你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 SCI杂志 生活杂志
当前位置: 首页 精选范文 国家信息安全的重要性

国家信息安全的重要性范文

发布时间:2023-10-12 17:41:06

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇国家信息安全的重要性范例,将为您的写作提供有力的支持和灵感!

国家信息安全的重要性

篇1

2013年在上海召开的“中国信息化百人大会”上,有专家提出“大数据时代”已经来临。我们每天在微博、朋友圈等社交网络每天更新照片信息,在搜索引擎上处理大量数据,使用中国移动、联通、电信等通信运营商上发送短信息等,随着信息化不断发展,我们进入了一个不折不扣的“大数据时代”。大数据在带给人们方便快捷的同时,也给国家信息安全带来了前所未有的挑战和风险。文章针对大数据给国家信息安全带来的挑战,探讨国家战略层面的调整。

一、国家信息安全角度的大数据

大数据是指所涉及的资料量规模巨大到无法透过目前主流软件工具,在合理时间内达到获取、管理、处理并整理成为帮助组织经营决策的资讯。这些数据绝大多数是“非结构化数据”,包括人们在互联网上的信息,数码传感器测量和传递的有关位置、运动乃至空气中化学物质变化的数据信息等。这些数据与传统数据库不同,但随着人工智能技术的发展,将这些包罗万象,意义深远的数据进行专业化“加工”后,便会实现数据的“增值”。

大数据具有容量巨大、种类繁多、处理速度快、价值密度低等特征,大型数据集的容量单位达PB乃至ZB级别,容量和规模远远超过传统数据,而且包括不同来源、不同结构、不同媒体形态的各种数据,冲破传统的结构化数据范畴,囊括了半结构化和非结构化数据。由于大数据处理量大,往往需要实时处理,也就带来了快速、持续的实时分析与处理的要求。大数据相对传统数据来说其本身的价值密度较低,可能连续不断的几十分钟甚至几日的监控过程,有用的数据留可能就只是短短的几秒钟。大数据并不只是人们普遍理解的“冰冰冷冷”的数值处理,它更多的包含了智能化和“以人为本”的内涵,从互联网非结构化数据的庞大宝藏中“获取知识和信息数据”,最终为人服务,推动决策的制定和价值的形成,推动社会进步。大数据对未来各行各业产生深刻的影响,更在全国范围内对政治、经济、军事、科技领域带来深远影响。2012年3月29日美国宣布投资2亿美元启动“大数据研究和发展计划”,把“大数据”上升到国家战略层面。美国政府认为,大数据是“未来的新石油”,一个国家拥有数据的规模、活性和解释运用能力将成为综合国力的重要组成部分,未来对数据的占有和控制将成为继海陆空三权外国家另一核心资产,成为各国政府竞争的新热点。

二、大数据对国家信息安全是机遇与挑战并存

大数据的迅猛发展,在成为国家综合国力发展的竞争新焦点的同时,对国家信息安全也是机遇与挑战并存。

大数据为国家信息安全的分析提供了新的可能。网络攻击总会留下些蛛丝马迹,这些痕迹都是以数据的形式藏匿于大数据当中,利用大数据技术整合和处理能更有针对性的应对国家信息安全威胁。通过对海量数据的处理和预防性分析,信息安全服务提供商可以更好的发觉网络异常行为,找出数据中的风险点,有效的识别钓鱼攻击,阻止黑客入侵,使网络攻击行为无所遁形。

随着网络信息全球化的发展,大数据成为国家赖以正常运转的“神经枢纽”,交织着民生、能源、金融等网络,把握着决定国家存亡的“命脉”。然而正是由于大数据存在于网络空间中,使得它成为更容易被“关注”到的大目标,较易收到网络攻击,一些木马和黑客藏匿于网络漏洞中,加大信息泄漏风险。像是一些销售数据、身份信息、医疗记录、证券交易信息等数据在一定程度上涉及个人信息会对国家安全和社会安全产生重大影响,汇集这些信息就可以对国家的经济、政治、民生、国防进行分析,一旦这些大数据遭到泄露,对个人乃至国家信息安全都会造成巨大损失。

三、大数据时代国家信息安全的战略调整

信息安全战略是国家战略不可分割的重要组成部分,其重要性不言而喻。面对大数据对国家信息安全的挑战以及对国家信息安全战略提出的新要求,尽管2012年我国计算机学会和通信学会也各自成立了大数据专家委员会,推动大数据的安全发展。但是目前我国尚无专门的大数据政策支持,国家信息安全在大数据时代仍显紧迫,亟需国家信息安全战略的调整。

一是加大国家信息安全的综合管理。尽快形成国家信息安全管理的总战略和方针,加强各部门、行业的整体协同管理,改变目前国家信息安全管理“九龙治水”的现状,聚合各方的资源优势,推进数据收集、储存、保留、管理、分析和共享大数据的技术进步。从国家层面进行统筹,改变现阶段群雄争霸的局面,加强我国数据信息安全。

二是加强对军队、金融等重点领域敏感数据的监管。海量数据的汇集加大了军队等敏感数据暴露的可能性。要害信息的泄露对国家信息安全的威胁是极大的,政府机构应该明确重点领域大数据的范围,加大军队等内部机构管理,制定完善的重点领域数据库管理和安全操作制度,加大日常监管,尤其是移动设备的日常安全使用,规范大数据的使用方法和流程。

三是加大技术研发和人才培养。大数据的外部环境是不断发展、不断拓展和挖掘的,这对人才和技术也提出了新的要求。“科学技术是第一生产力”,解决大数据时代的国家信息安全问题的关键也是技术的发展,大力研究基于大数据的网络攻击追踪技术,以及网络安全预防性分析技术,加大对大数据安全保障关键技术研发的资金投入,培养一批高素质、肯创新的人才,提高国家信息安全技术水平和人才水平。

大数据作为“未来的新石油”,是国家发展的竞争热点。大数据时代给国家信息安全既带来了机遇又带来了挑战。今天的中国,是一个人口大国、互联网大国,更是一个数据大国。面对汹涌而来的大数据洪流,针对大数据时代的基本特征,制定行之有效的国家信息安全战略成为紧迫而现实的重大问题。这就要求必须要加大国家层面的综合管理,加强对重点领域的监管,加大技术开发和人才培养方面的投入,多层次、多方位地维护国家信息安全。

参考文献

[1]石海明,王文超,曾华锋.大数据:国家信息安全战略边疆[J].科技日报,2014-1.

