“作為國家信息安全保障體系來講,其包括積極防禦、綜合防範等多個方面的多個原則。因此,要建立和完善信息安全等級保護制度就要加強和建設多個層面。”中國工程院院士方濱興指出,當前國家信息安全的保障體系需要圍繞以下細節全面建設,具體為:要加強密碼技術的開發與套用、建設網路信息安全體系、加強網路信息安全風險評估工作、建設和完善信息安全監控體系、高度重視信息安全應急處置工作、重視災難備份建設。
方濱興
方濱興當然了,要增強國家信息安全保障能力,還必須要掌握核心安全技術。此外還包括能力,如信息安全的法律保障能力、基礎支撐能力等等。
簡而言之,方院士稱:“我們國家的信息安全保障體系可以從五個層面解讀,又可以稱之為‘一二三四五國家信息安全保障體系’”。
方院士的解讀具體如下:
一,即一個機制,就是要維護國家信息安全的長效機制。
二,是指兩個原則:第一個原則是積極預防、綜合防範;第二個原則是立足國情,最佳化配置。
三,是指三個要素:人、管理、技術。
四,是指四種能力:核心技術能力、法律保障能力、基礎支撐能力、輿情宣傳和駕馭能力、國際信息安全的影響力。
五,是指五項主要的技術工作:風險評估與等級保護、監控系統、密碼技術與網路信任體系、應急機制、災備。
一、一個機制
所謂的一個機制,是說機制一定是一個完善長效的機制,一方面是在組織協調性上,另一方面是在支撐力度上。這需要巨觀層面,包括主管部門予以支持。
二、兩個原則
第一個原則是積極防禦、綜合防範。不難理解,綜合是表現在整個產業的協調發展,也就是說網路信息安全與信息化的關係。在這個裡面,積極當然有多種含義,雖然我們並不提倡主動攻擊,但是掌握攻擊技術是信息對抗所需要的。但是值得注意的是,真正的積極是指一旦出現一個新的技術,我們就立即要想到研究這個新技術會帶來什麼安全性問題,以及這樣的安全性問題該怎么辦?比如說Web 2.0概念出現後,甚至包括病毒等等這些問題就比較容易擴散,再比如說Ipv6出來之後,入侵檢測就沒有意義了,因為協定都看不懂還檢測什麼……所以說這些信息化新技術的出現同時也都呼喚新的安全技術。
另外技術解決不了的還得靠管理,比如說等級保護,當然等級保護主要是面向政府部門的。那么反過來管理做不了的也得靠技術,你說有病毒,光嘴上說不行,還得有技術防範。再有就是強調了核心保障。
第二個原則是立足國情,這裡面主要是強調綜合平衡安全成本與風險,如果風險不大就沒有必要花太大的安全成本來做。在這裡面需要強調一點就是確保重點的,如等級保護就是根據信息系統的重要性來定級,從而施加適當強度的保護。此外,當你在發展的時候必須要考慮到涉及到安全問題的時候該怎么辦,但你做安全也是為了促進發展,而不是說限制發展,所以儘管我們現在覺得需要物理隔離的方式,但同時也在研究一系列的技術來替代這么一個簡單的方式,這個就是國情的需要。
三、三個要素
三個要素包括人、管理、技術。
從人才角度來說強調了兩個方面,一個方面是培養,培養你的人、才、水平,那么包括學歷教育、研究、以及學科層面,無論是培養研究生還是其他研究人才,都和社會服務人才不一樣。再有就是培訓和網路教育。還有加強信息安全宣傳工作和網路文明建設,也都需要相關的支持,基本上跟信息相關的底下都有這個。此外,就是論壇、媒體的努力。當然,吸引和用好高素質的信息安全管理和技術人才的機制也很有有用。
