前言:中文期刊网精心挑选了国家信息安全的重要性范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
国家信息安全的重要性范文1
0引言
随着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。伴随社会的信息化推进,通信技术也得到了快速发展。通信得到了社会的广泛认可。近年来,伴随着互联网技术在全球迅猛发展,信息化给人们提供了极大的便利,然而,同时我们也正受到日益严重的来自网络的安全威胁,比如黑客攻击、重要信息被盗等,网络安全事件频发,给人们的财产和精神带来很大损失。但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。
在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。
一、通信运用中加强信息安全和防护的必要性
1.1搞好信息安全防护是确保国家安全的重要前提
众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。
1.2我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
二、通信中存在的信息安全问题
2.1信息网络安全意识有待加强
我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。
2.2信息网络安全核心技术贫乏
目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。
2.3信息网络安全防护体系不完善
防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。
2.4信息网络安全管理人才缺乏
高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。
三、通信组织运用中的网络安全防护
网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。
3.1数据备份
对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。
3.2防治病毒
保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。
3.3提高物理安全
物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。
3.4安装补丁软件
为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。
3.5构筑防火墙
构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。
四、加强通信运用中的信息安全与防护的几点建议
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
4.1要加强宣传教育,切实增强全民的国防信息安全意识
在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
4.2要建立完备的信息安全法律法规
信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
4.3要加强信息管理
要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。
4.4要加强信息安全技术开发,提高信息安全防护技术水平
没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。
4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节
首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。
4.6建立和完善计算机系统风险防范的管理制度
建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。
其次,应当设立信息安全管理的专门机构,并配备专业技术人才,选拔防范风险的技术骨干,开展对信息安全技术的研究,对系统弱点进行风险评估,及时采取补救措施。完善信息安全措施,并落实到信息安全管理中去。
五、结论
通信在生活中有着广泛的应用,涉及到人们生活的方方面面。它构建安全的通信系统是进行通信组织运用中信息安全防护的前提。通信系统网络安全防护体系应以一个良好的安全策略为起点,建立在安全的网络中,保障通信系统的安全,维护信息安全。
国家信息安全的重要性范文2
目前,我国的信息安全事件和事故的频繁发生,这和老百姓最为直接的就是个人网络账号被盗。据赛门铁克诺顿公司9月11日的诺顿安全报告显示,从2011年7月至2012年7月,网络犯罪致使全球个人用户蒙受的直接损失高达1100亿美元。同期,中国估计有超过2.57亿人成为网络犯罪受害者,直接经济损失达人民币2890亿元。
针对日趋严重的网络安全问题。工信部通信保障局网络安全处副处长付景广对记者说,工信部建立了通讯行业和网络安全防护、应急演练等等,以保障网络运行的稳定和安全。“针对网络钓鱼、垃圾信息等危险用户的切实利益问题,我们与中国互联网协会、中国网络互联网信息中心等建立了相关的机制,以净化网络环境。”
信息安全风险管理需常态化
