《資訊保安保障》一2.2 我國資訊保安保障工作主要內容

華章計算機發表於2017-07-03

本節書摘來自華章出版社《資訊保安保障》一書中的第2章,第2.2節,作者 吳世忠 江常青 孫成昊 李華 李靜,更多章節內容可以訪問雲棲社群“華章計算機”公眾號檢視

2.2 我國資訊保安保障工作主要內容

為構建資訊保安保障體系,我國已經在資訊保安標準化、應急處理與資訊通報、等級保護、風險評估和人才隊伍建設等方面展開工作,並取得了一些成果。

2.2.1 資訊保安標準化

資訊保安標準為資訊保安保障各項工作提供規範,為保障工作的各參與方提供交流和評判的基準,因此,資訊保安標準化是國家構建資訊保安保障體系的重要基礎環節。
1.?意義
資訊保安標準化工作是我國資訊保安保障工作的重要組成部分之一,也是政府進行巨集觀管理的重要依據,同時也是保護國家利益、促進產業發展的重要手段之一。雖然國際上有很多標準化組織研究制定了多個資訊保安標準,但是由於資訊保安標準事關國家安全利益,因此不能過分依賴於國際標準,而是要在充分借鑑國際標準的前提下,通過本國組織和專家制定出符合本國國情並可以信任的資訊保安技術和管理等領域的標準,切實有效地保護國家利益和安全。
資訊保安標準是解決資訊保安產品和系統在設計、研發、生產、建設、使用和測評中的一致性、可靠性、可控性、先進性和符合性的技術規範與依據。資訊保安保障體系的建設是一個極其龐大的複雜系統,沒有配套的安全標準,就不能構造出一個可用、實用的資訊保安保障體系。資訊保安標準化建設作為我國資訊保安保障體系的重要組成部分,具有極其重要的意義。
資訊保安標準化工作是解決資訊保安問題的重要技術支撐,其作用突出地體現在能夠確保有關產品、設施的技術先進性、可靠性和一致性。在按國際規則實行IT產品市場準入時能夠為相關產品的安全性合格評定提供依據,以強化和保證我國資訊化的安全產品、工程、服務的技術自主可控。
2.?實踐歷程
目前,國務院授權在國家質量監督檢驗檢疫總局管理下,由國家標準化管理委員會統一管理全國標準化工作,下設有529個專業技術委員會。中國標準化工作實行統一管理與分工負責相結合的管理體制,由88個國務院有關行政主管部門和國務院授權的有關行業協會分工管理本部門、本行業的標準化工作,由31個省、自治區、直轄市政府有關行政主管部門分工管理本行政區域內本部門、本行業的標準化工作。
1984年7月,在我國的全國計算機與資訊處理標準化技術委員會下,建立了相應的資料加密分技術委員會,在國家技術監督局和原電子工業部的領導下,歸口管理國內外的資訊科技資料加密的標準化工作。1997年8月,隨著資訊科技的發展和工作範圍的擴大,在原資料加密分委員會的基礎上,改組成立了資訊科技安全分技術委員會(與國際ISO/IEC JTC1/SC27資訊科技的安全技術分委會對應)。它是一個具有廣泛代表性、權威性和軍民結合的資訊保安標準化組織,其工作範圍是負責資訊和通訊安全的通用框架、方法、技術和機制的標準化,歸口國內外對應的標準化工作。2002年4月,經國家標準化管理委員會批准,全國資訊保安標準化技術委員會(簡稱“信安標委”,委員會編號為TC260)正式成立。
信安標委成立後,逐步形成“基礎性研究——標準預研——標準制定”3個階段波浪式的標準研製新模式,以工作組為主體開展資訊保安標準的研究制定工作。工作組由國內資訊保安技術領域的有關部門、研究機構、企事業單位及高等院校等代表組成,是標準研製的技術力量。目前正式成立了資訊保安標準體系與協調工作組(WG1)、涉密資訊系統安全保密工作組(WG2)、密碼工作組(WG3)、鑑別與授權工作組(WG4)、資訊保安評估工作組(WG5)、通訊安全工作組(WG6)和資訊保安管理工作組(WG7)7個工作組。
信安標委制定形成了我國資訊保安標準體系框架,並以該標準體系框架作為指導我國資訊保安標準制訂工作的指導性技術檔案,圍繞資訊保安保障體系建設,積極開展了配套標準的研究制定工作。
除全國資訊保安標準化委員會、公安部資訊系統安全標準化技術委員會、中國通訊標準化協會網路與資訊保安技術工作委員會3個專業性資訊保安標準化組織外,我國其他有關主管部門和地方政府也釋出了部分資訊保安行業標準或地方標準。