篇2

人们对于信息安全概念的认识,经历了一个从保密到保护,又发展到保障的趋近真理的发展过程。这是因为信息安全问题不仅仅是技术原因引起的,它还涉及到人以及社会。因此,只靠技术是不能有效地解决信息安全问题的。从社会学的观点来看,只有依靠科学有效的管理和有着良好信息安全技能的人,实施综合规范的保障手段,才能取得良好的效果。而在这一过程中,信息安全风险评估逐渐成为关键环节。

从2003年7月至今,我国信息安全风险评估工作大致经历了三个阶段,即调查研究阶段、标准编制阶段和试点工作阶段。

历时两年、经过调查研究、标准编制和试点工作三个阶段,目前,我国信息安全风险评估工作已取得阶段性的成果,此间也是《关于开展信息安全风险评估工作的意见》政策文件,以及《信息安全风险评估指南》和《信息安全风险管理指南》两项标准历经酝酿、形成到不断完善的三个时期。

信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估,则是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。

信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。所以,所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在可被接受的残余风险的信息系统。因此,需要运用信息安全风险评估的思想和规范,对信息系统展开全面、完整的信息安全风险评估。

篇3

信息安全已经成为国家安全一部分

赵泽良司长表示,在信息技术发展日新月异的今天,我们不仅要在信息安全的风险评估、产品认证等方面坚持遵循《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)的规定,同时“更要强调对关键信息基础设施的保护、对重要信息系统的保护、对政府信息系统的保护,以及对个人信息、企业信息,乃至信息资源的保护。”

“‘27号文件’和‘23号文件(《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》,国发[2012]23号)’共同构成了我国信息安全的总政策框架。”赵泽良司长说,“二者都是指导我们今后一个时期信息安全工作,乃至信息化工作的重要文件。同时,文件中所提到的内容也是我们信息安全工作的一个重要任务。”

工业和信息化部电子科技情报所所长洪京一表示:“‘十二五’时期是我国全面推进经济和社会信息化的关键时期,迫切需要加快发展信息安全产业,为国民经济和社会信息化提供安全可控的信息安全技术、产品和服务。”

在我们的生活中,从衣食住行到产业经济,再到国防军工,信息技术的“烙印”无处不在。正是因为这样,信息安全已经成为保证社会发展、保障国家安全的重要支柱。美国、俄罗斯、日本等国家都在信息安全方面投入了大量的人力、物力,将信息安全上升到了国家安全的角度去考虑。比如,美国已经先后制定了一系列的相关文件,并对部门进行整合以对信息安全进行统一管理。

国家信息化专家咨询委员会委员、国家信息中心专家委员会副主任宁家骏认为,我国网络信息安全工作正在面临着新的复杂形势。一方面信息化的大势不可逆转,信息安全问题更加错综复杂。所以,对信息安全保障体系的建设需求更加紧迫;另一方面,社会管理面临着新的形势,也使我们的信息安全面临新的挑战。同时,公民的公平意识、民主意识、权利意识、法制意识以及监督意识不断增强,公民意识的多元化也给我们如何管好互联网提出严峻的挑战。

“威胁在不断地演变,这对我们发展重要性系统的保障工作提出了更加紧迫的需求。”宁家骏表示,“有些人觉得我的电脑中没有存储什么可被窃取的内容,这种想法是非常不恰当的。很多攻击就是利用这些疏于防范的平台作为网络攻击的第一个跳板,进而以此为突破口非法访问重要内容。”

他表示,我们已经从以计算机为中心的PC时代,过渡到了网络时代,而如今又进入到以服务为中心的云计算和物联网的时代。在这样的背景下,信息化建设本身对信息共享、资源共享和网络共享提出了十分紧迫的需求。

从物联网到电子政务安全

物联网、电子政务、云计算,这些如今已经为我们耳熟能详的词汇放在几年前会让人感到非常陌生。而随着对这些概念的理解程度加深,我们所关注的话题也已经从早期的如何实现、如何落地,发展到了如今的如何运维、如何保护。在这些领域,信息安全已经有了自己的用武之地。

公安部检测中心主任助理兼信息安全技术部主任范红在信息安全领域拥有多年的实践经验,在本次大会上,她重点介绍了当前在物联网感知层通用安全技术体系方面的一些研究成果。

物联网感知层通用安全体系研究的目标,是为不同类型的物联网应用提供通用的感知层安全技术参考依据,为各类物联网应用的感知层安全设计、实施和检测工作提供技术支持和指导,以及指导制订各类物联网应用的感知层安全技术。在公安行业,目前物联网有了很多实际应用,这其中包括特定人员识别、危险物品监控、异常行为报警以及车辆GPS定位感知等,涉及RFID、人像识别、手机定位感知以及传声器阵列等多种技术。

范红介绍说,在物联网感知层安全技术体系中,数据处理是数据获取后的一个重要操作。其中面临的安全问题包括RFID标签本身的安全威胁、通过电磁辐射分析技术的非法通信、传输过程中的安全威胁,以及个人隐私的安全威胁等。

针对这些威胁,范红表示,一方面RFID标签自身要具备更安全的轻量级密码算法以加密数据,另外也要采用传输安全防护、抗干扰以及密钥管理等措施,使得系统可用。除此之外,在物联网应用中,用户还要注意保证数据的完整性,并加强访问控制和安全审计机制。

篇4

在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。

一、通信运用中加强信息安全和防护的必要性

1.1搞好信息安全防护是确保国家安全的重要前提

众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。

1.2我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

二、通信中存在的信息安全问题

2.1信息网络安全意识有待加强

我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。

2.2信息网络安全核心技术贫乏  

目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。

2.3信息网络安全防护体系不完善

防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。

2.4信息网络安全管理人才缺乏 

高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。

三、通信组织运用中的网络安全防护

网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。

3.1数据备份

对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。

3.2防治病毒

保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。

3.3提高物理安全

物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。

3.4安装补丁软件

为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。

3.5构筑防火墙

构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。

四、加强通信运用中的信息安全与防护的几点建议

为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。

4.1要加强宣传教育,切实增强全民的国防信息安全意识

在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

4.2要建立完备的信息安全法律法规

信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。

4.3要加强信息管理

要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。

4.4要加强信息安全技术开发,提高信息安全防护技术水平

没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。

4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节

首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。

4.6建立和完善计算机系统风险防范的管理制度

建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。

篇5

目前,整个信息安全状况存在日趋复杂和混乱的趋向:误报率增大,安全投入不断增加,维护与管理更加复杂和难以实施、信息系统使用效率大大降低,对新的攻击入侵毫无防御能力,尤其是对内部没有重视防范。

据美国FBI统计,83%的信息安全事故为内部人员和内外勾结所为,而且呈上升的趋势。从这一数字可见,内网安全的重要性不容忽视。据公安部最新统计,70%的泄密犯罪来自于内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。

中国科学院研究生院信息安全国家重点实验室赵战生教授表示,目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。

“当前的信息与网络安全研究,处于忙于封堵现有信息系统安全漏洞的阶段。”公安部网络安全保卫局处长郭启全认为,“要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。”

2003年,国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》(简称“27号文件”),明确要求我国信息安全保障工作实行等级保护制度,2007年出台《信息安全等级保护管理办法》(简称“43号文件”)。随着两项标志性文件的下发,2007年被称为等级保护的启动元年;由于要对现有信息安全系统进行加固,大量产品和服务采购即将开始,2008年则被普遍视为等级保护采购元年。

等级保护政策是信息安全保障的主要环节。在等级保护解决方案中,内网安全产品主要作用是对终端进行防护。

内网是核心

“事实上,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实。建立一个完整的内网安全体系,是信息系统在安全等级保护工作中的一个重点。”郭启全说。

内网安全理论的提出主要基于两个根本要素,一是企事业单位业务工作的高度信息化,二是内网中主机数量的大量增加。由此可见,内网安全从其诞生之日起,对主机系统安全的关注就从来没有忽略过,采用了包括身份认证、授权管理和系统保护等手段对主机进行了多方面的防护。这与等级保护的思想也是相一致的。

鼎普科技股份有限公司总经理于晴认为,大多数用户网络拓扑结构相似,用户对网络的安全管理比较一致,但由于用户使用习惯的不同,对终端的管理则千差万别。

篇6

那么,如何才能缩小差距,不断增强中国企业在云计算、大数据、移动应用方面的安全性呢?轩晓荷提出了四大策略:第一,准确识别云计算和大数据环境中的安全威胁,做到知己知彼;第二,有效平衡开放技术和安全防护的需求;第三,循序渐进提升企业的安全能力,从产品到服务逐步完善;第四,建立企业整体的安全体系,不断完善安全机制。