国家信息化专家咨询委员会委员、国家信息化中国专家委员会副主任宁家骏认为,当前,信息安全形势变化总体来说是国家信息安全形势的一种表现。2010年前后可以看到美国进一步调整它的国家信息安全战略,俄罗斯、纽约也在调整,日本更明确把国家的安全防范对象转向我们国家。“9·11恐怖事件”发生后,美国的多部门独立管理,多种模式逐渐感到没有办法适应信息时代国家安全战略调整需求。所以,它先后整合了一些部门通管他们信息安全技术,另外也任命了公安局的局长出任网络司令部的司令整合军内的信息战略领域。
在当前我们必须看到我们国家的网络信息安全工作面临新的复杂的形势。进入新世纪以来,经济、社会发展对我们信息网络和信息化的依赖程度越来越高,现在我们可以说金融、交通、电力、水务等都离不开信息网络。
宁家骏指出,信息网络的发展已经成为推动社会和经济发展的重要力量,也是各国竞争的制高点。一方面我们看到信息化的大势不可逆转,但是同时我们要必须看到,随着我们中国的迅速崛起,也引起了国际社会的广泛关注。在这种背景下,在全球网络空间国际竞争日趋激烈的背景下,我们的信息安全问题更加错综复杂。所以,对信息安全保障体系的建设需求更加紧迫,面对国内和国际形势,必须进一步提高对我们重要性系统的信息安全保障体系建设的高度重视和对风险的应对能力。
特别是在当前互联网这种特性——规模庞大、带宽持续增长和应用逻辑日益复杂的情况下,如果继续在不同的安全领域中间各自为战将不能适应信息安全新的发展要求。如何处理这种信息访问的瓶颈?如何应对这种开放协议的安全事件?如何来解决我们应用软件中安全漏洞难以避免的现实?宁家骏认为,这些问题要求我们必须解决在信息安全保障中全局协同的问题,同时要提高我们的效能,提高我们对事件处置能力和事前应急预警的能力。
在世界竞争日趋复杂的环境中,已经发生的一些重大信息安全事件对我国的发展产生不同的损失,对我国信息安全的重要性提出了更加紧迫的要求。特别是我们看到威胁在不断的演变,有些部门的人觉得自己的电脑没有什么可以保密的文件,疏忽管理。其实恰恰不然,很多的隐蔽性的网络攻击就是把这些看似没有价值的电脑作为网络攻击的第一个跳板。特别是当前移动互联网的发展,智能终端的广泛应用已经成为当前在网络攻击中的一个最好的获利的平台。
所以,国外每年银行卡信息被盗损失的金额非常巨大,特别是在当前我们这种移动终端,包括山寨手机内置的一些软件,包括我们恶意捆绑那些流氓的软件,使得我们的手机不仅仅是被吸取话费,而且把病毒传播开来。宁家骏说:“未来一方面是信息化安全技术,一方面是面临这种复杂的环境,使我们应对危机的难度在增加。所以,我们必须看到我们存在明显的不足,清醒的认识到这种日益增加的战略层面的巨大的威胁,包括我们很多的技术手段。同时,我们必须要解决这种各自为战的,要克服这种谁主管、谁负责的局限性。”
“我们又必须看到风险管理的滞后和非常态化。当前,我们重视了风险评估工作,但是往往我们对风险的理解常常是限定在技术层面,而没有考虑到相关方的核心力。”宁家骏说,“我们的风险评估常常基于静态,没有真正的开展常态化的、动态的持续的监管。特别是我们个人信息的保护严重的滞后,所以在这里既有我们用户和企业的意识淡薄,更有我们法律的欠缺,也有我们相应的服务和管理上的约束的不足。”
手机信息安全不容忽视
黑客的入侵手法日益更新,传统的网络安全问题正逐渐向移动互联网等领域延伸。付景广介绍,手机终端与PC终端面临的问题没有本质的区别,都面临木马病毒等问题。但是,手机的缴费和扣费功能更容易受到黑客的关注。调查发现有些木马病毒可以操控手机,定制收费业务,造成用户的经济损失,有的还可以远程窃取手机的位置信息和通话记录等,导致用户隐私泄露。
今年以来,社会上有一些企业搜集用户的个人信息引起人们关注。付景广说:“我们需要增强安全意识,这与现实生活中的偷盗诈骗等相比,手机的安全问题和虚拟性、空间地域性,使网络的安全问题变得更加隐蔽和复杂。”他认为,人们只有树立起正确的防范意识,才会自觉地养成良好的防范举措。但是,还有很多在信息产业中的从业人员对信息安全的防范也是一知半解。
最近,工信部发文明确要求:
第一,手机制造企业和行业协会要承担起指导用户安全使用手机的责任,加强风险提示等。
第二,加强应用商店安全管理,控制手机恶意程序的渠道。对捆绑恶意功能的程序必须加大力度处理;另一方面开办应用商店的基础企业,移动互联网企业和手机制造企业要切实履行好各自的责任和安全的审核机制。
国家信息安全的重要性范文3
确保信息网络安全正在成为新世纪国家安全的重要基石和基本内涵。这就向我们提出了一个迫切需要解决的重大战略性问题,即:如何切实保障信息网络安全,以确保我国信息化建设快速、平稳、健康发展,避免信息网络安全问题导致社会危机的发生。
同时,它也要求我们必须结合国情,从“发展是硬道理”出发看待和把握信息安全问题,对我国信息化发展进程中面临的信息安全威胁演变趋向加以冷静分析、正确判断,制定科学、务实、有效的安全保障战略。
提升应急能力
面对全球一体化的互联网环境,国家公共互联网应急体系的建立和应急处理能力的提高,并不能仅仅依靠政府的力量,而是需要世界各国相关组织在技术、资源、经验方面的共同合作,需要政府与企业、全社会每个人的互动。
在互联网这样一个复杂的巨系统中,如何提高应急响应的处理水平确是摆在我们面前的巨大难题。目前的应急管理无法适应日益复杂的安全系统的要求。为了解决这些问题,我们在方法学上提出了“综合集成”的思路,即自上而下、自下而上的结合(如图1所示)。
要落实综合集成的方法论就要综合治理,不仅靠一个部门或一个企业制定信息安全应急预案,而且需要建立一个全球相互协作体系。在统一的标准、一致的应急处理方法下,达到体系的高度灵活性。
同时,我国也必须要建立自己的体系,并与全球的相关组织紧密合作,实现从定性到定量的协调机制。在不断变化的技术环境中,今天最好的安全措施可能在明天会过时。安全措施必须紧跟这些变化,必须作为系统开发生命周期中的一重要组成部分加以考虑,并在每一阶段明确其定位。