2.2.2 資訊保安應急處理與資訊通報

發生資訊保安事件可能造成嚴重損失和惡劣社會影響,我國非常重視資訊保安事件管理。應急處理與資訊通報是資訊保安事件管理的重要內容。加強資訊保安應急處理與資訊通報是資訊保安保障實踐活動的重要內容,能夠提高安全事件的整體應對能力。
1.?意義
國家資訊基礎設施安全應急保障工作是國家資訊保安保障體系建設的重要組成部分。建立健全應急處理與資訊通報機制依賴於建設和完善資訊保安監控體系,提高網路安全事件應對和防範能力,防止有害資訊傳播。因此,高度重視資訊保安應急處置工作,健全資訊保安應急指揮和安全通報制度,不斷完善資訊保安應急處置預案,具有十分重要的意義。
1)資訊保安應急處理與資訊通報工作是國家資訊保安保障工作的基本制度和重要措施。
建立國家網路與資訊保安通報機制,有利於各部門、各領域實現資訊交流與共享,綜合分析安全威脅和安全狀況,做好資訊保安預警和防範工作,提升對資訊保安事件的快速反應和整體應對能力,保證應對措施的及時性和有效性;有利於國家調動和整合各領域的有利資源,迅速、全面掌握整體情況,及時做出決策部署;有利於全社會增強安全防範意識,共同參與資訊保安保障工作。因此,建立國家網路與資訊保安通報制度,是國家資訊保安保障工作的基本制度和重要舉措。
2)資訊保安應急處理與資訊通報工作有利於提高基礎資訊網路與重要資訊系統的資訊保安防範、保障能力。
建立國家網路與資訊保安資訊通報制度,能夠及時、全面地收集、彙總各方面的網路與資訊保安資訊,經過綜合研判分析,提出對策、建議並及時通報基礎資訊網路和重要資訊系統,為事件發生單位提供對策和技術支援,為其他單位提供預警資訊,從而協助基礎資訊網路和重要資訊系統全面掌握國內、外網路與資訊保安政策和技術動態,有針對性地制定和實施安全防範措施,增強網路與資訊保安防範、保障能力,確保涉及國計民生的基礎資訊網路和重要資訊系統的安全。
3)資訊保安應急處理與資訊通報工作有助於加強國家網路與資訊保安應急處置工作。
建立國家網路與資訊保安通報制度,能夠在發生重大網路與資訊保安事件時,在國家網路與資訊保安協調小組和成員單位之間以及各成員單位之間,建立暢通的資訊交流渠道,全面收集事件的相關情況,及時上報協調小組,同時將協調小組的預警命令和決策部署下達到成員單位,做好預警和防範工作,建立健全國家資訊保安應急處置協調機制和指揮排程機制,提高對網路與資訊保安事件的快速反應和整體應對能力,保證應急處置措施的及時性和有效性,確保國家基礎資訊網路和重要資訊系統的安全。
2.?實踐歷程
資訊保安應急保障體系包括組織機構、標準法規、支撐系統和執行能力4個方面。組織機構是負責國家資訊基礎設施安全應急處理與通報工作的主體;標準法規是實施國家資訊基礎設施安全應急處理與通報工作的行為準則和技術標準;支撐系統是支援國家資訊基礎設施安全應急處理與通報工作實施的技術手段;執行能力是組織機構按照標準法規、利用支撐系統處置國家資訊基礎設施安全應急事件的能力。
(1)資訊保安應急處理機制的建立
2000年,我國成立了國家計算機網路應急技術處理協調中心(National Computer network Emergency Response technical Team Coordination Center of China,CNCERT/CC)、國家計算機病毒應急處理中心和國家計算機網路入侵防範中心,建立了最早的技術合作雛形。後來根據在2001年應對一系列大規模網路安全事件中得到的經驗教訓,這個合作體系又擴大到各骨幹網際網路運營單位。擴充套件後的合作體系使我國對大規模網路安全事件的應急響應效率和能力有了極大的提高。自2003年起,各部門都開始制定與網際網路相關的應急預案,開始重視應急協調預案和不同部門間的協調。根據新的網路安全威脅特點,這個體系在2004年又進行了進一步的擴充套件和調整,形成了我國公共網際網路絡應急處理體系,以便發揮政府、產業界、專業組織、研究機構和安全企業等方面的作用,在中央和地方組成的核心框架下,形成有機整體,使網路安全事件的預防、應對能力均得到更全面、更有效的加強。
