定義,國內綱領性檔案,“27號文”,“27號文”的總體要求,“27號文”的主要任務,“27號文”的主要原則,國外信息安全保障情況,美國信息安全保障,戰略方針,重點對象,組織機構,英國信息安全保障概況,戰略方針,重點對象,組織機構,政策法規,德國信息安全保障概況,法國信息安全保障概況,俄羅斯保障概況,各國信息安全保障小結,我國信息安全保障,啟動階段,展開與推進階段,深化落實階段,基本思路,工作目標,整體規劃,
定義
信息系統安全保障是在信息系統的整個
生命周期中,通過對信息系統的
風險分析,制定並執行相應的安全保障策略,從技術、管理、工程和人員等方面提出安全保障要求,確保信息系統的
保密性、
完整性和
可用性,降低
安全風險到可接受的程度,從而保障系統實現組織機構的使命。
國內綱領性檔案
“27號文”
《
國家信息化領導小組關於加強信息安全保障工作的意見》([2003]27號),簡稱“27號文”,它的誕生標誌著我國信息安全保障工作有了總體
綱領,其中提出要在5年內建設中國信息安全保障體系。
“27號文”的總體要求
堅持積極防禦、綜合防範的方針,全面提高信息安全防護能力,重點保障基礎信息網路和重要信息系統安全,創建安全健康的網路環境,保障和促進信息化發展,保護
公眾利益,維護
國家安全。
“27號文”的主要任務
(重點加強的安全保障工作):
加強以密碼技術為基礎的信息保護和網路信任體系建設;
建設和完善信息安全監控體系;
重視信息安全應急處理工作;
加強信息安全技術研究開發,推進信息安全產業發展;
加強信息安全法制建設和標準化建設;
加快信息安全人才培養,增強全民信息安全意識;
保證信息安全資金;
加強對信息安全保障工作的領導,建立健全信息安全管理責任制。
“27號文”的主要原則
立足國情,以我為主,堅持技術與管理並重;
正確處理安全與發展的關係,以安全保發展,在發展中求安全;
統籌規劃,突出重點,強化基礎工作;
明確國家、企業、個人的責任和義務,充分發揮各方面的積極性,共同構築國家信息安全保障體系。
國外信息安全保障情況
當前,隨著信息化的不斷深入,各國紛紛重視信息安全保障工作,從戰略、組織結構、軍事、外交、科技等各個方面加強信息安全保障工作力度。在戰略方面,發布網路安全戰略、政策評估報告、推進計畫等檔案;在組織方面,通過設立網路安全協調機構、設立協調官,強化集中領導和綜合協調;在軍事方面,陸續成立網路戰司令部,開展大規模攻防演練,招募網路戰精英人才,加快軍事網路和通信系統的升級改造,網路戰成為熱門話題;在外交方面,信息安全問題的國際交流與對話增多,美歐盟友之間網路協同攻防傾向愈加明顯,信息安全成為國際多邊或雙邊談判的實質性內容;在科技方面,各國尋求走突破性跨越式發展路線推進技術創新,力求在科技發展上保持和占據優勢地位。
在保障對象方面,關鍵基礎設施是各國信息安全保障的最核心內容。
美國信息安全保障
戰略方針
1998年5月,
柯林頓政府發布了第63號總統令(PDD63):《柯林頓政府對關鍵基礎設施保護的政策》。2000年1月,柯林頓政府發布了《信息系統保護國家計畫V1.0》,提出了沒有政府在21世紀之初若干年的網路空間安全發展規劃。
2001年10月16日,布希政府意識到了
911之後信息安全的嚴峻性,發布了第13231號行政令《資訊時代的關鍵基礎設施保護》,宣布成立“總統關鍵基礎設施保護委員會”,簡稱PCIPB,代表政府全面負責國家的網路空間安全工作。2003年2月,在徵求國民意見的基礎上,發布了《保護網路空間的國家戰略》的正式版本,對原
草案版本做了大篇幅的改動,重點突出國家政府層面上的戰略任務。
2008年1月2日,美國發布國家安全總統令54/國土安全總統令23,建立了國家網路安全綜合計畫(CNCI)。
CNCI計畫建立三道防線:
第一道防線,減少漏洞的隱患,預防入侵;
第二道防線,全面應對各類威脅:增強反間能力,加強供應鏈安全來抵禦各種威脅;
第三道防線,強化未來安全環境:增強研究、開發和教育以及投資先進的技術來構建將來的環境。
同時,CNCI還明確了十二項任務,包括:可信網際網路連線(TIC)、網路
入侵檢測系統、網路