由被动防御到主动防御

在新型安全攻击层出不穷的时代,云中的大数据成了网络犯罪集中攻击的目标。今年8月,国务院常务会议通过《关于促进大数据发展的行动纲要》,其中明确指出了推动政府大数据开放、共享,并保证其安全的重要性。各地方政府也在逐步落实数据公开和数据资产化。保证大数据的安全已刻不容缓。

国家信息中心网络安全部副主任李新友表示,保证大数据的安全需要做好以下几方面工作:第一,政府部门要加强相关的立法工作,制定数据公开和交易的原则;第二,个人要增强隐私和信息保护意识;第三,厂商要在大数据安全产品和解决方案的创新方面下更多功夫。

随着云计算应用、移动智能终端的普及,企业需要在原有的网络环境中增加对移动设备的安全管理,同时还要小心应对数据中心逐步向虚拟化环境、云中迁移时带来的安全管理挑战。在这种情况下,企业必须建立立体化的防护体系,对企业基础架构与云计算、大数据、移动应用实行一体化的防护,采用统一的标准化的安全模式。以前,企业针对不同的应用可以采用单一功能的安全产品进行保护。现在,随着应用和数据的集中,企业必须采用统一的身份认证和防护解决方案,以满足合规的要求。

“企业需要防护的范围在逐步扩大,除了物理设备、数据库需要保护以外,就连虚拟资源池也要进行保护。”轩晓荷补充说,“企业需要保护的内容越来越丰富,有必要时还要针对大数据提供特别的安全解决方案,此外还要考虑安全威胁治理等。”

最让互联网企业和云服务商感到头痛的是防不胜防的DDoS攻击。在一些竞争比较激烈的行业或领域,企业非常担心自己的IT系统受到来自不明方的攻击。虽然很多厂商可以提供防DDoS攻击的设备,但是随着云计算、大数据的出现,单纯依靠一个设备或单一的解决方案已经不能有效抵御DDoS攻击。”一些互联网公司的作法是,在DDoS攻击比较猛烈时,系统可以动态地快速增加服务带宽,比如将过去服务100个客户所需的带宽瞬间提升至可以支持5万甚至10万客户的带宽水平,这样一来,DDoS攻击就会立刻失效。”亚信安全业务发展总监童宁举例说,“但是现在又出现了一种新型的更廉价的攻击方法――CS攻击,基于内容安全的漏洞来实施攻击。这种攻击更具针对性,主要是消耗服务器的CPU资源。企业更应小心应对。”

以前,企业通常采用的是被动防御的策略,亡羊补牢。所以给人一种印象,企业和安全厂商总是被黑客牵着鼻子走。“其实,这是一种假象。安全厂商的许多技术创新工作都走在了黑客前面。在今年全球发生的16个零日攻击中,趋势科技预先发现了其中的8个。”童宁介绍说,“我们现在要变被动防御为主动防御,并将被动防御与主动防御的技术相结合,这样才能让黑客无处遁形。”

企业转型的坚强后盾

今年9月1日,亚信科技宣布收购趋势科技在中国的全部业务,包括核心技术和知识产权100多项,同时建立独立的安全技术公司――亚信安全。此举不仅在安全领域引起了强烈震动,而且对于亚信集团的转型来说也是一个推动。2014年7月,亚信集团对原有业务进行了调整,分成了四大事业群,安全业务就是其中之一。借收购趋势科技中国业务之机,亚信安全将原有的通信安全技术与趋势科技的云安全、大数据安全技术相结合,成了网络云安全领域新的领头羊,VMware、微软Auzure和亚马逊AWS等全球领先的云服务商都是亚信安全的客户。

收购完成后,亚信安全具备了提业互联网整体安全软件的能力,也将业务进一步扩展至金融、教育、制造、医疗等更多领域。亚信安全董事长何政表示:“亚信收购趋势科技中国业务之后,拥有了国际领先的云安全关键核心技术和产品,将使中国在世界云安全产业版图中占据重要位置,同时对于保障国家网络安全与云产业安全,实施自主可控战略也具有重要和深远的意义。亚信安全作为一家中国本土公司,将充分发挥在网络安全方面的技术优势,并与国家信息中心齐力合作,进一步加强自主研发、业务创新,保障国家网络安全,共同推动国家信息安全体系的建设和发展。

亚信安全作为中国领先的云与大数据安全技术、产品、方案和服务供应商,将以“护航产业互联网”为使命,坚持“产品、服务、运营三位一体”的经营模式,助力客户构建“立体化主动防御体系”,推动企业实施自主可控的安全战略。

亚信安全在北京和南京设有独立研发中心,拥有超过2000人的专业安全团队,在网络安全、云和虚拟化安全、终端和移动安全、APT治理和安全服务等多个安全领域拥有具有自主知识产权的安全软件和解决方案。“通过与趋势科技分布在全球的15个恶意软件实验室合作,亚信安全可以响应和应对来自世界各地的威胁。”童宁介绍说。

亚信科技原来的安全部门主要为运营商提供服务,而趋势科技中国服务的对象主要是政企客户。亚信科技收购趋势科技中国业务后,对双方的安全业务进行了重新梳理和定位:对于双方原来的优势领域,亚信安全将继续深耕细作,不断巩固既有优势;对于双方原来都不擅长的领域,亚信安全会整合现有的产品,继续拓展新的业务领域;对于一些潜在的市场,比如中小企业安全市场、针对运营商的云安全服务等,亚信安全会全力出击,以新的解决方案和服务覆盖这些市场。“针对运营商,我们仍会采用直销的手段,还会为大型客户提供定制化的产品和解决方案。对于商业市场,我们会充分借助2000家合作伙伴的力量加强渠道销售。”轩晓荷表示。

亚信集团的新定位是“领航产业互联网”。在亚信集团转型的过程中,安全业务是不可或缺的一环。亚信安全将成为产业互联网坚定的拥护者和坚强的安全后盾。

助力自主可控

篇7

近年来我国政府也开始重视信息安全风险评估工作。2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件中明确提出:要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、程度和面临的风险等因素,进行相应等级的安全建设和管理。

为落实中办发[2003]27号文件要求,由国家信息中心、公安部、安全部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局等单位联合组成课题组先后对四个地区、十几个行业的50多家单位进行了调研考查,制定出《信息安全风险评估指南》、《信息安全风险管理指南》等标准和规范。

2004年6月天津市市委办公厅、市政府办公厅联合转发了《关于加强我市信息安全保障工作的意见》(津党办发[2004]15号)文件,成立了天津市网络与信息安全协调小组,加强了对我市信息安全工作的领导和管理。

二、风险评估工作内容

信息安全风险评估工作,就是从风险管理角度入手,依据国家风险评估管理规范和技术标准,采用适当的风险评估工具,运用定性及定量的分析方法和手段,系统分析信息化业务和信息系统资产所面临的人为的或自然的潜在威胁、薄弱环节、防护措施等,准确了解信息系统安全状况,综合考虑网络与信息系统的重要性、程度和面临的风险等因素,确定风险等级和风险控制顺序,有针对性地帮助制定抵御威胁的安全策略和防护措施,指导安全建设的合理投入。

风险评估的形式按照评估实施者的不同,可将其分为自评估和检查评估二种形式:

自评估

自评估就是信息系统拥有者依靠自身力量,依据有关信息安全技术与管理标准,对自有网络和信息系统进行风险评估的活动。该网络和信息系统的拥有者通过自评估随时掌握其安全状况,不断调整安全措施,有效地进行安全控制。其优点是有利于自身系统的保密性,发挥行业和本部门专业人员的业务专长,降低了风险评估的费用,提高了本单位风险评估能力。

检查评估

检查评估通常是由政府安全主管机关或本单位的上级主管机构发起,旨在依据已经颁布的法规或标准进行的、具有强制意味的检查活动,是经过行政手段加强信息安全的重要措施。其优点是这种形式具有权威性。

自评估和检查评估都可以通过信息安全风险评估的服务机构提供咨询、培训及相关工具,目前建议主要采用自评估形式,以保证本单位信息的保密性、完整性和可用性。它也是检查评估的基础和必要条件。

按照国信办2006年5号文件的要求,在网络与信息系统的设计、验收、运行维护阶段,以及当安全形势发生重大变化或信息系统使命有重大变更时均应及时进行信息安全风险评估。

在风险评估过程中,应以本单位的业务为核心,围绕相关信息资产(如计算机网络设备、应用系统、数据库等)及价值,对其所面临的威胁、所具有的弱点和已有的安全控制措施展开分析工作。

风险评估是信息安全管理体系的基础,信息安全风险管理的主要工作就是要发现风险,并在有限的资源下,进行削减风险或控制风险。只有建立信息安全管理体系,并有效地进行安全风险管理与控制,才能真正保护本单位的利益,并在安全事件发生的时候,最大限度地减少经济损失和负面影响。

三、目前需解决的问题

目前信息安全风险评估工作在我国尚处于起步阶段,各地开展和重视此项工作的程度也不尽相同,一些单位的网络安全还处于亚健康状态,需要强化信息安全管理意识,并注意解决以下几方面的问题:

1.建立健全管理体制

依据国家在信息安全管理方面的法律、法规、标准和规范,建立安全管理制度,通过对安全评估和实施整改等各环节的监督管理,层层落实安全管理责任制,形成完善的信息安全管理体系。

2.保障资金投入

努力保障信息安全资金的投入,充分发挥信息安全保障资金的使用效益,认真分析信息安全风险评估的结果,既要保障安全,又不能因保护过度造成资金浪费。

3.聚集技术和管理人才

篇8

一、引言

《2006-2020年国家信息化发展战略》提出,“到2020年我国信息安全的长效机制基本形成,国家信息安全保障体系较为完善,信息安全保障能力显著增强”。政府门户网站是政府部门在国际互联网上建立的信息、办公互动、数据交换的窗口,是政务公开的载体和舞台,也是政府与社会、企业、民众沟通的桥梁。通过政府门户网站,公众可以便捷地获取政府信息和服务,使得公众与政府关系简单化。由于互联网是个开放的网络,政府网站的信息一天24小时都在被查询、阅读、下载或转载。如果没有可靠的信息安全体系和有效的事件响应能力,那么一旦网页被篡改或网站被中断,将直接干扰、破坏政府履职,损害政府的形象,败坏公众对政府的信任,后果不堪设想。根据有关资料显示,2005年,我国90%以上的政府网站存在安全漏洞,很多网站都曾受到过不同程度的黑客攻击和计算机病毒的侵害,给国家造成了较大的损失。因此,信息安全问题是政府门户网站建设的一项重要内容,必须综合运用多种策略和手段建设政府门户网站安全保障体系。

二、政府门户网站信息安全存在的主要问题

安全管理认识存在偏差以及缺乏有效组织规划培训和相应法律制度支持,是当前福建省各级政府门户网站信息安全建设中存在的最主要问题,主要表现有以下几个方面:

一是重系统建设轻安全管理。由于受到传统的政府绩效评价和考核体制的影响,各级政府信息主管部门往往认为“安全”只是保障“业务应用”的一种手段,只重视网站信息系统的建设,轻视相应的信息系统安全建设和管理。

二是重消极应对轻主动预案。在政府门户网站安全管理中,很多情况是等出了问题,才匆忙借助经验和应变能力去处理突发安全事件,缺乏应急预案的制定和按照应急预案进行处理的观念。

三是缺乏整体安全意识。谈及信息安全,很多管理者认为安全就是防火墙、入侵检测、身份认证等技术措施,没有真正意识到安全是一个包括理念、技术、制度、人才等各方面缺一不可的整体。

四是缺乏及时有效培训。信息化安全技术日新月异,网络攻击手段也日趋多样化,各级网站主管部门对安全管理人员缺乏及时有效培训,无法保证网站信息安全。

五是缺乏统一信息安全技术标准与规范。不同层次、不同部门的网站信息安全建设各自为政,没有进行有效的组织和规划,使用的安全技术五花八门。这样不仅造成了资源的严重浪费和低效率,也给网站信息安全带来各种各样的隐患。

六是缺乏相应的法律和制度的支持。政府作为信息的所有者,其权利范围和内容较为模糊,相关网站信息安全的法律和制度较为薄弱,法律上缺乏相应的保护。

三、政府门户网站信息安全存在问题的原因分析

1.管理体制未理顺

政府系统缺乏专门的电子政务信息安全的领导体制、研究机构和相应政策措施的落实机制,尽管在中央一级设有领导小组以及专家咨询委员会,但在地方由于“条块”职责不清、管理多头的实际状况,直接影响对电子政务安全的重视程度和贯彻落实相应信息安全政策措施的力度。

2.运行机制未健全

信息安全保障的运行机制不健全表现在电子政务信息安全的地位与其重要程度不相称,电子政务信息安全在政府发展任务的地位上,远不及经济、社会、文化等其他方面;在资金、人力等方面的投入得不到更好的保障;与信息安全相关的政策法规、技术标准与规范的制定落后于实际发展的需要。

3.技术与实际安全需求存在差距

技术是确保信息安全的重要因素,由于技术本身的局限性和推广应用程度不够,使技术与实际安全需求存在差距。技术不能完全保证安全,安全更不可能完全依赖技术。我国目前的电子政务安全保障技术本身并不发达,福建省在电子政务安全技术、产品推广应用方面的重视程度不高、力度不强。

4.过分强调安全技术的重要性

认为信息安全是技术问题,依靠相应的技术就能防范。实际上国内外许多信息安全事故都是人为造成的,三分靠技术,七分靠管理,要防止此类事故的发生,必须从建立和完善信息安全管理体系入手。

四、加强政府门户网站信息安全的对策建议

网络安全不仅是一个技术问题,要从法规、管理和技术三方面来统筹保障政府门户网站信息安全。在法制上,加强网络和信息安全管理等方面的立法工作,为政府门户网站的建设、运行、维护和管理提供法律保障,构筑促进国家信息化发展的社会环境;在管理上,从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面保障政府门户网站正常安全运行;在技术上,采用多种防范、监控等先进的技术手段,制定各种应急措施,保证政府门户网站安全可靠地运行。

⒈加强政府门户网站信息安全法规与制度建设

一是加强信息安全管理等方面的立法工作。国家及省都有加强网站建设方面的相关政策,但还没从立法的角度予以确认和强化,应从“电子政府”建设的高度,制定相应的法规,为包括政府门户网站在内的电子政务网络与系统的建设、运行、维护和管理提供法律保障。