我國的應急響應機構包括CNCERT/CC、中國教育和科研計算機網緊急響應組(China Education and Research Network Computer Emergency Response Team,CCERT)及其他專業性的組織。CNCERT/CC由工業和資訊化部(以下簡稱“工信部”)網際網路應急處理協調辦公室直接領導,負責協調我國各計算機網路安全事件應急組(Computer Emergency Response Team,CERT),共同處理國家公共網際網路上的安全緊急事件,為國家公共網際網路、國家主要網路資訊應用系統以及關鍵部門提供計算機網路安全的監測、預警、應急和防範等安全服務和技術支援,及時收集、核實、彙總和釋出有關網際網路安全的權威性資訊,組織國內計算機網路安全應急組織進行國際合作和交流。CCERT是中國教育和科研計算機網CERNET專家委員會領導之下的一個公益性的服務和研究組織,從事網路安全技術的研究和非營利性質的網路安全服務。目前,CCERT的應急響應體系已經包括CERNET內部各級網路中心的安全事件響應組織或安全管理相關部門,是一個由30多個單位組成、覆蓋全國的應急響應組織。其他專業性的應急組織還包括國家計算機病毒應急處理中心、國家計算機網路入侵防範中心、國家863計劃反計算機入侵和防病毒研究中心。
(2)資訊保安通報機制的建立
網路資訊的安全保障和應急處置涉及多個部門、多個層次,需要建立和規範對影響網路與資訊保安的事件的發現、分析、通報、預警以及處置的工作機制,以便統一發布危害警報,統一協調行動。協同加強安全防範,確保一旦發生大規模病毒感染、網路攻擊及其他網路資訊保安事件時,能夠及時有效處置,減少危害損失和影響範圍。
根據“誰主管、誰負責;誰經營,誰負責”的原則,強化各個部門的資訊彙總和研判工作,在國家網路與資訊保安協調小組的領導下,形成跨部門的網路與資訊保安有關資訊的共享機制。堅持政府主導,充分發揮社會中介的作用。採用分類、分級的處理方式,規範網路與資訊保安的預警和通報工作,及時有效地化解安全風險。
“分類、分級”的預警與通報機制由公安部負責協調小組成員單位和各重要資訊系統主管部門的網路與資訊保安資訊彙總和反饋工作。發生網路資訊保安事件後,協調小組成員單位和各重要資訊系統主管部門除按正常渠道上報外,必須及時通知公安機關,公安部在綜合分析後,及時將研判結果通報各有關單位。公安部公共資訊網路安全監察部門,面向全國接受網路與資訊保安方面的報警,組織對電腦保安犯罪行為的調查和打擊,研究並提出相應的應對措施,分析研判資訊保安問題的性質、危害程度和可能的影響範圍,必要時向政府機關、科研單位和網路營運管理部門釋出安全預警資訊。發生網路安全事件後,各部門、各單位、各網路運營單位和社會公眾有義務及時向各級公安機關報告。
工信部負責基礎電信網路和網際網路的網路與資訊保安事件通報,通過CERT的協作機制,接受網路與資訊保安事件報告,分析研判資訊保安事件的性質和危害程度,研究提出相應的對應措施,組織技術應急,面向基礎電信網路和網際網路釋出預警資訊。
國家網路與資訊保安協調小組辦公室將定期對國家網路與資訊保安的總體形勢進行綜合研究和會商,研究提出相應的管理和技術政策建議,並向國務院報告。出現可能影響社會穩定和國民經濟正常執行的網路與資訊保安威脅時,隨時組織會商,及時報告。