入侵防護系統、科技研發、態勢感知、網路反間、增強涉密安全、加強網路教育、“超越未來(Leap Ahead)”技術研發、網路威懾戰略、全球供應鏈風險管理機制、公私協作。
重點對象
美國明確將關鍵基礎設施作為其信息安全保障的重點。關鍵基礎設施定義為關係到美國生死存亡的物理和虛擬的信息系統和資產,這些系統和資產的功能喪失或遭到破壞,會對國家安全、經濟穩定、國家公眾健康與安全產生嚴重影響。
目前美國的關鍵基礎設施和主要資源部門包括:(1)信息技術;(2)電信;(3)化學製品;(4)商業設施;(5)
大壩;(6)商用
核反應堆、材料和廢棄物;(7)政府設施;(8)交通系統;(9)應急服務;(10)郵政和貨運服務;(11)農業和食品;(12)飲用水和廢水處理系統;(13)公共健康和醫療;(14)能源;(15)銀行和金融;(16)國家紀念碑和象徵性標誌;(17)國防工業基地;(18)關鍵製造業。
組織機構
美國聯邦政府負責信息安全保障工作的最高官員是網路安全協調官,負責領導白宮“網路安全辦公室”,制定和發布國家信息安全政策,首任網路安全協調官霍華德·施密特,被喻為“
網路沙皇”。
美國信息安全管理部門包括:國土安全部(DHS)、國家安全局(NSA)、國防部(DOD)、聯邦調查局(
FBI)、中央情報局(
CIA)、國家標準技術研究所(
NIST)等6個機構,具體執行不同的分管職責。
同時,美國重視公私合作機構的合作,包括國家基礎設施顧問委員會(NIAC)、信息共享和分析中心(ISAC)、網路安全全國聯盟(NCSA)等等。
英國信息安全保障概況
戰略方針
2009年6月,英國發布首份國家《網路安全戰略》,宣布成立“網路安全辦公室”和“網路安全運行中心”,提出建立新的網路管理機構的具體措施。
英國注重信息安全標準組織建設,重視將本國標準向海外推廣,積極參與國際信息安全標準制定,其BSI7799標準已成為國際標準,並主導ISO/IEC 27000系列標準。
英國在其信息安全保障工作中強調網路監控,規定警方和國家安全、稅務等監察部門有權監控電子郵件和行動電話等系統,成為西方大國中唯一的政府可以要求網路用戶交出加密資料密鑰的國家。
重點對象
英國的關鍵基礎設施包括:(1)通信;(2)應急服務(救護、消防、警察、營救等);(3)能源(電力、石油等);(4)金融;(5)食品;(6)政府和公共服務;(7)公共安全;(8)健康(醫療保健、公共衛生);交通;(10)水處理。
組織機構
英國負責基礎設施保護的機構是國家基礎設施安全協調中心,它是負責信息安全工作的跨部門機構,運行著英國的計算機應急回響小組。信息保障中央主辦局和民事應急局是英國負責信息安全工作的重要政府機構。
政策法規
在立法工作方面,英國1984年制定《數據保護法》,1990年出台《反計算機濫用法》,1997年實施《電信詐欺法》,2000年出台《信息自由法》。
在政策方面,1998年貿易和工業部發表《加強競爭力白皮書》,確定了英國建設信息社會的方式;2005年英國政府制定發表了《信息保障管理框架》:作為信息安全保障戰略。
德國信息安全保障概況
德國是世界上第一個建立電子政務標準的國家。1991年,德國在內政部下建立信息安全局(BSI),負責處理與網路空間相關的所有問題。德國重視關鍵基礎設施信息安全保障,建立日耳曼人的“基線”防禦。1997年建立部際關鍵基礎設施工作組;2005年出台《信息基礎設施保護計畫》和《關鍵基礎設施保護的基線保護概念》。
法國信息安全保障概況
2003年12月總理辦公室提出《強化信息系統安全國家計畫》並得到政府批准實施,四大目標:確保國家領導通信安全;確保政府信息通信安全;建立計算機反攻擊能力;將法國信息系統安全納入歐盟安全政策範圍。
2009年7月7日,法國成立國家級“網路和信息安全局”,置於總理領導之下,隸屬國防部。
俄羅斯保障概況
俄羅斯信息安全重點保護對象包括:經濟、國內和外交政策、科學和技術、國家信息和通信系統、國防、司法、災難回響等。
俄羅斯的信息安全管理機構包括:俄羅斯聯邦安全理事會;俄羅斯聯邦安全局(國家安全管理機關,信息安全工作主管和執法機關);俄羅斯技術和出口控制局;俄羅斯聯邦保衛局、信息技術和通信部。
