信息安全如此重要,已经成为国家安全的战略性问题,必须从总体上把握,不断完善信息安全战略,并将其作为国家安全战略的核心部分。
自20世纪90年代我国大力开展信息化建设以来,很多信息化应用部门便已经开始考虑重点信息化工程的信息安全防护,职能部门在打击信息网络犯罪、加强互联网管理等方面做了大量工作。但上述这些工作的系统化程度不强,还不能有效提高我国信息安全保障能力的整体水平。
党和政府对信息安全高度重视。2003年,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号文件),标志着我国信息安全保障工作有了基本纲领和大政方针,指导思想和主要任务得以明确。2003年以来,按照27号文的部署,我国的信息安全保障工作进展顺利,信息安全保障水平大为提高。
一指导思想
1.总体要求
27号文件确定的我国信息安全保障工作的总体要求是,坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统的安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
积极防御就是要充分认识信息安全风险和威胁,立足于安全防护,加强预警和应急处置,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统;从更深层次和长远考虑,积极防御还包括国家要有一定的信息对抗能力和反制手段,从而对信息网络犯罪和信息恐怖主义等形成威慑。
综合防范就是要从预防、监控、应急处理和打击犯罪等环节,法律、管理、技术、人才等各个方面,采取多种技术和管理措施,通过全社会的共同努力,全面提升信息安全防护能力。
2.主要原则
27号文件确定的我国信息安全保障工作的主要原则是,立足国情,以我为主,坚持技术与管理并重;正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
(1)立足国情,以我为主。
安全单靠花钱是买不来的。发展信息和信息安全高技术、发展国家信息产业和信息安全产业、摆脱关键技术和设备受制于人的被动局面,是掌握信息安全主动权的根本出路。必须注重自主创新、自主可控。要大力推广应用国产软件和设备。另一方面,也要处理好自主研发与引进、采用国外先进技术和产品的关系,不能简单地认为只有自己的技术才是安全的,凡是国产的设备就是可控的。要积极开展国际合作,认真学习国外信息和信息安全新技术,合理引进和利用信息安全产品。同时,要加强对引进技术和产品的安全可控研究,努力做到趋利避害,为我所用。
(2)坚持管理与技术并重。
信息安全保障工作包括技术和管理两个方面,都很重要。
但从目前我国实际发生的安全事件看,较为薄弱的还是信息安全管理,有很多信息安全事件都是由于管理不到位,责任不落实造成的。因此要建立和完善信息安全管理责任制,加强管理,落实责任。
同时,信息安全是高技术的对抗,从根本上讲,解决信息安全问题还是要通过发展信息安全高技术。要坚持管理与技术并重,积极发展和采用先进技术来解决信息安全问题,同时也要注重通过加强管理弥补技术上的不足。
(3)正确处理安全与发展的关系。
在信息化规划和建设中,应同步考虑信息安全问题,始终坚持一手抓信息化发展,一手抓信息安全保障工作,做到以安全保发展,在发展中求安全。必须认识到,没有安全保障的信息化,会严重威胁国家安全和社会稳定,会置党和国家于一个非常危险的境地。同时,信息安全问题解决不好,有价值的信息不能上网,可以利用网络处理的业务不能用网络来处理,会严重影响和制约信息化的发展。必须辩证地看待信息安全问题,认识到没有绝对的安全,不存在没有风险的安全,安全风险和安全事件是不可能完全避免的。在具体信息化建设中,不能忽视信息安全威胁,也不能简单片面地夸大信息安全问题,必须综合平衡安全建设成本与安全风险,从实际安全需求出发进行安全建设和管理。
信息安全是信息化推进中出现的新问题,只能在发展的过程中加以解决。要坚持保障和促进信息化发展这一根本原则。
全部通过不上网、不共享、不互联互通来保安全,或者片面强调建专网,这样做的结果只能是造成不必要的重复建设,大量网络资源得不到充分利用,增加了信息化的成本,降低了信息化效益,失去了发展机遇。
(4)统筹规划,突出重点,强化基础工作。
信息安全保障工作涉及信息化建设的各个环节,包括法律、管理、技术、人才、意识等各个方面,与各部门、各地方都密切相关,是一个复杂的系统工程。网络中的一个环节、一个局部、一台计算机出问题,都有可能迅速地扩展到整个系统和网络,影响全局。这就要求我们十分注重统筹规划、全面防护,从各个层面,各个环节上加强综合性的信息安全保障工作。与此同时,还要突出重点,有所为有所不为,将有限的资源用于基础部分、关键地方、要害部位。要重点防止那些关系到国计民生的基础信息网络和信息系统在遭到攻击、破坏和发生事故时,导致基础服务大面积瘫痪,防止给经济和社会造成巨大损失。
(5)充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
信息安全保障是国家的大事。政府要着重从政策引导、监督管理、人才培养、增强意识及基础技术研究开发等方面加强信息安全保障工作,同时也要做好政府本身信息系统的安全建设和管理工作,为社会做出榜样。但是,信息安全保障不仅是政府的事,在更大层面上,信息安全保障是广大企业、公民个人的责任和义务,需要全社会的共同努力。国家要鼓励社会力量参与信息安全建设。广大企业、科研机构应该成为信息安全技术研发、产业发展的主体,并为政府和社会提供信息安全服务。
二信息安全保障体系建设
27号文发布以来,我国信息安全保障工作的总体目标,就是按照27号文确定的“积极防御、综合防范”的方针,用五年左右的时间基本建成国家信息安全保障体系。
1.实行信息安全等级保护
27号文提出,不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
信息安全等级保护制度是国家信息安全保障工作的基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
为了加快推进信息安全等级保护工作,在多年探索和试点的基础上,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室于2007年6月联合发布了《信息安全等级保护管理办法》,《信息系统安全等级保护定级指南》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等技术标准目前也进入国家标准报批阶段。
国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。根据《信息安全等级保护管理办法》的规定,我国信息系统分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
《信息安全等级保护管理办法》要求,信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。具体要求是:(1)信息系统运营、使用单位应当依据《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
(2)信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
(3)信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
对涉密信息系统而言,等级保护的规定更为严格。《信息安全等级保护管理办法》指出,涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级,并在规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17—2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。保密工作部门和机构负责监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。此外,对于涉密信息系统集成资质、涉密信息系统使用的信息安全产品,均提出了严格要求。
2007年7月,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。此次定级工作的主要内容:一是开展信息系统基本情况的摸底调查,确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南,初步确定定级对象的安全保护等级,请专家进行评审,并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后,对信息系统的安全保护等级和备案情况进行审核、管理。由此,我国信息安全等级保护工作正式进入实施阶段。
2.开展信息安全风险评估
信息安全风险评估是运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的防护对策和整改措施,并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据。
目前我国的信息化建设在关键技术、关键设备上还受制于人,通过开展风险评估工作,运用专门的技术和设备去检测、发现可能存在的“后门”和漏洞,是十分必要的防范措施。信息安全风险评估是信息安全保障的基础性工作,是明确安全需求、确定保障重点的科学方法和手段,是科学地进行信息安全建设和管理的重要保证。信息安全保障本质上是风险管理工作,安全风险不可能完全避免,关键在于如何控制、化解和规避风险,要在风险控制与建设和管理的成本之间寻求最佳平衡点。
为此,27号文明确提出,要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。这一要求将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。
2006年1月,国务院信息化工作办公室印发了由国家网络与信息安全协调小组讨论通过的《关于开展信息安全风险评估工作的意见》。《意见》将我国信息安全风险评估分为自评估、检查评估两种形式。自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。