就管理這一點而言,其實網際網路上的管理主要是靠四句話:法律保障、行政監管、行業自律、技術支撐。我們還可以把管理分為三級措施,那么從巨觀的角度來說出現的是什麼?方針,國家說積極預防、綜合防範,這是一種方針,還有就是政策引導,我們現在制訂這方面的政策等,再有就是具體的法規,就是要嚴格規章制度。此外還有標準,標準是從技術角度、管理角度引導你,你不會做按照這個做就行了。也就是說標準解決怎么做,法規解決做什麼的問題。到微觀方面就是說各個管理機構,要做好規章、制度、策略、措施。
需要說明的是,機制就是怎么管,我們現在是通過一些認證測評、市場準入來對安全做管理,這裡面對產品服務做認真測評,包括政府採購也是受一定的限制。而措施則是,你到底管哪些事情,如等級保護這個是要管的,這個是沒有問題的;再比如系統安全、產品的採購包括測評、密碼技術等都在管理範疇。
第三個層面是信息安全技術,信息安全技術在這裡面特彆強調的是對引進的產品的安全問題,如它的安全可控必須要有人管。同時我們還要研究新技術、新業務,包括網路安全、內容安全、密碼、安全隔離手續等。當然這其中也少不了需要政策導向和市場機制,當然最終的目標就是信息安全還應該以自主智慧財產權為主。
四、四個核心能力
四個核心能力,主要是信息安全的法律保障能力,信息安全的基礎支撐能力,網路輿情宣傳和駕馭的能力。再有一個就是國際信息安全的影響力,
就法律保障能力而言,業內一致認為要以信息安全為綱,你一定要有一個信息安全法,有了這個核心法你才能做一系列的工作,包括制訂相應的制度。
第二個能力叫做基礎支撐能力,就是說國家要有一系列的相應的基礎支撐,比如說數字證書、計算機網路應急回響體系、災難恢復體系等等,再比如說密鑰管理、授權管理等等,這些都是做得很成功的,而網路輿情掌控的體系,一些部門也都有,你它的運行效果還有很多需要改進的餘地。
第三個能力是輿情駕馭能力,我們在網上可以看到這句話,要關注三個如何,如何引導網路輿論,如何對網上的熱點話題做訪問,如何提高處置網路的能力。這些實際上都是我們輿情駕馭能力的標誌。輿情駕馭的具體目標是首先要能夠發現和獲取,然後要有分析和引導的能力,之後要有預警和處理的能力。
第四個是國際影響力。只有在信息安全較量中才能體現出一個國家的信息安全影響力。所以,這就需要發揮信息安全整體資源的優勢,這其中包括對有害信息的應對能力、技術手段。用逆向思維的話,就是說假如出現最壞的情況網路被惡意中斷,那么至少能保持一個封閉體系還能繼續運轉,這可能必須要有域名的解析,當然這個國內現在已經做到了。
五、五項工作
五項工作包括:加強風險評估工作,建立和完善等級保護制度;加強密碼技術的開發利用,建設網路信任體系;建設和完善信息安全監控體系;高度重視信息安全應急處置工作;災難備份等。
第一,風險評估和等級保護,兩者相輔相成需要一體化考慮。因為風險評估是出發點,等級劃分是判斷點,安全控制是落腳點,所以風險評估和等級保護這兩件事兒是不可分的,只有知道了系統的脆弱性有多大,等級保護才能跟上去。
第二,網路信任體系主要是靠密碼技術,還要強調密鑰體系。
第三,網路監控系統,強調國家對各個運營單位都要求有相應的信息監控系統,要有處理信息的能力,這樣起碼對一些網路攻擊,防範失泄密可以提供支持。
第四,應急回響體系,國家在2003年SARS之後就開始建立應急回響體系,2008年的1月份出現了凝凍災害天氣,充分考驗了這個體系。所以信息安全也有國家級的預案,或許將來會做更多的宣貫。
第五,災難備份,這個裡面最重要的目標是力保恢復,其次是及時發現,接下來才是快速回響。