信息安全常被看作是一个技术问题,少有组织认为它是组织必需优先考虑的对象。 信息安全治理是我国信息安全保障体系建设的战略需求。我国信息安全治理的方针和战略是:以单项治理为主向以综合治理为主转变;从注重事后处理向以事前预警为重点转变;从与电子政务和电子商务实际应用系统的松散结合向紧密相结合转变;为经济社会协调发展提供支撑;以人为本、自主创新、协同集成、重点跨越。
避免误区
在评估和把握我国信息安全形势的走向时,要避免出现两种倾向:一是在信息安全领域中尚不存在特别重大威胁的情况下,对信息安全问题的演变趋势估计不足、重视不够,给国家信息化的持续发展留下安全隐患;二是对信息安全领域诸多属于一般性威胁问题的严重性估计过高,把技术与管理不健全而造成的安全问题视为战略问题,造成人力、财力的浪费,给国家管理和社会进步增添负担。
思路和原则
抓住我国综合实力进一步增强和加入WTO的机遇,统筹我国信息安全保障体系建设,在自力更生基础上按需引进、充分利用和借鉴国外先进技术与管理经验,在15~20年时间内,坚持与时俱进、求真务实的精神,通过统一规划、分步实施,政府引导、全民参与的方式,通过信息安全治理,建立起完整的国家信息安全保障体系。应该按照如下原则来进行安全保障体系的建设:
坚持风险管理原则完全避免风险是不现实的,要对关键领域的信息安全风险进行识别和评估,采取必要的保护措施和应急措施来降低风险,使之控制在可承受的范围内。
明确统筹兼顾原则在实施策略方面,要明确国家、企业和个人在信息安全方面的责任和义务,充分发挥各方面的积极性;要统筹城乡信息安全建设,协调区域化信息安全建设与全国信息安全建设。
重视经济实用原则切忌空谈和夸大,量力而行,突出重点。以我国信息安全领域最急需开展的工作作为突破点,扎实地做好信息安全工作。管理上要将关键信息网络安全的整改作为信息安全建设的切入点,技术上要采用综合集成思想,逐步完善关键基础设施的安全保障,切实提高信息安全防护能力。
遵循循序渐进原则信息安全战略要与国家信息化发展和社会转型相适应,采取统一规划、分步实施,以及短期和中长期目标相结合的方式进行。
治理三阶段
国家信息安全战略的总体目标是保障关系到国计民生的信息基础设施的适度安全,实现国家对信息化环境与内容的治理(如图2所示)。
第一阶段,打基础、保重点,初步建立我国信息安全防护体系。
战略重点是保障“3+7”关键基础网络安全、信息内容安全和加强网络监管。战略目标是确保国家信息化建设健康、稳步地发展。
保护关键基础网络安全指由电信网、广播电视网和互联网构成的三个基础网和由税务、电力、银行、证券、海关、铁道、民航构成的七个关键网。
保护信息内容安全指防止有害内容的产生、传播和可获得性。要建立信息网络监管体系,实现对信息内容安全监控,对有害信息内容进行过滤,减少其精神污染。加强政府对信息网络的监管力度及对网络安全运行的监控和管理。
通过立法,将监控管理从行政管理的范畴纳入到法制范畴。对电子保密信息进行合法的安全监管,增强信息犯罪取证调查能力。
第二阶段,重体系、促发展,形成较强的国家信息安全保障能力。
战略重点是确保政务网络安全高效、商务网络安全可靠、网络文化健康向上。战略目标是促进网络经济蓬勃发展,形成良好网络秩序。
政务网络安全保障重点是保证关键指令和信息的有效上传下达,政务资源的有效整合和利用。为此,要加快安全保障体系与安全支撑平台建设,这是政府在信息安全上的法律职责和义务。
第三阶段,实现对信息网络的有效治理,初步具备信息反制能力。
战略重点是有效维护信息空间领域国家利益,大幅提高全民在信息化进程中生活质量和福利。
战略目标是达到信息网络的科学治理、维护经济与社会的可持续发展。
在政策法规方面,建立完善的信息安全法律法规体系。在技术方面,依据信息安全技术战略,在关键领域取得突破性进展。在产业方面,通过政策倾斜和市场竞争,孵化出信息安全“航空母舰”型企业,信息安全主要核心技术基本实现自主化。
五大安全治理规范(供参考)
一、经济合作和发展组织,《信息系统安全指南》(1992)
《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作,促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。
这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆,通过此标杆测量进展。
二、国际会计师联合会,《信息安全管理》(1998)
信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完整性);信息系统在需要时可用和有用(可用性)。 机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外,业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。
三、国际标准化组织,《ISO 17799国际标准》(最新版是2005)
ISO 17799(根据BS 7799第一部分制定)作为确定控制范围的单一参考点,在大多数情况下,这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其他重要商业资产一样,这种资产对组织有价值,因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性,确保信息只被相应的授权用户访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。
四、信息系统审计和控制协会,《信息和相关技术的控制目标》(CoBIT)
CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提,至今已有三个版本。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全的需要,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例,以形成一个可控和逻辑结构内的活动。
五、美国注册会计师协会(加拿大特许会计师协会),《SysTrust TM系统可靠性原理和准则V20》(2001)
国家信息安全的重要性范文4
档案信息安全保障问题最早是由美国提出的,对于信息安全保障他们给出了自己的定义,总结了信息安全的各种特性以及信息系统的功能。其实,对于信息安全保障系统可以从多种角度进行分析,主要包括信息安全技术和信息安全管理等方面。由于档案信息安全问题关系到小单位甚至国家的安全,因此对于保障体系的构建宏观上就上升到了国家的战略高度,十分必要。
二、我国档案信息安全保障体系建设
(一)档案信息安全管理体系建设
宏观档案信息安全保障体系侧重的是档案信息安全管理体制,由于缺乏统一的管理体制,各地对档案信息管理漏洞百出,使得许多机关信息无法保密,滋生了部分信息安全方面的犯罪。只有对档案信息安全的相关政策和法规标准进行规范,才有利于对档案信息的管理规制,进而保障信息安全。在这方面国家需要做的就是,在国家档案局成立专门的档案信息安全管理处以负责对档案信息的管理工作,在各省市也成立相应的档案信息安全管理部门,具体执行相关的安全保障工作。对于相关的法规完善是必不可少的,只有在国家法规的指导下,地方才可以制定出本地适用的地方标准,以便于档案信息安全保障工作的顺利开展。
(二)档案信息安全技术体系建设
从技术上对档案信息的安全进行保障,也是档案信息安全技术体系的目标,可有效保障档案信息的完整性、可追溯性、真实性等。随着时代的发展,信息安全技术不断进步,依据不同属性可分为:物理安全技术、系统安全技术、数据安全技术、网络安全技术、用户安全技术等等。在运用这些安全技术时要考虑到档案信息的特殊性,比如档案信息的性,还有些档案需要长时间保存,还需要保证其真实性,就需要对这样的档案信息进行特殊的物理安全技术保存。可见,对档案信息采取安全技术进行保障时要谨慎保存。
(三)档案信息安全法规标准体系建设
标准化是一种科学的管理手段,以标准行事可以减少档案信息安全管理中出现的盲目性,有了标准就有了档案信息安全保障工作的规划和目标。为了促进档案信息化建设的顺利开展必须要加强立法,使得档案信息安全保障工作有法可依,在法律的保护下进一步完善。国家制定了档案安全法规后,地方就可以参照法律制定地方条例和标准,针对本地实际情况管理本地的档案信息安全工作
(四)档案信息安全基础设施体系建设
档案信息安全基础设施体系就是要为档案信息安全构建基本的设施,为保障档案信息安全提供最有利的服务和支撑。这些基础设施涵盖面比较广泛,主要包括档案信息系统,这个系统需要档案管理部门的协调和引导,运用计算机数据加密和数字签名;档案信息灾备中心建设是档案信息安全保障中的一项基础设施,档案部门可以通过多种途径对档案信息进行灾难备份,以保障信息的长期性;档案信息系统应急响应的工作需要利用政府或商业机构的应急服务,这项支援服务的关键就是选择具有国家资质认可的服务机构,还要向缺乏信息安全专业人员的档案部门提供安全服务。
(五)档案信息安全人才培养体系建设
人才是科技发展的生力军,档案信息安全保障的根本离不开档案信息安全人才的培养,我国对于信息安全人才培养体系的构建已经提上日程,对于这方面的教育也逐渐普及,主要包括高校信息安全学科教育、科研机构高学历教育、商业化培训以及各单位信息安全普及的教育等。另外我国也在各大高校开设了信息安全教育,设立了相关的专业,其中以中国科学院的教育工作做得最为出色。信息安全的教育要大力普及,宣传档案信息安全专业的重要性,让更多的人去关注,吸引信息安全人才投身到档案信息安全保障工作中,吸纳高学历人才成为档案信息安全建设的主力军,普及教育工作还要进一步推广,尽快构建档案信息安全人才培养体系。
三、总结
国家信息安全的重要性范文5
【 关键词 】 信息安全;等级保护;现状及问题;建议
【 中图分类号 】 TP393.08 【 文献标识码 】 A
Discussion the Status of Information Security base on Graded Protection
Zhang Wei-li
(CCID Think tank, China Center of Information Industry Development Beijing100048)
【 Abstract 】 Information Security base on Graded Protection is a basic regime of the construction of information security in our country, and is an important means to guarantee the healthy development of information technology. Information Security base on Graded Protection ,development both at home and abroad were introduced in this paper, as well as the status quo of Graded Protection in China. On this basis, the paper analyzes the problems existing in the Graded Protection in China, and put forward some Suggestions for bettering Graded Protection work.