2.2.3 資訊保安等級保護

實施資訊保安等級保護能夠針對不同系統有效實現恰當保護,提供所需級別的保護能力,是我國在相應法規、政策和標準的基礎上推行的一項重要資訊保安保障工作。
1.?意義
近年來,黨中央、國務院高度重視,各有關部門協調配合、共同努力,我國資訊保安保障工作取得了很大進展。但是從總體上看,我國的資訊保安保障工作尚處於起步階段,基礎薄弱,水平不高,存在以下突出問題:資訊保安意識和安全防範能力薄弱,資訊保安滯後於資訊化發展;資訊系統安全建設和管理的目標不明確;資訊保安保障工作的重點不突出;資訊保安監督管理缺乏依據和標準,監管措施不到位,監管體系尚待完善。隨著資訊科技的高速發展和網路應用的迅速普及,我國國民經濟發展和社會資訊化程式全面加快,資訊系統的基礎性、全域性性作用日益增強,資訊資源已經成為國家經濟建設和社會發展的重要戰略資源之一。保障資訊保安,維護國家安全、公共利益和社會穩定是當前資訊化發展中迫切需要解決的重大問題。
實施資訊保安等級保護,能夠有效地提高我國資訊和資訊系統安全建設的整體水平,有利於在資訊化建設過程中同步建設資訊保安設施,保障資訊保安與資訊化建設相協調;有利於為資訊系統安全建設和管理提供系統的指導和服務,有效控制資訊保安建設成本;有利於優化資訊保安資源的配置,對資訊系統實施分等級保護,重點保障基礎資訊網路和關係國家安全、經濟命脈和社會穩定等方面的重要資訊系統的安全;有利於明確國家、法人和其他組織、公民的資訊保安責任,加強資訊保安管理;有利於推動資訊保安產業的發展,逐步探索出一條適合社會主義市場經濟發展的資訊保安模式。
實行資訊保安等級保護,本質上就是要明確重點、確保重點。首先是要明確重點,在國家層面,這個重點就是那些關係國家安全、經濟命脈、社會穩定的基礎網路和重要資訊系統。對於部門、地方和企業而言,也應根據實際確定自己的保護重點。其次,在系統定級的基礎上,還要綜合平衡資訊保安風險和建設成本,進一步確定重點部位,將有限的資源用到最急需、最核心的地方,根據安全等級進行建設和管理,確保核心系統安全。最後,實行等級保護要堅持從實際出發。我國的資訊化發展不平衡,東中西部差異較大,不同部門、不同地區資訊化所處的發展階段不同,面臨的資訊保安風險和資訊保安需求也不一樣。因此,在資訊保安保障中必須從實際安全需求出發,不能片面追求“絕對安全”,搞不計成本的安全,也不能搞一刀切、上下一般粗、全國一個模式。必須區分輕重緩急,根據不同等級、不同類別、不同階段,突出重點,將有限的資源用到最急需保障的地方。這也是實事求是思想路線在資訊保安保障工作中的具體體現。
資訊保安等級保護是國家資訊保安保障的基本制度和方法,開展資訊保安等級保護工作是促進資訊化發展,保障國家資訊保安的重要舉措,也是我國多年來資訊保安工作的經驗總結。開展資訊保安等級保護,就是要解決我國資訊保安面臨的威脅和存在的主要問題,有效體現“適度安全、保護重點”的目的,將有限的財力、物力和人力投入重要資訊系統安全保護中,按標準建設安全保護措施,建立安全保護制度,落實安全責任,加強監督檢查,有效提高我國資訊和資訊系統安全建設的整體水平。
2.?實踐歷程
1994年2月18日,《中華人民共和國計算機資訊系統安全保護條例》(國務院令第147號)釋出,以國務院行政法規的形式正式確定對我國境內的計算機資訊系統實行安全等級保護制度,明確公安部作為主管單位,對具體工作從法律上做了明確規定,由公安機關負責國家資訊保安等級保護工作的監督、檢查和指導,公安部會同有關部門制定安全等級劃分標準和保護的具體辦法,公安部根據本條例制定實施辦法。
(1)研究制定等級保護的準則、規範和標準
1999年,GB 17859—1999《計算機資訊系統安全保護等級劃分準則》(以下簡稱《劃分準則》)釋出。這是一部強制性國家標準,它既是一部技術法規,也是等級保護的重要基礎標準,它從功能上把資訊系統的安全等級劃分為5個級別的安全保護能力。隨後,國家先後頒佈了多部資訊保安等級保護相關標準,逐步形成等級保護標準體系。
(2)強化等級保護
為了進一步貫徹落實27號檔案精神,推動等級保護工作,2004年9月15日,公安部會同國家保密局和國信辦共同研究制定《關於資訊保安等級保護工作的實施意見》(公通字[2004]66號,以下簡稱《實施意見》),把等級保護確認為國家資訊保安的基本制度和根本方法,明確了資訊保安等級保護的建設原則、工作要求、實施計劃,對資訊等級保護工作做了更加具體的明確,把等級保護提到一個新的高度。2005年《實施意見》下發,等級保護工作全面啟動。
2005年9月15日,國信辦正式釋出《電子政務資訊保安等級保護實施指南(試行)》(國信辦[2005]25號)(以下簡稱《實施指南(試行)》),著重闡述了電子政務資訊保安等級保護的基本概念、工作方法和實施過程,供各級黨政機關在新建和已建電子政務系統中開展資訊保安等級保護工作參考。
(3)開展等級保護基礎調研
2005年底,公安部和國信辦聯合印發了《關於開展資訊系統安全等級保護基礎調查工作的通知》(公信安[2005]1431號),就此拉開2006年資訊保安等級保護工作的序幕。2006年1月17日,根據《實施意見》,公安部、國家保密局、國家密碼管理局和國務院資訊化工作辦公室(以下簡稱“國信辦”)聯合釋出《關於印發〈資訊保安等級保護管理辦法(試行)〉的通知》(公通字[2006]7號),於2006年3月1日起實施。
2006年5月20日,資訊保安等級保護基礎調查工作初步完成,共調研了涉及各級財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業、公用通訊和廣播電視傳媒等4897個資訊系統。
(4)開展等級保護試點工作
2006年5月19日,由公安部副部長任組長,公安部、國家保密局、國家密碼管理局和國信辦有關領導為成員的國家等級保護工作協調小組召開了第一次會議。資訊產業部、廣電總局、鐵道部、人民銀行、海關總署、國稅總局、民航總局、國家電網公司、證監會和保監會等國家基礎資訊網路和重要資訊系統主管部門的有關領導參加了本次會議。2006年6月6日,公安部、國家保密局、國家密碼管理局和國信辦聯合正式下發了《關於開展資訊保安等級保護試點工作的通知》(公信安[2006]573號),確定從2006年7~10月組織開展資訊保安等級保護試點工作。
(5)開展等級保護定級工作,等級保護獲得快速推進
2007年6月22日,公安部、保密局、密碼管理局和國信辦四部委聯合正式下發《關於印發〈資訊保安等級保護管理辦法〉的通知》(公通字[2007]43號),標誌著資訊保安等級保護工作的正式實行。該管理辦法正式確定了資訊保安等級保護制度的基本內容及各項工作要求,進一步明確了國家、公民、法人和其他組織在等級保護工作中的責任和義務,各職能部門在資訊保安等級保護工作中的職責分工,以及資訊系統運營使用單位、行業主管部門的安全保障法律責任。
公安部、國家保密局、國家密碼管理局和國信辦於2007年7月26日聯合下發《關於開展全國重要資訊系統安全等級保護定級工作的通知》(公信安[2007]861號),部署各省、自治區、直轄市公安、保密、密碼管理、資訊化領導小組辦公室以及中央和國家機關各部委相關部門組織開展重要資訊系統安全等級保護定級工作。