俄羅斯制定了《俄羅斯國家安全綱要》,將其作為國家信息安全戰略,工作中注重安全測評和實施信息安全分級管理。
各國信息安全保障小結
從上述各國信息安全保障工作情況來看,各國之間歷史、國情、文化不同,具體的重點保護對象也有所差異,但共同特點是將與國家安全、社會穩定和民生密切相關的關鍵基礎設施作為信息安全保障的重點;所有國家最常被提到的關鍵部門都是現代化社會的核心部門,也是被破壞後可能造成極大規模災害的部門。
少數國家在中央政府一級設立機構專門負責處理網路信息安全問題,如美國;大多數國家信息安全管理職能由不同政府部門的多個機構和單位共同承擔;機構單位的設立,以及機構在信息安全管理中的影響力,受到民防傳統、資源配置、歷史經驗以及決策者對信息安全威脅總體認識程度的影響。
上述國家在信息安全保障工作中有幾個相同點:將信息安全視為國家安全的重要組成部分是主流;積極推動信息安全立法和標準規範建設是主流;重視對基礎網路和重要信息系統的監管和安全測評是主流;普遍重視信息安全事件應急回響;普遍認識到公共私營合作夥伴關係的重要性,一方面政府加強管理力度,一方面充分利用社會資源。
我國信息安全保障
啟動階段
2001年至2002年,是我國網路與信息安全事件頻發且性質嚴重的時期,
IP電話通信技術被惡意濫用,數據走私和電話騷擾行為猖獗,直接影響政府日常工作和居民正常生活;網際網路淫穢有害信息內容充斥。重要信息系統存在諸多安全隱患,衛星通信故障造成美元兌港元
匯價異常,引發國內首例網路炒匯糾紛案;深交所因系統崩潰停市半天,造成直接經濟損失和社會影響;北京首都國際機場信息系統出現故障,造成上百個航班延誤,數萬名旅客滯留等等。
信息安全事件頻發,改變了我國對信息安全狀況的認識,即我國面臨的信息安全問題已不再是一個局部性和技術性的問題,而是一個跨領域、跨部門的綜合性安全問題,更是一個影響國計民生、關乎國家安全與社會穩定的現實問題。為此,2001年,國家信息化領導小組重組,網路與信息安全協調小組成立,我國信息安全保障工作正式啟動。
展開與推進階段
2003年7月,國家信息化領導小組根據國家信息化發展的客觀需求和網路與信息安全工作的現實需要,制定出台了《關於加強信息安全保障工作的意見》(中辦發27號檔案),檔案明確了“積極防禦、綜合防範”的國家安全保障工作方針,提出了加強信息安全保障工作的總體要求和主要原則,以及進一步提高信息安全保障工作能力和水平、維護公眾利益和國家安全、促進信息化建設健康發展的具體意見。
2003年至2005年是我國信息安全保障體系建設深入推進階段。此階段,我國信息化建設快速發展,取得了明顯成效。基礎信息網路已初具規模,金融、稅務、海關、能源、交通、國防等領域建成了一批重要信息系統,電子商務和電子政務快速發展,為國民經濟和社會發展做出了積極貢獻。尤其是全國信息安全保障工作會議召開之後,各地區、各部門認真貫徹落實會議精神和27號檔案要求,各省(區、市)和有關部門陸續建立了網路與信息安全協調小組,研究制定了加強信息安全保障工作的具體措施。國信辦、發改委、教育部、科技部、公安部、國家安全部、財政部、信息產業部、廣電總局、新聞辦、國家認監委、保密局、國密辦以及軍隊有關單位按照協調小組的要求,認真研究制定配套檔案和措施,做了大量工作。銀行、電力、鐵路、海關、稅務、證券、民航等重要信息系統的主管部門也都專門制定了落實措施,加強和改進本系統的信息安全保障工作。信息安全等級保護、信息安全風險評估、網路信任體系建設、信息安全產品認證認可工作、信息安全標準制定、信息安全監控和信息安全應急處理等工作均取得積極推進和明顯進展。
深化落實階段
2006年至今,國家信息安全保障體系建設取得實質性進展。圍繞中辦第27號檔案開展的各項信息安全保障工作邁出了堅實步伐。信息安全法律法規、標準化和人才培養工作取得了新成果。信息安全基礎設施和工程建設進一步完善,信息安全等級保護和風險評估取得了新進展。2006年至今,隨著中國信息化進程不斷加快,國民經濟與社會信息化水平不斷提高,信息化在促進經濟與社會協調、穩定、持續發展過程中,發揮著越來越重要的作用。我國信息安全保障工作取得了明顯成效,建設了一批信息安全基礎設施,加強了網際網路信息內容安全管理,為維護國家安全與社會穩定、保障和促進信息化建設健康發展發揮了重要作用。目前我國的信息安全保障工作正在穩健、紮實地步入高速發展的新階段。