【 Keywords 】 information security; graded protection; status and problems; suggestion
1 引言
目前对信息及信息系统实行分等级保护是各国保护关键基础设施的通行做法。在我国信息安全等级保护是保障国家信息安全的一项基本制度。通过信息安全等级保护工作,实现信息安全资源的优化配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全,有效提高我国信息和信息系统安全建设的整体水平。
1.1 信息安全等级保护的概念及等级划分
信息系统安全等级保护是指对信息以及信息系统分等级进行安全保护和监管;对信息安全产品的使用进行分等级管理;对信息系统中发生的信息安全事件分等级响应、处置的综合性工作制度。
根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统安全等级由低到高分为五个等级:第一级,自主保护级;第二级,指导保护级;第三级,监督保护级;第四级,强制保护级;第五级,专控保护级。依据安全保护能力也划分为五个等级:第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级结构化保护级;第五级访问验证保护级。
1.2 国外信息安全等级保护的发展历程
等级保护思想最早源于20世纪60年代的美军文件保密制度,其中第一个比较成熟并且具有重大影响的是1985年的《可信计算机系统评估准则》(TCSEC),该准则是当时美国国防部为适应军事计算机的保密需要提出的,主要是针对没有外部连接的多用户系统提出。
受美国等级保护思想的影响,欧盟和加拿大也分别制定自己的等级保护评估准则。英、法、德、荷等四国于1991年提出了包含保密性、完整性、可用性等概念的欧共体的《信息技术安全评估准则》(ITSEC)。ITSEC 作为多国安全评估标准的综合产物,适用于军队、政府和商业部门。1993年加拿大公布《可信计算机产品评估准则》(CTCPEC)3.0版本。CTCPEC作为TCSEC和ITSEC的结合,将安全分为功能性要求和保证性要求两部分。功能性要求分为机密性、完整性、可用性、可控性等四个大类。
为解决原各自标准中出现的概念和技术上的差异,1996年美国、欧盟、加拿大联合起来将各自评估准则合为一体,形成通用评估准则(Common Criteria)。1999年出台的CC2.1版本被ISO采纳,作为ISO15408。在CC中定义了评估信息技术产品和系统安全性所需要的基础准则,是度量信息技术安全性的基准。
1.3 我国信息安全等级保护的发展历程
在国际信息安全等级保护发展的同时,随着信息化建设的发展,我国的等级保护工作也被提上日程。其发展主要经历了四个阶段。
1994-2003年是政策环境营造阶段。国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。此文件的出台标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。
2004-2006年是等保工作开展准备阶段。2004年至2006年期间,公安部联合四部委开展了涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
2007-2010年是等保工作正式启动阶段。2007年6月,四部门联合出台了《信息安全等级保护管理办法》。7月四部门联合颁布了《关于开展全国重要信息系统安全等级保护定级工作的通知》,并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。
2010年至今是等保工作规模推进阶段。2010年4月,公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。2010年12月,公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。至此我国信息安全等级保护工作全面展开,等保工作进入规模化推进阶段。
2 我国信息安全等级保护的现状
2.1 等级保护的组织架构初步形成
截止目前,除了国家信息安全等级保护协调小组办公室外,在大陆31个省、自治区、直辖市当中除天津、黑龙江、河南、重庆、陕西外,有26个行政区成立了省级的信息安全等级保护协调小组办公室。22个省、自治区、直辖市建立了信息安全等级保护联络员制度,共确定1598名联络员。获得信息安全等级保护测评机构推荐资质的测评机构共121家,除新疆外各省均有获得资质的等级保护测评机构,其中国家的测评机构有7家,北京市有10家,江苏省有14家,浙江省、山东省各有7家,广东省有6家,其他省、自治区、直辖市有1-5家不等。25个行政区建立了等级保护专家组,共确定441名专家。
2.2 信息安全等级保护的政策体系初步形成
为组织开展信息安全等级保护工作,国家相关部委(主要是公安部牵头组织,会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门)相继出台了一系列文件,对具体工作提供了指导意见和规范,这些文件初步构成了信息安全等级保护政策体系。具体关系如图1。