二是加强网络和信息安全管理等方面的制度建设。用管理手段来弥补技术落后问题,本着“堵漏、补缺、管用”的原则,采用整体思路,加强管理,切实从机关内部堵塞漏洞,在若干不够安全的技术环节的基础上,形成一个相对安全的整体。在加强信息安全防护能力的同时,重视隐患发现、网络应急反应、信息对抗等管理能力的提高。

⒉建立健全政府门户网站信息安全管理体系

一是明确技术管理规范。面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。具体包括:非、网机器不允许混用;非网机器不允许运行信息,网机器不允许上非网;严格按照安全等级、安全域划分,制定相应的安全保密制度;不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。只有所有接入网络的设备都安全,整个网络的安全才能得到保证。

二是明确相关人员的职责。强调以人为本,把网站安全纳入一个人人有责、层层负责、由第一责任人负总责的安全管理体制之中。主管领导负责安全体系的建设实施,在安全实施过程中取得相关部门的配合,领导整个部门不断提高系统的安全等级;网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略;安全操作员负责安全系统的具体实施;信息编辑人员负责信息采集、编辑和审核工作,确保所信息的完整性、一致性、权威性和准确性。另外,还应建立安全专家小组,负责安全问题的重大决策。

三是建立应急响应机制。从健全规范网络安全管理机构、培养网络安全管理人员和制定网络安全管理制度等方面建立应急响应机制,以保障政府门户网站正常安全运行。

四是建立信息安全检查监督和激励机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,确保信息安全保障工作落到实处;建立责任通报制度,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改;建立良好的激励机制,从人才引进、培养的渐进性和连续性上优化人员结构,形成梯队,重点加强系统运行人员技能的培养力度,不断增强自我运行操作能力与应急能力。

五是做好政府门户网站信息安全培训工作。政府门户网站的运行维护,需要一支具有较高的政治素质和职业道德水准,既懂业务又懂技术的队伍。建立完善技术培训体系,使之更贴近实际业务、贴近技术前沿,提高各类人员的安全理论实践水平和安全意识。只有让每一位员工都成为安全卫士,才能实现真正意义上的全方位的安全防范。

六是合理安排信息安全建设资金。在电子政务信息项目建设上,要在项目建设前期就安排相应比例的资金用于信息安全的建设;切实落实国家信息安全建设的有关规定,保证信息安全建设资金足额到位。

七是加强信息安全设施建设。联合公安等部门,加强网络监管中心、测评认证中心、应急处理中心、病毒防治中心、数字证书认证中心等信息安全基础设施建设。

⒊积极完善政府门户网站信息安全技术防范手段

2007年9月,福建省为加强政府类互联网站的安全管理,确保网站健康有序发展,下发了《福建省人民政府办公厅关于加强我省政府类互联网站安全管理的通知》(闽政办〔2007〕182号),要求各级各单位建立健全网站安全管理制度,并贯彻落实网站安全技术措施。笔者根据实践提出以下建议:

一是加强电子政务网络的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。

二是统一信息安全技术标准与规范,各级政府门户网站信息安全建设都应按照这个标准和规范进行实施,以确保信息整体安全。

三是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密情况的发生。在确保信息安全的基础上,最大限度地保证信息共享。

四是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。

五是在技术手段上,要统筹好网络被动防御和网络主动防御的关系,确保信息的安全。网络被动防御方面可以采取防火墙、入侵检测、防病毒等技术;网络主动防御方面可以采取漏洞扫描、补丁升级和自动分发、网页防篡改、容灾备份等技术。

五、结束语

综上所述,加强政府门户网站的信息安全,必须做好信息安全的法规制度建设、建立健全安全管理体系、积极完善安全技术防范手段等三方面的工作。同时,还要处理好信息安全与网站发展辩证统一的关系:安全是前提保证,发展是最终目的,要在发展过程中确保安全,在确保安全的条件下加快发展,使政府门户网站充满生机与活力,并充分发挥其应有的社会效益,为海峡西岸经济区建设做出积极的贡献。

篇9

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2012)09- 0089- 02

1 信息安全保障体系概述

信息安全保障(Information Assurance,IA)来源于1996年美国国防部DoD指令5-3600.1(DoDD5-3600.1)。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery) 4个环节,即PDRR模型。

信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。

2 国外信息安全保障体系建设

美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。

其他国家也都非常重视信息安全保障工作。构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。

3 国内信息安全保障体系建设

我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。2007年7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。

我国信息安全保障体系建设主要包括:① 加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。② 建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。④ 在技术保障体系下,建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系,加大信息安全投入。⑥ 高度重视人才培养,建立信息安全人才培养机制。

我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。

4 企业信息安全保障体系建设

中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。

管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。

信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括:① 初步构建了制度和标准体系,了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度,开展了信息安全培训。③ 跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范,提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。

信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括:① 对数据中心机房进行了风险评估,提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。

5 存在问题及建议

中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题:

篇10

1 引言

 

新时期,结合信息安全技能培训现状,构建完善的教学体系,明确技能培训目标,完善教学管理体制,改进人才考核方式,加强质量保障建设,有利于提高信息安全人才培养的规范化、科学化和标准化,提高信息安全人才队伍整体质量和水平,对保障国家信息安全都有着非常重要的现实意义。

 

2 信息安全技能培训的现状分析

 

信息安全人才培养对社会发展意义重大,它不仅是企业正常运营与发展的根本前提,而且是国家信息安全保障体系构建的先决条件。但就现状来讲,我国信息安全人才技能培训还存在着认识度不高和人才短缺的问题,严重制约了我国信息安全的现代化建设步伐。

 

信息化时代。企业的业务和管理已经离不开互联网,这也决定了信息安全对企业生存与发展的重要性。据调查,有九成以上的企业完全或高度以来互联网开展业务,企业安全问题十分常见,大到企业商业机密,小到个人隐私信息。

 

但即便如此,大部分企业决策者依然没有充分意识到信息安全保障的重要性,错误地认为一个杀毒软件、一道防火墙、一个IT部门,就可以完全解除这种风险存在。可以说,信息化时代企业的“生产”安全指标通常是个未知数。

 

此外,信息安全人才短缺是当前普遍存在的一个问题。当企业逐步意识到信息安全保障重要性,并开始着手进行体系构建的时候。却“意外”地发现信息安全人才是异常短缺。

 

保障信息系统的安全,人才始终是根本,信息安全人才培养是为适应信息化时展的现实要求,是一种时代催生的全新职业导向。当前,全球各国都急需业务能力过硬、综合素养较高的信息安全人才。

 

拿美国来讲,信息安全人才供需比为1:4,而我国在这方面的人才缺口更是惊人。据最新的权威数据调查显示,2015年我国网络安全人才缺口高达上百万。截止2014年,我国高校设有信息安全专业的才仅仅103所,而硕士点和博士点更是少得可怜,总人数不到50个,而每年我国信息安全专业毕业的人才数量不足1万人。由此可见,人才供需存在着严重失衡。

 

但是,人才需求与人才数量是不能划等号的,信息安全教育因其专业独特性,企业在信息安全人才的引进方面也存在许多问题:信息安全人才技能培训体系不健全,人才引进机制不合理,高校教育重理论轻实践,安全人员大部分都是“纸上谈兵”等。可以说,面对社会认识度不足和信息安全人才短缺等问题,信息安全人才培训体系的构建已迫在眉睫。

 

3 信息安全技能培训的体系构建

 

3.1 教学内容体系构建

 

信息安全培训教学体系的构建,主要包括基本概念、操作系统安全、防火墙技术、应用密码技术、入侵检测技术、网络服务安全技能、病毒分析与防御和安全审计等方面,这是结合信息安全专业特征,在充分教学目标的基础上所确定的内容,具有非常强的适用性。