2.2.4 資訊保安風險評估

重視資訊保安風險評估是資訊化已開發國家的重要經驗,作為風險評估先驅者的資訊化已開發國家越來越重視資訊系統風險評估工作。早在20世紀70年代初期,美國政府就提出了風險評估的要求,要求聯邦政府部門依據資訊和資訊系統所面臨的風險,根據資訊丟失、濫用、洩露和未授權訪問等造成損失的大小,制訂、實施和維持資訊保安計劃,以保證資訊和資訊系統的適度安全。2002年頒佈的《2002聯邦資訊保安管理法》對資訊保安風險評估提出了更加具體的要求,指定聯邦管理和預算辦公室(Office of Management and Budget,OMB)督促這項工作,要求各聯邦機構週期性地評估各自資訊和資訊系統的未授權訪問、資訊洩露、服務中斷和系統破壞所造成的風險和危害,週期性地測試資訊保安措施和技術的有效性。
2006年6月,美國國土安全部正式釋出了《國家基礎設施保護計劃》(National Infrastructure Protection Plan,NIPP)。NIPP是美國國土安全框架的一個關鍵要素,它是建立於一系列國家戰略之上,包括2002年7月釋出的《國土安全戰略》,2003年2月釋出的《關鍵基礎設施和重要資產物理保護的國家戰略》,2003年2月釋出的《保護網際空間國家戰略》,以及2003年12月釋出的第7號國土安全總統令。從NIPP和這一系列美國國家戰略中可以看出,以風險管理框架為基礎開展風險評估工作,已經成為美國等西方已開發國家保障關鍵基礎設施和重要資源,從而保護國土安全的一個核心要素和重要手段。
1.?意義
資訊保安風險評估是資訊保安保障體系建立過程中一種重要的評價方法和決策機制,在資訊保安保障體系建設中具有不可替代的地位和重要作用。資訊保安風險評估是資訊保安保障的基礎性工作,它既是明確安全需求、確定安全保障重點的科學方法和手段,又是資訊保安建設和管理的重要保證。沒有準確及時的風險評估,各個機構無法對其資訊保安的狀況做出準確的判斷。
風險評估工作的目的是為國家資訊化發展服務,促進資訊保安保障體系的建設,提高資訊系統的安全保護能力。目前,國家關鍵基礎設施對資訊系統的依賴性越來越強,因此,許多重要資訊網路和重要資訊系統單位開展資訊保安風險評估的需求越來越迫切,一些大型應用行業在考慮資訊系統建設的佈局時,已經在資訊保安評估、諮詢和規劃方面投入了實質性的資金支援。現階段,風險評估工作的主要任務是要認清資訊保安環境和狀況,採取和完善安全保障措施,使其更加經濟有效,並使資訊保安策略保持一致性和持續性。
風險評估工作的意義和作用,具體體現在以下幾個方面。
(1)資訊保安風險評估是資訊保安建設的起點和基礎
資訊保安風險評估是科學分析資訊和資訊系統在保密性、完整性和可用性等方面所面臨的風險,揭示一個組織機構的風險狀況,並提出改進風險狀況的建議的工作。只有在正確、全面認識風險後,才能在控制風險、減少風險、轉移風險和接受風險之間做出正確的判斷,才能決定調動多少資源,採取何種應對措施去化解、降低風險。所有資訊保安建設和管理都應該是基於資訊保安風險評估的結果,只有這樣,資訊保安建設才能做到從實際出發,堅持需求主導、突出重點,以最小的代價去最大程度地保障安全。
風險評估既是實施資訊系統安全等級保護的前提,又是資訊系統安全建設和安全管理的基礎工作。通過風險評估,能及早發現和解決問題,防患於未然。當前,尤其迫切需要對我國基礎資訊網路和關係國家安全、經濟命脈、社會穩定等方面的重要資訊系統進行持續的風險評估,隨時掌握其安全狀態,及時採取有針對性的應對措施,為建立全方位的國家資訊保安保障體系提供服務。通過風險評估可以有助於認清資訊保安環境和資訊保安狀況,明確資訊化建設中各級的責任,採取或完善更加經濟有效的安全保障措施,保證資訊保安策略的一致性和持續性,進而服務於國家資訊化的發展,促進資訊保安保障體系的建設,全面提高資訊保安保障能力。
(2)資訊保安風險評估是資訊保安建設和管理的科學方法