《中华人民共和国计算机信息系统安全保护条例》和《国家信息化领导小组关于加强信息安全保障工作的意见》分别是开展信息安全等级保护工作的法律依据和政策依据。《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》是在法律依据和政策依据的基础上制定的政策文件,其为等级保护工作的开展提供宏观指导。在上述基础上,针对信息安全等级保护工作的定级、备案、安全建设整改、等级测评、监督检查的各工作环节制定具有操作性的指导文件。政策体系的形成,为组织开展等级保护工作、建设整改工作和等级测评工作提供了指导,明确了各环节的工作目标、工作要求和工作流程。
2.3 信息安全等级保护的标准体系基本完善
为推动信息安全等级保护工作,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,汇集成《信息安全等级保护标准汇编》,为开展等级保护工作提供了标准指导。这些标准与等保各环节的工作关系如图2所示。
《计算机信息系统安全保护等级划分准则》及配套标准是《信息系统安全等级保护基本要求》的基础。《信息系统安全等级保护基本要求》是信息系统安全建设整改的依据,信息系统安全建设整改应以落实《基本要求》为主要目标。《信息系统安全等级保护定级指南》是定级工作的指导性文件,为信息系统定级工作提供了技术支持。《信息系统安全等级保护测评要求》等标准规范了等级测评活动,为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。
2.4 信息安全等级保护的工作取得一定进展
各重点行业根据等级保护的政策要求开展了本系统内的等级保护工作。为落实相关等级保护政策有关行业制定了自己的行业标准,例如《广播电视相关信息系统安全等级保护等级指南》、《水利网络与信息安全体系建设基本技术要求》等。金融领域,人民银行出台了《中国人民银行关于银行业金融机构信息系统安全等级保护等级的指导意见》,并于2012年了金融行业的《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息系统信息安全等级保护测评指南》等三项行业标准,在采用《信息系统信息安全等级保护基本要求》的590项基本要求的基础上,补充细化基本要求项193项,新增行业特色要求项269项,为金融行业开展关键信息系统信息安全等级保护实施工作具奠定了坚实基础。
测评和安全建设工作有序开展。截止到2012年底,全国已经开展了5万多个第二级信息系统和4万多个三级系统的等级测评,并完成了相应的信息系统的等级保护安全建设整改。2012年底,全国性银行业金融机构完成了880个二级以上信息系统的定级评审。2012年对反洗钱中心、征信中心、清算中心和金融中心的48个重要信息系统进行了测评,共发现4284项安全问题,整改完整3451向,通过整改后其信息系统的整改测评率达到了90%以上。
3 我国信息安全等级保护存在的问题
3.1 信息系统运营使用单位对等级保护工作的重视程度还不够
近年来信息安全等级保护主管部门高度重视等级保护工作,制定相关政策和标准,举办等级测评师培训等,但信息系统主管部门以及全社会对信息安全等级保护在信息安全保障体系中的基础性地位认识还不到位,难以将等级保护制度和已有信息安全防护体系相衔接,工作方式简单,手段缺乏,甚至出现以其他工作代替信息安全等级保护工作的消极倾向。同时,在工作中,一些企业还存在不愿投资,不愿受监管的思想,为节省人力、物力、财力将本该定为三级的重要信息系统定位二级,这些都影响信息安全等级保护制度的全面落实。
3.2 等级保护属于合规性被动防护与目前信息安全主动防御需求还有差距
信息安全等级保护属于政策性驱动的合规性保护,这种合规性保护只关注通用信息安全需求,并且属于被动保护,对于当前信息安全保护中的主动防御要求还有差距。例如,中国铁路客户服务中心12306网站定义为等级保护四级,2012年,曾暴露出被黑客拖库,以及因机房空调问题停止服务等问题,而这两项内容都在等级保护规范中有明确的要求。所以,认为通过等级保护的评测就不会出问题显然是一种误区。
另外,2010年“震网”病毒事件破坏了伊朗核设施,表明网络攻击由传统“软攻击”上升为直接攻击要害系统的“硬摧毁”。2013年曝出的棱镜门事件,2014年曝出的美国国安局入侵华为服务器等,这些事件表明当今信息安全的主要特征是要建立主动防御体系,例如建立授权管理机制、行为控制机制以及信息的加密存储机制,即使信息得到泄露也不会被黑客轻易获得。而等级保护是一种被动的、前置的保护手段,与当前信息安全保护所要求的实时的、主动防御还有一定的差距。
3.3 现有防护手段难以满足新技术发展应用中的信息安全需求
信息安全等级保护政策标准的滞后,难以满足新技术应用的信息安全需求。例如,当前的物联网、云计算、移动互联网的应用呈现出新特点,提出了新的安全需求,在网络层面原本相对比较封闭的政府、金融、能源、制造系统开始越来越多的与互联网相连接;计算资源层面,云计算的应用,呈现出边界的消失、服务的分散、数据的迁移等特点,使得业务应用和信息数据面临的安全风险愈发复杂化。用户终端层面,移动互联、智能终端大行其道,BYOD的应用等,都为企业信息安全管理提出新挑战。