 

首先,合理选择培训教学内容。通过对信息安全职业的全面分析,并基于信息安全的职业导向,明确各个工作环节的任务。然后针对具体任务确定相应的教学内容,包括病毒特点与机制、安全数据库设计、扫描软件的使用、安全审计的基本概念、Web应用服务等。

 

其次。合理安排培训教学内容。结合不同行业对安全信息保障的不同要求,构建灵活、开放、多元的教学模块,并将其分为前导性模块和独立性教学模块,前者主要是信息安全的基本概念和法律法规,后者则主要上述所讲的不同工作环节所涉及的教学点。这些教学点的课时与顺序是由教师自行安排的,以更为全面的满足不同行业领域的个性需求。

 

3.2 教学管理体系构建

 

信息安全技能培训的管理体系,主要包括组织结构的管理和档案信息的管理。一方面,信息安全人才技能培训组织要在统一规划、分级实施的原则指导下,按照国家相关部门的部署和计划有步骤地开展相关培训工作。此外,要成立培训工作指导委员会,对安全信息人才技能培训进行质量管理,以确保其高效、规范、合理地开展。

 

各级信息安全人才技能培训机构要负责组织和知道相关工作的开展;行业主管部门则负责制定培训标准、发展计划,指导运营使用单位相关工作的顺利开展,以确保上级政策的全面贯彻与执行;而信息系统运营使用单位则负责具体的培训工作,确保信息安全人才按计划参加具体培训活动,同时保证经费投入。

 

另一方面,要构建完善的培训档案管理机制。做好信息安全技能培训的档案管理,不仅是技能培训规范化开展的有力保障,而且是对培训教育重视程度的具体体现,也是后续教学经验总结和管理策略调整的重要依据。

 

具体地说,档案管理主要包括培训规章制度资料管理、培训理论教材管理、培训教学计划管理、培训考核管理、培训辅助资料管理等。在培训档案管理过程中,要注重对相关档案的搜集、整理、保存,并成立专门的资料库,以便后续的开发与利用。

 

3.3 教学评价体系构建

 

信息安全培训既要强调理论教学,又要做好实训教学,所以其评价方式也分为两部分,即理论知识考核和实践操作考核,两者所占比应为4:6。

 

理论知识考核主要是基本知识点掌握程度的考核,并结合重难点进行考核权重的合理分配,如操作系统安全和网络应用技术都是需要熟练掌握的内容,因此其考核权重各占6%,数据库安全、入侵检测技术和安全审计技术是需要掌握的内容,其考核权重可设为5%,信息安全的基本概念、基本法规和密码技术是需要理解的内容,其考核权重可设为2%,而剩下知识点则可酌情分配。

 

这样一来,就构建了层次分明、灵活性强的评价体系,有利于帮助信息安全人员理解信息安全的内涵,提高培训教学的针对性和实效性。

 

3.4 教学保障体系构建

 

信息安全技能培训教学的保障体系构建,主要是指培训的质量监督和评估体系构建。培训的质量监督主要包括,对各类人员培训考核情况的监督、对计划实施情况的监督、对档案管理情况的监督、对技能培训机构的监督、对技能培训制度制定和落实的监督等。而培训的质量评估。

 

就是在公正公平的原则指导下,结合相关制度标准和发了法规,合理制定质量评估标准。信息安全技能培训教学的质量评估,是一种对培训效果的综合性评估,可通过直接评估、间接评估和现场评估等形式,对参训人员的行为态度、学习效果、实际改进等方面展开动态评估。可以说,完善的教学保障体系很大程度上决定着信息安全技能培训能否达到预期效果。

 

4 结束语

 

为推进国家信息安全保障建设的深入开展,也为提高信息安全从业人员的整体水平,以及降低信息安全事件的发生率。

 

篇11

中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01

Applied Research of Classified Protection in Information Security

Lv Chunmei,Han Shuai,Hu Chaoju

(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)

Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.

Keywords:Classified protection;Information security;Risk assessment

随着信息化的快速发展,计算机网络与信息技术在各个行业都得到了广泛应用,对信息系统进行风险分析和等级评估,找出信息系统中存在的问题,对其进行控制和管理,己成为信息系统安全运行的重点。

一、信息系统安全

信息安全的发展大致为以下几个阶段,20世纪40-70年代,人们通过密码技术解决通信保密,保证数据的保密性和完整性;到了70-90年代,为确保信息系统资产保密性、完整性和可用性的措施和控制,采取安全操作系统设计技术;90年代后,要求综合通信安全和信息系统安全,确保信息在存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务,以及包括检测、记录和对抗此类威胁的措施,代表是安全评估保障CC;今天,要保障信息和信息系统资产,保障组织机构使命的执行,综合技术、管理、过程、人员等,需要更加完善的管理机制和更加先进的技术,出台的有BS7799/ISO17799管理文件[1]。

二、信息安全等级保护

信息安全等级保护是指对信息系统分等级实行安全保护,对信息系统中发生的信息安全事件等分等级响应、处置,对设备设施、运行环境、系统软件以及网络系统按等级管理。风险评估按照风险范畴中设定的相关准则进行评估计算,同时结合信息安全管理和等级保护要求来实施。现在越来越注重将安全等级策略和风险评估技术相结合的办法进行信息系统安全管理,国内2007年下发《信息安全等级保护管理办法》,规范了信息安全等级保护的管理。ISO/IEC 27000是英国标准协会的一个关于信息安全管理的标准[2]。

三、等级保护划分

完整正确地理解安全保护等级的安全要求,并合理地确定目标系统的保护等级,是将等级保护合理地运用于具体信息系统的重要前提[3]。国家计算机等级保护总体原则《计算机信息系统安全保护等级划分准则》(GB 17859)将我国信息系统安全等级分为5个级别,以第1级用户自主保护级为基础,各级逐渐增强。

第一级:用户自主保护级,通过隔离用户和数据,实施访问控制,以免其他用户对数据的非法读写和破坏。

第二级:系统审计保护级,使用机制来鉴别用户身份,阻止非授权用户访问用户身份鉴别数据。

第三级:安全标记保护级,提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述。

第四级:结构化保护级,将第三级的自主和强制访问控制扩展到所有的主体和客体。加强鉴别机制,系统具有相当的抗渗透能力。

第五级:访问验证保护级,访问监控器仲裁主体对客体的全部访问,具有极强的抗渗透能力。

四、信息系统定级

为提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作[4],定级范围包含:

1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

2.铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通等重要信息系统。

3.市(地)级以上党政机关的重要网站和办公信息系统。

4.涉及国家秘密的信息系统。各行业根据行业特点指导本地区、本行业进行定级工作,保障行业内的信息系统安全。

五、等级保护在行业中应用

(一)等级保护在电力行业信息安全中的应用

国家电网公司承担着为国家发展电力保障的基本使命,对电力系统的信息安全非常重视,已经把信息安全提升到电力生产安全的高度,并陆续下发了《关于网络信息安全保障工作的指导意见》和《国家电网公司与信息安全管理暂行规定》。

(二)电信网安全防护体系研究及标准化进展

《国家信息化领导小组关于加强信息安全保障工作的意见》和《2006~2020年国家信息化发展战略》的出台,明确了我国信息安全保障工作的发展战略[5]。文中也明确了“国家公用通信网”包括通常所指“基础电信网络”、“移动通信网”、“公用互联网”和“卫星通信网”等基础电信网络。将安全保障的工作落实到电信网络,充分研究安全等级保护、安全风险评估以及灾难备份及恢复三部分内容,将三部分工作有机结合,互为依托和补充,共同构成了电信网安全防护体系。