資訊系統的安全性取決於系統的資產、脆弱性和威脅等多種安全要素,這些要素之間的關係以及與系統環境的關係。資產包括裝置、軟體、資料以及人員等,脆弱性包括系統自身在結構上、管理上和技術上的弱點和不足,威脅有自然威脅與人為威脅、內部威脅與外部威脅等,包括病毒傳播、黑客攻擊、網路竊密等。風險評估提供了這樣一種科學的方法,它將系統的風險理論應用於某一組織的具體生產運營環境,使組織的管理層和決策層能瞭解組織資訊保安的客觀狀況,基於對現狀的瞭解,才能做出後續資訊保安相關建設的正確決策。
(3)風險評估實際上是在倡導一種適度安全
從理論上講,不存在絕對的安全,風險總是客觀存在的。風險評估並不追求零風險,不計成本的絕對安全,或者試圖完全消滅風險。資訊保安風險評估要求在認清風險的基礎上,決定哪些風險是必須要避免的,哪些風險是可以容忍的。也就是說,資訊保安風險評估要求組織的管理者在風險與成本之間尋求一個最佳平衡點,這體現了適度安全的原則。
2.?實踐歷程
在我國,實施資訊保安風險評估已有十餘年。國家政策性檔案《國家資訊化領導小組關於加強資訊保安保障工作的意見》(中辦發[2003]27號)對資訊保安風險評估工作的重視,促使我國的資訊保安風險評估工作開始進入快車道。為貫徹國家政策對風險評估工作的要求,2003年,國信辦成立課題組,啟動了資訊保安風險評估工作。課題組通過調研、標準編寫和試點3個階段的工作,先後對北京、廣州、深圳和上海4個地區十幾個行業的50多家單位進行了深入細緻的調查與研究。在調查研究的基礎上,課題組撰寫了《資訊保安風險評估調查報告》和《資訊保安風險評估研究報告》,全面介紹資訊保安風險評估的基本概念、基本理論和基本方法,闡述了資訊保安風險評估的意義以及在我國推動資訊保安風險評估工作的具體建議。
2004年1月9日,全國資訊保安保障工作會議在北京召開,該會對風險評估工作提出了明確要求,要“抓緊研究制定基礎資訊網路和重要資訊系統風險評估的管理規範,並組織力量提供技術支援。根據風險評估結果,進行相應等級的安全建設和管理,特別是對涉及國家機密的資訊系統,要按照黨和國家有關保密規定進行保護。對涉及國計民生的重要資訊系統,要進行必要的資訊保安檢查。”2004年3~9月,國家資訊中心組織國內二十多家單位,編制完成了《資訊保安風險評估指南》、《資訊保安風險管理指南》等標準規範草案。
2005年2~8月,國務院資訊辦在北京市、上海市、黑龍江省、雲南省、人民銀行、稅務總局、國家電網公司、國家資訊中心等地方、部門和單位組織開展了國家基礎資訊網路和重要資訊系統資訊保安風險評估試點工作,進一步完善兩個標準草案並驗證兩個標準草案的可用性,為全面推廣資訊保安風險評估工作,出臺資訊保安風險評估相關政策檔案進行了實踐探索。開展風險評估試點工作顯著提高了試點單位資訊保安防護和管理水平,探索了風險評估工作的基本規律和方法,檢驗並完善了有關標準,培養和鍛鍊了人才隊伍。
2005年12月16日,國家網路與資訊保安協調小組正式通過了《關於開展資訊保安風險評估的意見》,於2006年1月正式釋出,標誌著我國將開始在全國範圍內,尤其是基礎資訊網路和重要資訊系統,推進資訊保安風險評估工作,使資訊保安風險評估工作在實踐中更加深入。該意見明確關係國計民生和社會穩定的基礎資訊網路和重要資訊系統的資訊保安風險評估技術服務由國家專控隊伍承擔。中國資訊保安測評中心和國家資訊科技安全研究中心是國家資訊保安風險評估專控隊伍。自2006年起,每年國信辦都組織風險評估專控隊伍對全國基礎資訊網路和重要資訊系統進行檢查。2006年3月7日,國信辦分別在北京、雲南組織召開了全面推進資訊保安風險評估工作的宣貫會,由此拉開我國分步全面推廣資訊保安風險評估工作的序幕。
2007年釋出的GB/T 20984—2007《資訊保安風險評估規範》和2009年釋出的GB/Z 24364—2009《資訊保安風險管理指南》,使我國的風險評估和風險管理工作更趨規範。