大数据的应用,很可能会出现将某些敏感业务数据放在相对开放的数据存储位置的情况。针对这些边界逐渐消失,服务较为分散,应用呈现虚拟化,敏感业务数据放在相对开放的数据存储位置,等级保护的“分区、分级、分域”保护的原则已无法有效应用。如何有效满足新技术应用下的信息安全需求,也是等级保护下一步需要考虑的内容。
4 进一步做好信息安全等级保护的相关建议
4.1 扩大宣传力度,提高全社会对等保的重视程度
等级保护是我国信息安全建设的基本制度,需提高全社会对等级保护的重视程度,尤其是要提高信息系统主管部门对信息安全等级保护工作重要性的认识。在工作中,可以通过重要信息系统之间的项目依赖性分析,关键部门影响性分析等方法,来增强信息系统主管部门以及全社对信息系统信息安全重要性的认识。在各行业、企业内部,应当通过加强宣传教育培训,提高信息系统使用和运维人员的对信息安全等级保护的重视程度。在等级保护工作推进工作中,对故意将信息系统安全级别定低现象进行严查。
4.2 引入可信计算等主动防御理念,充分发挥等保在信息安全建设中的作用
要充分发挥等保在国家信息安全建设中的作用,需要从技术和管理两个方面进行安全建设,做到可信、可控、可管;并且应当具有抵御来自敌对组织高强度连续攻击(APT)的能力,以满足当前信息安全形势的需求。而可信计算技术可以实现计算处理结果与预期的相一致,中间过程可控制管理、可度量验证。因此,可在信息安全等级保护基本要求等技术标准中引入可信计算的理念,将传统的三重防护上升为可信计算环境、可信边界、可信通信网络组成的可信环境下的三重防护,从而实现主体的可信计算安全,进一步实现等级保护主动防御功能,充分发挥等级保护在信息安全建设中的作用。
4.3 完善等保技术标准体系,推进等级保护在云计算中的应用
针对当前的物联网、工业控制系统、移动互联网,云计算应用中带来的数据高度集中、高虚拟化等的特点,信息安全等级保护应当在等级保护建设时必须加入对终端安全更高的基本需求。例如,在业务终端与业务服务器之间进行路由控制建立安全的访问路径;通过设定终端接入方式、网络地址范围等条件限制终端登录等。同时在虚拟环境下,要求安全设备能识别网络虚拟标签,区分每台虚拟机主机。针对云计算中边界模糊化的特点,可以通过软件安全实现对动态边界的监测,保证其安全。具体推进中,可以通过完善等级保护相关整改建设指南,等级测评工作指南以及相关技术标准等,以指导具体工作的开展,从而以推进等级保护在云计算、物联网、工控领域的等中的应用。
4.4 借鉴经验,完善等级保护制度设计和体系建设
目前《信息安全等级保护定级指南》确定的对象是信息系统,《信息安全等级保护基本要求》也是针对自身具备运行的物理环境、网络环境、系统环境和应用以及相关人员和管理体系等完整、标准的意义上的信息系统而提出的,而对于重要信息系统运行所依赖的网络系统、IDC(互联网数据中心)、灾备中心等这样的对象,无论是定级方法、保护要求还是测评结果判定方面等都还存在不合适的地方。
对此可以在定级过程中,参考美国经验,引入系统法(特别是相互依赖性分析)和象征法,加深对定级对象的认识,通过仿真建模等分析技术进行定级合理性的验证。在等级测评过程可以引入风险分析、威胁评价、系统分析等过程加强测评结果的可量化性。同时研究国外相关信息安全建设中的法律体系、标准体系、组织保障体系等,并在此基础上进行自主创新,以改进我们等级保护实践中发展的制度设计问题,提高政策、理论和技术水平。
5 结束语
当前信息技术发展迅速,信息安全面临的国际形势日益严峻,信息安全等级保护作为贯穿信息系统整个生命周期的信息安全保障措施,应当不断完善其法律体系、技术标准体系以及实施保障机制等,以适应满足新形势下的信息安全需求。
参考文献
[1] 《信息安全等级保护管理办法》(公通字[2007] 43 号).公安部,2007.
[2] 《计算机信息系统安全保护等级划分准则》(GB17859).
[3] DoD ,Trusted Computer System Evaluation Criteria(Orange Book), 26 December 1985.
[4] Information Technology Security Evaluation Criteria;1994.
[5] The Canadian Trusted Computer Product Evaluation Criteria;Version 3 ;1993.
[6] Common Criteria Project Sponsoring Organisations. Common Criteria for Information Security Evaluation Part 1-3, Version2.1. Augest 1999.
[7] ISO/IEC 15408-1:2005 Information technology ―― Security techniques ―― Evaluation criteria for IT security.
[8] 国务院.《中华人民共和国计算机信息系统安全保护条例》. 1994.
[9] 公安部、国家保密局、国家密码管理委员会和国家信息办.《信息安全等级保护的实施意见》(公信安[2007] 861 号). 2007.
[10] 宋言伟,马钦德,张健.信息安全等级保护政策和标准体系综述.信息通信技术,2010(6):59-61.