六、结束语

安全等级保护是指导信息系统安全防护工作的基础管理原则,其核心内容是根据信息系统的重要程度进行安全等级划分,并针对不同的等级,提出安全要求。我国信息安全等级保护正在不断地完善中,相信信息保护工作会越做越好。

参考文献:

[1]徐超汉.计算机信息安全管理[M].北京:电子工业出版社,2006,36-89

[2]ISO27001.信息安全管理标准[S].2005

[3]GB17859计算机信息系统安全保护等级划分准则[S].1999

篇12

社交网络中的数据量非常大,其信息的开放程度也较高,这在很大程度上吸引了更多用户的使用,用户之间的关系也由此变得更为复杂,不易管理。因此,怎样在社交网络中保护用户的因素,更好地进行数据访问和身份认证控制则成为了当前社交网络发展所重点关注的内容。

1 社交网络下用户信息安全的内涵

社交网络是指在遵循实名制原则的前提下,通过社会性软件所建立起来的社会化的网络平台,这一平台被用于管理个人或者机构的各种社会关系。在该平台上,用户可以自行分享各自的兴趣和爱好,以此促进和其他用户的了解和交流。目前,国内外都有不少社交平台,Twitter、Facebook、人人网、开心网、微信、微博、腾讯QQ等,都是非常常见的社交平台。个人用户信息又包含其各种身份(地址、姓名和点哈等)和非身份的信息(性别和年龄等)。而社交网络用户信息安全则是指用户的个人信息的安全问题,具有如下五个特征。

(1)保密性,用户的所有信息仅为授权者所使用。

(2)完整性,要保证用户的信息不被删除、伪造、或者修改等。

(3)可用性,要摆正用户的信息能够被授权者获取、使用。

(4)可控性,用户的所有信息及该信息系统时刻处于较为安全的监控管理当中。

(5)可靠性,在规定的条件下,信息系统所完成特定功能的概率。

2 社交网络下用户信息安全现状

2.1 法律法规的不健全

2009年我国出台了《刑法修正案(七)》,其中便有对用户信息的获取和使用做了规定,所有个人组织不能非法向他人出售或提供用户的个人信息,否则,将会承担一定的法律责任。可见,我国对保护我国公民个人信息不收侵犯还是有一定决心的。但是,仅凭这一条例是不可能涵盖所有相关犯罪行为的,如果没有相关的司法解释作为辅助,仍旧还是孤掌难鸣。而实践也表明,各地法院也很难通过这一条例对相关的犯罪行为定罪,尽管也有专家建议出立的《个人信息保护法》,但是最后仍旧由于各种各样的原因没有成功。到目前为止,我国针对这一问题增加了一些条例和办法,但是由于其约束力不够,操作性较低。

2.2 社交网络企业的管理水平较低

在各类用户信息侵害案件中,大多数的过错方都在于各社交网络企业,并且其所占比重仍在不断增大。广大社交网络企业是保护信息安全的主体,也可以说其是第一责任人。然而在实践过程中,少有企业认识到这一点,同时也就更无法提及使其明白维护信息安全的重要性了。相反,一方面,这些企业反而用过误导和引诱等方式吸引更多的用户填写姓名、年龄、性别、住址、手机号、学历、QQ账号等真实信息。其中,游戏积分奖励和新功能优先享受都是其较为常用的方式。另一方面,这些企业对用户的信息安全保护工作也极不重视,不仅没有做好黑客的入侵防范工作,也没有投入经费组建专业的信息安全管理团队。

2.3 用户的信息安全素养不高

在网络时代背景下,用户的信息安全素养提升速度并不如网络信息产业发展的速度快,呈现出严重的滞后状态。用户对信息安全的认识还不是特别到位,没有具备一定的信息安全意识,对信息安全知识的了解程度不高,处理信息安全侵犯事件的能力也相对较低。不少用户都会习惯性地回复一些看似朋友发送过来的诈骗信息而泄露了自己的真实信息,中了黑客的圈套。还有的用户习惯性地用一个邮箱享用多个平台的服务,例如,人人网和开心网都使用网易邮箱,并且连密码都没有修改,这样一来,一旦其中一个账号的信息被泄露出去,另一个账号也会受到影响。

3 社交网络下保护用户信息安全的对策

3.1 加强立法的保障

在整个互联网的立法工作中,首先要做的就是要通过各种法律规范形式对用户信息加以保护,使其免受侵犯。而像不得在网上散布恶意信息,侵犯他人权利之类的法律规定,其实并不具被很强的操作性。所以,当前应该做的就是要对这类法律法规加以界定,到底哪一类信息属于恶意信息,其具体的判定标准是什么等等。此外,在具体实施过程中,我国也可以借鉴国外其他发达国家相关经验,欧盟关于个人信息安全的保护立法就是一个非常值得借鉴的优秀案例。另外,法国所建立的国家信息与自由委员会也是极具借鉴价值的。

3.2 提高各社交网络企业的信息安全管理水平

除了加强国家立法保障之外,各企业也要通力协作,形成行业自律。行业规范能够有效地提高用户信息的安全管理水平。企业作为保护用户信息安全不受侵害的主体,理应承担大部分责任。广大社交网络企业需要通过收集用户信息扩展自身的业务范围,这并没有错,但是如果不对收集来的用户信息进行安全管理,就是不对的。所以,企业必须加大用户信息安全管理的力度,充分利用Ajax技术的优越性,加强对用户信息的安全管理。不仅如此,企业还用当具备具备一定的信息伦理道德,以强化自身对用户信息安全的保护意识。

3.3 提升用户的信息安全素养

由上文可知,用户信息被泄露,除了体制和企业的原因外,用户自身也是很重要的影响因素。如果用户具备一定的信息安全素养,了解信息安全的重要性,知道如何避免信息泄露,那么因信息安全泄露所引起的纠纷事件就会少很多。正因为如此,才需要其不断提升自己的信息安全素养。用户可以通过网络了解相关知识,也可以多多参加各类与信息安全相关的讲座,还可以阅读一些相关的书籍,以加深自己对信息安全的了解,提升自己的信息安全素养。

4 结束语

由此可见,在互联网时代背景下,保护用户的信息安全势在必行。无论是国家、社交网络企业还是用户个人,都应该为信息安全的维护承担相应的责任,只有大家通力协作,才有可能做好用户信息安全维护工作,才能促进我国社交网络的发展。

参考文献

篇13

6月5日、6日,英国《卫报》和美国《华盛顿邮报》先后撰文,披露了由斯诺登作为深喉爆料的美国“棱镜”计划。

不过早在斯诺登重磅爆料之前,国家信息安全已经成为了各国关注的热名词。

“网络的国家信息安全隐患问题从来都不是一个新鲜的事儿。”赛迪智库信息安全研究所所长刘权表示,互联网企业留有后门是全世界都知道的秘密,只是此次有了一个实质性的人证而已。

中国工程院院士倪光南也对此并不感到意外,美国有庞大的组织从事信息监控活动,对其他国家,甚至包括对它本国人民的信息进行大规模的、严密的监视,是毫不足奇的。

在国家安全部门、军队等特殊企业或团体中,往往利用局域网络的方式进行某种信息安全方面的限制,然而,便携性强、本身与PC相比防御力也较弱的智能手机,则是时时联通互联网络的贴身炸弹。也许身处局域网下的军人或政客,其谈笑间手机信息正在源源不断地向外输送。