2.2.5 災難恢復

災難恢復能力是資訊保安保障能力的重要組成部分。災難性事件的破壞力是巨大的,然而最近幾年,災難性事件頻發,由此導致很多關鍵業務系統中斷,造成嚴重後果。確保災難過後關鍵業務能在較短時間內恢復是資訊保安保障工作的目標之一。災難恢復規劃是實現業務連續性的重要步驟,是資訊保安保障實踐的重要內容。
1.?意義
災難恢復是指將資訊系統從災難造成的故障或癱瘓狀態恢復到可正常執行狀態,並將其支援的業務功能從不正常狀態恢復到可接受狀態而設計的活動和流程。
當前,資訊系統災難恢復工作已經引起了國家、社會和單位的高度重視。災難恢復是單位保持業務連續運作的需要,長期可持續發展的要求。它是單位加強風險管理,提高市場競爭力的重要手段,同時也是保證國家安全、人民利益、社會穩定和經濟發展的需要。國內、外一系列已經發生的資訊保安事件表明,如果沒有應對災難的準備和一定的恢復能力,重要資訊系統一旦發生重大事故或者遭遇突發事件,將嚴重影響國民經濟發展和社會穩定。災難恢復是為高風險、低概率事件所準備的。在一般情況下,災難恢復資源處於閒置狀態,但當災難來臨時,若災難備份中心不能正常發揮作用,將對單位和社會造成巨大的損失和影響。而資訊系統災難恢復管理是資訊保安保障的重要組成部分,災難恢復建設是現有資訊系統安全保護的延伸,承載災難恢復系統建設的災備中心是保障資訊保安的重要基礎設施。災難恢復是整個資訊保安應急工作的一個重要環節,是資訊保安綜合保障的最後一道防線。我國政府高度重視重要資訊系統的災難備份和災難恢復工作,出臺了有關政策和指南。
2.?實踐歷程
20世紀90年代末期,一些單位在資訊化建設的同時,開始關注資料的安全保護,進行資料的備份和恢復。但當時,無論從災難恢復理論水平、重視程度、從業人員數量和質量,還是技術水平方面都很不成熟。
2000年的“千年蟲”事件和2001年的“9•11”事件引發了國內對資訊系統災難的集體性關注。隨著國內資訊化建設的不斷完善,以及資料大集中的開展,國家對災難恢復工作高度重視,越來越多的單位和部門認識到災難恢復的重要性和必要性,開展災難恢復建設的時機已基本成熟。
2002年4月,銀監會頒佈了《商業銀行內部控制指引》,其中第八章《計算機資訊系統的內部控制》第一百一十七條指出:建立和健全計算機資訊系統風險防範的制度,確保計算機資訊系統裝置、資料、系統執行和系統環境的安全;第一百三十一條中明確規定:商業銀行應當建立電腦保安應急系統,制訂詳細的應急方案,並定期進行修訂和演練。資料備份應當做到異地存放,在條件允許時,應當建立異地計算機災難備份中心。2002年8月,人民銀行下發的《中國人民銀行關於加強銀行資料集中安全工作的指導意見》中明確規定:“為保障銀行業務的連續性,確保銀行穩健執行,實施資料集中的銀行必須建立相應的災難備份中心”。
2004年9月,國信辦印發了《關於做好重要資訊系統災難備份工作的通知》(信安通[2004]11號),對做好國家重要資訊系統災難備份工作的主要目標、基本原則和近期任務提出了明確要求。檔案強調了“統籌規劃,資源共享,平戰結合”的災備工作原則。為進一步推動8個重點行業加快實施災難恢復工作,國信辦於2005年4月下發了《重要資訊系統災難恢復指南》(以下簡稱《指南》),指明瞭災難恢復工作的流程,災備中心的等級劃分及災難恢復預案的制定,使得災難恢復建設邁上了一個新的臺階。
2006年,在《指南》工作組的基礎上,成立了標準工作組,編寫《資訊系統災難恢復規範》(以下簡稱《規範》),編制任務由全國資訊保安標準化委員會下達,由中國資訊保安測評中心承擔。2007年6月14日《規範》正式釋出,編號為GB/T 20988—2007,這是我國災難恢復行業第一部國家標準。
除了國家政策上的支援,近年來,各行業為了提高資訊系統的可靠性,也逐步展開了資訊系統的災難恢復建設。隨著各單位對災難恢復重視程度的提高,相關管理辦法和規範陸續出臺,2004年,中國災難恢復市場開始初具規模。目前,深圳市已經開始建設災備中心,北京、上海、廣州和杭州等地方政府正在研究建設災備中心。有關部委也在啟動災難恢復工作,海關總署已建成災備中心,其他一些單位的災備中心也在建設或規劃中。
