿技术。

(二) “鞋理论”的内容

“鞋理论”的内容即“统一鞋码”、“量脚定鞋”、“据脚选鞋”和“脚大换鞋”。

1.“统一鞋码”。

参考国际标准, 依据国家实际, 制定科学统一的国家标准。首先, 要制定国家战略级的规划和保障体系框架。其次, 要依据行业信息风险等级的不同, 制定统一的国家信息安全保障分级标准和合理配套的信息安全测评认证分级体系, 配合独立专业的第三方认证制度。最后, 要有配套的统管全局的国家信息安全法规。例如, 国家可以组织专业人士, 对全国范围内的各种信息安全进行分类评级, 按照信息安全所涉及的领域和信息资源的重要程度, 划分不同的等级。把可能影响国家安全和社会稳定的军事机密和政府重要部门的信息等划分为最高级, 把公开的不涉及机密的公共图书馆、开放的信息查询网站等划分为最低等 (下转249页) (上接202页) 级。同时制定相对应的信息安全保障方案和信息安全保障等级评估机制。把这项工作制度化系统化做好, 并在实践中不断修正使其合理化、科学化、规范化, 最终形成文字、表格, 变成规范、准则和全国信息安全保障建设的纲领性文件, 在全国范围内推广实施。

2.“量脚定鞋”。

即测定该穿多大的鞋。信息安全保障评估者, 依据需求者信息资源的类型和特点, 参照国家信息安全评级标准研究评定适合的保护级别, 构架相应等级的信息安全保障模型。

3.“据脚选鞋”。

也就是根据实际判定穿什么类型的鞋。鞋的类型很多, 晨练跑步穿运动鞋舒服, 出入正式场合穿皮鞋显得庄重, 休闲在家穿拖鞋方便。同样, 事关国计民生的重要部门和基础设施, 使用高级别的核心保障就比较合适;网吧和公共图书馆的安全, 低级别的保障便是首选。

4.“脚大换鞋”。

脚长大以后要换鞋码大一点的鞋。即重新评价, 定时对信息安全措施重新评价。由于当前高技术的发展速度十分迅速, 有些安全措施没过多久就会变得过时, 甚至完全失效。因此在过一段时间后, 必须对已有的安全措施作一次全面的评审, 以期跟上技术的发展。强调信息和安全随着时代、技术和自身等方面的改变应做出的同步性改变。

(三) “鞋理论”的关键点

“鞋理论”实现了信息安全保障体系建设中的个性化需求, 然而物极必反, 在建设中要避免走极端, 防止各自为政, 脱离既定的科学标准, 丧失建设的一体化和整体性。

随着社会发展, 新出现的职业不断涌现, 为满足不同用户的需求, 高跟鞋、轮滑鞋、钉鞋、滑雪鞋等类型的鞋不断涌现, 必将为“鞋理论”带来新的挑战, 信息安全保障体系建设也不例外。

五、展望

随着信息化的深入, 新技术不断涌现, IPv6、Web2.0、云计算、物联网以及基于新一代信息技术而出现的智慧城市和智慧地球。信息安全保障体系的建设也必将发生相应的转变, 有些转变甚至是颠覆性的。如:IPv6的出现, 等于宣告入侵检测的作废;Web2.0的诞生, 滋生了病毒的又一个春天;而融合了云计算和物联网技术的城市信息化高阶段产物———智慧城市的出现, 也标志着“黑客帝国”的危机离我们已经不远了。

摘要：以近期的信息安全重大事件拉响信息安全警报为始, 提出了信息安全的重要性。指出了信息安全保障体系的由来及概念, 重点论述了信息安全保障体系流行的三种模型, 对比分析了国内外信息安全保障体系建设的现状及信息安全保障体系建设要注意的问题, 通俗地提出了信息安全保障体系建设的“鞋理论”, 展望了信息安全保障体系建设的未来。

关键词：信息安全保障,体系建设,鞋理论

参考文献

[1]穆瑛.精辟!方滨兴对国家信息安全保障体系在解读[J].信息安全与通信保密, 2009, (5) :11-12.

[2]沈昌祥.加强信息安全保障体系的思考[J].信息网络安全, 2002, (11) :11-14.

[3]王郎.一个信息安全保障体系模型的研究和设计[J].北京师范大学学报:自然科学版, 2004, (1) :57-62.