此前,英国的安全研究人员就曾发现一个“故意”安插在美国某种军事芯片的后门,以帮助攻击者获得未经授权的访问,并重新设置其内存。在中国也发生过某核心领域专家在过境日本时遭拒的案例,原因是日本方面从其邮件中发现大量与该核心领域相关的信息往来。

值得注意的是,此次爆料出包括苹果、谷歌、微软等国际电子信息产业巨头亦有“原罪”,在信息大爆炸的移动互联时代,这样的产业环境让众多用户感到着实不安。

系统后门

近日,IDC公布了《中国手机市场季度跟踪报告(2013年第一季度)》。根据该报告,2013年第一季度中国手机出货量为9700万部,与2012年同期相比增长了15%;而2013年第一季度中国智能手机总出货7800万部,同比增长了117%。中国智能手机在整体手机市场的占比取得新高,达到79%。

在这样一个庞大的智能手机市场中,信息安全的保障越发显得重要。

在刘权看来,移动信息安全可划分为应用层面和操作层面。在应用层面上的安全问题,往往是第三方的黑客以金钱为目的的攻击行为。而这种问题相对比较容易解决。比如可以在手机中安装一些杀毒软件并及时更新,不乱点可疑软件和不常去的网站便可以得到较为有效的控制。但说到底,真正威胁国家信息安全的往往是在操作系统层面。

尽管目前一大批中国本土移动终端厂商正在国际市场上崛起,然而不容忽视的是,核心的移动操作系统技术却成为国内移动产业的缺口,目前充斥移动市场的就美国人舶来品——安卓、iOS、Windows8,国内智能手机操作系统已陷入被国外厂商垄断的境地。

苹果手机用户应该会有这样的体会,手机中的通讯录等信息,当在另一个终端iPad上登录了账户和密码后,便可直接同步进来。“这就说明肯定是有服务器的,如果没有,信息不会移植过来。”刘权分析称。

也就是说,当某些国外厂商开发的操作系统为用户提供数据同步上传功能时,便已将用户手机中的通讯录、邮件、日程表、即时通信内容等信息通过手机上网实时上传到国外服务器上。

表面上看,这些窃取的情报好像与个人利益关系不大,但对一些特殊的人物来说则相当危险。此外,当海量的私人信息数据被搜集起来,国外企业可通过对存储在其服务器上的这些中国用户数据进行分析,从而获知社情民意、社会热点、舆情动向和用户社交关系等信息,对国家安全构成极大威胁。

2010年以来,沙特、阿联酋、印度等国纷纷因安全及通信监管问题与智能终端厂商发生纠纷,其争议主要围绕服务器跨境监管和信息加密传输问题而带来的用户信息泄露或被滥用的安全隐患。

有业内人士称,在美国,每年通过分析Facebook网站上用户个人信息获得的情报数量已远远超过联邦调查局通过传统途径获取的总量。

更值得注意的是,这些情报获取的合法性甚至已在美国明文规定。

倪光南认为,按照美国的有关法规规定,美国公司有义务将这些信息提交给美国情报部门去分析,因此不管是否有什么特殊的计划,实际上,美国情报部门可以方便地获得中国手机用户的信息。

国产缺位

一扇装潢豪华的防盗门,如果锁芯技术掌握在盗贼手里,那么被破门而入便是迟早的事情。我国的信息安全防护盾恰恰是这样一扇外强中干的防盗门。

根据工业和信息化部电信研究院在近日的《移动互联网白皮书(2013)》,至2012年底,Android已占到增量市场的86.4%,其他系统中,Symbian仅余2%,苹果iOS占8.6%,Windows占1.2%,而国内自主操作系统普遍未超过1%。

倪光南认为,目前我国手机的操作系统基本上是国外的,应用商店的信息大多也存储在国外,在这种情况下,手机系统的安全性根本无法保障。

刘权也对此表示了认同,由于目前大部分人已经离不开互联网、手机,所有的核心技术又都掌握在外国人手中,因此目前面对这种信息安全面临的威胁没有任何办法迅速解决,中国唯有培育自主的移动终端操作系统,这种情况才能从根本改变。

其实,国内产业机构也已经认识到移动智能终端操作系统对信息安全的重要性并积极布局。

然而结果是,目前国内这些所谓的自主系统由于用户体验不佳,并没有获得成功。更加不容忽视的问题是,我国智能手机产业对谷歌公司的安卓智能手机系统存在严重的“路径依赖”。所谓的新系统研发大多是在安卓的基础上略加点缀,并没有逃出谷歌的手心,也无核心技术可言。

《移动互联网白皮书(2013)》指出,Android系统虽保持开源,但其核心技术和技术路线受到谷歌公司的严格控制,我国操作系统研发企业时刻面临谷歌的商业歧视,如延迟代码共享时间、通过商业协议制约终端企业等。

此外,南开大学信息安全系主任贾春福认为,以市场占有量最大的安卓系统为例,虽然众多手机厂商可以对系统进行“二次加工”,但核心技术掌握在美国谷歌公司手中。它如果有意窃听通话记录或是窃取用户信息,完全没有技术障碍。

然而,值得注意的是,仅仅培育出一套操作系统并没有太大的价值,需要构建的是一个产业链上的整个生态体系。而这种高端的产业链条的培养绝不是一朝一夕的事情,

目前,苹果商店里的程序有几十万个,微软有一二十万个,安卓则是四五十万个。只有将整个的生态体系建立起来,这个操作系统才有人用,才有市场。业内人士称,在中国手机产业生态系统的建设上,突围之路不仅要靠软硬件质量的提升,更需要统筹规划,整合研发、市场渠道、应用开发乃至政府采购支持等多方面资源,真正打造成产业生态链,逐步向终端厂商开放,这才是关键所在。

法律缺失

与本土自主操作系统一样处于缺位状态的,还有信息安全领域的相关法律。

直至今日,中国并没有一个能够保障用户信息安全的法律规范,在移动互联网安全领域,技术标准存在真空,应用软件缺乏安全审查机制。而这种法律方面规范的缺失甚至成为了情报流失的助推手。

正因为缺少法律这把尚方宝剑,对国际互联网公司的监控成为了不可能。

刘权认为,中国已加入WTO,在没有法律依据的时候去在这些方面进行管理,是违反了世界贸易规则的,甚至是监测到了也没有一个法律上的依据去追究责任。此外,哪些东西可以传输出去,哪些东西是不可以传输的信息,这都需要有法律的规定。只有拥有了法律依据,明文规定采集到的信息需要审核才可传出国外,如果他们没有在传出之前进行告知,那么就可予以追究责任。

加快建立移动互联网络安全防护相关制度似乎成为了目前能够开展监控工作的核心要点。然而,不容忽视的问题是,中国的立法工作并不是一个简单的事情。这样一来,法律这个监管的利器实在无法短期锻造成。

其实,世界上很多国家都已经意识到网络信息安全的问题,并纷纷为自己罩上防弹背心。

在美国,法律规定在本地采集的数据没有经过同意不允许传出境外。

在智能机尚在襁褓中的2007年,负责国家安全的法国国防总秘书处也禁止总统和总理办公室的任何人使用黑莓手机,原因是黑莓系统使用的是位于美国和英国的服务器,法国部长之间传送的高度敏感的战略信息,可能落入外国人手中。

精选范文
学术杂志
友情链接