2005年5月和2006年7月,在國務院資訊辦的指導下,中國資訊產業商會資訊保安產業分會分別在廣東南海和北京成功舉辦了災難恢復行業高層論壇和研討會,對中國災難恢復行業有序、健康發展起到了積極推動作用。
2.2.6 人才隊伍建設
構建資訊保安保障體系的各項工作,都需要具有相應資訊保安知識和技能的人員來推動。然而,資訊保安人才短缺卻是當前我國資訊保安保障工作面臨的主要問題之一。針對這一現狀,國家已經先後在多個政策和規劃當中提出加快加強資訊保安人才隊伍建設的要求。
1.?意義
在整個資訊保安保障工作中,人是最核心、最活躍的因素,資訊保安保障工作最終也是通過人來落實的。因此,加快資訊保安人才培養體系建設是發展我國資訊保安保障體系必備的基礎和先決條件。
多年來,國家高度重視我國資訊保安人才隊伍的培養和建設。2003年9月,中共中央辦公廳、國務院辦公廳轉發了《國家資訊化領導小組關於加強資訊保安保障工作的意見》(中辦發[2003] 27號),針對資訊保安人才建設與培養工作提出了“加快資訊保安人才培養,增強全民資訊保安意識”的指導精神。2010年4月6日,中央軍委印發《關於加強新形勢下軍隊資訊保安保障工作的意見》,意見提出要加強資訊保安人才隊伍建設,抓好專業力量訓練和組織運用,要充分發揮廣大官兵在資訊保安防護中的主體作用,採取多種形式開展資訊保安教育,進一步增強資訊保安意識。2012年5月,國務院常務會議釋出了《關於大力推進資訊化發展和切實保障資訊保安的若干意見》,明確提出加強宣傳教育和人才培養,開展面向全社會的資訊化應用和資訊保安宣傳教育培訓。
我國培養資訊保安人才以建成國家資訊保安保障體系為目標,明確資訊保安人才培養的使命,把培養資訊保安高階人才與資訊保安的普及教育相結合,提高公民的資訊保安意識。在加強學科教育的同時,加大資訊保安職業培訓的規模,滿足社會資訊化發展的需求。
2.?實踐歷程
2005年,教育部發布《教育部關於進一步加強資訊保安學科、專業建設和人才培養工作的意見》,從加強資訊保安學科體系研究、資訊保安碩士和博士點建設、穩定資訊保安本科專業設定和建立資訊保安繼續教育制度等十個方面提出了指導性意見。2007年我國成立了“教育部高等學校資訊保安類專業教學指導委員會”,進一步促進了高校的資訊保安學科建設。
1999~2012年,我國已有80餘所高校建立了資訊保安本科專業,每年培養資訊保安類專業本科畢業生近萬人,資訊保安學科建設和人才培養進入熱潮階段。從2001年武漢大學建立全國第一個資訊保安本科專業,到北京大學軟體與微電子學院宣佈正式成立資訊保安系,各高校在網際網路安全監察、等級保護、風險評估、網路攻防、內容安全、數字版權保護、安全策略管理、安全系統設計與監理、計算機犯罪取證、安全標準與管理規範等多個方面形成了資訊保安工程碩士的培養體系,並已經向政府立法、執法、監管和廣大企、事業單位輸送了大批專門人才。我國資訊保安專業教育已基本形成了從專科、本科、碩士、博士到博士後的正規高等教育人才培養體系。
除正規大學教育外,我國資訊保安非學歷教育已基本形成了以各種認證為核心,輔以各種職業技能培訓的資訊保安人才培訓體系。這種培訓認證是提高資訊保安從業人員整體水平,解決資訊保安專業人才缺口的重要方法和途徑。目前,我國資訊保安認證培訓主要是政府相關部門的認證,如中國資訊保安測評中心的“註冊資訊保安專業人員”(Certified Information Security Professional,CISP)資質認證;以及一些資訊保安企業認證,如微軟、思科等。這些都對提高資訊保安專業人員的理論和技術水平,提升資訊保安產業的競爭能力,強化國家資訊保安管理起到了重要作用。
然而,我國現有資訊保安人才培養狀況尚不能滿足國家政府部門、基礎資訊系統和網路等關係到國計民生的重要部門與行業的需求。一方面,國內每年對資訊保安人才的需求量高達數十萬,今後一段時間,還將持續增長,而人才供給(包括學歷教育和在職教育)每年不到3萬人,在未來一段時間內,資訊保安從業人員的數量同社會實際需求仍然存在較大缺口。另一方面,資訊保安人才綜合能力要求高,知識更新快,而當前我國資訊保安教育應用實踐性不足,難以滿足用人單位的深層次、個性化要求。


相關文章