国家信息安全的重要性范文6
1.销售系统设施建设。
硬件方面,各石油销售企业都具有设施完善的中心计算机系统,供电采用UPS方式,采用“双机热备”的核心服务器工作模式,以确保整个硬件的可靠性和安全性;网络方面,采用SDH光纤接入广域网,包括接入层、汇聚层、核心层。核心层中路由器和交换机采用双机模式,设备之间,层层之间以光纤方式连接,以均衡网络负载。除了安装必备的防火墙,部分企业为进一步提高安全防范能力还安装了外网入侵检测系统;大多数加油站采用SSLVPN方式访问企业内部网,以保证网络接入的安全性。在PC系统方面,大多数企业统一安装了企业版的病毒防护软件系统和桌面安全网络接入系统,实现PC机的MAC地址绑定。
2.销售系统信息化建设。
目前,企业的销售信息系统主要包括:加油卡系统、办公自动化系统、加油站零售管理系统、企业门户网站、ERP系统等。信息系统具有如下特点:一是用户众多,几乎所有企业管理人员都是各系统用户;二是应用领域广,涉及企业经营、管理、对外服务诸多方面;三是要求连续运转,如ERP系统必须满足7×24小时运转。由于信息系统的安全运转不仅关系到企业经营管理的可持续性,其数据的安全性和保密性更关系到广大客户的利益。所以,基于上述的原因,企业对销售信息系统的安全运转提出了更高的要求。
3.销售系统的信息安全现状。
石油销售管理系统是关系国家安全、经济命脉、社会稳定的重要信息系统,国家对其信息安全高度重视,并在《2006-2020年国家信息化发展战略》中强调,我国要全面加强国家信息安全保障体系的建设,大力增强国家信息安全保障能力,实现信息化建设与信息安全保障的协调发展。同时,国内石油销售企业也长期重视信息安全工作,逐步建立了相应的保障体系和规章制度,但还存在以下问题:
(1)范围涉及广泛。
石油销售企业分支机构多,终端运营组织庞大且分散,以中石油集团为例,其截至2013年分布在全国的加油站已超过30000座。在如此庞大的销售系统中,信息网络承载着指导业务运行的重要功能。大量、分散部署的加油终端,必然会造成联网方式的多样化、网络环境的复杂化。
(2)设备系统众多。
石油销售企业信息化管理系统中所涉及的设备精度髙、技术要求深,并且范围广泛,包括加油站、油库等大量的自动化控制系统。因此,业务管理流程复杂,安全风险增大。
(3)人员素质不齐。
由于石油销售属于传统行业,因此企业人员年龄跨度较大,对信息安全管理的职业组织参差不齐;甚至对于企业管理人员,对于信息安全的认识也多停留在纸上谈兵;基层人员众多,且直接面对客户,流动性大,信息泄露风险极高。而且新生代的企业员工对计算机和网络接触早,应用水平高,日常使用频繁,在缺乏网络安全防护意识的情况下更易导致信息泄漏,甚至在好奇心理的鼓动下主动发起网络攻击行为,所以企业内网安全也成为一个突出的问题。
(4)资金投入有限。
国外企业在信息安全方面的资金投入达到了企业整体基建的5%-20%,而我国企业基本都在2%以下。全世界每年因信息安全方面的漏洞导致的经济损失达数万亿美元,中国的损失也达到了一百亿美元以上,但是中国企业在这方面的投资只有几十亿美元。因此,我国企业整体信息化安全建设预算不足。石油企业信息化工程是一项繁重的任务,需要在信息安全方面有更大的投入。大型油企需要建立复杂庞大的数据库备份体系,建立并维护高效的网络杀毒系统、企业级防火墙、IDS、IPS系统和完善的补丁更新及发放机制,以保证企业各方面的数据安全。建立这一复杂的系统需要大量的资金投入,而且其投入回报慢,因此石油企业普遍轻视这方面的投入和维护,信息安全建设相对于企业的发展整体滞后。
二、石油销售系统的信息安全管理系统设计
石油销售系统的信息安全管理系统是一个程序化、系统化、文件化的管理体系,以预防控制为主,强调动态全过程控制。建立相应的信息安全管理系统,需要从物理、信息、网络、系统、管理等多方面保证整体安全;建立综合防范机制,确保销售信息安全以及加油卡、EPR等电子销售系统的可靠运行,保障整体信息网络的安全、高效、可靠运转,规避潜在风险,供系统的可靠性和安全性。因此,石油销售系统的信息安全管理系统构架分为以下组成:
(1)组织层面。
石油销售部门应建立责任明确的各级信息安全管理组织,包括信息安全委员会、信息安全管理部门,并通过设立信息安全员,指定专人专项负责。通过这些部门和负责人开展信息安全认知宣传和培训,提高企业员工对信息安全重要性的认识。
(2)制度层面。
制定安全方针、安全管理制度、安全操作规程和突发事件应急预案等一系列章程,经科学性审核和测试后下发各级部门,提升企业的信息安全管理的效能,减少事故发生风险,提高应急响应能力。
(3)执行层面。
信息安全管理部门应当定期检查和随机抽查相结合,监督安全制度在各级部门的执行情况,评估安全风险,负责PDCA的循环控制。
(4)技术层面。
信息安全管理部门要提供安全管理、防护、控制所需的技术支持,全面保障企业整体信息安全管理系统建设。通常信息安全技术分为物理安全、网络安全、主机安全、终端安全、数据安全以及应用安全等六个方面,主要包括监控与审核跟踪,数据备份与恢复,访问管理与身份认证,信息加密与加固等具体技术措施。通过有效的信息安全管理平台和运作平台,在最短时间内对信息安全事件进行响应处理,保障信息安全管控措施的落实,实现信息安全管理的目标。
三、结语