基本思路
我國信息安全保障工作的基本思路是:以維護國家利益為根本出發點,服從和服務於國家發展和安全,適應國內改革開放不斷深入的形勢和全球信息化加速發展的趨勢,堅持以人為本、全面協調可持續的科學發展觀,突出保障重點,推動自主創新,實現跨越發展,走投入較少、效益較高的中國特色信息安全保障建設和發展之路,為國家發展和社會建設提供有力支撐。堅持用發展、改革和開放的辦法解決面臨的信息安全問題,從法律、管理、技術和人才等多方面入手,採取多種安全措施動員和組織全社會力量,共同構建國家信息安全保障體系。
工作目標
保障和促進信息化發展
在實施國家信息化發展戰略中,要高度重視信息安全保障體系建設,實現信息化與信息安全協調發展。國家基礎信息網路、重要信息系統以及政府、企業和公民的信息活動的安全若不能得到切實保障,信息化帶來的巨大經濟與社會效益就難以有效發揮,信息化發展也會受到嚴重製約。加強信息安全保障的目的,就是要保障和促進信息化發展,而不是以犧牲信息化發展來換取信息安全。採取不上網、不共享、不互聯互通等傳統封閉的方式保全全,會嚴重影響甚至阻礙信息化發展,也不可能從根本上解決信息安全保障問題。只有繼續大力推動信息化建設,全面提高信息化發展水平,才能為應對各種信息安全問題提供強有力的物質和技術保障。全面推進信息化,只有高度重視信息安全保障建設,才能形成健康有序、安全穩定的信息網路秩序,才能確保信息化進程穩步、快速地發展。
維護企業與公民的合法權益
加強信息安全保障是維護企業與公民合法權益的重視前提和根本保證。《全國人大常委會關於維護網際網路安全的決定》、《中華人民共和國電信條例》、《中華人民共和國計算機信息系統安全保護條例》等有關法律、法規,對維護公民的通信自由、保護企業和公民信息活動的權益都作出了明確的規定。依據信息安全問題的發展變化和從保護廣大用戶安全的需要出發,我國正在進一步修改和完善相關的行政法規和部門規章,《信息安全條例》也即將出台。為切實維護企業和公民信息權益,形成良好、安全、可信的信息網路環境,中國政府執法部門依法嚴厲打擊各種形式的網路違法犯罪活動,包括手機簡訊詐欺、網路金融欺詐、網上非法傳銷、濫發垃圾郵件、非法傳播“黃”、“賭”、“毒”等。中國政府有關部門也依照相關法律及程式,對信息通信網路的運行實行必要的檢測,以有效維護國家信息基礎設施和重要
信息系統安全。
構建安全可信的網路信息傳播秩序
我國是世界上第一大手機和第二大網際網路國家。構建更加安全可靠、更加有用、更加可信的網際網路,服務於建設小康社會和構建和諧社會,是我國加強信息安全保障的一個重要任務。由於網路信息傳播的開放性、跨界性、即時性、互動性等特點,網際網路在為廣大民眾提供和獲取越來越多的有用、有益的新聞信息及其他信息服務的同時,也存在著一些虛假和錯誤導向的新聞信息,以及直接危害公眾利益、民族團結、國家統一、社會穩定和國家安全的違法與有害信息及活動。為有效開展網際網路治理工作,我國政府提出了網際網路管理的基本原則,即積極促進網際網路發展,並依法進行管理,鼓勵行業自律和公眾監督,旨在形成一個可信和安全的網際網路信息空間。
保護網際網路智慧財產權
信息通信技術及其套用形式和服務的多樣化,移動通訊、有線電視及網際網路之間的互聯互通,有力地加快了信息的交流與共享。信息資源的有效開發利用,正在不斷地滿足廣大民眾在信息、文化、娛樂和生活方面日益增長的需求,極大地發揮了信息化發展帶來的經濟與社會效益。在促進互聯互通和信息共享過程中,保護網路信息內容的智慧財產權,是中國信息安全保障政策的一項重要內容和目標。
整體規劃
政策規劃
《關於加強信息安全保障工作的意見》(中辦發[2003]27號檔案)
《關於進一步加強網際網路新聞宣傳和信息內容安全管理工作意見》(中辦發[2002]8號檔案)
《關於進一步加強聯網管理工作的意見》(中辦發[2004]32號檔案)
《關於加強網路文化建設和管理的意見》(中辦發[2007]16號檔案)
戰略規劃
《國家信息安全戰略報告》(2005年5月)
《2006-2020年國家信息化戰略》